IP包头分析

• IP包头是IP协议（网络层，第三层）为数据包添加的头部。
        ○ 格式：
        ○

○ 拆开看，每行是4+4+8+16=32bit=4Byte
        ○ ip协议最短20字节，最长60字节（可选项40字节）。
        ○ 先看第一行
            ⚀ 版本：
                □ ip协议有IPv4和IPv6
                □ 在IP包头4bit表示：0100 0110
            ⚀ 首部长度
                □ 因为IP包头长度是可变的所以首部长度标明了IP包头是多长 单位是 4字节也就是32bit，每个1都代表32bit，最常见0101，即这IP包头20字节，要和总长度区分开来。
            ⚀ 服务与优先级
                □ 前3位 代表优先级
                □ 中间4位 代表服务类型
                □ 最后1位 没有被启用（保留）
                    ✦ 一般很难用到，在服务运营商那用的多
                □ QOS就是对这儿进行标记
            ⚀ 总长度
                □ 表示了到这层为止的长度（5层数据+4层包头+3层包头的长度）
                □ 超过1500就分片
            ⚀ 标识符
                □ 是发送端随机生成的，用来表示同一个IP包
                    ✦ 同一个IP包？
                        ◊ 因为数据过大会切成多个数据发送
                        ◊ 最后目标机组装的时候同一个ip包的就拼接在一起，就通过标识符识别是否是同一个IP包。
            ⚀ 标志
                □ 标志位有3bit，目前只启用的两个，第一个bit位没有启用
                □ 第一位
                    ✦ 没有用（保留）
                □ 第二位
                    ✦ 如果第二个bit为1，则代表这个数据包没有被分片
                    ✦ 如果第二个bit为0，则代表这个数据包进行了分片
                □ 第三位
                    ✦ 拼接的时候用来表示这个帧是不是最后一个分片
                    ✦ 为1说明还有后续的分片
                    ✦ 为0说明这是最后一个分片啦
                □ 目前主流防火墙都不允许分片通过
                    ✦ 因为可以不停的伪造段偏移量，导致重组失败，占用服务器内存。
                        ◊ 所以就不在网络层进行分片了，而是在应用层，应用层直接分成1460字节，+20传输层协议，网络层一看刚好1480，自己再加20字节的ip协议正好1500MTU，省的自己再切片了，直接扔给数据链路层了，到数据链路层就加个首尾然后直接发出去了。
                        ◊ 对方收到后相应的到应用层才开始重组。
                
            ⚀ 段偏移量
                □ 众所周知一个帧最大长度是1518，去掉目标和源mac地址12B，去掉类型2B，去掉FCS 4B，中间MTU最大1500，这1500B中包含了所有的上三层协议，顶层数据很大，上三层流下来会超过1500，那么就要对数据进行切片，将数据通过多个帧发送出去，目标机收到之后进行拆封，拼接，但是互联网是瞬息万变的，第一个发出去的帧不一定是第一个到达的，那么拼接的顺序依据就是段位偏移量。
                □ 段位偏移量：0，1480，2960…..累加1480
                    ✦ 为什么累计1480呢而不是1500呢？不是说MTU最多1500吗？
                        ◊ MTU1500其中还包含了20字节的IP协议，用来当导游呢，所以有效字节只能是1480，目标机收到之后先把0拆开放在第一位，此时数据就拼出来1480个了，接着把偏移量位1480的帧拆开并拼在第一个帧的的后面，依次类推。
        ○ 第二行
            ⚀ TTl
                □ time to live
                □ 生存时间，用来剔除垃圾包
                □ 可以大概判断出对方是什么主机
                    ✦ 100以上的一般是windos主机
                    ✦ 100以下的一般是linux主机
                    ✦ 255代表网络设备
                □ 每被转发一次就减1
                □ ttl使用完，改包就被丢弃了
                □ tracert www.baidu.com
                    ✦ 查看到达百度要经过几跳
            ⚀ 协议号
                □ 识别上层协议（ICMP也包括）
                    ✦ TCP
                    ✦ UDP
                    ✦ ICMP（这个是同层）
                □ 6代表是TCP
                □ 17代表UDP
                □ 1代表同层ICMP
            ⚀ 首部校验和
                □ 校验头部内容是否完整（只校验头部的20-60字节）