TCP-IP报文讲解

1、一个完整的数据帧：利用抓包工具.我们可以从网络中随便抓取一个包，比如抓个ICMP包。其结构如下:TCP/IP协议学习理解:Arrival Time: Apr 29, 2008 16:50:44.513588000Time delta from previous captured frame: 0.613273000 secondsTime delta from previous displayed frame: 0.997453000 secondsTime since reference or first frame: 4338.675609000 secondsFrame Number:

2、3076Frame Length: 74 bytescapture Length: 74 bytesFrame is marked: FalseprotoGols in frame: eth:ip:icmp:data-Ethernet II, 5rc: 00:le:c9:3f:5a:d5 (00:le:c9:3f:5a:d5 D5t: HarbourN.fS:26:92 (00:05:3b:f8:26:92) 0 Destination: HarbourN_f8:26:92 (00:05:3b:f8:26:92)Address: HarbourN.f8:26:92 (00:05:3b:f8:2

3、6 :92)S source: 00:le:c9:3f:5a:d5 (00:le:c9:3f:5a:d5)Address: 00:le:c9:3f:5a:d5 (00:le:c9:3f:5a:d5)Type: IP (0x0800)S Internet Protocol, Src: 10-11-1-86 (10-11-1-86), Dst: 10-11.1-5 ()version: 4Header length: 20 bytes页脚Differentiated services Field: 0x00 (DSCP 0x00: Defau It; ECN： 0x00J0000

4、 00.=Differentiated services codepoint: Default (0x00)0. = CN-capable Transport (cct): 00 = ECN-CE: 0Total Length: 60identification: 0x6381 C25473)Flags: 0x000.=Reserved bit: Not set0=Dont fragment: Not set0 = More fragments: Not setFragment offset: 0Time to live: 128Protocol: ICMP COxOl)Header chec

5、ksum: OxcOcf correctGood: TrueBad : Falsesource: 6 (10-11-1-86)Destination: 10.11.1. 5 C10-H-1- 5)internet control Message Protoco IType: 8 (Echo (ping) request) code: 0Checksum: Oxb35b correct identifier: 0x0200sequence number: 38912 (0x9800)Data C32 bytes)c93F5ad5 08 00 45 00 cO cf Oa Ob

6、01 56 Oa Ob 98 00 61 62 63 64 65 66 6f 70 71 72 73 74 75 76、/.abcdef opqrstuvlelo e 7 1006 6 o o 2d 6 0806 6 2 Ob c 5 9 0 5 6 6 6 o 3 b 42 o b & 6 810 a 3 f s o 6 6 b 3 8 9 23 6 0 6 6 5 c 5 8 1 0 3 0 6 6 0 0 17 7 0 0 0 6 7o o o o o0 12 3 4 o o o o o o o o o oFrame 3076 T是该数据帧里的一些相关信息:页脚数据帧到达时间?从抓到第一

7、个包到现在计时 帧序列号：帧长度：捕捉到的帧长度：帧是否被标记:帧里包含的协议：eth： ip： 下面長数据帧里的结构：以太网目的主机硬件地址： 源主机硬件地址： 包类型：IP版本：首部长度：-服务类型： 优先权子字段： TOS子字段: 未用位：总长：16位标识：16位标志：3位片偏移：13位生存时间：8位/捕捉到数据帧的时间/设置数据报可以经过的最多路由器/抓包工具抓到的第几个包/该包自己标记的长度/实际捕捉到的包长/?icmp： data/包自上往下封装的协议/协议/48bit被发送端主机硬件地址MAC/48bit发送端主机硬件地址 MAC/16bit （0x0800）所封装包的类型，只识

8、别最外一层IP协议/协议/版本号为4,也称作IPv4/首部占32bit数目，字段长4比特，所以其最长为：32/8*15 （2进制的1111） =60字节 /8位/3bit优先权子字段/4bit TOS子字段，分别代表：最小时延、最大吞吐量、最高可靠性和最小费用，这里全0表一般服务/lbit未用位（必须置0）/指整个IP数据报的长度，由于该字段长16比特，所以IP数据包最长可达65535字节/唯一标识主机发送的每一份数据报，通常每发送一份报文它的值就会加1页脚封装协议类型：/8bit （这里是ICMP , 0x01）所封装的协议头部检验和：true or false 16位/根据首部计算的检验和

