wifi帧格式分析文档及结果报告

1、04. 30Ethernet帧格式分析Wifi帧格式分析2011/5/10wifi帧格式分析一、实验目的及任务1、熟悉并掌握 WireShark的基本操作，了解网络协议实体间的交互以及报文交换。2、分析协议二、实验环境与因特网连接的计算机网络系统；主机操作系统为ubuntu ; WireShark等软件。三、预备知识要深入理解网络协议，需要仔细观察协议实体之间交换的报文序列。为探究协议 操作细节，可使协议实体执行某些动作，观察这些动作及其影响。这些任务可以在仿 真环境下或在如因特网这样的真实网络环境中完成。观察在正在运行协议实体间交换 报文的基本工具被称为分组嗅探器(packet sniffe

2、r)。顾名思义，一个分组嗅探器捕获(嗅探)计算机发送和接收的报文。一般情况下，分组嗅探器将存储和显示出被捕获 报文的各协议头部字段内容。分组捕获库接收计算机发送和接收的每一个链路层帧的拷贝。高层协议(如：HTTP、FTR TCP UDP、DNS IP等)交换的报文都被封装在链路层帧(Frame)中，并沿着物理介质(如以太网的电缆)传输。分组嗅探器的第二个组成部分是分析器。分析器用来显示协议报文所有字段的内容。为此，分析器必须能够理解协议所交换的所有报文的结构。WireShark是一种可以运行在 Windows, UNIX, Linux等操作系统上的分组分析器用户界面如下图所示。最初，各窗口中并

3、无数据显示。WireShark的界面主要有五个组成部分：£! £d4射 口 lui. alyjr i,lirlfU<l Tihphnj日就UM#白ntCQA 、令喘芯受画画找以敏口 #闻甲鑫冲lExpraaakarL. Char Apply1 0,KMO(i- M 谜g 戏g 临2 1.7UO9717；R；«；2D；OD；D4亶 1-345278 JLBIJ25 liBJJ9B7 7 LMJ如F E 1,"相她 3 1.97074710 2.Dftia2fl u mu研 XZ 10.3-9MZ7M 32.S05171La; 02lb：D200:20

4、:00:001£! 09ld;Odcw；zo：og：w>lEiOSOT：2G:D0：mJITiM妙皿2:1 ； WMiZOzCW； wincfl lcor_ddl: SB: 90JJ；M励口供g!妙De-MHMicn3c;dd;M;9Q=0O;21 3c：QdJSH：!KiJiM：253c?33?MHk!ot?21 3c：dd:5B：90:00:25 ICldH-EB!0600*2$ 虹由 5;9Q=(W;H 3c：fd:5B-!9O:OCI；25 it !dH：5B! 90:00 ：2S ：$«：«：» 9c;ddl:M;W:C»21

5、TP"LlrtLT_lE：2B：C4 M；浦布机3c；cdJB；K'-'M；Z5Prcwcol nfcIEEE X 盼W *IEEE*IEEE 战 glH *IEEE 募 DflE - 1£EKIEEE £(MXA « IEEE*IEEE KDatA * ieec -fifnaTi + IEEE *(网U IEEE «Da<4i *ieee SC probe TEES映网皿 IEEE KChaTJi CF-Pol 11. SMli FlM-fl| FlflQ5-cp! bRFi jCLfroIR 主m.R-F.Cfafra

6、l 1 r Sh-0, fMl, Fligs-op. .R.F： cf -pal 1 r eT. fn-0, Flagsci. .r.f. CF-Roll |.FF| Fl-Bg3>-q?. R.F.CF-fsll s Sw-fl, 5. Flags-cp. .R.Fi cf-poI 1, snT. fm-O, Flags-op. .r.i=. CF-POll, sw*d. FS. Fl*必F，rLF CF-Pfflll(. SMSj FiM-flj Flagf-cp. i.RF. r皿y SfM, FN-4, FlAgACF-Pll i. E-0. fn-4,-R-.F.CF-Foll

7、, SN-fl, FN-fl, Flan5-cp. . H.F.ssic-applt'2-fw 4: 96 wes 顷 wir64 prs). S6 byr睥匚神 1叩电4 (?的 bits-.' IEEE WZ.ll Daca + CF-Poll s Fl*gm; op. a R.F.-naica. (fi* bvt)WOO 的m OTZQ MJ& 004D 海G002 w G b M r J c Ea1835 u"i d 5 日心尊尊«9 d 2 4 2 cCIM.45C4 a T o 1 T 7 6 i 2f Xu-2 2 4 fi 1 A&a

