内容发布更新时间 : 2024/11/14 15:08:54星期一 下面是文章的全部内容请认真阅读。

科来网络分析系统5.0常见协议解码详解

? 数据包封包分层

数据包解码说明

下图是科来网络分析系统5.0对数据包的解码图，其中对数据包中的每一层协议分别进行了解码分析：

这里面，我们可以看到协议由外向内封装，分别是： 1. 2. 3. 4.

数据链路层对应“Ethernet II”协议； 网络层对应“IP”协议； 传输层对应“UDP”协议； 应用层对应“DNS”协议。

下面我们就分别对这四层协议做详细解释。

1 / 12

? 以太网数据包结构

Ethernet II的详细资料，可参见网页：

http://www.protocolbase.net/protocols/protocol_Ethernet Type 2.php协议结构为：

b5E2RGbCAP 7 Pre 1 SFD 6 DA 6 SA 2 Length Type 46-1500bytes Data unit + pad 4 FCS 下图是科来网络分析系统5.0对Ethernet II协议解码后的内容，我们利用此实例进行说明：

目标MAC 地址 源MAC 地址 上层协议 0x0800 (IP协议)

目标MAC地址 0位开始/6 bytes长

源MAC地址 6位开始/6 bytes长

上层协议 12位开始/2 bytes长 字段 Destination address Source addresses Protocol 说明 DA，目标MAC地址6 字节 SA，源MAC地址6 字节 Length Type，承载的上层协议类型 Data unit + pad，数据字段（46-1500bytes） 2 / 12

MAC地址：

FCS检验（4bytes） MAC地址为16进制编码，在解码中可以将前3 bytes代表厂商的字段翻译出来，方便定位问题，如网络上有两台设备IP地址冲突，可以通过厂商信息方便的将故障设备找到，如00e04C为TP-LINK，000AKB为迅捷，00A0C9为Intel等等，此资料可参见科来软件提供的Ethernet Codes master page (Ethernet.txt)。p1EanqFDPw 上层协议：

Ethernet II 承载的上层协议主要包括0x800为IP协议和0x806为ARP协议。

? IP协议结构

IP的详细资料，可参见网页：http://www.protocolbase.net/protocols/protocol_IP.phpDXDiTa9E3d IP头的结构如下：

4 Ver IHL 8 Type of service Flags Protocol Source address Destination address Option + Padding Data

下图是科来网络分析系统5.0对IP层解码后的内容，我们利用此实例进行说明：

Identification Time to live 16 19 Total length Fragment offset Header checksum 32bits 3 / 12