首先我们的熟悉下网络的结构： 熟悉上面以后，我用网络监测工具 IPAnalyse 设置好以后抓的数据，取里面一条分析一下。 首先是： 我们看到有 3 个主要的部分。 网络接口层 这个是 DLC 数据帧的数据，依次是源 MAC 地址、目标 MAC 地址、以太网类型，8 表示为以 太网。 通过上述分析，可以得出 DLC 帧结构为： 网络层 PDF created with pdfFactory Pro trial version www.pdffactory.com 

IP 数据报中依次包括以下信息： 1、Version＝4，表示 IP 协议的版本号为 4。该部分占 4 个 BIT 位。 2、Header Length=20 Bytes，表示 IP 包头的总长度为 20 个字节。该部分占 4 个 BIT 位， 单位为 4 个字节，因为 PC 是 32 位的，byte 是 8 位的，那么 PC 执行一次能发送 4byte，这 里是 5，那么 5*4=20 字节。最大是 F*4 = 60 字节。 3、Type of Service=00，表示服务类型为 0。该部分用二个十六进制值来表示，共占 8 个 BIT。 8 个 BIT 的含义是： 000 前三位不用 0 表示最小时延，如 Telnet 服务使用该位 0 表示吞吐量，如 FTP 服务使用该位 0 表示可靠性，如 SNMP 服务使用该位 0 表示最小代价 0 不用 4、Total Length=52Bytes, 表示该 IP 包的总长度为 52 个字节。该部分占 16 个 BIT，单位 为 Byte。由此可见，一个 IP 数据包的最大长度为 2 的 16 次方减 1，即：65535 个字节。因 此，在以太网中能够传输的最大 IP 数据包为 65535 个字节。 5、Identification=34848，表示 IP 包识别号为 34848。该部分占 16 个 BIT，以十进制数表 示。 6、Flags，表示片标志，占 3 个 BIT。各位含义分别为：第一个“0”不用，第二个“0” 为分片标志位，“1”表示分片，“0”表示不分版本。第三个 0 为是否最后一片标志位，0 表 示最后一片，1 表示还有更多的片。 7、Fragment Offset＝0，表示片偏移为 0 个 Bytes。该部分占 13 个 BIT。 8、Time to Live=64 hops，表示生存时间 TTL 值为 64。该部分占 8 个 BIT。 9、Proctol＝6（TCP），表示协议类型为 TCP，协议代码是 6。如果是 UDP 协议，则此处 的协议代码应为 17。如果是 ICMP 协议，则此处的协议代码应为 1。该部分占 8 个 BIT。 10、hecksun=0x30f8(correct)，表示 IP 包头校验和为 30f8，括号内的 Correct 表示此 IP 数据包是正确的，没有被非法修改过。该部分占 16 个 BIT，用十六进制表示。 PDF created with pdfFactory Pro trial version www.pdffactory.com 

11、Source Address=[192.168.0.89] ，表示 IP 数据包源地址为：192.168.0.89。该部分占 32 个 BIT。 12、Destination Address=[192.168.0.2],表示 IP 数据包目的地址为：192.168.0.2。该部分 占 32 个 BIT。 13、No Options，表示 IP 数据包中未使用选项部分。当需要记录路由时才使用该选项。 通过上述分析，可以得出 IP 数据报结构为： 传输层 TCP 数据报中依次包括以下信息： 1、Source Port=2649，表示发起连接的源端口为 2649。该部分占16 个 BIT。通过此值， 可以看出发起连接的计算机源端口号。 2、Destination Port=8010，表示要连接的目的端口为 8010。该部分占 16 个 BIT。通过此 值，可以看出要登录的目的端口号。 3、Sequence Number=995831191，表示初始连接的请求号，即 SEQ 值。该部分占 32 个 BIT，值从 1 到 2 的 32 次方减 1。 4、Acknowledgment Number=586448882，表示对方的应答号应为 586448882，即对方返 回的 ACK 值。该部分占 32 个 BIT，值从 1 到 2 的 32 次方减 1。 5、Header Length :8,表示 TCP 数据报有 8*4 = 32 字节。 6、Flags＝0x10。该值用两个十六进制数来表示。该部分长度为 8 个 BIT，8 个标志位的 含义分别是： PDF created with pdfFactory Pro trial version www.pdffactory.com 

0 ECE ， ， 0 CWR 0 URG，紧急数据标志，为 1 表示有紧急数据，应立即进行传递。 0 ACK，确认标志位，为 1 表示此数据包为应答数据包 0 PSH，PUSH 标志位，为 1 表示此数据包应立即进行传递。 0 RST：复位标志位。如果收到不属于本机的数据包，则返回一个 RST 0 SYN：连接请求标志位。为 1 表示为发起连接的请求数据包。 0 FIN：结束连接请求标志位。为 1 表示是结束连接的请求数据包。 7、Window=65535，表示窗口是 65535。该部分占 16 个 BIT。 8、CheckSum=0x6626(Correct)，表示校验和是 6626。该部分占 16 个 BIT，用十六进制 表示。 9、Urgent Pointer = 0,表示紧急指针为 0。该部分占 16 个 BIT。 10 、Tcp Options: Yes， 11 、Tcp Data length : 0 bytes ，无数据 通过上述分析，可以得出 TCP 数据报结构为： 小结 通过上述分析，可以发现：在以太网中，最大传输单元 MTU 为 1500 个字节，在一个 IP 包中，去除 IP 包头的 20 个字节，可以传输的最大数据长度为 1480 个字节。在 TCP 包中， 去除 20 个 TCP 包头，可以传输的最大数据段为 1460 个字节。因此，当数据超过最大数据 长度时，将对该数据进行分片处理，在 IP 包头中会看到有多个片在传输，但标识号是相同 的，表示是同一个数据包. PDF created with pdfFactory Pro trial version www.pdffactory.com