8、mp;Qd a 4 ekhwm -UM 9 zs 7. b ? 1 5oo 眺 ic 加 ca. ba 22 CO dd 21 * if 幽 it 7c fd ae c7 05 B? b9 7J 共 «1 ?J fb N ” X W 1£ 日弥 AS 70 M d7 O9 49 Oa W 60 bB SEJU-工 J-， a. . !*.* . l a u ( I ii L - d J , ,Mtl_ HM, U' M' -W . . . U. £. 1.Tu. .L_ .¥命令菜单(command menus):命令菜单位于窗口的最顶部

9、，是标准的下拉式菜单。最常用菜单命令有两个：File、Capture。File菜单允许你保存捕获的分组数据或打开一个已被保存的捕获分组数据文件或退出WireShark程序。Capture菜单允许你开始捕获分组。捕获分组列表(listing of captured packets )：按行显示已被捕获的分组内容，其中 包括：WireShark赋予的分组序号、捕获时间、分组的源地址和目的地址、协议类型、 分组中所包含的协议说明信息。单击某一列的列名，可以使分组按指定列进行排序。04. 30wifi帧格式分析4在该列表中，所显示的协议类型是发送或接收分组的最高层协议的类型。分组头部明细(detail

10、s of selected packet header )：显示捕获分组列表窗口中被选 中分组的头部详细信息。分组内容窗口( packet content):以ASCII码和十六进制两种格式显示被捕获帧的 完整内容。显示筛选规则(display filter specification )：在该字段中，可以填写协议的名称或 其他信息，根据此内容可以对分组列表窗口中的分组进行过滤。源主机源主机艄息或潦数或段(KP)IP数据报应用层传轿层应用玦传输层网络房数据觥层V网络帧物理层1Wireshark所捕获的包符合了 TCP/IP的总体网络层次结构：数据链路层，网络层,传输层与应用层。四、帧结构简介无

11、线中的数据传播有如下相似的格式：PreamblePLCPUsw OafaCRCR.jsic Vtih”e ronii.it in U (E 802.11其中preamble是一个前导标识，用于接收设备识别 802.11 ,而PLCP域中包含一 些物理层的协议参数，显然 Preamble及PLCP是物理层的一些细节。MAC层处理的是 帧数据，截取上图中 MAC头开始的部分构成 MAC帧格式如下所示：ztote: 22s<2fil4Fnm*匚5心DurwUcm/ IOAdOrcsv 1Acktf 2Addrnt 3Sequeoc* ControlJMdrrw 4Qo3FrameFCSMACM

12、AC frame format04. 30wifi帧格式分析MAC Header （MAC头）:Frame Control （帧控制域）,Duration/ID （持续时间 /标识）， Address （地址域），Sequence Control （序列控制域）、QoS Control（服务质量控制）；Frame Body （帧体部分）：包含信息根据帧的类型有所不同，主要封装的是上层的数据单元， 长度为02312个字节，可以推出，802.11帧最大长度为：2346个字节；FCS（校验域）： 包含32位循环冗余码。针对帧的不同功能，可将802.11中的MAC帧细分为以下3类：1）控制帧：用于竞争

13、期间的握手通信和正向确认、结束非竞争期等；2） 管理帧：主要用于 STA与AP之间协商、关系的控制，如关联、认证、同步等；3）数据帧：用于在竞争期和非竞争期传输数据。Frame Control （帧控制域）中的 Type （类型域）和 Subtype （子类型域）共同指出 帧的类型，当Type的B3B2位为00时，该帧为管理帧；为 01时，该帧为控制帧；为 10时，该帧为数据帧。而 Subtype进一步判断帧类型，如管理帧里头细分为关联和认 证帧，管理帧的帧格式如下图所示：Rkm*CofAmDura lionAddrcus 1 IDA>3AsssioS»qu4ficnFrame

14、 BcxtyFCSOdets. 226fl20-23134>MAC HeaderManagement frame format数据帧帧格式如下图所示：CoAtrotDuraBignAdd rew 1AMrwtiAdccn 3S*quence ControlMdrtt»4QqS ControlFrwwBodyFCSOcM. ?S1SJ<10-21U4MACData frame五、帧格式分析A.数据帧Frame 60: 60 bytes on wire (480 bfts), 60 bytes captured (480 IEEE 802.11 DAtA + CF-Pollt

