下载文档原格式
ARP,IP,ICMP,TCP,UDP报⽂头部结构ARP头部结①硬件类型:指明硬件的类型,以太⽹是1。
②协议类型:指明发送者映射到数据链路标识的⽹络层协议的类型;IP对应0x0800。
③硬件地址长度:也就是MAC地址的长度,单位是字节,这⾥是6。
④协议地址长度:⽹络层地址的长度,即IP地址长度,单位是字节,这⾥为4。
⑤操作:指明是ARP请求(1)还是ARP应答(2),======================================================================================================== IP头部结构======================================================================================================= ICMP头部结构====================================================================================================== TCP头部结构端⼝号:常说FTP占21端⼝、HTTP占80端⼝、TELNET占23端⼝等,这⾥指的端⼝就是TCP或UDP的端⼝,端⼝就像通道两端的门⼀样,当两机进⾏通讯时门必须是打开的。
源端⼝和⽬的端⼝各占16位,2的16次⽅等于65536,这就是每台电脑与其它电脑联系所能开的“门”。
⼀般作为服务⼀⽅每项服务的端⼝号是固定的。
本例⽬的端⼝号为00 15,换算成⼗进制为21,这正是FTP的默认端⼝,需要指出的是这是FTP的控制端⼝,数据传送时⽤另⼀端⼝,第三组的分析能看到这⼀点。
客户端与服务器联系时随机开⼀个⼤于1024的端⼝,本例为04 28,换算成⼗进制为1064。
你的电脑中了⽊马也会开⼀个服务端⼝。
常见网络协议报文格式汇总网络协议是计算机网络通信中,用于规定通信双方传输数据的格式和规则的标准化。
协议中的报文是通信双方之间进行数据交换的载体。
下面我将简单介绍一些常见的网络协议报文格式。
1. HTTP(Hypertext Transfer Protocol)报文格式:-请求报文格式:```<Method> <Request-URI> <HTTP-Version><Headers><Entity-Body>```-响应报文格式:```<HTTP-Version> <Status-Code> <Reason-Phrase><Headers><Entity-Body>```2. TCP(Transmission Control Protocol)报文格式:-TCP报文格式如下:```Source Port Destination PortSequence Number Acknowledgment NumberData Offset Reserved Control BitsWindow Checksum Urgent PointerOptions (if any)Data```3. UDP(User Datagram Protocol)报文格式:-UDP报文格式如下:```Source Port Destination PortLength ChecksumData```4. IP(Internet Protocol)报文格式:-IPv4报文格式如下:```Version IHL Type of Service Total LengthIdentification Flags Fragment Offset Time to Live Protocol Header Checksum Source IP AddressDestination IP AddressOptions (if any)Padding (if necessary)Data```-IPv6报文格式如下:```Version Traffic Class Flow Label Payload Length Next HeaderHop LimitSource IPv6 AddressDestination IPv6 AddressOptions (if any)Padding (if necessary)Data```5. ICMP(Internet Control Message Protocol)报文格式:-ICMP报文格式如下:```Type Code ChecksumIdentifier Sequence NumberData (Optional)```6. Ethernet报文格式:- Ethernet报文格式如下:```Destination MAC AddressSource MAC AddressEthernet TypePayload```7. DNS(Domain Name System)报文格式:-DNS报文格式如下:```DNS Message HeaderDNS Message Question SectionDNS Message Answer SectionDNS Message Authority SectionDNS Message Additional Section```8. FTP(File Transfer Protocol)报文格式:-FTP报文格式如下:```Arguments```9. SMTP(Simple Mail Transfer Protocol)报文格式:-SMTP报文格式如下:```Arguments```这些是常见的网络协议的报文格式,它们用于在计算机网络中进行数据传输和通信。
