关于IP、ARP、ICMP数据报分析.docVIP

1.当连接到网络时，主机发送的第一个数据包： ARP 广播包 （1）主机的 以太网适配器的 MAC 地址、IP 地址 （2）主机连接到网络 发送 广播 ARP 请求，以下是数据包格式分析 解释： 在主机刚连接到网络时，会向网络中发送 ARP 广播 请求，确认自己的 IP 地址在同一网络内没有和网络中的其他主机 IP 地址 冲突。 ARP 数据报格式 ① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑨ ⑩ ? ? 以太网帧头： ①目的 MAC 地址 ： ff - ff - ff - ff - ff - ff 共 6字节， 代表该帧 为广播帧 ②源 MAC 地址： 3c-97-0e - 3e - de - 8d 共 6字节，代表主机 的以太网适配 器的MAC 地址 ③帧类型：0806 共 2字节，用来标识帧封装的上层协议，即 ARP Type/Length ：2字节，根据数值的不同代表2种不同的封装格式： 如果字段值在 0x 0000 - 0x 05DC 范围内，则表示该字段为 Length，该帧为 802.3 raw封装。 如果字段值在 0x 0600 - 0x FFFF 范围内，则表示该字段为 Type 字段，该帧为 Ethernet II 封装。 0x 05DD - 0x05FF 保留没有使用。 ARP 报头： ④硬件类型：0001 共 2 字节，表示ARP 报文可以在哪种类型的网络上传输，值为 1 时表示为 以太网 地址 ⑤上层协议类型：0800 共 2 字节，表示硬件地址要映射的协议地址类型，0x0800 表 示 IP 协议 ⑥MAC 地址长度：06 共 1 字节，标识MAC 地址长度，以字节为单位 ⑦IP 地址长度：04 共 1字节，标识 IP 地址长度，以字节为单位 ⑧操作类型：0001 共 2 字节，指定本次 ARP 报文类型，1表示请求报文，2表示 应答报文 ARP 数据： ⑨源 MAC 地址: 3c - 97 - 0e - 3e - de - 8d 共 6 字节，表示发送方设备的硬件地址 ⑩源 IP 地址: 00 - 00 - 00 - 00 共 4 字节，表示发送方设备的 IP 地址，此处用 32 位的 0 填充，是因为主机不确定自己的IP地址是否和网络上的其他主机IP地址有 冲突，所以发送 ARP 广播包来验证 ?目的 MAC 地址：00 - 00 - 00 - 00 - 00 - 00 共 6 字节，表示接收方设备的硬件 地址，在请求报文中该字段值全0，表示任意地址，因为现在不知道这个MAC地址 ?目的 IP 地址：c0 - a8 - 01 - 64 共4 字节，表示接收方设备的IP 地址 (192.168.1.100)，可以发现该 IP 地址就是主机自己的IP 地址。 ICMP包 ping request 以太网帧头格式： ① 目的 MAC 地址 ② 源 MAC 地址 ③ 长度/类型 ： 该字段值 如果大于 1536（0x0600），表示承载的上层协议类型 如果小于或等于 1500（0x05DC），表示该帧数据部分长度 IP 数据报头格式： ④ 版本：该字段 占 4位 头部长度：该字段 占 4位，以4字节为单位，此处 值 为 5，表示 5*4 = 20 字节，即报头长度为 20 字节 ⑤ 区分服务：又称服务类型（TOS） 字段，用于表示数据报的优先级和服务类型， 它包括一个 3 位长度的优先级、4 位长度的标志位。标志位分别是 D(Delay 延迟)、T(Throughput 吞吐量)、R(Reliability 可靠性)、C(Cost 开销)，最高 1 位未用； 未使用 区分服务，则该字段为 0 ⑥ 总长度：标识整个 IP 数据报的长度，包括头部和数据部分，整个 IP 数据报 总长度以字节为单位，该字段占 16 位，IPv4 数据报的最大长度为 216 - 1 字 节，即 65535 字节（64KB）。 此处 为 0x0040 ，即 64 字节 ⑦ 标识：用于表示 IP 数据报的标识符，占 16位，每个 IP 数据报有一个唯一的 标识。当数据报的长度超过下面数据链路层的 MTU 值而必须分段时，这个 标识字段的值就被复制到 所有的 数据报分段 的 标识字段中。相同的标识字 段的值使分段后的各数据分段最后能正确地重载成为原来的数据报。 ⑧ 标志： 标志字段指出该 IP 数据报后面是否还有分段，也就是这个字段是分