資源描述:
《wireshark捕獲分組深入理解tcpip協(xié)之ip協(xié)議》由會員上傳分享���,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫��。
1��、Wireshark捕獲分組深入理解TCP/IP協(xié)議之IP協(xié)議摘要:???本文簡單介紹了網(wǎng)絡(luò)層理論知識�,詳細(xì)講解了IP數(shù)據(jù)報各個字段�����,并從Wireshark俘獲分組中選取IP數(shù)據(jù)報進(jìn)行分析�,也闡述了分組和分片的區(qū)別。一���、IPv4數(shù)據(jù)報???網(wǎng)絡(luò)層是處理端到端數(shù)據(jù)傳輸?shù)淖畹蛯?。網(wǎng)絡(luò)層關(guān)注如何將分組從源端沿著網(wǎng)絡(luò)路徑送達(dá)目的端,期間可能需要經(jīng)過許多跳中間路由器���。即提供轉(zhuǎn)發(fā)(數(shù)據(jù)從路由器那個接口出去)���、選路(發(fā)送方與接收方間的路徑)�、網(wǎng)絡(luò)建立(如ATM、幀中繼)。這里以IPv4為例�����,關(guān)于IPv6報文格式詳見博文
2�、《IPv4與IPv6數(shù)據(jù)報格式詳解》��。圖1IPv4數(shù)據(jù)報格式版本號(version)???不同的IP協(xié)議版本使用不同的數(shù)據(jù)報格式����。首部長度(HL,InternetHeadLength)???確定IP數(shù)據(jù)報中數(shù)據(jù)部分實際從哪里開始�,包含可變數(shù)量的選項����。若IP數(shù)據(jù)報沒有包含選項���,則IP數(shù)據(jù)報首部長度為20字節(jié)�。服務(wù)類型(TOS,TypeOfService)???更好地服務(wù)不同類型IP數(shù)據(jù)報(如實時數(shù)據(jù)報IP電話應(yīng)用、非實時通信流FTP)����,Cisco將TOS前3位標(biāo)識不同服務(wù)等級,即優(yōu)先級�����。數(shù)據(jù)報長度(TL,
3�����、TotalLength)???IP數(shù)據(jù)報長度����,即首部+數(shù)據(jù)。分片:標(biāo)識(identification)�、標(biāo)志(flags)、段位移(FragmentOffset)???這3個字段跟IP分片有關(guān)��,當(dāng)目的主機(jī)從同一個源收到一批數(shù)據(jù)報時����,需要確定這些數(shù)據(jù)報是完整數(shù)據(jù)報還是分片后的數(shù)據(jù)報�����,數(shù)據(jù)報首部標(biāo)識字段解決這個問題���,檢查數(shù)據(jù)報的標(biāo)識號確定哪些數(shù)據(jù)報真正是同一個較大數(shù)據(jù)報的片��;如何判斷最后一個分片已收到���,數(shù)據(jù)報首部標(biāo)志字段解決這個問題���,將最后一片的標(biāo)志為0�,其他標(biāo)記為1�����;如何順序重組這些片��,這就需要記錄每個片
4�����、的在數(shù)據(jù)報有效凈荷的偏移量����,這也確定了片是否丟失。若丟失某些片,則丟棄這個不完整的數(shù)據(jù)報(不會交給傳輸層)��。需要可靠傳輸怎么辦呢����,由傳輸層讓源重傳原始數(shù)據(jù)攝中的數(shù)據(jù)(如TCP)。壽命(TTL,TimeToLive)???每次數(shù)據(jù)報經(jīng)過一臺路由器時�����,該字段的值減1�,若TTL字段減為0����,則丟棄該數(shù)據(jù)報����,從而確保數(shù)據(jù)報不會永遠(yuǎn)在網(wǎng)絡(luò)循環(huán)。上層協(xié)議(Protocol)???該字段用于指明IP數(shù)據(jù)報的數(shù)據(jù)部分應(yīng)該交給哪個傳輸層協(xié)議(6為TCP�、17為UDP)。首部檢查和(HeaderChecksum)???只是對
5、IP首部進(jìn)行檢驗���,對整個TCP/UDP報文段檢驗交由TCP/UDP完成�����。將首部中的每兩個字節(jié)當(dāng)作一個數(shù)����,用反碼運算對這些數(shù)求和,該和按1補(bǔ)碼值存放在檢查和字段����。當(dāng)路由器收到IP數(shù)據(jù)報時,計算其首部檢查和��,與該字段值比較��,若出錯則丟棄該數(shù)據(jù)報���。???注:因為TTL字段及選項字段可能改變,所以每個路由器上的檢查和都須重新計算并存放在原處����。(檢查后,再更新)源和目的IP地址(Source/DestinationAddress)選項(Options)???選項字段允許IP首部被擴(kuò)展�,由此導(dǎo)致數(shù)據(jù)報首部長度可變,
6��、故不能預(yù)先確定數(shù)據(jù)字段從何開始���,同時也使路由器處理一個IP數(shù)據(jù)報所需時間差異很大(有的要處理選項,有的不需要)。數(shù)據(jù)(Data)???當(dāng)使用TCP/UDP協(xié)議時���,數(shù)據(jù)即為傳輸層報文段(TCP/UDP)�。數(shù)據(jù)字段也可承載其他類型數(shù)據(jù)�,如ICMP報文段。二���、實例解析???以請求百度首頁基本HTML為例����,因HTTP報文太大(3835字節(jié)),網(wǎng)絡(luò)層對其進(jìn)行分片�,共4片,如下圖(截自Wireshark俘獲的HTTP響應(yīng)報文):圖2數(shù)據(jù)分片實例整個HTTP報文傳輸示意圖如下:圖3HTTP報文傳輸實例示意圖2.1分片
7�����、???IP數(shù)據(jù)報首部字段的標(biāo)識(identification)���、標(biāo)志(flags)�����、段位移(FragmentOffset)用來處理分片。當(dāng)目的主機(jī)從同一個源收到一批數(shù)據(jù)報時�,需要確定這些數(shù)據(jù)報是完整數(shù)據(jù)報還是分片后的數(shù)據(jù)報,數(shù)據(jù)報首部標(biāo)識字段解決這個問題����,檢查數(shù)據(jù)報的標(biāo)識號確定哪些數(shù)據(jù)報真正是同一個較大數(shù)據(jù)報的片���;如何判斷最后一個分片已收到�,數(shù)據(jù)報首部標(biāo)志字段解決這個問題,將最后一片的標(biāo)志為0����,其他標(biāo)記為1��;如何順序重組這些片�,這就需要記錄每個片的在數(shù)據(jù)報有效凈荷的偏移量,這也確定了片是否丟失��。若丟失某
8�、些片,則丟棄這個不完整的數(shù)據(jù)報(不會交給傳輸層)�。需要可靠傳輸怎么辦呢��,由傳輸層讓源重傳原始數(shù)據(jù)攝中的數(shù)據(jù)(如TCP)�。???將該4個IP數(shù)據(jù)報(組成該完整的HTTP報文)的標(biāo)識��、標(biāo)志����、段位移部分抽出來�����,如下圖所示:圖4HTTP響應(yīng)報文的4個IP數(shù)據(jù)報???可以看出�����,IP數(shù)據(jù)報并沒有分片�����,這是因為這些IP數(shù)據(jù)報封裝成幀并沒有超過MTU(以太網(wǎng)MTU為1500字節(jié))��。蠻想找一個有分片的IP數(shù)據(jù)報分析下��,可惜俘獲的分組沒有:-(???不盡要問�����,
