本章主要对:数据报文分层、以太报文结构、IP协议、ARP协议、PPPOE协议、Radius协议等的解码分析做了简单的描述,目的在于介绍Sniffer软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其其他协议读者可以通过协议文档和Sniffer捕获的报文对比分析。 1.1 数据报文分层
如下图所示,对于四层网络结构,其不同层次完成不通功能。每一层次有众多协议组成。
如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”;网络层对应“IP”;传输层对应“UDP”;应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。
1.2 以太报文结构
EthernetII以太网帧结构
Ethernet_II以太网帧类型报文结构为:目的MAC地址(6bytes)+源MAC地址+(6bytes)上层协议类型(2bytesPPPOE 协议)+数据字段(46-1500bytes)+校验(4bytes)。
Sniffer会在捕获报文的时候自动记录捕获的时间,在解码显示时显示出来,在分析问题时提供了很好的时间记录。
源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来,方便定位问题,例如网络上2台设备IP地址设置冲突,可以通过解码翻译出厂商信息方便的将故障设备到,如00e0fc为华为,010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址,在下面的表格中会突出显示该地址的16进制编码。
IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议,0x806为ARP协议。
IEEE802.3以太网报文结构
上图为IEEE802.3SNAP帧结构,与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。
1.3 IP协议
IP报文结构为IP协议头+载荷,其中对IP协议头部的分析,时分析IP报文的主要内容之一,关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。
版本:4——IPv4
首部长度:单位为4字节,最大60字节
TOS:IP优先级字段
总长度:单位字节,最大65535字节
标识:IP报文标识字段
标志:占3比特,只用到低位的两个比特
MF(More Fragment)
MF=1,后面还有分片的数据包
MF=0,分片数据包的最后一个
DF(Don't Fragment)
DF=1,不允许分片
DF=0,允许分片
段偏移:分片后的分组在原分组中的相对位置,总共13比特,单位为8字节
寿命:TTL(Time To Live)丢弃TTL=0的报文
协议:携带的是何种协议报文
1 :ICMP
6 :TCP
17:UDP
89:OSPF
头部检验和:对IP协议首部的校验和
源IP地址:IP报文的源地址
目的IP地址:IP报文的目的地址
上图为Sniffer对IP协议首部的解码分析结构,和IP首部各个字段相对应,并给出了各个字
段值所表示含义的英文解释。如上图报文协议(Protocol)字段的编码为0x11,通过Sniffer解码分析转换为十进制的17,代表UDP协议。其他字段的解码含义可以与此类似,只要对协议理解的比较清楚对解码内容的理解将会变的很容易。
1.4 ARP协议
以下为ARP报文结构
ARP分组具有如下的一些字段:
HTYPE(硬件类型)。这是一个16比特字段,用来定义运行ARP的网络的类型。每一个局域网基于其类型被指派给一个整数。例如,以太网是类型1。ARP可使用在任何网络上。
PTYPE(协议类型)。这是一个16比特字段,用来定义协议的类型。例如,对IPv4协议,这个字段的值是0800。ARP可用于任何高层协议。
HLEN(硬件长度)。这是一个8比特字段,用来定义以字节为单位的物理地址的长度。例如,对以太网这个值是6。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议