Wireshark数据包'数据'格式

时间:2013-10-01 13:47:35

标签: wireshark

我将Windows PC,Marvell开关,Netgear开关和Ubuntu机器连接在一起(通过Netgear开关)。

我最近从Windows PC向Marvell交换机发送了一个数据包。我在Wireshark上嗅探这个数据包但是数据包的字段,即Frame,Ethernet II,802.1Q和Data,包含我因其格式而无法理解的信息。

这是一个例子 -

Data (42 bytes)
Data: cf0b0800000100002000079898000b980000ffffffff0000...
0000   01 50 43 00 00 00 94 de 80 7e 7a fa 91 00 00 00
0010   40 fa cf 0b 08 00 00 01 00 00 20 00 07 98 98 00
0020   0b 98 00 00 ff ff ff ff 00 00 00 00 00 00 00 00
0030   00 00 00 00 00 00 00 00 00 00 00 00

我需要知道实际数据是什么,有人可以建议我需要做什么,所以显示格式的数据是可以理解的。

2 个答案:

答案 0 :(得分:3)

“框架”与您显示的任何数据都不对应;它对应于捕获文件中的“元数据”,由捕获机制提供。

原始数据包数据是“数据:”行之后的内容。

前14个字节是以太网头;有关其格式的信息,请参阅IEEE 802.3规范,或者,例如the Wikipedia page on the Ethernet frame format。请注意,Wireshark 捕获前导码或起始帧定界符,并且通常也不捕获CRC,因此它们不在数据中。

以太网类型字段为91 00,即“QinQ”以太网类型;这意味着它是VLAN(802.1Q)标头的一部分,长度为4个字节,包括以太网类型字段。有关其格式的信息,请参阅IEEE 802.1Q规范,或者,例如the Wikipedia page on 802.1Q

应该遵循VLAN标头是另一个以太网类型字段,但该类型字段的值是40 fa,这不是已知的以太网类型,因此Wireshark可能只是放弃并显示所有内容在40 fa之后作为“数据”。

因此该框架可能格式错误,因为其格式为错误

答案 1 :(得分:0)

我理解它如何在前14个字节中有目的地和源地址等,在协议列中它显示协议为0x40fa

p.no
1___ 0.000000_ _ Giga-Byt_7e:7a:fa_ _ MarvellS_00:00:00_ _ 0x40fa __

它不会在wireshark中显示要格式错误的数据包

我通过Marvells GUI更改了端口的速度,因此在进行更改后生成并捕获了该数据包的原因。当我在GUI中选择不同的端口并更改端口速度时,数据包数据实际上会发生变化。

所以我猜这个数据包没有格式错误,而是让Marvells自己的结构无法被wireshark识别?

因此,我认为我可能需要从Marvell访问解码实际数据以查看其结构,这是错误的