protocol_analysis(協(xié)議分析)參考

1、rotocol_analysis(協(xié)議分析)protocol_analysis(協(xié)議分析)protocol_analysis(協(xié)議分析)協(xié)議分析 ARP協(xié)議解碼詳解ARP協(xié)議簡(jiǎn)介ARP，全稱Address Resolution Protocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時(shí)對(duì)上層提供服務(wù)。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設(shè)備并不識(shí)別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就

2、是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡(luò)中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進(jìn)行。ARP和RARP報(bào)頭結(jié)構(gòu)ARP和RARP使用相同的報(bào)頭結(jié)構(gòu)，如圖1所示。硬件類型協(xié)議類型硬件地址長(zhǎng)度協(xié)議長(zhǎng)度操作類型發(fā)送方的硬件地址（0-3字節(jié)）源物理地址（4-5字節(jié)）源IP地址（0-1字節(jié)）源IP地址（2-3字節(jié)）目標(biāo)硬件地址（0-1字節(jié)）目標(biāo)硬件地址（2-5字節(jié)）目標(biāo)IP地址（0-3字節(jié)）（圖1ARP/RARP報(bào)頭結(jié)構(gòu)）硬件類型字段指明了發(fā)送方想知道的硬件接口類型，以太網(wǎng)的值為1；協(xié)議類型字段指明了發(fā)送方提供的高層協(xié)議類型，IP為0800（16進(jìn)制）；硬件地址長(zhǎng)度和協(xié)議長(zhǎng)度指明

3、了硬件地址和高層協(xié)議地址的長(zhǎng)度，這樣ARP報(bào)文就可以在任意硬件和任意協(xié)議的網(wǎng)絡(luò)中使用；操作字段用來表示這個(gè)報(bào)文的類型，ARP請(qǐng)求為1，ARP響應(yīng)為2，RARP請(qǐng)求為3，RARP響應(yīng)為4；發(fā)送方的硬件地址（0-3字節(jié)）：源主機(jī)硬件地址的前3個(gè)字節(jié)；發(fā)送方的硬件地址（4-5字節(jié)）：源主機(jī)硬件地址的后3個(gè)字節(jié)；發(fā)送方IP（0-1字節(jié)）：源主機(jī)硬件地址的前2個(gè)字節(jié)；發(fā)送方IP（2-3字節(jié)）：源主機(jī)硬件地址的后2個(gè)字節(jié)；目的硬件地址（0-1字節(jié)）：目的主機(jī)硬件地址的前2個(gè)字節(jié)；目的硬件地址（2-5字節(jié)）：目的主機(jī)硬件地址的后4個(gè)字節(jié)；目的IP（0-3字節(jié)）：目的主機(jī)的IP地址。ARP和RARP的工作原理

4、ARP的工作原理如下：首先，每臺(tái)主機(jī)都會(huì)在自己的ARP緩沖區(qū) (ARP Cache)中建立一個(gè) ARP列表，以表示IP地址和MAC地址的對(duì)應(yīng)關(guān)系。 當(dāng)源主機(jī)需要將一個(gè)數(shù)據(jù)包要發(fā)送到目的主機(jī)時(shí)，會(huì)首先檢查自己 ARP列表中是否存在該 IP地址對(duì)應(yīng)的MAC地址，如果有就直接將數(shù)據(jù)包發(fā)送到這個(gè)MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個(gè)ARP請(qǐng)求的廣播包，查詢此目的主機(jī)對(duì)應(yīng)的MAC地址。此ARP請(qǐng)求數(shù)據(jù)包里包括源主機(jī)的IP地址、硬件地址、以及目的主機(jī)的IP地址。網(wǎng)絡(luò)中所有的主機(jī)收到這個(gè)ARP請(qǐng)求后，會(huì)檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機(jī)首先將發(fā)送端

5、的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機(jī)發(fā)送一個(gè) ARP響應(yīng)數(shù)據(jù)包，告訴對(duì)方自己是它需要查找的MAC地址； 源主機(jī)收到這個(gè)ARP響應(yīng)數(shù)據(jù)包后，將得到的目的主機(jī)的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機(jī)一直沒有收到ARP響應(yīng)數(shù)據(jù)包，表示ARP查詢失敗。RARP的工作原理如下：發(fā)送主機(jī)發(fā)送一個(gè)本地的RARP廣播，在此廣播包中，聲明自己的MAC地址并且請(qǐng)求任何收到此請(qǐng)求的RARP服務(wù)器分配一個(gè)IP地址；本地網(wǎng)段上的RARP服務(wù)器收到此請(qǐng)求后，檢查其RARP列表，查找該MAC地址對(duì)應(yīng)的IP地

6、址；如果存在，RARP服務(wù)器就給源主機(jī)發(fā)送一個(gè)響應(yīng)數(shù)據(jù)包并將此IP地址提供給對(duì)方主機(jī)使用；如果不存在，RARP服務(wù)器對(duì)此不做任何的響應(yīng)；源主機(jī)收到從RARP服務(wù)器的響應(yīng)信息，就利用得到的IP地址進(jìn)行通訊；如果一直沒有收到RARP服務(wù)器的響應(yīng)信息，表示初始化失敗。解碼詳解了解了ARP和RARP協(xié)議的報(bào)頭結(jié)構(gòu)和工作原理后，我們使用科來網(wǎng)絡(luò)分析系統(tǒng)抓取ARP包，其詳細(xì)解碼，如圖1，（圖1科來網(wǎng)絡(luò)分析系統(tǒng)中ARP請(qǐng)求包詳細(xì)解碼）圖1顯示是一個(gè)ARP的請(qǐng)求包的解碼，下面我們來詳細(xì)說明：硬件類型：1，表示硬件借口類型為以太網(wǎng)類型協(xié)議類型：0 x0800，表示發(fā)送方提供的高層協(xié)議類型是IP硬件地址長(zhǎng)度：表示

