谈谈网络协议 – 网络层（ Network）

网络层（ Network）

• 网络层数据包（IP数据包，Packet）由首部、数据2部分组成
  • 数据：**很多时候 **是由传输层传递下来的数据段（Segment）
    • ARP、ICMP 是直接在网络层生成的，不是由传输层传递下来的

网络层首部

版本、首部长度、区分服务

• 版本（Version）

  • 占4位
  • 0b0100：IPv4
  • 0b0110：IPv6

• 首部长度（Header Length）

  • 占4位，二进制乘以4才是最终长度
  • 0b0101：20（最小值）
  • 0b1111：60（最大值）

• 区分服务（Differentiated Services Field）

  • 占8位

  • 可以用于提高网络的服务质量（QoS，Quality of Service）

  • 可实现优先传输

总长度

• 总长度（Total Length）
  • 占16位
  • 首部 + 数据的长度之和，最大值是65535

• 由于帧的数据不能超过1500字节，所以过大的IP数据包，需要分成片（fragments）传输给数据链路层
  • 每一片都有自己的网络层首部（IP首部）

标识、标志

• 标识（Identification）
  • 占16位
  • 数据包的ID，当数据包过大进行分片时，同一个数据包的所有片的标识都是一样的
  • 有一个计数器专门管理数据包的ID，每发出一个数据包，ID就加1
• 标志（Flags）
  • 占3位
  • 第1位（Reserved Bit）：保留
  • 第2位（Don't Fragment）：1代表不允许分片，0代表允许分片
  • 第3位（More Fragments）：1代表还有更多片，0代表是最后一片，没有更多片

片偏移

• 片偏移（Fragment Offset） 当数据包过大时，分包后，用来标识当前数据是哪个位置的
  • 占13位
  • 片偏移乘以8：字节偏移 (为了能保存更多的数值，才只保存除以8之后的数值)
  • 每一片的长度一定是8的整数倍
  • 片偏移值为：上一个片在整个包中的前面偏移值 + 总长度

以下是 3800字节的数据包，拆成3片

ping - 高级用法

• ping /?

  • 查看ping的用法

• ping ip地址 -l 数据包大小

  • 发送指定大小的数据包

• ping ip地址 -f

  • 不允许网络层分片

• ping ip地址 -i TTL

  • 设置TTL的值

• 通过tracert、pathping命令，可以跟踪数据包经过了哪些路由器

案例：ping ke.qq.com -l 4000 ，发送一个4000字节的包，拆分后的各项值

• 片1

  • 总长度：1500
  • 首部：20
  • 数据长度：1480
  • 偏移值：0

• 片2

  • 其它同上
  • 偏移值：1480
    • 偏移值表示的是在数据中的偏移值，不包括首部

• 片3

  • 其它同上

  • 数据长度：1068

  • 偏移值：2960

抓包注意点，如果包被分片后，当包没有传输到最后一个时，软件是不知道是什么协议的，如下图，前2个包软件当成了IPV4的协议，只有最后一个包也接收到的时候才能真正解析出协议是ICMP的

生存时间

• 生存时间（Time To Live，TTL）
  • 占8位
  • 每个路由器在转发之前会将TTL减1，一旦发现TTL减为0，路由器会返回错误报告
  • 观察使用ping命令后的TTL，能够推测出对方的操作系统、中间经过了多少个路由器

协议、首部校验和

• 协议（Protocol）
  • 8位
  • 表明所封装的数据是使用了什么协议

• 首部校验和（Header Checksum）
  • 用于检查首部是否有错误