常见协议解码详解常协议解码详解.doc

常见协议解码详解 数据包封包分层 数据包解码说明 数据链路层 Data Link Layer 如：设备驱动 网络层 Network Layer 如：IP，ICMP，IGMP等 传输层 Transport Layer 如：TCP，UDP 应用层 Application Layer 如：FTP，HTTP，Email等 下图是对数据包的解码图，其中对数据包中的每一层协议分别进行了解码分析： 这里面，我们可以看到协议由外向内封装，分别是： 数据链路层对应“Ethernet II”协议； 网络层对应“IP”协议； 传输层对应“UDP”协议； 应用层对应“DNS”协议。 下面我们就分别对这四层协议做详细解释。 以太网数据包结构 协议结构为： 7 1 6 6 2 46-1500bytes 4 Pre SFD DA SA Length Type Data unit + pad FCS 下图是Ethernet II协议解码后的内容，利用此实例进行说明： 目标MAC地址 0位开始/6 bytes长 源MAC地址 6位开始/6 bytes长 上层协议 12位开始/2 bytes长 字段 说明 Destination address DA，目标MAC地址6 字节 Source addresses SA，源MAC地址6 字节 Protocol Length Type，承载的上层协议类型 Data unit + pad，数据字段（46-1500bytes） FCS检验（4bytes） MAC地址： MAC地址为16进制编码，在解码中可以将前3 bytes代表厂商的字段翻译出来，方便定位问题，如网络上有两台设备IP地址冲突，可以通过厂商信息方便的将故障设备找到，如00e04C为TP-LINK，000AKB为迅捷，00A0C9为Intel等等， 上层协议： Ethernet II 承载的上层协议主要包括0x800为IP协议和0x806为ARP协议。 IP协议结构 IP头的结构如下： 4 8 16 19 32bits Ver IHL Type of service Total length Identification Flags Fragment offset Time to live Protocol Header checksum Source address Destination address Option + Padding Data 下图是IP层解码后的内容，利用此实例进行说明： 下面是IP协议解码的对应字段解释： 字段 说明 Version: 4 版本号为4，即IPv4协议， Header Length: 5 头部长度20字节，5 bits Type of service: 000 0000 服务提供类型，显示参数摘要。 Precedence 优先路由信息 Delay 迟延 Throughput 吞吐量 Reliability 可靠性 Total Length: 131 总长131（单位字节，最长为65535字节） Identification: 10403 标识 Fragmentation Flags: 000. .... 标志 Reserved: 保留 Fragment: 片断 More Fragment: 最后片断 Fragment Offset: 0 偏移量 Time to Live: TTL, 科来网络分析系统5.0TTL=0的数据包 Protocol: 17 是哪种协议，1–ICMP，6 – TCP， 17 – UDP，89 – OSPF Check Sum: 0xCE73 对IP协议头的校验合，0xCE73 为正确 Source IP: 源IP地址 Destination IP: 目标IP地址 ARP协议结构 以下是ARP协议结构： 8 16 32 bits Hardware Type Protocol Type Hardware address length Protocol address length Opcode Sender Hardware Address Sender Protocol Address Target Hardware Address Target Protocol Address