Sniffer中文使用教程(經(jīng)典)

Sniffer中文使用教程（經(jīng)典）SnifferPro中文使用教程（詳細(xì)）第1章Sniffer軟件簡(jiǎn)介 1-11.1概述 1-11.2功能簡(jiǎn)介 1-1第2章報(bào)文捕獲解析 2-1 2.1捕獲面板 2-1 2.2捕獲過(guò)程報(bào)文統(tǒng)計(jì) 2-1 2.3捕獲報(bào)文查看 2-2 2.4設(shè)置捕獲條件 2-3第3章報(bào)文放送 3-1 3.1編輯報(bào)文發(fā)送 3-1 3.2捕獲編輯報(bào)文發(fā)送 3-2第4章網(wǎng)絡(luò)監(jiān)視功能 4-14.1Dashbord 4-1ApplicationResponseTime(ART) 4-1第5章數(shù)據(jù)報(bào)文解碼詳解 5-1 5.1數(shù)據(jù)報(bào)文分層 5-15.2以太報(bào)文結(jié)構(gòu) 5-1IP協(xié)議 5-3ARP協(xié)議 5-4PPPOE協(xié)議 5-6Radius協(xié)議 5-9iSniffer軟件簡(jiǎn)介第1章Sniffer軟件簡(jiǎn)介1.1概述 Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件。本文針對(duì)用SnifferPro網(wǎng)絡(luò)分析器進(jìn)行故障解決。利用SnifferPro網(wǎng)絡(luò)分析器的強(qiáng)大功能和特征?解決網(wǎng)絡(luò)問(wèn)題?將介紹一套合理的故障解決方法。與Netxray比較?Sniffer支持的協(xié)議更豐富?例如PPPOE協(xié)議等在Netxray并不支持?在Sniffer上能夠進(jìn)行快速解碼分析。Netxray不能在Windows2000和WindowsXP上正常運(yùn)行?SnifferPro4.6可以運(yùn)行在各種Windows平臺(tái)上。Sniffer軟件比較大?運(yùn)行時(shí)需要的計(jì)算機(jī)內(nèi)存比較大?否則運(yùn)行比較慢?這也是它與Netxray相比的一個(gè)缺點(diǎn)。1.2功能簡(jiǎn)介下面列出了Sniffer軟件的一些功能介紹?其功能的詳細(xì)介紹可以參考Sniffer的在線(xiàn)幫助。捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析利用專(zhuān)家分析系統(tǒng)診斷問(wèn)題實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)收集網(wǎng)絡(luò)利用率和錯(cuò)誤等在進(jìn)行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器?確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。位置:File->selectsettings1-1Sniffer軟件簡(jiǎn)介

選擇網(wǎng)絡(luò)適配器后才能正常工作。該軟件安裝在Windows98操作系統(tǒng)上?Sniffer可以選擇撥號(hào)適配器對(duì)窄帶撥號(hào)進(jìn)行操作。如果安裝了EnterNet500等PPPOE軟件還可以選擇虛擬出的PPPOE網(wǎng)卡。對(duì)于安裝在Windows2000/XP±則無(wú)上述功能?這和操作系統(tǒng)有關(guān)。本文將對(duì)報(bào)文的捕獲幾網(wǎng)絡(luò)性能監(jiān)視等功能進(jìn)行詳細(xì)的介紹。下圖為在軟件中快捷鍵的位置。1-2報(bào)文捕獲解析第2章報(bào)文捕獲解析2.1捕獲面板報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)行完成?如下是捕獲面板的功能圖：圖中顯木的是處于開(kāi)始狀態(tài)的面板捕獲條件捕獲條件選擇捕獲選擇捕獲編輯編輯條件條件捕獲開(kāi)始捕獲開(kāi)始捕獲暫停捕獲暫停捕獲停止捕獲停止捕獲停止捕獲停止捕獲查看捕獲查看并查看并查看2.2捕獲過(guò)程報(bào)文統(tǒng)計(jì)在捕獲過(guò)程中可以通過(guò)查看下面面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率。捕獲報(bào)文數(shù)捕獲報(bào)文數(shù)捕獲報(bào)文的數(shù)捕獲報(bào)文的數(shù)據(jù)緩沖大小據(jù)緩沖大小Cange100K1Pscket^Buffer%據(jù)緩沖大小據(jù)緩沖大小Cange100K1Pscket^Buffer%Buffer%詳細(xì)統(tǒng)計(jì)信詳細(xì)統(tǒng)計(jì)信息息2-1報(bào)文捕獲解析2.3捕獲報(bào)文查看Sniffer軟件提供了強(qiáng)大的分析能力和解碼功能。如下圖所示?對(duì)于捕獲的報(bào)文提供了一個(gè)Expert專(zhuān)家分析系統(tǒng)進(jìn)行分析?還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。JitStatm1USJCT￡EW.U.ire.MJJitStatm1USJCT￡EW.U.ire.MJ3UNli-iE￡^5t￡DHL[lj'lltffi卯']〕■W27217IL10.11]蕓崩」I'0217([10.11105.詞J思也Ht[luLJIOS辱]12J\E^pgit人□如odE人伽trix人Hcd了礎(chǔ)如人府優(yōu)匚匸巾［粉人栄沛st*/圜凰燹］堅(jiān)LiwmrLLOLILS網(wǎng)]IuwrijLiwmrLLOLILS網(wǎng)]Iuwrij裝縁曲怕I'tid11.1.05.?T1■WZ721?ILliJ.UIJS總」i■AC7217([IQLIlEE.bSj)能72牝tEluLJ105Ml1Lhxrt［關(guān)口人Rrnt匚匸ol臼st人寶血rt*/21專(zhuān)家分析專(zhuān)家分析系統(tǒng)系統(tǒng)專(zhuān)家分析專(zhuān)家分析捕獲報(bào)文的捕獲報(bào)文的捕獲報(bào)文的其他捕獲報(bào)文的其他系統(tǒng)系統(tǒng)圖形分析圖形分析統(tǒng)計(jì)信息統(tǒng)計(jì)信息專(zhuān)家分析專(zhuān)家分分析系統(tǒng)提供了一個(gè)只能的分析平臺(tái)?對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析對(duì)于分析出的診斷結(jié)果可以查看在線(xiàn)幫助獲得。在下圖中顯示出在網(wǎng)絡(luò)中WINS查詢(xún)失敗的次數(shù)及TCP重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容?可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的可能點(diǎn)。

