关于网络协议的抓包以及首部格式

-------------------新手学习，大神忽略-----------------

首先说说IP首部



这就是IP首部的格式说明，然后我们看看具体的抓包情况哈

其中的对应关系非常明显，奈何没有比较好的图片编辑工具，所以就没有对图片进行处理，没有标记出所谓的相关信息

如果各位有好的图片办公软件的话，可以向在下推荐，感激各位了哈！

首先是上面的总体说明情况IPv4  然后就是源IP和目的IP

然后开始了我们的IP数据报的首部说明情况

版本号：0100    也就是IPv4

首部长度：0101   20字节（没有选项部分）

然后是区分服务（也可以叫做服务类型，不过一般是没有怎么用）

然后是总长度  68字节

之后是16位标识  0x46bd

3位标志只用了其中的两位   不能分片和更多分片

13位片移  0

生存时间   64   单位是路由器的跳数

协议类型   说的是上层处理协议  UDP  也就是分用为UDP协议

然后就是检验和  0x6a68

之后就是IP里面的最重要的信息了

源IP和目的IP  12.168.8.220      255.255.255.255



然后我们看看TCP是什么样子的



这就是我们的TCP首部了，那么抓包之后的TCP首部是什么样子的呢

我们来看看下面的情况

首先我们也从TCP的概述说起，源端口49905 和目的端口 80           序号 0          长度 0

然后正式开始我们的TCP之旅

源端口号：49905

目的端口号：80

序号：0（相对的序号）

确认序号：0

首部长度：32   （有选项部分）

标志位：0x002  （6位保留位，可是实际情况是只有3位是保留位）

000   保留

---0：随机数

---- 0：拥塞窗口控制

---- -0：暂且没弄懂是个啥

---- --0：紧急指针标志

---- ---0：确认标志

---- ---- 0：将报文尽快交给应用层

---- ---- -0：置位指针，表示TCP出错时重新创建一个连接

---- ---- --0：同步序号

---- ---- ---0：终止标志

窗口大小：8192

检验和：0xe001

紧急指针：0

选项：12个字节

最大报文长度：1460

NO-operation：    额。。。。。。。

窗口大小：8

NOP

NOP

TCP SACK Permitted option ：Ture



TCP说完了，我们说说UDP，这位兄弟就简单多了，因为它是不可靠的！

首先呢，我们来看看它的格式是怎么样的



看吧，这位兄弟就是UDP了，是不是觉得，哎呀，这个好简洁呀，是吧，也确实是这样的

继续我们的抓包，看看这位兄弟的真明目



这个就是我们的UDP兄弟了

开始  UDP  源端口 137  目的端口 137

源端口  137

目
4000
的端口 137

长度：  58  （显然就是首部加上数据部分的长度了）

检验和 ： 0x45b8

虽然说这个不是很贴切的ARP，可是人家在里面，我也懒得去弄了，就这样吧，我们来看看ARP的首部格式



继续抓包之旅



好了，ARP也被我们抓住了

我们来看看是怎么回事哈，

首先，ARP  （请求）

然后是硬件类型：以太网（一个字节）

协议类型：IPv （它的值为0x0800）

硬件地址长度：6  字节

协议长度：   4  字节

操作类型：请求报文（ARP）

源MAC：  74：25：8a：65：8c：61

源IP    :     192.168.8.1

目的MAC： 00：00：00：00：00：00

目的IP   ：  192.168.8.162

之后再看看ICMP是什么样子的



上面是ICMP报文的请求报文格式

下面就是抓包里面的详细结果

首先 ICMP 报文

类型：3  （目的主机不可达）

代码：3  （端口不可达）

检验和：0x8f69

未用：00000000

同时，也可以看到ICMP的构成（这是一个回显报文）

 在ICMP首部之后，是我们的IP首部，在IP首部之后，是我们的UDP首部，最后面的是我们的数据部分

也就是说ICMP反馈情况的时候，会将IP数据报的一些信息包含在里面，而UDP被封装在IP里面（在这个截图里面是这样的，并不一定都是这样的）



以上所有的报文格式的图片都是来自于TCPIP协议卷一