IPv4分析

IPv4的头部格式：

1. Version

版本号，默认是4。

2. IHL(Internet Header Length)

就是IPv4头部长度。这个长度的单位是32bit，一般是5，那么头部的长度就是5x32bit=160bit。

3. DSCP(Differentiated Services Code Point)，ECN(Explicit Congestion Notification)

原来这8字节是被定义成TOS(Type of Service)，现在被RFC2474定义成Differentiated services(差异化服务)和ECN。

背景：随着互联网的发展，各种各样的服务被提供，比如语音、视频、流音乐、网页、邮件等等。原来的TOS定义已经跟不上时代的需要，所以在1998年，IETF发布了RFC 2474，将原来的TOS替换成DSCP和ECN。

4. Total Length

整个数据包的长度，含头部，单位为Byte。

5. Identification

数据包标识，用来区分相同的包，比如ping包。

6. Flags

bit 0 : 保留，总是0

bit 1 : Don’t Fragment, DF。表示不分片。当需要发送的数据大于最长数据包限制的时候，数据需要分片发送。如果这位置1，IP模块将不会对数据报进行分片。这种情况下，如果IP数据报长度超过MTU，IP模块将丢弃数据报并返回一个ICMP差错报文。

bit 2 : More Fragment，MF。表示更多分片，除了数据报的最后一个分片外，其他分片都要把它置1.

7. Fragment Offset

分片的位移。(2^13 – 1) x 8 = 65528 bytes， 也就是说，最大的IP数据报长度为65528+20=65548字节。

8. Time to Live, TTL

防止数据拥塞用的，有一个初始值，比如64，每经过一个路由器自动－1，到0的时候就被销毁。

9. Protocol

上层协议号，比如ICMP是1，TCP是6，UDP是17.

10. Header Checksum

头部CRC校验，详细可以看这里：http://en.wikipedia.org/wiki/IPv4_header_checksum

11. Source IP Address

源IP地址

12. Destination IP Address

目标IP地址

13. Options

可选，不常用，后面再详细分析。

 

抓包测试：

用tcpdump抓包,  sudo tcpdump –ntx –i eth0 icmp

抓一下ping数据包，我这里ping一下自己的主机craftor.org

上面一个包是发送，下面的包是返回。

0x4	协议版本，v4
0x5	包头长度，5x32bit
0x00	参照RFC2474，00是默认包类型
0x0054	包总长为0x54=84
0x59b0	ID
0x4000	不分片，不分包
0x40	TTL=64
0x01	ICMP协议，ping属于ICMP协议
0xbbbc	CheckSum
0xc0a82c81	SourceIP=192.168.44.129
0xc64a71c8	DestinationIP=198.74.113.200
0x0800~0x3637	Options