IP首部分析-借助wireshark

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

IP数据报的格式如图1所示。普通的IP首部长为20个字节（除非含有选项字段）。

版本：由4比特构成，表示标识IP首部版本号。

首部长度(IHL: Internet Header Length):由4bit构成，表明IP首部的大小，单位为4字节（32bit）。对于没有任何选项的IP包，首部长度则设置为“5”（20字节）。

服务类型（区分服务）：由8bit构成，用来表明服务质量。DSCP(Differential Services Codepoint,差分服务代码点)，用来进行质量控制；ECN(Explicit Congestion Notification,显式拥塞通告)，用来报告网络拥堵情况，由2bit构成。

总长度：表示IP首部与数据部分合起来的总字节数。为16bit，因此IP包的最大长度为65535字节。

16位标识：用于分片分组。同一分片的标识值相同，不同分片的标识值不同。即使ID相同，如果目标地址、原地址或协议不同的话，也会被认为是不同的分片。

3位标志：表明包被分片的信息，每一位对应的具体含义如下：

片偏移：用来标识被分片的每一分段想对于原始数据的位置。第一个分片对应的值为0.最多可以标识8192个相对位置。

生存时间(TTL)：指包可以中转多少个路由器的意思。每经过一个路由器，TTL会减少1，知道变为0在丢弃该包。

协议(Protocol)：标识IP首部隶属于哪个协议。

16位首部校验和：校验数据包的首部部分，不校验数据部分。

32位源地址：发送端IP地址；

32目标地址：接收端IP地址；

可选项：长度可变，通常只在进行实验或诊断时使用。

填充：在有可选项的情况下，首部长度可能不是32bit的整数倍，为此，通过向字段填充0，调整为32bit的整数倍。

数据：数据部分。

最后贴上使用Wireshark具体分析数据包的情况：