IP、ARP、ICMP數(shù)據(jù)報分析

1、精選文檔1.當(dāng)連接到網(wǎng)絡(luò)時，主機發(fā)送的第一個數(shù)據(jù)包： ARP 廣播包（1）主機的 以太網(wǎng)適配器的 MAC 地址、IP 地址 （2）主機連接到網(wǎng)絡(luò) 發(fā)送 廣播 ARP 請求，以下是數(shù)據(jù)包格式分析解釋：1. 在主機剛連接到網(wǎng)絡(luò)時，會向網(wǎng)絡(luò)中發(fā)送 ARP 廣播 請求，確認自己的 IP 地址在同一網(wǎng)絡(luò)內(nèi)沒有和網(wǎng)絡(luò)中的其他主機 IP 地址 沖突。2. ARP 數(shù)據(jù)報格式 以太網(wǎng)幀頭： 目的 MAC 地址 ： ff - ff - ff - ff - ff - ff 共 6字節(jié)， 代表該幀 為廣播幀 源 MAC 地址： 3c-97-0e - 3e - de - 8d 共 6字節(jié)，代表主機 的以太網(wǎng)適配 器的

2、MAC 地址 幀類型：0806 共 2字節(jié)，用來標識幀封裝的上層協(xié)議，即 ARP Type/Length ：2字節(jié)，根據(jù)數(shù)值的不同代表2種不同的封裝格式：如果字段值在 0x 0000 - 0x 05DC 范圍內(nèi)，則表示該字段為 Length，該幀為 802.3 raw封裝。如果字段值在 0x 0600 - 0x FFFF 范圍內(nèi)，則表示該字段為 Type 字段，該幀為 Ethernet II 封裝。0x 05DD - 0x05FF 保留沒有使用。ARP 報頭： 硬件類型：0001 共 2 字節(jié)，表示ARP 報文可以在哪種類型的網(wǎng)絡(luò)上傳輸，值為 1 時表示為 以太網(wǎng) 地址 上層協(xié)議類型：0800

3、 共 2 字節(jié)，表示硬件地址要映射的協(xié)議地址類型，0x0800 表 示 IP 協(xié)議 MAC 地址長度：06 共 1 字節(jié)，標識MAC 地址長度，以字節(jié)為單位 IP 地址長度：04 共 1字節(jié)，標識 IP 地址長度，以字節(jié)為單位 操作類型：0001 共 2 字節(jié)，指定本次 ARP 報文類型，1表示請求報文，2表示應(yīng)答報文 ARP 數(shù)據(jù)： 源 MAC 地址: 3c - 97 - 0e - 3e - de - 8d 共 6 字節(jié)，表示發(fā)送方設(shè)備的硬件地址 源 IP 地址: 00 - 00 - 00 - 00 共 4 字節(jié)，表示發(fā)送方設(shè)備的 IP 地址，此處用 32 位的 0 填充，是因為主機不確定自

4、己的IP地址是否和網(wǎng)絡(luò)上的其他主機IP地址有 沖突，所以發(fā)送 ARP 廣播包來驗證 目的 MAC 地址：00 - 00 - 00 - 00 - 00 - 00 共 6 字節(jié)，表示接收方設(shè)備的硬件地址，在請求報文中該字段值全0，表示任意地址，因為現(xiàn)在不知道這個MAC地址 目的 IP 地址：c0 - a8 - 01 - 64 共4 字節(jié)，表示接收方設(shè)備的IP 地址 (192.168.1.100)，可以發(fā)現(xiàn)該 IP 地址就是主機自己的IP 地址。2. ICMP包 ping request以太網(wǎng)幀頭格式： 目的 MAC 地址 源 MAC 地址 長度/類型 ：該字段值 如果大于 1536（0x0600）

