以太网数据帧的格式分析.

通过图 1-2 的逻辑结构，Sniffer 就可以判 断出不同的以太网格式，这里需要注意的 是， Sniffer 在数据包解码时有自己的格式， 所以有 Offset 之说，图 1-2 中的 offset ØE 是指在 Sniffer Hex 解码窗口中从左向右第 15 位的数值。大家如果看这幅图有点发懵 的话，没有关系，看 完后面的格式分析后 再来看这幅图，相信一定能够明白 下面我们通过一些具体的图示和数据包来说 明各种以太网格式的具体区别。
1985 年，IEEE（电子电气工程师协会） 802 委 员会公布了一个稍有不同的标准集， 其中 802.3 针对整个 CSMA/CD 网络，802.4 针对令牌总线 网络，802.5 针对令牌环网络。这 三者的共同特 性由 802.2 标准来定义，那就是 802 网络共有的 逻辑链路控制（LLC）。不幸 的是，802.2 和 802.3 定义了一个与以太网不同的帧格式，加上 1983 年 Novell 为其 Netware 开发的私有帧，这 些给以太网造成了一定的混乱，也给我们学习以 太网带来了一定的影响。
数据链路层
前导码 目的地址 源地址 数链层头
数据
FCS
8
6
6
Sniffer捕捉的范围
捕捉帧最小长度=60bytes 捕捉帧最大长度=1514bytes*
上图 中，数据链路层头（Header）是数据链路 层的控制信息的长度不是固定的，根据以太网 数 据 帧的格 式的 不同而 不同 ，那么 判 断 IEEE802.3 、 IEEE802.3 SNAP 、 Ethernet Version2、Netware 802.3 “Raw”这些数据帧的最 主要依据也源于 Header 的变化。 从该图中也可 以看出，Sniffer 捕捉数据包的时候是掐头去尾的， 不要前面的前导码，也丢弃后面的 CRC 校验 （注意它只是不在 Decode 里显示该区域，但并 不代表它不去做数据包 CRC 校验），这就是很 多人困惑为什么 Sniffer 捕捉到的数据包长度跟实 际长度不相符的 原因。那么，Sniffer 是如何来判 断这些不同类型的以太网格式呢？
图 2-2 是 Sniffer 捕获的 Ethernet V2 帧的解码，可以看到在 DLC 层， 源 DLC 地址后紧 跟着就是以太网类型（Etehertype）值 0800，代表 上层封装的是 IP 报文，0800 大于 05FF， 因而我们可以断定它是 Ethernet V2 的帧。
3、IEEE802.3
MAC 层要保证最小帧长度不小于 64 字节，如果数据不满足 64 字节长度就必须 进行填充。 图 3-2 是 Sniffer 捕获的 IEEE802.3 帧的解码，可以看到在 DLC 层源地址后紧 跟着就是802.3 的长度（Length）字段 0026，它小于 05FF，可以肯定它不是 Ethernet V2 的帧，而接 下来的 Offset 0E 处的值“4242”（代表 DSAP 和 SSAP），既不是 Novell 802.3 “Raw”的特征 值“FFFF”，也不是 IEEE 802.3 SNAP 的特征值“AAAA”，因此它肯定是一个 IEEE802.3 的帧
4、IEEE802.3 SNAP
数链层 前导码
7
SFD
1
DA
6
SA
6
长度
2
逻辑链路控制（LLC） 802.2 Control
AA AA 1
SNAP Header
类型Leabharlann Baidu
3 2
数据
38 - 1492
ＦＣＳ
4
1010…10101011
Sniffer捕捉范围
SNAP (Sub-Network Access Protocol)子网访问协议，是逻辑链路控制 （Logical LinkControl）的一个子集，它允许协议不用通过服务访问点 （SAP）即可实现 IEEE 兼容的 MAC 层功能，因此它在 DSAP 和 SSAP 域里的值是固定的（AAAA）。也正源于此，它需要额外 提供 5 个字节的 头来指定接收方法，3 个字节标识厂商代码，2 个字节标识上层协议。 其 MAC 层保证数据帧长度不小于 64 字节，不足的话需要进行数据填充。 S
数链层 前导码 SFD
7 1
长度 DA
6
SA
6 2
逻辑链路控制（LLC） 802.2 Control DSAP SSAP
1 1 1 or 2
数据+填充
42 - 1497
ＦＣＳ
4
Sniffer捕捉范围
SFD：开始定界符 DSAP：目标服务访问点 SSAP：源服务访问点 Control：控制信息 从图 3-1 可以看出，IEEE802.3 把 DLC 层分隔成明显的两个子层：MAC 层和 LLC 层， 其中 MAC 层主要是指示硬件目的地址和源地址。LLC 层用来提供一些服务： – 通过 SAP 地址来辨别接收和发送方法 – 兼容无连接和面向连接服务 – 提供子网访问协议（Sub-network Access Protocol，SNAP），类型字段即由它 的首部给出。
2、Ethernet Version2 以太网版本 2 是先于 IEEE 标准的以太网版本。
数链层 前导码
8
DA
6
SA
6
类型
2
数据
46 - 1500
FCS
4
1010…10101011
Sniffer捕捉的范 围
从图 2-1 中可以看出，Ethernet V2 通过在 DLC 头中 2 个字节的类型 （Type）字段来辨别接收处理。类型字段是用来指定上层协议的（如 0800 指示 IP、0806 指示 ARP 等），它的 值一定是大于 05FF 的，它提供无连 接服务的，本身不控制数据（DATA）的长度，它要求 网络层来确保数据字 段的最小包长度（46 字节）。
以太网数据帧的格式分析
大家都知道我们目前的局域网大多数是以太网， 但以太网有多种标准，其数据帧有多 种格式，恐 怕有许多人不是太清楚，本文的目的就是通过帧 格式和 Sniffer 捕捉的数据包解 码来区别它们。 以太网这个术语一般是指数字设备公司（Digital Equipment）、英特尔公司（Intel）和 施乐公司 （Xerox）在 1982 年联合公布的一个标准（实 际上它是第二版本，第一版本早在 1972 年就在 施乐公司帕洛阿尔托研究中心 PARC 里产生了）。 它是目前 TCP/IP 网络采用的 主要的局域网技术。 它采用一种称作 CSMA/CD 的媒体接入方法，其 意思是带冲突检测的载 波侦听多路接入（Carrier Sense, Multiple Access with Collision Detection）。它的速率为 10Mb/s，地址为 48 bit。