如果你想用Sniffer捕幀,并解決網(wǎng)絡(luò)問題,那網(wǎng)絡(luò)協(xié)議就一定要相對了解,本文就從局域網(wǎng)協(xié)議入手,解決Sniffer捕幀問題。

局域網(wǎng)的幾種協(xié)議，主要包括以太網(wǎng)第二版、IEEE802系列、令牌環(huán)網(wǎng)和SNAP等（之所以加個“等”字，是因為我只知道這幾種，如果還有其他的，歡迎朋友們給我補充）。而最為常見的，也就是以太網(wǎng)第二版和IEEE802系列，我們也主要去了解這兩種（IEEE802包括好多種，我們也不一一介紹，只對其中常見做研究）。

一，以太網(wǎng)（V2）

以太網(wǎng)第二版是早期的版本，是由DEC、Intel和Xerox聯(lián)合首創(chuàng)，簡稱DIX。幀格式如下圖：

 

前導(dǎo)信息：采用1和0的交替模式，在每個數(shù)據(jù)包起始處提供5MHZ的時鐘信號，以充許接收設(shè)備鎖定進(jìn)入的位流。

目標(biāo)地址：數(shù)據(jù)傳輸?shù)哪繕?biāo)MAC地址。
源 地 址：數(shù)據(jù)傳輸?shù)脑碝AC地址。

以太網(wǎng)類型：標(biāo)識了幀中所含信息的上層協(xié)議。
數(shù)據(jù)加填充位：這一幀所帶有的數(shù)據(jù)信息。（以太網(wǎng)幀的大小是可變的。每個幀包括一個1 4字節(jié)的報頭和一個4字節(jié)的幀校驗序列域。這兩個域增加了1 8字節(jié)的幀長度。幀的數(shù)據(jù)部分可以包括從4 6字節(jié)到1 5 0 0字節(jié)長的信息（如果傳輸小于4 6字節(jié)的數(shù)據(jù)，則網(wǎng)絡(luò)將對數(shù)據(jù)部分填充填充位直到長度為4 6字節(jié)）。因此，以太網(wǎng)幀的最小長度為1 8 + 4 6，或6 4個字節(jié)，***長度為1 8 + 1 5 0 0，或1 5 1 8個字節(jié)。）

F C S ：   幀校驗序列（ F C S，F(xiàn)rame Check Sequence）域確保接收到的數(shù)據(jù)與發(fā)送時的數(shù)據(jù)一樣。當(dāng)源節(jié)點發(fā)送數(shù)據(jù)時，它執(zhí)行一種稱為循環(huán)冗余校驗（ C R C，Cyclical Redundancy Check）的算法。C R C利用幀中前面所有域的值生成一個惟一的4字節(jié)長的數(shù)，即F C S。當(dāng)目標(biāo)節(jié)點接收數(shù)據(jù)幀時，它通過C R C破解F C S并確定幀的域與它們原有的形式一致。如果這種比較失敗，則接收節(jié)點認(rèn)為幀已經(jīng)在發(fā)送過程中被破壞并要求源節(jié)點重發(fā)該數(shù)據(jù)。

 

 

  二，IEEE802系列
   
IEEE802系列包含比較多的內(nèi)容，但比較常見的是802.2 和 802.3 。下面我們就比這兩種幀。

1， IEEE802.3

為什么我要先把802.3列出來？因為我個人覺得802.3應(yīng)該是在802。2之前出來，只它存在問題，所以才出現(xiàn)了802。2以解決它的問題，大家是不是覺得有點糊，沒關(guān)系，請繼續(xù)看下去。下面是這個幀的幀格式：

 

大家有沒有發(fā)現(xiàn)在這個幀格式跟以太網(wǎng)第二版本的格式非常像？沒錯，它們這間改動的比較少，因為802。3是在以太網(wǎng)V2的基礎(chǔ)上開發(fā)的，為了適應(yīng)100M的網(wǎng)絡(luò)，所以才把8位的前導(dǎo)步信息分成了7字節(jié)，并加入了一個SFD的域（為什么說這樣分開一下可以支持100M？我目前還沒搞懂。^8^那位高手有這方面的資料貢獻(xiàn)一下?。?。

那前導(dǎo)和SFD到底起什么作用？我的理解是，前導(dǎo)與SOFD相當(dāng)于跑步競賽開始時的那句“預(yù)備！跑！”，前導(dǎo)就是“預(yù)備！”，SFD就是“跑！”，所以前導(dǎo)讓接收設(shè)備進(jìn)入狀態(tài)，SOFD讓接收設(shè)備開始接收。而這里所謂比特流硬件時鐘同步，是指讓設(shè)備按當(dāng)前比特流信號頻率同步，以得到精確的接收數(shù)據(jù)的位置，避免接收出錯，與PC里所謂時鐘概念是一樣的。