對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄可以查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解起產(chǎn)生的原因。JIC.LiLfci：QLIC一舊_出I■止4IL13IffIIU.FL.II.II：JIC.LiLfci：QLIC一舊_出I■止4IL13IffIIU.FL.II.II：WJiJIMl.^.rMtkiHUHtLHi"nil=.臥mw/tsHiJ*尊n妙=4TM邑ME.../rFTlffM時(shí)=M時(shí).皿WH皿似]一成:修愷UB2即.....LtD/fi坦n4141Jn■<rn~■員—HEiri-IlLin;jititaULklathBTx-ii*v1ri■■■hJiT]-I.||■E51n[:1.4Ip4fi'[吋luxhIfWmLETlmi■JmHLA-iirlAifwdi*1:;UlMiJsu*Ivlfwj"nZAiIjuJJu.lUliugIJ1UIFHrL0I-IP皿1=-.-ILLIT|>I>41P*|VJ.IEF.1iF-f'|fa-ii!電~嗅?|】皿鶯墜卩一.. —：■Zl"('JIB!tl!nU.1.1l^builBLElliIUI4」雙擊此記錄可以雙擊此記錄可以查看詳細(xì)信息查看詳細(xì)信息2-2報(bào)文捕獲解析解碼分析下圖是對(duì)捕獲報(bào)文進(jìn)行解碼的顯示?通常分為三部分?目前大部分此類(lèi)軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對(duì)于解碼主要要求分析人員對(duì)協(xié)議比較熟悉?這樣才能看懂解析出來(lái)的報(bào)文。使用該軟件是很簡(jiǎn)單的事情?要能夠利用軟件解碼分析來(lái)解決問(wèn)題關(guān)鍵是要對(duì)各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多?這里不對(duì)協(xié)議進(jìn)行過(guò)多講解?請(qǐng)參閱其他相關(guān)資料。對(duì)于MAC地址?Snffier軟件進(jìn)行了頭部的替換?如00e0fc開(kāi)頭的就替換成Huawei?這樣有利于了解網(wǎng)絡(luò)上各種相關(guān)設(shè)備的制造廠商信息。

iE2_capI1,3803Hh■■gi. ■■生EhumgiQULIUSXiTcorf/-,S：E-iEa=lUl!liT-￥E2P9Gfl2DH[inn1P9」曰」.毎|S口」EJtua?z0Oll05[2^.2￡￡.2-SE.25[1U.1-Lzalb'；JVW!Jb'L1器涔厲F■.._.血MA皿￡Mr)一iRP^EiETFETtftG；---日廿』iE2_capI1,3803Hh■■gi. ■■生EhumgiQULIUSXiTcorf/-,S：E-iEa=lUl!liT-￥E2P9Gfl2DH[inn1P9」曰」.毎|S口」EJtua?z0Oll05[2^.2￡￡.2-SE.25[1U.1-Lzalb'；JVW!Jb'L1器涔厲F■.._.血MA皿￡Mr)一iRP^EiETFETtftG；---日廿』站et^;.--1iImbrj-r：Jtrot32dLtype-OtitJOi.1L)Leli^thalhc.tiiy*!^rdWreM-ib甘Lm古IrmcTl-1'nftiflrcri-!I-Irl.-1■r■---dhTrl-rn00000600.MUUUR;aocooo2t-.00000030.Gn-n10al7LEc衛(wèi)皿Jo-two-u4AG&

uooll_

nJcr￡00uuu英氏」：i￡atK-oPBo\ExpertkDecode/.Vetri>AH&sfllahoJi,琳otocdC1回./.ZtafctkB/1A'. ?- jf■ *' fM fiRF<RlRFEraMe—-Ekni舶hltyiif-1["itrtjEQemeuPxcitzcoLtype-ClWtlO(IP)Leii'^tho￡haril7-5i—多曰口工mm*6mlkJOC-OUdOli.UUliUdLillj：COC0QO2a■)0000031.w\Fspart)\tecotlc/_Vistii;/,HoslTjkio^^otccdDin.^aatctics/ ￡cdc3ILIO.Ua--upuao1-10II--H-.uD.dn-QGGE.u□-uhiBn.HI-uQG4-bDoaflfiuooDn-1oo-d-uUQp-uLUaDOuffl_uo3cc9U_jF土￡11-_u1e09toOb_uQ9Gbh9DQflW改-MC--&fn-.u□1±1捕獲的捕獲的報(bào)文報(bào)文報(bào)文解報(bào)文解碼碼二進(jìn)制二進(jìn)制內(nèi)容內(nèi)容功能是按照過(guò)濾器設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為Capture—>DefineFilter和Display—>DefineFilter。過(guò)濾器可以根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選。統(tǒng)計(jì)分析對(duì)于Matrix?HostTable?PortocolDist.Statistics等提供了豐富的按照地址?協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計(jì)?比較簡(jiǎn)單?可以通過(guò)操作很快掌握這里就不再詳細(xì)介紹了。2.4設(shè)置捕獲條件基本捕獲條件基本的捕獲條件有兩種：1、 鏈路層捕獲?按源MAC和目的MAC地址進(jìn)行捕獲?輸入方式為十六進(jìn)制連續(xù)輸入?如:00E0FC123456o2-3報(bào)文捕獲解析2、 IP層捕獲?按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式?如：。如果選擇IP層捕獲條件則ARP等報(bào)文將被過(guò)濾掉。任意捕任意捕緩沖區(qū)緩沖區(qū)協(xié)議捕協(xié)議捕編輯編輯獲條件獲條件獲編輯獲編輯編輯編輯DM%heroI上如weIB^ffwP2121中凱gFo：：□"舛，hlUr-^恒―r恥IHu2:sr-trbAT虹。ex瞄IXI*41由.Etddress|]ftrdiorj|Dikfc?4,^4era|上如.g]|B^ffffl-1E^EJT1=1IFJ^EEI：tU#i町亍對(duì)5九」Li?l-iut.昌母2Ji'-aEb/fclT!.sr<rb1"iibr-hlhal皿TJ.1tr-?5基本捕獲條件基本捕獲條件鏈路層捕獲鏈路層捕獲IPIP層捕獲層捕獲鏈路層捕獲鏈路層捕獲數(shù)據(jù)流數(shù)據(jù)流地址條件地址條件方向方向高級(jí)捕獲條件在“Advance”頁(yè)面下?你可以編輯你的協(xié)議捕獲條件?如圖：^■inrr-M-y|TK■=f孑岫七 州|g.輕醉-|Trrro-—rrr期WIlELKiTfflFIGH職-IT*?A.ek?i少？瞞頊rl13^HlffrnilS3CMError州Jtiil■心?.inrT-u-y|1.J4t*=F。蛀構(gòu)W "| -jMlW!lELKiIGflI耳1TFZL如M斗口（心球-玨rrar±JJSsdiiij;fur此匕亡J：七匚.—CJ.2Ke1三r]"'，阿l 刈^jNorni^l 4]網(wǎng)關(guān)trier匸Hsiz^E勸丁■心 T選擇要捕選擇要捕獲的協(xié)議獲的協(xié)議錯(cuò)誤幀是錯(cuò)誤幀是否捕獲否捕獲捕獲幀長(zhǎng)捕獲幀長(zhǎng)度條件度條件保存過(guò)濾保存過(guò)濾規(guī)則條件規(guī)則條件高級(jí)捕獲條件編輯圖在協(xié)議選擇樹(shù)中你可以選擇你需要捕獲的協(xié)議條件?如果什么都不選?則表示忽略該條件?捕獲所有協(xié)議。在捕獲幀長(zhǎng)度條件下?你可以捕獲?等于、小于、大于某個(gè)值的報(bào)文。2-4報(bào)文捕獲解析在錯(cuò)誤幀是否捕獲欄?你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕“Profiles"?你可以將你當(dāng)前設(shè)置的過(guò)濾規(guī)則?進(jìn)行保存?在捕獲主面板中?你可以選擇你保存的捕獲條件。任意捕獲條件在DataPattern下?你可以編輯任意捕獲條件?如下圖：添加關(guān)系添加關(guān)系模板間關(guān)模板間關(guān)節(jié)點(diǎn)節(jié)點(diǎn)添加排除添加排除系控制系控制模板編輯模板編輯增加模板增加模板用這種方法可以實(shí)現(xiàn)復(fù)雜的報(bào)文過(guò)濾?但很多時(shí)候是得不償失?有時(shí)截獲的報(bào)文本就不多~還不如自己看看來(lái)得快。2-5報(bào)文放送第3章報(bào)文放送3.1編輯報(bào)文發(fā)送Sniffer軟件報(bào)文發(fā)送功能就比較弱?如下是發(fā)送的主面板圖：

