數(shù)據(jù)包

時(shí)間：2022-02-14 04:00:01 | 來源：信息時(shí)代

時(shí)間：2022-02-14 04:00:01 來源：信息時(shí)代

計(jì)算機(jī)網(wǎng)絡(luò)將要傳輸?shù)膱?bào)文分割成一個(gè)個(gè)小的數(shù)據(jù)片段，稱為“分組”，在每一個(gè)分組的數(shù)據(jù)前加上傳輸數(shù)據(jù)所必需的信息“報(bào)頭”，就構(gòu)成了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)幕静考皵?shù)據(jù)包”。

應(yīng)用層的主要任務(wù)是將被傳輸?shù)男畔⑥D(zhuǎn)換成符合網(wǎng)絡(luò)傳輸規(guī)范的二進(jìn)制數(shù)據(jù)塊。常用的應(yīng)用層協(xié)議有：超文本傳輸協(xié)議HTTP、文件傳送協(xié)議FTP、遠(yuǎn)程登錄協(xié)議TELNET、簡單郵件傳送協(xié)議SMTP、域名解析協(xié)議DNS、簡單網(wǎng)絡(luò)管理協(xié)議SNMP、動(dòng)態(tài)主機(jī)配置協(xié)議DHCP、以及微軟媒體服務(wù)器協(xié)議MMS等。

傳輸層的主要任務(wù)是將數(shù)據(jù)包傳輸?shù)侥康牡?，為此，傳輸層為?yīng)用層上的應(yīng)用提供兩類截然不同的服務(wù)：第一類服務(wù)是可靠的面向連接服務(wù)，確保正確無誤地把消息從源端傳送到目的地，使用的協(xié)議是TCP協(xié)議。第二類服務(wù)是不可靠的無連接服務(wù)，使用的協(xié)議是用戶數(shù)據(jù)包協(xié)議UDP。

以太網(wǎng)接口卡可以被設(shè)置成如下4種工作模式：

（1）廣播：數(shù)據(jù)幀可以發(fā)向網(wǎng)絡(luò)中所有計(jì)算機(jī)。任何設(shè)置為廣播模式的網(wǎng)卡都接收目的地址為廣播地址的數(shù)據(jù)幀。通常所有的網(wǎng)卡被配置為接收廣播幀

（2）多播：發(fā)往一組計(jì)算機(jī)的幀稱為多播幀，使用特定的多播地址作為目的地址。這些計(jì)算機(jī)的組構(gòu)成了多播組。這樣，多播組里的任何一個(gè)成員計(jì)算機(jī)將會(huì)接收具有多播目的地址的幀.

（3）直接：發(fā)往特定計(jì)算機(jī)的幀具有特定計(jì)算機(jī)的物理地址。具有特定物理地址的計(jì)算機(jī)將接收特定的幀，丟棄其它的幀。網(wǎng)卡可以設(shè)置為僅僅接收直接幀。

（4）混雜：設(shè)置為這個(gè)模式的網(wǎng)卡接收所有收到的數(shù)據(jù)包，任何到達(dá)此網(wǎng)卡的信息都不丟棄。這個(gè)模式是網(wǎng)絡(luò)監(jiān)測應(yīng)用程序的關(guān)鍵模式。

在網(wǎng)絡(luò)監(jiān)聽情況下，要想監(jiān)聽到被監(jiān)聽主機(jī)之間的通信信息，也要滿足以下的兩點(diǎn)基本要求：

SnifferPortable共有8個(gè)下拉菜單：

文件菜單：打開和保存各種記錄數(shù)據(jù)文件；軟件系統(tǒng)工作模式的設(shè)定；打印各種報(bào)表或報(bào)告；運(yùn)行腳本程序等。

監(jiān)視器菜單：選擇設(shè)定系統(tǒng)監(jiān)視對(duì)象和監(jiān)視的任務(wù)，可以定義過濾器對(duì)監(jiān)視的對(duì)象有選擇的做出顯示，也可以察看報(bào)警日志。

捕獲菜單：可以啟動(dòng)或停止捕獲操作?？梢园凑詹煌墓ぷ餍枨笤O(shè)置捕獲過濾器，也可以為捕獲操作設(shè)置觸發(fā)條件。這些功能可以極大地提高捕獲工作效率。

