2

我有一台 Windows PC、Marvell 交换机、Netgear 交换机和一台 Ubuntu 机器连接在一起(通过 Netgear 交换机)。

我最近从 Windows PC 向 Marvell 交换机发送了一个数据包。我在 Wireshark 上嗅探这个数据包,但是数据包的字段,即帧、以太网 II、802.1Q 和数据,包含我不理解的信息,因为它的格式。

这是一个例子 -

Data (42 bytes)
Data: cf0b0800000100002000079898000b980000ffffffff0000...
0000   01 50 43 00 00 00 94 de 80 7e 7a fa 91 00 00 00
0010   40 fa cf 0b 08 00 00 01 00 00 20 00 07 98 98 00
0020   0b 98 00 00 ff ff ff ff 00 00 00 00 00 00 00 00
0030   00 00 00 00 00 00 00 00 00 00 00 00

我需要知道实际数据是什么,有人可以建议我需要做什么,因此所示格式的数据是可以理解的。

4

2 回答 2

3

“框架”与您显示的任何数据都不对应;它对应于捕获文件中的“元数据”,由捕获机制提供。

原始数据包数据是“数据:”行之后的内容。

其中的前 14 个字节是以太网标头;有关其格式的信息,请参阅 IEEE 802.3 规范,或者,例如,以太网帧格式的 Wikipedia 页面。请注意,Wireshark 不捕获前导码或起始帧分隔符,通常也不捕获 CRC,因此它们不在数据中。

以太网类型字段为91 00,即“QinQ”以太网类型;这意味着它是 VLAN (802.1Q) 标头的一部分,该标头长 4 个字节,包括以太网类型字段。有关其格式的信息,请参阅 IEEE 802.1Q 规范或例如802.1Q 上的 Wikipedia 页面。

VLAN 标头后面应该是另一个以太网类型字段,但该类型字段的值是 40 fa,这不是已知的以太网类型,因此 Wireshark 可能只是放弃并将 40 fa 之后的所有内容显示为“数据”。

所以那个框架可能是格式错误的,因为它的格式是错误的。

于 2013-10-01T17:49:44.347 回答
0

我了解它如何在前 14 个字节等中具有目标地址和源地址,在协议列中它显示协议为 0x40fa

p.no
1___ 0.000000_ _ Giga-Byte_7e:7a:fa_ _ MarvellS_00:00:00_ _ 0x40fa__

它不显示在wireshark中格式错误的数据包

我通过 Marvells GUI 更改了端口的速度,因此在进行更改后生成并捕获了该数据包。当我在 GUI 中选择不同的端口并更改端口速度时,数据包数据实际上会发生变化。

所以我猜数据包不是格式错误,而是有 Marvells 自己的结构,wireshark 无法识别?

因此,我认为我可能需要从 Marvell 访问以解码实际数据以查看其结构是否是错误的

于 2013-10-11T09:45:45.797 回答