IP 数据包格式版本字段:4位。
当前的IP 协议版本是4,通常称为IPv4。
下一个版本是6,称为IPv6首部长度:4位,IP 数据报首部的长度,每个单位为4个字节。
IP 数据报的长度是4个字节的整数倍。
服务类型:8位,服务类型。
前3位为优先级,用于表示数据报的重要程度,优先级取值从0(普通优先级)到7(网络控制高优先级)。
D 、T 和R 位表示本数据报希望的传输类型。
D 表示低时延(Delay )需求T 表示高吞吐量(Throughput )要求R 代表高可靠性(Reliability )要求。
总长度:总长度指首部和数据之和的长度,单位为字节。
总长度字段为16位,因此数据报的最大长度为216-1=65535字节。
标识(identification):占16位。
IP 软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
但这个“标识”并不是序号,因为IP 是无连接服务,数据报不存在按序接收的问题。
当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。
相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。
标志(flag):占3位,但目前只有2位有意义。
标志字段中的最低位记为MF(More Fragment)。
MF=1即表示后面“还有分片”的数据报。
MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF(Don’t Fragment),意思是“不能分片”。
只有当DF=0时才允许分片。
片偏移:占13位。
片偏移指出:较长的分组在分片后,某片在原分组中的相对位置。
也就是说,相对用户数据字段的起点,该片从何处开始。
片偏移以8个字节为偏移单位。
这就是说,每个分片的长度一定是8字节(64位)的整数倍。
总长度 服务类型版本 首部长度 标识 源站IP 地址寿命 协议首部校验和 片偏移 标志目的站IP 地址IP 选项(可选)填充 数据……生存时间:占8位,生存时间字段常用的的英文缩写是TTL(Time To Live),表明是数据报在网络中的寿命。
各协议报文格式介绍协议报文格式是指在网络通信中,不同协议所使用的报文的结构和格式。
不同的协议根据其功能和要求,设计了不同的报文格式来实现数据的传输和交换。
以下是几种常见的协议报文格式的介绍:1.HTTP(超文本传输协议)报文格式:HTTP报文由请求报文和响应报文组成。
请求报文包括请求行、请求头部和请求正文,用于向服务器发送请求。
响应报文包括状态行、响应头部和响应正文,用于服务器向客户端返回响应。
2.FTP(文件传输协议)报文格式:3.SMTP(简单邮件传输协议)报文格式:SMTP报文格式基于文本格式,包括邮件头和邮件体两部分。
邮件头包含了发信人、收件人、主题等信息,邮件体则包含了邮件的具体内容。
4.POP3(邮局协议版本3)报文格式:5.DNS(域名系统)报文格式:DNS报文格式包括头部和问题部分、回答部分、授权部分和附加部分。
头部包含了报文的基本信息,问题部分包含了查询的域名或IP地址,回答部分则包含了DNS服务器返回的结果。
6.TCP(传输控制协议)报文格式:TCP报文格式由TCP头部和数据部分组成。
TCP头部包含了源端口、目标端口、序列号、确认号等信息,数据部分则是传输的具体数据。
7.UDP(用户数据报协议)报文格式:UDP报文格式也由UDP头部和数据部分组成。
UDP头部包含了源端口、目标端口、长度等信息,数据部分则是要传输的数据。
8.IP(互联网协议)报文格式:IP报文格式由IP头部和数据部分组成。
IP头部包含了版本、首部长度、服务类型、源IP地址、目标IP地址等信息,数据部分则是要传输的数据。
以上是几种常见的协议报文格式的介绍。
每种协议都有自己特定的报文格式,通过报文的解析和处理,可以实现网络数据的传输和交换。
以太⽹帧格式、IP报⽂格式、TCPUDP报⽂格式1、ISO开放系统有以下⼏层:7应⽤层6表⽰层5会话层4传输层3⽹络层2数据链路层1物理层2、TCP/IP ⽹络协议栈分为应⽤层(Application)、传输层(Transport)、⽹络层(Network)和链路层(Link)四层。
通信过程中,每层协议都要加上⼀个数据⾸部(header),称为封装(Encapsulation),如下图所⽰不同的协议层对数据包有不同的称谓,在传输层叫做段(segment),在⽹络层叫做数据报(datagram),在链路层叫做帧(frame)。
