以太網(wǎng)數(shù)據(jù)幀的格式分析

1、以太網(wǎng)數(shù)據(jù)幀的格式分析 大家都知道我們目前的局域網(wǎng)大多數(shù)是以太網(wǎng)，但以太網(wǎng)有多種標準，其數(shù)據(jù)幀有多 種格式，恐怕有許多人不是太清楚，本文的目的就是通過幀格式和 Sniffer 捕捉的數(shù)據(jù)包解 碼來區(qū)別它們。 以太網(wǎng)這個術(shù)語一般是指數(shù)字設(shè)備公司（Digital Equipment）、英特爾公司（Intel）和 施樂公司（Xerox）在 1982 年聯(lián)合公布的一個標準（實際上它是第二版本，第一版本早在 1972 年就在施樂公司帕洛阿爾托研究中心 PARC 里產(chǎn)生了）。它是目前 TCP/IP 網(wǎng)絡(luò)采用的 主要的局域網(wǎng)技術(shù)。它采用一種稱作 CSMA/CD 的媒體接入方法，其意思是帶沖突檢測的載 波偵聽

2、多路接入（Carrier Sense, Multiple Access with Collision Detection）。它的速率為 10Mb/s，地址為 48 bit。 1985 年，IEEE（電子電氣工程師協(xié)會） 802 委員會公布了一個稍有不同的標準集， 其中 802.3 針對整個 CSMA/CD 網(wǎng)絡(luò)，802.4 針對令牌總線網(wǎng)絡(luò)，802.5 針對令牌環(huán)網(wǎng)絡(luò)。這 三者的共同特性由 802.2 標準來定義，那就是 802 網(wǎng)絡(luò)共有的邏輯鏈路控制（LLC）。不幸 的是，802.2 和 802.3 定義了一個與以太網(wǎng)不同的幀格式，加上 1983 年 Novell 為其 Netware 開發(fā)

3、的私有幀，這些給以太網(wǎng)造成了一定的混亂，也給我們學習以太網(wǎng)帶來了一定的影響。前導碼源地址目的地址866Sniffer捕捉的范圍捕捉幀最大長度=1514bytes*捕捉幀最小長度=60bytes數(shù)據(jù)鏈路層數(shù)鏈層頭數(shù)據(jù)FCS 上圖 中，數(shù)據(jù)鏈路層頭（Header）是數(shù)據(jù)鏈路層的控制信息的長度不是固定的，根據(jù)以太網(wǎng) 數(shù)據(jù) 幀的格 式的 不同而 不同 ，那么 判 斷 IEEE802.3 、 IEEE802.3 SNAP 、 Ethernet Version2、Netware 802.3 “Raw”這些數(shù)據(jù)幀的最主要依據(jù)也源于 Header 的變化。 從該圖中也可以看出，Sniffer 捕捉數(shù)據(jù)包的時候

4、是掐頭去尾的，不要前面的前導碼，也丟棄后面的 CRC 校驗（注意它只是不在 Decode 里顯示該區(qū)域，但并不代表它不去做數(shù)據(jù)包 CRC 校驗），這就是很多人困惑為什么 Sniffer 捕捉到的數(shù)據(jù)包長度跟實際長度不相符的 原因。那么，Sniffer 是如何來判斷這些不同類型的以太網(wǎng)格式呢？ 通過圖 1-2 的邏輯結(jié)構(gòu)，Sniffer 就可以判斷出不同的以太網(wǎng)格式，這里需要注意的是， Sniffer 在數(shù)據(jù)包解碼時有自己的格式，所以有 Offset 之說，圖 1-2 中的 offset E 是指在 Sniffer Hex 解碼窗口中從左向右第 15 位的數(shù)值。大家如果看這幅圖有點發(fā)懵的話，沒有

