报文字段说明

802.3
Des MAC ：目的地址字段确定帧的接收者。两个字节的源地址和目的地址可用于IEEE802.3网络，而6个字节的源地址和目的地址字段既可用于Ethernet II网络又可用于IEEE802.3网络。目前，几乎所有的802.3网络使用6字节寻址。
Src MAC ：源地址字段标识发送帧的工作站。和目前地址字段类似，源地址字段的长度可以是两个或六个字节。当使用六个字节的源地址字段时，前三个字节表示由IEEE分配给厂商的地址，将烧录在每一块网络接口卡的ROM中。而制造商通常为其每一网络接口卡分配后字节。
Type ：类型字段取值为十六进制0800的帧将被识别为IP协议帧，而类型字段取值为十六进制8137的帧将被识别为IPX和SPX传输协议帧。

IP
4bit版本号：目前是4，标示IPv4
4bit首部长度：目前值为5，最长可表示60字节。（4字节对齐，4*15）
8bit TOS:3bit优先权，目前废弃。4bitTOS字段。1bit未用，但必须置0。4bitTOS：最小延时、最大吞吐量、最高可靠性、最小费用。
16bit 总长度：整个IP数据报长度，头 + data
16位标识:标识第几个IP包。
3位标志： 保留位： 1位 。 DF字段：1位，取值：0（允许数据报分段）、1（数据报不能分段）。MF字段：1位，取值：0（数据包后面没有包，该包为最后的包）、1（数据包后面有更多的包）。
13位片偏移：占13位。片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。
片偏移以8个字节为偏移单位。这就是说，每个分片的长度一定是8字节（64位）的整数倍。
8位TTL ： 生存时间，初始位32或64，初始为64。每经过一个处理它的路由，值减1，值为0时候，报文被丢弃并发送ICMP报文通知源主机。
8位协议类型：协议字段指出此数据报携带的数据是使用何种协议(上层协议)，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。协议可包括TCP、UDP、ICMP、IGMP和OSPF等。1=ICMP、2=IGMP、6=TCP、17=UDP、89=OSPF。
16位首部检验和：
首部检验和字段是根据I P首部计算的检验和码。
它不对首部后面的数据进行计算。
I C M P、I G M P、U D P和T C P在它们各自的首部中均含有同时覆盖首部和数据检验和码。
为了计算一份数据报的I P检验和，首先把检验和字段置为0。然后，对首部中每个16 bit 进行二进制反码求和（整个首部看成是由一串16 bit的字组成），结果存在检验和字段中。
当收到一份I P数据报后，同样对首部中每个16 bit 进行二进制反码的求和。
由于接收方在计算过程中包含了发送方存在首部中的检验和，因此，如果首部在传输过程中没有发

生任何差错，那么接收方计算的结果应
该 为全1。
如果结果不是全1（即检验和错误），那么I P就丢弃收到的数据报。但是不生成差错报文，由上层去发现丢失的数据报并进行重传。

UDP
16bit源端口号 、16bit目的端口号 ：源端口和目的端口字段为16比特的UDP协议端口号，其中源端口是可选的，目的端口必须填写。若源端口不选，则取值为0。
16bitUDP长度 ：长度字段记录UDP数据报的总长度，包括UDP首部和用户数据。长度以八位组为单位。
16bitUDP检验和 ：与IP检验和不同，UDP检验和是覆盖UDP首部和UDP数据的。
UDP检验和是一个端到端的检验和，它由发送端计算、接收端验证，目的是为发现UDP首部和数据在发送端到接收端之间发生的任何改动。

CAPWAP
CAPWAP Preamble ：8位预判码 00
HLEN ：5位首部长度 16
RID ：5位射频标识 0
WBID ：5位无线帧标识（0-Reserved、1-802.11、2-EPCGlobal） 1
T ：1位数据帧标识（0-802.3帧、1-WBID指明类型） 1
F ：1位分组结束标志（1-CAPWAP报文分组，需要和其他分组重组完成的报文）0
L ：1位分组标志（值为1时，此报文位分组最后一个报文） 0
W ：1位选项标志（1-存在wireless Specific Information） 1
M ：1位选项标志（1-存在Radio MAC Address）0
K ：1位存活标志（指明此报文中用于保持连接存活，不能携带用户数据） 0
Flags ：3位预留标志 0
Fragment ID ：16位分组标识，识别不同的报文分组，ID相同的分组属于同一CAPWAP报文分组 0
Fragment Offset ：13位分组位移，各分组在该CAPWAP报文中的位置 0
Reserved ：3位预留码 0
Radio MAC Address ：32位射频MAC地址，不足32位的以全0填充。（源）
Wireless Specific IInfomation：32位特殊无线信息，不足32位的以全0填充，包含特殊信息。如与IEEE802.11、IEEE802.11b还有EPCGlobal的关联。

802.11
Frame control ：下面说明
Duration ID : 表示下一个要发送的帧可能要持续的时间
Address 1 : 物理接收者
Address 2 : 物理发送者
Address 3 : 逻辑发送者
Sequence control : 序列号用来过滤掉重复的帧
Address 4 : 逻辑接收者

