pcap 中的 ntohs() 到底是做啥的?
Posted
技术标签:
【中文标题】pcap 中的 ntohs() 到底是做啥的?【英文标题】:what does ntohs() in pcap exactly do?pcap 中的 ntohs() 到底是做什么的? 【发布时间】:2013-03-30 07:25:46 【问题描述】:我从其中一个答案中阅读了文档:
ntohs 函数采用 TCP/IP 网络字节顺序的 16 位数字(AF_INET 或 AF_INET6 地址系列)并返回主机字节顺序的 16 位数字。
请举例说明,什么是网络字节序,什么是主机字节序。
【问题讨论】:
【参考方案1】:数字 1000 在二进制中是 1111101000。
如果是 16 位二进制数,则为 0000001111101000。
如果它被分成两个 8 位字节,那就是两个字节,其值为 00000011 和 11101000。
这两个字节可以有两种不同的顺序:
在“big-endian”字节序中,包含高8位的字节在前,包含低8位的字节在后,因此第一个字节为00000011,第二个字节为11101000。 在“little-endian”字节顺序中,包含 lower 8 位的字节在前,包含 upper 8 位的字节在后,所以第一个字节为 11101000,第二个字节为 00000011。在字节可寻址的机器中,硬件可以是“大端”或“小端”,这取决于哪个字节存储在内存中的较低地址。大多数个人电脑都是小端的。大型计算机有 big-endian 和 little-endian 两种风格,许多大型计算机(例如 IBM 大型机和中端计算机以及 SPARC 服务器)是 big-endian。
大多数网络都是位串行的,因此位一个接一个地传输。一个字节的位可能先传输最高有效位或最低有效位,但网络硬件将对处理器隐藏这些细节。但是,它们会按照它们在主机内存中的顺序传输 bytes,因此,如果 little-endian 机器正在向 big-endian 机器传输数据,那么 little-endian机器传输在接收大端机器上看起来会有所不同;这些差异不会被网络硬件隐藏。
因此,为了让 big-endian 和 little-endian 机器进行通信,在每个协议层,要么:
需要选择“标准”字节顺序,使用不同字节顺序的机器需要移动多字节数字的字节,以便它们不在机器的标准字节顺序中,然后再传输数据,移动它们,使它们在接收到数据后按照机器的标准字节顺序排列; 两台机器需要为会话协商特定的字节顺序(例如,对于 X11 网络窗口协议,从客户端到服务器的初始消息指定使用的字节顺序); 协议消息需要指定使用的字节顺序(例如,DCE RPC 就是这样做的;这是用于“Microsoft RPC”的协议); 接收机器需要以某种方式正确猜测字节顺序(我不知道任何当前使用的协议在哪里完成,但旧的 BSD“谈话”协议没有使用上面使用的任何技术,并且Sun386i 上的实现必须使用它来处理大端 Motorola 68K 机器和小端 Intel x86 机器)。各种互联网协议使用第一种策略,指定大端为字节序;它在各种 RFC 中被称为“网络字节顺序”。 (微软的 SMB 文件访问协议也使用第一种策略,但是指定了 little-endian。)
所以“网络字节顺序”是大端的。 “主机字节顺序”是您正在使用的机器的字节顺序;它可能是 big-endian,在这种情况下,ntohs()
只返回您给它的值,或者它可能是 little-endian,在这种情况下,ntohs()
交换您给它的值的两个字节并返回该值。例如,在大端机器上,ntohs(1000)
将返回 1000,而在小端机器上,ntohs(1000)
将交换高位和低位字节,给出二进制 1110100000000011 或十进制 59395。
【讨论】:
> "字节的位可能会先传输最高有效位或最低有效位,但网络硬件会对处理器隐藏这些细节。"我一直在寻找那个答案。这是我第一次看到它的清晰布局,谢谢。以上是关于pcap 中的 ntohs() 到底是做啥的?的主要内容,如果未能解决你的问题,请参考以下文章
DrawShadow 中的 Elevation 到底是做啥的?