NCSE-3IP数据报结构（PPT）.ppt

IP数据包结构 ＮＣＳＥ考试辅导教材第3章 教学内容 流量监控与数据分析 网络层协议报头结构 传输层协议报头结构? TCP会话安全 应用数据流的捕捉车威胁分析 碎片的简介（只做了解） 一、流量监控与数据分析 通过Sniffer Pro的Traffic Map视图进行流量分析。 二、网络层协议包头结构 IP协议简介 IP报文头 IP报头详述 Traceroute的实现 ?IP的功能 1、IP协议简介 IP协议（网际协议）是Internet上使用的一个关键的底层协议。 IP协议允许不同种类的操作系统和计算机使用网络。 IP协议精确地定义了计算机在通信过程中所有的细节。IP协议具有适应各种网络的灵活性，对底层网络硬件基本没有任何要求。 一个网络只要在两点间可以传送二进制数据，就可以使用IP协议介入Internet。 IP是TCP/IP的核心，所有的TCP、UDP、ICMP、IGMP数据都以IP数据报格式传输。IP提供不可靠、无连接的数据报传送服务。 不可靠（Unreliable）是指IP不能保证IP数据包能成功抵达目的地，仅提供最好的传输服务。如果发生某种错误，IP有一个简单的处理办法：丢弃该数据包，然后发送ICMP消息给发信源端。任何要求可靠的请求必须依赖上层（如TCP）来提供。 IP服务模型的构成 1）寻址服务：提供识别整个互连网上主机的方法 2）数据报服务，又称无连接服务,best effort 尽力传输每个数据报,但不保证不出错 数据报传送 IP 数据报是IP协议的基础 Best effort：当包在途中可能出错、丢失、损坏、错转等问题可能到达不了目的地时,网络不能作什么,它已经尽了最大努力,作了它应做的全部，它不会力图去恢复－--不可靠服务 IP最初的设计目标之一：使路由器尽可能简单 2、IP报文头 版本 首部长度 服务类型 总长度 标识 标志 Header version:?? 4 Header length:??? 20 Type of service:? 00 ??????? ......0. = Min. Cost ??????? .....0.. = Reliability ??????? ....0... = Throughput ??????? ...0.... = Low Delay ??????? 000..... = Routine IP packet length: 48 Identification:?? 2632 Fragmentation:??? 4000 Fragment offset:? 0 ??????? ..0..... = More Fragments ??????? .0...... = Dont Fragment Time To Live [s]: 108 Protocol:???????? 6: TCP: Transport Control Protocol Header Checksum:? 63088 (correct) Source:?????????? 5 Destination:????? 6 3、IP报头详述 图：IP数据报的格式 表：不同链路层协议的MTU值 图：数据报的分片 图：协议字段告诉IP层应当如何交付数据 表：IP数据报首部中与分片有关的字段中的数值 常用的一些协议和相应的协议字段值如下： 图：IP数据报首部检验和的计算过程 IP数据报首部的可变部分 IP首部的可变部分就是一个选项字段； 选项字段用来支持排错、测量以及安全等措施； 此字段的长度可变，从1个字节到40个字节不等；取决于所选项的项目； 增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。 IP有一个选项叫做IP Source Routing，该选项可以用来指定一条源地址和目标地址之间的直接路径。对于一些TCP、UDP服务来说，使用了该选项的数据包就像从路径上最后一个系统上传递过来的，而不是来自于它的真实站点。该选项为测试而存在，但是却可以被用于IP欺骗。 4、Traceroute的实现 开始发送一个TTL为1的UDP数据报，然后将TTL字段每次加1，以确定路径中的每个路由器。每个路由器在丢弃UDP数据报时都会返回一个ICMP超时报文2，而最终目的主机则产生一个ICMP端口不可抵达的报文。 5、IP的功能 ?寻址和路由； 分段和重组； 传输过程中数据损坏检测和更正 寻址和路由：IP最重要的功能就是能使报文送到特定目的地。连接源和目标的网络中的交换机和路由器使用IP地址确定通过网络的最优路径。IP报文包含源机器地址，因为目标机器可能与源机器通信。 分段和重组：当数据不能被包含在一个IP报文中，它们必须分成两个或更多。当分段发生时，IP必须能重