7、硬件地址長(zhǎng)度為6字節(jié)=48位協(xié)議地址長(zhǎng)度：表示IP地址長(zhǎng)度為4字節(jié)=32位操作類型：1，表示ARP請(qǐng)求源物理地址：00:14:85:CA:F5:22源IP地址：2目標(biāo)物理地址：00:00:00:00:00:00目標(biāo)IP地址：08ARP回應(yīng)包和RARP的包類似，我們?cè)谶@里就不再重復(fù)說明。協(xié)議分析 DHCP協(xié)議解碼詳解DHCP協(xié)議簡(jiǎn)介DHCP，全稱是DynamicHostConfigurationProtocol中文名為動(dòng)態(tài)主機(jī)配置協(xié)議，它的前身是BOOTP，它工作在OSI的應(yīng)用層，是一種幫助計(jì)算機(jī)從指定的DHCP服務(wù)器獲取它們的配置信息的自舉協(xié)議。DHCP使用客戶端/服務(wù)器模式，請(qǐng)求配置信息的計(jì)

8、算機(jī)叫做DHCP客戶端，而提供信息的叫做DHCP的服務(wù)器。DHCP為客戶端分配地址的方法有三種：手工配置、自動(dòng)配置、動(dòng)態(tài)配置。DHCP最重要的功能就是動(dòng)態(tài)分配。除了IP地址，DHCP分組還為客戶端提供其他的配置信息，比如子網(wǎng)掩碼。這使得客戶端無需用戶動(dòng)手就能自動(dòng)配置連接網(wǎng)絡(luò)。DHCP的工作流程發(fā)現(xiàn)階段，即DHCP客戶機(jī)尋找DHCP服務(wù)器的階段。DHCP客戶機(jī)以廣播方式（因?yàn)镈HCP服務(wù)器的IP地址對(duì)于客戶機(jī)來說是未知的）發(fā)送DHCPdiscover發(fā)現(xiàn)信息來尋找DHCP服務(wù)器，即向地址55發(fā)送特定的廣播信息。網(wǎng)絡(luò)上每一臺(tái)安裝了TCP/IP協(xié)議的主機(jī)都會(huì)接收到這種廣播信息，但只有DHCP服務(wù)器才

9、會(huì)做出響應(yīng)。提供階段，即DHCP服務(wù)器提供IP地址的階段。在網(wǎng)絡(luò)中接收到DHCPdiscover發(fā)現(xiàn)信息的DHCP服務(wù)器都會(huì)做出響應(yīng)，它從尚未出租的IP地址中挑選一個(gè)分配給DHCP客戶機(jī)，向DHCP客戶機(jī)發(fā)送一個(gè)包含出租的IP地址和其他設(shè)置的DHCPoffer提供信息。選擇階段，即DHCP客戶機(jī)選擇某臺(tái)DHCP服務(wù)器提供的IP地址的階段。如果有多臺(tái)DHCP服務(wù)器向DHCP客戶機(jī)發(fā)來的DHCPoffer提供信息，則DHCP客戶機(jī)只接受第一個(gè)收到的DHCPoffer提供信息，然后它就以廣播方式回答一個(gè)DHCPrequest請(qǐng)求信息，該信息中包含向它所選定的DHCP服務(wù)器請(qǐng)求IP地址的內(nèi)容。之所以要

10、以廣播方式回答，是為了通知所有的DHCP服務(wù)器，他將選擇某臺(tái)DHCP服務(wù)器所提供的IP地址。確認(rèn)階段，即DHCP服務(wù)器確認(rèn)所提供的IP地址的階段。當(dāng)DHCP服務(wù)器收到DHCP客戶機(jī)回答的DHCPrequest請(qǐng)求信息之后，它便向DHCP客戶機(jī)發(fā)送一個(gè)包含它所提供的IP地址和其他設(shè)置的DHCPACK確認(rèn)信息，告訴DHCP客戶機(jī)可以使用它所提供的IP地址。然后DHCP客戶機(jī)便將其TCP/IP協(xié)議與網(wǎng)卡綁定，另外，除DHCP客戶機(jī)選中的服務(wù)器外，其他的DHCP服務(wù)器都將收回曾提供的IP地址。重新登錄，以后DHCP客戶機(jī)每次重新登錄網(wǎng)絡(luò)時(shí)，就不需要再發(fā)送DHCPdiscover發(fā)現(xiàn)信息了，而是直接發(fā)送

11、包含前一次所分配的IP地址的DHCPrequest請(qǐng)求信息。當(dāng)DHCP服務(wù)器收到這一信息后，它會(huì)嘗試讓DHCP客戶機(jī)繼續(xù)使用原來的IP地址，并回答一個(gè)DHCPACK確認(rèn)信息。如果此IP地址已無法再分配給原來的DHCP客戶機(jī)使用時(shí)（比如此IP地址已分配給其它DHCP客戶機(jī)使用），則DHCP服務(wù)器給DHCP客戶機(jī)回答一個(gè)DHCPNACK否認(rèn)信息。當(dāng)原來的DHCP客戶機(jī)收到此DHCPNACK否認(rèn)信息后，它就必須重新發(fā)送DHCPdiscover發(fā)現(xiàn)信息來請(qǐng)求新的IP地址。更新租約，DHCP服務(wù)器向DHCP客戶機(jī)出租的IP地址一般都有一個(gè)租借期限，期滿后DHCP服務(wù)器便會(huì)收回出租的IP地址。如果DHCP

