wireshark图解ip报文分片
前言:
ip分片如果丢了一片,整个报文都需要重传。所以网络传输都会减少ip分片的概率。tcp用MSS,而udp依靠上层协议,比如tftp。
所以ip分片的报文不太好抓到,故使用两台pc运行vmware虚拟机。一台当client用udp发送4500字节的数据,一台当server接收后再用udp返回4500字节的数据。通过wirewark分析ip分片。最后会把程序附上。
IP头中和分片有关的三个字段,如下图。摘自
《计算机网络》第7版 谢希仁
1.49是客户端,1.50是服务器
开始分析*
26到28号分片只有ip头,不带udp头。这三片携带数据总长度为1480 * 3 = 4440。
26号分片如下:
可得片偏移为0。
27号分片如下:
可得片偏移为1480,即上一个分片的字节是0-1479。
28号分片如下:
可得片偏移为2960,即上一个分片的字节是1480-2959。
可得三片报文的identification字段是一样的,属于同一个ip报文。
再分析29号报文 其携带udp头。
即只有第一片ip分片才会携带上层头(tcp/udp/icmp)。wireshark显示的问题导致看上去是最后一片才携带上层头,实际上是第一片携带。
可见其identification字段与上述三片相同,但是MF标志位是0了,表示这是最后一个分片了。
29号数据长度为88-20-8字节udp头 = 60字节。
完整报文长度为上述的4440+60=4500字节。
可从中括号中看到详细的分片情况。中括号表示注释性内容。
【4 IPv4 Fragments (4508 bytes): #26(1480), #27(1480), #28(1480), #29(68)】
可从data这里直接得到完整报文的数据长度为4500字节。
总结:
分析分片的情况时,只需要看携带上层头的报文片就可以了。
附:tcp避免不了分片的情况。
pc1 <--------router---------> pc2
pc1和pc2用tcp通信,为了避免分片,协商出mss为1460。
可是中间路由器的mtu为576。这时候就避免不了分片了。
因为tcp是端对端的协议,pc1和pc2这两个端点协商mss,中间设备是不参与协商的。
所以说tcp的mss是尽可能的避免分片,而不是完全杜绝分片。
附上udp client和server的程序。
//udp client
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <string.h>#define N 5000int main(int argc, const char *argv[])
{int sockfd;char buf[N] = {0};struct sockaddr_in serveraddr;FILE *fp = NULL;unsigned int len = 0;if(argc < 3){fprintf(stderr,"Usage: %s ip port.\n",argv[0]);return -1;}if((sockfd = socket(AF_INET, SOCK_DGRAM, 0))<0){perror("fail to socket");return -1;}serveraddr.sin_family = AF_INET;serveraddr.sin_addr.s_addr = inet_addr(argv[1]);serveraddr.sin_port = htons(atoi(argv[2])); //注意atoisocklen_t addrlen = sizeof(struct sockaddr);//提前准备个文本有4500字节的数据fp = fopen("./myfile.txt", "r");if (!fp){perror("fail to fopen");return -1;}len = fread(buf, sizeof(char), 4500, fp); //设读4500字节if(!len) {fclose(fp);perror("fail to fread");return -1;}//发4500字节sendto(sockfd, buf, 4500, 0, (struct sockaddr *)&serveraddr, addrlen);//服务器的sendto写地址了 这里可以省略 收4500字节 recvfrom(sockfd, buf, N, 4500, NULL, NULL); printf("From server: %s \n",buf);close(sockfd);return 0;
}
//udp server
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <string.h>#define N 5000int main(int argc, const char *argv[])
{int sockfd;char buf[N] = {};struct sockaddr_in serveraddr,clientaddr;if(argc < 3){fprintf(stderr,"Usage: %s ip port.\n",argv[0]);return -1;}if((sockfd = socket(AF_INET,SOCK_DGRAM,0))<0){//第二个参数TCP是SOCK_STREAM,UDP是SOCK_DGRAMperror("fail to socket");return -1;}serveraddr.sin_family = AF_INET;serveraddr.sin_addr.s_addr = inet_addr(argv[1]);serveraddr.sin_port = htons(atoi(argv[2])); //注意atoiif(bind(sockfd,(struct sockaddr *)&serveraddr,sizeof(serveraddr))<0){perror("fail to bind");return -1;}socklen_t addrlen = sizeof(struct sockaddr);while(1){//接收4500字节recvfrom(sockfd, buf, 4500, 0, (struct sockaddr *)&clientaddr, &addrlen);printf("From client: %s \n",buf);if(0 == strncmp(buf,"quit",4)){break;}strcat(buf,"from server...");//发送4500字节sendto(sockfd, buf, 4500, 0, (struct sockaddr *)&clientaddr, sizeof(clientaddr));}close(sockfd);return 0;
}
使用时先开server。
gcc udp_server.c
./a.out server_ip server_port
再开client。
gcc udp_client.c
./a.out server_ip server_port
wireshark图解ip报文分片相关推荐
- 以太网 以太网帧格式与IP报文分片
2.1.0 以太网 以太网帧格式与IP报文分片 一.以太网数据帧信息简介 以太网有两种类型的数据帧,一种是Ethernet_II另一种是IEEE802.3. 两者并没有明确的规定两种类型的使用场景,通 ...
