关于IP、ARP、ICMP数据报分析

1、1.当连接到网络时，主机发送的第一个数据包： ARP 广播包（1）主机的 以太网适配器的 MAC 地址、IP 地址 （2）主机连接到网络 发送 广播 ARP 请求，以下是数据包格式分析解释：1. 在主机刚连接到网络时，会向网络中发送 ARP 广播 请求，确认自己的 IP 地址在同一网络内没有和网络中的其他主机 IP 地址 冲突。2. ARP 数据报格式 以太网帧头： 目的 MAC 地址 ： ff - ff - ff - ff - ff - ff 共 6字节， 代表该帧 为广播帧 源 MAC 地址： 3c-97-0e - 3e - de - 8d 共 6字节，代表主机 的以太网适配 器的MAC

2、地址 帧类型：0806 共 2字节，用来标识帧封装的上层协议，即 ARP Type/Length ：2字节，根据数值的不同代表2种不同的封装格式：如果字段值在 0x 0000 - 0x 05DC 范围内，则表示该字段为 Length，该帧为 802.3 raw封装。如果字段值在 0x 0600 - 0x FFFF 范围内，则表示该字段为 Type 字段，该帧为 Ethernet II 封装。0x 05DD - 0x05FF 保留没有使用。ARP 报头： 硬件类型：0001 共 2 字节，表示ARP 报文可以在哪种类型的网络上传输，值为 1 时表示为 以太网 地址 上层协议类型：0800 共 2

3、 字节，表示硬件地址要映射的协议地址类型，0x0800 表 示 IP 协议 MAC 地址长度：06 共 1 字节，标识MAC 地址长度，以字节为单位 IP 地址长度：04 共 1字节，标识 IP 地址长度，以字节为单位 操作类型：0001 共 2 字节，指定本次 ARP 报文类型，1表示请求报文，2表示应答报文 ARP 数据： 源 MAC 地址: 3c - 97 - 0e - 3e - de - 8d 共 6 字节，表示发送方设备的硬件地址 源 IP 地址: 00 - 00 - 00 - 00 共 4 字节，表示发送方设备的 IP 地址，此处用 32 位的 0 填充，是因为主机不确定自己的IP

4、地址是否和网络上的其他主机IP地址有 冲突，所以发送 ARP 广播包来验证 目的 MAC 地址：00 - 00 - 00 - 00 - 00 - 00 共 6 字节，表示接收方设备的硬件地址，在请求报文中该字段值全0，表示任意地址，因为现在不知道这个MAC地址 目的 IP 地址：c0 - a8 - 01 - 64 共4 字节，表示接收方设备的IP 地址 (192.168.1.100)，可以发现该 IP 地址就是主机自己的IP 地址。2. ICMP包 ping request以太网帧头格式： 目的 MAC 地址 源 MAC 地址 长度/类型 ：该字段值 如果大于 1536（0x0600），表示承

5、载的上层协议类型 如果小于或等于 1500（0x05DC），表示该帧数据部分长度IP 数据报头格式：版本：该字段 占 4位头部长度：该字段 占 4位，以4字节为单位，此处 值 为 5，表示 5*4 = 20 字节，即报头长度为 20 字节 区分服务：又称服务类型（TOS） 字段，用于表示数据报的优先级和服务类型， 它包括一个 3 位长度的优先级、4 位长度的标志位。标志位分别是 D(Delay 延迟)、T(Throughput 吞吐量)、R(Reliability 可靠性)、C(Cost 开销)，最高 1 位未用；未使用 区分服务，则该字段为 0 总长度：标识整个 IP 数据报的长度，包括头部

6、和数据部分，整个 IP 数据报总长度以字节为单位，该字段占 16 位，IPv4 数据报的最大长度为 216 - 1 字节，即 65535 字节（64KB）。此处 为 0x0040 ，即 64 字节 标识：用于表示 IP 数据报的标识符，占 16位，每个 IP 数据报有一个唯一的标识。当数据报的长度超过下面数据链路层的 MTU 值而必须分段时，这个标识字段的值就被复制到 所有的 数据报分段 的 标识字段中。相同的标识字段的值使分段后的各数据分段最后能正确地重载成为原来的数据报。 标志：标志字段指出该 IP 数据报后面是否还有分段，也就是这个字段是分段标志，占 3 位，目前只有2位有意义：最低1位

7、记为 MF（More Fragment），如果MF = 1，则表示后面还有分段，如果 MF = 0，则表示这已是某个数据报的最后一个分段；中间1位记为DF（Dont Fragment），DF = 1表示不允许分段，DF = 0 表示允许分段；最高1位没有使用。 段偏移： 段偏移字段用以指出该分段在数据报中的相对位置，也就是说用户数据字段的起点，该分段从何处开始，占 13 位。如果没有分段，则该字段值为0 生存时间：用来标识IP数据报在网络中传输的有效期，以秒来计数，占8位，TTL的建议值是 32s，最长为 28 - 1 = 255s，现在通常认为这个TTL是指数据报允许经过的路由器数，每经过一

8、个路由器，则TTL减1，当TTL值为0时就丢弃这个数据报。设定生存时间是为了防止数据报在网络中无限制地循环转发。此处为 0x40 即 64。 协议：协议字段用来标识此 IP 数据报在传输层所采用的协议类型（如 TCP、UDP、ICMP等），以便使目的主机的IP层知道应将数据部分上交给哪个处理过程，占8位。如TCP协议号为 6，UDP协议号为17。此处为0x01，即1，代表 ICMP校验和：校验和字段用来检验 IP 数据报的报头部分（不包括“数据”部分）在传输到接收端是否发生了变化，占16位。源IP 地址：占 32 位，在整个数据报传送过程中，无论经过什么路由器，无论如何分段，此字段一直保持不变

9、。目的 IP 地址：占 32 位，在整个数据报传送过程中，无论经过什么路由器，无论如何分段，此字段一直保持不变。ICMP 报头格式：类型：占1字节，标识ICMP报文的类型，目前定义了14种，从类型值来看ICMP报文可分为两大类。第一类是取值 1-127 的差错报文，第二类是取值128以上的是信息报文。此处为 0x08 表示ping 操作响应请求（request），0表示应答(response)代码：占1字节，标识对应 ICMP 报文的代码。它与类型字段一起共同标识了ICMP报文的详细类型。校验和：占 2 字节，这是对包括ICMP报文数据部分在内的整个ICMP数据报的校验和，以检验报文在传输过程

10、是否出现了差错。标识：占2字节，用于标识本ICMP进程，但仅适用回显请求和应答ICMP报文，对于目标不可达ICMP报文和超时ICMP报文等，该字段值全为0序号数据 可修改 欢迎下载 精品 Word亲爱的用户：烟雨江南，画屏如展。在那桃花盛开的地方，在这醉人芬芳的季节，愿你生活像春天一样阳光，心情像桃花一样美丽，感谢你的阅读。1、最困难的事就是认识自己。22.1.131.13.202221:4521:45:121月-2221:452、自知之明是最难得的知识。二二二二二二年一月十三日2022年1月13日星期四3、越是无能的人，越喜欢挑剔别人。21:451.13.202221:451.13.202221:4521:45:121.13.202221:451.13.20224、与肝胆人共事，无字句处读书。1.13.20221.13.202221:4521:4521:45:1221:45:125、三军可夺帅也。星期四, 一月 13, 2022一月 22星期四, 一月 13, 20221/13/202