数据封装成帧后发到传输介质上,到达⽬的主机后每层协议再剥掉相应的⾸部,最后将应⽤层数据交给应⽤程序处理。
其实在链路层之下还有物理层,指的是电信号的传递⽅式,⽐如现在以太⽹通⽤的⽹线(双绞线)、早期以太⽹采⽤的的同轴电缆(现在主要⽤于有线电视)、光纤等都属于物理层的概念。
3、集线器(Hub)是⼯作在物理层的⽹络设备,⽤于双绞线的连接和信号中继(将已衰减的信号再次放⼤使之传得更远)。
交换机是⼯作在链路层的⽹络设备,可以在不同的链路层⽹络之间转发数据帧(⽐如⼗兆以太⽹和百兆以太⽹之间、以太⽹和令牌环⽹之间),由于不同链路层的帧格式不同,交换机要将进来的数据包拆掉链路层⾸部重新封装之后再转发。
路由器是⼯作在第三层的⽹络设备,同时兼有交换机的功能,可以在不同的链路层接⼝之间转发数据包,因此路由器需要将进来的数据包拆掉⽹络层和链路层两层⾸部并重新封装。
4、⽹络层的IP 协议是构成Internet 的基础。
IP 协议不保证传输的可靠性,数据包在传输过程中可能丢失,可靠性可以在上层协议或应⽤程序中提供⽀持。
传输层可选择TCP 或UDP 协议。
TCP 是⼀种⾯向连接的、可靠的协议,有点像打电话,双⽅拿起电话互通⾝份之后就建⽴了连接,然后说话就⾏了,这边说的话那边保证听得到,并且是按说话的顺序听到的,说完话挂机断开连接。
IPSEC数据包格式隧道模式使用 IPSec 隧道模式时,IPSec 对 IP 报头和有效负载进行加密,而传输模式只对 IP 有效负载进行加密。
通过将其当作 AH 或 ESP 有效负载,隧道模式提供对整个 IP 数据包的保护。
使用隧道模式时,会通过 AH 或 ESP 报头与其他 IP 报头来封装整个 IP 数据包。
外部 IP 报头的 IP 地址是隧道终结点,封装的 IP 报头的 IP 地址是最终源地址与目标地址。
IPSec 隧道模式对于保护不同网络之间的通信(当通信必须经过中间的不受信任的网络时)十分有用。
隧道模式主要用来与不支持 L2TP/IPSec 或 PPTP 连接的网关或终端系统进行互操作。
可以在下列配置中使用隧道模式:•网关到网关•服务器到网关•服务器到服务器AH 隧道模式如下图所示,AH 隧道模式使用 AH 与 IP 报头来封装 IP 数据包并对整个数据包进行签名以获得完整性并进行身份验证。
ESP 隧道模式如下图所示,ESP 隧道模式采用 ESP 与 IP 报头以及 ESP 身份验证尾端来封装 IP 数据包。
数据包的签名部分表示对数据包进行签名以获得完整性并进行身份验证的位置。
数据包的加密部分表示受到机密性保护的信息。
由于为数据包添加了隧道新报头,因此会对 ESP 报头之后的所有内容进行签名(ESP 身份验证尾端除外),因为这些内容此时已封装在隧道数据包中。
原始报头置于 ESP 报头之后。
在加密之前,会在整个数据包上附加 ESP 尾端。
ESP 报头之后的所有内容都会被加密,ESP 身份验证尾端除外。
这包括原始报头,该报头此时被视为数据包的数据部分的一部分。
然后,会将整个 ESP 有效负载封装在未加密的新隧道报头内。
新隧道报头内的信息只用来将数据包从源地址发送到隧道终结点。
如果通过公用网络发送数据包,则数据包会路由到接收方 Intranet 的网关的 IP 地址。
网关对数据包进行解密、丢弃 ESP 报头并使用原始 IP 报头将数据包路由到 Intranet 计算机。
TCP报⽂格式转载⾃1.TCP报⽂格式TCP报头中的源端⼝号和⽬的端⼝号同IP数据报中的源IP与⽬的IP唯⼀确定⼀条TCP连接序号(4字节=32位):37 59 56 75⽤来标识TCP发端向TCP收端发送的数据字节流确认序号(4字节=32位):由于该报⽂为SYN报⽂,ACK标志为0,故没有确认序号(ACK标志为1时确认序号才有效)TCP协议规定,只有ACK=1时有效,也规定连接建⽴后所有发送的报⽂的ACK必须为1⼀旦连接建⽴,该值将始终发送(同ACK标志)头部长度:该字段占⽤4位,⽤来表⽰报⽂⾸部的长度,单位是4Byte。
如:headLen = ((packet[12]>>4)&0x0F)*4;预留6位:长度为6位,作为保留字段,暂时没有什么⽤处。
URG:长1位,表⽰紧急指针字段有效;ACK:长1位,置位表⽰确认号字段有效;TCP协议规定,只有ACK=1时有效,也规定连接建⽴后所有发送的报⽂的ACK必须为1PSH:长1位,表⽰当前报⽂需要请求推(push)操作;RST:长1位,置位表⽰复位TCP连接;SYN:长1位,在连接建⽴时⽤来同步序号。
当SYN=1⽽ACK=0时,表明这是⼀个连接请求报⽂。
对⽅若同意建⽴连接,则应在响应报⽂中使SYN=1和ACK=1. 因此,SYN置1就表⽰这是⼀个连接请求或连接接受报⽂。
FIN:长1位,⽤于释放TCP连接时标识发送⽅⽐特流结束;即完,终结的意思,⽤来释放⼀个连接。
当 FIN = 1时,表明此报⽂段的发送⽅的数据已经发送完毕,并要求释放连接。
窗⼝⼤⼩:长度为16位,2个字节。
校验和:长度为16位,2个字节。
紧急指针:长度为16位,2个字节。
以上是TCP包头必须要有的字段,也称固有字段,长度为20个字节。
