IP 数据包分析IP 数据包分析.doc

IP 数据包分析上 学习TCP/IP协议就必须的学会怎么学分析数据包，下面为一个简单的实例来说明怎么去分析一个IP数据包 1、以太网（RFC 894）帧的格式 其中的源地址和目的地址是指网卡的硬件地址（也叫MAC地址），长度是48位，是在网卡出厂时固化的。用ifconfig命令看一下，“HWaddr 00:15:F2:14:9E:3F”部分就是硬件地址。类型字段有三种值，分别对应IP、ARP、RARP。帧末尾是CRC校验码。 以太网帧中的数据长度规定最小46字节，最大1500字节，ARP和RARP数据包的长度不够46字节，要在后面补填充位。最大值1500称为以太网的最大传输单元（MTU），不同的网络类型有不同的MTU，如果一个数据包从以太网路由到拨号链路上，数据包长度大于拨号链路的MTU了，则需要对数据包进行分片（fragmentation）。ifconfig命令的输出中也有“MTU:1500”。注意，MTU这个概念指数据帧中有效载荷的最大长度，不包括帧首部的长度。 IP数据包分析下 要分析IP包，首先要知道IP包的包头格式，各种计算机网络的书籍都有介绍，必须了解该协议分析包才有意义，IPv4首部一般是20字节长，该协议如下：??????? 下面使用Ethereal抓取一个特定的IP包，然后根据该协议分析该IP包。??? 使用Ethereal抓取的IP包如下：??????? 我用不同的框框划分出来了，便于分析。??? 首先，开始的 6字节+ 6字节 + 2字节 不属于IP包包头本身。??? （1）“ 00 e0 4c 5f 97 1b ” 目的主机的MAC地址??? （2）“ 00 1a 4d 28 62 ff ” 源主机的MAC地址：???? （3） “08 00 ”??? 包类型：? 08 00 为 IP包??? 后面的开始为真正的IP包包头，可以根据上面的协议进行分析了。??? （4）“45”，其中“4”是IP协议的版本（Version），说明是IP4???????????? “5”指本IP包的包头长度为 5X4 = 20 字节???? （5） “00”服务类型（Type of Service）??? （6） “00 40”是IP数据报文总长，包含头部以及数据，这里表示4X16 = 64字节（注：00 40为16进制表示）??? （7）? 62 06 、 40 00 表示 认证、标志、段偏移：主要用于数据报的分段???? （8）? 40 表示一个IP数据流的生命周期，用Ping显示的结果，能得到TTL的值，很多文章就说通过TTL位来判别主机类型。因为一般主机都有默认的TTL值，不同系统的默认值不一样.??? （9） 06 很重要，表示 传输层的协议类型（Protocol），06表示TCP协议??? （10）8b e5 为校验和??? （11）c0 a8 0c 34 源地址的IP?? ：? 即 2??? （12）79 c2 06 2e目的地址的IP：? 即 6??? 后面接着的就是IP的数据内容了，IP包包头分析就到此为止，其实分析包头并不难，UDP、ARP包的分析可以按照本文的思路，按照协议 一 一分析即可。 本文出自 “对影成三人” 博客，请务必保留此出处/823160/203412 IP协议包8位协议 Decimal??? Keyword???? Protocol???????????????????????? References -------??? -------???? --------???????????????????????? ---------- ???? 0???????????????? Reserved????????????????????????????? [JBP] ???? 1???? ICMP??????? Internet Control Message?????? [RFC792,JBP] ???? 2???? IGMP??????? Internet Group Management???? [RFC1112,JBP] ???? 3???? GGP???????? Gateway-to-Gateway????????????? [RFC823,MB] ???? 4???? IP????????? IP in IP (encasulation)?????????????? [JBP] ???? 5???? ST????????? Stream???????????????? [RFC1190,IEN119,JWF] ???? 6???? TCP???????? Transmission Con