网络层( Network)
- 网络层数据包(IP数据包,Packet)由首部、数据2部分组成
- 数据:**很多时候 **是由传输层传递下来的数据段(Segment)
- ARP、ICMP 是直接在网络层生成的,不是由传输层传递下来的
- 数据:**很多时候 **是由传输层传递下来的数据段(Segment)
网络层首部
版本、首部长度、区分服务
-
版本(Version)
- 占4位
- 0b0100:IPv4
- 0b0110:IPv6
-
首部长度(Header Length)
- 占4位,二进制乘以4才是最终长度
- 0b0101:20(最小值)
- 0b1111:60(最大值)
-
区分服务(Differentiated Services Field)
-
占8位
-
可以用于提高网络的服务质量(QoS,Quality of Service)
-
可实现优先传输
-
总长度
- 总长度(Total Length)
- 占16位
- 首部 + 数据的长度之和,最大值是65535
- 由于帧的数据不能超过1500字节,所以过大的IP数据包,需要分成片(fragments)传输给数据链路层
- 每一片都有自己的网络层首部(IP首部)
标识、标志
- 标识(Identification)
- 占16位
- 数据包的ID,当数据包过大进行分片时,同一个数据包的所有片的标识都是一样的
- 有一个计数器专门管理数据包的ID,每发出一个数据包,ID就加1
- 标志(Flags)
- 占3位
- 第1位(Reserved Bit):保留
- 第2位(Don't Fragment):1代表不允许分片,0代表允许分片
- 第3位(More Fragments):1代表还有更多片,0代表是最后一片,没有更多片
片偏移
- 片偏移(Fragment Offset) 当数据包过大时,分包后,用来标识当前数据是哪个位置的
- 占13位
- 片偏移乘以8:字节偏移 (为了能保存更多的数值,才只保存除以8之后的数值)
- 每一片的长度一定是8的整数倍
- 片偏移值为:上一个片在整个包中的前面偏移值 + 总长度
以下是 3800字节的数据包,拆成3片
ping - 高级用法
-
ping /?
- 查看ping的用法
-
ping ip地址 -l 数据包大小
- 发送指定大小的数据包
-
ping ip地址 -f
- 不允许网络层分片
-
ping ip地址 -i TTL
- 设置TTL的值
-
通过tracert、pathping命令,可以跟踪数据包经过了哪些路由器
案例:ping ke.qq.com -l 4000 ,发送一个4000字节的包,拆分后的各项值
-
片1
- 总长度:1500
- 首部:20
- 数据长度:1480
- 偏移值:0
-
片2
- 其它同上
- 偏移值:1480
- 偏移值表示的是在数据中的偏移值,不包括首部
-
片3
-
其它同上
-
数据长度:1068
-
偏移值:2960
-
抓包注意点,如果包被分片后,当包没有传输到最后一个时,软件是不知道是什么协议的,如下图,前2个包软件当成了IPV4的协议,只有最后一个包也接收到的时候才能真正解析出协议是ICMP的
生存时间
- 生存时间(Time To Live,TTL)
- 占8位
- 每个路由器在转发之前会将TTL减1,一旦发现TTL减为0,路由器会返回错误报告
- 观察使用ping命令后的TTL,能够推测出对方的操作系统、中间经过了多少个路由器
协议、首部校验和
- 协议(Protocol)
- 8位
- 表明所封装的数据是使用了什么协议
- 首部校验和(Header Checksum)
- 用于检查首部是否有错误