以太網(wǎng)數(shù)據(jù)幀的格式分析比較

1、以太網(wǎng)數(shù)據(jù)幀的格式分析大家都知道我們目前的局域網(wǎng)大多數(shù)是以太網(wǎng)，但以太網(wǎng)有多種標(biāo)準(zhǔn)，其數(shù)據(jù)幀有多種格式，恐怕有許多人不是太清楚，本文的目的就是通過幀格式和Sniffer捕捉的數(shù)據(jù)包解碼來區(qū)別它們。以太網(wǎng)這個術(shù)語一般是指數(shù)字設(shè)備公司（Digital Equipme nt ）、英特爾公司（In tel）和施樂公司（Xerox ）在1982年聯(lián)合公布的一個標(biāo)準(zhǔn)（實際上它是第二版本，第一版本早在 1972年就在施樂公司帕洛阿爾托研究中心PARC里產(chǎn)生了）。它是目前TCP/IP網(wǎng)絡(luò)采用的主要的局域網(wǎng)技術(shù)。它采用一種稱作CSMA/CD的媒體接入方法，其意思是帶沖突檢測的載 波偵聽多路接入（Carrier

2、Sense, Multiple Access with Collision Detection ）。它的速率為 10 Mb/s，地址為 48 bit。1985年，IEEE （電子電氣工程師協(xié)會）802委員會公布了一個稍有不同的標(biāo)準(zhǔn)集，其中802.3針對整個CSMA/CD網(wǎng)絡(luò)，802.4針對令牌總線網(wǎng)絡(luò)，802.5針對令牌環(huán)網(wǎng)絡(luò)。這 三者的共同特性由802.2標(biāo)準(zhǔn)來定義，那就是 802網(wǎng)絡(luò)共有的邏輯鏈路控制（LLC ）。不幸的是，802.2和802.3定義了一個與以太網(wǎng)不同的幀格式，加上1983年Novell為其Netware開發(fā)的私有幀，這些給以太網(wǎng)造成了一定的混亂，也給我們學(xué)習(xí)以太網(wǎng)帶來了一

3、定的影響。1、通用基礎(chǔ)注：* VLAN Tag幀和Gigabit Jumbo幀可能會超過這個限制值 圖1-1圖1-1中，數(shù)據(jù)鏈路層頭（Header ）是數(shù)據(jù)鏈路層的控制信息的長度不是固定的，根據(jù)以太網(wǎng)數(shù)據(jù)幀的格式的不同而不同，那么判斷IEEE802.3、IEEE802.3 SNAP、EthernetVersion2、Netware 802.3“ RaW些數(shù)據(jù)幀的最主要依據(jù)也源于Header的變化。從該圖中也可以看出，Sniffer捕捉數(shù)據(jù)包的時候是掐頭去尾的，不要前面的前導(dǎo)碼，也丟棄后面的CRC校驗（注意它只是不在Decode里顯示該區(qū)域，但并不代表它不去做數(shù)據(jù)包CRC校驗），這就是很多人困惑

4、為什么Sniffer捕捉到的數(shù)據(jù)包長度跟實際長度不相符的原因。那么，Sniffer是如何來判斷這些不同類型的以太網(wǎng)格式呢？開始YES這2個字節(jié)的16進制值是否等于FF FF ?觀察DLC源地址域后的16進制數(shù)值STOPNO數(shù)據(jù)幀類型Ethernet V2上層協(xié)議使用以太網(wǎng)類型值 來確定上層協(xié)議YESNOYES這2個字節(jié)的16進制值是 否等于AA AA?STOPSTOPSTOPNovell 802.3 raw802.3 SNAP802.3NetWare 上層協(xié)議 （典型：IPX）使用SNAP類型值 確定上層協(xié)議使用SAP值確定上層協(xié) 議圖1-2通過圖1-2的邏輯結(jié)構(gòu)，Sniffer就可以判斷出不

