.学习使用Wireshark查看IPv4数据包的首部信息，分析IP的版本、首部长度、总长度、标识、标志、片偏移、生存时间、协议、源地址和目的地址

使用Wireshark查看IPv4数据包的首部信息，可以分析以下字段信息： 1.版本：IPv4协议的版本号为4。 2.首部长度：占4位，可表示的最大十进制数值是15。这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），表示首部长度为15*4=60字节。 3.总长度：指整个IP数据报的长度，包括首部和数据部分。单位为字节。 4.标识：用于标识一个数据报的唯一性，通常由发送端设置。 5.标志：占3位，其中第1位为保留位，第2位为DF（Don't Fragment）位，第3位为MF（More Fragment）位。DF位为1时，表示不允许分片；MF位为1时，表示后面还有分片。 6.片偏移：指当前分片相对于原始数据报的偏移量，单位为8字节。 7.生存时间：TTL（Time to Live），表示数据报在网络中可以经过的最大路由器数目，每经过一个路由器，TTL值减1，当TTL值为0时，数据报被丢弃。 8.协议：指上层协议类型，如TCP、UDP、ICMP等。 9.源地址和目的地址：分别指发送端和接收端的IP地址。

### Wireshark 数据包首部结构及字段含义 Wireshark 是一种非常强大的网络封包分析工具，能够捕获并解析网络流量中的各个层次的数据包[^1]。通过 Wireshark 的界面，用户可以深入观察数据包的头部信息及其具体字段的意义。 #### 1. **帧头 (Frame Header)** 帧头是数据链路层的一部分，包含了关于该帧的基本元数据。其主要字段包括但不限于以下几个方面： - **Length**: 表示整个帧的长度（字节数），用于计算传输过程中的开销和效率[^3]。 - **Source and Destination MAC Addresses**: 这些字段分别表示源设备和目的设备的硬件地址（MAC 地址）。它们帮助交换机或其他二层设备识别数据应该转发给哪个端口。 - **Type/Length Field**: 此字段通常有两种用途——如果值小于等于 1500，则代表的是以太网 II 中的有效载荷长度；如果是大于 1536 的十六进制数，则表明这是更高层协议类型（如 IPv4 或 ARP 请求）。 #### 2. **IP 首部 (IP Header)** 当进入网络层时，会看到 IP 报文的具体构成。以下是 IP 数据报的主要组成部分以及对应的解释[^4]: - **Version**: 显示当前使用的版本号，目前最常见的是 IPv4 和 IPv6。 - **Header Length (IHL)**: 定义了 IP 头的实际长度，单位是以 4 字节为基数计数，默认情况下 IPv4 的固定部分占用了 20 字节。 - **Differentiated Services Code Point (DSCP) & Explicit Congestion Notification (ECN)**: DSCP 提供服务质量标记支持，而 ECN 则允许路由器通知主机存在拥塞情况。 - **Total Length**: 整个 IP 分组总长度，包括头部和有效负载两部分内容之和。 - **Identification**: 主要应用于分片重组过程中唯一标识每一个 datagram。 - **Flags**: 控制标志位，主要用于指示是否允许分片操作等特性。 - **Fragment Offset**: 如果发生了分片现象的话，此字段记录每一片相对于原始 packet 起始位置偏移量的信息。 - **Time To Live (TTL)**: 设置跳转次数上限来防止循环路由问题的发生，在每次经过一个路由器之后都会减去一定数值直到达到零为止即丢弃相应 packets。 - **Protocol**: 指定下一个高层协议是什么形式，比如 TCP(6), UDP(17)，ICMP等等。 - **Checksum**: 计算校验码验证 ip header 是否损坏丢失等情况发生以便采取纠正措施恢复原样或者重新请求发送新的 copies. - **Source Address / Destination Address**: 分别存储着发送方与接收方公网上的逻辑地址(IPv4 address). #### 3. **TCP 首部 (TCP Header)** 除了上述提到的基础层面外，还有更复杂的传输控制协议(TCP)相关内容值得注意: - **Port Numbers**: 包含两个短整型变量分别作为 source port number 和 destination port number 使用从而实现多路复用功能区分不同应用程序之间通讯连接关系。 - **Sequence Number**: 发送者分配的一个初始序列编号用来跟踪所传递出去的所有 bytes 并确保按顺序组装成完整的 message 流程图。 - **Acknowledgment Number**: 当 ACK flag 设立起来以后才生效，意味着已经成功接收到前序指定数量 byte 后准备继续读取后续未完成的部分直至全部结束为止。 - **Data Offset**: 类似于 IHL ，指出 tcp segment headers 所占用的空间大小范围一般介于五个到六十四个 octets 不等取决于选项区是否存在扩展参数配置与否决定最终结果如何呈现出来给人看明白就好啦！ - **Reserved Bits**: 总共保留六个比特位暂时没有任何实际作用留待将来可能新增加的功能需求再做进一步开发完善工作吧😊。 - **Control Flags**: 包括 URG,ACK,PUSH,RST,SYN,FIN 六种不同类型的操作命令信号灯开关状态切换机制设计精巧合理高效实用性强👍。 - **Window Size**: 展现滑动窗口尺寸限制条件约束双方交互速率保持同步协调一致避免因速度差异过大造成资源浪费现象出现❌。 - **Check Sum**: 对tcp segments整体进行错误检测运算得出最后结论判断是否有误传错乱等问题存在⚠️。 - **Urgent Pointer**: 若设置了URG bit则此项指明紧急数据所在确切位置方便快速定位处理事务优先级高的任务事项💼。 --- ### 示例代码：抓取并打印第一个 TCP 数据包的详细信息 下面是一个简单的 Python 脚本例子，演示如何利用 `scapy` 库模拟 wireshark 功能获取首个 tcp 数据包包头详情： ```python from scapy.all import sniff def process_packet(packet): if packet.haslayer('TCP'): src_port = packet['TCP'].sport dst_port = packet['TCP'].dport seq_num = packet['TCP'].seq ack_num = packet['TCP'].ack flags = packet['TCP'].flags print(f"Src Port: {src_port}, Dst Port: {dst_port}") print(f"Seq Num: {seq_num}, Ack Num: {ack_num}") print(f"Flags: {flags}") sniff(prn=process_packet, count=1) ``` ---