15、 Flags: op.R.F.Type/Subtype: Data + CF*Pd11 (0x22) Frame control: OxtA28 (Normal5Version： QType：(?)subtype: 2 i-i blags: Oxca10 = DS status: Frame from DS to a STA via AP(To DS： Q From os： toxoz)0., = wore Fragments: This Is the last fragment.1. = Rttfy： Frame 1s being retransmittedQ . - FWR MGT： ST

16、A Will Stay up.0-Mor e Data: No data buffered.1 -Protected flag: Data is protected1 -Order flag: Strictly orderedDuration: 7936estdinafion address: 3c Ldd : 56:0:00:25 (3c:dd: 5B j 90 jOO:25)B55 Id: *6:lc:2B:u:30:262S:ca;3O;26)Source address： df:0?：00:20:00:00 (4f;02:00:?0:00:00JFragment number: 0se

17、quence number: 0i*i TkIP/CCMP parameters Data byres)ata： e9dfZ4096b71<l56905097cc7a52292ae20253elZf549fe86. r .Length: 280000001000200030Zff ca 00 If 3c 4f 02 W 2& df 24 09 6b Z5 珀 12 f5Data+CF-Poll:该帧只归AP所有，所具有的功能：一个是表示有数据要发送，一个表示将要轮询接收该数据的站点，即接受数据的站点和被轮询的站点相同。目的地址：是一个 6字节的 mac地址：3c: dd: 58:

18、 90: 00: 25源地址：也是一个 6字节 mac地址：4f: 02: 00: 20: 00: 00BSS ID 86: 1c: 28: ca: 30: 26Frame control: OxCAZS (Noriral)version: 0Type: Data frame (2)Subtype: 2 Flags: Oxca10 = ds status: Frame from ds to a sta via ap(to ds： 0 From ds： 1) (0x02).0+, = More Fragments: This h the 1 ast fragment.,.1.,. = Retry

19、: Frame is being retransmitted.0 . =PWR MGTI 5TA 11 Stay up- More Data: N。 data buffered,1 = Protected flag: Data 1s protected1 = Order flag: Strictly ordered帧控制（Framecontro1 ）域有11个子域，其中第一个子域是协议版本（Version）。接卜来是类型域（Type，如数据帧、控制帧或者管理帧）和子类型域（Subtype）。DS status域表明了该帧是来自于跨单元的分布系统。More Fragments 域意味着这是 th

20、e last fragment 。Retry域表明了这是以前发送的某一帧的重传。电源管理域是由基站使用的。More域表明发送方是否还有更多的帧要发送给该接受方。Protected flag域表明数据是否是被保护的。Order flage域表面帧是严格按顺序的。Duration表明帧的持续时间。TKIP/CCMP paramenters是关于加密的部分。B.管理帧Frame 61: 47 bytes an trire (376 bits) 3 47 bytes captuirfrd (3?6 bits)阀 61 156.410078kitelC&r：58：« Tp-LinkT

21、lc：2S： EEE 302.11 Probt Request 5N=0. FNzO.FIagi：.弟心三邮质 a EiEEE 802u 11 Probe Bequest. Flags: Type/subrype: probe Requ-esT： (0x04) a Fraj*e control:(Ncrmg.il)Versioni ClTypte: Mibrsag曲m电nr frame (0) subtype: 4 Flags: 0x0»00 ds status: not leaving ds or network is operating in ad-hoc mode Cto os

22、: 0 rroo ds: 0) (OxOfl)一.口，. - More Fr-gments: This 1s rhe last fragment- 0. u B = Retry: Frame is not bei r>g retransmi tted.nn0 .“ PWR MGT; STA will £C>y upB r o, r, . More cxaia: no dsxa bufferedq, uu - B = Protected flag: Data is not protectedD .” order flag: Not strictHy orderedDuratioriij QDestination address: Tp-LninkT_Xe :2S: ca (00 : 2S :S6:lcz 2& ica)Sourte address; lntelcor_dd:58:M (00:lf:3t:dd:50:90)BSS Id： Tp-LlnkT_lC：2S：C3 (O0：25：86：lC：Z«：Ci)Fragment nuaber: 0Sequence nunber; 0上 I&#