5、同的以太網(wǎng)格式，這里需要注意的是，Sniffer在數(shù)據(jù)包解碼時有自己的格式，所以有Offset之說，圖1-2中的offset ?E是指在SnifferHex解碼窗口中從左向右第15位的數(shù)值。大家如果看這幅圖有點發(fā)懵的話，沒有關(guān)系，看完后面的格式分析后再來看這幅圖，相信一定能夠明白？下面我們通過一些具體的圖示和數(shù)據(jù)包來說明各種以太網(wǎng)格式的具體區(qū)別。2、Ethernet Version2以太網(wǎng)版本2是先于IEEE標(biāo)準(zhǔn)的以太網(wǎng)版本。數(shù)鏈層jf前導(dǎo)碼XDASATL類型、V數(shù)據(jù)FCS8 6 6246 - 150041010 10101011lI Sniffer捕捉的范圍Il圖2-1從圖2-1中可以看出，

6、Ethernet V2通過在DLC頭中2個字節(jié)的類型（Type）字段來辨別接收處理。類型字段是用來指定上層協(xié)議的（如0800指示IP、0806指示ARP等），它的值一定是大于 05FF的，它提供無連接服務(wù)的，本身不控制數(shù)據(jù)（DATA）的長度，它要求網(wǎng)絡(luò)層來確保數(shù)據(jù)字段的最小包長度（46字節(jié)）。圖2-2是Sniffer捕獲的Ethernet V2幀的解碼，可以看到在DLC層，源DLC地址后緊跟著就是以太網(wǎng)類型(Etehertype)值0800,代表上層封裝的是IP報文，0800大于05FF，因而我們可以斷定它是Ethernet V2的幀。nhorio.0.0.2061 I r210.82.3.

7、1 DS: C ID-34051 OP-QUERY NAME-eM 76蹲 DLC: DLC: DLC; DLC: 必饑匚: dlc： DLC:pppppppp n'lIIIIIIIDLC Header Frame 20 arrived at 14:07:22 £弓呂8: frerae size is 76 (004C hex) bytes» Destination Station 000F6659D4E8Source - Station 0011434FCSD2Ethertype 0000 (IP)IP Header -Version - 4. header le

8、ngth 20 bytesType of service00DOO,-routine.,0normaldelay,CL 屮normalthrcughpiuit.0.« normal rliability， .CL ECT bit - transport protocol will ignore the CE bitDDDDDOOO:DODf6659d41143嗎EcS:-DD45DDfY勰莎翊,.E,00000010:003&1700uo80113eSO0e0000ced252.>P.我RDDDDDD2D:0104020035002aedIM850301DDDDDI5,

9、詠？-00000030:000Q000000037777770$6S746576 . . . wwt«j , neteic0DDDDD4D:65727402636e00oa010001pert 匚且.圖2-23、IEEE802.3/數(shù)鏈層邏輯鏈路控制.（LLC）802.2前導(dǎo)碼 SFD DA FCSSA 長度 DSAP SSAPContro|數(shù)據(jù)+填充7 6162111 or 242-149741010 10101011 叩Sn iffer捕捉范圍SFD :開始定界符DSAP :目標(biāo)服務(wù)訪問點SSAP:源服務(wù)訪問點圖3-1Control :控制信息從圖3-1可以看出，IEEE802.

10、3把DLC層分隔成明顯的兩個子層：MAC層和LLC層，其中MAC層主要是指示硬件目的地址和源地址。LLC層用來提供一些服務(wù)：-通過SAP地址來辨別接收和發(fā)送方法-兼容無連接和面向連接服務(wù)- 提供子網(wǎng)訪問協(xié)議（Sub-network Access Protocol , SNAP）,類型字段即由它 的首部給出。MAC層要保證最小幀長度不小于64字節(jié)，如果數(shù)據(jù)不滿足64字節(jié)長度就必須進行填充。圖3-2是Sniffer捕獲的IEEE802.3幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0026,它小于05FF,可以肯定它不是 Ethernet V2的幀，而接 下來

11、的 Offset 0E處的值“ 4242”（代表 DSAP和SSAP）,既不是 Novell 802.3 “Ra的特征 值“ FFFF” ,也不是IEEE 802.3 SNAP 的特征值“ AAAA ” ,因此它肯定是一個 IEEE802.3 的幀。Xylan 6DA279Brides Group AdBPDU: S:PiL-a000 Port=Bttl9 Root:Pii=8000 Addr=D10.0-0.206 211.97.10412910,0.0.206 ww r netex pert c10.0,0.206 10.0.D.206 ww nete k pert 亡 wvrw 口日 1