12、客戶機(jī)要延長(zhǎng)其IP租約，則必須更新其IP租約。DHCP客戶機(jī)啟動(dòng)時(shí)和IP租約期限過一半時(shí)，DHCP客戶機(jī)都會(huì)自動(dòng)向DHCP服務(wù)器發(fā)送更新其IP租約的信息。DHCP的報(bào)文格式我們來介紹一下DHCP的報(bào)文格式，如圖1，OP(1)Htype(1)Hlen(1)Hops(1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr（4）Yiaddr（4）Siaddr（4）Giaddr（4）Chaddr（16）Sname（64）File（128）Options（variable）（圖1 DHCP的 報(bào)文格式）OP：若是client送給server的封包，設(shè)為1，反向?yàn)?；Hty

13、pe：硬件類別，ethernet為1；Hlen：硬件長(zhǎng)度，ethernet為6；Hops：若數(shù)據(jù)包需經(jīng)過router傳送，每站加1，若在同一網(wǎng)內(nèi)，為0；Transaction ID：事務(wù)ID，是個(gè)隨機(jī)數(shù)，用于客戶和服務(wù)器之間匹配請(qǐng)求和相應(yīng)消息；Seconds：由用戶指定的時(shí)間，指開始地址獲取和更新進(jìn)行后的時(shí)間；Flags：從0-15bits，最左一bit為1時(shí)表示server將以廣播方式傳送封包給 client，其余尚未使用；Ciaddr：用戶IP地址；Yiaddr：客戶IP地址；Siaddr：用于bootstrap過程中的IP地址；Giaddr：轉(zhuǎn)發(fā)代理（網(wǎng)關(guān)）IP地址；Chaddr：cli

14、ent的硬件地址；Sname：可選server的名稱，以0 x00結(jié)尾；File：?jiǎn)?dòng)文件名；Options：，廠商標(biāo)識(shí)，可選的參數(shù)字段解碼信息通過DHCP的 工作流程，我們知道從DHCP服務(wù)器獲取配置信息的4個(gè)階段中，DHCP客戶端會(huì)出現(xiàn)有4種報(bào)文（DHCPDISCOVERY，DHCPOFFER，DHCPREQUEST，DHCPACK）。我們分別來看看4報(bào)文的解碼內(nèi)容：發(fā)現(xiàn)階段使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲DHCP DISCOVERY 數(shù)據(jù)包，如圖2，（圖2 DHCP DISCOVERY數(shù)據(jù)包解碼）由圖2可以看到DHCP DISCOVERY包的解碼信息，由于DHCP是BOOTP的以個(gè)擴(kuò)展，DHCP

15、兼容BOOTP，我們可以看到BOOTP和DHCP的解碼。提供階段使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲DHCP OFFER數(shù)據(jù)包，如圖3，（圖3 DHCP OFFER數(shù)據(jù)包解碼）選擇階段使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲DHCP REQUEST數(shù)據(jù)包，如圖4,(圖4 DHCP REQUEST數(shù)據(jù)包解碼)確認(rèn)階段使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲DHCP ACK數(shù)據(jù)包，如圖5,(圖5 DHCP ACK數(shù)據(jù)包解碼)以上為DHCP工作的4種數(shù)據(jù)包，每種數(shù)據(jù)包都是有區(qū)別的。協(xié)議分析 ICMP協(xié)議解碼詳解ICMP協(xié)議簡(jiǎn)介ICMP全稱Internet Control Message Protocol，中文名為因特網(wǎng)控制報(bào)文協(xié)議。它工作在O

16、SI的網(wǎng)絡(luò)層，向數(shù)據(jù)通訊中的源主機(jī)報(bào)告錯(cuò)誤。ICMP可以實(shí)現(xiàn)故障隔離和故障恢復(fù)。網(wǎng)絡(luò)本身是不可靠的，在網(wǎng)絡(luò)傳輸過程中，可能會(huì)發(fā)生許多突發(fā)事件并導(dǎo)致數(shù)據(jù)傳輸失敗。網(wǎng)絡(luò)層的IP協(xié)議是一個(gè)無連接的協(xié)議，它不會(huì)處理網(wǎng)絡(luò)層傳輸中的故障，而位于網(wǎng)絡(luò)層的ICMP協(xié)議卻恰好彌補(bǔ)了IP的缺限，它使用IP協(xié)議進(jìn)行信息傳遞，向數(shù)據(jù)包中的源端節(jié)點(diǎn)提供發(fā)生在網(wǎng)絡(luò)層的錯(cuò)誤信息反饋。ICMP的報(bào)頭長(zhǎng)8字節(jié)，結(jié)構(gòu)如圖1所示。比特0 78 15 16 比特31類型（0或8）代碼（0）檢驗(yàn)和為使用數(shù)據(jù)（圖1ICMP報(bào)頭結(jié)構(gòu)）類型：標(biāo)識(shí)生成的錯(cuò)誤報(bào)文，它是ICMP報(bào)文中的第一個(gè)字段；代碼：進(jìn)一步地限定生成ICMP報(bào)文。該字段用來查

