返回
第五章数据报文解码简析.doc

第五章数据报文解码简析.doc

ID:59137109

大小:198.50 KB

页数:7页

时间:2020-09-12

第五章数据报文解码简析.doc_第1页
第五章数据报文解码简析.doc_第2页
第五章数据报文解码简析.doc_第3页
第五章数据报文解码简析.doc_第4页
第五章数据报文解码简析.doc_第5页
资源描述:

《第五章数据报文解码简析.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第五章数据报文解码简析本章主要对:数据报文分层、以太报文结构、IP协议、ARP协议、TCP协议、UDP协议等的解码分析做了简单的描述,目的在于介绍Sniffer软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其其他协议读者可以通过协议文档和Sniffer捕获的报文对比分析。5.1数据报文分层如下图所示,对于四层网络结构,其不同层次完成不通功能。每一层次有众多协议组成。图5-1如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”;网络层对应“IP”;传输层对应“TCP/UDP”;应用层对对应的是“HTTP”等高层协议。Sniffer可以针对众多协

2、议进行详细结构化解码分析。并利用树形结构良好的表现出来。5.2以太报文结构EthernetII以太网帧结构字节数712或62或6246-15000-464前导字段帧起始符目的地址源地址长度或类型数据填充校验和图5-2Sniffer会在捕获报文的时候自动记录捕获的时间,在解码显示时显示出来,在分析问题时提供了很好的时间记录。源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来,方便定位问题,例如网络上2台设备IP地址设置冲突,可以通过解码翻译出厂商信息方便的将故障设备找到,如00e0fc为华为,为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址,在下面的表格

3、中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议,0x806为ARP协议。IEEE802.3以太网报文结构上图为IEEE802.3SNAP帧结构,与EthernetII不同点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。图5-35.3.IP协议版本:4位IHL域(4位):指明了该头部要多长(以32位字的长度为单位)。最小值为5,最大值为15,这限制了头部的最大为60字节。服务类型(TYPEOFService6位)总长度(TotalLength)域(16位):包含了该数据包中的所有内容,即头和数

4、据最大长度65535字节。标识(Identification)16位:让目标主机确定一个新到达的分段属于哪一个数据报,同一个数据报的所有分段包含同样的Identification值接下来是一个未使用的位。DF(1位):不分段MF(1位):更多的分段分段偏移(Fragmentoffset):13位,指明了该分段在当前数据报中的什么位置。TTL(Timetolive):8位,一个用于限制分组生存期的计数器,计数单位为秒,最大生存期为255秒协议(Protocol):8位,指明了该将它交给哪个传输进程TCP/UDP头部校验和(Headerchecksum):16位,只校验头部,这样的校验和对于检测“

5、因路由器中的坏内存而产生的错误”非常有用源地址(Sourceaddress):32位目的地址(Destinationaddress):32位选项(Options):设计意图是提供一种途径,允许后续版本的协议,包含一些原来的设计中没有出现的信息,允许实验人员试验新的想法,避免为那些不常使用的信息分配头部域。选项是变长的,每个选项的第一个字节是一个标识码,它标明了该选项。有的选项后面跟着一个1字节的选项长度域,然后是一个或多个数据字节。Options域被补齐到4字节的倍数。最初的时候定义了5个选项,如图所列:选项说明Security规定了数据报的秘密程度Strictsourcerouting给出了

6、必须要遵循的完整路径Loosesourcerouting给出了一组路由器,路由过程中不能漏掉这些路由器Recordroute让每台路由器都附上它的IP地址Timestamp让每台路由器都附上它的地址和时间戳图5-4上图为Sniffer对IP协议首部的解码分析结构,和IP首部各个字段相对应,并给出了各个字段值所表示含义的英文解释。5.4TCP协议源端口(SourcePort):16位目的端口(DestinationPort):16位序列号(SequenceNumber):32位确认号(AcknowledgementNumber):32位,指定的是下一个期望的字节,而不是已经正确接收的最后一个字节

7、。TCP头长度(TCPheaderlength):4位,指明了TCP头部包含了多少32位的字。接下来是未使用的6位。ACK:表明了Acknowledgementnumber是有效的。PSH:表示这是带有PUSH标志的数据RST:被用于重置一个已经混乱的连接,之所以会混乱,可能是由于主机崩溃,或者其他原因SYN:被用于建立连接的过程FIN:被用于释放一个连接,它表示发送方已经没有数据要传输了Wind

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。