以太網(wǎng)常用抓包工具介紹

1、RTUB_105_C1 以太網(wǎng)常用抓包工具介紹課程目標(biāo)：l 課程目標(biāo)1：了解常見(jiàn)抓包軟件l 課程目標(biāo)2：掌握根據(jù)需要選擇使用抓包軟件并分析報(bào)文目 錄第1章 以太網(wǎng)常用抓包工具介紹1-11.1 摘要1-11.2 簡(jiǎn)介1-11.3 抓包工具介紹1-21.4 Sniffer使用教程1-2 概述1-2 功能簡(jiǎn)介1-2 報(bào)文捕獲解析1-4 設(shè)置捕獲條件1-7 報(bào)文放送1-9 網(wǎng)絡(luò)監(jiān)視功能1-11 數(shù)據(jù)報(bào)文解碼詳解1-131.5 ethreal的使用方法1-261.5.1 ethreal使用入門(mén)1-261.5.2 ethereal使用capture選項(xiàng)1-271.5.3 ethereal的抓包過(guò)濾器1-2

2、81.6 EtherPeekNX1-32 過(guò)濾條件設(shè)置1-32 設(shè)置多個(gè)過(guò)濾條件1-37 保存數(shù)據(jù)包1-41 分析數(shù)據(jù)包1-43 擴(kuò)展功能1-1 簡(jiǎn)單分析問(wèn)題的功能1-4 部分解碼功能1-8 案例1-11.7 SpyNet1-1 使用簡(jiǎn)介1-1 使用步驟：1-1第1章 以太網(wǎng)常用抓包工具介紹& 知識(shí)點(diǎn)l 了解常用抓包軟件l 熟悉根據(jù)需要選擇抓包軟件并分析報(bào)文1.1 摘要在處理IP網(wǎng)絡(luò)的故障時(shí)，經(jīng)常使用以太網(wǎng)抓包工具來(lái)查看和抓取IP網(wǎng)絡(luò)上某些端口或某些網(wǎng)段的數(shù)據(jù)包，并對(duì)這些數(shù)據(jù)包進(jìn)行分析，定位問(wèn)題。本章簡(jiǎn)要介紹幾個(gè)常用抓包工具及應(yīng)用。1.2 簡(jiǎn)介目前在增值業(yè)務(wù)產(chǎn)品中，網(wǎng)關(guān)側(cè)使用的協(xié)議均是

3、基于TCP/IP的，例如SGIP（聯(lián)通網(wǎng)關(guān)協(xié)議）、CMPP（移動(dòng)網(wǎng)關(guān)協(xié)議）、SMPP（short message peer to peer，點(diǎn)對(duì)點(diǎn)的短信服務(wù)）、營(yíng)帳協(xié)議等等。有時(shí)需要直接抓取TCP層的數(shù)據(jù)包進(jìn)行分析，定位問(wèn)題。對(duì)于基于TCP/IP的協(xié)議，其應(yīng)用都在TCP層之上，因此上層協(xié)議的定義都是在Application Layer中，只要抓取TCP數(shù)據(jù)包，對(duì)Application Layer中的Data Area對(duì)照相應(yīng)的協(xié)議進(jìn)行分析，就能判斷問(wèn)題所在。抓包工具的特點(diǎn)如下：l通用性良好。抓包工具可以針對(duì)所有基于TCP/IP的協(xié)議，抓取數(shù)據(jù)包后自行進(jìn)行分析。l抓取的是TCP/IP中的TCP數(shù)

4、據(jù)包。TCP數(shù)據(jù)包能夠真實(shí)反映網(wǎng)絡(luò)中的狀態(tài)以及問(wèn)題的原因。通過(guò)抓包工具的使用，可以判斷定位許多問(wèn)題，抓包工具本身具有簡(jiǎn)單的查找，解碼等功能，如果靈活運(yùn)用，對(duì)于分析解決問(wèn)題，是很有幫助的。但是，抓包工具也不是萬(wàn)能的，最終問(wèn)題的解決仍然需要使用者對(duì)業(yè)務(wù)流程，對(duì)相關(guān)的協(xié)議有足夠的理解和掌握。另外，抓包工具本身需要占用系統(tǒng)資源，類(lèi)似于全用戶(hù)跟蹤，不能長(zhǎng)時(shí)間使用。1.3 抓包工具介紹常見(jiàn)的以太網(wǎng)抓包工具有幾種，分別是Sniffer，PacketGrabber、EtherPeekNX、Ethereal，SpyNet。lPacketGrabber，只能抓取數(shù)據(jù)包，無(wú)法查看解碼數(shù)據(jù)包。lEtherPeekNX

5、、Ethereal，可以抓取數(shù)據(jù)包，也可以查看解碼數(shù)據(jù)包。lEthereal、Sniffer，功能強(qiáng)大的抓包軟件，幾乎包攬了現(xiàn)有的絕大部分協(xié)議，有Unix版本，也有Windows版本?？梢宰ト?shù)據(jù)包、查看數(shù)據(jù)包和解碼數(shù)據(jù)包。l SpyNet：功能不象Sniffer那么強(qiáng)大，但使用起來(lái)很簡(jiǎn)單的抓包軟件下面我們?cè)敿?xì)介紹一下Sniffer、Ethereal、EtherPeekNX、SpyNet這四款軟件的使用方法。1.4 Sniffer使用教程1.4.1 概述Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。本文針對(duì)用Sniffer Pro網(wǎng)絡(luò)分析器進(jìn)行故障解決。利用Sniffer Pro

6、 網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征，解決網(wǎng)絡(luò)問(wèn)題，將介紹一套合理的故障解決方法。與Netxray比較，Sniffer支持的協(xié)議更豐富，例如PPPOE協(xié)議等在Netxray并不支持，在Sniffer上能夠進(jìn)行快速解碼分析。Netxray不能在Windows 2000和Windows XP上正常運(yùn)行，Sniffer Pro 4.6可以運(yùn)行在各種Windows平臺(tái)上。Sniffer軟件比較大，運(yùn)行時(shí)需要的計(jì)算機(jī)內(nèi)存比較大，否則運(yùn)行比較慢，這也是它與Netxray相比的一個(gè)缺點(diǎn)。1.4.2 功能簡(jiǎn)介下面列出了Sniffer軟件的一些功能介紹，其功能的詳細(xì)介紹可以參考Sniffer的在線(xiàn)幫助。 捕獲網(wǎng)絡(luò)流量進(jìn)