17、找產(chǎn)生錯(cuò)誤的原因；校驗(yàn)和：存儲(chǔ)了ICMP所使用的校驗(yàn)和值。未使用：保留字段，供將來使用，起值設(shè)為0數(shù)據(jù)：包含了所有接受到的數(shù)據(jù)報(bào)的IP報(bào)頭。還包含IP數(shù)據(jù)報(bào)中前8個(gè)字節(jié)的數(shù)據(jù)；ICMP協(xié)議提供的診斷報(bào)文類型如表1所示。類型描述0回應(yīng)應(yīng)答（Ping應(yīng)答，與類型8的Ping請(qǐng)求一起使用）3目的不可達(dá)4源消亡5重定向8回應(yīng)請(qǐng)求（Ping請(qǐng)求，與類型8的Ping應(yīng)答一起使用）9路由器公告（與類型10一起使用）10路由器請(qǐng)求（與類型9一起使用）11超時(shí)12參數(shù)問題13時(shí)標(biāo)請(qǐng)求（與類型14一起使用）14時(shí)標(biāo)應(yīng)答（與類型13一起使用）15信息請(qǐng)求（與類型16一起使用）16信息應(yīng)答（與類型15一起使用）17地

18、址掩碼請(qǐng)求（與類型18一起使用）18地址掩碼應(yīng)答（與類型17一起使用）（表1ICMP診斷報(bào)文類型）ICMP提供多種類型的消息為源端節(jié)點(diǎn)提供網(wǎng)絡(luò)層的故障信息反饋，它的報(bào)文類型可以歸納為以下5個(gè)大類：診斷報(bào)文（類型8，代碼0；類型0，代碼0）；目的不可達(dá)報(bào)文（類型3，代碼0-15）；重定向報(bào)文（類型5，代碼0-4）；超時(shí)報(bào)文（類型11，代碼0-1）；信息報(bào)文（類型12-18）。詳細(xì)解碼使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲數(shù)據(jù)包，我們得到ICMP回顯報(bào)文的信息，如圖1所示，（圖1 科來網(wǎng)絡(luò)分析系統(tǒng)抓取的ICMP回顯報(bào)文）我們?cè)敿?xì)介紹在圖1中的解碼信息，類型：8，表示是一個(gè)ICMP回顯請(qǐng)求報(bào)文；代碼：0，表示網(wǎng)絡(luò)

19、不可達(dá)；校驗(yàn)和：表示ICMP的0 x425C；使用IP校驗(yàn)和的算法。標(biāo)識(shí)：0 x0400序列號(hào)：0 x0700，每一個(gè)ICMP回顯報(bào)文都有一個(gè)序列號(hào)且是遞增的數(shù)據(jù)：表示是一個(gè)32字節(jié)的數(shù)據(jù)注：以上是一個(gè)ICMP回送報(bào)文，可以看出了和前面列出的ICMP報(bào)文有點(diǎn)不一樣。因?yàn)镮CMP有幾種類型的報(bào)文（目標(biāo)不可達(dá)報(bào)文，重定向報(bào)文，超時(shí)報(bào)文，回送請(qǐng)求和回送應(yīng)答報(bào)文），每一種報(bào)文都相對(duì)都有一些區(qū)別，這里我們就不在特別介紹。協(xié)議分析 IP協(xié)議解碼詳解IP協(xié)議簡(jiǎn)介IP，全稱Internet Protocol，中文名叫因特網(wǎng)協(xié)議，它工作在OSI的網(wǎng)絡(luò)層，它負(fù)責(zé)將數(shù)據(jù)傳輸?shù)秸_的目的地，同時(shí)也負(fù)責(zé)路由。無論傳輸層

20、使用何種協(xié)議，都要依賴IP來發(fā)送和接受數(shù)據(jù)。IP提供一種無連接的傳輸機(jī)制，這就意味著在網(wǎng)絡(luò)傳輸?shù)拿總€(gè)數(shù)據(jù)報(bào)都作為獨(dú)立的單元來對(duì)待。IP并不維護(hù)服務(wù)器和客戶端之間的連接細(xì)節(jié)。IP不能保證數(shù)據(jù)傳輸?shù)目煽啃?。然而，這些并不意味著分組將被毫無規(guī)則的忽略，而是僅在網(wǎng)絡(luò)出現(xiàn)故障時(shí)才會(huì)發(fā)生數(shù)據(jù)丟失。下面我們來介紹一下IP數(shù)據(jù)報(bào)的格式、IP數(shù)據(jù)報(bào)格式，如圖1，版本頭部長(zhǎng)度服務(wù)類型總長(zhǎng)度標(biāo)識(shí)分段標(biāo)志分段偏移量生存時(shí)間協(xié)議校驗(yàn)和源地址目標(biāo)地址選項(xiàng)填充數(shù)據(jù)（圖1 IP數(shù)據(jù)報(bào)的格式）版本：用于傳輸數(shù)據(jù)的IP版本，大小為4位；頭部長(zhǎng)度：用于規(guī)定報(bào)頭長(zhǎng)度；服務(wù)類型：用于設(shè)置數(shù)據(jù)傳輸?shù)膬?yōu)先權(quán)或者優(yōu)先級(jí)，其大小為8位；總長(zhǎng)度

