【個(gè)人總結(jié)系列-46】計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)學(xué)習(xí)-數(shù)據(jù)包格式分析-傳輸過(guò)程-IP地址分類-網(wǎng)絡(luò)設(shè)備

1、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)學(xué)習(xí)-數(shù)據(jù)包格式分析-傳輸過(guò)程-IP地址分類-網(wǎng)絡(luò)設(shè)備計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)知識(shí)學(xué)習(xí)對(duì)數(shù)據(jù)包格式的分析由于在對(duì)包進(jìn)行分析時(shí)都要參考數(shù)據(jù)包的格式，所以數(shù)據(jù)包的格式是相當(dāng)重要的。在抓包時(shí)，首先是獲得鏈路層的幀，根據(jù)幀頭可以獲得源mac和目的mac以及上層的協(xié)議。一般幀頭是14byte，鏈路層幀的包頭結(jié)構(gòu)在程序中的表示如下：/* 6字節(jié)的mac地址 */typedef struct mac_address u_char byte1; u_char byte2; u_char byte3; u_char byte4;u_char byte5;u_char byte6; mac_address

2、;/* 14字節(jié)的ether幀頭 */typedef struct ether_header mac_address dest_mac; mac_address src_mac; u_short protocal; ether_header;根據(jù)幀頭的長(zhǎng)度將指針往后移，然后可以獲得IP數(shù)據(jù)報(bào)的頭部指針，根據(jù)報(bào)頭信息可以獲得源IP、目的IP、上層協(xié)議、頭部長(zhǎng)度、總長(zhǎng)度等信息，IP數(shù)據(jù)報(bào)的頭部格式如下圖所示：圖 IPV4頭部格式圖 IPV6頭部格式IPV4報(bào)文結(jié)構(gòu)在程序中的表示：/* 4字節(jié)的IP地址 */typedef struct ip_address u_char byte1; u_char

3、 byte2; u_char byte3; u_char byte4; ip_address;/* IP頭部 */typedef struct ip_header u_char ver_ihl; / 版本 (4 bits) + 首部長(zhǎng)度 (4 bits) u_char tos; / 服務(wù)類型(Type of service) u_short tlen; / 總長(zhǎng)(Total length) u_short identification; / 標(biāo)識(shí)(Identification) u_short flags_fo; / 標(biāo)志位(Flags) (3 bits) + 段偏移量(Fragment of

4、fset) (13 bits) u_char ttl; / 存活時(shí)間(Time to live) u_char proto; / 協(xié)議(Protocol) u_short crc; / 首部校驗(yàn)和(Header checksum) ip_address saddr; / 源地址(Source address) ip_address daddr; / 目的地址(Destination address) u_int op_pad; / 選項(xiàng)與填充(Option + Padding) ip_header;然后根據(jù)報(bào)頭長(zhǎng)度又可以計(jì)算出TCP或UDP的頭部指針，根據(jù)TCP或UDP的頭部信息可以獲得源端口

5、號(hào)和目的端口號(hào)等信息，一般TCP的頭部長(zhǎng)度為20bytes，UDP的頭部長(zhǎng)度為8bytes，TCP和UDP的報(bào)文格式如下所示：圖 TCP報(bào)文格式圖 UDP報(bào)文格式TCP/UDP包頭結(jié)構(gòu)在程序中的表示：/* TCP頭部 */typedef struct tcp_header u_short srcPort; / 源端口號(hào) 16bits u_short destPort; / 目的端口號(hào) 16bits u_int seqNum; / 序號(hào) 32bits u_int ackNum; / 確認(rèn)號(hào) 32bits u_short headLen_other; / 首部長(zhǎng)度+保留未用+其他字段 16bits

6、 u_short windowSize; / 窗口大小 16bits u_short checkSum; / 檢驗(yàn)和 16bits u_short pointer; / 緊急數(shù)據(jù)指針 16bits u_int option; / 選項(xiàng) 可選、不定長(zhǎng) tcp_header;/* UDP頭部 */typedef struct udp_header u_short srcPort; / 源端口號(hào) 16bits u_short destPort; / 目的端口號(hào) 16bits u_short udpLen; / udp長(zhǎng)度 16bits u_short checkSum; / 檢驗(yàn)和 16bits u

