数据报文解码详解

1、数据报文解码详解 本章主要对：数据报文分层、以太报文结构、IP协议、ARP协议、PPPOE 协议、Radius协议等的解码分析做了简单的描述，目的在于介绍 Sniffer 软件在协议分析中的功能作用并通过解码分析对协议进一步了解。对其 其他协议读者可以通过协议文档和 Sniffer捕获的报文对比分析。 1.1数据报文分层 如下图所示，对于四层网络结构，其不同层次完成不通功能。每一层次 有众多协议组成。 DLC: Ethertype=OSOI, size=229 btes IP: D=10.&5.64.255 S=10.65 64.140 LEN=195 ID=4372 UDP： D=1

2、39 S=138 】EN=19S NETS: D=XXYC S=CVK2 Datagram, 105 b?tes (of 173) CIFS/SMB: C Transaction SMBMSP: Write nail slot MAILSLOTxBROVSE BROWSER: Election Force 如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。 链路层对应“ DLC” ；网络层对应“ IP” ；传输层对应“ UDP” ；应用 层对对应的是“NETB ”等高层协议。Sniffer可以针对众多协议进行详细 结构化解码分析。并利用树形结构良好的表现出来。 1.2以太报

3、文结构 Ethernetll以太网帧结构 Ethernet_ll DMAC SMAC Type DATA/PAD FCS Telnet FTP 和 e-mai l 等 TCP和 UDP IP ICMP IGMP 设备驱动程序及接口卡 Ethernet_II以太网帧类型报文结构为：目的 MAC地址（6bytes ） +源 MAC地址+ （6bytes ）上层协议类型（2bytes ） +数据字段（46-1500bytes） + 校验（4bytes ）。 &:&: DLC: - DLC Hesder Sniffer 自动 添加时间戳 . E JJS 凶Frame 4 arrived

4、 at 15:0130 9407; fraxe size i Destination Station Xirccm7BFEE Source = Station Huswei 001105 Ether type = 0900 - 套 上层协议 类型 D=10.L1.104.254 S=172.16 1 1 # :Dsl609 S*21 ACK-23440176 F l.JJlUbdb271 LEW-49 :R PORT=1609 coaooooo ooooooia C0000020 00000030 00000040 00000050 00000060 7b fe 84 00 BO fc 00

5、11 05 D8 00 45 00 W . .E. 3f 40 00 7e 0b 90 7c AC 10 DI ca O0b ,YM? .I 15 oe 49 拍 ID d? 01 65 ab 30 50 IS h?. .ISfe?e?P 0$ 00 00 32 32 30 2d 53 即72 76 2d 55 Dpi . . .SSO-SBTV-U 50 20 53 65 72 7& 65 72 20 76 33 2e 3C FTP Server v3.0 7 257 69 6e 53 63 6b 20 72 65 61 for UinSock res 2e Qd 此. Sniffe

6、r会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出 来，在分析问题时提供了很好的时间记录。 源目的MAC地址在解码框中可以将前 3字节代表厂商的字段翻译出来， 方便定位问题，例如网络上 2台设备IP地址设置冲突，可以通过解码翻 译出厂商信息方便的将故障设备找到， 如00e0fc为华为，010042为Cisco 等等。如果需要查看详细的 MAC地址用鼠标在解码框中点击此 MAC地 址，在下面的表格中会突出显示该地址的 16进制编码。 IP网络来说Ethertype字段承载的时上层协议的类型主要包括 0 x800为 IP协议，0 x806为ARP协议。 IEEE802.3以太网报文结构 (

7、0067 目的MAC 地址 源 MAC 址 WIN-1752D 220-Serv-U FTP Server v3.0 for UinSock restdy. 4 4 d o a d o a 4 fe 4 fe a a 4 4 o o 5 2 5 2 D D 9eD 9eD 6 6 6 6 9 9 1 1 s f 7 s f 7 4 4 6 7 6 7 D D D D B B 4 4 D o i D o i o o o 6 o 6 J J- - 2 2 2 2 - - h h- - IEEE802.3帧结构 上图为IEEE802.3SNAP 帧结构，与Ethernet!不通点是目的和源地址后 面