21、：指出數(shù)據(jù)報(bào)的總長(zhǎng)，數(shù)據(jù)報(bào)總長(zhǎng)=報(bào)頭長(zhǎng)度+數(shù)據(jù)長(zhǎng)度，大小為16位；標(biāo)識(shí)：用于標(biāo)識(shí)所有的分段，大小為16位；分段標(biāo)志：確定一個(gè)數(shù)據(jù)報(bào)是否可以分段，同時(shí)也指出當(dāng)前分段后面是否還有更多分段，大小為3位；分段偏移量：由目標(biāo)計(jì)算機(jī)用于查找分段在整個(gè)數(shù)據(jù)報(bào)中的位置，大小位13位；生存時(shí)間：設(shè)置數(shù)據(jù)報(bào)可以經(jīng)過的最多路由器數(shù)。長(zhǎng)度為8位；協(xié)議：指定用于創(chuàng)建數(shù)據(jù)字段中的數(shù)據(jù)的上層協(xié)議，大小為8位；校驗(yàn)和：檢查所傳輸數(shù)據(jù)的完整性，大小為16位；源地址：源IP地址，字段長(zhǎng)度為32位；目標(biāo)地址：目標(biāo)IP地址，字段長(zhǎng)度為32位；選項(xiàng)：不上一個(gè)必須的字段，字段長(zhǎng)度具體取決于所選擇的IP選項(xiàng)； 數(shù)據(jù)：包含網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，

22、IP數(shù)據(jù)報(bào)還包括上層協(xié)議的報(bào)頭信息；解碼詳解使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲IP數(shù)據(jù)包，其詳細(xì)解碼如圖2，（圖2 科來網(wǎng)絡(luò)分析系統(tǒng)中IP數(shù)據(jù)包的詳細(xì)解碼）圖2為科來網(wǎng)絡(luò)分析系統(tǒng)中IP數(shù)據(jù)包的詳細(xì)解碼，下面我們來分別說明IP數(shù)據(jù)包的解碼信息：版本：4，表示當(dāng)前網(wǎng)絡(luò)中為IPv4；頭部長(zhǎng)度：4，表示IP報(bào)頭長(zhǎng)度為5x4=20字節(jié)；服務(wù)類型：0，表示當(dāng)前IP數(shù)據(jù)包中沒有使用服務(wù)類型字段；總長(zhǎng)度：40，表示該數(shù)據(jù)報(bào)總長(zhǎng)為40字節(jié)；標(biāo)識(shí)：表示該數(shù)據(jù)報(bào)的標(biāo)識(shí)為0 x41AB（16進(jìn)制）；分段標(biāo)志：第二位為1，表示該數(shù)據(jù)報(bào)不能被分段，分段偏移量：由于沒有被分段，所以該分段便偏移量為0；生存時(shí)間：表示該數(shù)據(jù)報(bào)最多可以經(jīng)

23、過128個(gè)路由；上層協(xié)議：6代表TCP協(xié)議；校驗(yàn)和：該數(shù)據(jù)報(bào)校驗(yàn)和為0 x36A8（正確），表示該數(shù)據(jù)報(bào)是完整的；源IP地址：08；目標(biāo)IP地址：2；選項(xiàng)：表示該數(shù)據(jù)報(bào)沒有選項(xiàng)字段；協(xié)議分析 PPPOE Discovery協(xié)議解碼詳解PPPOE協(xié)議介紹PPPOE，全稱Point-to-Point Protocol Over Ethernet,它工作在OSI的數(shù)據(jù)鏈路層，PPPOE協(xié)議提供了在廣播式的網(wǎng)絡(luò)（如以太網(wǎng)）中多臺(tái)主機(jī)連接到遠(yuǎn)端的訪問集中器（我們對(duì)目前能完成上述功能的設(shè)備為寬帶接入服務(wù)器）上的一種標(biāo)準(zhǔn)。PPPOE的工作原理PPPOE協(xié)議共包括兩個(gè)階段，即PPPOE的發(fā)現(xiàn)階段（PPPOE

24、Discovery Stage）和PPPOE的會(huì)話階段（PPPOE Session Stage）。而兩者的主要區(qū)別在于只是在PPP的數(shù)據(jù)報(bào)文前封裝了PPPOE的報(bào)文頭。當(dāng)一個(gè)主機(jī)希望能夠開始一個(gè)PPPOE會(huì)話時(shí)，它首先會(huì)在廣播式的網(wǎng)絡(luò)上尋找一個(gè)訪問集中器，當(dāng)然可能網(wǎng)絡(luò)上會(huì)存在多個(gè)訪問集中器時(shí)，對(duì)于主機(jī)而言則會(huì)根據(jù)各訪問集中器（AC，Access Concentration）所能提供的服務(wù)或用戶的預(yù)先的一些配置來進(jìn)行相應(yīng)的選擇。當(dāng)主機(jī)選擇完了所需要的訪問集中器后，就開始和訪問集中器建立一個(gè)PPPOE會(huì)話進(jìn)程。在這個(gè)過程中訪問集中器會(huì)為每一個(gè)PPPOE會(huì)話分配一個(gè)唯一的進(jìn)程ID，會(huì)話建立起來后就開

