链路层常见报文格式及长度
1. Ethernet帧(除去上层负载后长度为18字节)
以太帧有好多种,我们最常用到的是Ethernet II Ethernet II即DIX 2.0:Xerox与DEC、Intel 在1982年制定的以太网标准帧格式。Cisco名称为:ARPA
Ethernet II类型以太网帧的最小长度为64字节(6+6+2+46+4),最大长度为1518字节(6+6+2+1500+4)。其中前12字节分别标识出发送数据帧的源节点MAC地址和接收数据帧的目标节点MAC地址。(注:ISL封装后可达1548字节,802.1Q封装后可达1522字节)接下来的2个字节标识出以太网帧所携带的上层数据类型,如下:
IPv4: 0x0800
ARP:0x0806
PPPoE:0x8864
802.1Q tag: 0x8100
IPV6: 0x86DD
MPLS Label:0x8847
在不定长的数据字段后是4个字节的帧校验序列(Frame. Check Sequence,FCS)
2. ARP (ARP Header长度:8字节)
硬件类型:1 表示以太网
协议类型:和Ethernet数据帧中类型字段相同
OP操作字段:1 表示ARP请求
2 表示ARP应答
3 表示RARP请求
4 表示RARP应答
3. 802.1q VLAN数据帧(4字节)
基于802.1Q的VLAN帧格式
Type:长度为2字节,取值为0x8100,表示此帧的类型为802.1Q Tag帧。
PRI:长度为3比特,可取0~7之间的值,表示帧的优先级,值越大优先级越高。该优先级主要为QoS差分服务提供参考依据(COS)。
VLAN Identifier (VID): 长度12bits,可配置的VLAN ID取值范围为1~4094。通常vlan 0和vlan 4095预留,vlan1为缺省vlan,一般用于网管。
QinQ帧格式
4. PPP帧(除去信息字段后长度为:8字节)
PPP报文格式
PPP报文的内容是指Address、Control、Protocol和Information四个域的内容。各字段的含义如下。
Flag域Flag域标识了一个物理帧的起始和结束,该字节为0x7E。
Address域PPP协议是被运用在点对点的链路上,它可以唯一标识对方。因此使用PPP协议互连的两个通信设备无须知道对方的数据链路层地址。所以该字节已无任何意义,按照协议的规定将该字节填充为全1的广播地址。
Control域同Address域一样,PPP数据帧的Control域也没有实际意义,按照协议的规定通信双方将该字节的内容填充为0x03。Address和Control域一起表示了此报文为PPP报文,即PPP 报文头为FF03。
Protocol域协议域可用来区分PPP数据帧中信息域所承载的数据报文的内容。
Information 域信息域最大长度是1500字节,其中包括填充域的内容。信息域的最大长度等于PPP 协议中MRU (Maximum Receive Unit )的缺省值。
5. HDLC 帧(除去信息字段后长度为:8字节)
HDLC
帧格式
各字段的含义解释:
6. PPPoE 报文(报文头长度为6字节)
windows系统pppoe MTU大小
默认和最大PPPoE MTU 大小为1,480 字节。对于某些Internet 服务提供商(ISP),您可能需要将PPPoE 连接的MTU 大小降至1,400 和1,480 之间的一个值(例如1,454)。不要将MTU 大小设置为小于1,400。
路由器pppoe拨号时MTU为1492
7. MPLS Label
Label报文格式:
MPLS uses a 32-bit label field that contains the following information:
20-bit label (a number)
3-bit experimental field (usually used to carry IP precedence value)
1-bit bottom-of-stack indicator (indicates whether this is the last label before the IP header)
8-bit TTL (equal to the TTL in IP header),used to prevent indefinite looping of packets.
8.ICMP报文的格式和种类
各种ICMP报文的前32bits都是三个长度固定的字段:type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位)
8bits类型和8bits代码字段:一起决定了ICMP报文的类型。常见的有:
类型8、代码0:回射请求。
类型0、代码0:回射应答。
类型11、代码0:超时。
16bits校验和字段:包括数据在内的整个ICMP数据包的校验和,其计算方法和IP头部校验和的计算方法是一样的。
下图是一张ICMP回射请求和应答报文头部格式
对于ICMP回射请求和应答报文来说,接下来是16bits标识符字段:用于标识本ICMP进程。
最后是16bits序列号字段:用于判断回射应答数据报。
ICMP报文包含在IP数据报中,属于IP的一个用户,IP头部就在ICMP报文的前面
一个ICMP报文包括IP头部(20字节)、ICMP头部(8字节)和ICMP报文
IP头部的Protocol值为1就说明这是一个ICMP报文
ICMP头部中的类型(Type)域用于说明ICMP报文的作用及格式
此外还有代码(Code)域用于详细说明某种ICMP报文的类型
所有数据都在ICMP头部后面。RFC定义了13种ICMP报文格式,具体如下:类型代码类型描述
0 响应应答(ECHO-REPLY)
3 不可到达
4 源抑制
5 重定向
8 响应请求(ECHO-REQUEST)
11 超时
12 参数失灵
13 时间戳请求
14 时间戳应答
15 信息请求(*已作废)
16 信息应答(*已作废)
17 地址掩码请求
18 地址掩码应答
其中代码为15、16的信息报文已经作废。
下面是几种常见的ICMP报文:
1.响应请求
我们日常使用最多的ping,就是响应请求(Type=8)和应答(Type=0),一台主机向一个节点发送一个Type=8的ICMP报文,如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败),则目标返回Type=0的ICMP报文,说明这台主机存在,更详细的tracert 通过计算ICMP报文通过的节点来确定主机与目标之间的网络距离。