發(fā)送報(bào)發(fā)送報(bào)文編輯文編輯發(fā)送前?你需要先編輯報(bào)文發(fā)送的內(nèi)容。點(diǎn)擊發(fā)送報(bào)文編輯按鈕?？傻玫饺缦碌膱?bào)文編輯窗口:莒傾MTI■'XofDitvrirktUJIlQl 1" 莒傾MTI■'XofDitvrirktUJIlQl 1" 1(1 n4 * i-r Fi4 UH rd taD31O：. US： Oij 0€ EL OD 01 OO ^0 TC!CD2D： I1G an !J0 tl DO ao CU 也 mC3JQ： "Q g 30 叫 CD g g JQ 3^S-iiiedL￡oPlitii-Lfl?51y府Delay[L NalliSUFFERIf^p 1■血心T「&廠XafDitvcrk2?AutDmLlTOC\o"1-5"\h\z#111命LIP1(1 7行rpFHFlrrlMIjll；|1)6III119 01I&310：.g OCi 0￡ OD 01 00 iO la OD LL OE 8 [I?！籛 I cd2D：iig an an ci oo ao 口亠 Jb w 匚“ aa no jli ou co m i-_■=-A.C3-3Q：OO 0C 30 OD OG OO DQ 3^ 41 1-_■=-A.IfkJRsI'll發(fā)送間隔發(fā)送間隔指定報(bào)文指定報(bào)文長(zhǎng)度長(zhǎng)度發(fā)送模式發(fā)送模式發(fā)送內(nèi)容發(fā)送內(nèi)容首先要指定數(shù)據(jù)幀發(fā)送的長(zhǎng)度?然后從鏈路層開(kāi)始?一個(gè)一個(gè)將報(bào)文填充完成?如果是NetXray支持可以解析的協(xié)議?從"Decode”頁(yè)面中?可看見(jiàn)解析后的直觀表示。3-1報(bào)文放送3.2捕獲編輯報(bào)文發(fā)送

|Ei6tfAd*?sFrameALT+F3StatusIScnji&e-Ad4resaDecodeFindff&wt.FrsffifiGoioErqme.GetoFirstFrweG*io1CurrfiniFf—Gt>1qMarkedFry曾HuaweiOwllX3.rcon7BFEHuawei00|Ei6tfAd*?sFrameALT+F3StatusIScnji&e-Ad4resaDecodeFindff&wt.FrsffifiGoioErqme.GetoFirstFrweG*io1CurrfiniFf—Gt>1qMarkedFry曾HuaweiOwllX3.rcon7BFEHuawei0011lJ文后的報(bào)文查看固口:71"HimFilttrSe-leetFilter￡4oonDonMewFil：<rsdtt'jndG#CurrentSufferCui_rent選中某個(gè)捕獲的報(bào)文~用鼠標(biāo)右鍵激活菜單~選擇"SendCurrentPacket”?這時(shí)你就會(huì)發(fā)現(xiàn)?該報(bào)文的內(nèi)容已經(jīng)被原封不動(dòng)的送到“發(fā)送編輯窗口”中了。這時(shí)?你在修修改改?就比你全部填充報(bào)文省事多了。發(fā)送模式有兩種:連續(xù)發(fā)送和定量發(fā)送?？梢栽O(shè)置發(fā)送間隔?如果為0?則以最快的速度進(jìn)行發(fā)送。3-2網(wǎng)絡(luò)監(jiān)視功能第4章網(wǎng)絡(luò)監(jiān)視功能網(wǎng)絡(luò)監(jiān)視功能能夠時(shí)刻監(jiān)視網(wǎng)絡(luò)統(tǒng)計(jì)?網(wǎng)絡(luò)上資源的利用率?并能夠監(jiān)視網(wǎng)絡(luò)流量的異常狀況?這里只介紹一下Dashbord和ART?其他功能可以參看在線(xiàn)幫助?或直接使用即可?比較簡(jiǎn)單。

4.1DashbordDashbord可以監(jiān)控網(wǎng)絡(luò)的利用率?流量及錯(cuò)誤報(bào)文等內(nèi)容。通過(guò)應(yīng)用軟件可以清楚看到此功能。統(tǒng)計(jì)平均數(shù)據(jù)統(tǒng)計(jì)平均數(shù)據(jù)或總和或總和連續(xù)的統(tǒng)計(jì)圖連續(xù)的統(tǒng)計(jì)圖為統(tǒng)計(jì)圖選擇為統(tǒng)計(jì)圖選擇統(tǒng)計(jì)指標(biāo)統(tǒng)計(jì)指標(biāo)4.2ApplicationResponseTime(ART)ApplicationResponseTime(ART)是可以監(jiān)視TCP/UDP應(yīng)用層程序在客戶(hù)端和服務(wù)器響應(yīng)時(shí)間?如HTTP,FTP,DNS等應(yīng)用。對(duì)與TCP/UDP響應(yīng)時(shí)間的計(jì)算方法如下TCPForeachsocket,ARTstoresthesequencenumbersforpacketssentbytheclientandwaitsforthecorrespondingACKpacketsfromtheserver.Itthenmeasuresthetime4-1網(wǎng)絡(luò)監(jiān)視功能differencebetweenthepacketwiththestoredsequencenumberandthepacketwiththeACKtoarriveattheresponsetime.UDPForeachsocket,ARTmeasuresthetimebetweenpacketsgoingfromaclienttoaserverandthenextpacketgoingfromtheservertotheclient.此三個(gè)按鈕可以此三個(gè)按鈕可以選擇按圖形或表選擇按圖形或表監(jiān)控參數(shù)監(jiān)控參數(shù)格方式顯示格方式顯示屬性按鈕主要設(shè)屬性按鈕主要設(shè)置監(jiān)控參數(shù)如要置監(jiān)控參數(shù)如要監(jiān)控哪種應(yīng)用等監(jiān)控哪種應(yīng)用等監(jiān)控的監(jiān)控的應(yīng)用應(yīng)用4-2數(shù)據(jù)報(bào)文解碼詳解第5章數(shù)據(jù)報(bào)文解碼詳解本章主要對(duì):數(shù)據(jù)報(bào)文分層、以太報(bào)文結(jié)構(gòu)、IP協(xié)議、ARP協(xié)議、PPPOE協(xié)議、Radius協(xié)議等的解碼分析做了簡(jiǎn)單的描述?目的在于介紹Sniffer軟件在協(xié)議分析中的功能作用并通過(guò)解碼分析對(duì)協(xié)議進(jìn)一步了解。對(duì)其其他協(xié)議讀者可以通過(guò)協(xié)議文檔和Sniffer捕獲的報(bào)文對(duì)比分析。5.1數(shù)據(jù)報(bào)文分層如下圖所示?對(duì)于四層網(wǎng)絡(luò)結(jié)構(gòu)?其不同層次完成不通功能。每一層次有眾多協(xié)議組成。TelnetFTPTelnetFTP和和e-maile~mai1等等應(yīng)用層應(yīng)用層TCPTCP和和UDPUDP傳輸層傳輸層IPICMPIGMPIPICMPIGMP網(wǎng)絡(luò)層網(wǎng)絡(luò)層設(shè)備驅(qū)動(dòng)程序及接口卡設(shè)備驅(qū)動(dòng)程序及接口卡鏈路層鏈路層□LCEthjeltTpa*Q8D0P bytesIPD-：1065. ..2G&]S-[LO65.64143]IEN-L9EIDT3裙?擊:「好丄卷.岳丄舗.IPT聰MZIE-D= Dabagre.?,10Sbyter(o￡L?3)■[KS-SHE ：-?ti5MBM5F0xit>=扁11盤(pán)…Me；IJ,5Ij'-TrRr'KFE瓦1"IP'：iF-；.t如上圖所示在Sniffer的解碼表中分別對(duì)每一個(gè)層次協(xié)議進(jìn)行解碼分析。鏈路層對(duì)應(yīng)“DLC”，網(wǎng)絡(luò)層對(duì)應(yīng)“IP”，傳輸層對(duì)應(yīng)“UDP”，應(yīng)用層對(duì)對(duì)應(yīng)的是“NETB”等高層協(xié)議。Sniffer可以針對(duì)眾多協(xié)議進(jìn)行詳細(xì)結(jié)構(gòu)化解碼分析。并利用樹(shù)形結(jié)構(gòu)良好的表現(xiàn)出來(lái)。5.2以太報(bào)文結(jié)構(gòu)Ethernetll以太網(wǎng)幀結(jié)構(gòu)