再有就是類型字段變成了長度字段，這是因為當(dāng)初這個協(xié)議是由novell開發(fā)的，所以它默認(rèn)就是在就是局域網(wǎng)就是novell網(wǎng)，服務(wù)器是netware服務(wù)器，跑的是IPX的協(xié)議，因此去掉了類型換成了長度。后來IEEE再據(jù)此制定802。3的協(xié)議，結(jié)果問題也就出來了。如果我上層用的是IP協(xié)議呢？那怎么辦？別急，有問題就會有方法，IEEE802。2也就由此出現(xiàn)了。

2， IEEE802。2

　　請看幀格式：

   

可以看到，種幀的***區(qū)別就在于多了一個LLC的域，即邏輯鏈路控制（ L L C，Logical Link Control）。該信息用來區(qū)別一個網(wǎng)絡(luò)中的多個客戶機(jī)。如果L L C和數(shù)據(jù)信息的總長度不足4 6字節(jié)，數(shù)據(jù)域還將包括填充位。長度域并不關(guān)心填充位，它僅僅報告邏輯鏈接控制層信息（ L L C）加上數(shù)據(jù)信息的長度。邏輯鏈接控制層（ L L C）信息由三個域組成：目標(biāo)服務(wù)訪問點（ D S A P，D e s t i n a t i o n Service Access Point），源服務(wù)訪問點（ S S A P，Source Service Access Point）和一個控制域。每個域都是1個字節(jié)長，L L C域總長度為3字節(jié)。一個服務(wù)訪問點（ S A P，Service Access Point）標(biāo)識了使用L L C協(xié)議的一個節(jié)點或內(nèi)部進(jìn)程，網(wǎng)絡(luò)中源節(jié)點和目標(biāo)節(jié)點之間的每個進(jìn)程都有一個惟一S A P?？刂朴驑?biāo)識了必須被建立L L C連接的類型：無應(yīng)答方式（無連接）和完全應(yīng)答方式（面向連接）。

我們在工作中最常見的也就是這三種幀了，下面加入一張網(wǎng)上找到的圖片，以加深大家的理解，并做一個小小的總結(jié)：

 

   

三、用sniffer捕幀

局域網(wǎng)的基本協(xié)議已經(jīng)講完，現(xiàn)在該動動手了。

下面是我用sniffer捕的幾個幀。

 ARP幀：

 

 

    　DNS的包：

 

    
     　HTTP的包：

 

    
通過上面所捕獲的幀，相信大家對網(wǎng)絡(luò)的分層應(yīng)該會有一個比較深的理解。我所展開的是數(shù)據(jù)鏈路層的包頭。

對照上面的幀格式，我們可以看到，有目的地址，有源地址，有類型，從IP開始就屬于信息字段了。姨，不對呀，怎么沒有前導(dǎo)和SFD？當(dāng)然，這是用來同步的，對協(xié)議分析沒有意義，包括FCS，所以去掉了。

可是，不對啊？沒錯，眼尖的朋友發(fā)現(xiàn)了，哈，都是以太網(wǎng)第二版的幀，看上面字段“Ethertype=0800(ip)”.這是怎么回事？不是說現(xiàn)在都是802。3的，至少也是802。2的嘛？怎么還用以太網(wǎng)V2？那么打包成何種幀是由哪個決定的？

其實這個問題我當(dāng)時也糊了，而且很多人也都不是特別的清楚，后來跟我們老師溝通后這么認(rèn)為：打包成何種幀一般是由操作系統(tǒng)決定的，在微軟的OS里邊，其默認(rèn)都會打包成以太網(wǎng)第二版的（可以改），這并不是說網(wǎng)絡(luò)環(huán)境變成10M了，因為現(xiàn)在這個以太網(wǎng)第二版應(yīng)該也是支持100M的，而在netware 環(huán)境里面，通常都默認(rèn)是802。2或802。3，具體2還是3，就要看netware版本了，一般來講，運行低于Netware 3.12版本的網(wǎng)絡(luò)的缺省幀類型是802。3。

咱就說到這了，當(dāng)然不敢說完全正確，只希望能讓大家共同交流，所以歡迎大家能夠指出我所不對的地方，共同進(jìn)步。