2.目标不可到达、源抑制和超时报文
这三种报文的格式是一样的,目标不可到达报文(Type=3)在路由器或主机不能传递
数据报时使用,例如我们要连接对方一个不存在的系统端口(端口号小于1024)时,将返
回Type=3、Code=3的ICMP报文,它要告诉我们:“嘿,别连接了,我不在家的!”,常见的不可到达类型还有网络不可到达(Code=0)、主机不可到达(Code=1)、协议不可到达(Code=2)等。源抑制则充当一个控制流量的角色,它通知主机减少数据报流量,由于ICMP没有恢复传输的报文,所以只要停止该报文,主机就会逐渐恢复传输速率。最后,无连接方式网络的问题就是数据报会丢失,或者长时间在网络游荡而找不到目标,或者拥塞导致主机在规定时间内无法重组数据报分段,这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值:Code=0表示传输超时,Code=1表示重组分段超时。
3.时间戳
时间戳请求报文(Type=13)和时间戳应答报文(Type=14)用于测试两台主机之间数
据报来回一次的传输时间。传输时,主机填充原始时间戳,接收方收到请求后填充接收时间戳后以Type=14的报文格式返回,发送方计算这个时间差。一些系统不响应这种报文。
--------------------------------种类-------------------------------------
ICMP报文格式
ICMP虽然是网络层的协议,但要将ICMP报文放入IP中发送。
ICMP报文的公共头标由1字节的类型(type)、1字节的
代码(code)和2字节的校验和(checksum)组成。
类型域和代码域用来标识各种ICMP报文。类型域表示ICMP报文的类型,目前已定义了14 种,从类型值来看ICMP报文可分为二大类。
第1 类是取值为1~127的差错报文,
第2类是取值128以上的是信息(informational)报文。
1不能到达信宿(Destination Unreachable)差错报文
2分组过大(Packet Too Big)差错报文
3超时(Time Exceeded)差错报文
4参数问题(Parameter Problem)差错报文
128返回请求(Echo Request)报文
129返回应答(Echo Reply)报文
130组成员查询(Group Membership Query)
131组成员报告(Group Membership Report)
132组成员结束(Group Membership Termination)
133路由器请求(Router Solicitation)
134路由器公告(Router Advertisement)
135邻机请求(Neighbor Solicitation)
136邻机公告(Neighbor Advertisement)
137 重定向(Redirect)
2.6 数据链路层数据帧协议分析
实验数据链路层的帧分析 一、实验目的 分析 TCP、UDP的数据链路层帧结构、 二、准备工作 虚拟机XP,虚拟网卡设置,NAT模式,TCP/IP参数设置自动获取。本实验需安装抓包工具软件IPTool。 三、实验内容及步骤 1.运行ipconfig命令 在Windows的命令提示符界面中输入命令:ipconfig /all,会显示本机的网络配置信息。 2.运行抓包工具软件 双击抓把工具软件图标,输入所需参数,和抓包过滤参数,点击捕捉。 3.进行网络访问 进行网络访问,下载文件/搜索资料/www访问/登录邮件系统等均可。 4.从抓包工具中选择典型数据帧 5.保存捕获的数据帧 6.捕获数据帧并分析 1、启动网络抓包工具软件在网络内进行捕获,获得若干以太网帧。 2、对其中的5-10个帧的以太网首部进行观察和分析,分析的内容为:源物理地址、目的物理地址、上层协议类型。 实验过程: 1.TCP协议数据包、数据帧分析 启动IPTool,IE访问https://www.360docs.net/doc/f610697256.html,站点,使用iptool进行数据报的捕获。 TCP报文如下图:
根据所抓的数据帧进行分析: (1)MAC header 目的物理地址:00:D0:F8:BC:E7:06 源物理地址:00:16:EC:B2:BC:68 Type是0x800:意思是封装了ip数据报(2)ip数据报
由以上信息可以得出: ①版本:占4位,所以此ip是ipv4 ②首部长度:占4 位,可表示的最大十进制数值是15。此ip数据报没有选项,故它的最大十进制为5。 ③服务:占8 位,用来获得更好的服务。这里是0x00 ④总长度:总长度指首都及数据之和的长度,单位为字节。因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节,数据上表示为0x0028。 ⑤标识(Identification):占16位。IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。但这个“标识”并不是序号,因为IP是无连接的服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358,对应报文16位为47b6 ⑥标志(Flag):占3 位,但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment),意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010,故表示为不分片!对应报文16位为0x40。 ⑦片偏移:因为不分片,故此数据报为0。对应报文16位为0x00。 ⑧生存时间:占8位,生存时间字段常用的英文缩写是TTL (Time To Live),其表明数据报在网络中的寿命。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒,就把TTL值减1。当TTL值为0时,就丢弃这个数据报。经分析,这个数据报的的TTL为64跳!对应报文16位为0x40。 ⑨协议:占8 位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对应报文16位为0x06。
Ethernet帧结构解析..