Ethernet_IIEthernet_IIDMACDMACSMACSMACTypeTypeDATA/PADDATA/PADFCSFCS5-1數(shù)據(jù)報(bào)文解碼詳解Ethernet」I以太網(wǎng)幀類(lèi)型報(bào)文結(jié)構(gòu)為：目的MAC地址,6bytes,,源MAC地址，，6bytes,上層協(xié)議類(lèi)型，2bytes,,數(shù)據(jù)字段,46-1500bytes),校驗(yàn),4bytes,。SnifferSniffer自動(dòng)自動(dòng)添加時(shí)間戳添加時(shí)間戳丄昭*, -1jriLi：25DTPrr-?IXLCgE* Jbtc -zzict狀丄白FE丄昭*, -1jriLi：25DTPrr-?IXLCgE* Jbtc -zzict狀丄白FE：由4廣勺皿匚 =匸t=學(xué)i匚□Hi-svsi)QL,1t-Jmc w(tFj'：-I~l【?r-"■■ 1-IJINIfl1-I■III->：(l!yI3LCf"Srif. 1□iiI戶(hù)釦TCI?■MMs-a；+&r_F=?FC6T-16.TS-4J?-II:Ib.J h?：：1T7^4釁E—Em咲■我g⑵二XE3-O7UT-17?￡JTVn—u-rij—nfTT=SMr-i.iR-Uin[htUr-Bl：::fimwi"irgUUUEIJ^L-=-叫頃雙,uDOCOD3ii：:TDOCOU35C:I：ncirniihr■--i?0崩Sw11fellfl-=lI汩vtM由ui22指訂MH巧72前勇"的fii-%srBi05陌g代*■rth%t時(shí)乂dii試“沽-2MM赤1CZumLrJJfb5■?f.Fhbp-?rrrzctt-：-宣:a(er-iJiAWrwnnrnn"i；r9ULU[|；ULDOCCftDii：:DOCO[J35C:norniifirIn頁(yè)F4.yL-lL!innrnn"i；r9ULU[|；ULDOCCftDii：:DOCO[J35C:norniifirIn頁(yè)F4.yL-lL!i---!-Lc-u-■ir」■-■1=』TrtrCTIY-^rpF—lf.1-Jatro1Dn1MBJ@-F.B^1L-MM-E.a-4會(huì)21毛B-b3.-:Q$,.?/9—rr-B|_4Hrr■>ii-jI-f'I"3094FI7,；”i?_-rI-Iill[[1R7hi-:-:\1-S-：1'I-r-ies-TiaE-ci?-ta-!CL=-l心17pc^aajn(efj'?1.J111IU34JWII??1.L..!U；!J"Ef/u/?m,”刼gMF"-16-15rjn—ft=二—二呻二l>,in[fttw“，「：?—w目的目的MACMAC地址地址源源MACMAC地地上層協(xié)議上層協(xié)議址址類(lèi)型類(lèi)型Sniffer會(huì)在捕獲報(bào)文的時(shí)候自動(dòng)記錄捕獲的時(shí)間?在解碼顯示時(shí)顯示出來(lái)?在分析問(wèn)題時(shí)提供了很好的時(shí)間記錄。源目的MAC地址在解碼框中可以將前3字節(jié)代表廠商的字段翻譯出來(lái)?方便定位問(wèn)題?例如網(wǎng)絡(luò)上2臺(tái)設(shè)備IP地址設(shè)置沖突?可以通過(guò)解碼翻譯出廠商信息方便的將故障設(shè)備找到?如00e0fc為華為?010042為Cisco等等。如果需要查看詳細(xì)的MAC地址用鼠標(biāo)在解碼框中點(diǎn)擊此MAC地址?在下面的表格中會(huì)突出顯示該地址的16進(jìn)制編碼。

