本文将会展示IP数据报格式，并利用wireshark抓包，然后加以分析
 
话不多说，直接上图
 
 
wireshark抓包分析
 
 
版本：占4位，Version 4（IPv4），指IP协议的版本
 
首部：占4位，可表示最大十进制数是15（1111），所以首部长度最大为60字节
 
区分服务：占8位，只有在使用区分服务时，这个字段才起作用
 
总长度：占16位，总长度指首部和数据之和的长度，单位为字节，数据报的最大长度为2^16-1=65535字节
 
标识：占16位，IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段
 
标志：占3位，但只有2位有意义
 
    标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
 
    标志字段中间的一位记为DF(Don’t Fragment)，意思是“不能分片”。只有当DF=0时才允许分片。
 
片偏移：占13位，片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，除了最后一个分片，每个分片的长度一定是8字节（64位）的整数倍。
 
生存时间：占8位，TTL（Time To Live）是数据报在网络中的寿命，目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源，路由器在转发数据报之前就把TTL值减1，若TTL值减少到零，就丢弃这个数据报，不再转发
 
协议：占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程
 
首部校验和：占16位，这个字段只检验数据报的首部，但不包括数据部分
 
源地址：占32位
 
目的地址：占32位
 

  

一. 实验目的
 
    通过本次实验，掌握使用Wireshark抓取TCP/IP协议数据包的技能，能够深入分析IP帧格式。通过抓包和分析数据包来理解TCP/IP协议，进一步提高理论联系实践的能力。
 
二.实验内容
 
1.本次实验重点：利用Wireshark抓IP包及IP包的分析。
 
2.本次实验难点：分析抓到的IP包。
 
3.本次实验环境：Windows 7，Wireshark。
 
4.本次实验内容：
 
    介绍本次实验的内容，介绍本次实验要抓的包，IP协议是因特网上的中枢。它定义了独立的网络之间以什么样的方式协同工作从而形成一个全球户联网。因特网内的每台主机都有IP地址。数据被称作数据报的分组形式从一台主机发送到另一台。每个数据报标有源IP地址和目的IP地址，然后被发送到网络中。如果源主机和目的主机不在同一个网络中，那么一个被称为路由器的中间机器将接收被传送的数据报，并且将其发送到距离目的端最近的下一个路由器。
 
 
 
 
三. 实验过程
 
IP包抓取及分析过程如下：
第一步，确定使用的协议，使用HTTP服务。选择http://www.sina.com.cn/作为目标地址。
 
第二步，启动抓包：点击【start】开始抓包，在浏览器地址栏输入http://www.sina.com.cn。
 
 
第三步，通过显示过滤器得到先关数据包：通过抓包获得大量的数据包，为了对数据包分析的方便，需要使用过滤器，添加本机IP地址和IP协议过滤条件。
 
（1）打开命令提示符，通过ipconfig /all来查看本机IP地址。
 
 
 
 
（2）在工具栏上的Filter对话框中填入过滤条件：ip.addr==192.168.100.132，过滤结果如下：
 
 
结果发现效果不是很好，于是将过滤条件中的IP地址更换为http://www.sina.com.cn的IP地址，操作过程如下：
 
（1）打开命令提示符，通过ping www.sina.com.cn来查看目标IP地址。
 
 
（2）打开命在工具栏上的Filter对话框中填入过滤条件： ip.addr==59.175.132.126，过滤结果如下：
 
 
双击点击一条tcp报文进入详细信息，那为什么不选Protocol类型为IP的协议呢？
 
答案是没有，tcp报文正是基于ip协议的，tcp是传输层协议，而ip是它底下的网络层协议。
 
第四步，分析IP数据包，根据图中的数据帧格式，分析IP包的各部分。
 
版本(4bit)。ip报文中，版本占了4位，用来表示该协议采用的是那一个版本的ip，相同版本的ip才能进行通信。
 
首部长度(4bit)。该字段表示整个ip包头的长度，其中数的单位是4字节。即二进制数0000-1111（十进制数0-15），其中一个最小长度为0字节，最大长度为60字节。一般来说此处的值为0101，表示头长度为20字节。
 
