Wireshark 的协议界面分析

Mg：EdtVlcn1GaQptLruAnihrKi§1stEti戈Tataphan'i1TootIntcmakHa|pe$J*.C■：Xg\ 7±[B|Q旦 0*JriK口ItwTima 匚dltc・JM61415977^,9^1357 ?(XJ,05J9901x159?79K.9-314-9317?16200.42B714LT377Wa.1^210172.L6.2M.ZS1426B14.LSB77'Ma.264B5214H5«77$dO.26464&U159779«Q.2€«fi474zn“L阳丁®□.如日阿1"2.16.2&3.25117il6.2M.251172.16.20Q.2S1172.1B.2D3.ZS11*15977WO.2W9121^15977910.2651531415977940.2-6515542T&14.LW7J-34口.2苗5400■4277 口.2石541&172,16,200,25117216.200.251172.16.2W.2S11T2.16.JD3.2S1172.1&.2M.2S14Z?B14115^77^0.26564343231411J977MO.沖99租17216200.25117216JOO.2511T2.1B.2&3.ZS143-3D14LM77M口 172.ID.2DJ.Z514531l-Ujl5577540.31833?43321^15977^0.3190251415977540.319205172,16-200,25117216.200.251172.16.2M.25141341-1-1^7734口.：3：L9ZO«51T2.1B.2D3.Z514J4D14LSg771Ma.3112172.16.2M.2&1434114115977940.313531172,16,200,25143421^.159779<0.313：5»4242：1415977940.3J192@17216.2m.251S14J4414LW77fl^a.3533251172.ID.2M.Z5>1434$ 311517ZB16-2W,251434614115477940.3M90fl172.16200.251dld.71X1SQ77^lin.HlQnQ17>1A>m.?«i1E>vibr«han172.16,200,2511T2.16.200151172.lfi.2OD.E6172.16.2OD.-SE172.16.20056lTZ.lb.200.56irz.ifi.zaD.-5B172.lfi.2OD.5&172,16,200-56172.16.200561^2.16.200.-B6172.1G.200.56172.16.2口口尽172.16.20056172.16.2OQ56172.LB-.2W.-BS172.lfi.200.50172,16,200-56172.16.200566irs.lfi.zaD.-so172.lfi.2OD.3&56866172.1G.20D.-E&56172.16.20056173.1fi.?finJ4AR-RTPRTPTPeTPrp

ftftRRftrpTPTPTFrpTPETPTPTPTPTPrpftft-ff-RL・n甲hIn^a■i6Ltnkrxwirtfversion346iwkixwiripwerslonHLi>42FT-^naiiii-ERnT-T^Tie^1442PT-DynanicftTP-T^pc-^lB,1442PT-DyrianicR7P-Typ*-'aB,ii42F7=Diiriari1CRTF-Tb-ve-^e,1442.FT-&^r^1CRTF-T^e-96,144ZFT-Dr^nanicR:TF-T,i]e：-T&,1442PT-I^-nani1+-42FT-PyFWllCF.lF-Tilpe-^eili42PT=D>srailTCH.TP-Tylpe-i96,1442FT-l?>-nanicRTF-T>pc-96,1442PT-Dynanicft7P-Tj,pft-'aB,1442PT-DynanicR7P-Typ*-iaB,1J-J2Pl二矽Rar时匸R.TP-TWt!T£1X42FT-DysriariTCftTF-Tyipe-^bI9-79PT-^nanicRTF-T、ee：-T&,1442RT-D^nani匚111口-1$卩筍-勺心，1^-42FT-oyiiiFii€F.TF-T5.spt-56,lid2FT二砂nardCR.TF-TmfjTy14-42FT-I?