1、一個完整的數據幀：利用抓包工具.我們可以從網絡中隨便抓取一個包，比如抓個ICMP包。其結構如下:TCP/IP協議學習理解:Arrival Time: Apr 29, 2008 16:50:44.513588000Time delta from previous captured frame: 0.613273000 secondsTime delta from previous displayed frame: 0.997453000 secondsTime since reference or first frame: 4338.675609000 secondsFrame Number:

2、3076Frame Length: 74 bytescapture Length: 74 bytesFrame is marked: FalseprotoGols in frame: eth:ip:icmp:data-Ethernet II, 5rc: 00:le:c9:3f:5a:d5 (00:le:c9:3f:5a:d5 D5t: HarbourN.fS:26:92 (00:05:3b:f8:26:92) 0 Destination: HarbourN_f8:26:92 (00:05:3b:f8:26:92)Address: HarbourN.f8:26:92 (00:05:3b:f8:2

3、6 :92)S source: 00:le:c9:3f:5a:d5 (00:le:c9:3f:5a:d5)Address: 00:le:c9:3f:5a:d5 (00:le:c9:3f:5a:d5)Type: IP (0x0800)S Internet Protocol, Src: 10-11-1-86 (10-11-1-86), Dst: 10-11.1-5 ()version: 4Header length: 20 bytes頁腳Differentiated services Field: 0x00 (DSCP 0x00: Defau It; ECN： 0x00J0000

4、 00.=Differentiated services codepoint: Default (0x00)0. = CN-capable Transport (cct): 00 = ECN-CE: 0Total Length: 60identification: 0x6381 C25473)Flags: 0x000.=Reserved bit: Not set0=Dont fragment: Not set0 = More fragments: Not setFragment offset: 0Time to live: 128Protocol: ICMP COxOl)Header chec

5、ksum: OxcOcf correctGood: TrueBad : Falsesource: 6 (10-11-1-86)Destination: 10.11.1. 5 C10-H-1- 5)internet control Message Protoco IType: 8 (Echo (ping) request) code: 0Checksum: Oxb35b correct identifier: 0x0200sequence number: 38912 (0x9800)Data C32 bytes)c93F5ad5 08 00 45 00 cO cf Oa Ob

6、01 56 Oa Ob 98 00 61 62 63 64 65 66 6f 70 71 72 73 74 75 76、/.abcdef opqrstuvlelo e 7 1006 6 o o 2d 6 0806 6 2 Ob c 5 9 0 5 6 6 6 o 3 b 42 o b & 6 810 a 3 f s o 6 6 b 3 8 9 23 6 0 6 6 5 c 5 8 1 0 3 0 6 6 0 0 17 7 0 0 0 6 7o o o o o0 12 3 4 o o o o o o o o o oFrame 3076 T是該數據幀里的一些相關信息:頁腳數據幀到達時間?從抓到第一

7、個包到現在計時 幀序列號：幀長度：捕捉到的幀長度：幀是否被標記:幀里包含的協議：eth： ip： 下面長數據幀里的結構：以太網目的主機硬件地址： 源主機硬件地址： 包類型：IP版本：首部長度：-服務類型： 優先權子字段： TOS子字段: 未用位：總長：16位標識：16位標志：3位片偏移：13位生存時間：8位/捕捉到數據幀的時間/設置數據報可以經過的最多路由器/抓包工具抓到的第幾個包/該包自己標記的長度/實際捕捉到的包長/?icmp： data/包自上往下封裝的協議/協議/48bit被發送端主機硬件地址MAC/48bit發送端主機硬件地址 MAC/16bit （0x0800）所封裝包的類型，只識

8、別最外一層IP協議/協議/版本號為4,也稱作IPv4/首部占32bit數目，字段長4比特，所以其最長為：32/8*15 （2進制的1111） =60字節 /8位/3bit優先權子字段/4bit TOS子字段，分別代表：最小時延、最大吞吐量、最高可靠性和最小費用，這里全0表一般服務/lbit未用位（必須置0）/指整個IP數據報的長度，由于該字段長16比特，所以IP數據包最長可達65535字節/唯一標識主機發送的每一份數據報，通常每發送一份報文它的值就會加1頁腳封裝協議類型：/8bit （這里是ICMP , 0x01）所封裝的協議頭部檢驗和：true or false 16位/根據首部計算的檢驗和