顯示菜單：顯示捕獲數(shù)據(jù)的內(nèi)容，可以對(duì)顯示內(nèi)容進(jìn)行搜索與過濾。

工具菜單：包含了一些系統(tǒng)工具。如系統(tǒng)配置選項(xiàng)，監(jiān)視對(duì)象地址簿，數(shù)據(jù)包自動(dòng)發(fā)送工具等。

數(shù)據(jù)庫菜單：對(duì)保存數(shù)據(jù)的數(shù)據(jù)庫進(jìn)行整理維護(hù)。

窗口菜單：按不同的工作需要顯示或隱藏不同的窗口。

幫助菜單：提供系統(tǒng)幫助。

開始按鈕：啟動(dòng)捕獲程序，開始捕獲數(shù)據(jù)包。

暫停按鈕：暫時(shí)停止捕獲數(shù)據(jù)。

停止按鈕：停止捕獲工作。

停止和顯示按鈕：停止捕獲工作，自動(dòng)轉(zhuǎn)到顯示捕獲數(shù)據(jù)包窗口。

顯示按鈕：顯示捕獲數(shù)據(jù)包的內(nèi)容。

定義過濾器按鈕：設(shè)置過濾條件，有選擇的進(jìn)行捕獲。

第三層運(yùn)輸層，主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議中，有兩個(gè)互不相同的傳輸協(xié)議：即面向連接的TCP協(xié)議和非連接的UDP協(xié)議。

第四層應(yīng)用層，由不同的應(yīng)用程序?qū)崿F(xiàn)特定的應(yīng)用目的。如：

(1)前導(dǎo)碼：8個(gè)字節(jié)，用于同步和起始標(biāo)志。在SnifferPortable中不顯示。

(2)目的地址：6個(gè)字節(jié)，目的主機(jī)MAC地址。

(3)源地址：6個(gè)字節(jié)，源主機(jī)MAC地址。

(4)類型域：2個(gè)字節(jié)，標(biāo)識(shí)了在以太網(wǎng)上運(yùn)行的客戶端協(xié)議。即表明上層（網(wǎng)絡(luò)層）的協(xié)議。如IP、IPX等網(wǎng)絡(luò)層協(xié)議。

(5）數(shù)據(jù)：46～1500字節(jié)，這里是真正要傳輸?shù)臄?shù)據(jù)。如果長度不夠46字節(jié)則由DLC協(xié)議自動(dòng)補(bǔ)齊為46字節(jié)。

(6）幀校驗(yàn)序列：4個(gè)字節(jié)，利用的是CRC循環(huán)冗余校驗(yàn)法，在SnifferPortable中不顯示。

在DLC頭部：共顯示6行信息，其中第3-5行顯示內(nèi)容是DLC真實(shí)內(nèi)容，其它行是SnifferPortable添加的狀態(tài)信息.

第一行：SnifferPortable添加的DLC起始標(biāo)志。

第二行：SnifferPortable添加的幀序號(hào)、捕獲日期、時(shí)間、幀的長度等信息。以上2行內(nèi)容在數(shù)據(jù)包中是沒有的。

第三行：DLC真實(shí)內(nèi)容。目標(biāo)主機(jī)的MAC地址。占6個(gè)字節(jié)，幀內(nèi)地址00-05H。

第四行：DLC真實(shí)內(nèi)容。源主機(jī)的MAC地址。占6個(gè)字節(jié)，幀內(nèi)地址06-0BH。

第五行：DLC真實(shí)內(nèi)容。數(shù)據(jù)包的類型（即上層協(xié)議的類型）。占2個(gè)字節(jié)，幀內(nèi)地址0C-0DH。上層協(xié)議的類型主要有0800為IP協(xié)議，0806為ARP協(xié)議等。

第六行：SnifferPortable添加的DLC結(jié)束標(biāo)志。

網(wǎng)絡(luò)層協(xié)議主要有：

網(wǎng)際協(xié)議（IP）：

地址0E：1字節(jié)。高4位是IP協(xié)議版本號(hào)，低4位是本包IP首部長度。此例中0EH地址內(nèi)容為45H。4代表IP協(xié)議版本號(hào)為4，即IPv4，此包所經(jīng)過的各個(gè)路由器等網(wǎng)絡(luò)設(shè)備均按IPv4格式對(duì)數(shù)據(jù)包進(jìn)行解讀與處理。5為此數(shù)據(jù)包IP首部長度代碼。實(shí)際首部長度為此代碼乘以4，本例中首部長度為5×4＝20字節(jié)。首部最大長度為0FH×4＝15×4＝60（字節(jié)）