7、行詳細(xì)分析利用專(zhuān)家分析系統(tǒng)診斷問(wèn)題實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)收集網(wǎng)絡(luò)利用率和錯(cuò)誤等在進(jìn)行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。位置：File->select settings選擇網(wǎng)絡(luò)適配器后才能正常工作。該軟件安裝在Windows 98操作系統(tǒng)上，Sniffer可以選擇撥號(hào)適配器對(duì)窄帶撥號(hào)進(jìn)行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網(wǎng)卡。對(duì)于安裝在Windows 2000/XP上則無(wú)上述功能，這和操作系統(tǒng)有關(guān)。 本文將對(duì)報(bào)文的捕獲幾網(wǎng)絡(luò)性能監(jiān)視等功能進(jìn)行詳細(xì)的介紹。下圖為在軟件中快捷鍵的位置。1.4.3  報(bào)文捕

8、獲解析 捕獲面板報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)行完成，如下是捕獲面板的功能圖：圖中顯示的是處于開(kāi)始狀態(tài)的面板 捕獲過(guò)程報(bào)文統(tǒng)計(jì)在捕獲過(guò)程中可以通過(guò)查看下面面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率。 捕獲報(bào)文查看Sniffer軟件提供了強(qiáng)大的分析能力和解碼功能。如下圖所示，對(duì)于捕獲的報(bào)文提供了一個(gè)Expert專(zhuān)家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。l 專(zhuān)家分析專(zhuān)家分分析系統(tǒng)提供了一個(gè)只能的分析平臺(tái)，對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析對(duì)于分析出的診斷結(jié)果可以查看在線(xiàn)幫助獲得。在下圖中顯示出在網(wǎng)絡(luò)中WINS查詢(xún)失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等

9、內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄可以查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解起產(chǎn)生的原因。l 解碼分析下圖是對(duì)捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，目前大部分此類(lèi)軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對(duì)于解碼主要要求分析人員對(duì)協(xié)議比較熟悉，這樣才能看懂解析出來(lái)的報(bào)文。使用該軟件是很簡(jiǎn)單的事情，要能夠利用軟件解碼分析來(lái)解決問(wèn)題關(guān)鍵是要對(duì)各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里不對(duì)協(xié)議進(jìn)行過(guò)多講解，請(qǐng)參閱其他相關(guān)資料。對(duì)于MAC地址，Snffier軟件進(jìn)行了頭部的替換，如00e0fc開(kāi)頭的就

10、替換成Huawei，這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。功能是按照過(guò)濾器設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為 Capture->Define Filter和Display->Define Filter。過(guò)濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選。l 統(tǒng)計(jì)分析對(duì)于Matrix，Host Table，Portocol Dist. Statistics等提供了豐富的按照地址，協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計(jì)，比較簡(jiǎn)單，可以通過(guò)操作很快掌握這里就不再詳細(xì)介紹了。1.4.4 設(shè)置捕獲條件 基本捕獲條件基本的捕獲條件有兩種：1、鏈路層捕獲，

11、按源MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入，如：00E0FC123456。2、IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：。如果選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉。 高級(jí)捕獲條件在“Advance”頁(yè)面下，你可以編輯你的協(xié)議捕獲條件，如圖：高級(jí)捕獲條件編輯圖在協(xié)議選擇樹(shù)中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長(zhǎng)度條件下，你可以捕獲，等于、小于、大于某個(gè)值的報(bào)文。在錯(cuò)誤幀是否捕獲欄，你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕“Profiles”，你可以將你當(dāng)前設(shè)置

12、的過(guò)濾規(guī)則，進(jìn)行保存，在捕獲主面板中，你可以選擇你保存的捕獲條件。 任意捕獲條件在Data Pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實(shí)現(xiàn)復(fù)雜的報(bào)文過(guò)濾，但很多時(shí)候是得不償失，有時(shí)截獲的報(bào)文本就不多，還不如自己看看來(lái)得快。1.4.5 報(bào)文放送 編輯報(bào)文發(fā)送Sniffer軟件報(bào)文發(fā)送功能就比較弱，如下是發(fā)送的主面板圖：發(fā)送前，你需要先編輯報(bào)文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報(bào)文編輯按鈕?？傻玫饺缦碌膱?bào)文編輯窗口：首先要指定數(shù)據(jù)幀發(fā)送的長(zhǎng)度，然后從鏈路層開(kāi)始，一個(gè)一個(gè)將報(bào)文填充完成，如果是NetXray支持可以解析的協(xié)議，從“Decode”頁(yè)面中，可看見(jiàn)解析后

13、的直觀表示。 捕獲編輯報(bào)文發(fā)送將捕獲到的報(bào)文直接轉(zhuǎn)換成發(fā)送報(bào)文，然后修修改改可也。如下是一個(gè)捕獲報(bào)文后的報(bào)文查看窗口：選中某個(gè)捕獲的報(bào)文，用鼠標(biāo)右鍵激活菜單，選擇“Send Current Packet”，這時(shí)你就會(huì)發(fā)現(xiàn)，該報(bào)文的內(nèi)容已經(jīng)被原封不動(dòng)的送到“發(fā)送編輯窗口”中了。這時(shí)，你在修修改改，就比你全部填充報(bào)文省事多了。發(fā)送模式有兩種：連續(xù)發(fā)送和定量發(fā)送?？梢栽O(shè)置發(fā)送間隔，如果為0，則以最快的速度進(jìn)行發(fā)送。1.4.6 網(wǎng)絡(luò)監(jiān)視功能網(wǎng)絡(luò)監(jiān)視功能能夠時(shí)刻監(jiān)視網(wǎng)絡(luò)統(tǒng)計(jì)，網(wǎng)絡(luò)上資源的利用率，并能夠監(jiān)視網(wǎng)絡(luò)流量的異常狀況，這里只介紹一下Dashbord和ART，其他功能可以參看在線(xiàn)幫助，

14、或直接使用即可，比較簡(jiǎn)單。 Application Response Time (ART)：Application Response Time (ART) 是可以監(jiān)視TCP/UDP應(yīng)用層程序在客戶(hù)端和服務(wù)器響應(yīng)時(shí)間，如HTTP,FTP,DNS等應(yīng)用。對(duì)與TCP/UDP響應(yīng)時(shí)間的計(jì)算方法如下TCP For each socket, ART stores the sequence numbers for packets sent by the client and waits for the corresponding ACK packets from the server. It

