以太网报文分析

Ethereal -抓包、报文分析工具Ethereal 是一种开放源代码的报文分析工具，适用于当前所有较为流行的计算机系统，包括 Unix、Linux 和 Windows 。

主界面如上图，点“抓包配置”按钮，出现抓包配置界面如下图。

在“Interface”中选择网卡，即用来抓包的接口，如果选择错误就不能抓到报文；“Capture packets in promiscuous mode（混杂模式抓包）”是指捕捉所有的报文，如不选中就只捕捉本机的收发报文；如果选中“Limit each packet to xx bytes（限制每个包的大小）”则只捕捉小于该限制的包；抓包时，数据量比较大，解析起来速度慢，可在“Capture Filter（抓包过滤设置“Display Options(显示设置)”中建议选中“Update list of packets in realtime（实时更新抓包列表）”、“Automatic scrolling in live capture（自动滚屏）”和“Hide capture info dialog（隐藏抓包信息对话框）”三项。

抓包配置好就可以点击“Start”开始抓包了。

抓包结束，按“停止”按钮即可停止。

为了快速查看需要的报文，在“Filter”栏中输入过滤条件后按回车键即可对抓到的包进行过滤。

注意“Filter”栏中输入的过滤条件正确则其底色为绿色，错误则其底色为红色。

常用有些报文还可以判断网络的状况，例如输入显示过滤条件tcp.analysis.flags，可以显示丢失、重发等异常情况相关的TCP报文，此类报文的出现频率可以作为评估网络状况的一个标尺。

偶尔出现属于正常现象，完全不出现说明网络状态上佳。

tcp.flags.reset==1。

SYN是TCP建立的第一步，FIN是TCP连接正常关断的标志，RST是TCP连接强制关断的标志。

统计心跳报文有无丢失。

在statistics->conversations里选择UDP，可以看到所有装置的UDP报文统计。

网络程序设计作业Xcap发包分析14020310090张振宇两台计算机通过wifi连接，利用Xcap构造相关协议报文并发送到另一台计算机，利用Wireshark分析Xcap发来的数据包。

构造报文支持构造常见的以太网报文，包括arp、rarp、ipv4、ipv6、icmpv4、icmpv6、igmp、udp、tcp、pim、ospf、rip、snmp、ppp、pppoe、ipsec（ah/esp）等等。

WinPcap能从系统中读取处所有的网络接口，Xcap可以从指定的接口发送构造的报文。

（一）查看两台计算机的网络参数在命令提示符中使用ifconfig/all命令查看计算机的MAC地址和IP地址。

(二)创建报文选择相应接口，并创建报文根据计算机的网路参数编辑以太网帧头部信息两台计算机的IP地址。

默认使用ICMP协议。

编辑报文内容并发送。

在接受端利用Wireshark抓包并过滤出ICMP协议。

有一个ping（request）也有一个ping（reply），说明发送报文成功。

下为接收到的报文信息ICMP协议分析Frame：物理层的数据帧概况。

Ethernet II：数据链路层以太网帧头部信息。

Internet Protocol Version 4：互联网层IP包头部信息。

Internet Control Message Protocol：传输层的数据段头部信息。

Frame 21: 109 bytes on wire (872 bits), 109 bytes captured (872 bits) on interface 0 第21号帧，捕获872字节Interface id: 0 (\Device\NPF_{7F40F307-442B-4241-A7FD-DB2E073B94C7})接口IDEncapsulation type: Ethernet (1) 封装类型Arrival Time 捕获日期和时间Time delta from previous captured frame 此包与前一包的时间间隔Time since reference or first frame 此包与第一帧的时间间隔Frame Number: 21 帧序号Frame Length: 109 bytes (872 bits) 帧长度Capture Length: 109 bytes (872 bits) 捕获长度Protocols in frame: eth:ethertype:ip:icmp:data 帧内封装的协议层次结构Coloring Rule Name: ICMP 着色标记的协议名称Coloring Rule String: icmp || icmpv6 着色规则显示的字符串Ethernet II：数据链路层以太网帧头部信息Destination: 5a:c2:dd:91:21:3b (5a:c2:dd:91:21:3b) 目的MAC地址Source: HonHaiPr_7b:64:27 (9c:d2:1e:7b:64:27) 源MAC地址Type: IP (0x0800) 网际协议IPInternet Protocol Version 4：互联网层IP包头部信息Internet Protocol Version 4, Src: 192.168.23.2 (192.168.23.2), Dst: 192.168.23.1 (192.168.23.1) Version: 4 协议IPv4 Header Length: 20 bytes IP包头部长度Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN -Capable Transport)) 差分服务字段Total Length: 95 IP包的总长度Identification: 0x0001 (1) 标志字段Flags: 0x00 标记字段Fragment offset: 0 分的偏移量Time to live: 64 生存期TTL Protocol: ICMP (1) 此包内封装的上层协议为ICMPHeader checksum: 0xcb49 [validation disabled] 头部数据的校验Source: 192.168.23.2 (192.168.23.2) 源IP地址Destination: 192.168.23.1 (192.168.23.1) 目标IP地址Internet Control Message Protocol：传输层的数据段头部信息Type: 8 (Echo (ping) request)Code: 0ICMP类型0用于Echo Reply数据包；ICMP类型8用于Echo Request数据包。

