Wireshark實戰分析之IP協議（二）

（1）什麼是ip資料報

tcp/ip協議定義了乙個在區域網上傳輸的包，稱為ip資料報（ip datagram）。ip資料報由首部和資料兩部分組成，首部部分包括版本，長度，ip位址等資訊。資料部分一般用來傳輸其他的協議，如tcp，udp和icmp協議等。

（2）ip資料報首部格式

版本：指ip協議所使用的的版本。目前廣泛使用的ip協議版本號為4

首部長度： ip首部長度，可表示的最大十進位制數值是15。注意，該字段所表示的單位是32位字長（4個位元組）。因此首部長度最大為60位元組

服務型別：優先順序標誌位和服務型別標誌位

總長度：指ip首部和資料報中資料之後的長度，單位為位元組。總長度為16位，因此最大長度為2^16- 1 = 65536位元組

標識：乙個唯一的標識數字，用來標識乙個資料報或者被分片資料報的次序

標誌：用來標識乙個資料報是否是一組分片資料報的一部分。最低位mf（more fragment）。當mf=1表示後面「還有分片」的資料報，mf=0表示這已經是最後乙個分片資料了，中間位df（dont fragment）不能分片，只有當df=0時，才允許分片

片偏移：乙個資料報其中的分片，用於重新組裝資料用

協議：用來識別在資料報序列中上層協議資料報的型別

首部檢驗和：乙個錯誤的檢測機制，確保ip頭部沒有被修改

可選字段：保留作額外的ip選項

資料部分：使用ip傳遞實際資料用。

（3）分析ip資料報

在本地主機上ping www.baidu.com，使用wireshark獲取資料

（4）先分析29幀，也就是請求幀

選中29幀，檢視包的詳細資訊

（5）分析30幀，也就是回應幀

可以看到經過了11個路由，顯然每次路徑是不一樣的。

關於生存時間，下節做詳細說明