IP網(wǎng)絡(luò)來(lái)說(shuō)Ethertype字段承載的時(shí)上層協(xié)議的類(lèi)型主要包括0x800為IP協(xié)議?0x806為ARP協(xié)議。IEEE802.3以太網(wǎng)報(bào)文結(jié)構(gòu)DSAPDSAPSSAPSSAPControlControl8bit8bit8/16bit8bit8bit8/16bitLLCLLC子層子層DMACDMACSMACSMACLengthLengthLLCLLCDATA/FCSDATA/FCSIEEE802.3IEEE802.3幀結(jié)構(gòu)幀結(jié)構(gòu)MACMAC子層子層當(dāng)盟既狀部會(huì)蠻2DlnmmrJEIrm^Q5-當(dāng)盟既狀部會(huì)蠻2DlnmmrJEIrm^Q5-9-FL1 -it-L.Z.13:dbdHliy. 聲].imh』，良”4』be?)D=stiDatLD3-lulticsst01HOCEDOOHCO.Dride-ilrzupiddrSGjiiii_；= -St-s-LiouL-j-^uo￡02.3ImqLh-29—ZICHeader DZi.? "42.TSiP7GBit-3C(IndiwiduxlLddress]?■-4w「cSlit■up(to^na^d)riatiuTibcredErDieITT數(shù)據(jù)報(bào)文解碼詳解上圖為IEEE802.3SNAP幀結(jié)構(gòu)?與Ethernetll不通點(diǎn)是目的和源地址后面的字段代表的不是上層協(xié)議類(lèi)型而是報(bào)文長(zhǎng)度。并多了LLC子層。5.3IP協(xié)議IP報(bào)文結(jié)構(gòu)為IP協(xié)議頭，載荷?其中對(duì)IP協(xié)議頭部的分析?時(shí)分析IP報(bào)文的主要內(nèi)容之一?關(guān)于IP報(bào)文詳細(xì)信息請(qǐng)參考相關(guān)資料。這里給出了IP協(xié)議頭部的一個(gè)結(jié)構(gòu)。版本:4——IPv4首部長(zhǎng)度:單位為4字節(jié)?最大60字節(jié)IP優(yōu)先級(jí)字段TOS:總長(zhǎng)度:單位字節(jié)?最大65535字節(jié)標(biāo)識(shí)：IP報(bào)文標(biāo)識(shí)字段標(biāo)志：占3比特?只用到低位的兩個(gè)比特MF,MoreFragment,MF=1?后面還有分片的數(shù)據(jù)包MF=0?分片數(shù)據(jù)包的最后一個(gè)DF,Don'tFragment,DF=1-不允許分片DF=0?允許分片段偏移:分片后的分組在原分組中的相對(duì)位置?總共13比特?單位為8字節(jié)壽命:TTL,TimeToLive,丟棄TTL=0的報(bào)文協(xié)議:攜帶的是何種協(xié)議報(bào)文1:ICMP6:TCP17:UDP89:OSPF頭部檢驗(yàn)和:對(duì)IP協(xié)議首部的校驗(yàn)和源IP地址:IP報(bào)文的源地址目的IP地址:IP報(bào)文的目的地址5-3數(shù)據(jù)報(bào)文解碼詳解 IPKssder IPKssder IFIFVstss-oil*4headsr -211tip51asTsr.t-eof ■0C1IFooa工ic-utineIF..0=hl；f'nr]tisr;IP0—n^t-rh=JtKtci1ighi：1"IFDHnoi'iiis1i'f=iLabilit：rIP..Q■SCTbif triinzpertproLcco1IP0■匚應(yīng)1:11 juz：L-_Dty-；esLioiiIFToLdiLehJlhKLbEiIFInenr，[i-mtior.S>3ZS?7IFF丄冃宮旨=-JKIF0-—in號(hào)ytTagT&eri-tIP.白VlacttregikE-nrIFFTHLmeiLr_rE_-r*1-?'1IFIjftt'-Cfiive■■■4 =IFProtoco1-17(TILPiIFEzclf--h^-rP.'-iLn=i：t)IPtaiiTC?3ddrelei=[172Lu1?l：iIPtic?￡i巳dir耳壓竺r[1?N_L”.20.[IF￡jptL口b■冬IF上圖為Sniffer對(duì)IP協(xié)議首部的解碼分析結(jié)構(gòu)?和IP首部各個(gè)字段相對(duì)應(yīng)?并給出了各個(gè)字段值所表示含義的英文解釋。如上圖報(bào)文協(xié)議,Protocol,字段的編碼為0x11?通過(guò)Sniffer解碼分析轉(zhuǎn)換為十進(jìn)制的17?代表UDP協(xié)議。其他字段的解碼含義可以與此類(lèi)似?只要對(duì)協(xié)議理解的比較清楚對(duì)解碼內(nèi)容的理解將會(huì)變的很容易。5.4ARP協(xié)議以下為ARP報(bào)文結(jié)構(gòu)硬件莢型協(xié)議類(lèi)型硬件長(zhǎng)度 協(xié)議長(zhǎng)度?操作請(qǐng)求招回答2發(fā)送拈3（例如，禰*車(chē)件地址太岡是6字節(jié)）竇送站博議地址〔例如對(duì)I唱停如目標(biāo)應(yīng)件地址（例如，紀(jì)以太麗是芹節(jié)）目標(biāo)協(xié)釵地址（劌如，瀏嗟偉節(jié)）ARP分組具有如下的一些字段:5-4數(shù)據(jù)報(bào)文解碼詳解HTYPE,硬件類(lèi)型，。這是一個(gè)16比特字段?用來(lái)定義運(yùn)行ARP的網(wǎng)絡(luò)的類(lèi)型。每一個(gè)局域網(wǎng)基于其類(lèi)型被指派給一個(gè)整數(shù)。例如?以太網(wǎng)是類(lèi)型1。ARP可使用在任何網(wǎng)絡(luò)上。PTYPE,協(xié)議類(lèi)型，。這是一個(gè)16比特字段?用來(lái)定義協(xié)議的類(lèi)型。例如?對(duì)IPv4協(xié)議?這個(gè)字段的值是0800。ARP可用于任何高層協(xié)議。HLEN,硬件長(zhǎng)度，。這是一個(gè)8比特字段?用來(lái)定義以字節(jié)為單位的物理地址的長(zhǎng)度。例如?對(duì)以太網(wǎng)這個(gè)值是6。PLEN，協(xié)議長(zhǎng)度，。這是一個(gè)8比特字段?用來(lái)定義以字節(jié)為單位的邏輯地址的長(zhǎng)度。例如?對(duì)IPv4協(xié)議這個(gè)值是4。OPER，操作，。這是一個(gè)16比特字段?用來(lái)定義分組的類(lèi)型。已定義了兩種類(lèi)型:ARP請(qǐng)求，1，?ARP回答，2，。SHA，發(fā)送站硬件地址，。這是一個(gè)可變長(zhǎng)度字段?用來(lái)定義發(fā)送站的物理地址的長(zhǎng)度。例如?對(duì)以太網(wǎng)這個(gè)字段是6字節(jié)長(zhǎng)。SPA，發(fā)送站協(xié)議地址，。這是一個(gè)可變長(zhǎng)度字段?用來(lái)定義發(fā)送站的邏輯，例如?IP，地址的長(zhǎng)度。對(duì)于IP協(xié)議?這個(gè)字段是4字節(jié)長(zhǎng)。THA，目標(biāo)硬件地址，。這是一個(gè)可變長(zhǎng)度字段?用來(lái)定義目標(biāo)的物理地址的長(zhǎng)度。例如?對(duì)以太網(wǎng)這個(gè)字段是6字節(jié)長(zhǎng)。對(duì)于ARP請(qǐng)求報(bào)文?這個(gè)字段是全0?因?yàn)榘l(fā)送站不知道目標(biāo)的物理地址。TPA，目標(biāo)協(xié)議地址，。這是一個(gè)可變長(zhǎng)度字段?用來(lái)定義目標(biāo)的邏輯地址，例如?IP地址，的長(zhǎng)度。對(duì)于IPv4協(xié)議?這個(gè)字段是4字節(jié)長(zhǎng)。疽DECkSDLC；Q盅，DEC 丁g疽DECkSDLC；Q盅，DEC 丁g□鶴:?_3砧F?』鶴了■腳NF_JASP3海菖305戰(zhàn)aDEcnuE晝uhlilrI!MnMnnnn'-,JC'LcIIIII*DlDT-L-FFFFFFEFH衛(wèi)卩衛(wèi)?.MA—HA—AFreuna17am^sd.at14:2403.'3-504frameDeatinetionSdupg后-zjtjti3nHur，3091105=StationZircon7BFE34工州時(shí)等HF>ARPRaRPIr-zmeHmrdvm照由g=I(lfiMtiKthern^ttProtocoltype=0C001FJLengthofhardwareaddTess-6bytesLenqth5protocoJ■addTsae=bvtssOpcc-.lir-(ARFi=ply)知nr!不尸'三hw如京Eadrlre^s=P0HA/17B?ESdEendsif-'iprotocoLaddress=|1011.104153}■T&irg&tlurduinrffaddrSss■ODKHFCOQ11B5號(hào)emkocolaridress=【"J11107Iincilrun'B'.ationTin3asi?EiFE；j4■,SnurcE=StaticjnHuauE-i0fill05Etheitype=08。中(百做)Windirije-typt1(lOHhEthc-jnst)PcoBe丄type=0SCO(IF：Lengthiothardwareaddress=tbytesL^rjjt].jipi」L口二口】<vddzsi；hylcsGpeocteL，.ARPrequest}'^ndei'shardwareaddress - 0l.iEl'iFCOO]1C1￡'->Tato_yiil - [1Q11kC7254}Targetharduar?sddr^ss - 0DCGOQOOCOQOTargetproxoccladdiEsa = [IB11丄回15?)5-5數(shù)據(jù)報(bào)文解碼詳解上面為通過(guò)Sniffer解碼的ARP請(qǐng)求和應(yīng)答報(bào)文的結(jié)構(gòu)。5.5PPP0E協(xié)議PPP0E簡(jiǎn)介簡(jiǎn)單來(lái)說(shuō)我們可能把PPP0E報(bào)文分成兩大塊?一大塊是PPP0E的數(shù)據(jù)報(bào)頭?另一塊則是PPP0E的凈載荷，數(shù)據(jù)域,?對(duì)于PPP0E報(bào)文數(shù)據(jù)域中的內(nèi)容會(huì)隨著會(huì)話(huà)過(guò)程的進(jìn)行而不斷改變。下圖為PPP0E的報(bào)文的格式：01234557890123.4567890I23^5670901暇本類(lèi)型會(huì)話(huà)1H..V.._J峠度域凈載荷,數(shù)據(jù)報(bào)文最開(kāi)始的4位為版本域?協(xié)議中給出了明確的規(guī)定?這個(gè)域的內(nèi)容填充OxOlo,緊接在版本域后的4位是類(lèi)型域?協(xié)議中同樣規(guī)定?這個(gè)域的內(nèi)容填充為OxOlo,代碼域占用1個(gè)字節(jié)?對(duì)于PPPOE的不同階段這個(gè)域內(nèi)的內(nèi)容也是不一樣的。,會(huì)話(huà)ID點(diǎn)用2個(gè)字節(jié)?當(dāng)訪問(wèn)集中器還未分配唯一的會(huì)話(huà)ID給用戶(hù)主機(jī)的話(huà)?則該域內(nèi)的內(nèi)容必須填充為0x0000旦主機(jī)獲取了會(huì)話(huà)ID后?那么在后續(xù)的所有報(bào)文中該域必須填充那個(gè)唯一的會(huì)話(huà)ID值。,長(zhǎng)度域?yàn)?個(gè)字節(jié)?