^nanicRTF-T>pc--96,1ZT4FT-D^nanicRTF-Typ皀-呂1442PT-D^rianicR7P-Typ*-flB,“42FT-DyraniCF.lP-Tilpfi-^e,"42FT-Dysriiil'iTCftlF-T^ipe-^bj14-42PT-l?>-nanicRTP-T>pe-96,"53^PT-DynanicftlP-Typc-ilD,1知2PT-Dynari1cR7P-T^t-g6!lid2F7=[^rianTCH.TF-Tb!lpe-i96,■iiJ丁PT-r¥u!rUrii1rRTP-T«-ifli--Qh.55RC-Itsac-D^^AsaESP,5SRJC-DMC3ABSB3P,55H.c=&<c3a83b3f!SSR£-0XC3A£^BaF(£SRE-Dk4：3a&3&3F,tnq-4D33.1,TMq-4DB如Mq=iO053..S«q-408f44Ecq^oass,ESK-OJCCSAaSBSF,&aq-4D33-&.,55HJC■站C油旳旳已55RC=0：#：3a83b3fi5SR£-OmC3aB3B3F|SSK-DJ0C2AB2B3P,^SRJC-DWCZABSBBP!55RC=0*C3a83b3f!畀R£・0MC扛的BJFi£SRE-Dk£3a&3B3F,seq-4Q0irB%q>4C>目吗Sfiq-4D34D.,£4q-4DB41.,Mq=lO0d2.seq-JOSJ-J.Scq-tDBJ-i.,5SHC-DJWZ3A&3B3F,Mq-4□呂4乩SSR.C-OtfCSASS&^F,55H.C=0：*C3a83b3f.缶毗■QwUd工的BJF|SSRC-DJCC3AB3B3F.SERjC-DmCZaBSBB匚]55R.C-OJK3AS3B3F,5SR£-0MC3ie?B3F,ESRC-OkCJA的酣已seq-409-46,Mq=4O0d7.2中>4创40|Seq^DBiB.,&flq-4DBSD.,seq-40051,E^q-tOSSS,宝qdO目£SK-Djo£SaBSB3F,Sfiq-4D3S4.,55R.OWCW旳Seq-4Q8S5,55H.C=OjK3aS3b3f,Mq=4O0i6,^nr-ilhWmn#.giFranc 1442hyc«anwirefllHm斬 1442bye亡,capcured(LI5345bics)口仃interfa>ze0母匚Ttwrn*cII.Src:AxisCawT_h3：i6:9Q(00:40:Sc:b5:4B:3a),Dec:Tp-LirfcT_bb::4«:Tj(flc:17:2f:bb:4c:7a)Kincernei：protocolversionsre：172.16,200,251(172,1^.200.251),DSC172.16,200,36(172,L6,200,55}曰山萌eh*"Rrorocal,5tc.pctt: 50ii0(103^0),&stpctt: 091SB)5ou~c.ePartz50340(50340}&=3t"irMcionParc:5^1SRf5915fi)Length:1*4DSi£checksumOxKdl[valldailondisafcled][sc^eaflIndex:5]帛Real-T"ineTransportFrotdcdI□G2口003000400050□oca0070□oca0090□oaaOOMg(=口曲脚□OeO001=0DLDQ011014n7IS0^ 92i4$3b}r7rb55b尉4(3Tf3sfdrdao4bdi0dtdfba216f830heELSOaB--dibeED貞97dd2□G2口003000400050□oca0070□oca0090□oaaOOMg(=口曲脚□OeO001=0DLDQ011014n7IS0^ 92i4$3b}r7rb55b尉4(3Tf3sfdrdao4bdi0dtdfba216f830heELSOaB--dibeED貞97dd2h--T小33b39H-1cd孔AoebofA-oi7rUnrDj口gnmProtocnl(udp)rSafT&293Troc?勺1TfLcCH831521-5吕>1T972dracZf£1<d5b90=1255(J匚sooa143951if口£31皀B吝凝db353SB2?.rxtH53Padctti!LED&1■'Drappad;Praiita!Dafaur在上述一个4266号的RTP包时，先研究几个概念：一、OSI参考模型OSI是OpenSystemInterconnect的缩写，意为开放式系统互联。一般都叫OSI参考模型，是ISO（国际标准化组织）组织在1985年研究的网络互联模型。该体系结构标准定义了网络互连的七层框架（物理层、数据链路层、网络层、传输层、会话层、表示层和应用层），即ISO开放系统互连参考模型。在这一框架下进一步详细规定了每一层的功能，以实现开放系统环境中的互连性、互操作性和应用的可移植性。ISO将整个通信功能划分为七个层次，划分原则是：（1） 网路中各节点都有相同的层次；（2） 不同节点的同等层具有相同的功能；（3） 同一节点内相邻层之间通过接口通信；（4） 每一层使用下层提供的服务，并向其上层提供服务（5） 不同节点的同等层按照协议实现对等层之间的通信。

