地址解析协议 ARP(Address Resolution Protocol)
(1)ARP头
(2)数据包分析
长度:8 位/字节,MAC 地址 48 位,即 6 字节,IP 地址 32 位,即 4 字节。
(3)无偿的 ARP
当 IP 地址改变后,网络主机中缓存的 IP 和 MAC 映射就失效了,为了防止通信错误,无偿 ARP 请求被发送到网络中,强制所有收到它的设备更新 ARP 映射缓存。
IP协议
(1)ip头
服务类型:优先级标志位和服务类型标志位,用来进行 QoS
标识符:识别一个数据包或被分片数据包的次序,唯一
标记:标记数据包是否是一组分片数据包的一部分
分片偏移:该数据包是个分片,数据包按分片偏移值顺序重组
存活时间 TTL:超过 TTL 时间,数据包将被丢弃
(2)ip数据包分析
(3)ip数据包分片
将一个数据流分为更小的片段,是 IP 用于解决跨越不同类型网络时可靠传输的一个特性。
基于第 2 层数据链路协议所使用的最大传输单元 MTU(Maximum Transmission Unit)的大小,默认是 1500 字节(不包含 14 字节的以太网头本身),当数据包大小大于 MTU 时会被分片。
传输控制协议 TCP(Transmission Control Protocol)
为数据提供可靠的端到端传输,处理数据的顺序和错误恢复,保证数据能够到达其应到
达的地方。
(1)TCP头
序号:表示一个 TCP 片段。
确认号:希望从另一个设备得到的下一个数据包的序号。
紧急指针:如果设置了 URG 位,紧急指针将告诉 CPU 从数据包的哪里开始读取数据。
(2)TCP端口
1~1023:标准端口组,特定服务会用到标准端口。
1024~65535:临时端口组,操作系统会随机地选择一个源端口让某个通信单独使用。
(3)TCP标志
(4)TCP的三次握手
第一次握手syn包
第二次握手syn/ack包
第三次握手ack包
(5)TCP的四次断开
第一次断开
第二次断开
第三次断开
第四次断开
(6)TCP的重置
当 TCP 连接中途突然断掉,使用 RST 标志位指出连接被异常中止或拒绝连接请求。
用户数据报协议 UDP(User Datagram Protocol)
快速、无连接、不可靠,DNS 和 DHCP 就是使用 UDP 作为传输协议,而它们自己进行
错误检查及重传计时。
(1)UDP头
(2)UDP数据包分析
结语
以上就是通过wireshark抓包,对网络底层协议数据包进行分析,从而帮助排除网络故障。
