以太網(wǎng)數(shù)據(jù)幀的格式分析

1、以太網(wǎng)數(shù)據(jù)幀的格式分析 大家都知道我們目前的局域網(wǎng)大多數(shù)是以太網(wǎng)，但以太網(wǎng)有多種標(biāo)準(zhǔn)，其數(shù)據(jù)幀有多 種格式，恐怕有許多人不是太清楚，本文的目的就是通過(guò)幀格式和 Sniffer 捕捉的數(shù)據(jù)包解 碼來(lái)區(qū)別它們。 以太網(wǎng)這個(gè)術(shù)語(yǔ)一般是指數(shù)字設(shè)備公司（Digital Equipment）、英特爾公司（Intel）和 施樂公司（Xerox）在 1982 年聯(lián)合公布的一個(gè)標(biāo)準(zhǔn)（實(shí)際上它是第二版本，第一版本早在 1972 年就在施樂公司帕洛阿爾托研究中心 PARC 里產(chǎn)生了）。它是目前 TCP/IP 網(wǎng)絡(luò)采用的 主要的局域網(wǎng)技術(shù)。它采用一種稱作 CSMA/CD 的媒體接入方法，其意思是帶沖突檢測(cè)的載 波偵聽

2、多路接入（Carrier Sense, Multiple Access with Collision Detection）。它的速率為 10Mb/s，地址為 48 bit。 1985 年，IEEE（電子電氣工程師協(xié)會(huì)） 802 委員會(huì)公布了一個(gè)稍有不同的標(biāo)準(zhǔn)集， 其中 802.3 針對(duì)整個(gè) CSMA/CD 網(wǎng)絡(luò)，802.4 針對(duì)令牌總線網(wǎng)絡(luò)，802.5 針對(duì)令牌環(huán)網(wǎng)絡(luò)。這 三者的共同特性由 802.2 標(biāo)準(zhǔn)來(lái)定義，那就是 802 網(wǎng)絡(luò)共有的邏輯鏈路控制（LLC）。不幸 的是，802.2 和 802.3 定義了一個(gè)與以太網(wǎng)不同的幀格式，加上 1983 年 Novell 為其 Netware 開發(fā)

3、的私有幀，這些給以太網(wǎng)造成了一定的混亂，也給我們學(xué)習(xí)以太網(wǎng)帶來(lái)了一定的影響。前導(dǎo)碼源地址目的地址866Sniffer捕捉的范圍捕捉幀最大長(zhǎng)度=1514bytes*捕捉幀最小長(zhǎng)度=60bytes數(shù)據(jù)鏈路層數(shù)鏈層頭數(shù)據(jù)FCS 上圖 中，數(shù)據(jù)鏈路層頭（Header）是數(shù)據(jù)鏈路層的控制信息的長(zhǎng)度不是固定的，根據(jù)以太網(wǎng) 數(shù)據(jù) 幀的格 式的 不同而 不同 ，那么 判 斷 IEEE802.3 、 IEEE802.3 SNAP 、 Ethernet Version2、Netware 802.3 “Raw”這些數(shù)據(jù)幀的最主要依據(jù)也源于 Header 的變化。 從該圖中也可以看出，Sniffer 捕捉數(shù)據(jù)包的時(shí)候

4、是掐頭去尾的，不要前面的前導(dǎo)碼，也丟棄后面的 CRC 校驗(yàn)（注意它只是不在 Decode 里顯示該區(qū)域，但并不代表它不去做數(shù)據(jù)包 CRC 校驗(yàn)），這就是很多人困惑為什么 Sniffer 捕捉到的數(shù)據(jù)包長(zhǎng)度跟實(shí)際長(zhǎng)度不相符的 原因。那么，Sniffer 是如何來(lái)判斷這些不同類型的以太網(wǎng)格式呢？ 通過(guò)圖 1-2 的邏輯結(jié)構(gòu)，Sniffer 就可以判斷出不同的以太網(wǎng)格式，這里需要注意的是， Sniffer 在數(shù)據(jù)包解碼時(shí)有自己的格式，所以有 Offset 之說(shuō)，圖 1-2 中的 offset E 是指在 Sniffer Hex 解碼窗口中從左向右第 15 位的數(shù)值。大家如果看這幅圖有點(diǎn)發(fā)懵的話，沒有