2.TCP三次握⼿TCP怎样才能保证可靠的传输任务,就是通过三次握⼿⾸先由Client发出请求连接即 SYN=1 ACK=0 (请看头字段的介绍), TCP规定SYN=1时不能携带数据,但要消耗⼀个序号,因此声明⾃⼰的序号是 seq=x然后 Server 进⾏回复确认,即 SYN=1 ACK=1 seq=y, ack=x+1,再然后 Client 再进⾏⼀次确认,但不⽤SYN 了,这时即为 ACK=1, seq=x+1, ack=y+1.3.TCP四次挥⼿ 当客户A 没有东西要发送时就要释放 A 这边的连接,A会发送⼀个报⽂(没有数据),其中 FIN 设置为1, 服务器B收到后会给应⽤程序⼀个信,这时A那边的连接已经关闭,即A不再发送信息(但仍可接收信息)。
以太网数据格式与各种报文格式一、数据封装当我们应用程序用TCP传输数据的时候,数据被送入协议栈中,然后逐个通过每一层,知道最后到物理层数据转换成比特流,送入网络。
而再这个过程中,每一层都会对要发送的数据加一些首部信息。
整个过程如下图。
如图可以看出,每一层数据是由上一层数据+本层首部信息组成的,其中每一层的数据,称为本层的协议数据单元,即PDU.应用层数据在传输层添加TCP报头后得到的PDU被称为Segment(数据段),图示为TCP段传输层的数据(TCP段)传给网络层,网络层添加IP报头得到的PDU被称为Packet(数据包); 图示为IP数据包网络层数据报(IP数据包)被传递到数据链路层,封装数据链路层报头得到的PDU被称为Frame(数据帧),图示为以太网帧。
最后,帧被转换为比特,通过网络介质传输。
这种协议栈逐层向下传递数据,并添加报头和报尾的过程称为封装。
二、数据格式需要注意的是,这里所说的以太网帧,与我们常说的以太网是不一样的。
下面我们就来介绍每一层数据的首部信息内容。
首先我们知道世界上有个协会叫作IEEE,即电子工程师协会,里面有个分会,叫作IEEE802委员会,是专门来制定局域网各种标准的。
而802下面还有个分部,叫作802.3.就是我们经常提到的IEEE802.3,这个部门制定的规范叫以太网规范,这个以太网规范中就定义了上面提到的“以太网首部”,这个以太网规范,实际只定义了数据链路层中的MAC层和物理层规范。
(注意数据链路层包括MAC子层和LLC子以太网帧格式:以太网常用帧格式有两种,一种是Ethernet II,另一种是IEEE 802.3 格式。
这两种格式区别是:Ethernet II中包含一个Type字段,。
其中Type字段描述了,以太网首部后面所跟数据包的类型,例如Type为0x8000时为IP协议包,Type为8060时,后面为ARP协议包。
以太网中多数数据帧使用的是Ethernet II帧格式。
TCP/UDP报文格式TCP 协议为终端设备提供了面向连接的、可靠的网络服务,UDP 协议为终端设备提供了无连接的、不可靠的数据报服务。
从上图我们可以看出,TCP 协议为了保证数据传输的可靠性,相对于UDP 报文,TCP 报文头部有更多的字段选项。
首先让我们来看一下TCP 的报文头部主要字段:每个TCP 报文头部都包含源端口号(source port)和目的端口号(destination port),用于标识和区分源端设备和目的端设备的应用进程。
在TCP/IP 协议栈中,源端口号和目的端口号分别与源IP 地址和目的IP 地址组成套接字(socket),唯一的确定一条TCP 连接。
序列号(Sequence number)字段用来标识TCP 源端设备向目的端设备发送的字节流,它表示在这个报文段中的第一个数据字节。
如果将字节流看作在两个应用程序间的单向流动,则TCP 用序列号对每个字节进行计数。
序列号是一个32bits 的数。
既然每个传输的字节都被计数,确认序号(Acknowledgement number,32bits)包含发送确认的一端所期望接收到的下一个序号。
因此,确认序号应该是上次已成功收到的数据字节序列号加1。
TCP 的流量控制由连接的每一端通过声明的窗口大小(windows size)来提供。
窗口大小用数据包来表示,例如Windows size=3, 表示一次可以发送三个数据包。
窗口大小起始于确认字段指明的值,是一个16bits 字段。
窗口大小可以调节。
校验和(checksum)字段用于校验TCP 报头部分和数据部分的正确性。
最常见的可选字段是MSS(Maximum Segment Size,最大报文大小)。
MSS指明本端所能够接收的最大长度的报文段。
当一个TCP 连接建立时,连接的双方都要通告各自的MSS 协商可以传输的最大报文长度。
我们常见的MSS有1024(以太网可达1460 字节)字节。
(转)tcpip协议的简单理解--ip报⽂和tcp报⽂的格式-TCP头部0. ⽂件传输的过程分析
1.概念:
TCP/IP协议通信的过程其实就对应着数据⼊栈与出栈的过程。
⼊栈的过程,数据发送⽅每层不断地封装⾸部与尾部,添加⼀些传输的信息,确保能传输到⽬的地。
出栈的过程,数据接收⽅每层不断地拆除⾸部与尾部,得到最终传输的数据。
2.ip报⽂格式
