IP、ARP、ICMP数据报分析.doc

,主机发送的第一个数据包:ARP广播包(1)主机的以太网适配器的MAC地址、IP地址(2)主机连接到网络发送广播ARP请求,以下是数据包格式分析解释:在主机刚连接到网络时,会向网络中发送ARP广播请求,确认自己的IP地址在同一网络内没有和网络中的其他主机IP地址冲突。ARP数据报格式①②③④⑤⑥⑦⑧⑨⑩⑪⑫以太网帧头:①目的MAC地址:ff-ff-ff-ff-ff-ff共6字节,代表该帧为广播帧 ②源MAC地址:3c-97-0e-3e-de-8d共6字节,代表主机的以太网适配 器的MAC地址 ③帧类型:0806共2字节,用来标识帧封装的上层协议,即ARPType/Length:2字节,根据数值的不同代表2种不同的封装格式:如果字段值在0x0000-0x05DC范围内,则表示该字段为Length,。如果字段值在0x0600-0xFFFF范围内,则表示该字段为Type字段,II封装。0x05DD-0x05FF保留没有使用。ARP报头: ④硬件类型:0001共2字节,表示ARP报文可以在哪种类型的网络上传输,值为1 时表示为以太网地址⑤上层协议类型:0800共2字节,表示硬件地址要映射的协议地址类型,0x0800表 示IP协议⑥MAC地址长度:06共1字节,标识MAC地址长度,以字节为单位⑦IP地址长度:04共1字节,标识IP地址长度,以字节为单位⑧操作类型:0001共2字节,指定本次ARP报文类型,1表示请求报文,2表示应答报文ARP数据:⑨源MAC地址:3c-97-0e-3e-de-8d共6字节,表示发送方设备的硬件地址⑩源IP地址:00-00-00-00共4字节,表示发送方设备的IP地址,此处用32 位的0填充,是因为主机不确定自己的IP地址是否和网络上的其他主机IP地址有 冲突,所以发送ARP广播包来验证⑪目的MAC地址:00-00-00-00-00-00共6字节,表示接收方设备的硬件 地址,在请求报文中该字段值全0,表示任意地址,因为现在不知道这个MAC地址⑫目的IP地址:c0-a8-01-64共4字节,表示接收方设备的IP地址 (),可以发现该IP地址就是主机自己的IP地址。ICMP包pingrequest以太网帧头格式:①目的MAC地址②源MAC地址③长度/类型:该字段值如果大于1536(0x0600),表示承载的上层协议类型如果小于或等于1500(0x05DC),表示该帧数据部分长度IP数据报头格式:④ 版本:该字段占4位头部长度:该字段占4位,以4字节为单位,此处值为5,表示5*4 =20 字节,即报头长度为20字节⑤区分服务:又称服务类型(TOS)字段,用于表示数据报的优先级和服务类型, 它包括一个3位长度的优先级、4位长度的标志位。标志位分别是D(Delay 延迟)、T(Throughput吞吐量)、R(Reliability可靠性)、C(Cost开销),最高1 位未用;未使用区分服务,则该字段为0⑥总长度:标识整个IP数据报的长度,包括头部和数据部分,整个IP数据报总长度以字节为单位,该字段占16位,IPv4数据报的最大长度为216-1字节,即65535字节(64KB)。此处为0x0040,即64字节⑦标识:用于表示IP数据报的标识符,占16位,每个IP数据报有一