用來(lái)指示PPPOE數(shù)據(jù)報(bào)文中凈載荷的長(zhǎng)度。,數(shù)據(jù)域?有時(shí)也稱(chēng)之為凈載荷域?在PPPOE的不同階段該域內(nèi)的數(shù)據(jù)內(nèi)容會(huì)有很大的不同。在PPPOE的發(fā)現(xiàn)階段時(shí)?該域內(nèi)會(huì)填充一些Tag,標(biāo)記,，而在PPPOE的會(huì)話(huà)階段?該域則攜帶的是PPP的報(bào)文。5-6數(shù)據(jù)報(bào)文解碼詳解ISN8850ISN8850172.16.19.1/19172.16.19.1/19RadiusRadius66PPPOEPPPOE捕獲報(bào)文測(cè)試用例圖如圖所示?RadiusServerIP地址為172.16.20.76。PPPOE用戶(hù)Radius報(bào)文交互過(guò)程分析如下。Eus^DiOOOOCii]IlgriEmFwil口口皿mjareioooooo31匸「莉*口】3ItnuavEiOQOOOflMircrra_5FCE~D^]i-ir.rri：iniiririn^vAiOQOOaflHircmTihCL111unjBveioooooammooocao，1匚匚山_花優(yōu)111Eus^DiOOOOCii]IlgriEmFwil口口皿mjareioooooo31匸「莉*口】3ItnuavEiOQOOOflMircrra_5FCE~D^]i-ir.rri：iniiririn^vAiOQOOaflHircmTihCL111unjBveioooooammooocao，1匚匚山_花優(yōu)111Hi匸匚*ETWihjBVBiaaooooWee&FTE--.^LJJLISJLIIJMiio-DfcL'5feTCD,3JlTjBreiiOOiJiJiJiJ掃笠mJTE6S13L]：i.1010milEKngEDCUgHgEUUnnnnELZ-DOCI6FXEJ?HHTEmUliIlliILrmi6r[?：：D3BgeiTBiOCdlOCDMlteb取FPEggiMdOM皿里必GFDC仍MgSEDEELZ-DOT^FDCP?UiBreidiJUODDBflEreiOiIQQdDEirr^sEDCD?H^prriinnniuiIlec￡X>6EDCD9S^reiOiiaOijD1127C2OM?&F[X1JU[LD.IJ"255JFLC.IG.Jfl251]sremP?fc￡F=F_J[W-F壬『壬冊(cè)p=?□UlF"KE=5AGETs'PE-濕尸rF=.=iGF-n!?F二氾舊be^IiGEnee■CnnriauH^CnnrigLi-Cnntiqur"CnriEigutBig-rrCQl.Ligr.triCoDfigubDCnritighiB1CFJXIFW1CFli2FICPI，LE-CCT.natET.IEroins匸qILLL^juury匸mgr唱CcnfiTJrpCcnfiTJri?Ccd￡ig-irc-Lijj-JruCciizi>TJt&二FCFzptrZP■■:PZP.：.F1FCFZF^：PZF仰miPPPCtFPFCEPFF[TE1W涇呉P?E￥F: _ErTHjliir土_iiriLruwELi/t.ITIEE1]5ITfrEj-nrIJIFQmj丸IIFFFOE■p匚F成陌疙fZMJr而::UgOHT■&出奨耳 。四＞實(shí)月止10.￡上圖為PPPOE從發(fā)現(xiàn)階段到PPPLCP協(xié)商?認(rèn)證IPCP協(xié)商階段和PPPOE會(huì)話(huà)階段交互過(guò)程。PPPOE發(fā)現(xiàn)階段?PADI報(bào)文?Sniffer解碼結(jié)構(gòu)如下所示。5-7數(shù)據(jù)報(bào)文解碼詳解-|?=1罵Srrc占，L_J^LZe；口為Z'LC也匸DDC“FEFOE：-?gE.3?FPOE■jiJEWli_JPPFOEJFPPOE?PPPOEJFPPOE-JFPK'E」PPPOE■JmFBCE2)FFPOE□ppbohJFFME?=1^Srrc占，L_JDL：4n‘-'LCML，dlcPPPCEl-.、FFra?、PPKJE_J??BOE?況心.%PPBOEyFPFCE-75FPPOE~_)FPKjE:成「FE?,JPPK：E}FFPOE?：，北此二PPBOHpffoeJFPEY)E?——DECfioadcr Fraiia1srrivedat1W42:134172.franebi-eeis&0COO□sstisiBtic^n■□J?OA.D2-A!ZrrFFFFTTjFtFFFTHrciad-zasttScwb =S函匕皿詠通FDCD9EthOTtyrc ■BftG-3FPFoEHeader Et.hsrn=ilTyg，■(Cij<ea63)"Diacuute-iymtwg*Version.~1Type-Iftde=FPPoEj^cDi：=cqvsj.-pIcl>traticn(PillI)packstSessinaID-DF4±ytD=id丄出H與電h-Ll Tag■&InUlsdowb坦Stag's T袒Ty挨=出oatE口丄日To.glBn.gr.Ji-BTag電以丄U!=-tJDhOC?bJ-DCD9(HexJT卜「p?—Sesrvii*1*'7agLsnytii-DTmmValus-ITHEE[ItiWnknawnes:dEdate]3D'floadcTFrajia1am^@dat1242:134172.frameei-zeis&0COOI'lsstisiBtiasi■0^OSD"_A!^TFFFFFIjT'FFFFTSrciad-T.H：ttSowxtfi =5tatroaiKLTCDUitFDCDSE+hertypc #関65PPEbSHeader Eth^xfL-=iiTyp=-10^E9t9J^Disccj^e-iyKYsrsion.~1fyp=-1Ctda=FF?oEActiveDi：ECO^3J-yInitlaiticn(falsi)packmtSess-ion.■DFaLfL□如二白的th-L4 Tag'sTnDlboz)^ersrSte^e TagType=?-Hcst.CfiiiqTo.gLength-6Ta導(dǎo)^a-u=?UDHOCV^DCD^(H-xJL*mTyp?"trwE—_羯111廣7agLejiytli-0TagValus-ITULL[2tiIfnkna^nt?i?trsnEiste.1PPPOEPPPOE發(fā)現(xiàn)階段發(fā)現(xiàn)階段PPPOEPPPOEPADIPADI報(bào)文報(bào)文PPPOEPPPOETLVTLV報(bào)文結(jié)構(gòu)報(bào)文結(jié)構(gòu)PPPOEPPPOE發(fā)起端發(fā)起端MACMAC地址地址以太網(wǎng)填以太網(wǎng)填充字節(jié)充字節(jié)PPPOE會(huì)話(huà)階段?Sniffer解碼結(jié)構(gòu)如下所示。ccccccSCDLL'Lr'LULDLr'LpQE如amcmppFraas24arriveda.tLie=stimsri.-t.ScurceEtliiEr桐124244.r?"!.frai^至u=statlqhHuaueiQOi'UDi-z；tetiDTi2{ziTcam.bFI'CDS-B睥PPPoEHeaderJJETPOE?_，F(xiàn)FTQE□PPPOE8FPP0EFPFQE」河滅9PPPOE□FPPOE_'iFFPOI；蒙]PETDpppEthErnetTyp?^(5kBS64')-FFF 盡丄onStags"yers；ion=1Tvpe■1QtxEs=0時(shí)口。ID="33GPay1ofidlengtil-12 Paylo*d.InSeEsi-on占目 --E'oint—bo—PotntPiotccolEjFFFProtocol=[1D21(InternetFrotacoL網(wǎng)).?PPP- TP1＞口01010254]S-[1G,1Q10.2jLEN-J0ID-G0123肯ICHF融ULCgDLCDLC3皿匚。DL￡□DLC■■□DLCTpppoe；EcKis- DLC-Fr*Jte24arrivedat124244.C71.fT*nesi3DsstiiratiDii=StationHuatnsiOQOiOOOSource■ijtatiaiiHjTccm.bFLiCD3E比我tVH；-B354PPPoZHeaderJJetpoe,一§FFTQE□PPPOE8FPP0EFPFQE」PPPCjJ9PPPOE飛PPPOE_'iFFPOI；蒙]PETDpppEthErnetTyp?^(5kBS64')-FFF5目3盡丄onStags"yers；ion=1Tvpe■1QtxEs=0時(shí)口。ID="33GPay1ofidlengtil-12 Paylo*d.InSeEsi-on占目 --E'oint—bo—PotntPiotccolEjFFFProtocol=[1D21(InternetFrotacoL網(wǎng)).?PPP- TPD"[dO1010254]S-[1GM10.2jLENT口ID-G0123PPPOEPPPOE會(huì)話(huà)會(huì)話(huà)階段階段PPPOEPPPOE協(xié)議協(xié)議頭頭6bytes6bytesPPPOEPPPOESessionIDSessionID號(hào)號(hào)PPPPPP協(xié)議頭協(xié)議頭2bytes2bytes承載的承載的IPIP協(xié)議協(xié)議報(bào)文報(bào)文5-8數(shù)據(jù)報(bào)文解碼詳解5.6Radius協(xié)議Radius報(bào)文簡(jiǎn)介標(biāo)準(zhǔn)Radius協(xié)議包結(jié)構(gòu)AWL咔、5-＞V千6 Atlribul* 圖9Radius包格式Code:包類(lèi)型，1字節(jié)，指示RADIUS包的類(lèi)型。6 Atlribul* 圖9Radius包格式Code:包類(lèi)型，1字節(jié)，指示RADIUS包的類(lèi)型。Access-request認(rèn)證請(qǐng)求Access-accept認(rèn)證響應(yīng)Access-reject認(rèn)證拒絕Accounting-request計(jì)費(fèi)請(qǐng)求Accounting-response計(jì)費(fèi)響應(yīng)11Access-challenge認(rèn)證挑戰(zhàn)Identifier:包標(biāo)識(shí)，1字節(jié)?取值范圍為0,255,用于匹配請(qǐng)求包和響應(yīng)包?同一組請(qǐng)求包和響應(yīng)包的Identifier應(yīng)相同。Length:包長(zhǎng)度,2字節(jié)，整個(gè)包中所有域的長(zhǎng)度。Authenticator:16字節(jié)長(zhǎng)，用于驗(yàn)證RADIUS服務(wù)器傳回來(lái)的請(qǐng)求以及密碼隱藏算1 C ZJith.€ifitl* LeUftb2.mAuthe-Btien.t?r4法上。該驗(yàn)證字分為兩種：1、 請(qǐng)求驗(yàn)證字 RequestAuthenticator用在請(qǐng)求報(bào)文中,必須為全局唯一的隨機(jī)值。2、 響應(yīng)驗(yàn)證字 ResponseAuthenticator用在響應(yīng)報(bào)文中?用于鑒別響應(yīng)報(bào)文的合法性。響應(yīng)驗(yàn)證字,MD5（Code+ID+Length+請(qǐng)求驗(yàn)證字+Attributes+Key）Attributes:屬性5-9數(shù)據(jù)報(bào)文解碼詳解圖10屬性格式屬性域是TLV結(jié)構(gòu)編碼。ISN8850ISN8850■理，172.16.19.1/19172.16.19.1/19RadiusRadius66PPPOEPPPOE測(cè)試用例圖

