Hogyan olvashatjuk és értelmezhetjük megfelelően a csomagokat megfelelően a wireshark használata nélkül?
Most az Ethernet fejlécéből Tudom, hogy a Destination MAC címnek az 5. bájtnál kell lennie (a bitek / bájtok konvertálása után). Tehát ezekből az adatokból azt gondoltam, hogy ez 4a-tól kezdődik. A valóságban azonban “s 00:17:f2:d0:4c:82
.
Ugyanez vonatkozik az IP forrás céljára is. Például a forrásnak 13-16 bájtnak kell lennie. az olvasmányokat, azt hiszem, 0800
-nek kellene lennie. De a valóságban 0a 32 e7 85
-en van, de nem értem miért? Csak nem értem, hogyan kell ezeket az adatokat helyesen értelmezni, vagy tévesen értem az általános fejlécszerkezetet.
https://ntquan87.wordpress.com/2015/08/17/reading-packet-hex-dumps-manually-no-wireshark/
Válasz
Azt hiszem, hogy amit lát, az egy 2. szintű Ethernet keret, ezért hiányzik a preambulum. Úgy tűnik, hogy hiányzik az Ethernet ellenőrző összeg sem. Ebben az esetben úgy tűnik, hogy minden felsorakozik (a csomag típusa az Ethernet kereten belül, az IPv4 verzió, az IPv4 csomag hossza, a csomag típusa, azaz a TCP, az IP csomag belsejében, …). Ezután elolvassa a csomagját, mint a képen.
A TCP hasznos terhe
474554202f20485454502f312e300d0a 557365722d4167656e743a2057676574 2f312e31312e340d0a4163636570743a 202a2f2a0d0a486f73743a207777772e 696574662e6f72670d0a436f6e6e6563 74696f6e3a204b6565702d416c697665 0d0a0d0a
, és dekódolja:
GET / HTTP/1.0 User-Agent: Wget/1.11.4 Accept: */* Host: www.ietf.org Connection: Keep-Alive
ami összhangban áll azzal a ténnyel, hogy a célport 80.
Megjegyzések
- Mivel tévesen cseréltem a címkéket a forrás és a cél helyére. Rossz. Frissítettem a képet. Nincs ellenőrző összeg, mert az IPv4 fejlécek azt mondják, hogy az IPv4 csomag 152 bájt hosszú, vagyis pontosan az adatai végén ér véget. Könnyen láthatja, hogy az összes utolsó bájt a hasznos teher egy része dekódolt verziójukkal (ez ' s egy HTTP GET kérést jelent).
- nem ' nem tudom, honnan veszed ' ezeket a számokat. Az Ethernet hasznos terhelés (IPv4 csomag) a 15. bájttól kezdődik. Lásd: hu .wikipedia.org / wiki / Ethernet_frame . Az I Pv4 csomag, hossza a 3. és a 4. bájtban van. Lásd: hu.wikipedia.org/wiki/IPv4#Packet_structure . Ezért a hossza 0x0098 (hexadecimális értékben), azaz 152 bájt. Ez a teljes IPv4 csomag hossza (a képen látható kék szegéllyel rendelkező doboz).
- Megértettem, honnan ' honnan kapja a számokat: rosszul olvassa az ábrát, amelyet rosszul tett közzé! Az Ethernet célcím hossza nem 32 bit! ' s 48 bit = 6 bájt … a diagramban a " cél MAC-cím " mező nem végződik a második sor végén, de a harmadik sorban is folytatódik (a fehér mezőben, amíg a " | " elválasztó). Ugyanez vonatkozik a forráscímre is (amely a harmadik sor üres helyéből indul és a negyedik sorban ér véget). Javaslom egy kevésbé zavaros diagram használatát …
- Nem tudom ', hogy a válaszaiban miért cserélik fel a forrás és a cél mac címét. Ez jó kérdésnek tűnik annak, aki megadta a válaszokat … Az IP-csomagot illetően nem tudom, ' miért nem akarom eltávolítani az IP-fejlécek ellenőrző összegét? Ábráiból pontosan 12 bájt van az IP-csomagban a " Forráscím " mező előtt. Ez pontosan megegyezik az ábrámmal.
- Az alkalmazásréteg protokollja HTTP . A zászlók binárisan 000011000 értékre vannak állítva. Ha megnéz egy zászlókat , akkor ' meglátja, hogy az 5. és a 6. zászló (megfelel a készletnek bitek) az ACK és a PSH.