软件使用－ 科来网络分析系统50常见协议数据包解码详解.doc

科来网络分析系统5.0常见协议解码详解 数据包封包分层 数据包解码说明 数据链路层 Data Link Layer 如：设备驱动 网络层 Network Layer 如：IP，ICMP，IGMP等 传输层 Transport Layer 如：TCP，UDP 应用层 Application Layer 如：FTP，HTTP，Email等 下图是科来网5.0对数据包的解码图，其中对数据包中的每一层协议分别进行了解码分析： 这里面，我们可以看到协议由外向内封装，分别是： 数据链路层对应“Ethernet II”协议； 网络层对应“IP”协议； 传输层对应“UDP”协议； 应用层对应“DNS”协议。 下面我们就分别对这四层协议做详细解释。 以太网数据包结构 Ethernet II的详细资料，可参见网页：/protocols/protocol_Ethernet%20Type%202.php协议结构为： 7 1 6 6 2 46-1500bytes 4 Pre SFD DA SA Length Type Data unit + pad FCS 下图是科来网5.0对Ethernet II协议解码后的内容，我们利用此实例进行说明： 目标MAC地址 0位开始/6 bytes长 源MAC地址 6位开始/6 bytes长 上层协议 12位开始/2 bytes长 字段 说明 Destination address DA，目标MAC地址6 字节 Source addresses SA，源MAC地址6 字节 Protocol Length Type，承载的上层协议类型 Data unit + pad，数据字段（46-1500bytes） FCS检验（4bytes） MAC地址： MAC地址为16进制编码，在解码中可以将前3 bytes代表厂商的字段翻译出来，方便定位问题，如网络上有两台设备IP地址冲突，可以通过厂商信息方便的将故障设备找到，如00e04C为TP-LINK，000AKB为迅捷，00A0C9为Intel等等，此资料可参见科来软件提供的Ethernet Codes master page (Ethernet.txt)。 上层协议： Ethernet II 承载的上层协议主要包括0x800为IP协议和0x806为ARP协议。 IP协议结构 IP的详细资料，可参见网页：/protocols/protocol_IP.php IP头的结构如下： 4 8 16 19 32bits Ver IHL Type of service Total length Identification Flags Fragment offset Time to live Protocol Header checksum Source address Destination address Option + Padding Data 下图是科来网5.0对IP层解码后的内容，我们利用此实例进行说明： 下面是IP协议解码的对应字段解释： 字段 说明 Version: 4 版本号为4，即IPv4协议， Header Length: 5 头部长度20字节，5 bits Type of service: 000 0000 服务提供类型，显示参数摘要。 Precedence 优先路由信息 Delay 迟延 Throughput 吞吐量 Reliability 可靠性 Total Length: 131 总长131（单位字节，最长为65535字节） Identification: 10403 标识 Fragmentation Flags: 000. 标志 Reserved: 保留 Fragment: 片断 More Fragment: 最后片断 Fragment Offset: 0 偏移量 Time to Live: TTL, 科来网络分析系统5.0TTL=0的数据包 Protocol: 17 是哪种协议，1–ICMP，6 – TCP， 17 – UDP，89 – OSPF Check Sum: 0xCE73 对IP协议头的校验合，0xCE73 为正确 Source IP: 源IP地址 Destination IP: 目标IP地址 ARP协议结构 ARP的详细资料，可参见网页： /proto