【网络安全 | 网络协议】结合Wireshark讲解IP协议

前言：IP协议传输过程与数据分片

当我们进行数据传输时，操作系统会创建一个 ICMP Echo Request 数据包，并在该数据包中包含要发送的目标 IP 地址。然后操作系统将数据包传递给网络协议栈，该数据包被封装成 IP 数据包。IP 数据包的头部包含源 IP 地址和目标 IP 地址等信息。封装后的 IP 数据包被传递到数据链路层（如以太网），这样它就可以通过网络适配器发送到目标 IP 地址所在的网络。

然而，如果 ICMP Echo Request 数据包的大小超出了网络的最大传输单元（MTU），则数据包可能会被分片，以保证正确的传输，每个分片会被封装成一个独立的 IP 数据包，但它们都携带相同的标识符（Identification）字段，以便接收端能够重新组装这些分片。

接下来，我们就通过Wireshark抓包来分析IP协议。

Ping目标主机并发送数据包

向目标主机发送一个字节为3200的数据包：

由上图，wireshark抓到六个包，其中三个为请求包，另外三个为目标主机的响应包。

由于数据帧的最大传输限制（MTU）是1500字节，我们 ping 的数据包是 3400 字节，会被IP协议分割成三个数据包，分别为1500字节、1500字节、400字节。

看下面这张图：

这张图是我们的第一个请求包的数据，图中圈起来的More Fragments表示这个数据包之后有多余的数据分片，也就是说这个包的字节已经满了，多余的字节在第二个数据分片（数据包）中；Fragment Offset字段的值是0，表示第一个数据分片从第0个字节开始保存数据。

接着我们看第二个请求包：

同样地，这个包之后还是有多的数据分片；Fragment Offset字段的值是1480，表示这个数据包从第1480个字节开始保存数据。

所以我们就能知道，第一个数据包存储了1480个字节，再加上每个包首部有20个字节，加起来等于MTU，这也就印证了前言。

在 IPv4 中，每个 IP 数据包的首部都有固定的长度为20字节（不包括选项字段）。这是由于 IPv4 首部的结构是固定的，它包含了一些必需的字段来标识源地址、目标地址、数据包长度、协议类型等信息。

接着看第三个请求包：

可以看到More Fragments字段消失了，即没有多余的字节需要下一个数据包储存，毋庸置疑，这是最后一个数据包；Fragment Offset字段的值是2960，所以第二个数据包存储的字节为2960-1480=1480，再加上首部的20字节，刚好为MTU，这也验证了前言。

我们也可以从第三个数据包中看到：

我们发送的3200字节的数据包被分成了三个 IPv4 分片，编号为 #1633、#1634 和 #1635。每个分片的大小和偏移如下：

• #1633 分片大小为 1480 字节，分片偏移为 0 字节。
• #1634 分片大小为 1480 字节，分片偏移为 1480 字节。
• #1635 分片大小为 448 字节，分片偏移为 2960 字节。

在接受三个数据分片后，目标主机能够根据这些信息将数据分片进行重组。

生存时间

在上图圈起来的行中，可以看到ttl=128、ttl=51的字段，这是什么意思呢？

TTL (Time to Live) 是 IPv4 数据包头部中的一个字段，它指定了数据包在网络中可以经过的最大路由跳数。每当数据包经过一个路由器时，该路由器会减少1个 TTL 值，直到 TTL 值为0，数据包将被丢弃，同时路由器会发送一个 ICMP 时间超时消息回到数据包的源地址，通知源地址数据包已经被丢弃。这样，源地址可以根据这个信息来确定是否有网络问题或者路径选择错误。

TTL 字段的主要目的是防止数据包在网络中无限循环。

由请求包与响应包TTL的差值，可以知道数据在发送到返回的过程中经过了77个路由。

cmd中接受到的回复信息与抓到的返回包存在一致性。