用Wireshark抓包分析帧格式

1、用Wireshark抓包分析帧格式lSSN10093044ComputerKnowledgeandTechnology电脑知识与技术Vo1.7,No.28,October2011.Email:inf0.C11.enTel:+8655l一56909635690964用Wireshark抓包分析帧格式曰洁(同济大学.上海2018O0)摘要:该文从Ethernet和wifi的帧格式着手进行了分析,并讨论了帧结构的各个字段的含义且对于该如何分析进行了举例,加深了读者对帧格式的理解,增强了wireshark的应用.关键词:wireshark:ethernet:wifi中图分类号:TP393文献标识码:A

2、文章编号:10093044(2011)28683102UseWiresharktoAnalyzeaFrameBAIJie(ShanghaiTongjiUniversity,Shanghai201800,China)Abstract:ThisarticletalksabouttheframeformatofEthernetandwifi,anditalsodiscussthemeaningofeachdomain,fromthisarticle,wecanlearnhowtousewiresharktoanalyzeaflame,andourcomprehensionofitisalsobeen

3、deepen.Keyword:wireshark;ethernet;wifi1预备知识要深入理解网络协议,需要仔细观察协议实体之间交换的报文序列.观察在正在运行协议实体间交换报文的基本工具被称为分组嗅探器(分组捕获库,分析器).分组捕获库接收计算机发送和接收的每一个链路层帧的拷贝.高层协议交换的报文都被封装在链路层帧中,并沿着物理介质传输.分析器用来显示协议报文所有字段的内容.为此,分析器必须能够理解协议所交换的所有报文的结构.WireShark是一种可以运行在Windows,UNIX等操作系统上的分组分析器,由五个组成部分:命令菜单,捕获分组列表,分组头部明细,分组内容窗口,显示筛选规则.其

4、所捕获的包符合了TCP/IP的总体网络层次结构.2Ethernet帧结构简介EthernetII帧格式:前序目的地址l源地址类型数据jCS:l7byte1byte2/6byte2/6byte2byte461500byte4byzeEthernetII类型以太网帧的最小长度为64字节,最大长度为1518字节(6+6+2+1500+4).其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址.接下来的2个字节标识出以太网帧所携带的上层数据类型,如Ox0800代表IP协议数据,0x809B代表AppleTalk协议数据,0x8138代表Novell类型协议数据等.在不定

5、长的数据字段后是4个字节的帧校验序列,采用32位CRC循环冗余校验对从目标MAC地址字段到数据字段的数据收稿El期:20110725作者简介:白洁(1990-),女,河北石家庄人,研究方向为计算机网络.本栏目责任编辑:冯蕾网络迥讯及安全6831ComputerKnowledgeandTechnology电脑知识与技术第7卷第28期(2011年1O月)进行校验.在包分析的时候并没有先导域和校验码,是由于在物理层向数据链路层递交数据时会将FCS和先导域抛弃导致的.3W帧格式简介802.11帧格式PreambleIPLCPIMACIUserDataICRC其中preamble是一个前导标识,用于接收

6、设备识别802.11,而PLCP域中包含一些物理层的协议参数,显然Preamble及PLCP是物理层的一些细节.其中,MAC帧包含信息根据帧的类型有所不同,主要封装的是上层的数据单元,长度为02312个字节,可以推出,802.11帧最大长度为2346个字节.针对帧的不同功能,可将802.11中的MAC帧细分为以下3类:1)控制帧:用于竞争期间的握手通信和正向确认,结束非竞争期等;2)管理帧:主要用于STA与AP之间协商,关系的控制如关联,认证,同步等;3)数据帧:用于在竞争期和非竞争期传输数据.Mac帧中的FrameControl域的Type和Subtype共同指出帧的类型,当Type的B3B

7、2位为00时,该帧为管理帧;为01时,该帧为控制帧;为1O时,该帧为数据帧.而Subtype进一步判断帧类型,如管理帧里头细分为关联和认证帧.4帧格式分析举例A.EthernetB.EthernetII,Src:Sonyef:cT:2d(00:la:80:ef:c7:2d),Dst:IPv4mcast_7f.ff:fa(Ol:O0:5e:7fiff:fa)C.Type:IP(00800)可知目的地址是一个标准的6字节的mae地址:01:O0:5e:7f:if:fa,是一个组播地址.源地址也是一个标准的6字节mac地址:00:la:80:ec7:2d,通过网卡查阅本机的mac地址,知道目的地址就