25、始了PPPOE的會(huì)話階段，在這個(gè)階段中已建立好點(diǎn)對(duì)點(diǎn)連接的雙方（這種點(diǎn)對(duì)點(diǎn)的結(jié)構(gòu)與PPP不一樣，它是一種邏輯上的點(diǎn)對(duì)點(diǎn)關(guān)系）就采用PPP協(xié)議來交換數(shù)據(jù)報(bào)文，從而完成一系列PPP的過程，最終將在這點(diǎn)對(duì)點(diǎn)的邏輯通道上進(jìn)行網(wǎng)絡(luò)層數(shù)據(jù)報(bào)的傳送。PPPOE的數(shù)據(jù)報(bào)文格式我們簡(jiǎn)要介紹一下PPPOE的數(shù)據(jù)報(bào)文格式。PPPOE的數(shù)據(jù)報(bào)文是被封裝在以太網(wǎng)幀的數(shù)據(jù)域內(nèi)的。簡(jiǎn)單來說我們可能把PPPOE報(bào)文分成兩大塊，一大塊是PPPOE的數(shù)據(jù)報(bào)頭，另一塊則是PPPOE的凈載荷（數(shù)據(jù)域），對(duì)于PPPOE報(bào)文數(shù)據(jù)域中的內(nèi)容會(huì)隨著會(huì)話過程的進(jìn)行而不斷改變。下圖1為PPPOE的報(bào)文的格式：版本類型代碼會(huì)話ID長(zhǎng)度域凈載荷（或

26、數(shù)據(jù)域）（圖1 PPPOE數(shù)據(jù)報(bào)格式）PPPOE數(shù)據(jù)報(bào)文最開始的4位為版本域，協(xié)議中給出了明確的規(guī)定，這個(gè)域的內(nèi)容填充0 x1。緊接在版本域后的4位是類型域，協(xié)議中同樣規(guī)定，這個(gè)域的內(nèi)容填充為0 x1。代碼域占用1個(gè)字節(jié)，對(duì)于PPPOE 的不同階段這個(gè)域內(nèi)的內(nèi)容也是不一樣的。 會(huì)話ID點(diǎn)用2個(gè)字節(jié)，當(dāng)訪問集中器還未分配唯一的會(huì)話ID給用戶主機(jī)的話，則該域內(nèi)的內(nèi)容必須填充為0 x0000，一旦主機(jī)獲取了會(huì)話ID后，那么在后續(xù)的所有報(bào)文中該域必須填充那個(gè)唯一的會(huì)話ID值。長(zhǎng)度域?yàn)?個(gè)字節(jié)，用來指示PPPOE數(shù)據(jù)報(bào)文中凈載荷的長(zhǎng)度。數(shù)據(jù)域，有時(shí)也稱之為凈載荷域，在PPPOE的不同階段該域內(nèi)的數(shù)據(jù)內(nèi)容

27、會(huì)有很大的不同。在PPPOE的發(fā)現(xiàn)階段時(shí)，該域內(nèi)會(huì)填充一些Tag（標(biāo)記）；而在PPPOE的會(huì)話階段，該域則攜帶的是PPP的報(bào)文。這里我們主要來介紹一下PPPOE發(fā)現(xiàn)階段的報(bào)文格式以及它的報(bào)文：PPPOE數(shù)據(jù)報(bào)文中Tag（標(biāo)記）的格式對(duì)于發(fā)現(xiàn)階段的PPPOE數(shù)據(jù)報(bào)文而言，它的凈載荷可能包含零個(gè)或多個(gè)Tag（標(biāo)記），實(shí)際上這些標(biāo)記的意義非常類似于PPP配置參數(shù)選項(xiàng)，它同樣也是要經(jīng)過協(xié)商的。對(duì)于PPPOE協(xié)議而言，沒有像PPP的配置參數(shù)選項(xiàng)那樣定義了很多細(xì)節(jié)，而只是一個(gè)初略的定義，因此在實(shí)際當(dāng)中實(shí)現(xiàn)這個(gè)過程會(huì)依據(jù)不同廠商的設(shè)備有不同。首先還是讓我們看一下承載在PPPOE報(bào)文數(shù)據(jù)域中的標(biāo)記封裝格式，如

28、圖2，類型長(zhǎng)度數(shù)據(jù)（圖2 標(biāo)記的封裝格式）從圖2中可以看出，標(biāo)記的封裝格式采用的是大家所熟知的TLV結(jié)構(gòu)，也即是（類型+長(zhǎng)度+數(shù)據(jù)）。標(biāo)記的類型域?yàn)?個(gè)字節(jié)，下表列出了各種標(biāo)記類型的含義：標(biāo)記類型標(biāo)記說明0 x0000表示PPPOE報(bào)文數(shù)據(jù)域中一串標(biāo)記的結(jié)束，為了保證版本的兼容性而保留，在有些報(bào)文中有應(yīng)用。0 x0101服務(wù)名，主要用來表明網(wǎng)絡(luò)側(cè)所能提供給用戶的一些服務(wù)。0 x0102訪問集中器名，當(dāng)用戶側(cè)接收到了AC的回應(yīng)的PADO報(bào)文時(shí)，就可獲從所攜帶的標(biāo)記中獲知訪問集中器的名子，而且還可以據(jù)此來選擇相應(yīng)的訪問集中器。0 x0103主機(jī)唯一標(biāo)識(shí)，類似于PPP數(shù)據(jù)報(bào)文中的標(biāo)識(shí)域，主要是用來匹