7、dp_header;最后就是應(yīng)用層的數(shù)據(jù)了，根據(jù)上層的報(bào)文頭部信息可以計(jì)算出應(yīng)用層數(shù)據(jù)的頭部指針，同時(shí)根據(jù)IP數(shù)據(jù)包的頭部信息可以計(jì)算出應(yīng)用層數(shù)據(jù)的長(zhǎng)度，因此就可以通過(guò)程序?qū)?yīng)用層的數(shù)據(jù)取出來(lái)，應(yīng)用層又根據(jù)不同的協(xié)議取出實(shí)際有用的數(shù)據(jù)。應(yīng)用層協(xié)議主要有FTP、HTTP、DNS等。通過(guò)以上對(duì)數(shù)據(jù)包格式的了解，那么就可以很容易對(duì)捕獲的數(shù)據(jù)包進(jìn)行一層一層的解析了，一般捕獲的數(shù)據(jù)包都是取得鏈路層的幀，然后再根據(jù)頭部信息一層一層地剝離，具體的程序分析流程如下圖所示：圖 數(shù)據(jù)包分析流程以下就是根據(jù)以上分析流程捕獲到包并對(duì)其進(jìn)行分析而得出的結(jié)果（一個(gè)TCP數(shù)據(jù)包）：-data-frame-dest_mac:

8、 0.26.c4src_mac: c8.3a.8protocal: 800-ip packet-version：4head len：20type of service: 0total len: 121identifi: 14155flag: 2offset: 0time to live: 50protocal: 6check sum: 5bbsource addr: 7dest addr: 02-tcp datagram-srcPort：80destPort：1695seqNum：396591251ackNum：1797819109headLen：20windowSize：47386check

9、Sum：40441pointer：0-app_data-數(shù)據(jù)長(zhǎng)度：81.Q.Q.1.9Q.#SkY#.d.qK.xu.T.u.o.,.a.h.-.tI.計(jì)算機(jī)網(wǎng)絡(luò)原理和數(shù)據(jù)包在網(wǎng)絡(luò)中的傳輸過(guò)程其實(shí)協(xié)議就是為了規(guī)定一種大家都遵循的格式，在應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層都有自己的協(xié)議數(shù)據(jù)單元（PDU），按照數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸?shù)倪^(guò)程，首先是應(yīng)用層將實(shí)際的數(shù)據(jù)根據(jù)應(yīng)用層的協(xié)議（格式）封裝成一個(gè)應(yīng)用層數(shù)據(jù)包（相當(dāng)于一個(gè)字符串，更確切的是一個(gè)字節(jié)串），然后向下傳，傳到傳輸層，傳輸層將拿到的串作為自己數(shù)據(jù)包的數(shù)據(jù)部分，并在前面加上自己的頭部，頭部有許多字段，每個(gè)字段都有各自的含義，這樣就生成了一個(gè)新的串

10、，繼續(xù)向下傳。傳到了網(wǎng)絡(luò)層，網(wǎng)絡(luò)層進(jìn)行和上面類似的操作，繼續(xù)傳到數(shù)據(jù)鏈路層。數(shù)據(jù)鏈路層也加上自己的頭部，生成一個(gè)新的串，并且在串的頭部和尾部都做好標(biāo)記，然后繼續(xù)向下傳。傳到了物理層，物理層就直接將收到的串轉(zhuǎn)化成二進(jìn)制的電信號(hào)進(jìn)行傳輸。假如傳輸?shù)阶詈蟮哪康牡兀ǘ讼到y(tǒng)中），首先是物理層收到電信號(hào)，將其轉(zhuǎn)化成一串字節(jié)，向上傳。傳到了數(shù)據(jù)鏈路層，數(shù)據(jù)鏈路層根據(jù)之前對(duì)串的頭部和尾部做好的記號(hào)將有用信息提取出來(lái)，并根據(jù)頭部信息提取出數(shù)據(jù)部分，只將數(shù)據(jù)部分向上傳。傳到了網(wǎng)絡(luò)層，網(wǎng)絡(luò)層根據(jù)網(wǎng)絡(luò)層的頭部信息，提取出數(shù)據(jù)部分，傳給上一層，依次類推。數(shù)據(jù)在網(wǎng)絡(luò)中（整個(gè)傳輸過(guò)程不包括兩個(gè)端系統(tǒng)的部分）的傳輸過(guò)程只有3

