所用軟件

Wireshark

網(wǎng)絡(luò)層

操作一

熟悉 IP 包結(jié)構(gòu)。

使用 Wireshark 任意進(jìn)行抓包（可用 ip 過(guò)濾），熟悉 IP 包的結(jié)構(gòu)，如：版本、頭部長(zhǎng)度、總長(zhǎng)度、TTL、協(xié)議類型等字段。

ping?10.160.4.161

?

?

展開數(shù)據(jù)詳細(xì)信息區(qū)間，抓到的數(shù)據(jù)如下：

版本：IPV4
頭部長(zhǎng)度：20 bytes
總體長(zhǎng)度:60
存活時(shí)間TTL：64s
協(xié)議：ICMP

操作一相關(guān)問(wèn)題

為提高效率，我們應(yīng)該讓 IP 的頭部盡可能的精簡(jiǎn)。但在如此珍貴的 IP 頭部你會(huì)發(fā)現(xiàn)既有頭部長(zhǎng)度字段，也有總長(zhǎng)度字段。請(qǐng)問(wèn)為什么？
回答：
IP的頭部長(zhǎng)度可以使得接收端計(jì)算出報(bào)頭在何處結(jié)束及從何處開始讀數(shù)據(jù)?？傞L(zhǎng)度的字段是因?yàn)榻邮斩诵枰x數(shù)據(jù)，接收數(shù)據(jù)。

操作二

IP 包的分段與重組。
據(jù)規(guī)定，一個(gè) IP 包最大可以有 64K 字節(jié)。但由于 Ethernet 幀的限制，當(dāng) IP 包的數(shù)據(jù)超過(guò) 1500 字節(jié)時(shí)就會(huì)被發(fā)送方的數(shù)據(jù)鏈路層分段，然后在接收方的網(wǎng)絡(luò)層重組。

缺省的，ping 命令只會(huì)向?qū)Ψ桨l(fā)送 32 個(gè)字節(jié)的數(shù)據(jù)。使用 ping 39.156.69.79 -l 1000 命令指定要發(fā)送的數(shù)據(jù)長(zhǎng)度為1000。此時(shí)使用 Wireshark 抓包（用 ip.addr ==39.156.69.79進(jìn)行過(guò)濾），了解 IP 包如何進(jìn)行分段，如：分段標(biāo)志、偏移量以及每個(gè)包的大小等。

ping?10.160.255.254?-l?2000?

?

?

展開數(shù)據(jù)詳細(xì)信息區(qū)間，抓到的數(shù)據(jù)如下：

分段標(biāo)志：Flags

MF、DF、未用。MF=1表示后面還有分段的數(shù)據(jù)包，MF=0表示沒(méi)有更多分片（即最后一個(gè)分片）。DF=1表示路由器不能對(duì)該數(shù)據(jù)包分段，DF=0表示數(shù)據(jù)包可以被分段。

偏移量：Fragment Offset

1480

每個(gè)包的大小：

1480與528

操作二相關(guān)問(wèn)題

分段與重組是一個(gè)耗費(fèi)資源的操作，特別是當(dāng)分段由傳送路徑上的節(jié)點(diǎn)即路由器來(lái)完成的時(shí)候，所以 IPv6 已經(jīng)不允許分段了。那么 IPv6 中，如果路由器遇到了一個(gè)大數(shù)據(jù)包該怎么辦？

回答：

直接丟棄再通知發(fā)送端進(jìn)行重傳。

由于在 IPv6中分段只能在源與目的地上執(zhí)行，不能在路由器上進(jìn)行。因此當(dāng)數(shù)據(jù)包過(guò)大時(shí)，路由器就會(huì)直接丟棄該數(shù)據(jù)包包，并向發(fā)送端發(fā)回一個(gè)"分組太大"的ICMP差錯(cuò)報(bào)文，之后發(fā)送端就會(huì)使用較小長(zhǎng)度的IP數(shù)據(jù)報(bào)重發(fā)數(shù)據(jù)。

操作三

考察 TTL 事件。

在 IP 包頭中有一個(gè) TTL 字段用來(lái)限定該包可以在 Internet上傳輸多少跳（hops），一般該值設(shè)置為 64、128等。

使用 tracert www.baidu.com 命令進(jìn)行追蹤，此時(shí)使用 Wireshark 抓包（用 icmp 過(guò)濾），分析每個(gè)發(fā)送包的 TTL 是如何進(jìn)行改變的，從而理解路由追蹤原理。

?

展開數(shù)據(jù)詳細(xì)信息區(qū)間，抓到的數(shù)據(jù)如下：

TTL的改變：

Tracert 命令確定兩臺(tái)主機(jī)的路由主要是通過(guò) IP 生存時(shí)間 (TTL) 字段和 ICMP 錯(cuò)誤消息。 在工作環(huán)境中有多條鏈路出口時(shí)，可以通過(guò)該命令查詢數(shù)據(jù)是經(jīng)過(guò)的哪一條鏈路出口。

由于路徑上的每個(gè)路由器在轉(zhuǎn)發(fā)數(shù)據(jù)包之前至少將數(shù)據(jù)包上的 TTL 遞減 1，因此 Tracert 先發(fā)送 TTL 為 1 的回應(yīng)數(shù)據(jù)包，并在隨后的每次發(fā)送過(guò)程將 TTL 遞增 1，直到目標(biāo)響應(yīng)或 TTL 達(dá)到最大值，從而確定路由。通過(guò)檢查中間路由器發(fā)回的“ICMP 已超時(shí)”的消息確定路由。

操作三相關(guān)問(wèn)題

在 IPv4 中，TTL 雖然定義為生命期即 Time To Live，但現(xiàn)實(shí)中我們都以跳數(shù)/節(jié)點(diǎn)數(shù)進(jìn)行設(shè)置。如果你收到一個(gè)包，其 TTL 的值為 50，推斷這個(gè)包從源點(diǎn)到你之間有多少跳？

回答：

微軟 Windows 操作系統(tǒng) ICMP 回顯應(yīng)答的 TTL 字段值為 128；TTL為返回值，跳數(shù)就為128-50=75跳。

編輯：黃飛