首先应该明白,封装以太帧的位于OSI七层模型的第二层,也就是数据链路层,wireshark可以把完整的以太帧抓起来,我们可以清楚的看到。打开wireshark找到自己ip对应的网卡,点开,随便点一个协议,这里以UDP协议为例子,截图如下
上面:
Frame,
Ethernet II,
Internet Protocol Version 4,
User Datagram Protocol。
分别对应 :
1:以太帧总信息,
2:以太帧头部,
3:IP 数据包,
4:UDP数据包。
他们是有联系的,且看我在下面解释。
第一个解释,Frame 2: 54 bytes on wire (432 bits), 54 bytes captured (432 bits) on interface 0, 这句话的意思就是数据帧号码2,捕获了54字节。也就是435位(一字节等于八位),在interface 0上面,也就是在网卡0上面(一个机器可能有多个网卡)。需要注意的是,以太帧工作在数据链路层,在数据链路层有个MTU的概念,也就是最大传输单元,其实就是下图的Data部分,注意不是以太帧的总长度。任何一个以太帧都不能超过MTU设置的字节数(一般为1500字节),如果超过了,比如IP数据报太大了,就需要对IP数据报进行分片处理。让一个IP数据报分片成为关联的多个IP数据报。
第二个解释,以太帧的包头,在讲解以太帧的时候,先说说以太帧有两种格式。,第一种格式为Ethernet II帧格式,也就是wireshark抓包最容易看到的。第二种为IEEE802.3格式。常用的就是第一种Ethernet II 格式。下面我们把Ethernet II格式的字节结构贴出来看一下,如下图:
这张图片清楚的说明了Ethernet II 的结构信息。先贴个图在解释:
点开Ethernet II 可以清楚的看到里面包含了三个信息,Destination, Source,Type依次对应着结构图上面的DMAC SMAC TYPE 类型,而我们的type类型为IPV4也就是它是一个ip包,版本是v4。这就说明type类型对应的就是这个以太帧的高级层协议,结构图上面还标明了它还可以对应APR协议,也就是说,以太帧即可以与网络层相关联(IP协议),也可以与第二层数据链路层相关联(ARP协议)。然而这里我们对应了IP协议。这就说明以太帧把每层都联系了起来。
下面就说说第三个,ip协议的内容,先上一张IP协议格式图如下:
IP协议的内容还是比较多,我们只拣重点的说出来。首先一个IP数据包包含首部与数据部分(浅蓝色为首部,黄色为数据部分)。数据部分就是要传递的数据。比如TCP协议的数据,UDP协议的数据,这里我们先不讲,先说首部,它是由不可变部分与可变部分来组成的。不可变部分,固定长度,20个字节,也就是上图的前五行,每行从0-31共32位,也就是四个字节。4X5=20个字节,这20个字节是固定不变的,下面我们重点说说这20个字节里面的重点字段。下面我们贴出来wireshark对应的ip结构图如下:
第一个红圈,Header Length,也就是首部的长度,注意0101转换成十进制就是5,然而它不等于说5就是首部的长度,因为它的一个单位代表32位,也就是四个字节。所以5X4=20正好是20个字节,说明这个UDP协议(怎么看出来是UDP协议,请看下面解释。)只有固定的首部,没有多余的那些。另外需要知道,因为首部长度的最小单位就是四个字节,所以当协议有可选字段的时候,会增加填充,直到它是4个字节的整数倍,所以才有了上图IP包的填充图示。然后再说一下total length,也就是这个ip数据包的总长度,首部加上数据部分的长度。最重要的字段就是Protocol,也就是这个IP数据包包含的高层协议,传输层协议,看名字就知道这个我们分析的IP数据包包含的协议为UDP。还有比较重要的两个字段也就是Source 还有Destnation,这里封装了源ip地址也就是我们本机的,还有目标ip,也就是我们将要连接的那个ip地址。
下面我们移步第四个内容UDP协议。先上一张wireshark的UDP图如下:
由于udp的字节结构比较简单,也就四个部分,如上图中圈出来的四个红圈,所以就不贴出来结构图了,下面我来说明一下,这四个字段每个占用16位,也就是两个字节,所以可以确定,UDP的首部固定位8个字节,前两个字节Source Port 表示源端口,也就是本机的UDP端口。Destination Port表示目标主机的端口。然后就是长度,Length,他也是首部加上数据部分的长度,上图位37,37减去首都的长度8,也就是29,表示此udp数据包(或者叫做UDP数据报)的数据部分是29字节。具体是什么,请看下面选中的部分如下图:
选中的部分就是data,我划红线遮挡的是以太帧的目标mac与源mac地址。下面基本上就把这一个以太帧讲完了。
还剩一个以太帧最后一个四个字节的FCS,它主要是做循环冗余校验用的。然而仔细的你可能会发现,以太帧的总长度是71字节,ip数据报的total length是57字节,加上以太帧的报头(6+6+2=14)14字节,57+14=71字节,然而,少了后面的FCS四个字节哪里去了?是不是我们计算错误了?显然我们的计算是正确的,这是因为路由器等硬件吧以太帧的校验做过了,它返回给操作系统的只有前面的部分,FCS没有返回给操作系统,所以wireshark也抓不到后面校验的四个字节,当然,校验错误的以太帧也不会被wireshark所捕获,所以,我们看到的以太帧都是通多校验的正确的以太帧。