9、碼，結果全1為true,否則false源IP地址：目的IP地址：32位ICMP類型：8位代碼：8位檢驗和：16位標識符：16位序列號:16位數據：圍0至1472/發送端主機IP地址/接收端主機IP地址/協議/類型和代碼決定其報文的類型如8和0表示請求報文，0和0表示回應報文/作用和算法同IP檢驗和/標識符和序列號由發送端任意選擇決定，這些值在應答中將被返回，發送端就可以將應答和請求進行匹配。/發送報文的主要容下面背景加黑的部分表示相應的值。這是一個完整的ICMP數據包，由到外封裝順序為：ICMP-IP-ETH 當接收端主機收到一個報文后，分用過程則和封裝相反：ETH-IP-ICHPARP報文：

10、頁腳E3 ame 42570 60 bytes on wire, 60 bytes captured)Arrival Time: Apr 30, 2008 10:46:54.941490000Time delta from previous captured frame: 0.009048000 secondsLTime delta from previous displayed frame: 0.944608000 secondsTime since reference or first frame: 2610.5 5 5347000 secondsFrame Number: 42570Fr

11、ame Length: 60 bytescapture Length: 60 bytesFrame is marked: Falseprotocols in frame: eth:arp-Ethernet II, src: 00:1s:c9:2c:79:bc (00:le:c9:2c:79:be), Dst: Broadcast (ff:ff:ff:ff:ff:ff)曰 Destination: Broadcast (ff:ff:ff:ff:ff:ff)Address: Broadcast (ff:ff:ff:ff:ff:ff) .1=IG bix : Group address (multi

12、 cast/broadcast)1=LG bit: Local ly admiaddress Ct hi s i s not the factory default) 0 source: 00:le:c9:2c:79:bc (00:le:c9:2c:79:bc)Address: 00:le:c9:2c:79:bc (00:le:c9:2c:79:be)0=IG bit: individual address (unicast) .0=LG bix : Global ly unique address (factory default)Type: ARP (0x0806)Trai1 er: 00

13、0000000000000000000000000000000000- Address Resolution Protocol (requestHardware type: Ethernet (0x0001)Protocol type: IP (0x0800)Hardware size: 6Protocol size: 4opcode: request (0x0001)Sender MAC address: 00:le:c9:2c:79:bc (00:le:c9:2c:79:be)sender IP address: 02 (02)Target MAC ad

14、dress: 00:00:0000:00:00 (00:00:00:00:00:00)Target IP address: 03 (10113203)頁腳從相關信息中我們可以看到,ARP的封裝格式為:ETH-ARP。ETH封裝:發送方式為廣播方式，即目的硬件地址全1,這是一個詢問硬件地址的報文；如果是回應報文，則以單播的方式發送回一個報文。ARP報文中的ETH 封裝比ICMP多一個9個字節的Trailer, 一般規定數據幀最小為60字節，ARP請求或應答都是42字節，所以填充18個全0的字節以滿足最小60字節 的要求。幀類型:ARP （ARP請求或應答值都為:0x0806）A

15、RP封裝下的信息： 硬件類型： 協議類型： 硬件地址長度： 協議地址長度： 操作字段： 發送端硬件地址： 發送端IP地址： 接收端硬件地址： 接收端IP地址：/表示硬件地址的類型，0x0001表示以太網地址/表示要映射的協議地址類型，0x0800表示IP地址/I字節，這里值為6,表示硬件地址長度為6字節/I字節，這里值為4/ARP 請求：1； ARP 應答：2； RARP 請求：3； RARP 應答 4。RARP報文：RARP分組格式和ARP基本一致。它們之間主要差別是RARP請求或應答的幀類型代碼為0x8035, RARP請求操作代碼為3,應答操作代碼為4。PING程序：目的：測試另一臺主機

16、是否可以到達。 實驗 1： PING 10. 11. 1. 1 結果輸出如下圖：頁腳C： Docimenits and Settingswpxping Pinging 10.11.1 with 32 bt/tes of data：Reply fror Reply fron Reply from Reply front10.11-1.1：：10.11-1.1==b/tes=32 bytes=32 bi/tes=32 bytes=32time =2ms time =2ms time =2ms tine =2nsTTL=255TTL=255TTL

17、=255TTL=255Pincf statistics for 10.11.1 1.；Packets： Sent = 4. Beceiued = 4, Lost = 0 輸出第一行是采用默認的32字節的報文PING目的主機的IP地址（如果輸入是服務器的名稱，則通過DNS解析成IP地址）。通過抓包工具抓包分析, 我們可以查到發送的報文是包含32字節數據的長74字節的ICMP請求報文。從第2-5行輸出和抓到的數據包可以看到：從目的主機10.11.1. 1收到：含32字節數據、長74字節的ICMP回應報文；往返時間都是2毫秒（往 返時間=接收時間一發送時間），生存時間TTL為255 （最大生存時間）