实验一Ethernet帧结构解析 一.需求分析 实验目的:(1)掌握Ethernet帧各个字段的含义与帧接收过程; (2)掌握Ethernet帧解析软件设计与编程方法; (3)掌握Ethernet帧CRC校验算法原理与软件实现方法。 实验任务:(1)捕捉任何主机发出的Ethernet 802.3格式的帧和DIX Ethernet V2(即Ethernet II)格式的帧并进行分析。 (2)捕捉并分析局域网上的所有ethernet broadcast帧进行分析。 (3)捕捉局域网上的所有ethernet multicast帧进行分析。 实验环境:安装好Windows 2000 Server操作系统+Ethereal的计算机 实验时间; 2节课 二.概要设计 1.原理概述: 以太网这个术语通常是指由DEC,Intel和Xerox公司在1982年联合公布的一个标准,它是当今TCP/IP采用的主要的局域网技术,它采用一种称作CSMA/CD的媒体接入方法。几年后,IEEE802委员会公布了一个稍有不同的标准集,其中802.3针对整个CSMA/CD网络,802.4针对令牌总线网络,802.5针对令牌环网络;此三种帧的通用部分由802.2标准来定义,也就是我们熟悉的802网络共有的逻辑链路控制(LLC)。以太网帧是OSI参考模型数据链路层的封装,网络层的数据包被加上帧头和帧尾,构成可由数据链路层识别的数据帧。虽然帧头和帧尾所用的字节数是固定不变的,但根据被封装数据包大小的不同,以太网帧的长度也随之变化,变化的范围是64-1518字节(不包括8字节的前导字)。 帧格式Ethernet II和IEEE802.3的帧格式分别如下。 EthernetrII帧格式: ---------------------------------------------------------------------------------------------- | 前序| 目的地址| 源地址| 类型| 数据 | FCS | ---------------------------------------------------------------------------------------------- | 8 byte | 6 byte | 6 byte | 2 byte | 46~1500 byte | 4 byte| IEEE802.3一般帧格式 ----------------------------------------------------------------------------------------------------------- | 前序| 帧起始定界符| 目的地址| 源地址| 长度| 数据| FCS | ----------------------------------------------------------------------------------------------------------- | 7 byte | 1 byte | 2/6 byte | 2/6 byte| 2 byte| 46~1500 byte | 4 byte | Ethernet II和IEEE802.3的帧格式比较类似,主要的不同点在于前者定义的2字节的类型,而后者定义的是2字节的长度;所幸的是,后者定义的有效长度值与前者定义的有效类型值无一相同,这样就容易区分两种帧格式 2程序流程图:
(完整版)OSPF的五种报文
OSPF的五种报文 2008-09-14 10:53 Router-LSA 由每个路由器生成,描述了路由器的链路状态和花费。传递到整个区域。 Network-LSA,由DR生成,描述了本网段的链路状态,传递到整个区域。 Net-Summary-LSA,由ABR生成,描述了到区域内某一网段的路由,传递到相关区域。 Asbr-Summary-LSA,由ABR生成,描述了到ASBR的路由,传递到相关区域。 AS-External-LSA,由ASBR生成,描述了到AS外部的路由,传递到整个AS(STUB 区域除外)。 1、hello报文:最常用的一种报文,周期性的发送给本路由器的邻居。内容包括一些定时器的数值、DR、BDR 以及自己已知的邻居。Hello 报文格式如表4-2 所示。 主要字段解释如下: * Network Mask:发送Hello 报文的接口所在网络的掩码。 * HelloInterval:发送Hello 报文的时间间隔。如果相邻两台路由器的Hello 间隔时间不同,则不能建立邻居关系。 * Rtr Pri:DR 优先级。如果设置为0,则路由器不能成为DR/BDR。
* RouterDeadInterval:失效时间。如果在此时间内未收到邻居发来的Hello 报文,则认为邻居失效。如果相邻两台路由器的失效时间不同,则不能建立邻居关系。 2、DD报文:两台路由器进行数据库同步时,用DD 报文来描述自己的LSDB,内容包括LSDB 中每一条LSA 的Header(LSA 的Header 可以唯一标识一条LSA)。LSA Header 只占一条LSA 的整个数据量的一小部分,这样可以减少路由器之间的协议报文流量,对端路由器根据LSA Header 就可以判断出是否已有这条LSA。DD 报文格式如表4-3 所示。 主要字段的解释如下: * Interface MTU:在不分片的情况下,此接口最大可发出的IP 报文长度。 * I(Initial):当发送连续多个DD 报文时,如果这是第一个DD 报文,则置为1,否则置为0。 * M(More):当发送连续多个DD 报文时,如果这是最后一个DD 报文,则置为0。否则置为1,表示后面还有其他的DD 报文。 * MS(Master/Slave):当两台OSPF 路由器交换DD 报文时,首先需要确定双方的主从关系,Router ID 大的一方会成为Master。当值为1 时表示发送方为Master。 * DD Sequence Number:DD 报文序列号,由Master 方规定起始序列号,每发送一个DD 报文序列号加1,Slave 方使用Master 的序列号作为确认。主从双方利用序列号来保证DD 报文传输的可靠性和完整性。 3、LSR:两台路由器互相交换过DD 报文之后,知道对端的路由器有哪些LSA 是本地的LSDB所缺少的,这时需要发送LSR 报文向对方请求所需的LSA。内容包
分析数据链路层帧结构
南华大学计算机学院 实验报告 课程名称计算机网络原理 姓名杨国峰 学号20144360205 专业网络2班 任课教师谭邦 日期 2016年4月4日 成绩 南华大学
