分析IP报文.ppt

详细分析IP报文
理解IP报文每一字段的具体意义
演示:取证IP报文的每一字段的作用与意义
详细分析IP报文
理解IP报文每一字段的具体意义
字段名
长度(字节)
描述
版本号
1/2(4比特)
标识用来产生数据报的IP版本。相对于IPv4,该号为4。这个字段确保可能运行不同IP版本的的设备之间的兼容性。
首部长度(IHL)
1/2(4比特)
以32比特的字来定义IP首部的长度。
服务类型(TOS)
1
一个用于携带提供服务质量特征信息的字段,如IP数据报的优先交付。该字段并没有如初始定义被广泛使用,它的含义被一个称为区分服务的技术而重新定义使用
总长度(TL)
2
指定了IP数据报的总长度,按字节计。由于这个字段是16比特宽,一个IP数据报的最大长度是65535字节,尽管大多数都小得多
标识
2
以便交付过程中在路由器上必须要分片时使用。接收方使用该字段来重新组装报文而不会意外地把来自不同报文的分片混在一起。需要该字段是因为分片可能来自混合在一起的多个报文,因为来自于任一台设备的IP数据报可以被无序地接收
标志
3/8(3比特)
3个控制标志,两个用于管理分片,一个是预留的。参见表2
片偏移
15/8(13比特)
当一个报文出现分片时,该字段指定了在这个分片中的数据位于报文中的偏移量,或位置,偏移值以8字节为单位(64比特)。第一个分片的偏移量是0
生存期(TTL)
1
该字段指定了数据报在网络上允许存活的时间,以路由器跳数计。每个路由器在发送数据报前会减少这个字段的值(减1):如果TTL字段减到0,该数据报被认为历经了一条太长的路由,则被丢弃
协议
1
标识在数据报中携带的较高层协议(通常是一个运输层协议或封装的网络层协议)。表3说明了该字段的协议值,这些值最初由IETF“地址分配”标准RFC1700定义,现在由因特网地址分配委员会(IANA)维护
首部校验值
2
检验和在首部上进行计算,提供传输中基本的差错保护。它不是数据链路层技术如以太网等常用的较复杂的循环冗余检测(CRC)码;它只是一个16比特检验和。它通过把首部字节分为两个字(一个字是两字节)然后相加而计算得到。著有首部(不是数据)被计算检验和。在每一跳,设备收到数据报都要做检查和计算,如果两个检验和不相同,它认为数据报损坏将其丢弃
源地址
4
它是数据报的发起者的32比特IP地址。注意即使中间设备如路由器可能处理该数据报,它们通常不把它们的地址放入该字段,这个地址总是最初发送该数据报的设备的地址
目的地址
4
它是数据报的期望接收方的32比特IP地址。同样,即使如路由器等设备可能是数据报的中间目标,该字段总是用于定义最终目的地
选项
可变的
一种或几种类型的选项可能被包含在某个IP数据报标准首部的后面。
填充
可变的
如果包含一个或多个选项,且用于它们的比特数不是32的倍数,那么就需要添加