15、then measures the time difference between the packet with the stored sequence number and the packet with the ACK to arrive at the response time.UDP For each socket, ART measures the time between packets going from a client to a server and the next packet going from the server to the client.1.4.7 數(shù)據(jù)報(bào)

16、文解碼詳解本章主要對(duì)：數(shù)據(jù)報(bào)文分層、以太報(bào)文結(jié)構(gòu)、IP協(xié)議、ARP協(xié)議、PPPOE協(xié)議、Radius協(xié)議等的解碼分析做了簡(jiǎn)單的描述，目的在于介紹Sniffer軟件在協(xié)議分析中的功能作用并通過(guò)解碼分析對(duì)協(xié)議進(jìn)一步了解。對(duì)其其他協(xié)議讀者可以通過(guò)協(xié)議文檔和Sniffer捕獲的報(bào)文對(duì)比分析。 數(shù)據(jù)報(bào)文分層如下圖所示，對(duì)于四層網(wǎng)絡(luò)結(jié)構(gòu)，其不同層次完成不通功能。每一層次有眾多協(xié)議組成。如上圖所示在Sniffer的解碼表中分別對(duì)每一個(gè)層次協(xié)議進(jìn)行解碼分析。鏈路層對(duì)應(yīng)“DLC”；網(wǎng)絡(luò)層對(duì)應(yīng)“IP”；傳輸層對(duì)應(yīng)“UDP”；應(yīng)用層對(duì)對(duì)應(yīng)的是“NETB”等高層協(xié)議。Sniffer可以針對(duì)眾多協(xié)議進(jìn)行詳

17、細(xì)結(jié)構(gòu)化解碼分析。并利用樹(shù)形結(jié)構(gòu)良好的表現(xiàn)出來(lái)。 以太報(bào)文結(jié)構(gòu)EthernetII以太網(wǎng)幀結(jié)構(gòu)Ethernet_II以太網(wǎng)幀類(lèi)型報(bào)文結(jié)構(gòu)為：目的MAC地址（6bytes）源MAC地址（6bytes）上層協(xié)議類(lèi)型（2bytes）數(shù)據(jù)字段（46-1500bytes)校驗(yàn)（4bytes）。Sniffer會(huì)在捕獲報(bào)文的時(shí)候自動(dòng)記錄捕獲的時(shí)間，在解碼顯示時(shí)顯示出來(lái)，在分析問(wèn)題時(shí)提供了很好的時(shí)間記錄。源目的MAC地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來(lái)，方便定位問(wèn)題，例如網(wǎng)絡(luò)上2臺(tái)設(shè)備IP地址設(shè)置沖突，可以通過(guò)解碼翻譯出廠商信息方便的將故障設(shè)備找到，如00e0fc為華為，01004

18、2為Cisco等等。如果需要查看詳細(xì)的MAC地址用鼠標(biāo)在解碼框中點(diǎn)擊此MAC地址，在下面的表格中會(huì)突出顯示該地址的16進(jìn)制編碼。IP網(wǎng)絡(luò)來(lái)說(shuō)Ethertype字段承載的時(shí)上層協(xié)議的類(lèi)型主要包括0x800為IP協(xié)議，0x806為ARP協(xié)議。IEEE802.3以太網(wǎng)報(bào)文結(jié)構(gòu)上圖為IEEE802.3SNAP幀結(jié)構(gòu)，與EthernetII不通點(diǎn)是目的和源地址后面的字段代表的不是上層協(xié)議類(lèi)型而是報(bào)文長(zhǎng)度。并多了LLC子層。 IP協(xié)議IP報(bào)文結(jié)構(gòu)為IP協(xié)議頭載荷，其中對(duì)IP協(xié)議頭部的分析，時(shí)分析IP報(bào)文的主要內(nèi)容之一，關(guān)于IP報(bào)文詳細(xì)信息請(qǐng)參考相關(guān)資料。這里給出了IP協(xié)議頭部的一個(gè)結(jié)構(gòu)。版本

19、：4IPv4首部長(zhǎng)度：?jiǎn)挝粸?字節(jié)，最大60字節(jié)TOS：IP優(yōu)先級(jí)字段總長(zhǎng)度：?jiǎn)挝蛔止?jié)，最大65535字節(jié)標(biāo)識(shí)：IP報(bào)文標(biāo)識(shí)字段標(biāo)志：占3比特，只用到低位的兩個(gè)比特 MF（More Fragment） MF=1，后面還有分片的數(shù)據(jù)包 MF=0，分片數(shù)據(jù)包的最后一個(gè) DF（Don't Fragment）DF=1，不允許分片 DF=0，允許分片段偏移：分片后的分組在原分組中的相對(duì)位置，總共13比特，單位為8字節(jié)壽命：TTL（Time To Live）丟棄TTL=0的報(bào)文協(xié)議：攜帶的是何種協(xié)議報(bào)文 1 ：ICMP 6 ：TCP 17：UDP 89：OSPF頭部檢驗(yàn)和：對(duì)IP協(xié)議首部的校驗(yàn)和源

20、IP地址：IP報(bào)文的源地址目的IP地址：IP報(bào)文的目的地址上圖為Sniffer對(duì)IP協(xié)議首部的解碼分析結(jié)構(gòu)，和IP首部各個(gè)字段相對(duì)應(yīng)，并給出了各個(gè)字段值所表示含義的英文解釋。如上圖報(bào)文協(xié)議（Protocol）字段的編碼為0x11，通過(guò)Sniffer解碼分析轉(zhuǎn)換為十進(jìn)制的17，代表UDP協(xié)議。其他字段的解碼含義可以與此類(lèi)似，只要對(duì)協(xié)議理解的比較清楚對(duì)解碼內(nèi)容的理解將會(huì)變的很容易。 ARP協(xié)議以下為ARP報(bào)文結(jié)構(gòu)ARP分組具有如下的一些字段：HTYPE（硬件類(lèi)型）。這是一個(gè)16比特字段，用來(lái)定義運(yùn)行ARP的網(wǎng)絡(luò)的類(lèi)型。每一個(gè)局域網(wǎng)基于其類(lèi)型被指派給一個(gè)整數(shù)。例如，以太網(wǎng)是類(lèi)型1。AR

