所用軟件

Wireshark

網(wǎng)絡(luò)層

操作一

熟悉 IP 包結(jié)構(gòu)。

使用 Wireshark 任意進行抓包（可用 ip 過濾），熟悉 IP 包的結(jié)構(gòu)，如：版本、頭部長度、總長度、TTL、協(xié)議類型等字段。

ping?10.160.4.161

?

?

展開數(shù)據(jù)詳細信息區(qū)間，抓到的數(shù)據(jù)如下：

版本：IPV4
頭部長度：20 bytes
總體長度:60
存活時間TTL：64s
協(xié)議：ICMP

操作一相關(guān)問題

為提高效率，我們應(yīng)該讓 IP 的頭部盡可能的精簡。但在如此珍貴的 IP 頭部你會發(fā)現(xiàn)既有頭部長度字段，也有總長度字段。請問為什么？
回答：
IP的頭部長度可以使得接收端計算出報頭在何處結(jié)束及從何處開始讀數(shù)據(jù)?？傞L度的字段是因為接收端需要讀數(shù)據(jù)，接收數(shù)據(jù)。

操作二

IP 包的分段與重組。
據(jù)規(guī)定，一個 IP 包最大可以有 64K 字節(jié)。但由于 Ethernet 幀的限制，當 IP 包的數(shù)據(jù)超過 1500 字節(jié)時就會被發(fā)送方的數(shù)據(jù)鏈路層分段，然后在接收方的網(wǎng)絡(luò)層重組。

缺省的，ping 命令只會向?qū)Ψ桨l(fā)送 32 個字節(jié)的數(shù)據(jù)。使用 ping 39.156.69.79 -l 1000 命令指定要發(fā)送的數(shù)據(jù)長度為1000。此時使用 Wireshark 抓包（用 ip.addr ==39.156.69.79進行過濾），了解 IP 包如何進行分段，如：分段標志、偏移量以及每個包的大小等。

ping?10.160.255.254?-l?2000?

?

?

展開數(shù)據(jù)詳細信息區(qū)間，抓到的數(shù)據(jù)如下：

分段標志：Flags

MF、DF、未用。MF=1表示后面還有分段的數(shù)據(jù)包，MF=0表示沒有更多分片（即最后一個分片）。DF=1表示路由器不能對該數(shù)據(jù)包分段，DF=0表示數(shù)據(jù)包可以被分段。

偏移量：Fragment Offset

1480

每個包的大小：

1480與528

操作二相關(guān)問題

分段與重組是一個耗費資源的操作，特別是當分段由傳送路徑上的節(jié)點即路由器來完成的時候，所以 IPv6 已經(jīng)不允許分段了。那么 IPv6 中，如果路由器遇到了一個大數(shù)據(jù)包該怎么辦？

回答：

直接丟棄再通知發(fā)送端進行重傳。

由于在 IPv6中分段只能在源與目的地上執(zhí)行，不能在路由器上進行。因此當數(shù)據(jù)包過大時，路由器就會直接丟棄該數(shù)據(jù)包包，并向發(fā)送端發(fā)回一個"分組太大"的ICMP差錯報文，之后發(fā)送端就會使用較小長度的IP數(shù)據(jù)報重發(fā)數(shù)據(jù)。

操作三

考察 TTL 事件。

在 IP 包頭中有一個 TTL 字段用來限定該包可以在 Internet上傳輸多少跳（hops），一般該值設(shè)置為 64、128等。

使用 tracert www.baidu.com 命令進行追蹤，此時使用 Wireshark 抓包（用 icmp 過濾），分析每個發(fā)送包的 TTL 是如何進行改變的，從而理解路由追蹤原理。

?

展開數(shù)據(jù)詳細信息區(qū)間，抓到的數(shù)據(jù)如下：

TTL的改變：

Tracert 命令確定兩臺主機的路由主要是通過 IP 生存時間 (TTL) 字段和 ICMP 錯誤消息。 在工作環(huán)境中有多條鏈路出口時，可以通過該命令查詢數(shù)據(jù)是經(jīng)過的哪一條鏈路出口。

由于路徑上的每個路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上的 TTL 遞減 1，因此 Tracert 先發(fā)送 TTL 為 1 的回應(yīng)數(shù)據(jù)包，并在隨后的每次發(fā)送過程將 TTL 遞增 1，直到目標響應(yīng)或 TTL 達到最大值，從而確定路由。通過檢查中間路由器發(fā)回的“ICMP 已超時”的消息確定路由。

操作三相關(guān)問題

在 IPv4 中，TTL 雖然定義為生命期即 Time To Live，但現(xiàn)實中我們都以跳數(shù)/節(jié)點數(shù)進行設(shè)置。如果你收到一個包，其 TTL 的值為 50，推斷這個包從源點到你之間有多少跳？

回答：

微軟 Windows 操作系統(tǒng) ICMP 回顯應(yīng)答的 TTL 字段值為 128；TTL為返回值，跳數(shù)就為128-50=75跳。

編輯：黃飛