首頁 >運維 >安全 >如何分析TCP及IP的網路層相關封包與數據

如何分析TCP及IP的網路層相關封包與數據

王林
王林轉載
2023-05-13 23:55:041234瀏覽
  1. TCP/IP的網路層相關封包與資料

    1)  IP封包的封裝:IPv4有32位,IPv6有128位元。 IP封包最大可以為65535bytes。其架構如下圖:

如何分析TCP及IP的網路層相關封包與數據

    額外說明的有:

        服務類型:主要分為,PPP,表示此IP封包的優先權,目前很少是使用;D,若為0表示一般延遲(delay),若為1表示為低延遲;T,若為0表示為一般傳輸量,若為1表示為高傳輸量;R,若為0表示為一般可靠性,若為1表示為高可靠性;UU:保留尚未被使用;總共合起來為格式為PPPDTRUU。

        旗標:格式為DM,其中,D,若為0表示可分段,若為1表示不可分段;M,若為0表示此IP為最後分段,若為1表示非最後分段。

        分段偏移:表示這個IP分段目前在原始IP封包中所佔的位置。透過TotalLength,Identification,Flags以及Fragment Offset才能將小的IP分段在收受端組合起來。

        存活時間:範圍0-255,當IP封包通過一個路由器時,TTL會減一,當TTL為0時,這個封包將會被丟棄。

        協定代碼:各程式碼的意義為,1,ICMP(InternetMessage Control);2,IGMP(Internet Group Management Protocol);3,GGP(Gateway-to-GatewayProtocol);4,IP(IP in IP encapsulation);6,TCP(Transmission Control Protocol);8,EGP(ExteriorGateway Protocol);17,UDP(Use Data Program)。

        表頭檢查碼:用來檢查這個IP表頭的錯誤檢查碼之用。

        目標位址:目標IP位址

        其他參數:額外選項,提供包含安全處理機制,路由記錄,時間戳,嚴格與寬鬆之來源路由等。

        補齊項目:由於Options的內容不一定有多大,但IP每個資料都必須是32bits,所以,若Options的資料不足32bits時,則有padding補齊。

        2)  IP位址的組成與分級:

        IP組成:網路號碼與主機號碼。

        相同網域(網段):在同一個實體網段內,主機的IP具有相同的網路號碼和獨立的主機號碼。而主機號碼全為0和全為1(廣播位址)的IP是不可用的。同一網段內的主機若設定相同的網域IP範圍(不可重複)可以透過CSMA/CD的功能直接在區網路內以廣播進行網路的聯機(亦即可直接網卡對網卡傳遞資料)。在同一個實體網段之內,如果兩部主機設定成不同的IP網段,則由於廣播位址的不同,導致無法透過廣播的方式來進行聯機。此時要透過路由器(router)來進行溝通才能將兩個網域連接在一起。

        IP分級:整個IP分為五個等級,如下圖:

        如何分析TCP及IP的網路層相關封包與數據

     最常用在大批電腦的網路還原)。

        E類別:保留未使用的網段。

    3)  IP種類與取得方式

        IP種類:公共IP,由InterNIC統一規劃的IP,此IP才能連上Internet;私有(保留)IP:無法連接到InternetIP:無法連接到Internet的IP,主要用於區域網路內的主機聯機規劃。

        私有IP分類:A類,10.0.0.0~10.255.255.255;B類,172.16.0.0~172.31.255.255;C172.16.0.0~172.31.255.255;C類,192.1685     自動取得網路參數:在區域網路內會有一部主機專門負責管理所有電腦的網路參數,當其他主機網路啟動時,會主動向該服務要求IP參數,若取得網路相關參數後,主機就能夠自行設定好所有伺服器給你的網路參數,從而連上網路。

    4)  Netmask,子網路與CIDR(Classless Interdomain Routing)

        Netmask:網路號碼全取1而主機號碼全取0的IP位址。

        Network:此網段的第一個IP位址,即網路號碼為網路號碼,而主機號碼全為0

        網路域表示方法:常用Network以及Netmask來表示一個網路網域表示方法域。 192.168.0.0/255.255.255.0或192.168.0.0/24(其中24表示網路號碼佔24位元)

#       無等級網路域間路由(無類別借用器路由為主機網路號碼號,以使得多個網域寫成一個,這種打破原本IP代表等級的方式就被稱為無等級網域間路由(可以減少路由訊息,從而提升效能)。

    5)  路由的概念:當一部主機傳送資料到另一台主機時,此主機會檢視本身的路由資訊並與資料的目標位址比較,若找到目標IP,則傳送到指定的機器,否則傳送到預設網關,再進行傳輸。重複此過程,直到資料到達目的地。

    6)  route [-n]:觀察路由表的指示,參數

        a)-n:主機名稱以IP的方式顯示。

        b)資料顯示解讀,

        Destination:Network的意思

      #10. #        Genmask:Netmask

        Flags:旗標,U,以代表此路由可用;G,代表此網路需要經由Gateway來幫忙傳遞;H:代表此行路由為一部主機,而非一整個主機為一個主機可經由Gateway來幫忙傳遞;H:代表此行路由為一部主機,而非一整個主機為一台主機,而非一整個主機為一台主機,而非一整個主

        Iface:介面(interface)即網路卡代號。

    7)  ARP(Address Resolution Protocol,網路位址解析協定),RARP(Revers ARP,反向位址解析協定。

##    8)  arp [-nd];arp –s hostname( IP) Hardware_address:取得本機的ARP表格內的IP/MAC對應的數據,參數:

        a)-n:以主機IP的形態顯示

       hostname的hardware_address由ARP table當中刪除。

        c)-s:設定某IP或hostname的MAC到ARP table中(用於建立靜態的ARP)。

    9)  ICMP(Internet Control Message Protocol,因特網訊息控制協定):是一個錯誤偵測與回報的機制,最大的功能就是可以確保我們網路的線上狀態與連線的正確性。 ICMP也是網路層重要的封包之一,不過,這個封包並非獨立存在,而是納入到IP封包中,也就是說,ICMP同樣是透過IP封包來進行資料傳送的。 ICMP比較常見的ICMP的類別:

        0:Echo Reply,代表一個回應資訊

        3:Destination Unreach 

1Source

##當router的負載過高時,此類別碼可用來讓發送端停止發送訊息)

        5:Redirect,(用來重新導向路由路徑資訊)

      請求回應訊息

        11:Time Exceeded for a Datagram,當資料封包在某些路由傳送的現像中造成逾時狀態,此類別碼可告知來源此封包已忽略的訊息

        12:Parameter Problem on a Datagram,當一個ICMP封包重複先前的錯誤時,會回復來源主機關於參數錯誤的訊息。

        13:Timestamp Request,請對方送出時間訊息,以計算路由時間差異,以符合同步協定的要求

        14:Timestamp Replay##        14:Timestamp Replay,#        14:Timestamp Replay,此#      的

        15:Information Request,在RARP協定應用之前,此訊息用來在開機時,取得網路資訊。

        16:Information Replay,以回應Information Request訊息

        17:Address Mask Request Mask Reply,回應子網路mask查詢訊息的。

    ping和trcaceroute兩個指令可以透過ICMP封包來確認與回報網路主機的狀態,

以上是如何分析TCP及IP的網路層相關封包與數據的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:yisu.com。如有侵權,請聯絡admin@php.cn刪除