OAM 报文的格式分析，及查询方法基本报文格式如上图所示，下面对报文进行对应格式的分析：Destination Address Source Address Length/Type Subtype Flags Code=0x00Data/Pad FCSOctets66212142-14964Local Information TLV PadInfo Type=0xFE Octets16Length=7+4X >6Remote Information TLVOrgnization SpecificInformation TLV16DataOUI Octets113ExtSupport OUI of 1st supported Extension OUI of 2nd supported Extension :Octets1332+4XVersion 1Ver. Of 1st supported Extension Ver. Of 2nd supported Extension11为简化OAM Keep alive 处理过程，在发送端（OLT 或者ONU ），专门用于Keep alive 的OAMPDU 中仅填充标准的Information TLV （Local Info TLV 和Remote Info TLV ）即可；表1 Organization Specific Information TLV 的域及其值 Size （Octets ） Field Value1 Type0xFE (Organization Specific Information TLV) 1 Length (Octets) Varies ，including Type and Length 3OUI0xXX XX XX(to be defined)1 ExtSupport （支持扩展） 0x00/0x01 1 Version0x00～FF Version of OAM Extension publishedby the organizationVariesTLV type-specific dataDepends on Interop Type supported by the devices基本扩展报文的格式。

IEEE1588同步报文的结构和特点将IEEE1588标准引入以太网时，时钟同步报文通过TCP/IP协议进行传输。

依照IEEE1588标准，IEEE1588标准的以太网实现中，所有时钟同步报文（当然也包括管理报文）的传输都以UDP方式进行，故IEEE1588同步报文的格式还需要遵守协议的规定。

要准确检测到网络上的IEEE1588同步报文，不仅需要对同步报文的结构有完整清晰地认识，还需要明确以太网上数据包的封装原理、物理层与MAC接口以及MII信号的时序。

1、IEEE1588同步报文分类时钟同步中所必须的4个报文类型，分别是Sync()、Follow_up()、Delay_Req()、Delay_Resp()。

在完整的报文同步中，还涉及到了时钟管理中的Management报文（由于实际设计中没有涉及，在此不做讨论)。

依据IEEE1588标准，我们归纳时钟同步报文具有的特点如下：（1）Sync以广播方式从主时钟节点发出，需要在主时钟节点处标记其离开时间，在从时钟节点处标记其到达时间。

（2）Delay_Req以点对点方式从各从时钟节点发出，需要在各个从时钟节点处标记其离开时间，在主时钟节点处标记其到达时间。

（3）Follow_Up以广播方式从主时钟节点发出；Delay_Resp以点对点方式从主时钟发出。

这两个报文不需要进行时间标记。

（4）所有报文（包括时钟同步报文和管理报文）使用特定的UDP目的端口发送（表1-1）。

端口类型目的取值事件端口（EventPort）传输Sync、Delay_Req319通用端口（GeneralPort）传输Follow_Up、Delay_Resp和Management320表1-1IEEE1588报文UDP目的端口针对上述特点，所设计的同步报文检测器只需识别Sync()和Delay_Req()就可以了。

这可通过检测UDP目的端口319实现，当然此时还需要应用程序配合，根据control域（如果control域为PTP_SYNC_MESSAGE，则说明报文为Sync；如果control域为PTP_DELAYREQ_MESSAGE，则说明报文为Delay_Req。

TCP/IP协议族IP/TCPTelnet和R login、FTP以及SMTPIP/UDPDNS 、TFTP、BOOTP、SNMPICMP是IP协议的附属协议、IGMP是Internet组管理协议ARP（地址解析协议）和RARP（逆地址解析协议）是某些网络接口（如以太网和令牌环网）使用的特殊协议，用来转换I P层和网络接口层使用的地址。

1、以太帧类型以太帧有很多种类型。

不同类型的帧具有不同的格式和MTU值。

但在同种物理媒体上都可同时存在。

▪标签协议识别符(Tag Protocal Identifier, TPID): 一组16位元的域其数值被设定在0x8100以用来辨别某个IEEE 802.1Q的帧为已被标签的，而这个域所被标定位置与乙太形式/长度在未标签帧的域相同，这是为了用来区别未标签的帧。