5、關(guān)系，看 完后面的格式分析后再來(lái)看這幅圖，相信一定能夠明白 下面我們通過(guò)一些具體的圖示和數(shù)據(jù)包來(lái)說(shuō)明各種以太網(wǎng)格式的具體區(qū)別。2、Ethernet Version2以太網(wǎng)版本 2 是先于 IEEE 標(biāo)準(zhǔn)的以太網(wǎng)版本。866246 - 15004Sniffer捕捉的范圍數(shù)鏈層前導(dǎo)碼DASA類型數(shù)據(jù)FCS101010101011從圖 2-1 中可以看出，Ethernet V2 通過(guò)在 DLC 頭中 2 個(gè)字節(jié)的類型（Type）字段來(lái)辨別接收處理。類型字段是用來(lái)指定上層協(xié)議的（如 0800 指示 IP、0806 指示 ARP 等），它的 值一定是大于 05FF 的，它提供無(wú)連接服務(wù)的，本身不控制數(shù)據(jù)

6、（DATA）的長(zhǎng)度，它要求 網(wǎng)絡(luò)層來(lái)確保數(shù)據(jù)字段的最小包長(zhǎng)度（46 字節(jié)）。 圖 2-2 是 Sniffer 捕獲的 Ethernet V2 幀的解碼，可以看到在 DLC 層，源 DLC 地址后緊 跟著就是以太網(wǎng)類型（Etehertype）值 0800，代表上層封裝的是 IP 報(bào)文，0800 大于 05FF， 因而我們可以斷定它是 Ethernet V2 的幀。3、IEEE802.371662111 or 2 42 - 14974數(shù)鏈層前導(dǎo)碼DASA長(zhǎng)度SFD邏輯鏈路控制（LLC）802.2Sniffer捕捉范圍SFD：開始定界符 DSAP：目標(biāo)服務(wù)訪問(wèn)點(diǎn) SSAP：源服務(wù)訪問(wèn)點(diǎn) Contro

7、l：控制信息從圖 3-1 可以看出，IEEE802.3 把 DLC 層分隔成明顯的兩個(gè)子層：MAC 層和 LLC 層，其中 MAC 層主要是指示硬件目的地址和源地址。LLC 層用來(lái)提供一些服務(wù)： 通過(guò) SAP 地址來(lái)辨別接收和發(fā)送方法 兼容無(wú)連接和面向連接服務(wù) 提供子網(wǎng)訪問(wèn)協(xié)議（Sub-network Access Protocol，SNAP），類型字段即由它 的首部給出。DSAPSSAPControl數(shù)據(jù)+填充MAC 層要保證最小幀長(zhǎng)度不小于 64 字節(jié)，如果數(shù)據(jù)不滿足 64 字節(jié)長(zhǎng)度就必須進(jìn)行填充。圖 3-2 是 Sniffer 捕獲的 IEEE802.3 幀的解碼，可以看到在 DLC 層

8、源地址后緊跟著就是802.3 的長(zhǎng)度（Length）字段 0026，它小于 05FF，可以肯定它不是 Ethernet V2 的幀，而接 下來(lái)的 Offset 0E 處的值“4242”（代表 DSAP 和 SSAP），既不是 Novell 802.3 “Raw”的特征 值“FFFF”，也不是 IEEE 802.3 SNAP 的特征值“AAAA”，因此它肯定是一個(gè) IEEE802.3 的幀 4、IEEE802.3 SNAP71662AAAA132 38 - 14924數(shù)鏈層前導(dǎo)碼SFDDA SA 長(zhǎng)度邏輯鏈路控制（LLC）802.2SNAPSNAPHeaderControl類型數(shù)據(jù)Sniffer

9、捕捉范圍101010101011SNAP (Sub-Network Access Protocol)子網(wǎng)訪問(wèn)協(xié)議，是邏輯鏈路控制（Logical LinkControl）的一個(gè)子集，它允許協(xié)議不用通過(guò)服務(wù)訪問(wèn)點(diǎn)（SAP）即可實(shí)現(xiàn) IEEE 兼容的 MAC 層功能，因此它在 DSAP 和 SSAP 域里的值是固定的（AAAA）。也正源于此，它需要額外 提供 5 個(gè)字節(jié)的頭來(lái)指定接收方法，3 個(gè)字節(jié)標(biāo)識(shí)廠商代碼，2 個(gè)字節(jié)標(biāo)識(shí)上層協(xié)議。其 MAC 層保證數(shù)據(jù)幀長(zhǎng)度不小于 64 字節(jié)，不足的話需要進(jìn)行數(shù)據(jù)填充。 圖 4-2 是 Sniffer 捕獲的 IEEE802.3 SNAP 幀的解碼，可以看到