我感兴趣的只是那⼋位的TTL字段,还记得这个字段是做什么的么?这个字段规定该数据包在穿过多少个路由之后才会被抛弃
(这⾥就体现出来IP协议包的不可靠性,它不保证数据被送达),某个ip数据包每穿过⼀个路由器,该数据包的TTL数值就会减少1,当该数据包的TTL成为零,它就会被⾃动抛弃。
版本(Version):IP协议的版本,⽬前的IP协议版本号为4,下⼀代IP协议版本号为6。
2.tcp报⽂格式
三次握⼿,四次断开:
你们互相打招呼(TCP中的SYN / ACK)
https:///u012371712/article/details/80795297 good article:
##################
package 与 frame 的区别
4. TCP头部 https:///a/194039067_505818。
tcp、udp、ip、icmp报⽂格式分析TCP 、UDP 、IP、 ICMP协议报⽂格式分析Tcp报⽂格式:Wireshark抓包如图:源端⼝/⽬的端⼝(16bit):在TCP报⽂中包涵了源端⼝/⽬的端⼝,源端⼝标识了发送进程,⽬的端⼝标识了接收⽅进程。
由上图可以看出在此报⽂中我们的源端⼝号是54160, ⽬的端⼝是cichlid(1377)。
序列号(32bit):Sequence Number这个是发送序列号,⽤来标识从源端向⽬的端发送的数据字节流,它表⽰在这个报⽂端中的第⼀个数据字节的顺序号,序列号是32位的⽆符号类型,序列号表达达到2^32 - 1后⼜从0开始,当建⽴⼀个新的连接时,SYN标志为1,系列号将由主机随机选择⼀个顺序号ISN(Initial Sequence Number)。
此报⽂中的序列号是0x37e3d3a9如下图:确认号(32bit):Acknowledgment Number它包涵了发送确认⼀端所期望收到的下⼀个顺序号。
因此确认序列号应当是上次成功接收到数据的顺序号加1。
只有ACK标志为1时确认序号字段才有效。
TCP为应⽤层提供全双⼯服务,这意味着数据能在两个⽅向上独⽴的进⾏传输,因此连接的两断必须要保证每个⽅向上的传输数据顺序。
由图可以看出此报⽂的确认号为0xaa09ab7b。
偏移(4bit):这⾥的偏移实际指的是TCP⾸部的长度,它⽤来表明TCP⾸部中32bit字的数⽬,通过它可以知道⼀个TCP包它的⽤户数据从哪⾥开始,这个字段占4bit,若此字段的值为1000,则说明TCP⾸部的长度是8 * 4 = 32字节,所以TCP⾸部的最⼤长度是该字段的值为1111 = 15, 15 * 4 =60字节。
此报⽂我们的偏移量在0x50中,⼜因它占4bit,0x50等于⼆进制的0101 0000 所以我们的偏移量是 0101=5,所以我们的TCP报⽂⾸部长度为5* 4 = 20字节。
UDP的报文格式
1.UDP协议
UDP是网络通信协议中的一种,大数据短距离的局域网通信,数据格式如下:
UDP伪首部
32位源IP地址
32位目的IP地址
08位协议(17)16位UDP长度
UDP首部
16位源端口16位目的端口
UDP长度校验和报文数据报文
2.UDP数据包的解析
说明:
一、首部校验和(Header Checksum)
1.首先将HeaderChecksum清零
2.然后将IPv4首部的20Bytes,以16bits(2Bytes)为一组
3.把2中划分好的数值逐个相加,如果遇到进位,将进位值加到值的最低位上。
举例:(用16进制表示)0xBB5E+0xFCED=0x1B84B,可以看出在这个例子中结果有进位,所以将进位值1加到值的最低位上,得到结果是0xB84C。
4.把所有的组相加到一起后,得到的结果是一个16位的数,将这个结果取反后则得到此首部校验和。
二、校验和(Checksum)
1.首先将Checksum清零
2.然后将右图中的内容,以16bits(2Bytes)为一组
3.把2中划分好的数值逐个相加,如果遇到进位,将进位值加到值的最低位上。
举例:(用16进制表示)0xBB5E+0xFCED=0x1B84B,可以看出在这个例子中结果有进位,所以将进位值1加到值的最低位上,得到结果是0xB84C。
4.把所有的组相加到一起后,得到的结果是一个16位的数,将这个结果取反后则得到此校验和。
TCPIP数据包结构详解TCP/IP是一种广泛使用的网络协议,用于在Internet上进行数据通信。
TCP/IP数据包结构是指TCP/IP协议对数据包的组织和封装方式。
下面将详细介绍TCP/IP数据包结构。
TCP/IP数据包由多个部分组成,其中包括IP头部、TCP/UDP头部、数据(Payload)以及选项部分。
下面将逐一介绍每个部分的功能和结构。
1. IP头部(IP Header):IP头部是TCP/IP数据包的第一个部分,用于指定源IP地址和目标IP地址。
IP头部还包含其他一些字段,如版本号、服务类型、包长、标识符、标志位等。
-版本号:指定IP协议的版本,如IPv4或IPv6-服务类型:指定数据包的优先级。
-包长:指定整个IP数据包的长度。
-标识符:用于唯一标识一个数据包。
-标志位:用于控制数据包的分片和重组。
