摘要:
EtherType :以太网类型字段及值 EtherType 是以太帧里的一个字段,用来指明应用于帧数据字段的协议。根据 IEEE802.3,Length/EtherType 字段是两个八字节的字段,含义两者取一,这取决于其数值。在量化评估中,字段中的第一个八位字节是最重要的。而当字段值大于等于十进制值 1536 (即十六进制为 0600)时, EtherType 字段表示为 MAC 客户机协... 阅读全文
摘要:
要分析IP包,首先要知道IP包的包头格式,各种计算机网络的书籍都有介绍,必须了解该协议分析包才有意义,IPv4首部一般是20字节长,该协议如下: 下面使用Ethereal抓取一个特定的IP包,然后根据该协议分析该IP包。 使用Ethereal抓取的IP包如下: 我用不同的框框划分出来了,便于分析。 首先,开始的 6字节+ 6字节 + 2字节 不属于IP包包头本身。 (1)“ 00 e0 4c 5f 97 1b ” 目的主机的MAC地址 (2)“ 00 1a 4d 28 62 ff ” 源主机的MAC地址: (3) “08 00 ” 包类型: 08 00 为 IP包 后面的开始为真正的IP包包头 阅读全文
摘要:
学习TCP/IP协议就必须的学会怎么学分析数据包,下面为一个简单的实例来说明怎么去分析一个IP数据包 1、以太网(RFC 894)帧的格式 其中的源地址和目的地址是指网卡的硬件地址(也叫MAC地址),长度是48位,是在网卡出厂时固化的。用ifconfig命令看一下,“HWaddr 00:15:F2:14:9E:3F”部分就是硬件地址。类型字段有三种值,分别对应IP、ARP、RARP。帧末... 阅读全文
摘要:
1.ARP数据包格式 在网络通讯时,源主机的应用程序知道目的主机的IP地址和端口号,却不知道目的主机的硬件地址,而数据包首先是被网卡接收到再去处理上层协议的,如果接收到的数据包的硬件地址与本机不符,则直接丢弃。因此在通讯前必须获得目的主机的硬件地址。ARP协议就起到这个作用。源主机发出ARP请求,询问“IP地址是192.168.0.1的主机的硬件地址是多少”,并将这个请求广播到本地网段(以太网帧... 阅读全文