地址0F：1字節(jié)。服務(wù)類型定義IP協(xié)議包的處理方法，它包含如下子字段

過程字段：3位，設(shè)置了數(shù)據(jù)包的重要性，取值越大數(shù)據(jù)越重要，取值范圍為0（正常）~7（網(wǎng)絡(luò)控制）

延遲字段：1位，取值0（正常）、1（低延遲）

流量字段：1位，取值0（正常）、1（高流量）

可靠性字段：1位，取值0（正常）、1（高可靠性）

成本字段：1位，取值0（正常）、1（最小成本）

未使用：1位

地址10H-11H：2字節(jié)。IP包總長度。此例中IP包總長度為0052H，即82字節(jié)。從0EH到5FH，包含了IP包頭及數(shù)據(jù)長度。

地址12H-13H：2字節(jié)。IP報(bào)文標(biāo)識(shí)字段，每一個(gè)IP數(shù)據(jù)包都有一個(gè)與分組過程相關(guān)的唯一標(biāo)識(shí)，做為到達(dá)目標(biāo)后恢復(fù)數(shù)據(jù)時(shí)組合的依據(jù)。此例中標(biāo)識(shí)為78FAH

地址14H的高3位：有關(guān)數(shù)據(jù)分段的標(biāo)識(shí)。

地址14H的低5位-15H：段偏移。當(dāng)數(shù)據(jù)分組時(shí)，它和更多段位進(jìn)行連接，幫助目的主機(jī)將分段的包組合。

地址16H：1字節(jié)。IP包生存時(shí)間TTL。由于IP包發(fā)出后就不再對(duì)它進(jìn)行管理，任其自由尋找目標(biāo)主機(jī)。如果網(wǎng)絡(luò)或目標(biāo)主機(jī)出現(xiàn)故障造成IP包無法到達(dá)目的主機(jī)，此數(shù)據(jù)包就會(huì)不斷在網(wǎng)上游逛，形成網(wǎng)絡(luò)數(shù)據(jù)包孤兒。網(wǎng)絡(luò)孤兒大量存在就會(huì)占用網(wǎng)絡(luò)資源，嚴(yán)重影響正常的網(wǎng)絡(luò)通信。因此，如果IP包經(jīng)過一定時(shí)間還無法找到目標(biāo)主機(jī)就應(yīng)該讓它自動(dòng)消亡。這個(gè)時(shí)間就是TTL。當(dāng)某一網(wǎng)絡(luò)設(shè)備發(fā)出IP包的同時(shí)要給IP包設(shè)定一個(gè)生存時(shí)間常數(shù)，每經(jīng)過一個(gè)路由器此時(shí)間常數(shù)自動(dòng)減一，當(dāng)TTL值減為0還無法找到目標(biāo)主機(jī)就自動(dòng)消亡。

地址17H：1字節(jié)。協(xié)議代碼。表示此IP包攜帶的是何種協(xié)議報(bào)文。

常見的有：

1：ICMP

6：TCP

17：UDP

地址18H-19H：2字節(jié)。首部校驗(yàn)和。用于校驗(yàn)和糾錯(cuò)。

地址1AH-1DH：4字節(jié)。源IP地址。此例為DBH、85H、3FH、36H。用點(diǎn)分十進(jìn)制表示即為219.133.63.54。

地址1EH-21H：4字節(jié)。目標(biāo)IP地址。此例為C0H、A8H、01H、64H。用點(diǎn)分十進(jìn)制表示即為192.168.1.100。