10、在 DLC 層源地址后緊跟 著就是 802.3 的長(zhǎng)度（Length）字段 0175，它小于 05FF，可以肯定它不是 Ethernet V2 的幀， 而接下來(lái)的 Offset 0E 處的值“AAAA”（代表 DSAP 和 SSAP），這是 IEEE 802.3 SNAP 的特 征值“AAAA”，因此可以斷定它是一個(gè) IEEE802.3 SNAP 的幀。5、Novell Netware 802.3 “Raw” 雖然它的產(chǎn)生先于 IEEE802.3 規(guī)范，但已成為 IEEE802.3 規(guī)范的一部分。它僅使用 DLC層的下半部，而不使用 LLC。8662FFFF44 - 14984數(shù)鏈層前導(dǎo)碼DA

11、SA長(zhǎng)度數(shù)據(jù)Sniffer捕捉范圍從圖 5-1 中可以看出，802.3 “Raw”幀通過(guò)在 DLC 頭中 2 個(gè)字節(jié)的長(zhǎng)度（Length）字段來(lái)標(biāo)記數(shù)據(jù)幀長(zhǎng)度，而在長(zhǎng)度字段后緊跟著就是兩個(gè)字節(jié)的十六進(jìn)制值 FFFF，它是用來(lái)標(biāo)識(shí) IPX 協(xié)議頭的開始。為了確保最小數(shù)據(jù)幀長(zhǎng)度為 64 字節(jié)，MAC 層會(huì)進(jìn)行填充數(shù)據(jù)區(qū)域 來(lái)確保最小長(zhǎng)度。在所有工作站都使用同一種數(shù)據(jù)幀類型情況下不會(huì)有什么問(wèn)題，但如果是在混合以太網(wǎng) 幀類型環(huán)境中，Novell 的這種以太網(wǎng)幀會(huì)造成負(fù)面影響：當(dāng) Novell 發(fā)出廣播幀時(shí)，其 FF 字 段正好是 IEEE802.3 幀中的服務(wù)訪問(wèn)點(diǎn)（SAP）域，它的“FF”值代表著廣

12、播 SAP，因此所 有的工作站（不管是不是 Netware 工作站）都會(huì)拷貝，這會(huì)造成不必要的廣播影響。圖 5-2 是 Sniffer 捕獲的 Netware 802.3 “RAW”幀的解碼，可以看到在 DLC 層源地址后 緊跟著就是 802.3 的長(zhǎng)度（Length）字段 0120，它小于 05FF，可以肯定它不是 Ethernet V2的幀，而接下來(lái)的 Offset 0E 處的值“FFFF”（代表 IPX 協(xié)議的開始），這是 Netware 802.3“Raw”的特征值“FFFF”，因此可以斷定它是一個(gè) Novell 802.3 “Raw”的幀。二、Ethernet V2 幀與 IEEE

13、802.3 幀的比較因?yàn)檫@兩種幀是我們?cè)诂F(xiàn)在的局域網(wǎng)里最常見的兩種幀，因此，我們對(duì)它們進(jìn)行一些比 較。從圖 6-1 中可以看出，Ethernet V2 可以裝載的最大數(shù)據(jù)長(zhǎng)度是 1500 字節(jié)，而 IEEE 802.3 可以裝載的最大數(shù)據(jù)是 1492 字節(jié)（SNAP）或是 1497 字節(jié); Ethernet V2 不提供 MAC 層的數(shù) 據(jù)填充功能，而 IEEE 802.3 不僅提供該功能，還具備服務(wù)訪問(wèn)點(diǎn)（SAP）和 SNAP 層，能 夠提供更有效的數(shù)據(jù)鏈路層控制和更好的傳輸保證。那么我們可以得出這樣的結(jié)論：EthernetV2 比 IEEE802.3 更適合于傳輸大量的數(shù)據(jù)，但 Ethernet V2 缺乏數(shù)據(jù)鏈路層的控制，不利于 傳輸需要嚴(yán)格傳輸控制的數(shù)據(jù)，這也正是 IEEE802.3 的優(yōu)勢(shì)所在，越需要嚴(yán)格傳輸控制的應(yīng) 用，越需要用 IEEE802.3 或 SNAP 來(lái)封裝，但 IEEE802.3 也不可避免的帶來(lái)數(shù)據(jù)裝載量的損 失，因此該格式的封裝往往用在較少數(shù)據(jù)量承載但又需要嚴(yán)格控制傳輸?shù)膽?yīng)用中。在實(shí)際應(yīng)用中，我們會(huì)發(fā)現(xiàn)，大多數(shù)應(yīng)用的以太網(wǎng)數(shù)據(jù)包是 Ethernet V2 的幀（如 H