下圖為用戶(hù)端PPP0E?RadiusServer和BAS父互的認(rèn)證上線(xiàn)和下線(xiàn)的過(guò)程。防■jjaijreAdding |DrjiAaiiasi |jumrar^11innnn1234￡[I7S17I'」1]|17lIf1?1]L172Lh20J6]11?2.LiId1|LL20?牡："：W：0?&：,172U1^1]1P1721?2U[J1j116.20.?b1白.円，B1DI1IS;Aocee&-Ete(nfl^&tId■=■-?￡icc^sE,-Ac-^ptId-2!^uL7^. 巧一矽mquesEIcAuI'JS2tu:bLiiiLULijpjtLteId-2.6曲，LITE2Li_ajlUjt 1C-27EAbLf.上—urn二m.LH-'ggu11-BAS請(qǐng)求RadiusServer認(rèn)證報(bào)文。報(bào)文1:報(bào)文2:RadiusServer回應(yīng)BAS認(rèn)證通過(guò)報(bào)文。報(bào)文3:BAS計(jì)費(fèi)請(qǐng)求報(bào)文。報(bào)文4:RadiusServer計(jì)費(fèi)響應(yīng)報(bào)文。報(bào)文5:BAS計(jì)費(fèi)結(jié)束報(bào)文。報(bào)文6:RadiusServer計(jì)費(fèi)結(jié)束響應(yīng)報(bào)文。從中可以看出對(duì)于報(bào)文請(qǐng)求和響應(yīng)是通過(guò)IP地址+Radius協(xié)議域中ID號(hào)進(jìn)行配對(duì)識(shí)別的。5-10數(shù)據(jù)報(bào)文解碼詳解?藥_3_5_3二_3_3次J%_f_l55LJ#_JT^?ITjusirc二、 i:上―卩 二?藥_3_5_3二_3_3次J%_f_l55LJ#_JT^?ITjusirc二、 i:上―卩 二TLTFTWl>4imc，1匸—a.=史M幫匚海于止 -im*1l"iT_'SAilli^rIIGm-::或"kF*-W4HDAS^stnRm?哭認(rèn)證.-蹄—J「 R"，-」?海忙攣思心蠟柢Mni^ryVI此!戲住

