用Sniffer抓包分析以太网帧

www.net130.com     日期：20##-6-9    浏览次数：14494
出处：思科 思索

用sniffer抓icmp包来分析。

1。ping 192.168.1.1 -l 0

ping一个ip，指定携带的数据长度为0

抓包分析如图：

从图上的1处我们可以看到这个数据总大小是：60byte
从2处看到ip数据总长度：28byte
ip数据为什么是28byte？
因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的 ，所以icmp里不带额外数据，即：
28＝20＋8
而我们知道以太网类型帧头部是 6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节
以太网帧头部＋ip数据总长度＝14＋28＝42
注意3处标记的，填充了18个字节。
42＋18＝60
刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加上4字节尾部校验，正好等于64！
64恰好是以太类型帧最小大小。

在图中我们还可以看到 这个帧没有分割，flags＝0x，因为不需要分割。

再分析一个
ping 192.168.1.1 -l 64

数据大小106byte
106－14（以太类型帧头部）=92
刚好等于ip部分的显示大小
92－20（ip）－8（icmp头）＝64
刚好等于我们指定的64字节ping 包

以太网帧实际承载数据部分最大为1500，这里面还包含其他协议的报头，所以实际承载数据肯定小于1500，如果ping 192.168.1.1 -l 1500，那么数据必要会被分割，但计算方法还是一样的，只是需要特别注意，后续帧无需包含第一个帧所包含的icmp报头。
所以第一个帧的大小会是 1500（实际数据部分大小，含ip和icmp报头）＋14（以太类型帧头部）＝1514，在第一个帧里实际携带了多少数据的是1500－20（IP 报头）－8（icmp报头）＝1472，剩余28bytes数据会在后续帧中
后续帧大小：14（以太类型头）＋20（ip头）＋28（实际数据）＝62
注意上面的计算我们都不计算尾部4字节校验的。可以实际抓包验证上面的分析。

 

第二篇：sniffer 抓包分析

Tcp协议的数据包

GET / HTTP/1.1（“GET”表示我们所使用的HTTP动作，其他可能的还有“POST”等，GET的消息没

有消息体，而POST消息是有消息体的，消息体的内容 就是要POST的数据，

HTTP1.1表示使用的是HTTP1.1协议）

Accept: */* （什么都接收）

Accept-Language: zh-cn （接受的语言形式）

Accept-Encoding: gzip, deflate （代表本地可以接收压缩格式的数据）

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CIBA; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; .NET CLR 2.0.50727) （本机信息）

Host: 210.43.0.10 （请求的主机IP地址）

Connection: Keep-Alive (表示使用Keep-Alive方式，即数据传递完并不立即关闭连接)

Cookie: ASPSESSIONIDACSSDCBR=APMJMJMAIGOGBOAPIBPMDGGL （cookie信息，用于记录用户在该网

站的浏览足迹）

HTTP/1.1 200 OK （ “HTTP/1.1”表示所使用的协议，后面的“200 OK”是HTTP返回代码，200

就表示操作成功，还有其他常见的如404表示对象未找到，500表示服务器

错误，403表示不能浏览目录等）

Date: Sun, 05 Jun 2011 06:00:24 GMT （处理此请求的时间）

Server: Microsoft-IIS/6.0 （主机服务器版本）

X-Powered-By: ASP.NET （ASP.Net的一个附加提示，没什么实际用处）

Content-Length: 22876 （表示消息体的长度，从空行以后的内容算起，以字节为单位，浏览

器接收到它所指定的字节数的内容以后就会认为这个消息已经被

完整接收了）

Content-Type: text/html （浏览器 会根据它来决定如何处理消息体里面的内容，例如这里

是text/html，那么浏览器就会启用HTML解析器来处理它，如果

是image/jpeg，那么 就会使用JPEG的解码器来处理）

Cache-control: private （当指定cache-control的值为private、no-cache、must-revalidate，那么打开新窗口访问时都会重新访问服务器）

（以下为所得网页 数据，由于太多省略中间body部分）

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"

"/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=gb2312" />

<title>..............Henan University of Science and Technology</title>

<meta

content="HAUST,............,........,......,....,..................,................,..................,................,....................,....................,........,........,..........,www." name="Keywords"/>

<meta content="............................................" name="Description"/> <meta http-equiv="X-UA-Compatible" content="IE=EmulateIE7" />

<link href="/2010/images/style.css(样式)" rel="stylesheet" type="text/css"> </head>

<body>

</body>

</html>

ftp协议的数据包

TCP 192.168.2.153 192.168.2.154 2975 21

节 2011/6/5 13:58:59:468 2011/6/5 13:58:59:843

noop

200 NOOP command successful.

CWD /

250 CWD command successful.

TYPE A

200 Type set to A.

PASV

227 Entering Passive Mode (192,168,2,154,8,133).

LIST

125 Data connection already open; Transfer starting.

226 Transfer complete.

ftp 13 240 字节 806 字

TCP 192.168.2.153 192.168.2.154 2986 2181

节 2011/6/5 13:58:59:468 2011/6/5 13:58:59:468

12-19-09 03:36PM <DIR> Adobe PDF 5 219 字节 678 字

06-05-11 01:51PM 57309 ha_smartsniff1.71_lewen.rar

12-24-08 01:22PM <DIR> My Music

12-24-08 01:21PM <DIR> My Pictures

Udp协议数据包

UDP

节 372 字节 192.168.2.153 210.43.0.8 50502 53 2011/6/5 14:02:32:468 2011/6/5 14:02:32:468 domain 2 257 字 00000000 12 E3 01 00 00 01 00 00 00 00 00 00 03 77 77 77 ........ .....www 00000010 05 62 61 69 64 75 03 63 6F 6D 00 00 01 00 01 .baidu.c om..... (向目的网站发送请求)

00000000 12 E3 81 80 00 01 00 03 00 04 00 04 03 77 77 77 ........ .....www 00000010 05 62 61 69 64 75 03 63 6F 6D 00 00 01 00 01 C0 .baidu.c om...... 00000020 0C 00 05 00 01 00 00 00 00 00 0F 03 77 77 77 01 ........ ....www. 00000030 61 06 73 68 69 66 65 6E C0 16 C0 2B 00 01 00 01 a.shifen ...+.... 00000040 00 00 02 53 00 04 3D 87 A9 69 C0 2B 00 01 00 01 ...S..=. .i.+.... 00000050 00 00 02 53 00 04 3D 87 A9 7D C0 2F 00 02 00 01 ...S..=. .}./.... 00000060 00 00 2D 55 00 06 03 6E 73 36 C0 2F C0 2F 00 02 ..-U...n s6././.. 00000070 00 01 00 00 2D 55 00 06 03 6E 73 32 C0 2F C0 2F ....-U.. .ns2././ 00000080 00 02 00 01 00 00 2D 55 00 06 03 6E 73 34 C0 2F ......-U ...ns4./ 00000090 C0 2F 00 02 00 01 00 00 2D 55 00 06 03 6E 73 35 ./...... -U...ns5 000000A0 C0 2F C0 78 00 01 00 01 00 00 00 A6 00 04 7B 7D ./.x.... ......{} 000000B0 71 42 C0 8A 00 01 00 01 00 00 00 6A 00 04 7B 7D qB...... ...j..{} 000000C0 71 43 C0 9C 00 01 00 01 00 00 00 51 00 04 DC B5 qC...... ...Q.... 000000D0 03 B2 C0 66 00 01 00 01 00 00 00 C7 00 04 DC B5 ...f.... ........ 000000E0 04 B2 ..