地址解析協(xié)議（ARP）：

地址0D-0EH：2字節(jié)。硬件類型，以太網(wǎng)為“0001H”。

地址10-11H：2字節(jié)。上層協(xié)議類型，0800H為IP協(xié)議。

地址12H：硬件地址長度。MAX地址長度恒為6字節(jié)。

地址13H：協(xié)議地址長度。IP地址恒為4字節(jié)。

地址14-15H：操作。請(qǐng)求包恒為1，應(yīng)答包恒為2。此例是請(qǐng)求包，值為1。

地址16-1BH：源主機(jī)的MAC地址。此例為00-0D-60-8A-F0-3F。

地址1C-1FH：源主機(jī)協(xié)議地址。此例為192.168.1.100。（十六進(jìn)制表示為C0H、A8H、01H、64H）。

地址20-25H：目標(biāo)主機(jī)MAC地址。此例為ARP請(qǐng)求包，地址為0。

地址26-29H：目標(biāo)主機(jī)協(xié)議地址。此例為192.168.1.101。（十六進(jìn)制表示為C0H、A8H、01H、65H）。

地址2A-3BH：DLC將數(shù)據(jù)包不足長度部分補(bǔ)足。

網(wǎng)際控制報(bào)文協(xié)議（ICMP）：

地址00-0DH：DLC包頭。

地址0EH-21H：IP包頭。

地址22H：1字節(jié)。ICMP數(shù)據(jù)包類型字段。不同的代碼代表此數(shù)據(jù)包內(nèi)容的類型。

地址22H：1字節(jié)。代碼。據(jù)前一字節(jié)設(shè)定不同類型下此字節(jié)含義不同。詳細(xì)解釋請(qǐng)查閱ICMP協(xié)議手冊(cè)。此例中為0。

地址23H-24H：2字節(jié)校驗(yàn)和。用于校驗(yàn)數(shù)據(jù)包的正確性

地址25H-26H：標(biāo)識(shí)。

地址27H-28H：2字節(jié)。發(fā)送二進(jìn)制位序列號(hào)。

地址29H-結(jié)束：發(fā)送探測包內(nèi)容。使用Windows系統(tǒng)的Ping命令時(shí)內(nèi)容為英文小寫字母a-w循環(huán)發(fā)送，直到達(dá)到命令要求的字節(jié)數(shù)為止。默認(rèn)字節(jié)數(shù)為32。

傳輸層協(xié)議主要有：

傳輸控制協(xié)議（TCP）：

地址00-0DH：DLC包頭。

地址0EH-21H：IP包頭。

地址22H-23H：2字節(jié)。源主機(jī)端口號(hào)，此例為使用HTTP協(xié)議訪問網(wǎng)頁，默認(rèn)端口號(hào)為80（0050H）。

地址24H-25H：2字節(jié)。目標(biāo)主機(jī)端口號(hào)，由應(yīng)用程序隨機(jī)產(chǎn)生。此例為3545（0DD9H）。

地址26H-29H：4字節(jié)。序號(hào)指明了段在即將傳輸?shù)亩涡蛄兄械奈恢谩CP連接是可靠的，而且保證了傳送數(shù)據(jù)包的順序，保證順序是用序號(hào)來保證的。此例中序號(hào)為2938112427（AF2009ABH）。

地址2AH-2DH：4字節(jié)。確認(rèn)號(hào)作為收到數(shù)據(jù)的響應(yīng)，連接成功后傳輸數(shù)據(jù)過程中此號(hào)為請(qǐng)求包序號(hào)＋應(yīng)答數(shù)據(jù)包長度，若不進(jìn)行通信僅進(jìn)行連接時(shí)長度為1字節(jié)同步字節(jié)。此例為648543792＋1＝648543793（26A7FE31H）。

地址2EH：1字節(jié)。高4位為首部長度，值為首部字節(jié)數(shù)/4。低4位保留未用。此例TCP首部長度20字節(jié)，故此此字節(jié)高4位值=20/4=5。

地址2FH：1字節(jié)。高2位保留未用。低6位為標(biāo)志位。

地址30H-31H：2字節(jié)。窗口指定發(fā)送端能傳輸下一段的大小。此例為65259（FEEBH）。

地址32H-33H：2字節(jié)。校驗(yàn)和。用來校驗(yàn)段頭和數(shù)據(jù)部分的可靠性。此例為082DH

地址34H-35H：2字節(jié)。緊急。指明段中包含緊急信息，只有當(dāng)URG標(biāo)志置1時(shí)緊急指針才有效。此例為0。

用戶數(shù)據(jù)報(bào)協(xié)議（UDP）：

地址00-0DH：DLC包頭。

地址0EH-21H：IP包頭。

地址22H-23H：2字節(jié)。源主機(jī)端口號(hào)，此例為53124（CF84H）。

地址24H-25H：2字節(jié)。目標(biāo)主機(jī)端口號(hào)，此例為53124（CF84H）。

地址26H-27H：2字節(jié)。UDP部分?jǐn)?shù)據(jù)長度，此例為835B（0343H）。

地址28H-29H：2字節(jié)。校驗(yàn)和。

地址2AH-結(jié)束：UDP數(shù)據(jù)段。此例為網(wǎng)絡(luò)電視數(shù)據(jù)。