表歩fl四昂也幵了誦4矽

林蘆心"1六卡越州

匸__再在卜'面膜版申萩爵__/LhjITS_r□■_jLa*s工GIT吁IliDIU'j：JiLkwuuit-tzituteE7M吉疝姑-T偉解析詞屬9

典工』宜N槌F聞4亶

A』匚諼杵晩樣,如叱屋俚

可成心5質(zhì)碼齡中話(huà)餌|衰用戶(hù)用zifi諷 一丿TOC\o"1-5"\h\z110""-1]-3'0: I"-a Lil JUIJM U1 i .□ 3- _J - JL .■: 17 :. -J _L=r50050&10: u■ L? Hini — - i± ■> 11i ii j? hi - I1 ! 11/UUEIGUW ?_ -■ ■:Js_ ，F(xiàn)i ??; - 7. te ■■'d ii -'. i- .■ -L:unto心：iI-I!.■■.'!fIn宀.-4I-.MJJ-n?！竘l”:HIi-『QDDD>D9bfi：IJ屬單上圖顯示了BAS發(fā)起的Radius認(rèn)證請(qǐng)求,Code,l,報(bào)文的結(jié)構(gòu)。Radius報(bào)文是承載在UPD協(xié)議之上的?這里我沒(méi)不關(guān)注上層報(bào)文的結(jié)構(gòu)。

下圖為PPPOECHAP認(rèn)證過(guò)程的Radius認(rèn)證請(qǐng)求報(bào)文和PPPOE中CHAP認(rèn)證的Challenge報(bào)文。通過(guò)比較可以方便看出BAS發(fā)出的Challenge值為u26fe8768341de68a72al276771elclca^與PPPOE中CHAP認(rèn)證過(guò)程中BAS發(fā)給PPPOE用戶(hù)的Challenge值是一致的。k/.lifiJSb'.~^Hi.Ll：:J'-.'irtriri：tsitc..ovEii￡'iUSUzsr-tJame-'tss1：'邕 二Idet.trf=L尊正ZHiF-Re;spoi-=- 11-I'5yllii：.EADLUSC5IiT--ChjlL=i-.gc?I'gqaAt'EAD：U5itr扌丄:_=T*?■.F-jried)SEADIV^^sni^J-fxol-uLul-I.STL)RADIUS 訝一丄嘰1]'JS心：?一「，WL」〔，7=EW35000020.GOOOQQ30；00000040OOOOOOSO:000000￡0'ooooanzo00000080.(JQ000090uQ.t3r-ib_b-b338?laH-d.14077Dn-0dam-?i4

￡135000020.GOOOQQ30；00000040OOOOOOSO:000000￡0'ooooanzo00000080.(JQ000090uQ.t3r-ib_b-b338?laH-d.14077Dn-0dam-?i4

￡17uo-uLie

7n.Un-ftJ-uId70B'9-IbIu-i-o.131Jo21ECLcl-8o57r-d6I15d^a-n.I31.1564_■-si—ftRADIUSArtr-ibutsafollowLllI'TUSJisi--^anie="tmm"gBADIUG，二H4PIdEtJtiilex=LCHiF-砧*口呻白一■恥I0V<idHADLUS: >"fctlM-?lrI'gqjsAfi-暮EkDIiJ55t?rvicsi-Tjrpa：*2{Fwiffid)■3EADIVSruni^J-fiul-ULul-L?專(zhuān)衛(wèi)莊口丹HAE-lP-ftoj.t-ess=口"IE..LH.1]，P.，i'7：JS ，汨L』1—r= ES?'1」bF」bF&7-"LcTn.￡.!L&I匚■/6--Ldld.JSISrJ.Un-1H匚lF?■_0-r言41.1c-Bd-o?廠-131.14_■-3IJ1CJ8d574M_dc6Jr￡I:9n7dHVOE1B-QDImLJ1--bII1-hbh-ioc-u^1I11I￡HuobIin"6b-Jo.dhrqllior:7s2Do*L-z-71-E-.i0?bFrJ1&L一1-io-&EJ9?H--7-■t-To7ro￡1}--L-K.d2?-uTn-beu37da?4±b!-=7-y1-5.7.『：'!-a『￡m97It?J-a4B^U7^-4d4Duo1T1I_^r-fl-2uu，『_1■>4□1-0.1-n-1-d?o3^??.ah-33H匚a匚.2"E點(diǎn)4&66XOQ7「00000020.1：100000030;PV00000040:：,￡DOOOOOSO:1.OOOO0O&CI'如M血血KW■00000030.CTI：fBASBAS發(fā)給發(fā)給RadiusRadius的的CHAP-ChallengeCHAP-Challenge屬性屬性5-11數(shù)據(jù)報(bào)文解碼詳解

BE-S3BE日EEtiEcccccccccA-?維卄此頌站BE-S3BE日EEtiEcccccccccA-?維卄此頌站APipJ'lF壯狂匚通Header8如-3(CbaJlE耳#日皿虹吋P虹虹吐尤巧仍-2LBOESHOTEQ