实验报告正文: 一、实验名称分析数据链路层帧结构 二、实验目的: 1. 掌握使用Wireshark分析俘获的踪迹文件的基本技能; 2. 深刻理解Ethernet帧结构。 3. 深刻理解IEEE 802.11帧结构。 三、实验内容和要求 1. 分析俘获的踪迹文件的Ethernet帧结构; 2. 分析IEEE 802.11帧结构。 四、实验环境
五、操作方法与实验步骤 1.Ethernet帧结构(本地连接与无线连接)
2.IEEE 802.11帧结构
六、实验数据记录和结果分析 1.Ethernet帧结构(本地连接为例) Ethernet II, Src: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20), Dst: Clevo_00:a1:18 (80:fa:5b:00:a1:18) 以太网协议版本II,源地址:厂名_序号(网卡地址),目的:厂名_序号(网卡地址) Destination: Clevo_00:a1:18 (80:fa:5b:00:a1:18)目的:厂名_序号(网卡地址) Source: Tp-LinkT_95:c6:20 (fc:d7:33:95:c6:20) 源:厂名_序号(网卡地址) Type: IP (0x0800) 帧内封装的上层协议类型为IP Padding: 000000000000 所有内边距属性 2.分析IEEE 802.11帧结构 Protocol version:表明版本类型,现在所有帧里面这个字段都是0x00。 *Type:指明数据帧类型,是管理帧,数据帧还是控制帧。 Subtype:指明数据帧的子类型,因为就算是控制帧,控制帧还分RTS帧,CTS帧,ACK 帧等等,通过这个域判断出该数据帧的具体类型。 To DS/From DS:这两个数据帧表明数据包的发送方向,分四种可能情况讨论: **若数据包To DS为0,From DS为0,表明该数据包在网络主机间传输。 **若数据包To DS 为0,From DS为1,表明该数据帧来自AP。 **若数据包To DS为1,From DS为0,表明该数据帧发送往AP。若数据包To DS为1,From DS为1,表明该数据帧是从AP发送自AP的,也就是说这个是个WDS(Wireless Distribution System)数据帧。 Moreflag:分片标志,若数据帧被分片了,那么这个标志为1,否则为0。 *Retry:表明是否是重发的帧,若是为1,不是为0。 PowerManage:当网络主机处于省电模式时,该标志为1,否则为0。 Moredata:当AP缓存了处于省电模式下的网络主机的数据包时,AP给该省电模式下的网络主机的数据帧中该位为1,否则为0。 Wep:加密标志,若为1表示数据内容加密,否则为0。 *Order 这个表示用于PCF模式下。 Duration/ID(持续时间/标识):表明该帧和它的确认帧将会占用信道多长时间;对于帧控制域子类型为:Power Save-Poll的帧,该域表示了STA的连接身份(AID, Association Indentification)。
美式报文格式说明
美国气象报文简要说明 美国气象报文主体部分与国内报文基本一致,只是有些项目(风速、能见度等)采用的单位不一样。美国气象报文与国内最大的区别在于它有“备注”(RMK)部分,用于说明详细的天气温度、露点等附加信息。 下面就美国气象报文与国内报文的差异部分作详细解释: 国内报文: METAR ZSHC 081100Z 35003MPS 0700 R30/0900 -SG FZFG OVC006 M00/M01 Q1026 NOSIG= 美国报文: METAR KGNV 201953Z AUTO 24015KT 3/4SM R28/2400FT +TSRA BKN008 OVC015CB 26/25 A2985 RMK TSB32RAB32 一:地面风 1. 美国报文风速采用节(KT)为单位,一般的,我们认 为1MPS≈2KT 2. 风向是指风的来向,且为真北方向; 3. 当风速小于等于6KT,且风向不定,标注标示符 “VRB”; 4. 但风速小于3KT,定义为静风(calm),报文中用 -1-
00000KT 表示 二:能见度 1. 美国报文能见度采用英里(SM)为单位,一般的, 1SM=1600M 2. 在自动观测报文中,M1/4SM 表示能见度小于 1/4SM,10SM 表示能见度大雨等于10SM(类似国 内报文中9999)。 3. 值得注意的是,由于报文编排的缘故,当能见度大于 1SM 时能见度数值显示间隔比较大,比如:METAR KGNV 201953Z AUTO 24015KT 1 3/4SM……,这 时该机场能见度为一又四分之三英里,即2800 米。 4. 如果,报文中能见度没有显示单位表示符,则默认为 是米。 三:跑到视程 1. 美国报文跑道视程采用英尺(FT)为单位; 2. 当RVR 数据丢失,标注RVRNO 四: 备注部分 1. 美国气象报文与国内报文比较增加了备注部分,表示 符“RMK” ①当气象现象在本场5SM 以内,则认为该气象现象 是在本场发生的; ②当气象现象在本场5SM-10SM 以内,则报告附近
实验一-以太网链路层帧格式分析报告
实验一以太网链路层帧格式分析 实验目的 1、分析Ethernet V2 标准规定的MAC 层帧结构,了解IEEE802.3 标准规定的MAC 层帧结构和TCP/IP 的主要协议和协议的层次结构; 2、掌握网络协议分析软件的基本使用方法; 3、掌握网络协议编辑软件的基本使用方法。 实验学时 3学时 实验类型 验证型 实验容 1、学习网络协议编辑软件的各组成部分及其功能; 2、学习网络协议分析软件的各组成部分及其功能; 3、学会使用网络协议编辑软件编辑以太网数据包; 4、理解MAC地址的作用; 5、理解MAC首部中的LLC—PDU 长度/类型字段的功能; 6、学会观察并分析地址本中的MAC地址。 实验流程
实验环境 局域网环境,1台PC机。 实验原理 详见《计算机网络》教材(P79和P92)或相关书籍,然后进行说明阐述 实验步骤 步骤1:运行ipconfig命令 1、在Windows的命令提示符界面中输入命令:ipconfig /all,会显示本机的网络信息: 2、观察运行结果,获得本机的以太网地址。
