網路資料包分析
阿新 • • 發佈:2019-02-20
1.資料鏈路層頭部(以太幀頭部)(總14個位元組)
1.1 前6個位元組(接收者的mac地址 即目的mac地址)---
1.2 中間6個位元組 (傳送者的mac地址 即源mac地址)---
1.3 最後2個位元組 (代表網路協議; 08 00是IP協議型別 08 06是地址解析協議ARP)--------------
2. IP資料包包頭分析 (20個位元組)
2.1 第1個位元組(45) ,前4位表示的是IP協議的版本,即IPv4;它的後4位表示首部長度為20位元組,即IP資料包包頭為20位元組
2.2 第2個位元組 是區分服務
2.3 第3,4個位元組 是指首部和資料之和的長度,即 IP資料包包頭和IP資料之和,不包括以太幀頭部的位元組
2.4 第5,6個位元組 是一個數據報被分片後的標識,便於正確的重灌原來的資料報
2.5 第7,8個位元組 分前3位為標誌位和後13位為片偏移,其中標識位只有兩位有意義
2.6 第9個位元組 表示的是資料報在網路中的壽命
2.7 第10個位元組 指出資料報攜帶的資料時使用的協議型別(01表示ICMP協議; 06表示TCP協議; 11表示UDP協議)----------
2.8 第11,12個位元組 表示首位檢驗和,對資料報的保留與丟棄進行判別
2.9 第13,14,15,16個位元組 表示傳送者的IP地址(源IP)------
2.10 第17,18,19,20個位元組 表示接收者的IP地址(目的IP)--------
3.ICMP資料分析 (ICMP資料頭8個位元組 + 報文資料32個位元組)
3.1 第1個位元組 說明ICMP報文型別(08 表示迴應請求報文,傳遞的ping命令通常用於測試信宿的可到性;
00 表示迴應應答報文) (如果是匹配的一組報文對,其識別符號和序列號是一樣的,且資料部分也是一樣的)
3.2 第2個位元組 (00)指的是程式碼為0,網路不可達
3.3 第3,4個位元組 檢驗和(checksum)
3.4 第5,6個位元組 識別符號(Identifier)
3.5 第7,8個位元組 報文的序列號(Sequence number)
3.6 第9個位元組及以後總共32個位元組 是報文的資料(Data)
4.TCP資料分析 (TCP包包頭 是用資料偏移欄位表示的
1.1 前6個位元組(接收者的mac地址 即目的mac地址)---
1.2 中間6個位元組 (傳送者的mac地址 即源mac地址)---
1.3 最後2個位元組 (代表網路協議; 08 00是IP協議型別 08 06是地址解析協議ARP)--------------
2. IP資料包包頭分析 (20個位元組)
2.1 第1個位元組(45) ,前4位表示的是IP協議的版本,即IPv4;它的後4位表示首部長度為20位元組,即IP資料包包頭為20位元組
2.2 第2個位元組 是區分服務
2.3 第3,4個位元組 是指首部和資料之和的長度,即 IP資料包包頭和IP資料之和,不包括以太幀頭部的位元組
2.4 第5,6個位元組 是一個數據報被分片後的標識,便於正確的重灌原來的資料報
2.5 第7,8個位元組 分前3位為標誌位和後13位為片偏移,其中標識位只有兩位有意義
2.6 第9個位元組 表示的是資料報在網路中的壽命
2.7 第10個位元組 指出資料報攜帶的資料時使用的協議型別(01表示ICMP協議; 06表示TCP協議; 11表示UDP協議)----------
2.8 第11,12個位元組 表示首位檢驗和,對資料報的保留與丟棄進行判別
2.9 第13,14,15,16個位元組 表示傳送者的IP地址(源IP)------
2.10 第17,18,19,20個位元組 表示接收者的IP地址(目的IP)--------
3.ICMP資料分析 (ICMP資料頭8個位元組 + 報文資料32個位元組)
3.1 第1個位元組 說明ICMP報文型別(08 表示迴應請求報文,傳遞的ping命令通常用於測試信宿的可到性;
00 表示迴應應答報文) (如果是匹配的一組報文對,其識別符號和序列號是一樣的,且資料部分也是一樣的)
3.2 第2個位元組 (00)指的是程式碼為0,網路不可達
3.3 第3,4個位元組 檢驗和(checksum)
3.4 第5,6個位元組 識別符號(Identifier)
3.5 第7,8個位元組 報文的序列號(Sequence number)
3.6 第9個位元組及以後總共32個位元組 是報文的資料(Data)
4.TCP資料分析 (TCP包包頭 是用資料偏移欄位表示的