2. TCP/UDP头部(TCP/UDP Header):TCP/UDP头部紧随IP头部,用于指定源端口和目标端口。
TCP头部和UDP头部具有相似的结构。
-源端口:指定发送数据的应用程序端口。
-目标端口:指定接收数据的应用程序端口。
-序列号和确认号:用于实现TCP协议的可靠传输机制。
- 标识TCP选项:例如最大分段大小(Maximum Segment Size)等。
3. 数据(Payload):数据部分是TCP/IP数据包中的主要内容,包含应用层的数据信息。
例如,HTTP协议中的请求或响应报文就是通过数据部分传输的。
4. 选项部分(Options):选项部分是可选的,用于存储一些与特定协议相关的额外信息。
例如,TCP协议中的选项可以用于实现窗口缩放和选择确认等功能。
总结起来,TCP/IP数据包结构包括IP头部、TCP/UDP头部、数据和选项部分。
这些部分的结构和字段的具体定义可以根据具体的协议版本和实现来确定。
在实际的网络通信中,数据包会通过路由器和交换机等设备进行传输。
路由器根据IP头部中的目标IP地址进行路由选择,将数据包转发到正确的下一个网络节点。
TCP报文头:(一般20-60字节)32位端口号:源端口和目的端口各占16位,2的16次方等于65536,看端口的命令:netstat。
32位序号:也称为顺序号(Sequence Number),简写为SEQ,32位确认序号:也称为应答号(Acknowledgment Number),简写为ACK。
在握手阶段,确认序号将发送方的序号加1作为回答。
4位首部长度:这个字段占4位,它的单位时32位(4个字节)。
本例值为7,TCP的头长度为28字节,等于正常的长度2 0字节加上可选项8个字节。
,TCP的头长度最长可为60字节(二进制1111换算为十进制为15,15*4字节=60字节)。
6位标志字段:ACK 置1时表示确认号(为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。
RST 置1时重建连接。
如果接收到RST位时候,通常发生了某些错误。
SYN 置1时用来发起一个连接。
FIN 置1时表示发端完成发送任务。
用来释放连接,表明发送方已经没有数据发送了。
URG 紧急指针,告诉接收TCP模块紧要指针域指着紧要数据。
注:一般不使用。
PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。
注:一般不使用。
16位检验和:检验和覆盖了整个的TCP报文段: TCP首部和TCP数据。
这是一个强制性的字段,一定是由发端计算和存储,并由收端进行验证。
16位紧急指针:注:一般不使用。
只有当U R G标志置1时紧急指针才有效。
紧急指针是一个正的偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。
可选与变长选项:通常为空,可根据首部长度推算。
用于发送方与接收方协商最大报文段长度(MSS),或在高速网络环境下作窗口调节因子时使用。
首部字段还定义了一个时间戳选项。
最常见的可选字段是最长报文大小,又称为MSS (Maximum Segment Size)。
每个连接方通常都在握手的第一步中指明这个选项。
UDP报⽂格式详解
UDP 是 User Datagram Protocol 的简称, 中⽂名是⽤户数据报协议,是⼀种⽆连接的传输层协议,提供⾯向事务的简单不可靠信息传送服务。
1)源端⼝(2 字节):发送⽅端⼝号
2)⽬的端⼝(2 字节 ):接收⽅端⼝号
3)报⽂长度(2 字节):UDP ⽤户数据报的总长度,以字节为单位。
4)校验和(2 字节):检测 UDP ⽤户数据报在传输中是否有错,有错就丢弃。
⽤于校验 UDP 数据报的数字段和包含 UDP 数据报⾸部的“伪⾸部”。
伪⾸部, ⼜称为伪包头(Pseudo Header):是指在 TCP 的分段或 UDP 的数据报格式中,在数据报⾸部前⾯增加源IP 地址、⽬的 IP 地址、IP 分组的协议字段、TCP 或 UDP 数据报的总长度等共12字节,所构成的扩展⾸部结构。
此伪⾸部是⼀个临时的结构,它既不向上也不向下传递,仅仅只是为了保证可以校验套接字的正确性。
5)数据:UDP 的数据部分如果不为偶数需要⽤ 0 填补,就是说,如果数据长度为奇数,数据长度加“1”。
以太网帧,IP,TCP,UDP首部结构1.以太网帧的格式以太网封装格式2.IP报头格式IP是TCP/IP协议簇中最为重要的协议。
所有的TCP,UDP, ICMP 和IGMP数据都以IP数据报格式传输。
IP提供的是不可靠、无连接的协议。
普通的IP首部长为20个字节,除非含有选项字段。
4位版本:目前协议版本号是4,因此IP有时也称作IPV4.4位首部长度:首部长度指的是首部占32bit字的数目,包括任何选项。
由于它是一个4比特字段,因此首部长度最长为60个字节。
服务类型(TOS):服务类型字段包括一个3bit的优先权字段(现在已经被忽略),4bit的TOS子字段和1bit未用位必须置0。
