常见协议解码详解Word格式文档下载.docx

常见协议解码详解Word格式文档下载.docx

《常见协议解码详解Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《常见协议解码详解Word格式文档下载.docx（14页珍藏版）》请在冰豆网上搜索。

Dataunit+pad

FCS

下图是EthernetII协议解码后的内容，利用此实例进行说明：

目标MAC地址0位开始/6bytes长

源MAC地址6位开始/6bytes长

上层协议12位开始/2bytes长

字段

说明

Destinationaddress

DA，目标MAC地址6字节

Sourceaddresses

SA，源MAC地址6字节

Protocol

LengthType，承载的上层协议类型

Dataunit+pad，数据字段（46-1500bytes）

FCS检验（4bytes）

MAC地址：

MAC地址为16进制编码，在解码中可以将前3bytes代表厂商的字段翻译出来，方便定位问题，如网络上有两台设备IP地址冲突，可以通过厂商信息方便的将故障设备找到，如00e04C为TP-LINK，000AKB为迅捷，00A0C9为Intel等等，

上层协议：

EthernetII承载的上层协议主要包括0x800为IP协议和0x806为ARP协议。

●IP协议结构

IP头的结构如下：

8

16

19

32bits

Ver

IHL

Typeofservice

Totallength

Identification

Flags

Fragmentoffset

Timetolive

Headerchecksum

Sourceaddress

Option+Padding

Data

下图是IP层解码后的内容，利用此实例进行说明：

下面是IP协议解码的对应字段解释：

Version:

4

版本号为4，即IPv4协议，

HeaderLength:

5

头部长度20字节，5bits

Typeofservice:

0000000

服务提供类型，显示参数摘要。

Precedence

优先路由信息

Delay

迟延

Throughput

吞吐量

Reliability

可靠性

TotalLength:

131

总长131（单位字节，最长为65535字节）

Identification:

10403

标识

FragmentationFlags:

000.....

标志

Reserved:

保留

Fragment:

片断

MoreFragment:

最后片断

FragmentOffset:

0

偏移量

TimetoLive:

TTL,科来网络分析系统5.0将丢弃TTL=0的数据包

Protocol:

17

是哪种协议，1–ICMP，6–TCP，17–UDP，89–OSPF

CheckSum:

0xCE73

对IP协议头的校验合，0xCE73为正确

SourceIP:

192.168.1.1

源IP地址

DestinationIP:

192.168.1.2

目标IP地址

●ARP协议结构

以下是ARP协议结构：

32bits

HardwareType

ProtocolType

Hardwareaddresslength

Protocoladdresslength

Opcode

SenderHardwareAddress

SenderProtocolAddress

TargetHardwareAddress

TargetProtocolAddress

下图是对ARP协议进行解码视图：

我们对上图中的ARP字段进行详细说明：

HardwareType:

（硬件类型）占16bits，用来定义运行ARP的网络类型，每一个局域网基于其类型被指定一个整数，例如，以太网是类型1，ARP可以使用在任何网络上。

ProtocolType:

0x0800

（协议类型）占16bits，用来定义协议的类型。

如：

0x0800代表IP协议，ARP可用于任何高层协议。

HardwareLength:

6

（硬件长度）占8bits，用来定义物理地址和长度。

以太网值为6。

ProtocolLength:

（协议长度）占8bits，用来定义物理地址和长度。

IPv4值为4。

Type:

1

（操作类型）占16bits，用来定义操作类型，请求为1，回答为2。

SourcePhysics:

00:

A0:

C9:

BB:

21:

2A

源MAC地址

SourceIp

192.168.1.3

DestinationPhysics:

00

目标MAC地址，对于ARP请求数据包，此值全为0，因为请求主机并不知道目标主机的MAC地址

192.168.1.1

●TCP协议结构

以下是TCP协议的结构：

16

Sourceport

Destinationport

Sequencenumber

Acknowledgementnumber

Offset

Reserved

U

A

P

R

S

F

Window

Checksum

Urgentpointer

Option+Padding

Data

下图是对TCP协议进行解码视图：

我们对上图中的TCP字段进行详细说明：

SourcePort:

80

源端口，HTTP为80端口

DestinationPort:

3406

目标端口

SequenceNumber:

4161759990

32bits.Thesequencenumberofthefirstdataoctetinthissegment（exceptwhenSYNispresent）.IfSYNispresent,thesequencenumberistheinitialsequencenumber（ISN）andthefirstdataoctetisISN+1.

AckNumber:

32bits.IftheACKcontrolbitisset,thisfieldcontainsthevalueofthenextsequencenumberwhichthesenderofthesegmentisexpectingtoreceive.Onceaconnectionisestablished,thisvalueisalwayssent.

DataOffset:

4bits.Thenumberof32-bitwordsintheTCPheader.Thisindicateswherethedatabegins.ThelengthoftheTCPheaderisalwaysamultipleof32bits.

Reserved:

6bits.Reservedforfutureuse.Mustbeclearedtozero.

Urgentpointer:

Urgentpointerfieldsignificant.

Acknowledgmentnumber

Acknowledgmentfieldsignificant.

PushFunction:

Pushfunction.

Resettheconnection:

Resettheconnection.

Synchronizesequence:

Synchronizesequencenumbers.

Endofdata:

Nomoredatafromsender.

Window

16bits.Itspecifiesthesizeofthesender'

sreceivewindow,thatis,thebufferspaceavailableinoctetsforincomingdata.

16bits.Thechecksumfieldisthe16bitone¡

¯

scomplementoftheone¡

scomplementsumofall16-bitwordsintheheaderandtext.Ifasegmentcontainsanoddnumberofheaderandtextoctetstobechecksummed,thelastoctetispaddedontherightwithzerostoforma16-bitwordforchecksumpurposes.Thepadisnottransmittedaspartofthesegment.Whilecomputingthechecksum,thechecksumfielditselfisreplacedwithzeros.

UrgentPointer

16bits.Thisfieldcommunicatesthecurrentvalueoftheurgentpointerasapositiveoffsetfromthesequencenumberinthissegment.Theurgentpointerpointstothesequencenumberoftheoctetfollowingtheurgentdata.ThisfieldcanonlybeinterpretedinsegmentsforwhichtheURGcontrolbithasbeenset.

●DNS协议结构

以下是DNS协议的结构：

17

21

22

23

24

25

26

27

28

32

QR

AA

TC

RD

RA

Z

AD

CD

Rcode

Questioncount

Answercount

Authoritycount