▪优先权代码点(Priority Code Point, PCP): 以一组3位元的域当作IEEE 802.1p 优先权的参考，从0(最低)到7(最高)，用来对资料流(音讯、影像、档案等等)作传输的优先级。

▪标准格式指示(Canonical Format Indicator, CFI): 1位元的域。

若是这个域的值为1，则MAC地指则为非标准格式；若为0，则为标准格式；在乙太交换器中他通常默认为0。

在乙太和令牌环中，CFI用来做为两者的相容。

若帧在乙太端中接收资料则CFI的值须设为1，且这个端口不能与未标签的其他端口桥接。

▪虚拟局域网识别符(VLAN Identifier, VID): 12位元的域，用来具体指出帧是属于哪个特定VLAN。

值为0时，表示帧不属于任何一个VLAN；此时，802.1Q标签代表优先权。

16位元的值0x000和0xFFF为保留值，其他的值都可用来做为共4094个VLAN的识别符。

在桥接器上，VLAN1在管理上做为保留值。

这个12位元的域可分为两个6位元的域以延伸目的(Destination)与源(Source)之48位元地址，18位元的三重标记(Triple-Tagging)可和原本的48位元相加成为66位元的地址。

网络抓包分析实验报告一：实验目的：1.学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析以太网帧格式。

2：分析ARP报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构五：分析1.以太网帧格式：以太网共有4种个格式一)：Ethernet II是DIX以太网联盟推出的，它由6个字节的目的MAC地址，6个字节的源MAC 地址，2个字节的类型域（用于表示装在这个Frame、里面数据的类型)，以上为Frame Header,接下来是46--1500 字节的数据，和4字节的帧校验）二)：Novell Ethernet它的帧头与Ethernet有所不同其中EthernetII帧头中的类型域变成了长度域，后面接着的两个字节为0xFFFF用于标示这个帧是Novell Ether类型的Frame，由于前面的0xFFFF站掉了两个字节所以数据域缩小为44-1498个字节,帧校验不变。

三)：IEEE 802.3/802.2802.3的Frame Header和Ethernet II的帧头有所不同，它把EthernetII类型域变成了长度域(与Novell Ethernet相同)。

其中又引入802.2协议(LLC)在802.3帧头后面添加了一个LLC首部,由DSAP(Destination Service Access Point) 1 byte,SSAP(Source SAP) 1 byte,一个控制域 1 byte! SAP用于表示帧的上层协议。

四)：Ethernet SNAPEthernet SNAP Frame与802.3/802.2 Frame的最大区别是增加了一个5 Bytes的SNAP ID，其中前面3个byte通常与源mac地址的前三个bytes相同，为厂商代码！有时也可设为0。

双层vlan 8100报文解析双层VLAN 8100报文解析涉及到网络通信中的VLAN（虚拟局域网）和以太网帧的结构。

首先，让我们从VLAN的概念开始解释。

VLAN是一种逻辑上的划分，用于将一个物理上的局域网分割成多个逻辑上的局域网，以实现网络流量的隔离和管理。

VLAN标签通常被添加到以太网帧的头部，以指示该帧属于哪个VLAN。

而双层VLAN则是指在以太网帧中包含两个VLAN标签，即802.1Q嵌套标签。

接下来我们来解析双层VLAN 8100报文。

在双层VLAN场景下，以太网帧的头部会包含两个VLAN标签，每个标签由12位的TPID （Tag Protocol Identifier）和3位的优先级（PCP）以及1位的DEI（Drop Eligible Indicator）组成。

其中，TPID是用来表示该标签是VLAN标签的类型，而PCP和DEI则用于QoS（Quality of Service）和流量管理。

当我们看到一个双层VLAN 8100报文时，它意味着以太网帧中的第一个VLAN标签的TPID为8100。

这意味着该帧是一个双层VLAN 帧，并且内部的VLAN标签也是以8100作为TPID。

这种情况通常出现在一些特定的网络配置中，例如在服务提供商网络中用于实现多租户隔离的场景中。

总的来说，双层VLAN 8100报文解析涉及到对以太网帧头部中的双层VLAN标签的解析，包括对TPID和VLAN标识的解释，以及理解双层VLAN在网络中的具体应用和配置。

这种报文结构的解析对于网络工程师和管理员来说是非常重要的，因为它涉及到网络数据流的正确识别和处理。

希望这个解析能够帮助你更好地理解双层VLAN 8100报文。