5、關(guān)系，看 完后面的格式分析后再來看這幅圖，相信一定能夠明白 下面我們通過一些具體的圖示和數(shù)據(jù)包來說明各種以太網(wǎng)格式的具體區(qū)別。2、Ethernet Version2以太網(wǎng)版本 2 是先于 IEEE 標準的以太網(wǎng)版本。866246 - 15004Sniffer捕捉的范圍數(shù)鏈層前導碼DASA類型數(shù)據(jù)FCS101010101011從圖 2-1 中可以看出，Ethernet V2 通過在 DLC 頭中 2 個字節(jié)的類型（Type）字段來辨別接收處理。類型字段是用來指定上層協(xié)議的（如 0800 指示 IP、0806 指示 ARP 等），它的 值一定是大于 05FF 的，它提供無連接服務(wù)的，本身不控制數(shù)據(jù)

6、（DATA）的長度，它要求 網(wǎng)絡(luò)層來確保數(shù)據(jù)字段的最小包長度（46 字節(jié)）。 圖 2-2 是 Sniffer 捕獲的 Ethernet V2 幀的解碼，可以看到在 DLC 層，源 DLC 地址后緊 跟著就是以太網(wǎng)類型（Etehertype）值 0800，代表上層封裝的是 IP 報文，0800 大于 05FF， 因而我們可以斷定它是 Ethernet V2 的幀。3、IEEE802.371662111 or 2 42 - 14974數(shù)鏈層前導碼DASA長度SFD邏輯鏈路控制（LLC）802.2Sniffer捕捉范圍SFD：開始定界符 DSAP：目標服務(wù)訪問點 SSAP：源服務(wù)訪問點 Contro

7、l：控制信息從圖 3-1 可以看出，IEEE802.3 把 DLC 層分隔成明顯的兩個子層：MAC 層和 LLC 層，其中 MAC 層主要是指示硬件目的地址和源地址。LLC 層用來提供一些服務(wù)： 通過 SAP 地址來辨別接收和發(fā)送方法 兼容無連接和面向連接服務(wù) 提供子網(wǎng)訪問協(xié)議（Sub-network Access Protocol，SNAP），類型字段即由它 的首部給出。DSAPSSAPControl數(shù)據(jù)+填充MAC 層要保證最小幀長度不小于 64 字節(jié)，如果數(shù)據(jù)不滿足 64 字節(jié)長度就必須進行填充。圖 3-2 是 Sniffer 捕獲的 IEEE802.3 幀的解碼，可以看到在 DLC 層

8、源地址后緊跟著就是802.3 的長度（Length）字段 0026，它小于 05FF，可以肯定它不是 Ethernet V2 的幀，而接 下來的 Offset 0E 處的值“4242”（代表 DSAP 和 SSAP），既不是 Novell 802.3 “Raw”的特征 值“FFFF”，也不是 IEEE 802.3 SNAP 的特征值“AAAA”，因此它肯定是一個 IEEE802.3 的幀 4、IEEE802.3 SNAP71662AAAA132 38 - 14924數(shù)鏈層前導碼SFDDA SA 長度邏輯鏈路控制（LLC）802.2SNAPSNAPHeaderControl類型數(shù)據(jù)Sniffer

9、捕捉范圍101010101011SNAP (Sub-Network Access Protocol)子網(wǎng)訪問協(xié)議，是邏輯鏈路控制（Logical LinkControl）的一個子集，它允許協(xié)議不用通過服務(wù)訪問點（SAP）即可實現(xiàn) IEEE 兼容的 MAC 層功能，因此它在 DSAP 和 SSAP 域里的值是固定的（AAAA）。也正源于此，它需要額外 提供 5 個字節(jié)的頭來指定接收方法，3 個字節(jié)標識廠商代碼，2 個字節(jié)標識上層協(xié)議。其 MAC 層保證數(shù)據(jù)幀長度不小于 64 字節(jié)，不足的話需要進行數(shù)據(jù)填充。 圖 4-2 是 Sniffer 捕獲的 IEEE802.3 SNAP 幀的解碼，可以看到