 
 
区分服务(8bit)。该字段用来获得更好的服务，在旧标准中叫做服务类型，但实际上一直未被使用过。1998 年这个字段改名为区分服务。只有在使用区分服（DiffServ）时，这个字段才起作用。在一般的情况下都不使用这个字段。
 
总长度(16bit)。该字段指首部和数据之和的长度，单位为字节，因此数据报的最大长度为 65535 字节。总长度必须不超过最大传送单元 MTU。
 
 
 
标识(16bit)。标识(identification)占 16 位，它是一个计数器，用来产生数据报的标识。
 
标志(3bit)。标志(flag)占 3 位，目前只有前两位有意义。标志字段的最低位是 MF (More Fragment)。MF=1 表示后面“还有分片”。MF=0 表示最后一个分片。标志字段中间的一位是 DF (Don't Fragment) 。只有当 DF=0 时才允许分片。
 
片偏移(13 bit)。该字段指出较长的分组在分片后某片在原分组中的相对位置。片偏移以 8 个字节为偏移单位。
 
生存时间(8 bit)。记为 TTL (Time To Live)数据报在网络中可通过的路由器数的最大值。
 
协议(8 bit)。该字段指出此数据报携带的数据使用何种协议以便目的主机的 IP 层将数据部分上交给哪个处理过程。
 
首部检验和(16 bit)。该字段只检验数据报的首部不检验数据部分。
 
源地址/目的地址(32bit)。
 
 
可选字段，一般一些特殊的要求会加在这个部分。
 
数据。
 
 

Wireshark抓包
 
TCP三次握手
 
![在这里插入图片描述](https://img-blog.csdnimg.cn/59e3da1be12e42038bf1f6f82e4ca20a.png
 
ManagementService进程使用58884端口，向ObjectService的8083端口发起TCP连接。
 
握手1：58884端口发起SYN，SEQ=0，SEQ是Sequence number代表发送端本地的序号。
 握手2：8043端口收到请求后，发现是建链的报文，自己本地产生自己的SEQ=0，作为对握手1 SEQ=0报文的应答，ACK=0（握手1报文的SEQ）+1=1。回复SYN，ACK报文。
 握手3：58884端口收到SYN，ACK后，通过收到握手2的报文，ACK=1，知道8043端口同意建链，自己也开心的回复一个ACK=0（握手2报文的SEQ）+1=1。作为同意建链的答复。
 
至此三次握手完成了。
 
HTTP请求
 
HTTP请求如下。第20个报文。
 
 
HTTP相应如下，第187个报文：
 
 
从22-187都是文件传输接口的相应。那么为什么会有这么多报文？这就要说TCP分段。
 
TCP分段
 
一个大文件如何通过网络传输？
 能通过一个报文讲大文件传过去么？ 不行的。
 TCP层有MSS。也就是如果用TCP协议发送大文件，超过TCP单报文的最大值，就会再TCP层被分段发送。
 
备注：IP的MTU，这个主要是针对UDP等协议的。也就是用UDP发送大内容，如文件流，那么会被IP层分片发送。
 
再回过头去看这个获取下载内容的HTTP报文。一个Request的HTTP请求。
 和一个Reponse的HTTP请求之间有很多交互的报文，这些报文都是要传输的内容经过TCP分段后，传输交互的内容。
 
分段大小
 
TCP分段大小，是IP层分片MTU-40得到的值就是TCP分段的MSS值。40=20（IP头）+20（TCP）头。
 MSS的值与客户端和服务器都有关系，最终使用协商最小值作为传输的MSS值。
 MSS值再TCP建立连接的3次握手阶段完成。分别是SYN，SYN ACK这两个阶段，如下图所示。双方的MSS都是65495。那么通信过程中协商的MSS值就是65495。
 
 
 
