第五章數(shù)據(jù)報文解碼簡析

1、第五章 數(shù)據(jù)報文解碼簡析本章主要對：數(shù)據(jù)報文分層、以太報文結(jié)構(gòu)、IP協(xié)議、ARP協(xié)議、TCP協(xié)議、UDP協(xié)議等的解碼分析做了簡單的描述，目的在于介紹Sniffer軟件在協(xié)議分析中的功能作用并通過解碼分析對協(xié)議進(jìn)一步了解。對其其他協(xié)議讀者可以通過協(xié)議文檔和Sniffer捕獲的報文對比分析。5.1數(shù)據(jù)報文分層如下圖所示，對于四層網(wǎng)絡(luò)結(jié)構(gòu)，其不同層次完成不通功能。每一層次有眾多協(xié)議組成。圖51如上圖所示在Sniffer的解碼表中分別對每一個層次協(xié)議進(jìn)行解碼分析。鏈路層對應(yīng)“DLC”；網(wǎng)絡(luò)層對應(yīng)“IP”；傳輸層對應(yīng)“TCP/UDP”；應(yīng)用層對對應(yīng)的是“HTTP”等高層協(xié)議。Sniffer可以針對眾多協(xié)

2、議進(jìn)行詳細(xì)結(jié)構(gòu)化解碼分析。并利用樹形結(jié)構(gòu)良好的表現(xiàn)出來。5.2以太報文結(jié)構(gòu)EthernetII以太網(wǎng)幀結(jié)構(gòu)字節(jié)數(shù)712或62或624615000464前導(dǎo)字段幀起始符目的地址源地址長度或類型數(shù)據(jù)填充校驗(yàn)和圖52Sniffer會在捕獲報文的時候自動記錄捕獲的時間，在解碼顯示時顯示出來，在分析問題時提供了很好的時間記錄。源目的MAC地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來，方便定位問題，例如網(wǎng)絡(luò)上2臺設(shè)備IP地址設(shè)置沖突，可以通過解碼翻譯出廠商信息方便的將故障設(shè)備找到，如00e0fc為華為，為Cisco等等。如果需要查看詳細(xì)的MAC地址用鼠標(biāo)在解碼框中點(diǎn)擊此MAC地址，在下面的表格中會突

3、出顯示該地址的16進(jìn)制編碼。IP網(wǎng)絡(luò)來說Ethertype字段承載的時上層協(xié)議的類型主要包括0x800為IP協(xié)議，0x806為ARP協(xié)議。IEEE802.3以太網(wǎng)報文結(jié)構(gòu) 上圖為IEEE802.3SNAP幀結(jié)構(gòu)，與EthernetII不同點(diǎn)是目的和源地址后面的字段代表的不是上層協(xié)議類型而是報文長度。并多了LLC子層。圖5353IP協(xié)議版本：4位IHL域（4位）：指明了該頭部要多長（以32位字的長度為單位）。最小值為5，最大值為15，這限制了頭部的最大為60字節(jié)。服務(wù)類型（TYPE OF Service 6位）總長度（Total Length）域（16位）：包含了該數(shù)據(jù)包中的所有內(nèi)容，即頭和數(shù)據(jù)

4、最大長度65535字節(jié)。標(biāo)識（Identification）16位：讓目標(biāo)主機(jī)確定一個新到達(dá)的分段屬于哪一個數(shù)據(jù)報，同一個數(shù)據(jù)報的所有分段包含同樣的Identification值接下來是一個未使用的位。DF（1位）：不分段MF（1位）：更多的分段分段偏移（Fragment offset）:13位，指明了該分段在當(dāng)前數(shù)據(jù)報中的什么位置。TTL（Time to live）：8位，一個用于限制分組生存期的計數(shù)器，計數(shù)單位為秒，最大生存期為255秒?yún)f(xié)議（Protocol）：8位，指明了該將它交給哪個傳輸進(jìn)程TCP/UDP頭部校驗(yàn)和（Header checksum）：16位，只校驗(yàn)頭部，這樣的校驗(yàn)和對于

5、檢測“因路由器中的壞內(nèi)存而產(chǎn)生的錯誤”非常有用源地址（Source address）：32位目的地址（Destination address）：32位選項(xiàng)（Options）：設(shè)計意圖是提供一種途徑，允許后續(xù)版本的協(xié)議，包含一些原來的設(shè)計中沒有出現(xiàn)的信息，允許實(shí)驗(yàn)人員試驗(yàn)新的想法，避免為那些不常使用的信息分配頭部域。選項(xiàng)是變長的，每個選項(xiàng)的第一個字節(jié)是一個標(biāo)識碼，它標(biāo)明了該選項(xiàng)。有的選項(xiàng)后面跟著一個1字節(jié)的選項(xiàng)長度域，然后是一個或多個數(shù)據(jù)字節(jié)。Options域被補(bǔ)齊到4字節(jié)的倍數(shù)。最初的時候定義了5個選項(xiàng)，如圖所列：選項(xiàng)說明Security規(guī)定了數(shù)據(jù)報的秘密程度Strict source rou

