以太网帧(Ethernet frame),是符合以太网标准的链路层协议数据单元:
数据在使用物理层进行传输之前,最后一个处理的数数据链路层,在数据链路层上的数据类型,就是安照下面的以太网帧的格式进行组织数据,不管什么协议到这儿,都是
以太网帧+以太网帧数据。 以太网帧里面的负载数据是什么并不和本层次的传输造成什么影响。
以太网帧格式
:前导码(7 Bytes)、帧起始定界符(1 Bytes)、目的地址(6 Bytes)、源地址(6 Bytes)、类型/长度(2 Bytes)、数据和填充字段(48~1500 Bytes)、帧校验序列(4 Bytes)。如图所示:
使用wireshark抓数据包抓取的,即是以以太网帧为单位的 一帧帧数据,前面的 前导码和帧起始界定符,作为 以太网帧的界限分割,所以用wireshark抓到的包,应该是用这个来区分一帧帧数据的,存储的 pcap pcapng文件并没没有把这个 8字节保存下来。
然后其他的基于以太网的协议,都是作为以太网的 负载内容,被填充到以太网帧中进行传输。
关于wireshark 存取的pcap 文件格式的解析,参考:
https://blog.csdn.net/ytx2014214081/article/details/80112277
以太网帧:
用wireshark抓取一个包:
wireshark以一帧以太网包的形式记录数据,点开看到的是,第一个 为帧信息的总览,这个双击并不会和对应的文件数据高亮显示,真正以太网帧数据内容,在后面的Ethernet II.
根据以太网帧的格式,可以看到 dst mac, src mac, 和
负载的 type =0x0800
即IP协.(并非一定要用IP协议,比如IEEE1722音视频传输协议(AVTP),就是在以太网帧的下一层,没有用IP协议)
IP协议头:
根据ip协议格式,得知下一层为
TCP协议头
https://blog.csdn.net/qq_29344757/article/details/78633013
重新挑选一帧
UDP协议
分析: