网络协议系列文章

网络协议(一)：基本概念、计算机之间的连接方式

网络协议(二)：MAC地址、IP地址、子网掩码、子网和超网

网络协议(三)：路由器原理及数据包传输过程

网络协议(四)：网络分类、ISP、上网方式、公网私网、NAT

网络协议(五)：网络互联模型、物理层、数据链路层

网络协议(六)：网络层

---

网络分层对应的通信协议和数据名称

一、网络层组成

• 网络层数据包（IP数据包，Packet）由 首部、数据 两部分组成
• 数据：很多时候是由传输层传递下来的数据段（Segment）

二、网络层首部

1、版本、首部长度、区分服务

• 版本（Version）
  • 占4位
  • 0b0100：二进制4表示IPv4
  • 0b0110：二进制6表示IPv6
• 首部长度（Header Length）
• 区分服务（Differentiated Services Field）

2、首部长度（Header Length）

• 占4位，二进制乘以4才是最终长度
• 0b0101：二进制5*4 = 20（最小值）
• 0b1111：二进制15*4 = 60（最大值）

3、区分服务（Differentiated Services Field）

• 占8位
• 可以用于提高网络的服务质量（QoS，Quality of Service）

4、总长度

• 占16位
• 首部 + 数据的长度之和，最大值是 65535（2^16 - 1）

• 由于帧的数据不能超过1500字节，所以过大的IP数据包，需要分成片（fragments）传输给数据链路层
• 每一片都有自己的网络层首部（IP首部）

5、标识

• 占16位
• 数据包的ID，当数据包过大进行分片时，同一个数据包的所有片的标识都是一样的
• 有一个计数器专门管理数据包的ID，每发出一个数据包，ID就加1

6、标志

• 占3位
• 第1位（Reserved Bit）：保留
• 第2位（Don’t Fragment）：1代表不允许分片，0代表允许分片
• 第3位（More Fragments）：1代表不是最后一片，0代表是最后一片

ping 的几个用法、wireshark抓包

• ping /?：查看ping的用法
• ping ip地址 -l 数据包大小：发送指定大小的数据包(ping www.baidu.com -l 1400)
• ping ip地址 -f：不允许网络层分块 (ping www.baidu.com -l 2000 -f)

通过 Wireshark 抓包查看 ping www.baidu.com 发送的包

• 通过 ping 命令，实际上发送了4次 ICMP数据包：

• 通过 Wireshark 可以证实：

7、片偏移

• 占13位
• 片偏移乘以8：字节偏移（wireshark显示的是字节偏移）
• 每一片的长度一定是8的整数倍

• ping ke.qq.com -l 4000 （往腾讯课程发长度为4000的数据包）

8、生存时间

• 占8位
• 每个路由器在转发之前会将TTL减1，一旦发现TTL减为0，路由器会返回错误报告
• 观察使用 ping 命令后的TTL，能够推测出对方的操作系统、中间经过了多少个路由器

根据TTL追踪经过路由器

• ping ip地址 -i TTL 设置TTL的值
• 通过 tracert、pathping 命令，可以跟踪数据包经过了哪些路由器
• ping baidu.com -i 1 经过1次就消亡，显然由网关回复

• 通过 ping baidu.com -i 1、ping baidu.com - i 2、ping baidu.com -i 3 … 可以追踪发包到百度经过的路由器

• tracert 和 pathping 命令实际上更简单也可以追踪路由器

• pathping baidu.com

9、协议

• 占8位
• 表明所封装的数据是使用了什么协议

10、首部校验和

• 用于检查首部是否有错误

Wireshark：

• Wireshark 完整网络层首部