转输层411X网络层网络层链賂层物理层转路层;协议［驹理层!链路层转输层411X网络层网络层链賂层物理层转路层;协议［驹理层!链路层物理层子网内部协议链路层通信子网第1层物理层：处于OSI参考模型的最底层。物理层的主要功能是利用物理传输介质为数据链路层提供物理连接，以便透明的传送比特流。常用设备有（各种物理设备）集线器、中继器、调制解调器、网线、双绞线、同轴电缆。第2层数据链路层：在此层将数据分帧，并处理流控制。屏蔽物理层，为网络层提供一个数据链路的连接，在一条有可能出差错的物理连接上,进行几乎无差错的数据传输（差错控制）。本层指定拓扑结构并提供硬件寻址。常用设备有网卡、网桥、交换机;第3层网络层:本层通过寻址来建立两个节点之间的连接,为源端的运输层送来的分组选择合适的路由和交换节点，正确无误地按照地址传送给目的端的运输层。主要有IP和ARP等。第4层传输层：常规数据递送一一面向连接或无连接。为会话层用户提供一个端到端的可靠、透明和优化的数据传输服务机制包括全双工或半双工、流控制和错误恢复服务；传输层把消息分成若干个分组，并在接收端对它们进行重组。不同的分组可以通过不同的连接传送到主机。这样既能获得较高的带宽，又不影响会话层。在建立连接时传输层可以请求服务质量，该服务质量指定可接受的误码率、延迟量、安全性等参数，还可以实现基于端到端的流量控制功能。主要是TCP和UDP第5层会话层：在两个节点之间建立端连接。为端系统的应用程序之间提供了对话控制机制。此服务包括建立连接是以全双工还是以半双工的方式进行设置，尽管可以在层4中处理双工方式；会话层管理登入和注销过程。它具体管理两个用户和进程之间的对话。如果在某一时刻只允许一个用户执行一项特定的操作，会话层协议就会管理这些操作，如阻止两个用户同时更新数据库中的同一组数据。

第6层表示层：主要用于处理两个通信系统中交换信息的表示方式。为上层用户解决用户信息的语法问题。它包括数据格式交换、数据加密与解密、数据压缩与终端类型的转换。第7层应用层：OSI中的最高层。为特定类型的网络应用提供了访问OSI环境的手段。应用层确定进程之间通信的性质，以满足用户的需要。应用层不仅要提供应用进程所需要的信息交换和远程操作，而且还要作为应用进程的用户代理，来完成一些为进行信息交换所必需的功能。应用层能与应用程序界面沟通，以达到展示给用户的目的。在此常见的协议有:HTTP,HTTPS,FIE，TELNET,SSH，SMTP,POP3等。数据发送时，从第七层传到第一层，接收数据则相反。上三层总称应用层，用来控制软件方面。下四层总称数据流层，用来管理硬件。除了物理层之外其他层都是用软件实现的。数据在发至数据流层的时候将被拆分。在传输层的数据叫段，网络层叫包，数据链路层叫帧，物理层叫比特流，这样的叫法叫PDU（协议数据单元）。4iFi'ifie42证：14424iFi'ifie42证：1442bytesmwire(11536blcsj81442bytescaptured(L15J6bits}miinxerfaceu-iEctiernecII,Src.:AjHbCoTii—hT口：日匚:b3:4Ci：SEi}aCar二Tp-L1ricT_bb:4e:7a(ec:lF:Zf:fab:4e:7a)E.Oestlnation:Tp-LinkTj)b:4e:"a(ec：l?32f "a}msource:AXl3C0*WLJtJ9：4.6：SS(OOEiO：fiC：b9：4.6：S9^Type:IF(OjgO&DO)QIntornocRra<口匚口1u'arsicm4, -匚：172.16.2D0.251(1T2.1S.20D.251),Dst:1T2.1S.20D.Bfi<1T2.LB. 3«i)■verslwi：4Length:20-byies田C"iFf«irgrrciatQdSarvicesField:0x00(□肚P0x00:Dafaulc;CCM:DxQD:Mat-£CTfriacCCiM-Capabll«TransparlocalLengthsideniinc^iloni0x0000(0>tFlaggs: C&zn'tFr&gnent^：fr^nancoffset:alineca11*6dprorocol:lefCl?)