步骤2:编辑LLC信息帧并发送 1、在主机A,打开协议编辑软件,在工具栏选择“添加”,会弹出“协议模版”的对话框,如图所示,在“选择生成的网络包”下拉列表中选择“LLC协议模版”,建立一个LLC帧; 添加一个数据包 2、在“协议模版”对话框中点击“确定”按钮后,会出现新建立的数据帧,此时在协议编辑软件的各部分会显示出该帧的信息。如图所示:
新建的LLC帧 数据包列表区中显示:新帧的序号(为0)、概要信息; 协议树中显示以太网MAC层协议; 数据包编辑区中显示新帧各字段的默认值; 十六进制显示区中显示新帧对应的十六进制信息。 3、编辑LLC帧 在数据包编辑区中编辑该帧;具体步骤为: 编辑LLC帧 填写“目的物理地址”字段; 方法一:手工填写。 方法二:选择”地址本”中主机B的IP地址,确定后即可填入主机B的MAC地址;
TCP报文格式详解
TCP报文格式详解 TCP报文格局详解 2011-08-31 TCP和谈只定义了一种报文格局 建立、拆除连接、传输数据应用同样的报文 TCP报文格局 TCP报文段首部(20个字节) 源端口和目标端口:各占2个字节,16比特的端标语加上32比特的IP地址,共同构成相当于传输层办事接见点的地址,即“插口”; 这些端口可用来将若干高层和谈向下复用; 序号字段和确认序号字段: 序号:占4个字节,是本报文段所发送的数据项目组第一个字节的序号。在TCP传送的数据流中,每一个字节都有一个序号。例如,一报文段的序号为300,而起数据供100字节,则下一个报文段的序号就是400; 确认序号:占4字节,是期望收到对方下次发送的数据的第一个字节的序号,也就是期望收到的下一个报文段的首部中的序号; 因为序号字段有32比特长,可以对4GB的数据进行编号,如许就可包管当序号反复应用时,旧序号的数据早已在收集中消散了;
数据偏移字段 数据偏移:占4比特,默示数据开端的处所离TCP报文段的肇端处有多远。这实际上就是TCP报文段首部的长度。因为首部长度不固定,是以数据偏移字段是须要的。 保存字段:6比特,供往后应用,今朝置为0。 6个比特的把握字段 紧急比特URGent:当URG=1时,注解此报文应尽快传送,而不要按本来的列队次序来传送。与“紧急指针”字段共同应用,紧急指针指出在本报文段中的紧急数据的最后一个字节的序号,使接管方可以知道紧急数据共有多长; 确认比特ACK:只有当ACK=1时,确认序号字段才有意义; 急迫比特PSH:当PSH=1时,注解恳求远地TCP将本报文段立即传送给其应用层,而不要比及全部缓存都填满了之后再向上交付。 复位比特ReSeT:当RST=1时,注解呈现严重错误,必须开释连接,然后再重建传输连接。复位比特还用来拒绝一个不法的报文段或拒绝打开一个连接; 同步比特SYN:在建树连接时应用,当SYN=1而ACK=0时,注解这是一个连接恳求报文段。对方若赞成建树连接,在发还的报文段中使SYN=1和ACK=1。是以,SYN=1默示这是一个连接恳求或毗邻接管报文,而ACK的值用来区分
以太网数据帧的格式分析比较
一、 以太网数据帧的格式分析 大家都知道我们目前的局域网大多数是以太网,但以太网有多种标准,其数据帧有多种格式,恐怕有许多人不是太清楚,本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。 以太网这个术语一般是指数字设备公司(Digital Equipment)、英特尔公司(Intel)和施乐公司(Xerox)在1982年联合公布的一个标准(实际上它是第二版本,第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了)。它是目前TCP/IP网络采用的主要的局域网技术。它采用一种称作CSMA/CD的媒体接入方法,其意思是带冲突检测的载波侦听多路接入(Carrier Sense, Multiple Access with Collision Detection)。它的速率为10 Mb/s,地址为48 bit。 1985年,IEEE(电子电气工程师协会) 802委员会公布了一个稍有不同的标准集,其中802.3针对整个CSMA/CD网络,802.4针对令牌总线网络,802.5针对令牌环网络。这三者的共同特性由802.2标准来定义,那就是802网络共有的逻辑链路控制(LLC)。不幸的是,802.2和802.3定义了一个与以太网不同的帧格式,加上1983年Novell为其Netware 开发的私有帧,这些给以太网造成了一定的混乱,也给我们学习以太网带来了一定的影响。 1、通用基础 注:* VLAN Tag帧和Gigabit Jumbo帧可能会超过这个限制值 图1-1 图1-1中,数据链路层头(Header)是数据链路层的控制信息的长度不是固定的,根据
相关报文格式
装箱单报文(货代-EDI) 相比普通装箱单报文,EDI发送给码头的智能闸口装箱单报文主要多了“装箱单编号”字段,报文格式定义如下:
注: 温度中,除正(+)负(-)号及小数点外,最多只能三位数字. 注: 危险货物闪点中,除正(+)负(-)号及小数点外,最多只能三位数字.
记录结构: 00 头记录M1 01 其他接收方C1 10 船舶信息M1 11 装卸港信息M1 50 集装箱信息M1 51 提单号信息M999 52 货物信息M1 53 货物描述M1 54 唛头M1 55 危险品信息C1 56 箱号信息M1 99 尾记录M1 备注:其中,11 卸货港填写该箱在本航次中的实际下船港口,中转港默认和卸货港保持一致;52 体积/件数/重量是指本提单在该箱中的件体积/件数/重量;56 体积/件数/重量是也指本提单在该箱中的件体积/件数/重量。 报文例子: 00:COSTCO:CONTAINER LOAD PLAN:9:SENDER:NPEDI:200902110739:::' 10:UN9293806:ITAL CONTESSA:0502W E:LTP::Y:DE' 11:FRLEH::CNNGB::FRLEH:::' 50:MSKU7299054:22GP:L:O:200902110737:6080843:MSK:::::::SENDER-0000000000:CP H:W:AAA::' 51:559890777-A' 52:1:72:CT::2038:15::::' 53:17' 54:N/M' 56:MSKU7299054:72:2300:2038:15' 51:559890777-B' 52:1:25:CT::530:2::::'
数据链路层协议分析
