以太网数据帧解码

以太网数据帧解码

先了解数据链路层的数据构成(数据链路层会在包头和包尾添加数据,这里仅介绍包头的数据)。数据链路层数据由6位目标MAC地址,6位源MAC地址以及2位的下层协议标识组成。
数据帧头的数据结构如下:

typedef struct EthernetHdr_ {
  uint8_t eth_dst[6]; // 目标 MAC 地址
  uint8_t eth_src[6]; // 源 MAC 地址
  uint16_t eth_type;  // 上层协议类型
} __attribute__((__packed__)) EthernetHdr;

获取数据链路层数据

suricata 数据进入decode-ethernet.c中的DecodeEthernet()进行数据帧的解码,检查数据包长度后记录数据链路层数据头指针(解码数据包未新开辟空间,而是通过构造相应的结构体,在需要使用相应数据时使用结构体数据偏移取出数据)。

// 解析链路层数据
p->ethh = (EthernetHdr *)pkt;
if (unlikely(p->ethh == NULL))
  return TM_ECODE_FAILED;

p为Package,用于保存数据包相应的数据,但是具体的生命周期不知道是多少。在package中保存了部分数据。

选择剩余数据的解码方式

在数据链路层数据的最后有下层协议的标识,通过标识我们可以使用对应的函数来对后面数据进行进一步解码。

switch (ntohs(p->ethh->eth_type)) {
  case ETHERNET_TYPE_IP:
    //printf("DecodeEthernet ip4\n");
    DecodeIPV4(tv, dtv, p, pkt + ETHERNET_HEADER_LEN,
                len - ETHERNET_HEADER_LEN, pq);
    break;
  case ETHERNET_TYPE_IPV6:
    //printf("DecodeEthernet ip6\n");
    DecodeIPV6(tv, dtv, p, pkt + ETHERNET_HEADER_LEN,
                len - ETHERNET_HEADER_LEN, pq);
    break;
  case ETHERNET_TYPE_PPPOE_SESS:
    //printf("DecodeEthernet PPPOE Session\n");
    DecodePPPOESession(tv, dtv, p, pkt + ETHERNET_HEADER_LEN,
                        len - ETHERNET_HEADER_LEN, pq);
    break;
  case ETHERNET_TYPE_PPPOE_DISC:
    //printf("DecodeEthernet PPPOE Discovery\n");
    DecodePPPOEDiscovery(tv, dtv, p, pkt + ETHERNET_HEADER_LEN,
                          len - ETHERNET_HEADER_LEN, pq);
    break;
  case ETHERNET_TYPE_VLAN:
  case ETHERNET_TYPE_8021QINQ:
    DecodeVLAN(tv, dtv, p, pkt + ETHERNET_HEADER_LEN,
                len - ETHERNET_HEADER_LEN, pq);
    break;
  case ETHERNET_TYPE_MPLS_UNICAST:
  case ETHERNET_TYPE_MPLS_MULTICAST:
    DecodeMPLS(tv, dtv, p, pkt + ETHERNET_HEADER_LEN,
                len - ETHERNET_HEADER_LEN, pq);
    break;
  case ETHERNET_TYPE_DCE:
    if (unlikely(len < ETHERNET_DCE_HEADER_LEN)) {
      ENGINE_SET_INVALID_EVENT(p, DCE_PKT_TOO_SMALL);
    } else {
      DecodeEthernet(tv, dtv, p, pkt + ETHERNET_DCE_HEADER_LEN,
                      len - ETHERNET_DCE_HEADER_LEN, pq);
    }
    break;
  default:
    SCLogDebug("p %p pkt %p ether type %04x not supported", p,
                pkt, ntohs(p->ethh->eth_type));
}
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,290评论 6 491
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,107评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,872评论 0 347
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,415评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,453评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,784评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,927评论 3 406
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,691评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,137评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,472评论 2 326
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,622评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,289评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,887评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,741评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,977评论 1 265
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,316评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,490评论 2 348

推荐阅读更多精彩内容