18、。從第7行可以看到：發送4個包，接受到4個包，丟失率0%；從第9行可以看到：這里最小和最大往返時間都是2亳秒，平均往返時間2亳秒。實驗2： PING 個不存在的主機10. 11. 1.2 結果輸出如下圖：頁腳C: Docunents a.nd. SettingsXwyxping 10-112Pinging with 32 bytes of data：Request Request Request Requestt ined out. t imed. out.t ined out.t imied out.Ping stat istles om 10.11-1-2 =Packe

19、ts: Sent = 4, Received = 0. Lost = 4 M從圖中我們可以看，請求時間超時，發送4個包，收到0個回應，丟失率100%。多PING幾次，即可確定10. 11. 1.2和我們的主機是不相連的。上面是在局域網里面操作的，如果在廣域網里操作，結果會如何呢？實驗 3： PING .simi. 輸出結果如下圖：頁腳C：VDocuments and Settingswyxping Pi.ncfi.ncf 218 30.108 .68 with 32 htes of data :Reply from 218.30.108-68： bytes=32 time=180ms TTL=

20、48Request timed out.Reply from 8: bytes=32 time=144ms TTL=48Reply from 8: bytes=32 time=50ms TTL=48Ping statistics for 8.68；Packets： Sent = 4, Receiued = 3. Lost = 1 從圖中我們可以看出：第一行DNS自動把域名解析成IP地址；第2、4、5行往返時間明顯比實驗1要大很多，甚至超時（如第3行），以上實驗中的一些數值是可以修改的，如傳輸的數據長度，生存時間等都可以根據需要

21、來修改，但存在一定的圍限制，如：、 輸入 PING - i 100 10. 11. 1. 1/修改 TTL 值為 100；通過抓包可以看到：Time to live: 100輸入 PING -i 500 10. 11. 1. 1/修改 TTL 值為 500；則在PING命令下顯不:XJDocunients and Sett ingswyxping i 500 6 ad ualue for option 一ualid range is from 1 to 255.PING實現過程：1、生成ICMP請求報文。2. 將ICMP報文.發送端和目的端的主機IP地址封裝在IP報文中，并發

22、給ETH協議層。頁腳3、通過ARP緩存查詢目的IP地址相對應的硬件地址。如果不存在，則執行4；如果存在，則執行6。4、發送ARP請求報文，以廣播方式發送出去，詢問對應目的IP地址的硬件地址。5、如果接到ARP請求回應，則執行6,否則超時，按異常處理，輸出請求超時。6、ETH協議層將收到的IP報文、源主機和目的主機的硬件地址。7、將封裝好的報文通過媒介端口發送出去。8、目的主機接收到發來的ICMP請求數據包，采用自上往下的方式分用報文。9、ETH協議層查看發來的目的硬件地址是否和本地主機硬件地址相同？相同，則提取IP數據包發送給IP協議層處理；否則丟棄。10、IP協議層接收后，檢查目的IP地址是

23、否和本地IP地址相同？相同，則提取ICMP數據包給ICMP協議層，否則丟棄。11、ICMP協議層接收處理后，馬上構建一個ICMP回應給發送端主機，過程和發送請求一樣，只是不需要再回應。Traceroute 程序：作用：可以查看IP數據報從一臺主機傳到另一臺主機所經過的路由。在PING過程中，我們知道采用-r可以記錄路由選項。但其受到一些限制，無法通用：1、并不是所有的路由器都支持這個記錄路由選項。見實驗1; 2,記錄路由一般都是單向的選項，會受到一些限制（后面討論）；3、IP首部中留給選項空間有限，不能存放太多的路徑。實驗 1： PING -r 9 10. 11.3. 36、PING -r 9

24、 10. 11. 1. 1輸出結果：PING -r 9 10. 11.3.36：頁腳C： Docindents and Settingswyxping r 9 13.11 -3-36Ping-lncf 10. li . 3.3G with 32 bytes o data：Reply fron10.11.仁36；bytes=32timelmsTTL=64Ro ut e :10.11.J. 36Reply fron10.11.J.36：bytes=32timelmsTTL=64Ro nt e :6Reply fpon6：bytes=32timelmsTTL=64

25、Route :6Reply fpor6：bytes=32timelmsTTL=64Ronte :6Ping statistics fon* 10-11 336：Packets： Sent = 4. Received = 4尸 Lost = 0 ping -r 9 10.11 ！_!_Pinging10.11-1* with 32 btes of data:Request Request Request Requesttimed timed timed timedout. out. out. out Ping statistics for :Packets： Sent = 4. deceived = 0, Lost = 4 Ti*acei*t www-sina-comTracing pouteto