【里论套习 4、理解MAC '地址的作用; 实验二以太网链路层帧格式分析 一实验目的 1、分析EthernetV2 标准规定的MAC 层帧结构,了解IEEE802.3标准规定 的MAC 层帧结构和TCP/IP 的主要协议和协议的层次结构。 2、掌握网络协议分析软件的基本使用方法。 3、掌握网络协议编辑软件的基本使用方法。 "时]工严11 1 厶-*■ ―鼻八匸 二实验内容 1、 学习网络协议编辑软件的各组成部 ___________ Slepl:设走夹验环墳 2、 学习网络协议分析软件的各组成部分及其功能; — £伽|12:运行ipconfig 命令 3、学会使用网络协议编辑软件编辑以太网数据包;厂 5始閃:娠輻LLC 信息輔并灰洪 Step4:编頤IXC 噩拦巾贞和无 5、理解MAC 酩部中的LLC — PDU 长度/类型字段的功能; 6、学会观察并分析地址本中的 MAC 地址 三实验环境 四实验流程 图 2.1-2( 五实验原理 在物理媒体上传输的数据难免受到各种不可靠因素的影响而产生差错, 为了弥补 物理层上的不足,为上层提供无差错的数据传输,就要能对数据进行检错和纠错。 数据链路的建立、拆除、对数据的检 错,纠错是数据链路层的基本任务。 局域网(LAN)是在一个小的范围内,将分散的独立计算机系统互联起来,实现资 开始
源的共享和数据通信。局域网的技术要素包括了体系结构和标准、传输媒体、拓扑结构、数据编码、媒体访问控制和逻 辑链路控制等,其中主要的技术是传输媒体、拓扑结构和媒体访问控制方法。局域网的主要的特点是:地理分布范围小、数据传输速率高、误码率低和协议简单等。 1、三个主要技术 1)传输媒体:双绞线、同轴电缆、光缆、无线。 2)拓扑结构:总线型拓扑、星型拓扑和环型拓扑。 3)媒体访问控制方法:载波监听多路访问/冲突检测(CSMA/CD)技术。 2、IEEE802标准的局域网参考模型 IEEE802参考模型包括了OSI/RM最低两层(物理层和数据链路层)的功能,OSI/RM 的数据链路层功能,在局域网参考模型中被分成媒体访问控制MAC(MediumAccessCo ntrol) 和逻辑链路控制LLC(LogicalLi nkCon trol)两个 子层。由于局域网采用的媒体有多种,对应的媒体访问控制方法也有多种,为了 使数据帧的传送独立于所采用的物理媒体和媒体访问控制方法,IEEE802标准特意把LLC独立出来形成单独子层,使LLC子层与媒体无关,仅让MAC子层依赖于物理媒体和媒体访问控制方法。LLC子层中规定了无确认无连接、有确认无连接和面向连接三种类型的链路服务。媒体访问控制技术是以太网技术的核心。以太网不提供任何确认收到帧的应答机制,确认必须在高层完成。3、以太网帧结构 以太网中传输的数据包通常被称为“帧”,以太网的“帧”结构如下: 各字段的含义: 目的地址:6个字节的目的物理地址标识帧的接收结点。 源地址:6个字节的源物理地址标识帧的发送结点。
以太网帧格式分析
实验报告 实验名称以太网帧格式分析 姓名学号实验日期 实验报告要求:1.实验目的 2.实验要求 3.实验环境 4.实验作业 5.问题及解决 6.思考问题 7.实验体会 【实验目的】 1.复习Wireshark抓包工具的使用及数据包分析方法。 2.通过分析以太网帧了解以太网数据包传输原理。 【实验要求】 用Wireshark1.4.9截包,分析数据包。 观察以太网帧,Ping同学的IP地址,得到自己和同学的mac地址。 观察以太网广播地址,观察ARP请求的帧中目标mac地址的格式。 用ping-l指定数据包长度,观察最小帧长和最大帧长。 观察封装IP和ARP的帧中的类型字段。 【实验环境】 用以太网交换机连接起来的windows 7操作系统的计算机,通过802.1x方式接入Internet。 【实验中出现问题及解决方法】 1.在使用命令行“ping -l 0 IP”观察最小帧长时抓到了长度为42字节的帧,与理论上最小帧长64字节相差甚远。通过询问教员和简单的分析,知道了缺少字节的原因是当Wireshark抓到这个ping请求包时,物理层还没有将填充(Trailer)字符加到数据段后面,也没有算出最后4字节的校验和序列,导致出现最小42字节的“半成品”帧。可以通过网卡的设置将这个过程提前。 2.在做ping同学主机的实验中,发现抓到的所有ping请求帧中IP数据部分的头校验和都是错误的。原本以为错误的原因与上一个问题有关,即校验和错误是因为物理层还没有将填充字符加到数据段后面。但是这个想法很快被证明是错误的,因为在观察最大帧长时,不需要填充字符的帧也有同样的错误。一个有趣的现象是,封装在更里层的ICMP数据包的校验和都是正确的。这就表明IP层的头校验和错误并没有影响正常通信。进一步观察发现,这些出错的头校验和的值都是0x0000,这显然不是偶然的错误。虽然目前还没有得到权威的答案,但是可以推测,可能是这一项校验实际上并没有被启用。作为中间层的IP头的意义是承上启下,而校验的工作在更需要的上层的IMCP包和下层MAC头中都有,因此没有必要多此一举。 【思考问题】 1.为什么可以ping到同宿舍(连接在同一个交换机上)的主机而ping不到隔壁宿舍的主机? 通常情况下,如果配置正确,设备都连接着同一个网络(互联网),而且没有防火墙等阻拦,就可以正常ping到同一网络中的任何主机。在第一次实验中,我们曾成功地ping到了https://www.360docs.net/doc/f610697256.html,的IP。 在ping其他宿舍的IP时需要通过宿舍的交换机将ping请求先转发给楼层交换机,再由楼层交换机转发给目标IP所在的宿舍交换机。分析无法ping到隔壁宿舍主机的原因,很可能是楼层交换机设置了禁止内部ping的防火墙,阻止了本楼层交换机地址段内的主机相互ping对方。而同宿舍之所以可以相互ping 到,是因为ping请求没有经过楼层交换机,直接由宿舍交换机转发给了目标IP主机。 2.什么是ARP攻击? 让我们继续分析4.1 ARP原理,A得到ARP应答后,将B的MAC地址放入本机缓存。但是本机MAC 缓存是有生存期的,生存期结束后,将再次重复上面的过程。(类似与我们所学的学习网桥)。 然而,ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。 这时,我们假设局域网中的某台机器C冒充B向A发送一个自己伪造的ARP应答,即IP地址为B
实验二数据链路层协议分析
实验二以太网链路层帧格式分析一实验目的 1、分析EthernetV2标准规定的MAC层帧结构,了解IEEE802.3标准规定的 MAC层帧结构和TCP/IP的主要协议和协议的层次结构。 2、掌握网络协议分析软件的基本使用方法。 3、掌握网络协议编辑软件的基本使用方法。 二实验内容 1、学习网络协议编辑软件的各组成部分及其功能; 2、学习网络协议分析软件的各组成部分及其功能; 3、学会使用网络协议编辑软件编辑以太网数据包; 4、理解MAC地址的作用; 5、理解MAC首部中的LLC—PDU长度/类型字段的功能; 6、学会观察并分析地址本中的MAC地址。 三实验环境 回2.1- L 四实验流程 小亠| /I J ■ v 开始
