数据报文解码详解 本章主要对:数据报文分层、以太报文结构、IP 协议、ARP 协议、PPPOE协议、Radiu s 协议等的解码分析做了简单的描述,目的在于介绍Sniffer软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其其他协议读者可以通过协议文档和Sniffer 捕获的报文对比分析。 1.1 数据报文分层 如下图所示,对于四层网络结构,其不同层次完成不通功能。每一层次有众多协议组成。 应用层传输层网络层链路层Telnet FTP和e-mail等TCP 和UDPIP ICMP IGMP设备驱动程序及接口卡 如上图所示在Sniffer 的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”;网络层对应“IP”;传输层对应“UDP”;应用层对对应的是“NETB”等高层协议。Sniffer 可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。 1.2 以太报文结构 EthernetII 以太网帧结构 Ethernet_IIDMACSMACTy peDATA/PADFCS Ethernet_II 以太网帧类型报文结构为:目的MAC 地址(6by tes)+源MAC 地址+(6by tes)上层协议类型(2by tes)+数据字段(46-1500by tes)+校验(4by tes)。 添加时间戳目的上层协议Sniffer自动MAC地址源MAC地址类型 Sniffer 会在捕获报文的时候自动记录捕获的时间,在解码显示时显示出来,在分析问题时提供了很好的时间记录。 源目的MAC 地址在解码框中可以将前 3 字节代表厂商的字段翻译出来,方便定位问题,例如网络上2 台设备 IP 地址设置冲突,可以通过解码翻译出厂商信息方便的将故障设备找到,如00e0fc为华为,010042 为Cisco等等。如果需要查看详细的MAC 地址用鼠标在解码框中点击此 MAC 地址,在下面的表格中会突出显示该地址的16 进制编码。 IP 网络来说 Etherty pe 字段承载的时上层协议的类型主要包括 0x 800 为IP 协议,0x 806 为ARP 协议。 IEEE802.3 以太网报文结构 LLC子层MAC子层DSAPSSAPControl8bit8bit8/16bitDMACSMACLengthLLCDATA/FCSIEEE802.3帧结构 上图为IEEE802.3SNAP 帧结构,与EthernetII 不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC 子层。 1.3 IP 协议 IP 报文结构为IP 协议头+载荷,其中对IP 协议头部的分析,时分析IP报文的主要内容之一,关于IP 报文详细信息请参考相关资料。这里给出了IP 协议头部的一个结构。 版本:4——IPv 4 首部长度:单位为4 字节,最大 60 ...