4bit的TOS分别代表:最小时延,最大吞吐量,最高可靠性和最小费用。
4bit中只能置其中1比特。
如果所有4bit均为0,那么就意味着是一般服务。
总长度:总长度字段是指整个IP数据报的长度,以字节为单位。
利用首部长度和总长度字段,就可以知道IP数据报中数据内容的起始位置和长度。
由于该字段长16bit,所以IP数据报最长可达65535字节。
当数据报被分片时,该字段的值也随着变化。
标识字段:标识字段唯一地标识主机发送的每一份数据报。
通常每发送一份报文它的值就会加1。
生存时间:T T L(time-to-live)生存时间字段设置了数据报可以经过的最多路由器数。
它指定了数据报的生存时间。
T T L的初始值由源主机设置(通常为 3 2或6 4),一旦经过一个处理它的路由器,它的值就减去 1。
当该字段的值为 0时,数据报就被丢弃,并发送 I C M P报文通知源主机。
首部检验和:首部检验和字段是根据 I P首部计算的检验和码。
它不对首部后面的数据进行计算。
I C M P、I G M P、U D P和T C P在它们各自的首部中均含有同时覆盖首部和数据检验和码。
3.TCP首部格式尽管T C P和U D P都使用相同的网络层( I P),T C P却向应用层提供与U D P完全不同的服务。
1、IP报文格式IP协议是TCP/IP协议族中最为核心的协议。
它提供不可靠、无连接的服务,也即依赖其他层的协议进行差错控制。
在局域网环境,IP协议往往被封装在以太网帧(见本章1.3节)中传送。
而所有的TCP、UDP、ICMP、IGMP数据都被封装在IP数据报中传送。
如图2-3所示:图2-3TCP/IP报文封装图2-4是IP头部(报头)格式:(RFC 791)。
图2-4IP头部格式其中:●版本(Version)字段:占4比特。
用来表明IP协议实现的版本号,当前一般为IPv4,即0100。
●报头长度(Internet Header Length,IHL)字段:占4比特。
是头部占32比特的数字,包括可选项。
普通IP数据报(没有任何选项),该字段的值是5,即160比特=20字节。
此字段最大值为60字节。
●服务类型(Type of Service ,TOS)字段:占8比特。
其中前3比特为优先权子字段(Precedence,现已被忽略)。
第8比特保留未用。
第4至第7比特分别代表延迟、吞吐量、可靠性和花费。
当它们取值为1时分别代表要求最小时延、最大吞吐量、最高可靠性和最小费用。
这4比特的服务类型中只能置其中1比特为1。
可以全为0,若全为0则表示一般服务。
服务类型字段声明了数据报被网络系统传输时可以被怎样处理。
例如:TELNET 协议可能要求有最小的延迟,FTP协议(数据)可能要求有最大吞吐量,SNMP协议可能要求有最高可靠性,NNTP(Network News Transfer Protocol,网络新闻传输协议)可能要求最小费用,而ICMP协议可能无特殊要求(4比特全为0)。
实际上,大部分主机会忽略这个字段,但一些动态路由协议如OSPF(Open Shortest Path First Protocol)、IS-IS (Intermediate System to Intermediate System Protocol)可以根据这些字段的值进行路由决策。
数据包报文格式(IP包TCP报头UDP报头)
一、IP包格式
IP数据包是一种可变长分组,它由首部和数据负载两部分组成。
首部长度一般为
20-60字节(Byte),其中后40字节是可选的,长度不固定,前20字节格式为
固定。
数据负载部分的长度一般可变,整个IP数据包的最大长度为65535B。
1、版本号(Version)
长度为4位(bit),IP v4的值为0100,IP v6的值为0110。
2、首部长度
指的是IP包头长度,用4位(bit)表示,十进制值就是[0,15],一个IP包前20
个字节是必有的,后40个字节根据情况可能有可能没有。
如果IP包头是20个字节,则该位应是20/4=5
3、服务类型(Type of Service TOS)
长度为8位(bit),其组成:前3位为优先级(Precedence),后4位标志位,
最后1位保留未用。
优先级主要用于QoS,表示从0(普通级别)到7(网络控制
分组)的优先级。
标志位可分别表示D(Delay更低的时延)、T(Throughput 更
高的吞吐量)、R(Reliability更高的可靠性)、C(Cost 更低费用的路由)。
TOS只表示用户的请求,不具有强制性,实际应用中很少用,路由器通常忽略
TOS字段。
4、总长度(Total Length)
指IP包总长度,用16位(bit)表示,即IP包最大长度可以达216=65535字节。
在以太网中允许的最大包长为1500B,当超过网络允许的最大长度时需将过长的
数据包分片。
5、标识符(Identifier)
长度为16位,用于数据包在分段重组时标识其序列号。
将数据分段后,打包成IP 包,IP包因走的路由上不同,会产生不同的到达目地的时间,到达目地的后再根
据标识符进行重新组装还原。