9、码，结果全1为true,否则false源IP地址：目的IP地址：32位ICMP类型：8位代码：8位检验和：16位标识符：16位序列号:16位数据：围0至1472/发送端主机IP地址/接收端主机IP地址/协议/类型和代码决定其报文的类型如8和0表示请求报文，0和0表示回应报文/作用和算法同IP检验和/标识符和序列号由发送端任意选择决定，这些值在应答中将被返回，发送端就可以将应答和请求进行匹配。/发送报文的主要容下面背景加黑的部分表示相应的值。这是一个完整的ICMP数据包，由到外封装顺序为：ICMP-IP-ETH 当接收端主机收到一个报文后，分用过程则和封装相反：ETH-IP-ICHPARP报文：

10、页脚E3 ame 42570 60 bytes on wire, 60 bytes captured)Arrival Time: Apr 30, 2008 10:46:54.941490000Time delta from previous captured frame: 0.009048000 secondsLTime delta from previous displayed frame: 0.944608000 secondsTime since reference or first frame: 2610.5 5 5347000 secondsFrame Number: 42570Fr

11、ame Length: 60 bytescapture Length: 60 bytesFrame is marked: Falseprotocols in frame: eth:arp-Ethernet II, src: 00:1s:c9:2c:79:bc (00:le:c9:2c:79:be), Dst: Broadcast (ff:ff:ff:ff:ff:ff)曰 Destination: Broadcast (ff:ff:ff:ff:ff:ff)Address: Broadcast (ff:ff:ff:ff:ff:ff) .1=IG bix : Group address (multi

12、 cast/broadcast)1=LG bit: Local ly admiaddress Ct hi s i s not the factory default) 0 source: 00:le:c9:2c:79:bc (00:le:c9:2c:79:bc)Address: 00:le:c9:2c:79:bc (00:le:c9:2c:79:be)0=IG bit: individual address (unicast) .0=LG bix : Global ly unique address (factory default)Type: ARP (0x0806)Trai1 er: 00

13、0000000000000000000000000000000000- Address Resolution Protocol (requestHardware type: Ethernet (0x0001)Protocol type: IP (0x0800)Hardware size: 6Protocol size: 4opcode: request (0x0001)Sender MAC address: 00:le:c9:2c:79:bc (00:le:c9:2c:79:be)sender IP address: 02 (02)Target MAC ad

14、dress: 00:00:0000:00:00 (00:00:00:00:00:00)Target IP address: 03 (10113203)页脚从相关信息中我们可以看到,ARP的封装格式为:ETH-ARP。ETH封装:发送方式为广播方式，即目的硬件地址全1,这是一个询问硬件地址的报文；如果是回应报文，则以单播的方式发送回一个报文。ARP报文中的ETH 封装比ICMP多一个9个字节的Trailer, 一般规定数据帧最小为60字节，ARP请求或应答都是42字节，所以填充18个全0的字节以满足最小60字节 的要求。帧类型:ARP （ARP请求或应答值都为:0x0806）A

15、RP封装下的信息： 硬件类型： 协议类型： 硬件地址长度： 协议地址长度： 操作字段： 发送端硬件地址： 发送端IP地址： 接收端硬件地址： 接收端IP地址：/表示硬件地址的类型，0x0001表示以太网地址/表示要映射的协议地址类型，0x0800表示IP地址/I字节，这里值为6,表示硬件地址长度为6字节/I字节，这里值为4/ARP 请求：1； ARP 应答：2； RARP 请求：3； RARP 应答 4。RARP报文：RARP分组格式和ARP基本一致。它们之间主要差别是RARP请求或应答的帧类型代码为0x8035, RARP请求操作代码为3,应答操作代码为4。PING程序：目的：测试另一台主机

16、是否可以到达。 实验 1： PING 10. 11. 1. 1 结果输出如下图：页脚C： Docimenits and Settingswpxping Pinging 10.11.1 with 32 bt/tes of data：Reply fror Reply fron Reply from Reply front10.11-1.1：：10.11-1.1==b/tes=32 bytes=32 bi/tes=32 bytes=32time =2ms time =2ms time =2ms tine =2nsTTL=255TTL=255TTL

17、=255TTL=255Pincf statistics for 10.11.1 1.；Packets： Sent = 4. Beceiued = 4, Lost = 0 输出第一行是采用默认的32字节的报文PING目的主机的IP地址（如果输入是服务器的名称，则通过DNS解析成IP地址）。通过抓包工具抓包分析, 我们可以查到发送的报文是包含32字节数据的长74字节的ICMP请求报文。从第2-5行输出和抓到的数据包可以看到：从目的主机10.11.1. 1收到：含32字节数据、长74字节的ICMP回应报文；往返时间都是2毫秒（往 返时间=接收时间一发送时间），生存时间TTL为255 （最大生存时间）

