结合Wireshark捕获分组深入理解TCP/IP协议之IP协议

摘要：

    本文简单介绍了网络层理论知识，详细讲解了IP数据报各个字段，并从Wireshark俘获分组中选取IP数据报进行分析，也阐述了分组和分片的区别。

 

一、IPv4数据报

    网络层是处理端到端数据传输的最低层。网络层关注如何将分组从源端沿着网络路径送达目的端，期间可能需要经过许多跳中间路由器。即提供转发(数据从路由器那个接口出去)、选路(发送方与接收方间的路径)、网络建立(如ATM、帧中继)。这里以IPv4为例，关于IPv6报文格式详见博文《IPv4与IPv6数据报格式详解》。

图1 IPv4数据报格式

版本号(version)

    不同的IP协议版本使用不同的数据报格式。

首部长度(HL, Internet Head Length)

    确定IP数据报中数据部分实际从哪里开始，包含可变数量的选项。若IP数据报没有包含选项，则IP数据报首部长度为20字节。

服务类型(TOS, Type Of Service)

    更好地服务不同类型IP数据报(如实时数据报IP电话应用、非实时通信流FTP)，Cisco将TOS前3位标识不同服务等级，即优先级。

数据报长度(TL, Total Length)

    IP数据报长度，即首部+数据。

分片：标识(identification)、标志(flags)、段位移(Fragment Offset)

    这3个字段跟IP分片有关，当目的主机从同一个源收到一批数据报时，需要确定这些数据报是完整数据报还是分片后的数据报，数据报首部标识字段解决这个问题，检查数据报的标识号确定哪些数据报真正是同一个较大数据报的片；如何判断最后一个分片已收到，数据报首部标志字段解决这个问题，将最后一片的标志为0，其他标记为1；如何顺序重组这些片，这就需要记录每个片的在数据报有效净荷的偏移量，这也确定了片是否丢失。若丢失某些片，则丢弃这个不完整的数据报(不会交给传输层)。需要可靠传输怎么办呢，由传输层让源重传原始数据摄中的数据(如TCP)。

寿命(TTL, Time To Live)

    每次数据报经过一台路由器时，该字段的值减1，若TTL字段减为0，则丢弃该数据报，从而确保数据报不会永远在网络循环。

上层协议(Protocol)

    该字段用于指明IP数据报的数据部分应该交给哪个传输层协议(6为TCP、17为UDP)。

首部检查和(Header Checksum)

    只是对IP首部进行检验，对整个TCP/UDP报文段检验交由TCP/UDP完成。将首部中的每两个字节当作一个数，用反码运算对这些数求和，该和按1补码值存放在检查和字段。当路由器收到IP数据报时，计算其首部检查和，与该字段值比较，若出错则丢弃该数据报。

    注：因为TTL字段及选项字段可能改变，所以每个路由器上的检查和都须重新计算并存放在原处。(检查后，再更新)

源和目的IP地址(Source/Destination Address)

选项(Options)

    选项字段允许IP首部被扩展，由此导致数据报首部长度可变，故不能预先确定数据字段从何开始，同时也使路由器处理一个IP数据报所需时间差异很大(有的要处理选项，有的不需要)。

数据(Data)

    当使用TCP/UDP协议时，数据即为传输层报文段(TCP/UDP)。数据字段也可承载其他类型数据，如ICMP报文段。

二、实例解析

    以请求百度首页基本HTML为例，因HTTP报文太大(3835字节)，网络层对其进行分片，共4片，如下图(截自Wireshark俘获的HTTP响应报文)：

图2 数据分片实例

整个HTTP报文传输示意图如下：

图3 HTTP报文传输实例示意图

2.1 分片

    IP数据报首部字段的标识(identification)、标志(flags)、段位移(Fragment Offset) 用来处理分片。当目的主机从同一个源收到一批数据报时，需要确定这些数据报是完整数据报还是分片后的数据报，数据报首部标识字段解决这个问题，检查数据报的标识号确定哪些数据报真正是同一个较大数据报的片；如何判断最后一个分片已收到，数据报首部标志字段解决这个问题，将最后一片的标志为0，其他标记为1；如何顺序重组这些片，这就需要记录每个片的在数据报有效净荷的偏移量，这也确定了片是否丢失。若丢失某些片，则丢弃这个不完整的数据报(不会交给传输层)。需要可靠传输怎么办呢，由传输层让源重传原始数据摄中的数据(如TCP)。

    将该4个IP数据报(组成该完整的HTTP报文)的标识、标志、段位移部分抽出来，如下图所示：

图4 HTTP响应报文的4个IP数据报

    可以看出，IP数据报并没有分片，这是因为这些IP数据报封装成帧并没有超过MTU(以太网MTU为1500字节)。蛮想找一个有分片的IP数据报分析下，可惜俘获的分组没有:-(

    不尽要问，当报文太大时，什么时候划分报文呢？主要是在两个地方：传输层TCP分组、网络层IP分片。

(1)分组

    TCP把应用程序交给它的报文分成合适的小块交给下面网络层，要不要分取决于应用层报文是否大于MSS(想想TCP连接建立时最大报文段MSS大小的协商，注MSS仅包含TCP报文段的净荷数据，不包括TCP首部)，怎么分取决于特定的分组算法。本例将3836字节长度HTTP报文分成：411+1440+1440+545。

(2)分片

    IP数据报在发送方与目的地间传输可能选择不同的路径，路径上的每段链路可能使用不同的链路层协议，协议可能具有不同的最大传输单(MTU，链路层数据报能承载的最大数据量)。当出链路的MTU比IP数据报的长度小时，需要将过大的IP数据报分片。IPv4数据报首部字段标识、标志、偏移量解决这个问题。

    值得注意的是，IP数据报分片在网络层重组，重组好了，再交给传输层。TCP报文段在传输层重组，重组好了，再交给应用层。

2.2 IP数据报实例

接下来，取一个完整IP数据报分析(以第一个数据报为例，即27)，如下：

图4 IP数据报实例

    IP数据报首部没有选项字段，长度为20字节，数据报长度451=IP数据报首部长度20(没有选项字段)+TCP首部长度20(没有选项字段)+TCP报文段的数据字段411(实为HTTP报文前411字节)。

参考资料：

[1] Andrew S.Tanenbaum.计算机网络[M].

[2] 《计算机网络--自顶向下方法与Internet特色》[M].

 HTTP报文传输实例.rar

 IPv4和IPv6数据报格式.rar

from:http://blog.chinaunix.net/uid-9112803-id-3213492.html