以太网层的数据帧格式:
前导码:由7字节的前同步码和1字节的帧起始定界符构成
起始定界符:这个字段用1字节(10101011)作为帧开始的信号,表示一帧的开始。最后两位是11,表示下面的字段是目的地址。
目的地址(DA): 共48位,表示帧准备发往目的站的地址,共6个字节,可以是单址(代表单个站)、多址(代表一组站)或全地址(代表局域网上的所有站)。当目的地址出现多址时,表示该帧被一组站同时接收,称为“组播”(Multicast)。目的地址出现全地址时,表示该帧被局域网上所有站同时接收,称为“广播”(Broadcast),通常以DA的最高位来判断地址的类型,若第一字节最低位为“0”则表示单址,第一字节最低位为“1”则表示组播。
源地址(SA):共48位,表明该帧的数据是哪个网卡发的,即发送端的网卡地址。
类型:该字段用于标识数据字段中包含的高层协议,也就是说,该字段告诉接收设备如何解释数据字段。例如:0X0800代表为IP,0X0806代表为ARP。
数据:数据字段的最小长度必须为46字节以保证帧长至少为64字节,这意味着传输一字节信息也必须使用46字节的数据字段:如果填入该字段的信息少于46字节,该字段的其余部分也必须进行填充。数据字段的默认最大长度为1500字节。
帧检验序列(FCS):FCS是32位冗余检验码(CRC),检验除前导、SFD和FCS以外的内容。当发送站发出帧时,一边发送,一边逐位进行CRC检验。最后形成一个32位CRC检验和填在帧尾FCS位置中一起在媒体上传输。接收站接收后,从DA开始同样边接收边逐位进行CRC检验。最后接收站形成的检验和若与帧的检验和相同,则表示媒体上传输帧未被破坏。反之,接收站认为帧被破坏,则会通过一定的机制要求发送站重发该帧。
上图信息:
源地址:192.168.1.102 Shenzhen_10:a7:e7 (00:0a:eb:10:a7:e7)
目标地址:119.112.99.90 Shenzhen_8d:6c:06(00:14:78:8d:6c:06)
协议:UDP
1. 自己捕获网络活动,并形成一个数据文件。查看其特点。
截图如下:
抓取的包(NBNS协议):
分析上图如下:
解释:5号帧,线路上有60字节,实际捕获60字节
解释:捕获时间为2013年11月17日16:32:19.42475000
解释:测试时间为1384677139.42475000秒
解释:此包与前一捕获帧的时间间隔为0秒,与前一个显示帧时间间隔为0秒, 与第一帧的时间间隔为 0秒。(注意:因为这是第一个包所以都是0)
解释:帧号为1,帧长为92字节,捕获到的帧长位92字节。
解释:此帧没有被标记且没有被忽略,帧内封装的协议的层次结构为帧-ip-ndp-nbns,用不同颜色染色标记的协议名为SMB,染色显示规则字符串为smb或者nbss或者nbns或者nbipx或者ipsap或者netbios.
分析上图如下:
解释:EthernetⅡ的源地址为wistroni_90:c8:31(f0:de::f1:90:c8:31),目的地址为Broadcast(ff:ff:ff:ff:ff:ff)(广播地址)
解释:目的地:广播地址(ff:ff:ff:ff:ff:ff)
LG位:本地管理的地址(这是不是出厂默认)
IG位:组地址(多播/广播)
解释:源地址:wistroni_90:c8:31(f0:de::f1:90:c8:31)
LG位:全球唯一的地址(出厂默认)
IG位:个人地址(单播)
类型:IP(为0x0800)
分析上图如下:
解释:Internet协议版本4
源地址:120.95.132.115
目的地址:120.95.133.255
解释:版本4
报头的长度:20字节
解释:区分服务领域:为0x00(DSCP:默认为0x00; ECN:0x0的:不ECT(不支持ECN的运输))
总长度78
标识:0x2998(10648)
解释:标志:0x00
片段偏移:0
生存时间:64
协议:UDP(17)
解释:头校验和:0x25c4[正确]
源地址:120.95.132.115
目的地址:120.91.133.255
分析上图如下所示:
解释:用户数据报协议,源地址端口:netbios-ns(137),目的地址端口:netbios-ns(137)
长度:58
解释:校验[失败](注意:因为,wireshark不自动做tcp校验和的检验。有时tcp校验和会由网卡计算,因此wireshark抓到的本机发送的tcp数据包的校验和都是错误的,这样检验校验和根本没意义。)
NBNS协议:
NBNS协议是网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分,它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法
NetBIOS是Network Basic Input/Output System的简称,一般指用于局域网通信的一套API
主要功能
1.名字服务:名字登记和解析
2.会话服务:可靠的基于连接的通信
3.数据包服务:不可靠的无连接通信
抓取的以下包和上一个个是差不多就不详细写了,主要介绍一些协议.
