首先我们的熟悉下网络的结构:
熟悉上面以后,我用网络监测工具 IPAnalyse 设置好以后抓的数据,取里面一条分析一下。
首先是:
我们看到有 3 个主要的部分。
网络接口层
这个是 DLC 数据帧的数据,依次是源 MAC 地址、目标 MAC 地址、以太网类型,8 表示为以
太网。
通过上述分析,可以得出 DLC 帧结构为:
网络层
PDF created with pdfFactory Pro trial version www.pdffactory.com
IP 数据报中依次包括以下信息:
1、Version=4,表示 IP 协议的版本号为 4。该部分占 4 个 BIT 位。
2、Header Length=20 Bytes,表示 IP 包头的总长度为 20 个字节。该部分占 4 个 BIT 位,
单位为 4 个字节,因为 PC 是 32 位的,byte 是 8 位的,那么 PC 执行一次能发送 4byte,这
里是 5,那么 5*4=20 字节。最大是 F*4 = 60 字节。
3、Type of Service=00,表示服务类型为 0。该部分用二个十六进制值来表示,共占 8 个
BIT。
8 个 BIT 的含义是:
000 前三位不用
0 表示最小时延,如 Telnet 服务使用该位
0 表示吞吐量,如 FTP 服务使用该位
0 表示可靠性,如 SNMP 服务使用该位
0 表示最小代价
0 不用
4、Total Length=52Bytes, 表示该 IP 包的总长度为 52 个字节。该部分占 16 个 BIT,单位
为 Byte。由此可见,一个 IP 数据包的最大长度为 2 的 16 次方减 1,即:65535 个字节。因
此,在以太网中能够传输的最大 IP 数据包为 65535 个字节。
5、Identification=34848,表示 IP 包识别号为 34848。该部分占 16 个 BIT,以十进制数表
示。
6、Flags,表示片标志,占 3 个 BIT。各位含义分别为:第一个“0”不用,第二个“0”
为分片标志位,“1”表示分片,“0”表示不分版本。第三个 0 为是否最后一片标志位,0 表
示最后一片,1 表示还有更多的片。
7、Fragment Offset=0,表示片偏移为 0 个 Bytes。该部分占 13 个 BIT。
8、Time to Live=64 hops,表示生存时间 TTL 值为 64。该部分占 8 个 BIT。
9、Proctol=6(TCP),表示协议类型为 TCP,协议代码是 6。如果是 UDP 协议,则此处
的协议代码应为 17。如果是 ICMP 协议,则此处的协议代码应为 1。该部分占 8 个 BIT。
10、hecksun=0x30f8(correct),表示 IP 包头校验和为 30f8,括号内的 Correct 表示此 IP
数据包是正确的,没有被非法修改过。该部分占 16 个 BIT,用十六进制表示。
PDF created with pdfFactory Pro trial version www.pdffactory.com
11、Source Address=[192.168.0.89] ,表示 IP 数据包源地址为:192.168.0.89。该部分占
32 个 BIT。
12、Destination Address=[192.168.0.2],表示 IP 数据包目的地址为:192.168.0.2。该部分
占 32 个 BIT。
13、No Options,表示 IP 数据包中未使用选项部分。当需要记录路由时才使用该选项。
通过上述分析,可以得出 IP 数据报结构为:
传输层
TCP 数据报中依次包括以下信息:
1、Source Port=2649,表示发起连接的源端口为 2649。该部分占16 个 BIT。通过此值,
可以看出发起连接的计算机源端口号。
2、Destination Port=8010,表示要连接的目的端口为 8010。该部分占 16 个 BIT。通过此
值,可以看出要登录的目的端口号。
3、Sequence Number=995831191,表示初始连接的请求号,即 SEQ 值。该部分占 32 个
BIT,值从 1 到 2 的 32 次方减 1。
4、Acknowledgment Number=586448882,表示对方的应答号应为 586448882,即对方返
回的 ACK 值。该部分占 32 个 BIT,值从 1 到 2 的 32 次方减 1。
5、Header Length :8,表示 TCP 数据报有 8*4 = 32 字节。
6、Flags=0x10。该值用两个十六进制数来表示。该部分长度为 8 个 BIT,8 个标志位的
含义分别是:
PDF created with pdfFactory Pro trial version www.pdffactory.com
0 ECE ,
,
0 CWR
0 URG,紧急数据标志,为 1 表示有紧急数据,应立即进行传递。
0 ACK,确认标志位,为 1 表示此数据包为应答数据包
0 PSH,PUSH 标志位,为 1 表示此数据包应立即进行传递。
0 RST:复位标志位。如果收到不属于本机的数据包,则返回一个 RST
0 SYN:连接请求标志位。为 1 表示为发起连接的请求数据包。
0 FIN:结束连接请求标志位。为 1 表示是结束连接的请求数据包。
7、Window=65535,表示窗口是 65535。该部分占 16 个 BIT。
8、CheckSum=0x6626(Correct),表示校验和是 6626。该部分占 16 个 BIT,用十六进制
表示。
9、Urgent Pointer = 0,表示紧急指针为 0。该部分占 16 个 BIT。
10 、Tcp Options: Yes,
11 、Tcp Data length : 0 bytes ,无数据
通过上述分析,可以得出 TCP 数据报结构为:
小结
通过上述分析,可以发现:在以太网中,最大传输单元 MTU 为 1500 个字节,在一个 IP
包中,去除 IP 包头的 20 个字节,可以传输的最大数据长度为 1480 个字节。在 TCP 包中,
去除 20 个 TCP 包头,可以传输的最大数据段为 1460 个字节。因此,当数据超过最大数据
长度时,将对该数据进行分片处理,在 IP 包头中会看到有多个片在传输,但标识号是相同
的,表示是同一个数据包.
PDF created with pdfFactory Pro trial version www.pdffactory.com