21、P可使用在任何網(wǎng)絡(luò)上。PTYPE（協(xié)議類(lèi)型）。這是一個(gè)16比特字段，用來(lái)定義協(xié)議的類(lèi)型。例如，對(duì)IPv4協(xié)議，這個(gè)字段的值是0800。ARP可用于任何高層協(xié)議。HLEN（硬件長(zhǎng)度）。這是一個(gè)8比特字段，用來(lái)定義以字節(jié)為單位的物理地址的長(zhǎng)度。例如，對(duì)以太網(wǎng)這個(gè)值是6。PLEN（協(xié)議長(zhǎng)度）。這是一個(gè)8比特字段，用來(lái)定義以字節(jié)為單位的邏輯地址的長(zhǎng)度。例如，對(duì)IPv4協(xié)議這個(gè)值是4。OPER（操作）。這是一個(gè)16比特字段，用來(lái)定義分組的類(lèi)型。已定義了兩種類(lèi)型：ARP請(qǐng)求（1），ARP回答（2）。SHA（發(fā)送站硬件地址）。這是一個(gè)可變長(zhǎng)度字段，用來(lái)定義發(fā)送站的物理地址的長(zhǎng)度。例如，對(duì)以太網(wǎng)這個(gè)字段是6字

22、節(jié)長(zhǎng)。SPA（發(fā)送站協(xié)議地址）。這是一個(gè)可變長(zhǎng)度字段，用來(lái)定義發(fā)送站的邏輯（例如，IP）地址的長(zhǎng)度。對(duì)于IP協(xié)議，這個(gè)字段是4字節(jié)長(zhǎng)。THA（目標(biāo)硬件地址）。這是一個(gè)可變長(zhǎng)度字段，用來(lái)定義目標(biāo)的物理地址的長(zhǎng)度。例如，對(duì)以太網(wǎng)這個(gè)字段是6字節(jié)長(zhǎng)。對(duì)于ARP請(qǐng)求報(bào)文，這個(gè)字段是全0，因?yàn)榘l(fā)送站不知道目標(biāo)的物理地址。TPA（目標(biāo)協(xié)議地址）。這是一個(gè)可變長(zhǎng)度字段，用來(lái)定義目標(biāo)的邏輯地址（例如，IP地址）的長(zhǎng)度。對(duì)于IPv4協(xié)議，這個(gè)字段是4字節(jié)長(zhǎng)。上面為通過(guò)Sniffer解碼的ARP請(qǐng)求和應(yīng)答報(bào)文的結(jié)構(gòu)。 PPPOE協(xié)議PPPOE簡(jiǎn)介簡(jiǎn)單來(lái)說(shuō)我們可能把PPPOE報(bào)文分成兩大塊，一大塊是P

23、PPOE的數(shù)據(jù)報(bào)頭，另一塊則是PPPOE的凈載荷（數(shù)據(jù)域），對(duì)于PPPOE報(bào)文數(shù)據(jù)域中的內(nèi)容會(huì)隨著會(huì)話(huà)過(guò)程的進(jìn)行而不斷改變。下圖為PPPOE的報(bào)文的格式： 數(shù)據(jù)報(bào)文最開(kāi)始的4位為版本域，協(xié)議中給出了明確的規(guī)定，這個(gè)域的內(nèi)容填充0x01。 緊接在版本域后的4位是類(lèi)型域，協(xié)議中同樣規(guī)定，這個(gè)域的內(nèi)容填充為0x01。 代碼域占用1個(gè)字節(jié)，對(duì)于PPPOE 的不同階段這個(gè)域內(nèi)的內(nèi)容也是不一樣的。 會(huì)話(huà)ID點(diǎn)用2個(gè)字節(jié)，當(dāng)訪問(wèn)集中器還未分配唯一的會(huì)話(huà)ID給用戶(hù)主機(jī)的話(huà)，則該域內(nèi)的內(nèi)容必須填充為0x0000，一旦主機(jī)獲取了會(huì)話(huà)ID后，那么在后續(xù)的所有報(bào)文中該域必須填充那個(gè)唯一的會(huì)話(huà)ID值。 長(zhǎng)度域?yàn)?個(gè)字節(jié)

24、，用來(lái)指示PPPOE數(shù)據(jù)報(bào)文中凈載荷的長(zhǎng)度。 數(shù)據(jù)域，有時(shí)也稱(chēng)之為凈載荷域，在PPPOE的不同階段該域內(nèi)的數(shù)據(jù)內(nèi)容會(huì)有很大的不同。在PPPOE的發(fā)現(xiàn)階段時(shí)，該域內(nèi)會(huì)填充一些Tag（標(biāo)記）；而在PPPOE的會(huì)話(huà)階段，該域則攜帶的是PPP的報(bào)文。捕獲報(bào)文測(cè)試用例圖如圖所示，Radius Server IP地址為。PPPOE用戶(hù)Radius報(bào)文交互過(guò)程分析如下。上圖為PPPOE從發(fā)現(xiàn)階段到PPP LCP協(xié)商，認(rèn)證IPCP協(xié)商階段和PPPOE會(huì)話(huà)階段交互過(guò)程。PPPOE發(fā)現(xiàn)階段，PADI報(bào)文，Sniffer解碼結(jié)構(gòu)如下所示。PPPOE會(huì)話(huà)階段，Sniffer解碼結(jié)構(gòu)如下所示。 Radiu

25、s協(xié)議Radius報(bào)文簡(jiǎn)介標(biāo)準(zhǔn)Radius協(xié)議包結(jié)構(gòu)圖9 Radius包格式Code：包類(lèi)型；1字節(jié)；指示RADIUS包的類(lèi)型。 1 Access- request 認(rèn)證請(qǐng)求 2 Access- accept 認(rèn)證響應(yīng) 3 Access- reject 認(rèn)證拒絕4 Accounting-request 計(jì)費(fèi)請(qǐng)求 5 Accounting-response 計(jì)費(fèi)響應(yīng) *11 Access-challenge 認(rèn)證挑戰(zhàn)Identifier： 包標(biāo)識(shí)；1字節(jié)，取值范圍為0 255；用于匹配請(qǐng)求包和響應(yīng)包，同一組請(qǐng)求包和響應(yīng)包的Identifier應(yīng)相同。Length： 包長(zhǎng)度；2字節(jié)；整個(gè)包中所有域