5、，表示承載的上層協(xié)議類型 如果小于或等于 1500（0x05DC），表示該幀數(shù)據(jù)部分長度IP 數(shù)據(jù)報頭格式：版本：該字段 占 4位頭部長度：該字段 占 4位，以4字節(jié)為單位，此處 值 為 5，表示 5*4 = 20 字節(jié)，即報頭長度為 20 字節(jié) 區(qū)分服務(wù)：又稱服務(wù)類型（TOS） 字段，用于表示數(shù)據(jù)報的優(yōu)先級和服務(wù)類型， 它包括一個 3 位長度的優(yōu)先級、4 位長度的標志位。標志位分別是 D(Delay 延遲)、T(Throughput 吞吐量)、R(Reliability 可靠性)、C(Cost 開銷)，最高 1 位未用；未使用 區(qū)分服務(wù)，則該字段為 0 總長度：標識整個 IP 數(shù)據(jù)報的長度，

6、包括頭部和數(shù)據(jù)部分，整個 IP 數(shù)據(jù)報總長度以字節(jié)為單位，該字段占 16 位，IPv4 數(shù)據(jù)報的最大長度為 216 - 1 字節(jié)，即 65535 字節(jié)（64KB）。此處 為 0x0040 ，即 64 字節(jié) 標識：用于表示 IP 數(shù)據(jù)報的標識符，占 16位，每個 IP 數(shù)據(jù)報有一個唯一的標識。當(dāng)數(shù)據(jù)報的長度超過下面數(shù)據(jù)鏈路層的 MTU 值而必須分段時，這個標識字段的值就被復(fù)制到 所有的 數(shù)據(jù)報分段 的 標識字段中。相同的標識字段的值使分段后的各數(shù)據(jù)分段最后能正確地重載成為原來的數(shù)據(jù)報。 標志：標志字段指出該 IP 數(shù)據(jù)報后面是否還有分段，也就是這個字段是分段標志，占 3 位，目前只有2位有意義：

7、最低1位記為 MF（More Fragment），如果MF = 1，則表示后面還有分段，如果 MF = 0，則表示這已是某個數(shù)據(jù)報的最后一個分段；中間1位記為DF（Dont Fragment），DF = 1表示不允許分段，DF = 0 表示允許分段；最高1位沒有使用。 段偏移： 段偏移字段用以指出該分段在數(shù)據(jù)報中的相對位置，也就是說用戶數(shù)據(jù)字段的起點，該分段從何處開始，占 13 位。如果沒有分段，則該字段值為0 生存時間：用來標識IP數(shù)據(jù)報在網(wǎng)絡(luò)中傳輸?shù)挠行?，以秒來計?shù)，占8位，TTL的建議值是 32s，最長為 28 - 1 = 255s，現(xiàn)在通常認為這個TTL是指數(shù)據(jù)報允許經(jīng)過的路由器數(shù)，

8、每經(jīng)過一個路由器，則TTL減1，當(dāng)TTL值為0時就丟棄這個數(shù)據(jù)報。設(shè)定生存時間是為了防止數(shù)據(jù)報在網(wǎng)絡(luò)中無限制地循環(huán)轉(zhuǎn)發(fā)。此處為 0x40 即 64。 協(xié)議：協(xié)議字段用來標識此 IP 數(shù)據(jù)報在傳輸層所采用的協(xié)議類型（如 TCP、UDP、ICMP等），以便使目的主機的IP層知道應(yīng)將數(shù)據(jù)部分上交給哪個處理過程，占8位。如TCP協(xié)議號為 6，UDP協(xié)議號為17。此處為0x01，即1，代表 ICMP校驗和：校驗和字段用來檢驗 IP 數(shù)據(jù)報的報頭部分（不包括“數(shù)據(jù)”部分）在傳輸?shù)浇邮斩耸欠癜l(fā)生了變化，占16位。源IP 地址：占 32 位，在整個數(shù)據(jù)報傳送過程中，無論經(jīng)過什么路由器，無論如何分段，此字段一直保持不變。目的 IP 地址：占 32 位，在整個數(shù)據(jù)報傳送過程中，無論經(jīng)過什么路由器，無論如何分段，此字段一直保持不變。ICMP 報頭格式：類型：占1字節(jié)，標識ICMP報文的類型，目前定義了14種，從類型值來看ICMP報文可分為兩大類。第一類是取值 1-127 的差錯報文，第二類是取值128以上的是信息報文。此處為 0x08 表示ping 操作響應(yīng)請求（request），0表示應(yīng)答(response)代碼：占1字節(jié)，標識對應(yīng) ICMP 報文的代碼。它與類型字段一起共同標識了ICMP報文的詳