IP报文格式和实例分析
上面是IP的报文格式,接下来我们先说明各个字段的意义。然后,用Etheral软件转包分析IP的报文格式。
1.版本:
ip报文中,版本占了4位,用来表示该协议采用的是那一个版本的ip,相同版本的ip才能进行通信。一般此处的值为4,表示ipv4。
2.头长度:
该字段用四位表示,表示整个ip包头的长度,其中数的单位是4字节。即二进制数0000-1111(十进制数0-15),其中一个最小长度为0字节,最大长度为60字节。一般来说此处的值为0101,表示头长度为20字节。
3.Tos服务字段:
该字段用8位表示。该字段一般情况下不使用。
4..总长度:
该字段表示整个ip报文的长度,单位是1字节。能表示的最大字节为2^16-1=65535字节。不过由于链路层的MTU限制。超过1480字节后就会被分片(以太帧MTU为1500的情况下,除去20字节的包头)
5.标识:
该字段是ip软件实现的时候自动产生的,该字段的目的不是为了接受方的按序接受而设置的,而是在ip分片以后,用来标识同一片分片的。方便ip分片的重组。
6.标志:
该字段是与ip分片有关的。其中有三位,但只有两位是有效的,分别为MF,DF,MF。MF标识后面是否还有分片,为1时,表示后面还有分片。DF标识是否能分片,为0表示可以分片。
7.片偏移:
该字段是与ip分片后,相应的ip片在总的ip片的位置。该字段的单位是8字节。比如,一个长度为4000字节的ip报文,到达路由器。这是超过了链路层的MTU,需要进行分片,4000字节中,20字节为包头,3980字节为数据,需要分成3个ip片(链路层MTU为1500),那么第一个分片的片偏移就是0,表示该分片在3980的第0位开始,第1479位结束。第二个ip片的片偏移为185(1480/8),表示该分片开始的位置在原来ip的第1480位,结束在2959。第三片的片偏移为370(2960/8),表示开始的时候是2960位,结束的时候在3979位。
8.TTL:
该片表示生存周期,该值占8位。ip分片每经过一个路由器该值减一,它的出现是为了防止路由环路,浪费带宽的问题。比如,该ip在R1路由器发送到R2路由器。R2路由器又发给R1路由器。防止这种循环。window系统默认为128.
9.协议:
该值标识上层的协议。占8位。其中1,标识ICMP、2标识IGMP、6标识TCP、17标识UDP、89标识OSPF。
10校验和:
该值是对整个数据包的包头进行的校验。占16位。
11.源地址和目的地址。标识发送ip片的源和目的ip,32位
12.接下来是可选的部分,一般一些特殊的要求会加在这个部分。
13:数据
接下来,我们用一个具体的ip报文来进行分析。该报文是Etheral报文分析软件抓的包。
这是是ip报文的第一行,Version是版本,Header length是头长度,Differentiated Services Field就是区分服务,Total Lehgth为总长度。
其中,45 00 05 dc 为上面的四个信息的传输过程中的值,这里面一个数代表4位二进制数。中,4和5分别表示版本,头长度,00表示TOS为0。05
这是ip报文的第二行,Identification 位标识,FLags为标志,在这里可以看到MF为 set 标识还有分片,DF为not set可以分片。片偏移为0.标识这是初始的ip片
90 ad 20 00 为上面的标识字段,90 ad 标识该ip的标识, 2转换为二进制为0010,其中前三位001位标志,后面的0,是13位的标识的一部分。
这是 TTL 协议 检验和这几部分。TTL位于第9个字节,可以看到TTL为12,上层协议为ICMP,头部检验和为true.
80 01 ef 05为相应字段的值80位生存时间转换成10进制为128. 01为协议。ef 05为首部检验和。
c0 a8 0a 0e 为源ip,第13个字节开始
c0 a8 0a of 为目的ip
评论前必须登录!
注册