8、的字段代表的不是上层协议类型而是报文长度。并多了 LLC子层。 1.3 IP协议 IP报文结构为IP协议头+载荷，其中对 IP协议头部的分析，时分析 IP 报文的主要内容之一，关于 IP报文详细信息请参考相关资料。这里给出 了 IP协议头部的一个结构。 版本：4IPv4 首部长度：单位为4字节，最大60字节 TOS : IP优先级字段 总长度：单位字节，最大 65535字节 标识：IP报文标识字段 标志：占3比特，只用到低位的两个比特 MF ( More Fragment ) MF=1 ,后面还有分片的数据包 MF=0 ,分片数据包的最后一个 DF ( Dont Fragment ) DF=1

9、 ,不允许分片 DF=0 ,允许分片 段偏移：分片后的分组在原分组中的相对位置，总共 13比特，单位为8 字节 寿命：TTL (Time To Live )丢弃 TTL=0的报文 协议：携带的是何种协议报文 1 : ICMP 6 : TCP 17 : UDPDIC Meader - c c cc c c- - - -L c L c c c c c 上江江江江J.J J.J DDDDDCII Ftautie L Arrivecl at 12:13 3t :(BVH； irane size is 64 (0040 hesi DeEtintiori = Kulticast flLSCC20DDCOO

10、. Eridge_Grcn_Adr Sauree 三 StatLcm Cieer EC9CE4 802.J length 38 -.TL Hsidsr USAF Address 42. LAP IG Bit L(l (Indivkdu*! Address) IlC Addr s - 1?. SSiP CT? Bit - 00oniMTid 1 匚 1 1 89 : OSPF 头部检验和：对IP协议首部的校验和 源IP地址：IP报文的源地址 目的IP地址：IP报文的目的地址 上图为Sniffer对IP协议首部的解码分析结构，和 IP首部各个子段相对 应，并给出了各个字段值所表示含义的英文解释。如

11、上图报文协议 (Protocol )字段的编码为 0 x11，通过Sniffer解码分析转换为十进制的 17,代表UDP协议。其他字段的解码含义可以与此类似，只要对协议理 解的比较清楚对解码内容的理解将会变的很容易。 1.4 ARP协议 以下为ARP报文结构 硬件类型 协议类型 破件长度 协议长度 操作 话求1,回答2 发送站硬件地址 （例如 对以太网是6字节） 发送站协技地址 （例如.对IP*呼节） - IP Hsder - 000 . =routine ncmnial delay =nariwal t hrtiuhpu t = noxnal reliabilrty = EC7I bit -

12、 transport protoccl - CE bit - no eengestion Total length -166 bytes Identif i ca t ion =32897 Flat 猝 =OK Q =may Eragrent .0. last fragment FraLent of et =0 bytes Time to 1 ive =64 secondshops Protocol =17 (UDP) Header checksum 7AS8 (correct) oure：e address =172.LG.19.1 Destination address = 172.16.

13、20. FFFPPPPPPFFFFFFFPPPFFF III III III III 一- i 一 f f i 一 一 m m - - i f i f 一 m m - - 一 一 - f - 一 一： W9 W9 . . . I I- - - - I I - :; :; - - - - -riririri- - - -3333- - - -I I- - - - -1=: 1 1=: 1 mjimmjim i1 i1 - -:!=!=: i :!=!=: i - - - - - - -I I- - -. . Version = 4, headEr length = 20 bytn Type of

14、 service = 00 Mo ptions 目标硬件地址 （例如，对以太圈是停节） 目标协议地址 （例女D,对1思殍节） ARP分组具有如下的一些字段： HTYPE（硬件类型） 。这是一个16比特字段，用来定义运行 ARP的网络 的类型。每一个局域网基于其类型被指派给一个整数。例如，以太网是 类型1。ARP可使用在任何网络上。 PTYPE（协议类型）。这是一个16比特字段，用来定义协议的类型。例 如，对IPv4协议，这个字段的值是 0800。ARP可用于任何高层协议。 HLEN（硬件长度）。这是一个8比特字段，用来定义以字节为单位的物 理地址的长度。例如，对以太网这个值是 6。 PLEN（

