IP报文格式详解

下图为常见的IP报文格式表：

上面是IP的报文格式，接下来我们先说明各个字段的意义。然后，用Etheral软件转包分析IP的报文格式。

1.版本：ip报文中，版本占了4位，用来表示该协议采用的是那一个版本的ip，相同版本的ip才能进行通信。一般此处的值为4，表示ipv4。

2.头长度：该字段用四位表示，表示整个ip包头的长度，其中数的单位是4字节。即二进制数0000-1111（十进制数0-15），其中一个最小长度为0字节，最大长度为60字节。一般来说此处的值为0101，表示头长度为20字节。

3.Tos服务字段：该字段用8位表示。该字段一般情况下不使用。

4..总长度：该字段表示整个ip报文的长度，单位是1字节。能表示的最大字节为2^16-1=65535字节。不过由于链路层的MTU限制。超过1480字节后就会被分片（以太帧MTU为1500的情况下，除去20字节的包头）

5.标识：该字段是ip软件实现的时候自动产生的，该字段的目的不是为了接受方的按序接受而设置的，而是在ip分片以后，用来标识同一片分片的。方便ip分片的重组。

6.标志：该字段是与ip分片有关的。其中有三位，但只有两位是有效的，分别为MF，DF，MF。MF标识后面是否还有分片，为1时，表示后面还有分片。DF标识是否能分片，为0表示可以分片。

7.片偏移：该字段是与ip分片后，相应的ip片在总的ip片的位置。该字段的单位是8字节。比如，一个长度为4000字节的ip报文，到达路由器。这是超过了链路层的MTU，需要进行分片，4000字节中，20字节为包头，3980字节为数据，需要分成3个ip片（链路层MTU为1500），那么第一个分片的片偏移就是0，表示该分片在3980的第0位开始，第1479位结束。第二个ip片的片偏移为185（1480/8），表示该分片开始的位置在原来ip的第1480位，结束在2959。第三片的片偏移为370（2960/8），表示开始的时候是2960位，结束的时候在3979位。

8.TTL：该片表示生存周期，该值占8位。ip分片每经过一个路由器该值减一，它的出现是为了防止路由环路，浪费带宽的问题。比如，该ip在R1路由器发送到R2路由器。R2路由器又发给R1路由器。防止这种循环。window系统默认为128.

9.协议：该值标识上层的协议。占8位。其中1，标识ICMP、2标识IGMP、6标识TCP、17标识UDP、89标识OSPF。

10校验和：该值是对整个数据包的包头进行的校验。占16位。

11.源地址和目的地址。标识发送ip片的源和目的ip，32位

12.接下来是可选的部分，一般一些特殊的要求会加在这个部分。

13：数据

j接下来，我们用一个具体的ip报文来进行分析。该报文是Etheral报文分析软件抓的包。

这是是ip报文的第一行，Version是版本，Header length是头长度，Differentiated Services Field就是区分服务，Total Lehgth为总长度。

其中，45 00 05 dc 为上面的四个信息的传输过程中的值，这里面一个数代表4位二进制数。其中，4和5分别表示版本，头长度，00表示TOS为0。05，

这是ip报文的第二行，Identification 位标识，FLags为标志，在这里可以看到MF为 set 标识还有分片，DF为not set可以分片。片偏移为0.标识这是初始的ip片

90 ad 20 00 为上面的标识字段，90 ad 标识该ip的标识， 2转换为二进制为0010，其中前三位001位标志，后面的0，是13位的标识的一部分。

这是 TTL  协议 检验和这几部分。可以看到TTL为12，上层协议为ICMP，头部检验和为true.

80 01 ef 05为相应字段的值80位生存时间转换成10进制为128. 01为协议。ef 05为首部检验和。

上面是源和目的IP，

下面是相应的编码

c0 a8 0a 0e 为源ip

c0 a8 0a of 为目的ip

以上就是我对于ip报文的理解。

转自：https://www.cnblogs.com/zhangbing12304/p/11016921.html