你有没有想过,Wireshark里那些整齐的UDP数据包,最初只是一堆电压波形?
今天带你从最底层开始:用示波器抓物理信号,一路解码到传输层。这不是网络课,是一次完整的"考古"——从金属触点上的毫伏波动,还原出你熟悉的网络协议。
为什么要这么折腾?
作者Matt Keeter在Oxide Computer公司调试一个棘手的bug:机架交换机的部分链路时灵时不灵。怀疑是交换芯片配置问题,但得先确认物理层到底在传什么。
他的工具是一把高速差分探头,直接焊在VSC7448交换芯片的引脚上。这颗52口、80G的芯片是管理网络的核心,连接着每台服务器的"服务处理器"——相当于带外管理的BMC(基板管理控制器)。
示波器屏幕上,数据以电压脉冲的形式飞驰而过。没有现成的QSGMII分析仪,只能自己写解码器。
第一步:把波形变成数字
目标设备每秒发3万个UDP包,每33微秒一个。示波器设置成1TSPS采样率、1亿样本点,刚好捕获100微秒——能抓到1到3个完整包。
导出的是191MB的.wfm文件。Tektronix公开了格式规范,作者用Rust的nom库写了400行解析器。其实核心就三行Python:
import numpy as np
data = open('udp-spam.wfm', 'rb').read()
pts = np.frombuffer(data[904:-1], dtype=np.int16)
跳过文件头,剩下的就是原始采样点。
第二步:从模拟到数字
QSGMII(四通道串行千兆媒体独立接口)用四对差分线传输。每对线上是1.25Gbps的串行数据,经过8b/10b编码。
示波器抓到的是模拟电压,要先做时钟恢复:找到数据跳变沿,确定每个比特的采样时刻。然后用锁相环跟踪时钟漂移,把连续的电压流切成一个个比特。
8b/10b编码会把8位数据扩展成10位传输,保证直流平衡和足够的跳变密度。解码表是公开的,但实现时要注意特殊控制码——比如/K28.5/是逗号对齐码,用来找字节边界。
四路数据恢复出来后,要按QSGMII的格式交错重组。每路对应一个千兆端口,合起来就是4Gbps的总带宽。
第三步:从以太网到UDP
现在手里是原始的以太网帧流。先解前导码和帧起始定界符,然后读目的MAC、源MAC、类型字段。
类型0x0800表示IPv4。剥开IP头:版本、头长、总长度、标识、标志、片偏移、TTL、协议、校验和、源IP、目的IP。
协议字段是17,说明上层是UDP。最后16字节:源端口、目的端口、长度、校验和,加上payload。
整个过程用Rust实现,从示波器文件到pcap格式,中间经过:
• 模拟波形 → 数字比特(时钟恢复+8b/10b解码)
• 四路串行 → 并行字节流(QSGMII解复用)
• 以太网帧 → IP包 → UDP数据报
最终生成的pcap文件可以直接丢进Wireshark,和正常抓包看不出区别。
这活儿的价值在哪?
表面看是技术炫技,实际是硬件调试的刚需。当链路不稳定时,tcpdump只能看到"没收到包",示波器能看到"信号幅度不够"或"眼图闭合"。
作者定位的bug最终确认是交换芯片的SerDes配置错误——某些端口的预加重设置不当,导致高频分量衰减。这种问题在软件层完全不可见,必须下到物理层才能抓现行。
整个解码流程开源在GitHub,包括Rust代码和详细的格式说明。对于做嵌入式网络、交换机固件或高速信号完整性的人来说,这是现成的参考实现。
更深层看,这件事戳破了一个幻觉:我们以为网络协议是"分层"的,每层只关心上层接口。真出问题时,层与层之间的缝隙才是藏bug的地方。从L1到L4的完整可见性,不是炫技,是排障的底线能力。
热门跟贴