15、协议长度）。这是一个8比特字段，用来定义以字节为单位的逻 辑地址的长度。例如，对 IPv4协议这个值是4。 OPER（操作）。这是一个16比特字段，用来定义分组的类型。已定义了 两种类型：ARP请求（1） , ARP回答（2）。 SHA（发送站硬件地址）。这是一个可变长度字段，用来定义发送站的物 理地址的长度。例如，对以太网这个字段是 6字节长。 SPA （发送站协议地址）。这是一个可变长度字段，用来定义发送站的逻 辑 （例如，IP）地址的长度。对于IP协议，这个字段是 4字节长。 THA（目标硬件地址）。这是一个可变长度字段，用来定义目标的物理地 址的长度。例如，对以太网这个字段是 6字节长

16、。对于 ARP请求报文， 这个字段是全0,因为发送站不知道目标的物理地址。 TPA （目标协议地址） 。这是一个可变长度字段，用来定义目标的逻辑地 址 （例如，IP地址）的长度。对于IPv4协议，这个字段是 4字节长。DLC： Frania 16 arrived at 14:24:0.9803: frame : DLC: Frame 17 arrived at 14:24:09,9804; frame Destination = Stat ion Huawei 00110 S Source = Station Xircoin7BFE84 Ethertype = 0606 ARF) - ARPZ

17、RAEP f rains - Hardware type = 1 (10Mb Ethernet) Protocol type = 0800 (IP) Length of hardware address = 6 bytes Length of protocol address = 4 bytes Opcode 2 (ARP reply) Sender * s hardware address = 0010A47BFE84 Sender * s protocol address - 59 Target hardware address = 00E0FC001105 Targ

18、et protocol address = 54 上面为通过Sniffer解码的ARP请求和应答报文的结构。 1.5 PPPO副、议 PPPOE简介 简单来说我们可能把 PPPOE报文分成两大块，一大块是PPPOE的数据 报头，另一块则是PPPOE的净载荷（数据域），对于PPPOE报文数据 域中的内容会随着会话过程的进行而不断改变。 下图为PPPOE的报文的 格式： 01234567890123456789012345676901 版本 类型 代玛 会话 ID 栈度域 净载荷 数据报文最开始的4位为版本域，协议中给出了明确的规定， 这个域 的内容填充 0 x01 。 紧接

19、在版本域后的4位是类型域，协议中同样规定，这个域的内容填 充为0 x01。 p pp p p p R R A 昌昌3菖DQDp * * p R R p p r rr r A A Destinci11口:n = Station jLirca*7BFE64 Source = Station HuswBiOU1105 Ethertype - DBQ8 (ARF) - ARPPARP rame - Hardware type = 1 (10Mb Ethernet) Protocol tvpe - 0800 (IF) Length, of hardware address = & bytes L

20、eagth of pxctQCQi address = 4 bytes Opcode 1 (AEF xequeat) Sender1 x hArdv Te address - 0OEOFTCO 0110 5 Gender1 s pr-atoeal address = 10. 11. 107.254 Target hard -aTe address = 000000000000 Targ-et protocol address = 10 11 104.1551 c PPPPFPPPPP PPPPFPPPPP RKRRRRRRKR 1A An 1A An - -A AA A- - - -A A p

21、 p R R 代码域占用1个字节，对于 PPPOE的不同阶段这个域内的内容也 是不一样的。 会话ID点用2个字节，当访问集中器还未分配唯一的会话 ID给用户 主机的话，则该域内的内容必须填充为 0 x0000 , 一旦主机获取了会 话ID后，那么在后续的所有报文中该域必须填充那个唯一的会话 ID 值。 长度域为2个字节，用来指示 PPPOE数据报文中净载荷的长度。 数据域，有时也称之为净载荷域，在 PPPOE的不同阶段该域内的数 据内容会有很大的不同。在 PPPOE的发现阶段时，该域内会填充一 些Tag （标记）；而在 PPPOE的会话阶段，该域则携带的是 PPP 的报文。 ISN 8850