29、配發(fā)送和接收端的，因?yàn)閷?duì)于廣播式的網(wǎng)絡(luò)中會(huì)同時(shí)存在很多個(gè)PPPOE的數(shù)據(jù)報(bào)文。0 x0104AC-Cookies，主要被用來防止惡意性DOS功擊。0 x0105銷售商的標(biāo)識(shí)符。0 x0110中繼會(huì)話ID，對(duì)于PPPOE的數(shù)據(jù)報(bào)文也同樣可以像DHCP報(bào)文一樣被中斷到另外的AC上終結(jié)，這個(gè)字段則是用來維護(hù)另一個(gè)連接的。0 x0201服務(wù)名錯(cuò)誤，當(dāng)請(qǐng)求的服務(wù)名不被對(duì)端所接受時(shí)，會(huì)在響應(yīng)的報(bào)文中攜帶這個(gè)標(biāo)記。0 x0202訪問集中器名出錯(cuò)。0 x0203一般性錯(cuò)誤。標(biāo)記的長(zhǎng)度域?yàn)?個(gè)字節(jié)，它用來指明標(biāo)記數(shù)據(jù)域的長(zhǎng)度。標(biāo)記的數(shù)據(jù)域中用來放置不同類型標(biāo)記所對(duì)應(yīng)的相關(guān)數(shù)據(jù)。PPPOE發(fā)現(xiàn)階段的數(shù)據(jù)報(bào)文PPP

30、OE的發(fā)現(xiàn)階段可分為四步，其實(shí)這個(gè)過程也是PPPOE四種數(shù)據(jù)報(bào)文的交換的一個(gè)過程。當(dāng)完成這四步后，用戶主機(jī)與訪問集中器雙方就能獲知對(duì)方的MAC地址和唯一的會(huì)話ID號(hào)，從而進(jìn)入到下一個(gè)階段（PPPOE的會(huì)話階段）。實(shí)際上雙方在互相知道了對(duì)方的MAC地址后，就已經(jīng)在廣播式的網(wǎng)絡(luò)上確定了一一的對(duì)應(yīng)關(guān)系，為了保證這個(gè)連接的有效性，同時(shí)使PPPOE協(xié)議能更加靈活的運(yùn)用，因此還加入了會(huì)話ID字段，通過這兩個(gè)條件就可完成確定雙方點(diǎn)對(duì)點(diǎn)的關(guān)系。在這個(gè)階段一開始，由于接入用戶并不知道訪問集中器的MAC地址，則使用類似于ARP解析的過程的機(jī)制來獲取訪問集中器的MAC地址。首先由接入用戶側(cè)發(fā)起一個(gè)初始化的廣播報(bào)文，

31、對(duì)于訪問集中器如果配置了PPPOE的業(yè)務(wù)時(shí)，它會(huì)時(shí)實(shí)檢測(cè)網(wǎng)絡(luò)上的數(shù)據(jù)包，當(dāng)發(fā)現(xiàn)以太網(wǎng)數(shù)據(jù)幀中所承載的是PPPOE報(bào)文時(shí)（通過協(xié)議域的內(nèi)容來區(qū)分），就會(huì)將其交給相應(yīng)的模塊去處理。當(dāng)收到初始化報(bào)文后，訪問集中器會(huì)向該用戶回應(yīng)一個(gè)報(bào)文。如果網(wǎng)絡(luò)上存在很多這樣的訪問集中器且都收到了用戶側(cè)發(fā)送的初始化報(bào)文時(shí)，它們也都會(huì)向用戶側(cè)會(huì)送一個(gè)確認(rèn)報(bào)文，如果該用戶收到這個(gè)報(bào)文后，則會(huì)依據(jù)報(bào)文中所攜帶的內(nèi)容或本端的一些配置來選擇一個(gè)唯一的訪問集中器進(jìn)行會(huì)話。到此時(shí)已完成了前兩步了，那么剩下的兩步則是協(xié)商一些所提供的服務(wù)選項(xiàng)和獲取PPPOE會(huì)話階段所必須的會(huì)話ID值。說明：在這個(gè)階段，所有數(shù)據(jù)報(bào)文是被承載在以太網(wǎng)的數(shù)

32、據(jù)域中的，而且以太網(wǎng)數(shù)據(jù)幀的協(xié)議域始終為0 x8863。在PPPOE發(fā)現(xiàn)階段的四步的過程中，PPPOE會(huì)遇到PADI、PADO、PADR和PADS這四種報(bào)文。PPPOE中的PADT報(bào)文是用來終止一條會(huì)話的。PADI（PPPOE Active Discovery Initiation）報(bào)文PPPOE發(fā)現(xiàn)階段的第一步，也即是由用戶側(cè)首先發(fā)送這樣一個(gè)報(bào)文。用戶主機(jī)是以廣播的方式發(fā)送這個(gè)報(bào)文，所以該報(bào)文所對(duì)應(yīng)的以太網(wǎng)幀的目的地址域應(yīng)填充為全1，而源地址域填充用戶主機(jī)的MAC地址。廣播包可能會(huì)被多個(gè)訪問集中器接收到。 PADO（PPPOE Active Discovery Offer）報(bào)文PPPOE發(fā)現(xiàn)

33、階段的第二步，也即是由訪問集中器回應(yīng)各用戶主機(jī)發(fā)送的PADI報(bào)文，此時(shí)該報(bào)文所對(duì)應(yīng)的以太網(wǎng)幀的源地址填充訪問集中器的MAC地址，而目的地址則填充從PADI中所獲取的用戶主機(jī)的MAC地址。PADR（PPPOE Active Discovery Request）報(bào)文PPPOE發(fā)現(xiàn)階段的第三步，也即是由用戶主機(jī)向訪問服務(wù)器發(fā)送單播的請(qǐng)求報(bào)文。當(dāng)用戶主機(jī)收到PADO報(bào)文后，會(huì)從這些報(bào)文中挑選一個(gè)訪問集中器作為后續(xù)會(huì)話的對(duì)象。由于用戶主機(jī)在收到PADO報(bào)文后，就獲知了訪問集中器的MAC地址，因此PADR報(bào)文所以應(yīng)的以太網(wǎng)幀的源地址填充用戶主機(jī)的MAC地址，而以太網(wǎng)的目的地址填充為訪問集中器的MAC地址。

