wireshark是在数据链路层抓包,如下图抓的UDP包,实际上抓到的是封装了UDP数据包的MAC帧,有以太网src IP和dst IP在内
MAC帧主要有两种格式,一种是以太网V2标准,一种是IEEE 802.3,常用的是前者。下图就是假定网络层协议是IP协议,MAC帧是V2格式
注:MAC地址有48bit,所以源地址和目的地址字段有6字节
关于MAC帧的详细信息见谢希仁计算机网络(第五版)3.4.3节
有一点注意,这里的首部长度的单位是4字节,所以首部长度最大是15*4=60字节。而且通过可选字段后的填充,IP头部永远是4字节的倍数,方便IP协议实现。
总长度的单位是1字节,所以IP数据包的长度最大65535字节。
关于IP数据报格式,详见谢希仁计算机网络(第五版)4.2.5节
有一个容易搞不清楚的地方是协议字段,6或17分别表示IP数据报的数据部分是TCP或UDP报文。41表示数据部分是一个IPv6数据包,这种情况出现在隧道方式使用ipv6中。
关于UDP数据报格式,详见谢希仁计算机网络(第五版)5.2.2节
关于TCP数据报格式,详见谢希仁计算机网络(第五版)5.5节
有一点值得注意,数据偏移(4bit),指的是TCP的数据部分到整个TCP包的开始的偏移,其实就是TCP的包头长度了。和IP头的首部长度一样,也是以4byte为单位,所以TCP头部的最大长度是15(4bit最大15)*4byte=60byte,也就是选项和填充字段不能超过40字节
上面这么费事,其实只是解决我的一个疑惑,就是抓UDP包的时候发现抓到的字节数(如第一张图里的frame3 109bytes captured)总是比数据段的字节数(如第一张图里的DATA 67bytes)多42byte。
现在知道为什么了,就是MAC帧中在数据前的14byte(最后面的4字节校验位被丢弃了?还是wireshark忽略了它?没仔细看谢希仁的书)+20byteIP报文头部+8byteUDP报文头部=42byte
至于抓TCP包的时候,去掉MAC帧头、IP头、TCP头之后,剩下的数据字节数一般比抓到的字节数少54byte(14byteMAC头+20byteIP头+20byteTCP头),因为TCP头可变,少数情况下这个差值不是54byte。IP包头其实也可变,但现在还没见过。像下面图中的TCP头部就是32byte
还有一点注意的是,抓TCP包,如果是纯TCP协议(如握手、FIN等),wireshark在TCP一栏的len是标为0的,如果有TCP之上的应用层协议,如http,那么TCP那一栏标的长度其实是负载的长度,不包括TCP头部的长度,如下图
总共抓到了529byte,TCP的负载(图中是http报文)有475byte,TCP和IP头分别20byte。但是wireshark把475标在了TCP边上,容易让人误以为475包括了20byte的TCP头部
扫一扫
2732
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