26、的長(zhǎng)度。Authenticator：16 字節(jié)長(zhǎng)；用于驗(yàn)證RADIUS服務(wù)器傳回來(lái)的請(qǐng)求以及密碼隱藏算法上。該驗(yàn)證字分為兩種： 1、請(qǐng)求驗(yàn)證字-Request Authenticator 用在請(qǐng)求報(bào)文中,必須為全局唯一的隨機(jī)值。 2、響應(yīng)驗(yàn)證字-Response Authenticator 用在響應(yīng)報(bào)文中，用于鑒別響應(yīng)報(bào)文的合法性。 響應(yīng)驗(yàn)證字MD5(Code+ID+Length+請(qǐng)求驗(yàn)證字+Attributes+Key)Attributes：屬性圖10 屬性格式屬性域是TLV結(jié)構(gòu)編碼。測(cè)試用例圖下圖為用戶(hù)端PPPOE，Radius Server和BAS交互的認(rèn)證上線(xiàn)和下線(xiàn)的過(guò)程。報(bào)文1：BA

27、S請(qǐng)求Radius Server認(rèn)證報(bào)文。報(bào)文2：Radius Server回應(yīng)BAS認(rèn)證通過(guò)報(bào)文。報(bào)文3：BAS計(jì)費(fèi)請(qǐng)求報(bào)文。報(bào)文4：Radius Server計(jì)費(fèi)響應(yīng)報(bào)文。報(bào)文5：BAS計(jì)費(fèi)結(jié)束報(bào)文。報(bào)文6：Radius Server計(jì)費(fèi)結(jié)束響應(yīng)報(bào)文。從中可以看出對(duì)于報(bào)文請(qǐng)求和響應(yīng)是通過(guò)IP地址+Radius 協(xié)議域中ID號(hào)進(jìn)行配對(duì)識(shí)別的。上圖顯示了BAS發(fā)起的Radius認(rèn)證請(qǐng)求（Code1）報(bào)文的結(jié)構(gòu)。Radius報(bào)文是承載在UPD協(xié)議之上的，這里我沒(méi)不關(guān)注上層報(bào)文的結(jié)構(gòu)。下圖為PPPOE CHAP認(rèn)證過(guò)程的Radius認(rèn)證請(qǐng)求報(bào)文和PPPOE中CHAP認(rèn)證的Challenge報(bào)文。通

28、過(guò)比較可以方便看出BAS發(fā)出的Challenge值為“26fe8768341de68a72a1276771e1c1ca”與PPPOE中CHAP認(rèn)證過(guò)程中BAS發(fā)給PPPOE用戶(hù)的Challenge值是一致的。下圖為PPPOE用戶(hù)發(fā)為BAS的經(jīng)過(guò)CHAP加密后的用戶(hù)密碼和BAS發(fā)給Radius Server中認(rèn)證請(qǐng)求報(bào)文用戶(hù)秘密屬性域的比較?？梢钥闯鲈赗adius 認(rèn)證過(guò)程中，BAS設(shè)備將Challenge屬性和用戶(hù)加密后的密碼發(fā)給Radius進(jìn)行驗(yàn)證。通過(guò)比較可以清楚了解協(xié)議各字段含義相互關(guān)系，為問(wèn)題處理提供有效的手段。下面為PPPOE用戶(hù)Radius認(rèn)證的Sniffer捕獲的報(bào)文。1.5 e

29、threal的使用方法1.5.1 ethreal使用入門(mén)ethreal可以用來(lái)從網(wǎng)絡(luò)上抓包，并能對(duì)包進(jìn)行分析。下面介紹windows下面ethereal的使用方法 安裝1）安裝winpcap，下載地址2）安裝ethreal，下載地址 使用windows程序，使用很簡(jiǎn)單。啟動(dòng)ethreal以后，選擇菜單Capature->Start，就OK了。當(dāng)你不想抓的時(shí)候，按一下stop，抓的包就會(huì)顯示在面板中，并且已經(jīng)分析好了。下面是一個(gè)截圖：1.5.2 ethereal使用capture選項(xiàng)Interface: 指定在哪個(gè)接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使

30、用缺省的就可以了Limit each packet:限制每個(gè)包的大小，缺省情況不限制Capture packets in promiscuous mode:是否打開(kāi)混雜模式。如果打開(kāi)，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽(tīng)本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。Filter：過(guò)濾器。只抓取滿(mǎn)足過(guò)濾規(guī)則的包（可暫時(shí)略過(guò)）File：如果需要將抓到的包寫(xiě)到文件中，在這里輸入文件名稱(chēng)。usering buffer：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。注意，循環(huán)緩沖只有在寫(xiě)文件的時(shí)候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時(shí)回卷，其他的項(xiàng)選擇缺省的就可以了。1.5.3

31、ethereal的抓包過(guò)濾器抓包過(guò)濾器用來(lái)抓取感興趣的包，用在抓包過(guò)程中。抓包過(guò)濾器使用的是libcap過(guò)濾器語(yǔ)言，在tcpdump的手冊(cè)中有詳細(xì)的解釋?zhuān)窘Y(jié)構(gòu)是：not primitive and|or not primitive .個(gè)人觀點(diǎn)，如果你想抓取某些特定的數(shù)據(jù)包時(shí)，可以有以下兩種方法，你可以任選一種，個(gè)人比較偏好第二種方式：1、在抓包的時(shí)候，就先定義好抓包過(guò)濾器，這樣結(jié)果就是只抓到你設(shè)定好的那些類(lèi)型的數(shù)據(jù)包；2、先不管三七二十一，把本機(jī)收到或者發(fā)出的包一股腦的抓下來(lái)，然后使用下節(jié)介紹的顯示過(guò)濾器，只讓Ethereal顯示那些你想要的那些類(lèi)型的數(shù)據(jù)包； etheral

32、的顯示過(guò)濾器（重點(diǎn)內(nèi)容）在抓包完成以后，顯示過(guò)濾器可以用來(lái)找到你感興趣的包，可以根據(jù)1)協(xié)議2)是否存在某個(gè)域3)域值4)域值之間的比較來(lái)查找你感興趣的包。舉個(gè)例子，如果你只想查看使用tcp協(xié)議的包，在ethereal窗口的左下角的Filter中輸入tcp，然后回車(chē)，ethereal就會(huì)只顯示tcp協(xié)議的包。如下圖所示：值比較表達(dá)式可以使用下面的操作符來(lái)構(gòu)造顯示過(guò)濾器自然語(yǔ)言?類(lèi)c表示?舉例eq = ip.addr=.20ne != ip.addr!=.20gt > frame.pkt_len>10lt < frame.pkt_len<10ge >= frame.

