Wireshark實戰分析之IP協議(二)
(1)什麼是IP資料報
TCP/IP協議定義了一個在區域網上傳輸的包,稱為IP資料報(IP Datagram)。IP資料報由首部和資料兩部分組成,首部部分包括版本,長度,IP地址等資訊。資料部分一般用來傳輸其他的協議,如TCP,UDP和ICMP協議等。
(2)IP資料報首部格式
版本: 指IP協議所使用的的版本。目前廣泛使用的IP協議版本號為4
首部長度: IP首部長度,可表示的最大十進位制數值是15。注意,該欄位所表示的單位是32位字長(4個位元組)。因此首部長度最大為60位元組
服務型別: 優先順序標誌位和服務型別標誌位
總長度: 指IP首部和資料包中資料之後的長度,單位為位元組。總長度為16位,因此最大長度為2^16- 1 = 65536位元組
標識: 一個唯一的標識數字,用來標識一個數據報或者被分片資料報的次序
標誌: 用來標識一個數據包是否是一組分片資料包的一部分。 最低位MF(More Fragment)。當MF=1表示後面“還有分片”的資料包,MF=0表示這已經是最後一個分片資料了,中間位DF(Dont Fragment)不能分片,只有當DF=0時,才允許分片
片偏移: 一個數據包其中的分片,用於重新組裝資料用
生存時間: 用來定義資料包的生存週期
協議: 用來識別在資料包序列中上層協議資料包的型別
首部檢驗和: 一個錯誤的檢測機制,確保IP頭部沒有被修改
源地址: 傳送端的IP地址
目的地址:資料包目的的IP地址
可選欄位:保留作額外的IP選項
資料部分:使用IP傳遞實際資料用。
(3)分析IP資料報
在本地主機上ping www.baidu.com,使用wireshark獲取資料
(4)先分析29幀,也就是請求幀
選中29幀,檢視包的詳細資訊
(5)分析30幀,也就是迴應幀
其中明顯的不同的是生存時間發了變化,也就是從我本地到百度之間總共經過了64-55=9個路由。當然每次可能經過的路徑是不一樣的。我們可以通過tracert命令檢視。
可以看到經過了11個路由,顯然每次路徑是不一樣的。
關於生存時間,下節做詳細說明