12、: e x pert 匚 bxpert 一211.97- 1Q4.12910.0,0-206 www r it 電 t expert, c LD.0.0.206 www netespsrt,c Etet expert»cLD.0.0.20610.0.Q-2D6 06DNS; C ID=34051 OP =0UERY曰t 曰 jcpmirt 匸 口DNS: R I.D-34051 OP-QUERY STAT-0K bJAME-m-jw-netex- TCP: D-60 S-4268 SW SEQ-1266728964 LENT WIN-1 TCP: D-126B S-8

13、0 SYN ACK-126672a9B5 SEQ-3084217 TCP: D-SO S-1268ACK-308421787D WIN-17424HTTP: C Port-1266 GET /Vidwthread.php?tid«1367. TCP: D = 126B S=80A.CK=1266729594 WIN=6699HTTP: R Port = 1260 tfTTP/111 Status«0KHTTP: CentLnudtiDD of frame 311452 By±es of da- - DLC Header607614&6260606636D1

14、5061506DLCm-JJMnAQJJJ-J呼 怨r豹 &T! & LCLCDFraffle 23 arrived at 14:07:22.g&2L; frame 甞iw合 is 60 (003C hast) bytes.Destinct:io” Multicast 01S0C?000DQ0, Bndge_Gr»«p_Addr客cru.1口曰二 Sitia/ticiii Xy 1 an 60A279BQ乙.上.38LLC Header DSAP Address - 42, DSAP IG Bit - DD (Individual Address)S

15、SAP Address 二 42, SSAP CR Bit 二 DO (Command) Unnumbered frame: UIBridge Protocol Data Unit HeaderD0000D00:0180匚200000000d09560a279002600000010:03000000000080OU00dd95£0a260D0000020:0000800000dO9560a26080190000D000DD30:D200Df000Q00DO000000DD0042 42.W"00 DO £. .4ft'14 0Q . X.£ .

16、&E 田圖3-24、IEEE802.3 SNAP1010 10101011DSAP SSAPVendorData+PadCodeSniffer捕捉范圍圖4-1SNAP （Sub-Network Access Protocol）子網(wǎng)訪問協(xié)議，是邏輯鏈路控制（ Logical LinkControl ）的一個子集，它允許協(xié)議不用通過服務(wù)訪問點（SAP）即可實現(xiàn)IEEE兼容的MAC層功能，因此它在 DSAP和SSAP域里的值是固定的（AAAA ）。也正源于此，它需要額外 提供5個字節(jié)的頭來指定接收方法，3個字節(jié)標(biāo)識廠商代碼，2個字節(jié)標(biāo)識上層協(xié)議。其MAC層保證數(shù)據(jù)幀長度不小于64字節(jié)，不足的

17、話需要進行數(shù)據(jù)填充。圖4-2是Sniffer捕獲的IEEE802.3 SNAP幀的解碼，可以看到在 DLC層源地址后緊跟 著就是802.3的長度（Length ）字段0175，它小于05FF，可以肯定它不是 Ethernet V2的幀, 而接下來的 Offset 0E處的值“ AAAA ”（代表 DSAP和SSAP），這是IEEE 802.3 SNAP的特 征值“ AAAA ”，因此可以斷定它是一個IEEE802.3 SNAP的幀。ElDI匚: DLC Header口 DLC :._J DLC :; Fra*e 3 arrived o t 13:47: 34 .1921; f raae siz

18、e is 387 (01B3J DLC: Destiaat ion Muitleast 0100DCCCCCCCJ DLC: Source= Stat io& Cisco 2D<0863 D1C: BD2.3 length - 373(J DIC ;-T ILC:LLC Scoder ILC :Q LLC: DSAF Iddress -DSAF IG Bit = 00 (Individual Iddress) LLC: SSAP Address = AH” SSAP CR Bit ± 0G (Couand)LLC:Unnumbered fTa>e: UIODDDO

19、OOO：DIDO0cccccccGD01422d40860175aaaa. Ill B-|ri00000010:0300000c200002b46aVf00010011&36s, .-j|._00000020:6966666S725377697463&R0002001100iffrSvilch.UDDD00J0: 00 DO 01 01 01 cc 00 04 0a Oa Da00 03 00 13 T.*u. DQDDQAtl 174 4石 74 転 R 東 k ?石豆百& ?4 3Q ?fno FfltEtlw-rnr-t n.圖4-25、Novell Netwar

