一、MAC头部
1、目的地址:目的MAC地址。
2、源地址:源MAC地址。
3、类型:0x0800 :IP数据包
0x0806 :ARP请求应答
0x8035 :RARP请求应答
4、CRC:用于对帧内部数据进行校验,保证数据传输的正确性,通常由硬件实现,例如在网卡设备中实现网络数据的CRC校验。
5、CRC、PAD一般在组包时可以忽略。
6、结构体
struct ether_header #include <net/ethernet.h>
{
u_int8_t ether_dhost[ETH_ALEN]; //目的MAC地址
u_int8_t ether_shost[ETH_ALEN]; //源MAC地址
u_int16_t ether_type; //帧类型
};
二、IP头部
1、版本:IP协议的版本。通信双方使用过的IP协议的版本必须一致,目前最广泛使用的IP协议版本号为4(即IPv4 )。
2、首部长度:单位是32位(4字节)。
3、服务类型:一般不适用,取值为0。
4、总长度:指首部加上数据的总长度,单位为字节。
5、标识(identification) :IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。
6、标志(flag) :目前只有两位有意义。
标志字段中的最低位记为MF。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。
标志字段中间的一位记为DF,意思是“不能分片” ,只有当DF=0时才允许分片。
7、片偏移:指出较长的分组在分片后,某片在源分组中的相对位置,也就是说,相对于用户数据段的起点,该片从何处开始。片偏移以8字节为偏移单位。
8、生存时间:TTL,表明是数据报在网络中的寿命,即为“跳数限制“,由发出数据报的源点设置这个字段。路由器在转发数据之前就把TTL值减一,
当TTL值减为零时,就丢弃这个数据报。
9、协议:指出此数据报携带的数据时使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程,常用的ICMP(1),IGMP(2),TCP(6),UDP(17),IPv6(41)。
10、首部校验和:只校验数据报的首部,不包括数据部分。
11、源地址:发送方IP地址。
12、目的地址:接收方IP地址。
13、结构体
struct iphdr #include <netinet/ip.h>
{
#if __BYTE_ORDER == __LITTLE_ENDIAN
unsigned int ihl:4; // 首部长度
unsigned int version:4; // 版本
#elif __BYTE_ORDER == __BIG_ENDIAN
unsigned int version:4; //版本
unsigned int ihl:4; //首部长度
#else
# error "Please fix <bits/endian.h>"
#endif
u_int8_t tos; // 服务类型
u_int16_t tot_len; // 总长度
u_int16_t id; // 表识
u_int16_t frag_off; // 标志、片偏移
u_int8_t ttl; // 生存时间
u_int8_t protocol; // 协议
u_int16_t check; // 首部校验和
u_int32_t saddr; // 源地址
u_int32_t daddr; // 目的地址
/*The options start here. */
};
三、TCP头部
1、源端 号 发送方端 号。
2、目的端口号:接收方端口号。
3、序列号:本报文段的数据的第一个字节的序号。
4、确认序号:期望收到对方下一个报文段的第一个数据字节的序号。
5、首部长度(数据偏移) :TCP报文段的数据起始处距离TCP报文段的起始处有多远,即首部长度。单位:32位,即以4字节为计算单位。
6、保留:占6位,保留为今后使用,目前应置为0。
7、紧急URG: 此位置1,表明紧急指针字段有效,它告诉系统此报文段中有紧急数据,应尽快传送。
8、确认ACK: 仅当ACK=1时确认号字段才有效,TCP规定,在连接建立后所有传达的报文段都必须把ACK置1。
9、推送PSH:当两个应用进程进行交互式的通信时,有时在一端的应用进程希望在键入一个命令后立即就能够收到对方的响应。在这种情况下,
TCP就可以使用推送(push)操作,这时,发送方TCP把PSH置1,并立即创建一个报文段发送出去,接收方收到PSH=1的报文段,就尽快地(即”推送“向前)
交付给接收应用进程,而不再等到整个缓存都填满后再向上交付。
10、复位RST: 用于复位相应的TCP连接。