6、ting給出了必須要遵循的完整路徑Loose source routing給出了一組路由器，路由過程中不能漏掉這些路由器Record route讓每臺路由器都附上它的IP地址Timestamp讓每臺路由器都附上它的地址和時間戳圖54上圖為Sniffer對IP協(xié)議首部的解碼分析結(jié)構(gòu)，和IP首部各個字段相對應(yīng)，并給出了各個字段值所表示含義的英文解釋。54 TCP協(xié)議源端口（Source Port）：16位目的端口（Destination Port）：16位序列號（Sequence Number）：32位確認(rèn)號（Acknowledgement Number）：32位，指定的是下一個期望的字節(jié)，而不是

7、已經(jīng)正確接收的最后一個字節(jié)。TCP頭長度(TCP header length):4位，指明了TCP頭部包含了多少32位的字。接下來是未使用的6位。ACK：表明了Acknowledgement number是有效的。PSH：表示這是帶有PUSH標(biāo)志的數(shù)據(jù)RST：被用于重置一個已經(jīng)混亂的連接，之所以會混亂，可能是由于主機(jī)崩潰，或者其他原因SYN：被用于建立連接的過程FIN：被用于釋放一個連接，它表示發(fā)送方已經(jīng)沒有數(shù)據(jù)要傳輸了Windows Size（窗口大?。?6位，TCP中的流控制是通過一個可變大小的滑動窗口來完成的，窗口大小域指定了從被確認(rèn)的字節(jié)算起，可以發(fā)送多少個字節(jié)Checksum（校驗(yàn)

8、和）：16位，提供了額外的可靠性，它的校驗(yàn)范圍包括頭部數(shù)據(jù)以及概念性的偽頭部圖555.5 UDP協(xié)議版本域（Version）：2位P位：表示該分組已被填充到4字節(jié)的倍數(shù)CC域：4位，指明了后面共有多少個分信源（contributing source），可以從0到15。M位是一個與應(yīng)用相關(guān)的標(biāo)記位，它可以被用來標(biāo)記一個視頻幀的開始。音頻信道中一個字的開始，或者其他由應(yīng)用來理解的某一件事情，凈荷類型（Payload Type）：7位，指出該分組使用了哪一種編碼算法，序列號（Sequence Number）：16位，是一個計數(shù)器，在每個被發(fā)送出去的RTP分組中該計數(shù)器都要遞增。時間戳：32位，是由R

9、TP流的源產(chǎn)生的，它注明了該分組中的第一個樣本是什么時候產(chǎn)生的。同步源標(biāo)識符（Synchronization source identifier）：32位,指明了該分組屬于哪一個流。分信源標(biāo)識符（Contributing source identifier）：在媒體制作過程中使用了混合器的話被使用。5.6 ARP協(xié)議HTYPE（硬件類型）。16位，用來定義運(yùn)行ARP的網(wǎng)絡(luò)的類型。每一個局域網(wǎng)基于其類型被指派給一個整數(shù)。例如，以太網(wǎng)是類型1。ARP可使用在任何網(wǎng)絡(luò)上。PTYPE（協(xié)議類型）。16位，用來定義協(xié)議的類型。例如，對IPv4協(xié)議，這個字段的值是0800。ARP可用于任何高層協(xié)議。HLEN（硬件長度）。8位，用來定義以字節(jié)為單位的物理地址的長度。例如，對以太網(wǎng)這個值是6。PLEN（協(xié)議長度）。8位，用來定義以字節(jié)為單位的邏輯地址的長度。例如，對IPv4協(xié)議這個值是4。OPER（操作）。16位，用來定義分組的類型。已定義了兩種類型：ARP請求（1），ARP回答（2）。SHA（發(fā)送站硬件地址）。這是一個可變長度字段，用來定義發(fā)送站的物理地址的長度。例如，對以太網(wǎng)這個字段是6字節(jié)長。SPA（發(fā)送站協(xié)議地址）。這是一個可變長度字段，用來定義發(fā)送站的邏輯（例如，IP）地址的長度。對于IP協(xié)議，這個字段是4字節(jié)長。