22、PPPOE 捕获报文测试用例图 如图所示，Radius Server IP 地址为 6 。PPPOE 用户 Radius 报文交互过程分析如下。 PPPOE |No. 弓弘11心8 Addies* 町 阶段旭女史 1 M KITCQHGEIXZI9 Brcadcaat PFTVDE : : DiBcovazy 员过程 2 HuaiTSLOODOOOl IirDomfiFDCDS PPPoE: : DiBDovsry St age 3 Zjj-coji6FlXDEI VuaueiOQOOOD FEEoE： : DiECOvry 51泡罪 Huav i.DDDDDO Iirc

23、onEFDCD9 PPRiE :以mcove理 Stage 5 HuaveiOCiOOCiO IirDamfiFDCDS FPP: ECF Conf igure ReauEEt I 6 Sircon6fTCD5 EuaweiOOOOQD FFF： LCP Configure JteqiiBSt ：7 、 B XITCDIL6FDCD5 fluawEiOOOOOD PPP: ICF Can igure fiequcEi 9 HuaveiOOOOOO lirccjn&FDCDP PR*. LCP Configure Ack L nwx 10 HuveiOOOOOQ ZirconGFDCDS

24、 PFP； IJCP Coa iguxe Request t 11 MITCQH6FTXT9 flnawsiOOOOOD PPP: LCP Configui-e Ack 广 - 12 Hua i000000 Iircom6FDCD5 CRAP: H踞孙GE TVPE - Ch L二 PPPOE 一 13 liTCDhETCQg BuaueiDDDDQQ CHAP ME55施E： BfFE =而沮 Z 14 buavBiOOOOOO Iircan6FDCD9 CHAP: NESSkGE TYPE = Success , . L5 HudveiOOOOOO Iuwm6FDCD9 PCT* IPCF

25、 Cuufiguxe Renutfet _ 16 Xircon6fIXD5 VuaveiOOOOOD FfT: IFCP Confioure Fenuest 17 SircDii6FDCD5 EnnvciOOOOOD |FfT*: IPCP Conf iguirr Ack _ 10 UuaveLCiOOOOO IirDa(m6PDCDS PPP. IPCP Configure Rejec 19 Bii-cohGFDCDO Bm&weiOQOOQO PPP IPCP Crntiguxe RenuestX LU JU uu uJ DDDDDDCO; Un lb M UU /宥 DDUU00

26、90; b: E 汩 J- 3； nDDDQaQ： i I-T / .打 nnoDDN： -i -仆湾 上图显示了 BAS发起的Radius认证请求（Code = 1）报文的结构。Radius 报文是承载在 UPD协议之上的，这里我没不关注上层报文的结构。 下图为PPPOE CHAP认证过程的 Radius认证请求报文和 PPPOE中 CHAP认证的 Challenge 报文。通过比较可以方便看出 BAS发出的 Challenge 值为 “ 26fe8768341de68a72a1276771e1c1ca ”与 PPPOE 中CHAP认证过程中BAS发给PPPOE用户的Challenge值是一

27、致的。3-L? D=16iF S=H12 1EH7 4E. JECIUS. - EbDKu ：1ADEA - :.日心 i|i-. q i?A：irc J Fr.TFA ；D PTT J J 皿。115 q DADirc D 时ITTT 3 以 套 STm J uw 赢。irs g HA I Zodc Trfnri1 EF Length HL l |-T I I ；-d I I I I BAS发程 )Radi us认证 1W r】号 j借刑寸J -1 nCGCii fGCJJC 7 - - -；沽初 1 71C酉 I L_ ILL let lull-* -Fi,P HAP =HCT n， Jd