11、同步SYN: 仅在三次握手建立TCP连接时有效。当SYN=1而ACK=0时,表明这是一个连接请求报文段,对方若同意建立连接,则应在相应的报文段中使用
SYN=1和ACK=1。因此,SYN置1就表示这是一个连接请求或连接接受报文。
12、终止FIN:用来释放一个连接。当FIN=1时,表明此报文段的发送方的数据已经发送完毕,并要求释放运输连接。
13、窗口:指发送本报文段的一方的接收窗口(而不是自己的发送窗口)。
14、校验和:校验和字段检验的范围包括首部和数据两部分,在计算校验和时需要加上2字节的伪头部。
15、紧急指针:仅在URG=1时才有意义,它指出本报文段中的紧急数据的字节数(紧急数据结束后就是普通数据) ,即指出了紧急数据的末尾在报文中的位置,
注意:即使窗口为零时也可发送紧急数据。
16、选项:长度可变,最长可达40字节,当没有使用选项时,TCP首部长度是20字节。
17、结构体
struct tcphdr #include <netinet/udp.h>
{
u_int16_t source; // 源端口号
u_int16_t dest; // 目的端口号
u_int32_t seq; // 序列号
u_int32_t ack_seq; // 确认序列
# if __BYTE_ORDER == __LITTLE_ENDIAN
u_int16_t res1:4; //
u_int16_t doff:4; // 保留:4
u_int16_t fin:1; // 终止FIN
u_int16_t syn:1; // 同步SYN
u_int16_t rst:1; // 复位RST
u_int16_t psh:1; // 推送PSH
u_int16_t ack:1; // 确认ACK
u_int16_t urg:1; // 紧急URG
u_int16_t res2:2; // 保留:2
# elif __BYTE_ORDER == __BIG_ENDIAN
u_int16_t doff:4; // 首部长度
u_int16_t res1:4; // 保留:4
u_int16_t res2:2; // 保留:2
u_int16_t urg:1; // 紧急URG
u_int16_t ack:1; // 确认ACK
u_int16_t psh:1; // 推送PSH
u_int16_t rst:1; // 复位RST
u_int16_t syn:1; // 同步SYN
u_int16_t fin:1; // 终止FIN
# else
# error " Adjust your <bits/endian.h> defines"
# endif
u_int16_t window; // 窗口
u_int16_t check; //校验和
u_int16_t urg_ptr; //紧急指针
};
四、UDP头部
1、源端口号:发送方端口号。
2、目的端口号:接收方端口号。
3、长度:UDP用户数据报的长度,最小值是8(仅有首部)。
4、校验和:检测UDP用户数据报在传输中是否有错,有错就丢弃。
5、结构体
struct udphdr
{
u_int16_t source; // 源端口号
u_int16_t dest; // 目的端口号
u_int16_t len; // 长度
u_int16_t check; // 校验和
};
五、ARP头部
1、目的硬件地址:目的MAC地址。
2、源硬件地址:源MAC地址。
3、帧类型:0x0806。
4、硬件类型:1(以太网)。
5、协议类型:0x0800(IP地址)。
6、硬件地址长度:6。
7、协议地址长度:4。
8、操作方式:1(ARP请求) ,2(ARP应答) ,3(RARP请求),4(RARP应答)。
9、结构体
struct arphdr #include <net/if_arp.h>
{
unsigned short int ar_hrd; // 硬件类型
unsigned short int ar_pro; // 协议类型
unsigned char ar_hln; // 硬件地址长度
unsigned char ar_pln; // 协议地址长度
unsigned short int ar_op; // ARP命令
# if 1
/* Ethernet looks like this : This bit is variable sized however . . . */
unsigned char __ar_sha[ETH_ALEN]; // 发送端以太网地址
unsigned char __ar_sip[4]; // 发送端IP地址
unsigned char __ar_tha[ETH_ALEN]; // 目的以太网地址
unsigned char __ar_tip[4]; // 目的IP地址
# endif
};