摘要:
本文简单介绍了网络层理论知识,详细讲解了IP数据报各个字段,并从Wireshark俘获分组中选取IP数据报进行分析,也阐述了分组和分片的区别。
一、IPv4数据报
网络层是处理端到端数据传输的最低层。网络层关注如何将分组从源端沿着网络路径送达目的端,期间可能需要经过许多跳中间路由器。即提供转发(数据从路由器那个接口出去)、选路(发送方与接收方间的路径)、网络建立(如ATM、帧中继)。这里以IPv4为例,关于IPv6报文格式详见博文《IPv4与IPv6数据报格式详解》。
图1 IPv4数据报格式
版本号(version)
不同的IP协议版本使用不同的数据报格式。
首部长度(HL, Internet Head Length)
确定IP数据报中数据部分实际从哪里开始,包含可变数量的选项。若IP数据报没有包含选项,则IP数据报首部长度为20字节。
服务类型(TOS, Type Of Service)
更好地服务不同类型IP数据报(如实时数据报IP电话应用、非实时通信流FTP),Cisco将TOS前3位标识不同服务等级,即优先级。
数据报长度(TL, Total Length)
IP数据报长度,即首部+数据。
分片:标识(identification)、标志(flags)、段位移(Fragment Offset)
这3个字段跟IP分片有关,当目的主机从同一个源收到一批数据报时,需要确定这些数据报是完整数据报还是分片后的数据报,数据报首部标识字段解决这个问题,检查数据报的标识号确定哪些数据报真正是同一个较大数据报的片;如何判断最后一个分片已收到,数据报首部标志字段解决这个问题,将最后一片的标志为0,其他标记为1;如何顺序重组这些片,这就需要记录每个片的在数据报有效净荷的偏移量,这也确定了片是否丢失。若丢失某些片,则丢弃这个不完整的数据报(不会交给传输层)。需要可靠传输怎么办呢,由传输层让源重传原始数据摄中的数据(如TCP)。
寿命(TTL, Time To Live)
每次数据报经过一台路由器时,该字段的值减1,若TTL字段减为0,则丢弃该数据报,从而确保数据报不会永远在网络循环。
上层协议(Protocol)
该字段用于指明IP数据报的数据部分应该交给哪个传输层协议(6为TCP、17为UDP)。
首部检查和(Header Checksum)
只是对IP首部进行检验,对整个TCP/UDP报文段检验交由TCP/UDP完成。将首部中的每两个字节当作一个数,用反码运算对这些数求和,该和按1补码值存放在检查和字段。当路由器收到IP数据报时,计算其首部检查和,与该字段值比较,若出错则丢弃该数据报。
注:因为TTL字段及选项字段可能改变,所以每个路由器上的检查和都须重新计算并存放在原处。(检查后,再更新)
源和目的IP地址(Source/Destination Address)
选项(Options)
选项字段允许IP首部被扩展,由此导致数据报首部长度可变,故不能预先确定数据字段从何开始,同时也使路由器处理一个IP数据报所需时间差异很大(有的要处理选项,有的不需要)。
数据(Data)
当使用TCP/UDP协议时,数据即为传输层报文段(TCP/UDP)。数据字段也可承载其他类型数据,如ICMP报文段。
二、实例解析
以请求百度首页基本HTML为例,因HTTP报文太大(3835字节),网络层对其进行分片,共4片,如下图(截自Wireshark俘获的HTTP响应报文):
图2 数据分片实例
整个HTTP报文传输示意图如下:
图3 HTTP报文传输实例示意图
2.1 分片
IP数据报首部字段的标识(identification)、标志(flags)、段位移(Fragment Offset) 用来处理分片。当目的主机从同一个源收到一批数据报时,需要确定这些数据报是完整数据报还是分片后的数据报,数据报首部标识字段解决这个问题,检查数据报的标识号确定哪些数据报真正是同一个较大数据报的片;如何判断最后一个分片已收到,数据报首部标志字段解决这个问题,将最后一片的标志为0,其他标记为1;如何顺序重组这些片,这就需要记录每个片的在数据报有效净荷的偏移量,这也确定了片是否丢失。若丢失某些片,则丢弃这个不完整的数据报(不会交给传输层)。需要可靠传输怎么办呢,由传输层让源重传原始数据摄中的数据(如TCP)。
将该4个IP数据报(组成该完整的HTTP报文)的标识、标志、段位移部分抽出来,如下图所示:
图4 HTTP响应报文的4个IP数据报
可以看出,IP数据报并没有分片,这是因为这些IP数据报封装成帧并没有超过MTU(以太网MTU为1500字节)。蛮想找一个有分片的IP数据报分析下,可惜俘获的分组没有:-(
不尽要问,当报文太大时,什么时候划分报文呢?主要是在两个地方:传输层TCP分组、网络层IP分片。
(1)分组
TCP把应用程序交给它的报文分成合适的小块交给下面网络层,要不要分取决于应用层报文是否大于MSS(想想TCP连接建立时最大报文段MSS大小的协商,注MSS仅包含TCP报文段的净荷数据,不包括TCP首部),怎么分取决于特定的分组算法。本例将3836字节长度HTTP报文分成:411+1440+1440+545。
(2)分片
IP数据报在发送方与目的地间传输可能选择不同的路径,路径上的每段链路可能使用不同的链路层协议,协议可能具有不同的最大传输单(MTU,链路层数据报能承载的最大数据量)。当出链路的MTU比IP数据报的长度小时,需要将过大的IP数据报分片。IPv4数据报首部字段标识、标志、偏移量解决这个问题。
值得注意的是,IP数据报分片在网络层重组,重组好了,再交给传输层。TCP报文段在传输层重组,重组好了,再交给应用层。
2.2 IP数据报实例
接下来,取一个完整IP数据报分析(以第一个数据报为例,即27),如下:
图4 IP数据报实例
IP数据报首部没有选项字段,长度为20字节,数据报长度451=IP数据报首部长度20(没有选项字段)+TCP首部长度20(没有选项字段)+TCP报文段的数据字段411(实为HTTP报文前411字节)。
参考资料:
[1] Andrew S.Tanenbaum.计算机网络[M].
[2] 《计算机网络--自顶向下方法与Internet特色》[M].
HTTP报文传输实例.rar from:http://blog.chinaunix.net/uid-9112803-id-3213492.html
