LTE控制面原始包分析

PCAP文件格式每个.pcap文件的文件头PcapHeader：24个字节每个.pcap文件中的数据包头PacketHeader：16个字节每个.pcap文件中的数据报PacketData：14个字节以太头+IP/TCP数据pcap文件头部（PcapHeader）24个字节说明：Magic：标识位，32位Major：主版本号，16位，默认值为0x02Minor：副版本号，16位，默认值为0x04ThisZone：区域时间，32位，实际该值并未使用，可以设置为0SigFigs：精确时间戳，32位，实际该值并未使用，可以设置为0SnapLen：数据包最大长度，32位，该值为所抓获的数据包的最大长度LinkType：链路层类型，32位数据包头（PacketHeader）结构16个字节说明：时间戳，64位（32位的秒计时和32位的毫秒计时），记录数据包抓获的时间，记录方式是从格林尼治时间的1970年1月1日00：00：00到抓包时经过的时间。当前分组的长度，4个字节。数据包的长度，4个字节。数据包内容（Wireshark从这部分开始显示）每个数据包的前14字节是以太网，后面才是IP首部等内容。目标MAC地址，6个字节源MAC地址，6个字节类型，2个字节，当其值为0x0800代表IP协议数据数据FCS，帧检验，4个字节IP数据报格式IP数据报格式如下：一个IP数据报由首部和数据两部分组成，首部的前20个字节是固定部分，后一部分是可变部分。首部的固定部分中各字段含义如下：版本：4位，标识IP版本号，目前有IPv4、IPv6。首部长度：4位，指的是首部占32bit字的数目，包括任何选项。首部长度最大为60个字节，最小为20个字节。服务类型：8位。其中前3位表示优先级；第4位是D比特，表示要求有更低的时延；第5位是T比特，表示要求有更高的吞吐量；第6位是R比特，表示要求有更高的可靠性；第7位是C比特，表示要求选择费用更低廉的路由；最后1位保留，尚未使用。总长度：16位，指的是首部和数据之和的长度。标识：16位，标识主机发送的每一份数据报。标志：3位，目前只有2位有意义。其中最低位记为MF，中间一位记为DF。保留位：1位DF字段：1位，值为0（允许数据报分段），为1（数据报不能分段）MF字段：1位，值为0（该数据包为最后的包），为1（该数据包后面有更多的包）片偏移：13位，指定分段在原始数据报中的位置，以8个字节为单位。生存时间：8位，指的是数据报在网络中的寿命，单位为秒。8位协议：8位，指的是该数据报中携带的数据所使用的协议。常见的协议和字段值有UDP（17），TCP（6），SCTP（132），ICMP（1）。首部检验和：16位，是根据IP首部计算的检验和码，不对首部后面的数据进行计算。源IP地址：32位，指的是发送IP的主机地址。目的IP地址：32位，指的是数据发往的IP主机地址。IP数据报首部的选项部分为可变部分，主要用来进行网络测试或调试。SCTP数据报格式SCTP（STREAMCONTROLTRANSMISSIONPROTOCOL流控制传输协议）是IETF新定义的一个传输层transportlayer协议（2000年）。是提供基于不可靠传输业务的协议之上的可靠的数据报传输协议。SCTP的设计用于通过IP网传输SCN窄带信令消息。当TYPE等于0的时候，为Data块，才会有下面的TSN、StreamIdentifierS、StreamSequenceNumbern、PayloadProtocolIdentifier等。Length：Data块的长度，字节为单位，从Type字段开始到承载的消息码流结束。如果长度不是8的倍数，需在消息码流结束后填充0x00至8的倍数。PayloadProtocolIdentifier表示SCTP

承载的上层协议类型。当TYPE等于0，PayloadProtocolIdentifier等于18时，后面跟S1AP消息；当TYPE等于0，PayloadProtocolIdentifier等于27时，后面跟X2AP消息。UDP数据报格式UDP数据报格式如下：UDP数据报由首部和数据两部分组成。首部有8个字节，含义依次是：源端口：2个字节，源端口号。目地端口：2个字节，目地端口号。长度：2个字节，UDP数据报的总长度。检验和：2个字节，用于检验UDP数据报的数字段，同IP首部检验和。TCP数据报头格式一个TCP数据报由首部和数据两部分组成，首部的前20个字节是固定部分，后一部分是可变部分。首部的固定部分中各字段含义如下：源端口：2个字节，源端口号。目地端口：2个字节，目地端口号。序号：4个字节确认号：4个字节数据偏移：4个比特保留：6个比特标识符：6个比特窗口：2个字节检验和：2个字节紧急指针：2个字节选项：长度可变，TCP首部可以有多达40字节的可选信息。GTP数据报格式GTP数据报=GTP头+GTP数据/消息GTP头结构如下：GTP-U判断流程：说明：首先要判断数据包内容中的类型是不是IP协议数据（0x0800），然后判断IP协议里面的8位协议是不是UDP协议（0x11），再判断UDP数据报的源/目标端口号是不是为0x0868，最后判断GTP包中的MessageType（1个字节）的值，当该值为0xff时是GTP数据包（后面跟的是数据），当该值为0x01或者0x02或者0x1A或者0x1F或者0xFE时是GTP信令包（后面跟的是消息）。GTPv2-C判断流程：说明：首先要判断数据包内容中的类型是不是IP协议数据（0x0800），然后判断IP协议里面的8位协议是不是UDP协议（0x11），再判断UDP数据报的源/目标端口号是不是为0x084b，最后判断GTP包中的Version（3个比特）的值是不是0x02。S1AP消息判断流程：说明：首先要判断数据包内容中的类型是不是IP协议数据（0x0800），然后再判断IP协议里面的8位协议是不是SCTP协议（0x84），最后判断SCTP协议中的Type和PayloadProtocolIdentifier，当TYPE等于0，PayloadProtocolIdentifier等于18时，后面跟S1AP消息；当TYPE等于0，PayloadProtocolIdentifier等于27时，后面跟X2AP消息。S6a消息判断流程：说