一、 以太网数据帧的格式分析大家都知道我们目前的局域网大多数是以太网,但以太网有多种标准,其数据帧有多种格式,恐怕有许多人不是太清楚,本文的目的就是通过帧格式和Sniffer捕捉的数据包解码来区别它们。
以太网这个术语一般是指数字设备公司(Digital Equipment)、英特尔公司(Intel)和施乐公司(Xerox)在1982年联合公布的一个标准(实际上它是第二版本,第一版本早在1972年就在施乐公司帕洛阿尔托研究中心PARC里产生了)。
它是目前TCP/IP网络采用的主要的局域网技术。
它采用一种称作CSMA/CD的媒体接入方法,其意思是带冲突检测的载波侦听多路接入(Carrier Sense, Multiple Access with Collision Detection)。
它的速率为10 Mb/s,地址为48 bit。
1985年,IEEE(电子电气工程师协会) 802委员会公布了一个稍有不同的标准集,其中802.3针对整个CSMA/CD网络,802.4针对令牌总线网络,802.5针对令牌环网络。
这三者的共同特性由802.2标准来定义,那就是802网络共有的逻辑链路控制(LLC)。
不幸的是,802.2和802.3定义了一个与以太网不同的帧格式,加上1983年Novell为其Netware 开发的私有帧,这些给以太网造成了一定的混乱,也给我们学习以太网带来了一定的影响。
1、通用基础注:* VLAN Tag帧和Gigabit Jumbo帧可能会超过这个限制值图1-1图1-1中,数据链路层头(Header)是数据链路层的控制信息的长度不是固定的,根据以太网数据帧的格式的不同而不同,那么判断IEEE802.3、IEEE802.3 SNAP、Ethernet Version2、Netware 802.3 “Raw”这些数据帧的最主要依据也源于Header的变化。
从该图中也可以看出,Sniffer捕捉数据包的时候是掐头去尾的,不要前面的前导码,也丢弃后面的CRC校验(注意它只是不在Decode里显示该区域,但并不代表它不去做数据包CRC校验),这就是很多人困惑为什么Sniffer捕捉到的数据包长度跟实际长度不相符的原因。
那么,Sniffer是如何来判断这些不同类型的以太网格式呢?通过图1-2的逻辑结构,Sniffer就可以判断出不同的以太网格式,这里需要注意的是,Sniffer在数据包解码时有自己的格式,所以有Offset之说,图1-2中的offset ØE是指在Sniffer Hex解码窗口中从左向右第15位的数值。
大家如果看这幅图有点发懵的话,没有关系,看完后面的格式分析后再来看这幅图,相信一定能够明白☺下面我们通过一些具体的图示和数据包来说明各种以太网格式的具体区别。
2、Ethernet Version2以太网版本2是先于IEEE标准的以太网版本。
从图2-1中可以看出,Ethernet V2通过在DLC 头中2个字节的类型(Type )字段来辨别接收处理。
类型字段是用来指定上层协议的(如0800指示IP 、0806指示ARP 等),它的值一定是大于05FF 的,它提供无连接服务的,本身不控制数据(DATA )的长度,它要求网络层来确保数据字段的最小包长度(46字节)。
图2-2 是Sniffer 捕获的Ethernet V2帧的解码,可以看到在DLC 层,源DLC 地址后紧跟着就是以太网类型(Etehertype )值0800,代表上层封装的是IP 报文,0800大于05FF ,因而我们可以断定它是Ethernet V2的帧。
图2-23、IEEE802.3图2-1从图3-1可以看出,IEEE802.3把DLC 层分隔成明显的两个子层:MAC 层和LLC 层,其中MAC 层主要是指示硬件目的地址和源地址。
LLC 层用来提供一些服务:– 通过SAP 地址来辨别接收和发送方法 – 兼容无连接和面向连接服务– 提供子网访问协议(Sub-network Access Protocol ,SNAP ),类型字段即由它的首部给出。
MAC 层要保证最小帧长度不小于64字节,如果数据不满足64字节长度就必须进行填充。
图3-2是Sniffer 捕获的IEEE802.3帧的解码,可以看到在DLC 层源地址后紧跟着就是802.3的长度(Length )字段0026,它小于05FF ,可以肯定它不是Ethernet V2的帧,而接下来的Offset 0E 处的值“4242”(代表DSAP 和SSAP ),既不是Novell 802.3 “Raw”的特征值“FFFF ”,也不是IEEE 802.3 SNAP 的特征值“AAAA ”,因此它肯定是一个IEEE802.3的帧。
