所用軟件

Wireshark

網絡層

操作一

熟悉 IP 包結構。

使用 Wireshark 任意進行抓包（可用 ip 過濾），熟悉 IP 包的結構，如：版本、頭部長度、總長度、TTL、協議類型等字段。

ping?10.160.4.161

?

?

展開數據詳細信息區間，抓到的數據如下：

版本：IPV4
頭部長度：20 bytes
總體長度:60
存活時間TTL：64s
協議：ICMP

操作一相關問題

為提高效率，我們應該讓 IP 的頭部盡可能的精簡。但在如此珍貴的 IP 頭部你會發現既有頭部長度字段，也有總長度字段。請問為什么？
回答：
IP的頭部長度可以使得接收端計算出報頭在何處結束及從何處開始讀數據。總長度的字段是因為接收端需要讀數據，接收數據。

操作二

IP 包的分段與重組。
據規定，一個 IP 包最大可以有 64K 字節。但由于 Ethernet 幀的限制，當 IP 包的數據超過 1500 字節時就會被發送方的數據鏈路層分段，然后在接收方的網絡層重組。

缺省的，ping 命令只會向對方發送 32 個字節的數據。使用 ping 39.156.69.79 -l 1000 命令指定要發送的數據長度為1000。此時使用 Wireshark 抓包（用 ip.addr ==39.156.69.79進行過濾），了解 IP 包如何進行分段，如：分段標志、偏移量以及每個包的大小等。

ping?10.160.255.254?-l?2000?

?

?

展開數據詳細信息區間，抓到的數據如下：

分段標志：Flags

MF、DF、未用。MF=1表示后面還有分段的數據包，MF=0表示沒有更多分片（即最后一個分片）。DF=1表示路由器不能對該數據包分段，DF=0表示數據包可以被分段。

偏移量：Fragment Offset

1480

每個包的大?。?/p>

1480與528

操作二相關問題

分段與重組是一個耗費資源的操作，特別是當分段由傳送路徑上的節點即路由器來完成的時候，所以 IPv6 已經不允許分段了。那么 IPv6 中，如果路由器遇到了一個大數據包該怎么辦？

回答：

直接丟棄再通知發送端進行重傳。

由于在 IPv6中分段只能在源與目的地上執行，不能在路由器上進行。因此當數據包過大時，路由器就會直接丟棄該數據包包，并向發送端發回一個"分組太大"的ICMP差錯報文，之后發送端就會使用較小長度的IP數據報重發數據。

操作三

考察 TTL 事件。

在 IP 包頭中有一個 TTL 字段用來限定該包可以在 Internet上傳輸多少跳（hops），一般該值設置為 64、128等。

使用 tracert www.baidu.com 命令進行追蹤，此時使用 Wireshark 抓包（用 icmp 過濾），分析每個發送包的 TTL 是如何進行改變的，從而理解路由追蹤原理。

?

展開數據詳細信息區間，抓到的數據如下：

TTL的改變：

Tracert 命令確定兩臺主機的路由主要是通過 IP 生存時間 (TTL) 字段和 ICMP 錯誤消息。 在工作環境中有多條鏈路出口時，可以通過該命令查詢數據是經過的哪一條鏈路出口。

由于路徑上的每個路由器在轉發數據包之前至少將數據包上的 TTL 遞減 1，因此 Tracert 先發送 TTL 為 1 的回應數據包，并在隨后的每次發送過程將 TTL 遞增 1，直到目標響應或 TTL 達到最大值，從而確定路由。通過檢查中間路由器發回的“ICMP 已超時”的消息確定路由。

操作三相關問題

在 IPv4 中，TTL 雖然定義為生命期即 Time To Live，但現實中我們都以跳數/節點數進行設置。如果你收到一個包，其 TTL 的值為 50，推斷這個包從源點到你之間有多少跳？

回答：

微軟 Windows 操作系統 ICMP 回顯應答的 TTL 字段值為 128；TTL為返回值，跳數就為128-50=75跳。

編輯：黃飛