sniffer和科来比较

caojq9902 · 发表于 2007-8-22 14:52:57

这两天一直在学习ICMP重定向数据包，自己私下了构造了一个数据包，数据包的结构为
------------------------------------------------------------------------------------------------------------
MAC编码 | IP报头 | ICMP重定向报头 | IP报头 | ICMP ECHO回显报头
-------------------------------------------------------------------------------------------------------------

当把这个结构的数据包发送出去后，使用Sniffer 截获数据包，其数据包形式如图5.6.7所示
在图6中，最后的一段话"First 8 byte(s) of data of originating message"，本来应该显示为ICMP echo回显的结构，但是没有能显示出来。

而同样发送相同的数据包，用科来截获分析，其数据包形式如图1.2.3.4所示
图4清晰的可以看到最上层的ICMP ECHO 回显被正确解析出来。

在这里想问各位高手们，这种情况是数据包格式的不合法，还是Sniffer的解析存在Bug
但是在网上我看到有同样类型的数据包，sniffer被正确解析出来。

[ 本帖最后由 caojq9902 于 2007-8-22 14:56 编辑 ]

caojq9902 · 发表于 2007-8-22 15:16:44

这个同样的数据包Sniffer和科来解析不相同

菜鸟人飞 · 发表于 2007-8-23 10:01:17

首先，数据包是肯定合法的。
对于数据包的合法与否，一般是判定数据链路层的信息，如果上层的内容不合法，分析软件会认为自己不能分析，而将其认为额外数据。

其次，这些数据包在科来和Sniffer的解码差异，其实本质是没有区别的，只是二者解码的程序不同而已。

要确定原始数据是否存在并异，请查看16进制解码。根据楼主提供的文件，从科来和Sniffer中的16进制结果，完全一致，没有任何区别。

现在的区别在于二者的字段解码存在区别，科来将重定向数据包的最上层（这里是ICMP）一起解析出来，而Sniffer仅解析到IP协议，最上层的使用“First 8 byte(s) of data of originating message”字样替换。

楼主用的Sniffer是什么版本，我这儿用的是4.75，如果是更高版本，其解码结果可能存在差异。

caojq9902 · 发表于 2007-8-23 12:09:43

我用的是4.70的版本。
在网上看到有类似的数据包，就是仿照那个结构构造的数据包，但是那个上面比较正确的解析出来了，所以怀疑是不是自己的格式还是有一些问题。
下面提供那个数据包的解析图片。

图片无法显示，所以提供一个链接，忘斑竹指导，呵呵！

http://hi.baidu.com/wenjunjie/bl ... efb3dcd0006032.html

[ 本帖最后由 caojq9902 于 2007-8-23 12:12 编辑 ]

haiwanxue · 发表于 2007-8-23 14:35:03

跟修改格式有关系跟版本貌似也有关系
因为sniffer pro 4.75解码icmp没有问题

sniffer protable 4.9解码如下:

菜鸟人飞 · 发表于 2007-8-23 16:54:31

caojq9902这个数据包是怎么构造的呢？
是拿其它数据包更改，还是自己手动写的？

如果是更改，更改前sniffer pro的解码正常吗？

菜鸟人飞 · 发表于 2007-8-23 17:05:57

caojq9902 · 发表于 2007-8-24 09:05:08

哦，谢谢斑竹和haiwanxue
这个数据包是我自己构造出来的，呵呵
既然Sniffer4.9可以解码，就应该没有什么问题，
非常感谢，哈哈

sniffer和科来比较

评分

在提供一个数据包

4.7.5不能正常解码，4.9和科来6.4可以正常解码