11、層，即物理層到數(shù)據(jù)鏈路層，再到網(wǎng)絡(luò)層，傳輸?shù)倪^(guò)程和上面描述的一樣。保留IP地址的分配一個(gè)機(jī)構(gòu)網(wǎng)絡(luò)要連入Internet，必須申請(qǐng)公用IP地址。但是考慮到網(wǎng)絡(luò)安全和內(nèi)部實(shí)驗(yàn)等特殊情況，在IP地址中專門保留了三個(gè)區(qū)域作為私有地址，使用保留地址的網(wǎng)絡(luò)只能在內(nèi)部進(jìn)行通信，而不能與其他網(wǎng)絡(luò)互連。因?yàn)楸揪W(wǎng)絡(luò)中的保留地址同樣也可能被其它網(wǎng)絡(luò)使用。IP劃分方案中留出了三部分IP地址空間，給不連接到Internet的企業(yè)內(nèi)部網(wǎng)專用。這三部分保留的IP地址空間分別在A、B和C類地址空間中都存在，地址范圍為：10.x.x.x172.16.x.x 172.31.x.x192.168.x.x比如，在局域網(wǎng)內(nèi)計(jì)算機(jī)數(shù)量少

12、于254臺(tái)的情況下，一般在C類IP地址段里選擇IP地址范圍就可以了，如從“”到“192.168.1. 254”。特殊IP地址的分配 ：所有不清楚的主機(jī)和目的網(wǎng)絡(luò)。這里的“不清楚”是指在本機(jī)的路由表里沒(méi)有特定條目指明如何到達(dá)。55 ：限制廣播地址。對(duì)本機(jī)來(lái)說(shuō)，這個(gè)地址指本網(wǎng)段內(nèi)(同一廣播域)的所有主機(jī)。 ：本機(jī)地址，主要用于測(cè)試。在Windows系統(tǒng)中，這個(gè)地址有一個(gè)別名“Localhost”，尋址這樣一個(gè)地址，是不能把它發(fā)到網(wǎng)絡(luò)接口的。 ：組播地址，注意它和廣播的區(qū)別。從到55都是這樣的地址。特指所有主機(jī)，特指所有路由器。這樣的地址多用于一些特定的程序以及多媒體程序。169.254.x.x ：如果你的主機(jī)使用了DHCP功能自動(dòng)獲得一個(gè)IP地址，那么當(dāng)你的DHCP服務(wù)器發(fā)生故障，或響應(yīng)時(shí)間太長(zhǎng)而超出了一個(gè)系統(tǒng)規(guī)定的時(shí)間，Windows系統(tǒng)會(huì)為你分配這樣一個(gè)地址。10.x.x.x, 172.16.x.x172.31.x.x, 192.168.x.x ：私有地址，即前面的保留IP地址常見(jiàn)的網(wǎng)絡(luò)設(shè)備的理解1中繼器：由于傳輸?shù)慕橘|(zhì)（比如雙絞線）是有一定的傳輸距離的，超過(guò)這個(gè)距離信號(hào)就會(huì)衰減，為了讓信號(hào)沿著這條線一直往下傳，于是在線中間加一個(gè)中繼器，就是將接收到的信號(hào)放大后繼續(xù)往后傳，就像一個(gè)為信號(hào)中間補(bǔ)充能量的設(shè)備。2集線器：工作在物理層