3)头信息分析
如下图左栏所示,第1数据包包含了两个头信息:以太网(Ethernet)和ARP。
图10
下表2是以太网的头信息,括号内的数均为该字段所占字节数,以太网报头中的前两个字段是以太网的源地址和目的地址。目的地址为全1的特殊地址是广播地址。电缆上的所有以太网接口都要接收广播的数据帧。两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0806。
第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是1号机的(00 50 FC 22 C7 BE)。ARP应答是直接送到请求端主机的。
|
行 |
以太网目的地址(6) |
以太网源地址(6) |
帧类型(2) |
|
1 |
FF FF FF FF FF FF |
00 50 FC 22 C7 BE |
08 06 |
|
2 |
00 50 FC 22 C7 BE |
00 90 27 F6 54 53 |
08 06 |
表2
下表3是ARP协议的头信息。硬件类型字段表示硬件地址的类型。它的值为1即表示以太网地址。协议类型字段表示要映射的协议地址类型。它的值为0800即表示IP地址。它的值与包含IP数据报的以太网数据帧中的类型字段的值相同。接下来的两个1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。Op即操作(Opoperation),1是ARP请求、2是ARP应答、3是RARP请求和4为RARP应答,第二行中该字段值为2表示应答。接下来的四个字段是发送端的硬件地址、发送端的IP地址、目的端的硬件地址和目的端IP地址。注意,这里有一些重复信息:在以太网的数据帧报头中和ARP请求数据帧中都有发送端的硬件地址。对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。
表3的第2行为应答,当系统收到一份目的端为本机的ARP请求报文后,它就把硬件地址填进去,然后用两个目的端地址分别替换两个发送端地址,并把操作字段置为2,最后把它发送回去。
|
行 |
1 |
2 |
| 硬件类型(2) |
00 01 |
00 01 |
| 协议类型(2) |
08 00 |
08 00 |
| 硬件地址长度(1) |
06 |
06 |
| 协议地址长度(1) |
04 |
04 |
| Op(2) |
00 01 |
00 02 |
| 发送端以太网地址(6) |
00 50 FC 22 C7 BE |
00 90 27 F6 54 53 |
| 发送端IP地址(4) |
C0 A8 71 D0 |
C0 A8 7101 |
| 目的以太网地址(6) |
00 00 00 00 00 00 |
00 50 FC 22 C7 BE |
| 目的IP地址(4) |
C0 A8 71 01 |
C0 A8 71 D0 |
表3
本文中我们推出了用协议分析工具IRIS学习TCP/IP协议的上半部份,剩下的内容我们将在下半部份中一起推出。