田H口chacksuvt:口x4bc4[va!ida.t"Iand"lsablad]Source?17Z.16,200,251(171,16,200,251)Msrlnadon: <172.l*j.200-86}[Source4*cdIP:Unknown][Dfi^tina-cicfiCboIP:Unfcnctan]dus-er PrOTOCOl.srcpore:50J1Q(5O3dO).MCPC^C:59153(59158)SourceFort;50340{5D34D)£«5t-ina<ionPort:3-Q-L^-BC5S15E,;n电ngih:1-4Qfl田checked■■:Os«S2dl[^alldaizlondlsafiled][Streaurindex:!■]Qftc-al-I-inaTranspartProcacol选取的Frame4266,之所以为帧，可以知道这就是数据链路层的一帧数据，总共的大小为1442byte。下面的就是头部信息，根据紧挨着的第二行就是数据链路层的头部信息（14byte）该帧在了数据链路层使用的是EthernetII协议（以太网协议），点开+号，可以发现：+“antea/囱id」？byresm訓「电门人刃市勺壮引.1■显2勺卢密 灯15予$bdisjon伽erfac电0siMsc1nar1a«ipHLlnfc-T_bb：iie：7aCec172T戏妊7-ajxSourca:AxisfannJ^Q:4il!>:£9-Co<3:4-a：3c:h-ii：4C:-B«)iype!ip{0x0^00}即数据链路层的的头部信息：目的MAC地址、源MAC地址、指定到网络层的协议类型。数据链路层的头部加上IP数据包就是数据链路层的一帧了。也即第二行的数据链路层的头部信息信息（14byte加上后面几行的所有信息（1428byte）就是数据链路层一帧数据（1442byte。紧挨着的第三行就是IP数据包的头部信息。第四行就是UDP头部信息。据链路层

1.数据链路层有三个目的：•为IP模块发送和接收IP数据报。（IP为网络层的协议）•为ARP模块发送ARP请求和接收ARP应答。（ARP为网络层的协议•为RARP发送RARP请求和接收RARP应答。ARP叫做地址解析协议，是用IP地址换MAC地址的一种协议，而RARP则叫做逆地址解析协议。数据链路层的以太网的协议中，每一个数据包都有一个MAC地址头么？我们知道每一块以太网卡都有一个MAC地址，这个地址是唯一的，那么IP包是如何知道这个MAC地址的？这就是ARP协议的工作。ARP（地址解析）协议是一种解析协议，本来主机是完全不知道这个IP对应的是哪个主机的哪个接口，当主机要发送一个IP包的时候，会首先查一下自己的ARP高速缓存（就是一个IP-MAC地址对应表缓存），如果查询的IP-MAC值对不存在,那么主机就向网络发送一个ARP协议广播包，这个广播包里面就有待查询的IP地址，而直接收到这份广播的包的所有主机都会查询自己的IP地址，如果收到广播包的某一个主机发现自己符合条件，那么就准备好一个包含自己的MAC地址的ARP包传送给发送ARP广播的主机，而广播主机拿到ARP包后会更新自己的ARP缓存（就是存放IP-MAC对应表的地方）。发送广播的主机就会用新的ARP缓存数据准备好数据链路层的的数据包发送工作。网络层数据包--IP网络层数据包--IP据包1.IP数据报（IPDatagram）。这是一个与硬件无关的虚拟包，由首部和数据两部分组成，其格式如图所示。首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段，其长度是可变的。首部中的源地址和目的地址都是IP协议地址。苜部| 工擞据抠 友送在前（1）版本占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的IP协议版本号为4（即IPv4）。⑵首部长度占4位，可表示的最大十进制数值是15。请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节，因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。