结束 图21 2| 五实验原理 在物理媒体上传输的数据难免受到各种不可靠因素的影响而产生差错,为了弥补物理层上的不足,为上层提供无差错的数据传输,就要能对数据进行检错和纠错。数据链路的建立、拆除、对数据的检错,纠错是数据链路层的基本任务。 局域网(LAN)是在一个小的范围内,将分散的独立计算机系统互联起来,实现资源的共享和数据通信。局域网的技术要素包括了体系结构和标准、传输媒体、拓扑结构、数据编码、媒体访问控制和逻 辑链路控制等,其中主要的技术是传输媒体、拓扑结构和媒体访问控制方法。局域网的主要的特点是:地理分布范围小、数据传输速率高、误码率低和协议简单等。 1、三个主要技术 1)传输媒体:双绞线、同轴电缆、光缆、无线。 2)拓扑结构:总线型拓扑、星型拓扑和环型拓扑。 3)媒体访问控制方法:载波监听多路访问/冲突检测(CSMA/CD技术 2、IEEE 802标准的局域网参考模型 IEEE 802参考模型包括了OSI/RM最低两层(物理层和数据链路层)的功能,OSI/RM 的数据链路层功能,在局域网参考模型中被分成媒体访问控制 MAC(Medium Access Control) 和逻辑链路控制LLC(Logical Link Control)两个子层。由于局域网采用的媒体有多种,对应的媒体访问控制方法也有多种,为
实验五 以太网链路层帧格式分析
实验五以太网链路层帧格式分析 1实验拓扑图 两台实验主机连接在实验室交换机上,依次命名为实验主机A和实验主机B. 注意将与网络切换器相连的实验主机的网络切换器拨到B的位置(A为与网络测试接口TAP的连接),以保证其直接接入到实验室网络交换机上。同时,请将TAP中TAP/IN和TAP/OUT接口上的网线拔出。以避免与TAP中host接口相连的计算机不能正常上网。 实验主机A实验主机B 2实验步骤 步骤1:请同学们分好组,两人一组,然后各自启动实验主机,进入到Windows 2000操作系统. 步骤2:系统启动完成之后,请查看各自实验主机的IP地址信息,并且请记住所同组组员实验主机的IP地址信息.例如在本实验中以实验组一为例,实验主机A的IP地址为172.16.32.61,实验主机B的IP地址为172.16.32.62.(查看本机IP地址等信息,可以在命令提示符中输入ipconfig/all命令进行查看) 步骤3:以实验主机A为例,双击运行桌面上的“Ethereal”图标来启动网络分析器,如图: 步骤4:启动完成之后,先进行配置.点击“Capture->Options”选项或图标,在弹 出来的对话框中进行设置. 步骤5:设置捕捉接口,在Interface栏中选择IP地址为172.16.32.61的接口,如图: 在实验主机B中也是如此,选择IP地址为172.16.32.62的接口. 步骤6:由于该实验中我们只需要捕获相对应的ICMP数据包,因此在“Capture Filter”栏中直接输入过滤条件“host 172.16.32.62”,172.16.32.62是实验主机B的IP地址,如图:
常见报文格式帧结构
常见报文格式汇总 1.1Ethernet数据包格式(RFC894) 1、目的Mac的最高字节的第8位如果为1,表明此包是以太网组播/广播包,送给CPU处理。 2、将目的Mac和本端口的MAC进行比较,如果不一致就丢弃。 3、获取以太网类型字段Type/Length。 0x0800→IP 继续进行3层的IP包处理。 0x0806→ARP 送给CPU处理。 0x8035→RARP 送给CPU处理。 0x8863→PPPoE discovery stage 送给CPU处理。 0x8864→PPPoE session stage 继续进行PPP的2层包处理。 0x8100→VLAN 其它值当作未识别包类型而丢弃。 4、Tag帧。 Type:长度为2字节,取值为0x8100,表示此帧的类型为802.1Q Tag帧。 PRI:长度为3比特,可取0~7之间的值,表示帧的优先级,值越大优先级越高。该优先级主要为QoS差分服务提供参考依据(COS)。 VID(Vlan ID):长度12bits,可配置的VLAN ID取值范围为1~4094。通常vlan 0和vlan 4095预留,vlan1为缺省vlan,一般用于网管。 1.2PPP数据包格式 1、获取PPP包类型字段。 0x0021→IP 继续进行3层的IP包处理。 0x8021→IPCP 送给CPU处理。 0xC021→LCP 送给CPU处理。 0xc023→PAP 送给CPU处理。 0xc025→LQR 送给CPU处理。 0xc223→CHAP 送给CPU处理。 0x8023→OSICP 送给CPU处理。 0x0023→OSI 送给CPU处理。 其它值当作未识别包类型而丢弃。
icmp报文格式 各种
ICMP分析 文档说明:由于排版的问题,请在“视图”中选择“Web版式”进行阅读。 目录 1 ICMP报文的分类和格式 (2) 1.1 ICMP报文格式概要介绍 (2) 1.2 各种类型的ICMP报文的格式 (3) 1.2.1 ICMP请求和回答报文格式 (3) 1.2.2ICMP差错报文格式 (5) 1.2.2.1 ICMP重定向报文格式 (5) 1.2.2.2 目的不可达差错报文格式 (5) 1.2.2.3 ICMP源站抑制差错报文、超时差错报文和参数问题差错报文 (6) 2 ICMP函数关系图 (7) 3 ICMP流程图 (8) 4 ICMP状态机 (10) 5 ICMP接口 (13) 5.1 数据接口 (13) 5.1.1 ICMP模块和下层的接口 (13) 5.1.1.1 IP层——>ICMP模块 (13) 5.1.1.2 ICMP模块——> IP层 (13) 5.1.2 ICMP模块和上层的接口 (14) 5.1.2.1 ICMP模块——>上层 (14) 5.1.2.1.1 pr_ctlinput函数 (14) 5.1.2.1.2 rtredirect函数 (15) 5.1.2.1.3 pfctlinput函数 (15) 5.1.2.1.4 rip_input函数 (16) 5.1.2.2 上层——> ICMP模块 (16) 5.1.2.2.1 icmp_error函数 (16) 5.1.2.2.2 rip_output函数 (17) 5.2 控制接口 (18) 5.2.1 概况 (18) 5.2.2 rip_ctloutput函数 (18) 5.2.3 rip_usrreq函数 (19) 5.2.4 icmp_sysctl函数 (19) 5.3 OS接口 (20) 5.3.1 microtime函数 (20) 5.3.2 m_freem函数 (20) 5.3.3 m_gethdr函数 (21)