18、。从第7行可以看到：发送4个包，接受到4个包，丢失率0%；从第9行可以看到：这里最小和最大往返时间都是2亳秒，平均往返时间2亳秒。实验2： PING 个不存在的主机10. 11. 1.2 结果输出如下图：页脚C: Docunents a.nd. SettingsXwyxping 10-112Pinging with 32 bytes of data：Request Request Request Requestt ined out. t imed. out.t ined out.t imied out.Ping stat istles om 10.11-1-2 =Packe

19、ts: Sent = 4, Received = 0. Lost = 4 M从图中我们可以看，请求时间超时，发送4个包，收到0个回应，丢失率100%。多PING几次，即可确定10. 11. 1.2和我们的主机是不相连的。上面是在局域网里面操作的，如果在广域网里操作，结果会如何呢？实验 3： PING .simi. 输出结果如下图：页脚C：VDocuments and Settingswyxping Pi.ncfi.ncf 218 30.108 .68 with 32 htes of data :Reply from 218.30.108-68： bytes=32 time=180ms TTL=

20、48Request timed out.Reply from 8: bytes=32 time=144ms TTL=48Reply from 8: bytes=32 time=50ms TTL=48Ping statistics for 8.68；Packets： Sent = 4, Receiued = 3. Lost = 1 从图中我们可以看出：第一行DNS自动把域名解析成IP地址；第2、4、5行往返时间明显比实验1要大很多，甚至超时（如第3行），以上实验中的一些数值是可以修改的，如传输的数据长度，生存时间等都可以根据需要

21、来修改，但存在一定的围限制，如：、 输入 PING - i 100 10. 11. 1. 1/修改 TTL 值为 100；通过抓包可以看到：Time to live: 100输入 PING -i 500 10. 11. 1. 1/修改 TTL 值为 500；则在PING命令下显不:XJDocunients and Sett ingswyxping i 500 6 ad ualue for option 一ualid range is from 1 to 255.PING实现过程：1、生成ICMP请求报文。2. 将ICMP报文.发送端和目的端的主机IP地址封装在IP报文中，并发

22、给ETH协议层。页脚3、通过ARP缓存查询目的IP地址相对应的硬件地址。如果不存在，则执行4；如果存在，则执行6。4、发送ARP请求报文，以广播方式发送出去，询问对应目的IP地址的硬件地址。5、如果接到ARP请求回应，则执行6,否则超时，按异常处理，输出请求超时。6、ETH协议层将收到的IP报文、源主机和目的主机的硬件地址。7、将封装好的报文通过媒介端口发送出去。8、目的主机接收到发来的ICMP请求数据包，采用自上往下的方式分用报文。9、ETH协议层查看发来的目的硬件地址是否和本地主机硬件地址相同？相同，则提取IP数据包发送给IP协议层处理；否则丢弃。10、IP协议层接收后，检查目的IP地址是

23、否和本地IP地址相同？相同，则提取ICMP数据包给ICMP协议层，否则丢弃。11、ICMP协议层接收处理后，马上构建一个ICMP回应给发送端主机，过程和发送请求一样，只是不需要再回应。Traceroute 程序：作用：可以查看IP数据报从一台主机传到另一台主机所经过的路由。在PING过程中，我们知道采用-r可以记录路由选项。但其受到一些限制，无法通用：1、并不是所有的路由器都支持这个记录路由选项。见实验1; 2,记录路由一般都是单向的选项，会受到一些限制（后面讨论）；3、IP首部中留给选项空间有限，不能存放太多的路径。实验 1： PING -r 9 10. 11.3. 36、PING -r 9

24、 10. 11. 1. 1输出结果：PING -r 9 10. 11.3.36：页脚C： Docindents and Settingswyxping r 9 13.11 -3-36Ping-lncf 10. li . 3.3G with 32 bytes o data：Reply fron10.11.仁36；bytes=32timelmsTTL=64Ro ut e :10.11.J. 36Reply fron10.11.J.36：bytes=32timelmsTTL=64Ro nt e :6Reply fpon6：bytes=32timelmsTTL=64

25、Route :6Reply fpor6：bytes=32timelmsTTL=64Ronte :6Ping statistics fon* 10-11 336：Packets： Sent = 4. Received = 4尸 Lost = 0 ping -r 9 10.11 ！_!_Pinging10.11-1* with 32 btes of data:Request Request Request Requesttimed timed timed timedout. out. out. out Ping statistics for :Packets： Sent = 4. deceived = 0, Lost = 4 Ti*acei*t www-sina-comTracing pouteto