33、pkt_len>=10le <= frame.pkt_len<=10表達(dá)式組合可以使用下面的邏輯操作符將表達(dá)式組合起來(lái)自然語(yǔ)言?類(lèi)c表示?舉例and && 邏輯與，比如ip.addr=or | 邏輯或，比如ip.addr=xor 異或，如tr.dst0:3 = xor tr.src0:3 =not ! 邏輯非，如 !llc例如：我想抓取IP地址是0的主機(jī)，它所接收收或發(fā)送的所有的HTTP報(bào)文，那么合適的顯示Filter（過(guò)濾器）就是：請(qǐng)記住一個(gè)訣竅：只要在Filter的背景是綠色，就證明你設(shè)定的Filter是合乎規(guī)定的，但是當(dāng)背景是紅色時(shí)

34、，就說(shuō)明你設(shè)定的Filter是Ethereal不允許的，是不對(duì)的。如：所有的過(guò)濾器（Filter）都可以在Filter旁邊的Expression中選取。大家可以多鉆研鉆研。定有收獲。 在ethereal使用協(xié)議插件ethereal能夠支持許多協(xié)議，但有些協(xié)議需要安裝插件以后才能解，比如H.323下載完了以后將文件(h323.dll)解壓到ethereal安裝目錄的plugin0.9.x目錄下面，比如我的是然后，需要進(jìn)行一下設(shè)置1)啟動(dòng)ethereal2)菜單Edit->Preference3)單擊Protocols前面的"+"號(hào)，展開(kāi)Protocols4

35、)找到Q931，并單擊5)確保"Desegment. TCP segments"是選中的（即方框被按下去）6)單擊TCP7)確保"Allow.TCP streams"是選中的8)確保沒(méi)有選中"Check.TCP checksum"和"Use.sequence numbers"9)單擊TPKT10)確保"Desegment.TCP segments"是選中的11)點(diǎn)擊Save，然后點(diǎn)擊Apply，然后點(diǎn)擊OK你也完全可以不斷地重新安裝新版本winpcap和ethreal，這樣就可以不需在舊的eth

36、real的版本中安裝新的插件來(lái)支持新的協(xié)議插件。這也是懶人的一種做法。1.6 EtherPeekNX1.6.1 過(guò)濾條件設(shè)置在進(jìn)行抓包操作之前，首先需要設(shè)置過(guò)濾條件，用來(lái)控制需要抓取的數(shù)據(jù)包的類(lèi)型。具體操作如下所示：1運(yùn)行EtherPeekNX工具，進(jìn)入EtherPeekNX的主界面，如圖2.11所示。圖1.61 EtherPeekNX的主界面2 在EtherPeekNX的主界面中，選擇菜單FileNew新建一個(gè)抓包任務(wù)，則出現(xiàn)如圖2.12所示界面。圖1.62 新建抓包任務(wù)界面3 在如圖1.62所示的界面中，單擊Filters選項(xiàng)進(jìn)行數(shù)據(jù)包過(guò)濾選項(xiàng)設(shè)置，出現(xiàn)如圖2.13所示界面，界面中列出了所

37、有可以抓取的數(shù)據(jù)包的類(lèi)型。圖1.63 過(guò)濾條件設(shè)置界面4若要抓取TCP數(shù)據(jù)包，則在如圖1.63所示界面中單擊選中TCP選項(xiàng)，右擊并在彈出的快捷菜單欄中選中Edit，如圖2.14所示。圖1.64 進(jìn)入TCP數(shù)據(jù)包的編輯模式5出現(xiàn)Edit Filter界面，如圖2.15所示。例如，要抓取40 與之間的TCP數(shù)據(jù)包，則可以按照如圖2.15所示界面中的設(shè)置。設(shè)置完成后單擊OK按鈕。圖1.65 Filter設(shè)置示例其中，選中Address filter項(xiàng)，表示使用IP地址過(guò)濾方式；Address 1欄中輸入40，表示數(shù)據(jù)包的源地址；T

38、YPE欄中選中IP，表示兩個(gè)IP地址之間是IP報(bào)文；Address 2欄中輸入，表示數(shù)據(jù)包的目的地址。6在如圖1.63所示界面中單擊確定，出現(xiàn)如圖2.16所示的界面，單擊Start Capture按鈕開(kāi)始抓取數(shù)據(jù)包。圖1.66 開(kāi)始抓取數(shù)據(jù)包7出現(xiàn)如圖2.17所示界面，顯示抓的數(shù)據(jù)包的相關(guān)信息，包括數(shù)據(jù)包的目的地IP地址、包的大小、數(shù)據(jù)包的統(tǒng)計(jì)信息等等。圖1.67 抓包的結(jié)果顯示信息1.6.2 設(shè)置多個(gè)過(guò)濾條件如果需要抓取多個(gè)主機(jī)之間的數(shù)據(jù)包，需要設(shè)置多個(gè)過(guò)濾條件。例如：FCN系統(tǒng)與SMG之間，以及FCN系統(tǒng)與BOSS系統(tǒng)之間，可以在設(shè)置過(guò)濾條件時(shí)，復(fù)制TCP過(guò)濾器，并對(duì)

39、過(guò)濾條件進(jìn)行修改。具體操作如下所示。1在如圖1.64所示界面中，選中TCP項(xiàng)右擊，并在快捷菜單欄中選中Duplicate項(xiàng)，復(fù)制一個(gè)與TCP項(xiàng)相同過(guò)濾條件的項(xiàng)。如圖2.28所示。圖1.68 復(fù)制TCP項(xiàng)2復(fù)制完成之后，在項(xiàng)目列表中出現(xiàn)一個(gè)名為COPY OF TCP的過(guò)濾項(xiàng)，并右擊該項(xiàng)，在快捷菜單中選中Edit，如圖2.29所示。圖1.69 編輯復(fù)制項(xiàng)3出現(xiàn)如圖2.210所示的界面，可以在該界面中修改該過(guò)濾項(xiàng)目的相關(guān)參數(shù)。此例中，將過(guò)濾器名稱(chēng)改為T(mén)CP_FCN_BOSS，過(guò)濾地址修改為地址0，修改完成之后單擊OK按鈕。圖1.610 修改復(fù)制項(xiàng)的名字4得到一個(gè)新的過(guò)濾器TCP_