TCP 窗口
 
 
看到抓包中有很多特殊的报文，如上。包括TCP WINDOW FULL和TCP ZeroWindow以及TCP Window update标记的报文。看下这些是怎么产生的以及是怎么工作的。
 TCP接收和发送有滑动窗口机制。重要的标识包括Win字段，就是说名窗口大小。
 
如上图所示。60号报文代表，报文接收方给服务器说自己的win=65535。并且通过ACK可以看到，接收方要接收到报文下次要从98305byte的位置开始。
 这个时候服务器就继续发送61号报文，PSH，ACK类型，Req=98305。Len=32768。
 接着发送62号报文，PSH，ACK类型，Req=131073，Len=32768。
 可以看出来当前已经发出的报文长度是65536。已经等于最后一次收到ACK，也就是60号报文中最大的Win长度了。服务器就知道自己发送的报文已经到接收方的接收临界了。就不在发送了。所以报文类型是TCP Window Full。代表接收方的TCP Window已经满了。接下来要等接收方，发确认的ACK了。
 
接收方发送的65号报文，ACK=163841，也就是62号报文的REQ+Len，代表已经收到61，62报文的数据了。并且自己此时的Window长度是0。通知服务器自己的Win是0了。没有能力收报文了。
 当然接收方收到报文后，通过滑动窗口处理报文，内核将内容读取到接收缓冲区，并供上层应用使用。
 
处理了一会（当然时间很短），接收方有足够的Window长度了，就发送了72号报文。标记TCP Window Update。代表自己的Window长度更新了，告诉服务器可以继续发送了。
 
服务器收到这个后，就继续发送了。。。。。。
 
HTTP响应
 
 
经过一堆数据报文的传输，最终服务器发送完了所有文件数据。
 并且计算出来Data数据长度1048676byte。以及服务器相应的HTTP的Header信息。
 客户端拿到这些数据，根据HTTP协议，做对应处理。
 比如浏览器拿到这个HTTP Response报文后，看到Content-disposition里面写的是attachment，filename=abc。
 那就会弹出问询窗口，询问用户是打开，还是保存附件。

在分析数据之前，我们先了解一下我们传输数据的结构体系，如下图：
 

 这是两种体系，我们常用的一般都是TCP/IP体系结构。
 
TCP/IP体系架构分析
 
 
不难发现，TCP/IP体系中包含着很多我们熟悉的协议，比如说：http、smtp、https等。而我们人（使用者）是站在应用层之上的，我们想把数据上传或者说发送给别人，就要通过一些应用，如：QQ、微信、百度网盘等。然后就经过一层层加密（在数据包前加个“头”），一层层的传递。
 
Frame层（物理层）分析
 
这是我自己抓包的一个例子，我从我自己的QQ发了一条消息给朋友，然后截了一个数据包，现在我们来分析一下。
 
 
1.在这里我们可以看见的是我发信息到达对方QQ的时间（Arrival Time）.
 2.与之前捕获的数据帧时间差0.016937秒（captured frame）.
 3.与之前显示的帧时间差0.02171秒（displayed frame）.
 4.帧的长度(Frame Length)和捕获到的长度(Capture Length)都是89字节.
 5.使用的色彩规则是UDP.
 
Ethernet层（数据链路层）分析
 
 
这里我们就可以看见我和别人的Mac地址（物理地址）,Destination是目标的，相对的Source就是我的啦，IPv4是我发的数据包类型。
 
IPv4协议（互联网层）分析
 
 
1.头部数据长度（Header Length）为20字节.
 2.源IP地址(Source).
 3.目标IP地址(Destination).
 
UDP/TCP协议（传输层）分析
 
 
因为我是发送的QQ信息，UDP传输较快（TCP传输数据比较完整），so我这里用的是UDP协议。
 1.源端口（我发送信息出去用的端口）为4011.
 2.目标端口（这里是发送到QQ，所以用QQ发信息都是这个）为8000.
 
OICQ协议（应用层）分析
 
 
QQ发信息用的是oicq协议，所以这里不同的数据包，所用的协议不一样，比如说：DNS、HTTP等。
 这里我就不漏我的QQ号了。