该字段要与标志、段偏移一起使用的才能达到分段组装的目标。
6、标志(Flags)
长度为3位,三位从左到右分别是MF、DF、未用。
MF=1表示后面还有分段的数
据包,MF=0表示没有更多分片(即最后一个分片)。
DF=1表示路由器不能对该
数据包分段,DF=0表示数据包可以被分段。
7、偏移量(Fragment Offset)
也称段偏移,用于标识该数据段在上层初始数据报文中的偏移量。
如果一些包含分段的上层报文的IP数据包在传送时丢失,则整个一系列包含分段的上层数据包的IP包都会要求重传。
8、生存时间(TTL)
长度为8位,初始值由操作系统设置,每经过一个路由器转发后其值就减1,减至0后丢弃该包。
这种机制可以避免数据包找不到目地时不断被转发,堵塞网络。
9、协议(Protocol)
长度为8位,标识上层所使用的协议。
10、首部校验和(Header Checksum)
长度为16位,首部检验和只对IP数据包首部进行校验,不包含数据部分。
数据包每经过一个中间节点都要重新计算首部校验和,对首都进行检验。
11、源IP地址(Source IP)
长度为32位,表示数据发送的主机IP。
12、目的IP地址(Destination IP)
长度为32位,表示数据要接收的主机IP。
13、选项字段(Options)
长度为0-40字节(Byte),主要有:安全和处理限制(Security)、记录路径(Record Route)、时间戳(Timestamps)、宽松源站选路(Loose Source Routing)、严格的源站选路(Strict Source Routing)等。
二、TCP报文
TCP报文由首部和数据两部分组成。
首部一般由20-60字节(Byte)构成,长度可变。
其中前20B格式固定,后40B为可选。
因为,TCP报文还得传给下层网络层,封装成IP包,而一个IP包最大长度为65535,同时IP包首部也包含最少20B,所以一个IP包或TCP包可以包含的数据部分最大长度为65535-20-20=65495B。
TCP报文中数据部分是可选的,即TCP报文可以不包含数据(同理IP包也可以不包含数据)。
不含数据的TCP报文通常是一些确认和控制信息类的报文,如TCP 建立连接时的三次握手和TCP终止时的四次挥手等。
1、源端口号(Source Port)
长度为16位,指明发送数据的进程。
2、目的端口号(Destination Port)
长度为16位,指明目的主机接收数据的进程。
3、序号(Sequence Number)
也称为序列号,长度为32位,序号用来标识从TCP发送端向接入端发送的数据字节流进行编号,可以理解成对字节流的计数。
4、确认号(Acknowledgement Number)
长度为32位,确认号包含发送确认的一端所期望收到的下一个序号。
确认号只有在ACK标志为1时才有效。
5、首部长度
长度为4位,用于表示TCP报文首部的长度。
用4位(bit)表示,十进制值就是[0,15],一个TCP报文前20个字节是必有的,后40个字节根据情况可能有可能没有。
如果TCP报文首部是20个字节,则该位应是20/4=5
6、保留位(Reserved)
长度为6位,必须是0,它是为将来定义新用途保留的。
7、标志(Code Bits)
长度为6位,在TCP报文中不管是握手还是挥手还是传数据等,这6位标志都很重要。
6位从左到右依次为:
URG:紧急标志位,说明紧急指针有效;
ACK:确认标志位,多数情况下空,说明确认序号有效;
PSH:推标志位,置位时表示接收方应立即请求将报文交给应用层;
RST:复位标志,用于重建一个已经混乱的连接;
SYN:同步标志,该标志仅在三次握手建立TCP连接时有效
FIN:结束标志,带该标志位的数据包用于结束一个TCP会话。
8、窗口大小(Window Size)
长度为16位,TCP流量控制由连接的每一端通过声明的窗口大小来提供。
9、检验和(Checksum)
长度为16位,该字段覆盖整个TCP报文端,是个强制性的字段,是由发送端计算和存储,到接收端后,由接收端进行验证。
10、紧急指针(Urgent Pointer)
长度为16位,指向数据中优先部分的最后一个字节,通知接收方紧急数据的长度,该字段在URG标志置位时有效。
11、选项(Options)
长度为0-40B(字节),必须以4B为单位变化,必要时可以填充0。
通常包含:
最长报文大小(MaximumSegment Size,MSS)、窗口扩大选项、时间戳选项、选
择性确认(Selective ACKnowlegement,SACK)等。
12、数据
三、UDP数据段
UDP数据报由首部和数据两部分组成,其中首部只有8B(字节)。
1、源端口号(Source Port)
长度为16位,指明发送数据的进程。
2、目的端口号(Destination Port)
长度为16位,指明目的主机接收数据的进程。
3、长度
长度为16位,该字段值为报头和数据两部分的总字节数。
4、检验和(Checksum)
长度为16位,UDP检验和作用于UDP报头和UDP数据的所有位。
由发送端计算
和存储,由接收端校验。
5、数据。