Frame control （bit）
| 2 | 2 | 4 | 1 | 1 | 1 | 1 |

1 | 1 | 1 | 1 |
| Protrol version | Type | SubType
| ToDS | FromDS | MoreFrag | Retry | Pwr Mgt | More Data | Protected Frame | Order |

toDS fromDS Address1 Address2 Address3 Address4
ad hoc 0 0 DA SA BSSID --
接受自AP 0 1 DA BSSID SA --
发送至AP 1 0 BSSID SA DA --
DS内部 1 1 RAP TAP DA SA

1 Protocol Version（协议版本）：通常为0；
l Type（类型域）和Subtype（子类型域）：共同指出帧的类型；
l To DS：表明该帧是BSS向DS发送的帧；
l From DS：表明该帧是DS向BSS发送的帧；
l More Frag：用于说明长帧被分段的情况，是否还有其它的帧；
l Retry（重传域）：用于帧的重传，接收STA利用该域消除重传帧；
l Pwr Mgt（能量管理域）：为1：STA处于power_save模式，0：处于active模式；
l More Data（更多数据域）：为1：至少还有一个数据帧要发送给STA ；
l Protected Frame：为1：帧体部分包含被密钥套处理过的数据；否则：0；
l Order（序号域）：为1：长帧分段传送采用严格编号方式；否则：0。
2）Duration/ID（持续时间/标识）：表明该帧和它的确认帧将会占用信道多长时间；对于帧控制域子类型为：Power Save-Poll的帧，该域表示了STA的连接身份（AID, Association Indentification）；
3）Address（地址域）：源地址（SA）、目的地址（DA）、传输工作站地址（TA）、接收工作站地址（RA），SA与DA必不可少，后两个只对跨BSS的通信有用，而目的地址可以为单播地址（Unicast address）、多播地址（Multicast address）、广播地址（Broadcast address）；
4）Sequence Control（序列控制域）：由代表MSDU（MAC Server Data Unit）或者MMSDU（MAC Management Server Data Unit）的12位序列号（Sequence Number）和表示MSDU和MMSDU的每一个片段的编号的4位片段号组成（Fragment Number）。

802.2LLC
1字节dsap;目的服务存取点（DSAP） DSAP只有一个字节，用来确定目的工作站的接收过程。
1字节ssap;来源服务存取点（SSAP） SSAP是一个字节，用来确定来源工作站的发送过程。
1字节cmd; 控制 控制域有一个字节，用于存放各种控制信息，并识别LLC帧的类型。
3字节org_code;数据 这个域包含来自上一层的数据。在802.3以太网帧中的数据长度必须在43到1497个字节之间。
2字节ether_type;

===========================================================================================================================================================
目的地址&源地址：48bit，6字节。
长度：指它后序数据的字节长度（不包括CRC码）。
DSAP：目的

服务访问点，值为0xaa。
SSAP：源服务访问点，值为0xaa。
Ctrl：值置为3。
Org code：3位均置为0。
类型：与
以太网类型字段作用相同。由SNAP的首部给出。0800为IP，0806为ARP，8035为RARP。
CRC：用于帧内后续字节差错的循环冗余校验。
===========================================================================================================================================================

ARP请求过程
arp帧格式
| 6 | 6 | 2 | 2 | 2 | 1 | 1 | 2 | 6 | 4 | 6 | 4 |
---------------------------------------------------------------------------------------------------------------------------------------------------------
| Des MAC | Src MAC | framble type | HType | PType | Haddress Len | PAddress Len | op | Src send MAC | Src send IP | Des send MAC | Des send IP |
| | | 0x0806 arp | | 0x0800 ip |

HType硬件类型：指明硬件的类型，以太网是1。
PType协议类型：指明发送者映射到数据链路标识的网络层协议的类型；IP对应0x0800。
Haddress Len 硬件地址长度：也就是MAC地址的长度，单位是字节，这里是6。
PAddress Len 协议地址长度：网络层地址的长度，即IP地址长度，单位是字节，这里为4
op:1-arp请求,2-arp应答，3-rarp请求，4-rarp应答

ICMP报文
8位类型 ：
8位代码 ：
16位检验和：

TCP

16位源端口号 ：发送方和接收方的TCP端口号。
16位目的端口号 ：
32位序号 ：该报文数据在发送方的数据流中的位置。当前时间值计算出一个数值作为起始序号。
32位确认序号 ：
4位首部长度 ：表示TCP报文首部信息的长度。由于首部可能含有选项内容，因此TCP首部的长度是不确定的。首部长度的单位是32比特或4个八位组。首部长度实际上也指示了数据区在报文段中的起始偏移值.
6位保留 ：
URG ：表示紧急指针字段有效
ACK ：置位表示确认号字段有效
PSH ：表示当前报文需要请求推（push）操作
RST ：置位表示复位TCP连接
SYN ：用于建立TCP连接时同步序号
FIN ：用于释放TCP连接时标识发送方比特流结束
16位窗口大小 ：窗口通告值。发送方根据接收的窗口通告值调整窗口大小。(数据缓冲区大小)
16位检验和 ：覆盖整个TCP字段，头 + 数据
16位紧急指针 ：如果TCP通信中，一方有紧急的数据（例如中断或退出命令）需要尽快发送给接收方，并且让接收方的TCP协议尽快通知相应的应用程序，可以将URG置位，并通过紧急指针指示紧急数据在报文段中的结束位置。