【网络安全 | 网络协议】结合Wireshark讲解IP协议

前言:IP协议传输过程与数据分片

当我们进行数据传输时,操作系统会创建一个 ICMP Echo Request 数据包,并在该数据包中包含要发送的目标 IP 地址。然后操作系统将数据包传递给网络协议栈,该数据包被封装成 IP 数据包。IP 数据包的头部包含源 IP 地址和目标 IP 地址等信息。封装后的 IP 数据包被传递到数据链路层(如以太网),这样它就可以通过网络适配器发送到目标 IP 地址所在的网络。

然而,如果 ICMP Echo Request 数据包的大小超出了网络的最大传输单元(MTU),则数据包可能会被分片,以保证正确的传输,每个分片会被封装成一个独立的 IP 数据包,但它们都携带相同的标识符(Identification)字段,以便接收端能够重新组装这些分片。

接下来,我们就通过Wireshark抓包来分析IP协议。

Ping目标主机并发送数据包

向目标主机发送一个字节为3200的数据包:

由上图,wireshark抓到六个包,其中三个为请求包,另外三个为目标主机的响应包。

由于数据帧的最大传输限制(MTU)是1500字节,我们 ping 的数据包是 3400 字节,会被IP协议分割成三个数据包,分别为1500字节、1500字节、400字节。

看下面这张图:

这张图是我们的第一个请求包的数据,图中圈起来的More Fragments表示这个数据包之后有多余的数据分片,也就是说这个包的字节已经满了,多余的字节在第二个数据分片(数据包)中;Fragment Offset字段的值是0,表示第一个数据分片从第0个字节开始保存数据。

接着我们看第二个请求包:

同样地,这个包之后还是有多的数据分片;Fragment Offset字段的值是1480,表示这个数据包从第1480个字节开始保存数据。

所以我们就能知道,第一个数据包存储了1480个字节,再加上每个包首部有20个字节,加起来等于MTU,这也就印证了前言。

复制代码
在 IPv4 中,每个 IP 数据包的首部都有固定的长度为20字节(不包括选项字段)。这是由于 IPv4 首部的结构是固定的,它包含了一些必需的字段来标识源地址、目标地址、数据包长度、协议类型等信息。

接着看第三个请求包:

可以看到More Fragments字段消失了,即没有多余的字节需要下一个数据包储存,毋庸置疑,这是最后一个数据包;Fragment Offset字段的值是2960,所以第二个数据包存储的字节为2960-1480=1480,再加上首部的20字节,刚好为MTU,这也验证了前言。

我们也可以从第三个数据包中看到:

我们发送的3200字节的数据包被分成了三个 IPv4 分片,编号为 #1633、#1634 和 #1635。每个分片的大小和偏移如下:

  • #1633 分片大小为 1480 字节,分片偏移为 0 字节。
  • #1634 分片大小为 1480 字节,分片偏移为 1480 字节。
  • #1635 分片大小为 448 字节,分片偏移为 2960 字节。

在接受三个数据分片后,目标主机能够根据这些信息将数据分片进行重组。

生存时间

在上图圈起来的行中,可以看到ttl=128、ttl=51的字段,这是什么意思呢?

TTL (Time to Live) 是 IPv4 数据包头部中的一个字段,它指定了数据包在网络中可以经过的最大路由跳数。每当数据包经过一个路由器时,该路由器会减少1个 TTL 值,直到 TTL 值为0,数据包将被丢弃,同时路由器会发送一个 ICMP 时间超时消息回到数据包的源地址,通知源地址数据包已经被丢弃。这样,源地址可以根据这个信息来确定是否有网络问题或者路径选择错误。

TTL 字段的主要目的是防止数据包在网络中无限循环。

由请求包与响应包TTL的差值,可以知道数据在发送到返回的过程中经过了77个路由。

cmd中接受到的回复信息与抓到的返回包存在一致性。

相关推荐
火星MARK3 小时前
如何配置 Ingress 的 SSL/TLS 证书?
网络·网络协议·ssl
shylyly_5 小时前
Linux-> UDP 编程3
linux·运维·网络协议·udp·bind·cs·聊天室程序
歪歪1006 小时前
什么是TCP/UDP/HTTP?
开发语言·网络·网络协议·tcp/ip·http·udp
luckys.one6 小时前
第12篇|[特殊字符] Freqtrade 交易所接入全解:API、WebSocket、限频配置详解
网络·ide·python·websocket·网络协议·flask·流量运营
踏过山河,踏过海6 小时前
在SSL证书是有效的前提下,依旧显示“资源不安全
网络协议·安全·ssl
小红7 小时前
网络通信基石:从IP地址到子网划分的完整指南
前端·网络协议
火车叼位8 小时前
TLS证书验证绕过的陷阱:从Node.js警告到跨平台安全实践
网络协议
2501_916008898 小时前
HTTPS 双向认证抓包实战,原理、难点、工具与可操作的排查流程
网络协议·http·ios·小程序·https·uni-app·iphone
2501_915106328 小时前
HTTPS 能抓包吗?实战答案与逐步可行方案(HTTPS 抓包原理、证书Pinning双向认证应对、工具对比)
网络协议·http·ios·小程序·https·uni-app·iphone
游戏开发爱好者88 小时前
App HTTPS 抓包实战,原理、常见问题与可行工具路线(开发 测试 安全 角度)
网络协议·安全·ios·小程序·https·uni-app·iphone