40、FCN_BOSS，單擊選中TCP和TCP_FCN_BOSS，則滿(mǎn)足這兩個(gè)過(guò)濾器的數(shù)據(jù)包都會(huì)被過(guò)濾出來(lái)，如圖2.211所示。圖1.611 生成兩個(gè)過(guò)濾項(xiàng)1.6.3 保存數(shù)據(jù)包抓包操作結(jié)束后，可以把抓包的結(jié)果保存為一個(gè)文件存放在本地機(jī)器硬盤(pán)上。具體操作如下所示。1抓包完畢后，在如圖1.67所示界面中單擊Stop Capture按鈕停止抓包。2在EtherPeekNX的主界面中，選擇菜單FileSave All Packet保存所有抓到的數(shù)據(jù)包到本地硬盤(pán)上。如圖2.312所示。圖1.612 保存抓包的結(jié)果3出現(xiàn)如圖2.313所示界面，輸入保存的文件名后單擊保存。圖1.613 保存抓包的結(jié)果為pkt文

41、件1.6.4 分析數(shù)據(jù)包進(jìn)行抓包操作的目的是對(duì)抓到的數(shù)據(jù)包進(jìn)行分析，并對(duì)照相關(guān)的TCP/IP協(xié)議進(jìn)行分析。以下以參照營(yíng)賬接口協(xié)議分析從營(yíng)賬接口上抓到的數(shù)據(jù)包為例。1查看營(yíng)賬接口協(xié)議的定義以及相關(guān)參數(shù)含義。開(kāi)戶(hù)消息SetCallChgReq定義的含義可以參見(jiàn)表2.41。表1.61 開(kāi)戶(hù)消息SetCallChgReq的定義內(nèi)容名稱(chēng)類(lèi)型字節(jié)數(shù)說(shuō)明消息頭Message LengthChar4消息長(zhǎng)度，不包含消息頭長(zhǎng)度，以0結(jié)束，注意要填16進(jìn)制形式的字符，不要填成十進(jìn)制形式的字符，例如該消息的消息體總共有55個(gè)字節(jié)，在填寫(xiě)該字段時(shí)應(yīng)該填成16進(jìn)制形式的“37”，而不應(yīng)該填成10進(jìn)制形式的“55”Com

42、mand IDChar2“00”SequenceNoChar10以0結(jié)束消息體User NumberChar21要求設(shè)置呼轉(zhuǎn)的手機(jī)號(hào)碼，以0結(jié)束CFType1Char1GSM的呼轉(zhuǎn)類(lèi)型CFNA（1為設(shè)置，0為不設(shè)置）CFType2Char1GSM的呼轉(zhuǎn)類(lèi)型CFU（1為設(shè)置，0為不設(shè)置）CFType3Char1GSM的呼轉(zhuǎn)類(lèi)型CFB（1為設(shè)置，0為不設(shè)置）CFType4Char1GSM的呼轉(zhuǎn)類(lèi)型CFNR（1為設(shè)置，0為不設(shè)置）CFType5Char1保留CF NumberChar21呼轉(zhuǎn)目的號(hào)碼，以0結(jié)束ReservedChar8保留消息的總長(zhǎng)度為：4+2+10+21+1+1+1+1+1+21+

43、8 = 71 字節(jié)Command ID的定義可以參見(jiàn)表2.42。表1.62 Command ID的定義消息類(lèi)型Command ID值說(shuō)明SetCallChgReq“00”設(shè)置呼轉(zhuǎn)請(qǐng)求消息SetCallChgRsp“F0”設(shè)置呼轉(zhuǎn)響應(yīng)消息CancelCallChgReq“01”取消呼轉(zhuǎn)請(qǐng)求消息CancelCallChgRsp“F1”取消呼轉(zhuǎn)響應(yīng)消息OperateReportReq“02”呼轉(zhuǎn)操作回執(zhí)請(qǐng)求消息OperateReportRsp“F2”呼轉(zhuǎn)操作回執(zhí)響應(yīng)消息OpenServiceReq“08”開(kāi)通漏話(huà)業(yè)務(wù)請(qǐng)求消息OpenServiceRsp“F8”開(kāi)通漏話(huà)業(yè)務(wù)響應(yīng)消息CloseServi

44、ceReq“09”取消漏話(huà)業(yè)務(wù)請(qǐng)求消息CloseServiceRsp“F9”取消漏話(huà)業(yè)務(wù)響應(yīng)消息2如圖2.414所示是抓包的結(jié)果，在抓取的數(shù)據(jù)包中單擊一個(gè)數(shù)據(jù)包。此例中，雙擊長(zhǎng)度為71 L的數(shù)據(jù)包。圖1.614 選中一個(gè)數(shù)據(jù)包3出現(xiàn)如圖2.415所示的數(shù)據(jù)包解碼界面，顯示該碼流的詳細(xì)信息。圖1.615 選中TCP的Data域選中的TCP的Data域中的碼流如下所示：33 37 00 06 30 30 30 30 30 36 30 30 30 37 00 00 38 36 31 33 33 33 33 31 31 38 31 36 32 00 00 00 00 00 00 00 00 30 30

45、 30 31 31 38 36 31 33 30 3130 31 38 30 33 39 38 00 00 00 00 00 00 00 00 4E 4F 54 45 58 49 53 54對(duì)照協(xié)議解碼結(jié)果如表2.43所示。表1.63 對(duì)照協(xié)議解碼結(jié)果名稱(chēng)類(lèi)型字節(jié)數(shù)碼流消息頭Message LengthChar433 37 00 06Command IDChar230 30 - 00 SetCallChgReqSequenceNoChar1030 30 30 36 30 30 30 37 00 00消息體User NumberChar2138 36 31 33 33 33 33 31 31 3