10、在 DLC 層源地址后緊跟 著就是 802.3 的長度（Length）字段 0175，它小于 05FF，可以肯定它不是 Ethernet V2 的幀， 而接下來的 Offset 0E 處的值“AAAA”（代表 DSAP 和 SSAP），這是 IEEE 802.3 SNAP 的特 征值“AAAA”，因此可以斷定它是一個 IEEE802.3 SNAP 的幀。5、Novell Netware 802.3 “Raw” 雖然它的產(chǎn)生先于 IEEE802.3 規(guī)范，但已成為 IEEE802.3 規(guī)范的一部分。它僅使用 DLC層的下半部，而不使用 LLC。8662FFFF44 - 14984數(shù)鏈層前導碼DA

11、SA長度數(shù)據(jù)Sniffer捕捉范圍從圖 5-1 中可以看出，802.3 “Raw”幀通過在 DLC 頭中 2 個字節(jié)的長度（Length）字段來標記數(shù)據(jù)幀長度，而在長度字段后緊跟著就是兩個字節(jié)的十六進制值 FFFF，它是用來標識 IPX 協(xié)議頭的開始。為了確保最小數(shù)據(jù)幀長度為 64 字節(jié)，MAC 層會進行填充數(shù)據(jù)區(qū)域 來確保最小長度。在所有工作站都使用同一種數(shù)據(jù)幀類型情況下不會有什么問題，但如果是在混合以太網(wǎng) 幀類型環(huán)境中，Novell 的這種以太網(wǎng)幀會造成負面影響：當 Novell 發(fā)出廣播幀時，其 FF 字 段正好是 IEEE802.3 幀中的服務(wù)訪問點（SAP）域，它的“FF”值代表著廣

12、播 SAP，因此所 有的工作站（不管是不是 Netware 工作站）都會拷貝，這會造成不必要的廣播影響。圖 5-2 是 Sniffer 捕獲的 Netware 802.3 “RAW”幀的解碼，可以看到在 DLC 層源地址后 緊跟著就是 802.3 的長度（Length）字段 0120，它小于 05FF，可以肯定它不是 Ethernet V2的幀，而接下來的 Offset 0E 處的值“FFFF”（代表 IPX 協(xié)議的開始），這是 Netware 802.3“Raw”的特征值“FFFF”，因此可以斷定它是一個 Novell 802.3 “Raw”的幀。二、Ethernet V2 幀與 IEEE

13、802.3 幀的比較因為這兩種幀是我們在現(xiàn)在的局域網(wǎng)里最常見的兩種幀，因此，我們對它們進行一些比 較。從圖 6-1 中可以看出，Ethernet V2 可以裝載的最大數(shù)據(jù)長度是 1500 字節(jié)，而 IEEE 802.3 可以裝載的最大數(shù)據(jù)是 1492 字節(jié)（SNAP）或是 1497 字節(jié); Ethernet V2 不提供 MAC 層的數(shù) 據(jù)填充功能，而 IEEE 802.3 不僅提供該功能，還具備服務(wù)訪問點（SAP）和 SNAP 層，能 夠提供更有效的數(shù)據(jù)鏈路層控制和更好的傳輸保證。那么我們可以得出這樣的結(jié)論：EthernetV2 比 IEEE802.3 更適合于傳輸大量的數(shù)據(jù)，但 Ethernet V2 缺乏數(shù)據(jù)鏈路層的控制，不利于 傳輸需要嚴格傳輸控制的數(shù)據(jù)，這也正是 IEEE802.3 的優(yōu)勢所在，越需要嚴格傳輸控制的應(yīng) 用，越需要用 IEEE802.3 或 SNAP 來封裝，但 IEEE802.3 也不可避免的帶來數(shù)據(jù)裝載量的損 失，因此該格式的封裝往往用在較少數(shù)據(jù)量承載但又需要嚴格控制傳輸?shù)膽?yīng)用中。在實際應(yīng)用中，我們會發(fā)現(xiàn)，大多數(shù)應(yīng)用的以太網(wǎng)數(shù)據(jù)包是 Ethernet V2 的幀（如 H