首部长度限制为60字节的缺点是有时可能不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是20字节(即首部长度为0101，这时不使用任何选项。区分服务占8位，用来获得更好的服务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务DS(DifferentiatedServices)。只有在使用区分服务时，这个字段才起作用。总长度总长度指首部和数据之和的长度，单位为字节。总长度字段为16位，因此数据报的最大长度为276-1=65535字节。在IP层下面的每一种数据链路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU(MaximumTransferUnit。当一个数据报封装成链路层的帧时，此数据报的总长度(即首部加上数据部分)一定不能超过下面的数据链路层的MTU值。(在RTP包中的总长度为1428byte,为1408的UDP数据包加上20byte的IP数据包头部所得)。⑸标识(identification)占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1,并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。标志(flag)占3位，但目前只有2位有意义。/标志字段中的最低位记为MF(MoreFragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。/标志字段中间的一位记为DF(Don'tFragment)，意思是“不能分片。只有当DF=0时才允许分片。/ (发现所有RTP包都没有分片，即flag=0x02)片偏移占13位。片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，每个分片的长度一定是8字节(64位)的整数倍(发现所有的RTP包都没有片偏移，即都为0)。生存时间占8位，生存时间字段常用的的英文缩写是TTL(TimeToLive)表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。最初的设计是以秒作为TTL的单位。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1秒，就把TTL值减1。当TTL值为0时，就丢弃这个数据报。后来把TTL字段的功能改为“跳数限制”(但名称不变)。路由器在转发数据报之前就把TTL值减1•若TTL值减少到零,就丢弃这个数据报，不再转发。因此，现在TTL的单位不再是秒，而是跳数。TTL的意义是指明数据报在网络中至多可经过多少个路由器。显然，数据报在网络上经过的路由器的最大数值是255.若把TTL的初始值设为1,就表示这个数据报只能在本局域网中传送。(RTP包的所有TTL都为64)协议占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程(RTP包的协议为17(UDP),另外常见的有6(TCP)、1(ICMP).)首部检验和占16位。这个字段只检验数据报的首部，但不包括数据部分。这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和(一些字段，

如生存时间、标志、片偏移等都可能发生变化）。不检验数据部分可减少计算的工作量（RTP包的所有Headerchecksum都为0x4be6,后面还跟着解释［validationdisabled］，貌似表示授权不进行头部和检验）（11） 源地址占32位。（12） 目的地址占32位。（13） IP首部的可变部分就是一个可选字段。选项字段用来支持排错、测量以及安全等措施，内容很丰富。此字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。某些选项项目只需要1个字节，它只包括1个字节的选项代码。但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0的填充字段补齐成为4字节的整数倍。噌加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。新的IP版本IPv6就将IP数据报的首部长度做成固定的。