34、PADS（PPPOE Active Discovery Session-confirmation）報(bào)文PPPOE發(fā)現(xiàn)階段的第四步，也即是最后一步，此時(shí)訪問集中器當(dāng)收到PADR報(bào)文時(shí)，就準(zhǔn)備進(jìn)入開始一個(gè)PPP的會(huì)話了，而此時(shí)訪問集中器會(huì)為在這個(gè)會(huì)話分配一個(gè)唯一的會(huì)話進(jìn)程ID，并在發(fā)送給主機(jī)的PADS報(bào)文中攜帶上這個(gè)會(huì)話ID。當(dāng)然如果訪問集中器不滿足用戶所申請(qǐng)的服務(wù)的話，則會(huì)向用戶發(fā)送一個(gè)PADS報(bào)文，而其中攜帶一個(gè)服務(wù)名錯(cuò)誤的標(biāo)記，而且此時(shí)該P(yáng)ADS報(bào)文中的會(huì)話ID填充0 x0000。PADT（PPPOE Active Discovery Terminate）報(bào)文PADT報(bào)文可能在會(huì)話進(jìn)行開始之

35、后的任意時(shí)間內(nèi)被發(fā)送，主要是用來終止一個(gè)PPPOE會(huì)話的止。它可以由主機(jī)或訪問集中器發(fā)送，目的地址填充為對(duì)端的以太網(wǎng)的MAC地址PPPOE Discovery詳細(xì)解碼我們使用科來網(wǎng)絡(luò)分析系統(tǒng)捕獲PPPOE數(shù)據(jù)包，如圖3，（圖3 PPPOE Discovery的詳細(xì)解碼）查看科來網(wǎng)絡(luò)分析系統(tǒng)中的詳細(xì)解碼，可以看出這是PPPOE發(fā)現(xiàn)階段的第一步的PADI報(bào)文，我們來詳細(xì)說明：版本：1，協(xié)議中給出了明確的規(guī)定，這個(gè)域的內(nèi)容填充0 x1。類型：1協(xié)議中也給了明確的規(guī)定，這里也職能填充0 x1代碼：0 x09，表示該報(bào)文是發(fā)現(xiàn)階段的 PADI報(bào)文會(huì)話ID：0，表示還沒有會(huì)話ID長(zhǎng)度：16，表示PPPOE

36、數(shù)據(jù)報(bào)文中凈載荷的長(zhǎng)度PPP發(fā)現(xiàn)標(biāo)記：在面我們列出的標(biāo)記類型表可以看出以上主要是對(duì)PPPOE Discovery協(xié)議及詳細(xì)解碼的介紹。協(xié)議分析 TCP協(xié)議解碼詳解TCP協(xié)議簡(jiǎn)介TCP，全稱Transfer Control Protocol，中文名為傳輸控制協(xié)議，它工作在OSI的傳輸層，提供面向連接的可靠傳輸服務(wù)。TCP的工作主要是建立連接，然后從應(yīng)用層程序中接收數(shù)據(jù)并進(jìn)行傳輸。TCP采用虛電路連接方式進(jìn)行工作，在發(fā)送數(shù)據(jù)前它需要在發(fā)送方和接收方建立一個(gè)連接，數(shù)據(jù)在發(fā)送出去后，發(fā)送方會(huì)等待接收方給出一個(gè)確認(rèn)性的應(yīng)答，否則發(fā)送方將認(rèn)為此數(shù)據(jù)丟失，并重新發(fā)送此數(shù)據(jù)。下面我們來介紹一下TCP的報(bào)頭結(jié)構(gòu)

37、和相關(guān)工作原理：TCP報(bào)頭TCP報(bào)頭總長(zhǎng)最小為20個(gè)字節(jié)，其報(bào)頭結(jié)構(gòu)如下圖（圖1）所示；比特0 比特15 比特16 比特31源端口（16）目的端口（16）序列號(hào)（32）確認(rèn)號(hào)（32）TCP偏移量（4）保留（6）標(biāo)志（6）窗口（16）校驗(yàn)和（16）緊急（16）選項(xiàng)（0或32）數(shù)據(jù)（可變）（圖1TCP報(bào)頭結(jié)構(gòu)）源端口：指定了發(fā)送端的端口目的端口：指定了接受端的端口號(hào)序號(hào)：指明了段在即將傳輸?shù)亩涡蛄兄械奈恢么_認(rèn)號(hào)：規(guī)定成功收到段的序列號(hào)，確認(rèn)序號(hào)包含發(fā)送確認(rèn)的一端所期望收到的下一個(gè)序號(hào)TCP偏移量：指定了段頭的長(zhǎng)度。段頭的長(zhǎng)度取決與段頭選項(xiàng)字段中設(shè)置的選項(xiàng)保留：指定了一個(gè)保留字段，以備將來使用標(biāo)志：SYN、ACK、PSH、RST、URG、FIN SYN：表示同步 ACK： 表示確認(rèn) PSH： 表示盡快的將數(shù)據(jù)送往接收進(jìn)程 RST： 表示復(fù)位連接 URG： 表示緊急指針 FIN： 表示發(fā)送方