8、是本机的mac地址.类型域类型为2字节(0800),指明上层网络层所用的协议,由于是接入因特网的主机和路由器,所以也容易知道网络层所用的协议为IP协议.到此为止,以太网帧的头就完了,之后为数据域.000001005e7ffffa00la80efc72d08004500.一一.E.0010O0al023dO0O0O1l127afa9f567efff=.g.0020fffae810076cO08d8fff4d2d53454152.1.MSEAR0030.a.ol0O5e7ffffa0Ola8Oefc72d是目的地址和源地址b.0800是协议类型,0800为ip协议c.下一行中的1433字节,指的是

9、网络层的协议分析.含有发送方的ip地址和接收方的ip地址,校验码等0000450000al023d000001l127afa9f567一.一一E.00l0effffffa=.gd.后面的20个字节,显示的是传输层的各种信息,端口号,传输层的具体协议,窗VI大小等e.之后的所有字节就是头信息中各种反馈信息,cookies,语言等等D.W讯IEEE802.11Data+CFPoll,Flags:0p.R.F.Type/Subtype:Data+CFPoll(022)Destinationaddress:3c:dd:58:90:00:25Sourceaddress:402:00:20:00:O0Da

10、ta+CFPolk该帧只归AP所有,功能是表示有数据要发送,或将要轮询接收该数据的站点,即接受数据的站点和被轮询的站点相同.目的地址是6字节的mac地址:3c:dd:58:90:00:25源地址是6字节mac地址:4f:02:00:20:00:00FrameControl:0CA28(Norma1)Versi0n:0Type:Dataframe(21Subtype:2Flags:0CA10=DSstatus:FramefromDStoaSTAviaAP(ToDS:0FromDS:I)(002).0.:MoreFragments:Thisisthelastfragment6832网络通讯及安全*

11、(下转第6835页)本栏目责任编辑:冯蕾第7卷第28期(2011年10月)CompurKnowledgeandTechnology电脑知识与技术制作因果图,并查明和确认主要原因的方法.4质量分析会质量分析会是质量管理的一个重要环节,质量分析会也是一种能够有效解决问题的管理工具.它不仅是对过去一个时段的工作总结,更是下一个工作时段的工作计划,一旦质量分析会的计划确定后,那么在过去一个工作时段的所有工作务必全部完成.安徽电信工程公司从公司层面每季度组织召开一次质量分析会,在专业公司层面要求每个月组织召开质量分析会一次,对于班组要求在每周例会上进行质量总结分析,避免将问题拖延下去.质量分析会是年初计

12、划(P)的一项重要工作活动,针对这个活动,又需要做好会议前的准备(P),会议中的组织(D)以及会议后的跟进情况(A).作为会议组织者要事先准备好材料,要总结哪些问题,要分析哪些问题,要讨论哪些问题.会议后的执行情况更胜过于质量分析会本身,因此质量分析会上要形成明确的主题,针对过去一个时段存在的问题要有明确的处理措施,会后形成会议纪要下发到所有的专业公司,由职能部门跟踪落实措施的执行情况.5结束语通过以上方法的运用,可以将常规的通信工程质量控制在一个比较理想的范围.PDCA循环管理法是一种很好的解决问题的方法,每个人如果都能够坚持做到PDCA,质量问题将会大大减少.通过抽样检查来发现已经形成的问

13、题,及时做到弥补和改进.通过问题ABC方法能够分析问题的属性.从而可以进一步控制关键问题.质量分析会是一次总结的过程,也是一次布置任务的过程.参考文献:11陇小渝.通信工程质量管理M.北京:人民邮电出版社,2008.21刘伟,刘国宁.质量管理【M】.北京:中国言实出版社,2005.f3】全国一级建造师执业资格考试用书编写委员会编写.建设工程项目管理【M】.北京:中国建筑工业出版社,2011.41全国质量专业技术人员职业资格考试办公室编写的.质量专业综合知SRM.北京:中国人事出版社,2010.】吴基传.世界电信业分析与思考M.北京:新华出版社,2002.61王祖和.现代工程项目管理fM.北京:

14、电子工业出版社,2007.f71简德三.工程项目管理M.上海:上海财经大学出版社,2007.(上接第6832页)0.=PWRMGT:STAwillstayup.0.=MoreData:Nodatabuffered.1一.=Protectedflag:Dataisprotected1?,?.=Orderflag:Strictlyofdered帧控制域有11个子域,其中第一个子域是协议版本.接下来是类型域和子类型域.DSstatus域表明了该帧是来自于跨单元的分布系统.MoreFragments域意味着这是thelastfragment.Retry域表明了这是以前发送的某一帧的重传.电源管理域是由基站使用的.More域表明发送方是否还有更多的帧要发送给该接受方.Protectedflag域表明数据是否是被保护的.Orderflage域表面帧是严格按顺序的.5总结实践是我们学习过程中必不可少的一个