（RTP包的所有IP头部都是20字节，没有可变部分）五、传输层数据包--UDP五、传输层数据包--UDP据段UDP是UserDatagramProtocol的简称，中文名是用户数据报协议，是QS1（OpenSystemInterconnection,开放式系统互联）参考模型中一种无连接的传输层协议，提供面向事务的简单不可靠信息传送服务，IETFRFC768是UDP的正式规范。UDP在IP报文的协议号是17。与所熟知的TCP（传输控制协议）协议一样,UDP协议直接位于IP（网际协议）协议的顶层。根据QSI（开放系统互连）参考模型,UDP和TCP都属于传输层协议。UDP协议的主要作用是将网络数据流量压缩成数据包［的形式。一个典型的数据包就是一个二进制数据的传输单位。每一个数据包的前8个字节用来包含报头信息，剩余字节则用来包含具体的传输数据。UDP数据段头部信息是8byte。UDP报头由4个域组成，其中每个域各占用2个字节，具体如下：16位源端口号竝位目的端口号16位UDP长度16位UDP检验和数据（如果有）端口号：UDP协议使用端口号为不同的应用保留其各自的数据传输通道。UDP和TCP协议正是采用这一机制实现对同一时刻内多项应用同时发送和接收数据的支持。数据发送一方（可以是客户端或服务器端）将UDP数据包通过源端口发送出去，而数据接收一方则通过目标端口接收数据。有的网络应用只能使用预先为其预留或注册的静态端口;而另外一些网络应用则可以使用未被注册的动态端口。因为UDP报头使用两个字节存放端口号，所以端口号的有效范围是从0到65535。一般来说，大于49151的端口号都代表动态端口。数据报的长度：指包括报头和数据部分在内的总字节数。因为报头的长度是固定的，所

以该域主要被用来计算可变长度的数据部分（又称为数据负载。数据报的最大长度根据操作环境的不同而各异从理论上说，包含报头在内的数据报的最大长度为65535字节。不过，一些实际应用往往会限制数据报的大小，有时会降低到8192字节（在抓取的包中，UDP数据包长度为1408byte,为1400byte的RTP包加上8byte的UDP包所得。）校验值：UDP协议使用报头中的校验值来保证数据的安全。校验值首先在数据发送方通过特殊的算法计算得出，在传递到接收方之后，还需要再重新计算。如果某个数据报在传输过程中被第三方篡改或者由于线路噪音等原因受到损坏发送和接收方的校验计算值将不会相符（不一定是相等，与计算算法应该得到的结果不相符），由此UDP协议可以检测是否出错。这与TCP协议是不同的，后者要求必须具有校验值。（RTP包中的UDP的每个checksum都不同）。许多链路层协议都提供错误检查，包括流行的以太网协议，也许你想知道为什么UDP也要提供检查和校验。其原因是链路层以下的协议在源端和终端之间的某些通道可能不提供错误检测。虽然UDP提供有错误检测，但检测到错误时，UDP不做错误校正，只是简单地把损坏的消息段扔掉，或者给应用程序提供警告信息。在TCP/IP协议层次模型中，UDP位于IP层之上。应用程序访问UDP层然后使用IP层传送数据报。IP层的报头指明了源主机和目的主机地址，而UDP层的报头指明了主机上的源端口和目的端口。当传输层据包

当传输层据包目的MAC(48) '源MAC(48)类型阴版本⑷首部长度⑷服务类型圈数据报总长卩可分组10(161标记⑶段偏移量U3）生存时间固 高层协仪固首部檢验和卩目源IP地址国）目的IP地址02}源端口㈣目的踹口（過TEP序司洞扌肖带的确认卩2}首部匠帥|保留⑹|Flag何窗口尺寸TCP檢峻和㈣紧急指针M数据报內容图中括号中的数字代表的是当前域所占的空间大小，单位是bit位。黄色的是数据链路层的头部，一共14字节（数据链路层）绿色的部分是IP头部，一般是20字节（网络层）紫色部分是TCP头部，一般是20字节（传输层）最内部的是数据包内容黄色部分：链路层目的MAC:当前step目的主机的mac地址源MAC:当前step的源主机的mac地址类型：指定网络层所用的协议类型，通常是IP协议，0x0800绿色部分：网络层，这里用的是IP包头格式版本：记录数据报属于哪一个版本的协议，如IPv4或IPv6首部长度：指明IP头部长度，单位是字，也就是两个字节。该域的值最小为5，就是标准的头部长度；最大为15，表明有扩展部分。服务类型：用来区分不同服务的需要据报总长：包含IP头部的数据报的总长度。注意，这里不包括链路层的头部，目前最大值是65535字节。分组ID:这个域的作用是当一个大的数据报被拆分时，拆分成的小的数据段的这个域都是一样的。标记：共三个bit，第一个未使用；第二个DF(Don'tFragment)，设置成1表示这个数据包不能被分割，这个是针对路由器的一条指令；第三个MF(MoreFragment)，如果一个数据包被分割了