SFD :开始定界符 DSAP :目标服务访问点 SSAP :源服务访问点 Control :控制信息图3-1图3-24、IEEE802.3 SNAPSNAP (Sub-Network Access Protocol)子网访问协议,是逻辑链路控制(Logical Link Control )的一个子集,它允许协议不用通过服务访问点(SAP )即可实现IEEE 兼容的MAC 层功能,因此它在DSAP 和SSAP 域里的值是固定的(AAAA )。
也正源于此,它需要额外提供5个字节的头来指定接收方法,3个字节标识厂商代码,2个字节标识上层协议。
其MAC 层保证数据帧长度不小于64字节,不足的话需要进行数据填充。
图4-2是Sniffer 捕获的IEEE802.3 SNAP 帧的解码,可以看到在DLC 层源地址后紧跟着就是802.3的长度(Length )字段0175,它小于05FF ,可以肯定它不是Ethernet V2的帧,而接下来的Offset 0E 处的值“AAAA ”(代表DSAP 和SSAP ),这是IEEE 802.3 SNAP 的特征值“AAAA ”,因此可以断定它是一个IEEE802.3 SNAP 的帧。
Code1010 (10101011)图4-1图4-25、Novell Netware 802.3 “Raw”虽然它的产生先于IEEE802.3规范,但已成为IEEE802.3规范的一部分。
它仅使用DLC 层的下半部,而不使用LLC 。
从图5-1中可以看出,802.3 “Raw”帧通过在DLC 头中2个字节的长度(Length )字段来标记数据帧长度,而在长度字段后紧跟着就是两个字节的十六进制值FFFF ,它是用来标识IPX 协议头的开始。
为了确保最小数据帧长度为64字节,MAC 层会进行填充数据区域来确保最小长度。
在所有工作站都使用同一种数据帧类型情况下不会有什么问题,但如果是在混合以太网帧类型环境中,Novell 的这种以太网帧会造成负面影响:当Novell 发出广播帧时,其FF 字段正好是IEEE802.3帧中的服务访问点(SAP )域,它的“FF ”值代表着广播SAP ,因此所有的工作站(不管是不是Netware 工作站)都会拷贝,这会造成不必要的广播影响。
图5-2是Sniffer 捕获的Netware 802.3 “RAW”帧的解码,可以看到在DLC 层源地址后紧跟着就是802.3的长度(Length )字段0120,它小于05FF ,可以肯定它不是Ethernet V2图5-1的帧,而接下来的Offset 0E处的值“FFFF”(代表IPX协议的开始),这是Netware 802.3 “Raw”的特征值“FFFF”,因此可以断定它是一个Novell 802.3 “Raw”的帧。
图5-2二、 Ethernet V2帧与IEEE 802.3帧的比较因为这两种帧是我们在现在的局域网里最常见的两种帧,因此,我们对它们进行一些比较。
从图6-1中可以看出,Ethernet V2可以装载的最大数据长度是1500字节,而IEEE 802.3可以装载的最大数据是1492字节(SNAP)或是1497字节; Ethernet V2不提供MAC层的数据填充功能,而IEEE 802.3不仅提供该功能,还具备服务访问点(SAP)和SNAP层,能够提供更有效的数据链路层控制和更好的传输保证。
那么我们可以得出这样的结论:Ethernet V2比IEEE802.3更适合于传输大量的数据,但Ethernet V2缺乏数据链路层的控制,不利于传输需要严格传输控制的数据,这也正是IEEE802.3的优势所在,越需要严格传输控制的应用,越需要用IEEE802.3或SNAP来封装,但IEEE802.3也不可避免的带来数据装载量的损失,因此该格式的封装往往用在较少数据量承载但又需要严格控制传输的应用中。
在实际应用中,我们会发现,大多数应用的以太网数据包是Ethernet V2的帧(如HTTP、FTP、SMTP、POP3等应用),而交换机之间的BPDU(桥协议数据单元)数据包则是IEEE802.3的帧,VLAN Trunk协议如802.1Q和Cisco的CDP(思科发现协议)等则是采用IEEE802.3 SNAP的帧。
大家有兴趣的话,可以利用Sniffer等协议分析工具去捕捉数据包,然后解码查看是不是这样的。
顺便提供一下各种Ethertype (以太网类型)和SAPs (服务访问点): Ethertype值SAPs值Netware 8137 Netware 10,E0XNS 0600,0807 XNS 80 IP 0800 IP 06 ARP 0806 NetBIOS F0 RARP 8035 BPDU 42 IP(Wines) 0BAD,80C4 SNA04,05,08,0CDRP 6003 X.25 7ELAT 6004 ISO 20,34,EC,FE,14,54 LAVC 6007 SNAP AAARP(AppleTalk) 80F3。