Wireshark实战分析之IP协议（二）

（1）什么是IP数据报

        TCP/IP协议定义了一个在局域网上传输的包，称为IP数据报（IP Datagram）。IP数据报由首部和数据两部分组成，首部部分包括版本，长度，IP地址等信息。数据部分一般用来传输其他的协议，如TCP，UDP和ICMP协议等。

（2）IP数据报首部格式

       

     版本：     指IP协议所使用的的版本。目前广泛使用的IP协议版本号为4

    首部长度：  IP首部长度，可表示的最大十进制数值是15。注意，该字段所表示的单位是32位字长（4个字节）。因此首部长度最大为60字节

    服务类型： 优先级标志位和服务类型标志位

    总长度：    指IP首部和数据包中数据之后的长度，单位为字节。总长度为16位，因此最大长度为2^16- 1 = 65536字节

    标识：  一个唯一的标识数字，用来标识一个数据报或者被分片数据报的次序

    标志：   用来标识一个数据包是否是一组分片数据包的一部分。 最低位MF（More Fragment）。当MF=1表示后面“还有分片”的数据包，MF=0表示这已经是最后一个分片数据了，中间位DF（Dont Fragment）不能分片，只有当DF=0时，才允许分片

    片偏移： 一个数据包其中的分片，用于重新组装数据用

    生存时间： 用来定义数据包的生存周期

    协议： 用来识别在数据包序列中上层协议数据包的类型

    首部检验和： 一个错误的检测机制，确保IP头部没有被修改

   源地址： 发送端的IP地址

   目的地址：数据包目的的IP地址

    可选字段：保留作额外的IP选项

    数据部分：使用IP传递实际数据用。

（3）分析IP数据报

     在本地主机上ping  www.baidu.com，使用wireshark获取数据

   

   

 （4）先分析29帧，也就是请求帧

     选中29帧，查看包的详细信息

   

  （5）分析30帧，也就是回应帧

   

    

     其中明显的不同的是生存时间发了变化，也就是从我本地到百度之间总共经过了64-55=9个路由。当然每次可能经过的路径是不一样的。我们可以通过tracert命令查看。

   

    可以看到经过了11个路由，显然每次路径是不一样的。

    关于生存时间，下节做详细说明