28、cntif LCL - E寸rrtu = ffz | H;T Vvd |Ft TL ZLaLL:r.9C - |.4.E|I 1 LT VL11 - ； I r JT B Hll ) 捧SiiffeT只在此对属性 类型和Value进行了衲分 析，其TW十大进制散佰 j一可在F面源码中获襟一 braiiLZ Protocol - 1 (FP?) 限STFTHma - ILFW.H.l? 11 NAbl：en：itie = HAJ-7_I l - t ? 1447614, _r LEIEB-I | rpp I h 、 I IRiDIUG； Unkacvn attiibute D? g vrrg 由

29、干Snif州木能解析的凰广 类型可以同构源码时应 ASII斑行翻诰如此嚣性 可以，昭。1码翻译械瓣 该用户端口信息. 州 ；L i- *“：，膏止 E_w=L id -/ IT pn*= JIM l=/K - RADIUS: -Ji R4DIUS: Attributes follow Q RADIUS: User-Mame = test * BAS发给Radius勺 RiDIUS： CHAP Identifier = 1 CHAP-Challen漏性 B RADIUS: CHAP Response = HH.I.Oy.VudlHc RADIUS: CHAF-ChaHenge = MlhLdHr

30、i gq必E - - -jj RADIUS: Service-Type = 2 (Fraed) Jft RADIUS: Framed-Prt1 = 1 (PPP) Q RADIUS: HAS-IP-Address - 172.16,19.1 S RADIUS: NAS-Identifier = ESR 下图为PPPOE用尸发为BAS的经过CHAP加密后的用尸密码和 BAS 发给Radius Server中认证请求报文用户秘密属性域的比较。 可以看出在 Radius认证过程中，BAS设备将Challenge属性和用户加密后的密码发 给Radius进行验证。UOUOOOJU: 00000030 0

31、0000040 0000005D 00000060 00000070: 00000080 00000090: 14 87 74 fa 4c U7 68 34 65 73 64 a8 14 U6 Id e6 74 03 80 48 6d 00 8a 72 13 01 a2 bb 92 b? al 27 48 78 3c 12 df 67 2e U1 19 00 8a 26 71 el cl 3 01 Sb Id d5 fd 03 26 fe 87 68 M Id eS 6a 72 al 27 67 71 el cl ca U6 05 o 4 d n o 3 3 n o 6 4 f 06 13 0

32、0 73 o rs 7 4 i 0 0 5 7 o o o f n 0 2 16 1 6 1 o c 7 2 c b _n 7 2 c b _n o 5 6 3 no 5 6 3 n pppppppp pppppppp BAM aAU aAU - -AM AM Mcccccccc Mcccccccc CHCHQ3O0QQ0QQ3O0QQ0Q - - CHflP Header - Code = 1 (Chailanje Packet) Identif aer = 1 - -1 1 7 7 o o D Do o o o 8 8 8 8 3 3 L 7 6 6 1 1 00000020: Id eS

33、 暗 72 st DI G DI G 0 0 5 5 1 1 o o 1 c 1 c col col f f o o E E 1x 1x UILUIL- - 0 0 7 7 0 0 17 17 0 0 0 0 6 6 93 93 7 7 d d 2 2 2 2 4 4 7 7 6 6 8 8 8 8e e _UD _UD CL CL o o 6 6 o o 2 2 00000030: DID 00 00 00 DO 00 00 00 00 GO DO 00 DO 00 DO 00 .责 r?gq 0D DO 00 DO 00 . 00 01 00 7e 31 33 2 3 3 2 3 3 o

34、n o o n o 5 7 3 ft.5 7 3 ft. CH址：Uhallenje Value = MJ?顼/就341她&昭”罚“闵门心L1CA RADIUS: Attributes follow RADIUS: User-Name = test RADIUS: CHAP Identifier RADIUS: CHAP-ChaHenge = -Ihi.aelri -gqaAt RADIUS: ServiceType = 2 (Framed) 通过比较可以清楚了解协议各字段含义相互关系，为问题处理提供有效 的手段。 下面为PPPOE用户Radius认证的Sniffer捕获的报文。 同.同 chap-client, cap RadiUESeivcr. cep 白最 CHiP: - CHiP Reader - - HQ CHAP： 口 CHAP: Code