ICMPV6协议
ICMPv6是Internet Control Message Protocol Version 6的简称,译为第六版互联网控制信息协议。
主要功能
4.通告网络错误。比如,某台主机或整个网络由于某些故障不可达。如果有指向某个端口号的 TCP 或 UDP 包没有指明接受端,这也由 ICMP 报告。
5. 通告网络拥塞。当路由器缓存太多包,由于传输速度无法达到它们的接收速度,将会生成“ ICMP 源结束”信息。对于发送者,这些信息将会导致传输速度降低。当然,更多的 ICMP 源结束信息的生成也将引起更多的网络拥塞,所以使用起来较为保守。
6.协助解决故障。ICMP 支持 Echo 功能,即在两个主机间一个往返路径上发送一个包。 Ping 是一种基于这种特性的通用网络管理工具,它将传输一系列的包,测量平均往返次数并计算丢失百分比。
7.通告超时。如果一个 IP 包的 TTL 降低到零,路由器就会丢弃此包,这时会生成一个 ICMP 包通告这一事实。TraceRoute 是一个工具,它通过发送小 TTL 值的包及监视 ICMP 超时通告可以显示网络路由。
ARP协议:
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
主要功能
1. 交换网络的嗅探
2. IP地址冲突
3. 阻止目标的数据包通过网关
4. 通过ARP检测混杂模式节点
ICMP协议:
ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。
主要功能
1.侦测远端主机是否存在。
2.建立及维护路由资料。
3.重导资料传送路径。
4.资料流量控制
SSDP协议:
简单服务发现协议(SSDP,Simple Service Discovery Protocol)是一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一。
UDP协议:
UDP 是User Datagram Protocol的简称, 中文名是用户数据包协议,是 OSI(开放式系统互联) 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETF RFC 768是UDP的正式规范。
主要功能:
为了在给定的主机上能识别多个目的地址,同时允许多个应用程序在同一台主机上工作并能独立地进行数据报的发送和接收,设计用户数据报协议UDP。
使用UDP协议包括:TFTP、SNMP、NFS、DNS、BOOTP
UDP使用底层的互联网协议来传送报文,同IP一样提供不可靠的无连接数据报传输服务。它不提供报文到达确认、排序、及流量控制等功能。
LLMNR协议:
在DNS 服务器不可用时,DNS 客户端计算机可以使用本地链路多播名称解析 (LLMNR—Link-Local Multicast Name Resolution)(也称为多播 DNS 或 mDNS)来解析本地网段上的名称。
TCP协议:
TCP:Transmission Control Protocol 传输控制协议TCP是一种面向连接(连接导向)的、可靠的、基于字节流的传输层(Transport layer)通信协议,由IETF的RFC 793说明(specified)。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,UDP是同一层内另一个重要的传输协议。
服务特点:
1.面向连接的传输;
2.端到端的通信;
3.高可靠性,确保传输数据的正确性,不出现丢失或乱序;
4.全双工方式传输;
5.采用字节流方式,即以字节为单位传输字节序列;
6.紧急数据传送功能。