概念
協議分析(Protocol analysis)對一個程序或設備是解碼網絡協議頭部和尾部來了解這個數據和在分組內部由一個協議壓縮的信息的過程。爲了管理協議分析,分組必須被實時捕獲用於線路速度分析或隨後分析。這樣的程序或設備被叫做一個協議分析器。常見的協議分析軟件:windows下有sniffer、科來網絡分析系統。unix類操作系統下比較出名的有wireshark。
ARP協議分析
ARP(Address Resolution Protocol,地址解析協議)是獲取物理地址的一個TCP/IP協議。某節點的IP地址的ARP請求被廣播到網絡上後,這個節點會收到確認 其物理地址的應答,這樣的數據包才能被傳送出去。RARP(逆向ARP)經常在無盤工作站上使用,以獲得它的邏輯IP地址。OSI 模式把網絡工作分爲七層,彼此不直接打交道,只通過接口(layer interface). IP地址在第三層, MAC地址在第二層。協議在發送數據包時,得先封裝第三層(IP地址),第二層(MAC地址)的報頭, 但協議只知道目的節點的IP地址,不知道其MAC地址,又不能跨第二、三層,所以得用ARP的服務。
ppp協議分析
PPP(Point to Point Protocol,點對點協議)協議是爲在兩個對等實體間傳輸數據包,建立簡單連接而設計的。這種連接提供了同時的雙向全雙工操作,並且假定數據包是按順 序投遞的。PPP協議還滿足了動態分配IP地址的需要,並能夠對上層的多種協議提供支持。PPP在TCP/IP協議集中是位於數據鏈路層的協議,其物理實 現方式有兩種:一種是通過以太網口(這時稱之爲PPPoE,即PPP over Ethernet),另一種就是利用普通的串行接口。
PPP 封裝用於消除上層多種協議數據包的歧義,加入幀頭、幀尾, 使之成爲互相獨立的串行數據幀。PPP 採用HDLC 的組幀格式,它是面向字符的。在完整的PPP 幀中,幀頭由幀開始標記、地址域、控制域、協議域組成,幀尾由校驗域、幀結束標記組成。
PPP主要由以下幾部分組成
封裝:一種封裝多協議數據報的方法。PPP 封裝提供了不同網絡層協議同時在同一鏈路傳輸的多路複用技術。PPP 封裝精心設計,能保持對大多數常用硬件的兼容性,克服了SLIP不足之處的一種多用途、點到點協議,它提供的WAN數據鏈接封裝服務類似於LAN所提供的封閉服務。所以,PPP不僅僅提供幀定界,而且提供協議標識和位級完整性檢查服務。
鏈路控制協議:一種擴展鏈路控制協議,用於建立、配置、測試和管理數據鏈路連接。
網絡控制協議:協商該鏈路上所傳輸的數據包格式與類型,建立、配置不同的網絡層協議。
配置:使用鏈路控制協議的簡單和自制機制。該機制也應用於其它控制協議,例如:網絡控制協議(NCP)。
爲了建立點對點鏈路通信,PPP 鏈路的每一端,必須首先發送 LCP 包以便設定和測試數據鏈路。在鏈路建立,LCP 所需的可選功能被選定之後,PPP 必須發送 NCP 包以便選擇和設定一個或更多的網絡層協議。一旦每個被選擇的網絡層協議都被設定好了,來自每個網絡層協議的數據報就能在鏈路上發送了。
PPP幀封裝格式
Ethernet II協議簡介
以太網是當今現有局域網採用的最通用的通信協議標準。該標準定義了在局域網中採用的電纜類型和信號處理方法。Ethernet II由DEC,Intel和Xerox在1982年公佈其標準,Etherent II主要更改了Ethernet I的電氣特性和物理接口,在幀格式上並無變化。Etherent II採用CSMA/CD的媒體接入和廣播機制。
Ethernet II報頭詳解
Ethernet II協議報頭結構每個字段的詳細解釋如下:
1、目標地址:此數據包的目標MAC地址。
2、源地址:此數據包的源MAC地址。
3、協議類型:上層協議,表示網絡層使用的協議。
4、數據:高層協議、數據和填充符,範圍在46~1500字節。
5、FCS:數據幀校驗序列,用於確定數據包在傳輸過程中是否損壞。
實驗分析