Wireshark包数据格式

Question

我有一台Windows PC，Marvell交换机，Netgear交换机和一台连接在一起的Ubuntu机器（通过Netgear交换机）。

我最近从Windows PC发送一个包到Marvell交换机。我在Wireshark上嗅探这个数据包，但是数据包的字段，即Frame，Ethernet II，802.1Q和Data包含了我不明白的信息，因为它的格式不同。

下面是一个例子 -

Data (42 bytes) 
Data: cf0b0800000100002000079898000b980000ffffffff0000... 
0000 01 50 43 00 00 00 94 de 80 7e 7a fa 91 00 00 00 
0010 40 fa cf 0b 08 00 00 01 00 00 20 00 07 98 98 00 
0020 0b 98 00 00 ff ff ff ff 00 00 00 00 00 00 00 00 
0030 00 00 00 00 00 00 00 00 00 00 00 00 

我需要知道，实际的数据是什么，可能有人建议什么，我需要做的，所以在显示格式的数据是可以理解的。

Answer 1

“框架”不对应您显示的任何数据;它对应捕获文件中的“元数据”，由捕获机制提供。

原始数据包数据是“Data：”行后面的内容。

其中的前14个字节是以太网报头;请参阅IEEE 802.3规范，或者，例如，有关其格式的信息，请参阅the Wikipedia page on the Ethernet frame format。请注意，Wireshark确实是而不是捕获前导或开始帧分隔符，并且通常也不捕获CRC，因此它们不在数据中。

以太网类型字段为91 00，即“QinQ”以太网类型;这意味着它是包含以太网类型字段的4个字节的VLAN（802.1Q）报头的一部分。有关其格式的信息，请参阅IEEE 802.1Q规范或例如the Wikipedia page on 802.1Q。

什么应遵循VLAN头是另一个以太网类型字段，但该类型字段的值是40发，这是不是一个已知的以太网类型，所以Wireshark的可能只是放弃，并表示一切后，40发的“数据”。

因此，该帧可能是格式错误，因为其格式为错误。

Answer 2

我明白它是如何在第一14字节等的目的地和源地址，在它显示协议列中的协议为0x40fa

p.no
1___ 0.000000_ _千兆Byt_7e：7A： fa_ _ MarvellS_00：00：00_ _ 0x40fa__

它不显示数据包在被Wireshark的畸形

我做通过Marvells GUI更改端口的速度，因此更改后生成并捕获该数据包的原因。当我在GUI中选择不同的端口并更改端口速度时，数据包数据实际上会发生变化。

所以我猜这个数据包没有格式错误，而是让Marvell自己的结构不被wireshark识别？

因此，我错误地认为我可能需要从Marvell访问来解码实际数据以查看其结构