- iptables与IP报文分片浅析
背景 192.168.0.11(iperf 服务端) 192.168.0.10(iperf 接收端) 系统因会发送大于MTU的UDP组播包,且用户基于都是基于UDP带端口的组播,但是由于UDP分片 ...
- 网络层——IP协议(IP协议报头IP报文的分片与组装)
1 IP协议报头 各字段解释: 版本号:占4位,指IP协议的版本,有IPv4和IPv6两种,对于IPv4协议该字段就是4 首部长度:占4位,指IP协议的报头长度,范围在20-60字节 区分服务:占8位 ...
- IP报文发送过程和原理
文章目录 1.IP的概念 1.1IP,主机与路由器 1.2IP与TCP的对比 2.IP报头 2.1IP报头格式 2.2各部分作用 2.3IPv4与IPv6 2.4一跳 2.5 8位生存时间 2.6 分 ...
- 计算机网络自顶向下 利用分组嗅探器Wireshark俘获协议报文并分析IP协议
利用分组嗅探器Wireshark俘获协议报文并分析IP协议 监察第一个返回的ICMP数据包,看自己的计算机的IP地址是什么? 在IPpacket 的头部,上层协议域的值是什么? IP header有多 ...
- linux内核 快速分片,linux内核学习笔记------ip报文的分片
对网络比较熟悉的童鞋都知道,当发送的ip报文长度超出了最大的传输单位MTU,且允许分片的情况下,就会对ip报文进行分片.在上层要发送数据时就会调用dst_output,dst_output就会调用ip ...
- (SIP-1-话机注册)关于IP话机通过SIP协议注册到PBX电话交换机的全过程解析-如何看wireshark中的报文
识别wireshark中各个报文所对应的表示含义 我们以第一个SIP包为例子. 该包发送的场景为:IP话机注册到PBX上所发送的第一个报文.我们点开可以看到,该报文一共被封装了五层.我们都知道TCP/ ...
- 计算机网络基础 IP头部报文;IP的分片;
IP头部报文: 第一行: version - 版本:占4比特: IP协议的版本,目前的IP协议版本号为4: Header length - 头部长度:占4比特: 固定部分的长度(20字节)和可变部分的 ...
- Wireshark图解TCP三次握手与四次挥手
Wireshark图解TCP三次握手与四次挥手 1. TCP 包头结构 2 三次握手 2.1 图解 2.2 使用 tcpdump 和 wireshark 解读三次握手过程 3 四次挥手 3.1 客户端 ...
- Wireshark分析IP数据报
Wireshark分析IP数据报 1. IP数据报格式 总概 2. IP数据报首部的固定部分各字段 版本[4位]:IPv4或IPv6 首部长度[4位]:单位是32bit(4字节),比如:首部最小长度为 ...
最新文章
- 链表问题9——复制含有随机指针节点的链表(进阶)
- java 传 复合类型对象_struts复合类型传值(对象传值)
- Lua的清屏快捷方式
- Access2007中如何运行SQL执行SQl语句
- keras、tf、numpy实现logloss对比
- 解决 Azure AD 在 Azure Front Door 下登录失败的问题
- mysql中 routine
- 2016蓝桥杯C++A:剪邮票(抓取法)
- Linux下硬盘分区详解
- 基于ARMA模型的客流预测
- 陈强老师公开课笔记1——如何区别中介效应、调节效应与交互效应?
- Web前端密码加密是否有意义?
- 管理员必须知道的RADIUS认证服务器的部署成本
- gird和flex布局
- 微软搜购诺基亚是这样的吗
- 通过CSS样式缩放图片导致图片模糊的解决方案
- Three.js - 使用 ThreeBSP 对模型进行布尔运算
- 小学生python游戏编程arcade----爆炸粒子类
- bat命令启动谷歌浏览器无痕模式
- uni-app 本地图片引入问题