20、e 802.3“ Raw雖然它的產(chǎn)生先于IEEE802.3規(guī)范，但已成為IEEE802.3規(guī)范的一部分。它僅使用DLC 層的下半部，而不使用LLC。/數(shù)鏈層 '、/ 前導(dǎo)碼DA SA 長度數(shù)據(jù)FCS上 h8 662FFFF44 - 149841010 10101011I"丨Sniffer捕捉的范圍丨1圖5-1從圖5-1中可以看出，802.3 “RaW幀通過在DLC頭中2個字節(jié)的長度（Length）字段 來標(biāo)記數(shù)據(jù)幀長度，而在長度字段后緊跟著就是兩個字節(jié)的十六進制值FFFF，它是用來標(biāo)識IPX協(xié)議頭的開始。為了確保最小數(shù)據(jù)幀長度為64字節(jié)，MAC層會進行填充數(shù)據(jù)區(qū)域來確保最小長

21、度。在所有工作站都使用同一種數(shù)據(jù)幀類型情況下不會有什么問題，但如果是在混合以太網(wǎng)幀類型環(huán)境中，Novell的這種以太網(wǎng)幀會造成負(fù)面影響：當(dāng)Novell發(fā)出廣播幀時，其 FF字段正好是IEEE802.3幀中的服務(wù)訪問點（SAP）域，它的“ FF”值代表著廣播 SAP，因此所 有的工作站（不管是不是 Netware工作站）都會拷貝，這會造成不必要的廣播影響。圖5-2是Sniffer捕獲的Netware 802.3“RAW”幀的解碼，可以看到在DLC層源地址后緊跟著就是802.3的長度（Length）字段0120，它小于05FF,可以肯定它不是 Ethernet V2的幀，而接下來的Ofset 0E

22、處的值“ FFFF”（代表IPX協(xié)議的開始），這是Netware 802.3 “ Raw”的特征值“ FFFF”，因此可以斷定它是一個Novell 802.3“ Raw”的幀。DLC He&der c c c c c c XIXXL L 1 L L L : pppp_ DDDDDDXIIII- "TTmpIFQQEFrawe 847 arrived at 10:27 35-95E4; fsize is 302 (012E Destination - BROADFFFFFFFFFFFF. BroadcastSuuroe Station 3Cak D337638D2.3 lent

23、b - 2EEIPX Header Checksu> = OkFFFFLength * 288U0000000 : 00000010 : 00000020 : 00000030: noooonxaf o 1 5 o f 2 7 4 o f 1 s a n f o 3 5 D1 o4 o7 f 4 o o3 I o G o£600f f 7 o o a f 3 o Q o f 3 o o 2 c d o o o e f o o OS a D o f 1 D o D f 7 2 oo f 2 o o2 f o o o1 f D o o o f o o o3 f _2 o o6 f

24、s o n-A .y ifi V 1 B .f qF -y - s z£4600 f o o o nV716Transp口rt control = 00圖5-2二、 Ethernet V2 幀與 IEEE 802.3 幀的比較因為這兩種幀是我們在現(xiàn)在的局域網(wǎng)里最常見的兩種幀，因此，我們對它們進行一些比較。從圖6-1中可以看出，Ethernet V2可以裝載的最大數(shù)據(jù)長度是1500字節(jié)，而IEEE 802.3可以裝載的最大數(shù)據(jù)是1492字節(jié)（SNAP）或是1497字節(jié)；Ethernet V2不提供MAC層的數(shù)據(jù)填充功能，而IEEE 802.3不僅提供該功能，還具備服務(wù)訪問點（ SAP）和SNAP層，能 夠提供更有效的數(shù)據(jù)鏈路層控制和更好的傳輸保證。那么我們可以得出這樣的結(jié)論：EthernetV2比IEEE802.3更適合于傳輸大量的數(shù)據(jù)，但Ethernet V2缺乏數(shù)據(jù)鏈路層的控制，不利于傳輸需要嚴(yán)格傳輸控制的數(shù)據(jù)，這也正是IEEE802.3的優(yōu)勢所在，越需要嚴(yán)格傳輸控制的應(yīng)用，越需要用IEEE802.3或SNAP來封裝，但IEEE802.3也不可避免的帶來數(shù)據(jù)裝載量的損