-
常见协议解码详解
?
数据包封包分层
数据包解码说明
下
图
是
对
数据包的解
码图
,其中
对
数据包中的
每
一
层协议
分
别进
行了解
码
分析:
这
里面,
我
们
可以看到
协议
由外向内封装,分
别
是:
1.
2.
3.
4.
数据
链
路
层对
应“Ethernet II”协议
;
网
络层对应“IP”协议
;
传输层对应“UDP”协议
;
应
用
层对应“DNS”协议
< br>。
下面我
们
< br>就分
别对这
四
层协议
做
详细
解
释
。
?
以太网数据包结构
协议结构为
:
7
Pre
1
SFD
6
DA
6
SA
2
Length Type
46-1500bytes
Data unit + pad
4
FCS
下
图
是
Ethernet II
协议<
/p>
解
码
后的内容,利用此
< br>实
例
进
行
说
明:
目标
MAC
地址
源
MAC
地址
上层协议
0x0800
(IP
协议
)
目
标
MAC
地
址
0
位
开
始
/6
bytes
长
源
MAC
地址
6
位
开
始
/6
bytes
长
上
层协议
12
位
开
始
/2
bytes
长
字段
Destination
address
Source addresses
Protocol
说明
DA
,
目
标
MAC
地址
6
字
节
SA
,源
MAC
地址
< br>6
字
节
Length Type
,
承载的
上
层协议类
型
Data unit + pad
,数据字段(
46-1500bytes
)
FCS
检验
(
4bytes
)
MAC
地址
:
MAC
地址
为
16
进
制
编码
,在解
码
中可以将前
3
bytes
代表厂商的字段翻
译
出来,方便定位
问
题
,
如网
络
上有
两
台
设备
IP
地址冲突,<
/p>
可以通
过
厂商信息方便的将故障
设备
找到,
如
00e0
4C
为
TP-LINK
,
000AKB
为
迅捷,
00
A0C9
为
Intel
等等,
上
层协议
:
Ethernet II
承
载
的上
层协议
主要包括
0x800
为
IP
协议
和
0x806
为
ARP
协议
。
?
IP
协议结构
IP
头
的
结构
如下:
4
Ver
8
IHL
Type of
service
Flags
Identification
Time to live
Protocol
Source address
Destination
address
Option + Padding
Data
16
19
Total length
Fragment offset
32bits
Header checksum
下
图
是
IP
层
解
码
后的内容,利用此
实
例
进
行
说
明:
下面是
IP
协议
解
码
的
对
应
字段解
释
:
字段
说明
Version: 4
版本号为
4<
/p>
,即
IPv4
协议,
Header Length: 5
头部长度
20
字节,
5 bits
Type of service: 000 0000
服务提供类型,显示参数摘要。
Precedence
优先路由信息
Delay
迟延
Throughput
吞吐量
Reliability
可靠性
Total Length:
131
总长
131
(单位字节,最长
为
65535
字节)
Identification: 10403
标识
Fragmentation
Flags: 000. ....
标志
Reserved:
保留
Fragment:
片断
More Fragment:
最后片断
Fragment
Offset: 0
偏移量
Time to Live:
TTL,
科来网络分析系统
5.0
将丢弃
T
TL=0
的数据包
Protocol: 17
是哪种协议,
1
–
ICMP
,
< br>6
–
TCP
,
17
–
UDP
,
89
–
OSPF
Check Sum:
0xCE73
对
IP
协议头的校验合
,
0xCE73
为正确
Source IP: 192.168.1.1
源
IP
地址
Destination IP: 192.168.1.2
目标
IP
地址
?
ARP
协议结构
以下是
ARP
协议结构
:
8
Hardware Type
Hardware address
length
Protocol address
length
Sender Hardware
Address
Sender Protocol
Address
Target Hardware
Address
Target Protocol
Address
16
Protocol Type
Opcode
32 bits
下
图
是
对
ARP
协议进
行
解
码视图
:
我
们对
上<
/p>
图
中的
ARP
字
段
进
行
详细说
明:
字段
Hardware Type:1
说
明
(硬件类型
)
占
16 bits
,用来定义运行
ARP
的网络类型,每一个局域
网基于其类
型被指定一个整数,例如,以太网是类型
1
,
< br>ARP
可以使
用在任何网络上。
Protocol Type: 0x0800
Hardware Length: 6
Protocol
Length: 4
Type: 1
(协议类型)
占
16 bits
,用来定义协议的类型。如:
0x0800
代
表
IP
协
议,
ARP
可用于任何高层协议。
(硬件
长
度)占
8 bits
,用来定
义
物理地址和
长
度。以太网
值为
6
。
(
协议长
度)占
8 bits
,用来定
义
物理地址和
长
度。
I
Pv4
值为
4
。
(操作
类
型)占
< br>16 bits
,用来定
义
操作
类
型,
请
求<
/p>
为
1
,回答
为<
/p>
2
。
Source Physics:
源
MAC
地址
00:A0:C9:BB:21:2A
Source IP:
Source Ip
源
IP
地址
192.168.1.3
Destination
Physics:
目
标
MAC
地址,
对
于
ARP
请
求数据包,此
值
全
为
0
,因
为请
求主机并
00:00:0
0:00:00:00
Destination IP:
192.168.1.1
不知道目
标
主机的
MAC
地址
目
< br>标
IP
地址