46、8 31 36 32 00 00 00 00 00 00 00 00CFType1Char130 - 0CFType2Char130 - 0CFType3Char130 - 0CFType4Char131 - 1CFType5Char131 - 1CF NumberChar2138 36 31 33 30 31 30 31 38 30 33 39 38 00 00 00 00 00 00 00 00ReservedChar84E 4F 54 45 58 49 53 54以下以參照SGIP協(xié)議分析抓到的數(shù)據(jù)包為例。1SGIP消息頭定義如表2.44所示。表1.64 SGIP消息頭定義字段長(zhǎng)度（字節(jié)

47、）類(lèi)型說(shuō)明Message Length4Integer消息的總長(zhǎng)度(字節(jié))Command ID4Integer命令I(lǐng)DSequence Number12Integer序列號(hào)2SGIP消息中，SubmitReq消息的消息體定義如表2.45所示。表1.65 SubmitReq消息的消息體定義字段長(zhǎng)度（字節(jié)）類(lèi)型說(shuō)明SPNumber21TextSP的接入號(hào)碼ChargeNumber21Text付費(fèi)號(hào)碼，手機(jī)號(hào)碼前加“86”國(guó)別標(biāo)志；當(dāng)且僅當(dāng)群發(fā)且對(duì)用戶(hù)收費(fèi)時(shí)為空；如果為空，則該條短消息產(chǎn)生的費(fèi)用由UserNumber代表的用戶(hù)支付；如果為全零字符串“000000000000000000000”，表示

48、該條短消息產(chǎn)生的費(fèi)用由SP支付UserCount1Integer接收短消息的手機(jī)數(shù)量，取值范圍1至100UserNumber21Text接收該短消息的手機(jī)號(hào)，該字段重復(fù)UserCount指定的次數(shù)，手機(jī)號(hào)碼前加“86”國(guó)別標(biāo)志CorpId5Text企業(yè)代碼，取值范圍0-99999ServiceType10Text業(yè)務(wù)代碼，由SP定義FeeType1Integer計(jì)費(fèi)類(lèi)型FeeValue6Text取值范圍0-99999，該條短消息的收費(fèi)值，單位為分，由SP定義對(duì)于包月制收費(fèi)的用戶(hù)，該值為月租費(fèi)的值GivenValue6Text取值范圍0-99999，贈(zèng)送用戶(hù)的話(huà)費(fèi)，單位為分，由SP定義，特指由S

49、P向用戶(hù)發(fā)送廣告時(shí)的贈(zèng)送話(huà)費(fèi)AgentFlag1Integer代收費(fèi)標(biāo)志，0：應(yīng)收；1：實(shí)收MorelatetoMTFlag1Integer引起MT消息的原因0-MO點(diǎn)播引起的第一條MT消息；1-MO點(diǎn)播引起的非第一條MT消息；2-非MO點(diǎn)播引起的MT消息；3-系統(tǒng)反饋引起的MT消息Priority1Integer優(yōu)先級(jí)0-9從低到高，默認(rèn)為0ExpireTime16Text短消息壽命的終止時(shí)間，如果為空，表示使用短消息中心的缺省值。時(shí)間內(nèi)容為16個(gè)字符，格式為”yymmddhhmmsstnnp” ，其中“tnnp”取固定值“032+”，即默認(rèn)系統(tǒng)為北京時(shí)間ScheduleTime16Text

50、短消息定時(shí)發(fā)送的時(shí)間，如果為空，表示立刻發(fā)送該短消息。時(shí)間內(nèi)容為16個(gè)字符，格式為“yymmddhhmmsstnnp” ，其中“tnnp”取固定值“032+”，即默認(rèn)系統(tǒng)為北京時(shí)間ReportFlag1Integer狀態(tài)報(bào)告標(biāo)記0-該條消息只有最后出錯(cuò)時(shí)要返回狀態(tài)報(bào)告1-該條消息無(wú)論最后是否成功都要返回狀態(tài)報(bào)告2-該條消息不需要返回狀態(tài)報(bào)告3-該條消息僅攜帶包月計(jì)費(fèi)信息，不下發(fā)給用戶(hù)，要返回狀態(tài)報(bào)告其它-保留缺省設(shè)置為0TP_pid1IntegerGSM協(xié)議類(lèi)型。詳細(xì)解釋請(qǐng)參考GSM03.40中的.9TP_udhi1IntegerGSM協(xié)議類(lèi)型。詳細(xì)解釋請(qǐng)參考GSM03.40中的.23,僅使用

51、1位，右對(duì)齊MessageCoding1Integer短消息的編碼格式。0：純ASCII字符串3：寫(xiě)卡操作4：二進(jìn)制編碼8：UCS2編碼15: GBK編碼其它參見(jiàn)GSM3.38第4節(jié)：SMS Data Coding SchemeMessageType1Integer信息類(lèi)型：0-短消息信息其它：待定MessageLength4Integer短消息的長(zhǎng)度MessageContentMessage LengthText短消息的內(nèi)容Reserve8Text保留，擴(kuò)展用3SGIP協(xié)議中，CommandID的定義如表2.46所示。表1.66 CommandID的定義消息ID名稱(chēng)消息ID取值SGIP_BI

52、ND0x1SGIP_BIND_RESP0x80000001SGIP_UNBIND0x2SGIP_UNBIND_RESP0x80000002SGIP_SUBMIT0x3SGIP_SUBMIT_RESP0x80000003SGIP_DELIVER0x4SGIP_DELIVER_RESP0x80000004SGIP_REPORT0x5SGIP_REPORT_RESP0x800000054如圖2.416所示為抓包結(jié)果，根據(jù)數(shù)據(jù)包的源地址、目的地、端口號(hào)以及消息長(zhǎng)度等信息可以判斷一條消息是否為SGIP消息，單擊選中并雙擊該數(shù)據(jù)包。圖1.616 選中SGIP數(shù)據(jù)包5得到碼流的詳細(xì)信息，如圖2.417所示。

53、單擊碼流并選中TCP的Data域。圖1.617 SGIP數(shù)據(jù)包對(duì)應(yīng)的碼流碼流信息如下所示：00 00 00 D0 00 00 00 03 B4 AB 23 63 47 A7 E6 BF 09 77 00 3F 31 30 30 38 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 38 36 31 33 33 32 33 30 36 33 38 32 38 00 00 00 00 00 00 00 00 01 38 36 31 33 33 32 33 30 36 33 38 32 38 00 00 00 00 00 00 00 00 31 34 35 39 35 4D 46 00 00 00 00 00 00 00 00 01 30 30 30 30 30 00 30 30 30 30 3000 00 02