SWIFT报文格式手册
2006年度SWIFT报文格式更新手册(2006/11/18起生效)
S W I F T M T 7 0 0 / 7 0 1 I S S U E O F A D / C 开立跟单信用证 MT700/701 范围 1. 由开证行发送给通知行的报文(注意:收、发报行间必须具有BKE密押关系); 2. 用来列明开证行发报行所开立的信用证条款。
MT700/701 准则 ◆ 除非另外列明,所开立的跟单信用证遵循巴黎国际商会制定的《跟单信用证统一惯例》。当该信用证遵循此惯例时,通知行(收报行)必须将之通知受益人或是另一家通知行。 ◆ 除非另外列明,如果适用,跟单信用证项下的偿付遵循巴黎国际商会制定的《跟单信用证项下银行间偿付的统一规则》。 ◆ 当跟单信用证的长度超过一个MT700的容量时,可以用一个或几个(最多三个)MT701报文格式来补充传送信息。 ◆ 除非另外列明,根据该报文通知受益人或是另一家通知行的跟单信用证是已生效的信用证。 ◆ 对自由议付跟单信用证,如果收报行不再以MT710报文格式转通知,那么该银行必须在信用证上加注: ? 每次议付时必须提交通知受益人的信用证正本 ? 议付行必须在所通知的信用证正本上标注每一次的议付情况 ◆ 为了避免可能产生的误解,尽可能使用银行的SWIFT BIC代码来表示银行名称,而不要用“ourselves”、“yourselves”、“us”、“you”这些词。 ◆ 通知行应该明确清楚地将跟单信用证的全部内容(包括任何细节)通知受益人。 MT700/701 域使用规则 1. 报文中可以出现域39A或39B,但不能同时出现; 2. 域42C和42a在被使用时必须同时出现; 3. 在使用时,域42C和42a同时出现;或是42M 单独出现;或是42P单独出现,除此之外没有其它组合形式; 4. 报文中可以出现域44C或44D,但不能同时出现; 5. 用MT700开立的跟单信用证长度不超过10000个字符(包括报头和报尾)。而收到的MT700的报文长度达10600个字符。
数据链路层实验
实验三协议分析软件使用及数据链路层协议分析 一、实验目的 TCP/IP 协议栈分为四层,从下往上依次为网络接口层、网络层、传输层和应用层,而网络接口层没有专门的协议,而是使用连接在 Internet 网上的各通信子网本身所固有的协议。如以太网(Ethernet)的802.3 协议、令牌环网(TokenRing)的802.5 协议、分组交换网的X.25 协议等。 目前Ethernet 网得到了广泛的应用,它几乎成为局域网代名词。因此,对以太网链路层的帧格式进行分析验证,使学生初步了解TCP/IP 链路层的主要协议以及这些协议的主要用途和帧结构。 (1)掌握协议分析软件sniffer的使用; (2)熟悉以太网链路层帧格式构成; 二、实验要求 能运用sniffer工具进行以太网链路层帧格式协议分析。 三、实验原理 以太网简介 IEEE 802 参考模型把数据链路层分为逻辑链路控制子层(LLC,Logical Link Control)和介质访问控制子层(MAC,Media Access Control)。与各种传输介质有关的控制问题都放在MAC 层中,而与传输介质无关的问题都放在LLC 层。因此,局域网对LLC 子层是透明的,只有具体到MAC 子层才能发现所连接的是什么标准的局域网。 IEEE 802.3 是一种基带总线局域网,最初是由美国施乐(Xerox )于1975 年研制成功的,并以曾经在历史上表示传播电磁波的以太(Ether)来命名。1981 年,施乐公司、数字设备公司(Digital)和英特尔(Intel)联合提出了以太网的规约。1982 年修改为第二版,即DIX Ethernet V2,成为世界上第一个局域网产品的规范。这个标准后来成为IEEE 802.3 标准的基础。 在 802.3 中使用1 坚持的CSMA/CD(Carrier Sense Multiple Access with Collision Detection )协议。现在流行的以太网的MAC 子层的帧结构有两种标准,一种是802.3 标准,另一种是DIX Ethernet V2 标准。 图1 802.3 和Ethernet V2 MAC 帧结构 图1 画出了两种标准的MAC 帧结构。它们都是由五个字段组成。MAC 帧的前两个
TCP报文格式详解
TCP报文是TCP层传输的数据单元,也叫报文段。 1、端口号:用来标识同一台计算机的不同的应用进程。 1)源端口:源端口和IP地址的作用是标识报文的返回地址。 2)目的端口:端口指明接收方计算机上的应用程序接口。 TCP报头中的源端口号和目的端口号同IP数据报中的源IP与目的IP唯一确定一条TCP连接。 2、序号和确认号:是TCP可靠传输的关键部分。序号是本报文段发送的数据组的第一个字节的序号。在TCP传送的流中,每一个字节一个序号。e.g.一个报文段的序号为300,此报文段数据部分共有100字节,则下一个报文段的序号为400。所以序号确保了TCP传输的有序性。确认号,即ACK,指明下一个期待收到的字节序号,表明该序号之前的所有数据已经正确无误的收到。确认号只有当ACK标志为1时才有效。比如建立连接时,SYN报文的ACK标志位为0。 3、数据偏移/首部长度:4bits。由于首部可能含可项内容,因此TCP报头的长度是不确定的,报头不包含任何任字段则长度为20字节,4位首部长度字段所能表示的最大值为1111,转化为10进制为15,15*32/8 = 60,故报头最大长度为60字节。首部长度也叫数据偏移,是因为首部长度实际上指示了数据区在报文段中的起始偏移值。 4、保留:为将来定义新的用途保留,现在一般置0。 5、控制位:URG ACK PSH RST SYN FIN,共6个,每一个标志位表示一个控制功能。 1)URG:紧急指针标志,为1时表示紧急指针有效,为0则忽略紧急指针。 2)ACK:确认序号标志,为1时表示确认号有效,为0表示报文中不含确认信息,忽略确认号字段。 3)PSH:push标志,为1表示是带有push标志的数据,指示接收方在接收到该报文