首页天道酬勤ip抓包分析(wireshark抓包过滤)

ip抓包分析(wireshark抓包过滤)

admin 01-28 20:05 282次浏览

摘要:本文从以太网和wifi的帧格式入手进行分析,讨论了帧结构中各字段的含义,并举例说明了该如何分析,加深了读者对帧格式的理解,加强了wireshark的应用。

关键字: wireshark; 以太网; 无线保真

中图分类编号: TP393文献识别码: a文章编号: 1009-3044(2011 ) 28-6831-02

Use Wireshark to Analyze a Frame

白街

(Shanghai Tongji University,Shanghai 201800,China )

abstract 3360 thisarticletalksabouttheframeformatofethernetandwifi,anditalsodiscussthemeaningofeachdomain,from this article, wecanlearnhowtousewiresharktoanalyzeaframe,andourcomprehensionofitisalsobeendeepen。

key word :无线; 以太网; 无线保真

1预备知识

要深入理解网络协议,必须仔细观察协议实体之间交换的消息序列。 在运行中的协议实体之间交换消息的基本工具称为数据包嗅探器(数据包捕获库,分析器)。

包捕获库接收计算机发送和接收的每个链路层帧的副本。 上层协议交换的消息被封装在链路层帧中并通过物理介质发送。

分析器显示协议消息中所有字段的内容。 为此,分析器必须能够理解协议交换的所有消息的结构。

WireShark是一个数据包分析器,可以在Windows、UNIX等操作系统上运行,有五种配置:命令菜单、捕获组列表、包头详细信息、组内容窗口和显示过滤器规则捕获的数据包符合TCP/IP的总体网络层。

2互联网框架结构介绍

以太网ii类型以太网帧的最小长度为64字节,最大长度为1518字节(6 6 2 1500 4 )。 前12个字节分别标识发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址。

以下两个字节标识以太网帧所拥有的高层数据类型。 例如,0x0800表示IP协议数据,0x809B表示AppleTalk协议数据,0x8138表示Novell类型的协议数据等。

不定长度的数据字段后有一个4字节的帧检查序列,通过32位CRC循环冗馀校验检查从目标MAC地址字段到数据字段的数据。

分组分析时没有导频域和校验码,是因为物理层在将数据传递到数据链路层时丢弃了FCS和导频域。

3 Wifi帧格式概述

802.11帧格式

------------- -请参阅

前序数据

其中,preamble是接收设备用于识别802.11的前导码标识符,PLCP域中包括某些物理层协议参数,而显然preamble和PLCP是物理层的一部分的细节。

其中,包含在MAC帧中信息根据帧的类型而不同,但主要封装了上层的数据单元,长度为0-2312字节,可以发售,802.11帧的最大长度为2346字节。

根据帧的各种功能,802.11 MAC帧可以分为三大类:

1 )控制帧)用于竞争期间握手通信、正向确认、非竞争期间结束等

2 )管理帧)主要用于STA与AP之间的协商、关系控制,如关联、认证、同步等;

3 )数据帧)用于在冲突期间和非冲突期间传输数据。

Mac帧的帧控制域的类型和子类型都指示帧的类型,并且如果类型的B3B2比特为00,则该帧为管理帧; 在01的情况下,该帧是控制帧; 如果为10,则此帧为数据帧。 子类型还确定帧类型,例如,在管理帧中细分成关联度和认证帧。

4帧格式分析示例

a .以太网

b .以太网ii,src : Sony _ ef : c 733602 d (0033601 a 3360803360 ef : c 733602 d ),DST:IPv4mcast_7f3360f3360

c .类型: IP (0* 0800 ) ) )。

目标地址为标准的6字节mac地址: 01:00:5e: 7f: ff: fa,这表明它是多播地址。

源地址也是标准的6字节mac地址。 00:1a :803360 ef : c 733602 d,网卡检查本机mac地址,知道目标地址是本机mac地址。

由于类型域类型为2字节(0800 ),表示上网络层使用的协议,是接入因特网的主机和路由器,所以很容易知道网络层使用的协议是IP协议。

以太网帧的标头现在结束,然后是数据域。

000001 00 5e

7f ff fa 00 1a80 ef c7 2d 08 00 45 00 ..^..... ...-..E.

001000 a1 02 3d 00 00 01 1127 af a9 fe f5 67 ef ff ...=.... '....g..

0020ff fa e8 10 07 6c 00 8d8f ff 4d 2d 53 45 41 52 .....l.. ..M-SEAR

0030……

a.01 00 5e 7f ff fa 00 1a 80 ef c7 2d是目的地址和源地址

b.0800是协议类型,0800为ip协议

c.下一行中的14-33字节,指的是网络层的协议分析。含有发送方的ip地址和接收方的ip地址,校验码等

000045 00 00 a1 02 3d 00 0001 11 27 af a9 fe f5 67 ..^..... ...-..E.

0010ef ff ff fa ...=.... '....g..

d.后面的20个字节,显示的是传输层的各种信息,端口号,传输层的具体协议,窗口大小等

e.之后的所有字节就是头信息中各种反馈信息,cookies,语言等等

D.Wifi

IEEE 802.11 Data+CF-Poll, Flags : op..R.F.

Type/Subtype: Data + CF C Poll (0*22)

Destination address: 3c: dd: 58: 90: 00: 25

Source address: 4f: 02: 00: 20: 00: 00

Data+CF-Poll: 该帧只归AP所有,功能是表示有数据要发送,或将要轮询接收该数据的站点,即接受数据的站点和被轮询的站点相同。

目的地址是6字节的mac地址:3c: dd: 58: 90: 00: 25

源地址是6字节mac地址:4f: 02: 00: 20: 00: 00

Frame Control: 0*CA28 (Normal)

Version:0

Type: Data frame (2)

Subtype: 2

Flags: 0*CA

…. ..10= DS status: Frame from DS to a STA via AP(To DS: 0 From DS:1) (0*02)

…. .0..= More Fragments: This is the last fragment

…0 ….=PWR MGT: STA will stay up

..0. ….=More Data: Nodata buffered

.1.. ….=Protected flag: Data is protected

1… ….=Order flag: Strictly ofdered

帧控制域有11 个子域,其中第一个子域是协议版本。接下来是类型域和子类型域。

DS status域表明了该帧是来自于跨单元的分布系统。

More Fragments域意味着这是the last fragment。

Retry域表明了这是以前发送的某一帧的重传。

电源管理域是由基站使用的。

More 域表明发送方是否还有更多的帧要发送给该接受方。

Protected flag域表明数据是否是被保护的。

Order flage域表面帧是严格按顺序的。

5 总结

实践是我们学习过程中必不可少的一个环节,动手有助于加强我们对于笼统的概念的理解,同时也引导我们的进行适当的思考。在考研中我们也越来越重视对于实践的考察,正如2011年考研题目网络的最后一个大题一样,如果平时没有进行必要的训练,很难在较短的时间内得出满意的答案。所以,每个学生都应该积极主动的加强自己的动手训练,努力达到技能和知识上的双赢。

参考文献:

[1] Tanenbaum A S.计算机网络(修订版)[M].4版.北京:清华大学出版社,2005.

如何为eslintnextline禁用多个规则c#winform多线程的小例子crond定时任务详解docker-compose速度太慢解决方式容器云的优势有哪些?
用wireshark怎么抓包(ip抓包分析) wireshark抓一个网段(wireshark分析arp攻击)
相关内容