从Wireshark抓包来看IP分片

最新推荐文章于 2024-11-12 21:10:58 发布
最新推荐文章于 2024-11-12 21:10:58 发布
阅读量1.3w 收藏 67
点赞数 10
分类专栏: others 文章标签: 网络 udp python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41866334/article/details/119154584
版权
本文解析了IP分片的工作原理及Wireshark中的显示方式。通过一个超过MTU限制的UDP包实例,详细介绍了如何通过标识、分片偏移和更多分片标志来重组分片。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文件来自于前几天CyBRICS 2021中的lx100题目,因为做题时候被IP分片坑到了,发现自己对于网络这一块的知识掌握的并不好,所以写一篇文章来理一下。为了省事就直接用比赛的pcap文件做样例了:点击

从Wireshark抓包来看IP分片

UDP/lPv4分片

一般来说我们都知道MTU是1500字节,因此超过1500字节的数据就需要进行ip分片。包含源和目的端口号的UDP头部只出现在第一个分片里,分片由IPv4头部中的标识(Identification)、分片偏移(Fragment offiet)和更多分片(More Fragments, MF)字段控制。

  • 这些分片的标识(Identification)都是同样的而且分片偏移(Fragment offiet)是以8字节为单位的偏移。同样的标识和不同的偏移让接收方可以对分片进行重组。
  • 更多分片(More Fragments, MF)标志指明该数据报后面是否还有更多的分组, 只有最后一个分片才应置成0。当MF = 0的分片被接收到时, 重组程序才能确定原始数据报的长度, 它等于分片偏移字段的值(乘以8)加上当前分片IPv4总长度字段的值。

下图是一个长度为3000字节的udp包(包括了udp包头的8个字节)。原始数据报要加上ipv4包头为3020字节,它超过了MTU的限制,因此发送的时候会进行分片。

  • 第一个分片中实际传送了1472字节的udp数据和8字节udp包头。此时偏移为0,因为接下来还有数据包要发因此MF置为1
  • 第二个分片传送1480字节的udp数据,因为第一个分片已经传送了1480,因此这里的偏移为1480/8 = 185,因为接下来还有数据包要发因此MF置为1
  • 最后一个分片传送剩下的40字节数据,并将MF置为0,此时接收方可以通过370*8+60来算出原始数据报的长度,因此也知道了udp包的大小为3000字节(减掉ip包头的20字节)。

在这里插入图片描述

wireshark中的视角

比赛用的这个pcap文件实际上抓的是照相机用udp传输图片的过程,我们以一个udp传输为例:

最低0.47元/天 解锁文章
Wireshark数据抓包分析之互联网协议(IP协议)
ChuMeng1999的博客
02-17 4511
目录预备知识互联网协议地址(IP地址)的由来IP协议介绍IP地址的构成IP数据报实验目的实验环境测试环境实验步骤一1.使用Wireshark抓取IP数据包1.1访问一个网页1.2执行ping命令2.使用Wireshark抓取IP分片数据包实验步骤二1.熟悉IP数据报首部格式2.存活时间TTL3.IP分片4.分析IP数据包5.分析IP首部6.分析IP数据包中TTL的变化1)分析同网段中数据包的TTL值2)分析不同网段中数据包的TTL值7.IP分片数据包分析1)第200帧数据包2)第201帧数据包3)第202帧
网络协议分析】利用Wireshark分析IP分片
qq_41626672的博客
01-29 2760
本次实验主要为利用Wireshark和eNSP软件进行分析IP分片,了解分片的过程。如果当传输数据量超过设置的MTU时,IP就会将数据报进行分片,将一个超过MTU的数据报分为多个不大于MTU的数据报进行发送。接收端收到后再进行组装,形成完整的数据报。在进行分片时,IP通过设置MF标志位为1作为标识是否为最后一个分片。mtu :设置当前接口的最大传输单元限制MTUdisplay current-configuration interface:查看全部接口的配置。
利用wiresharkIP协议及分片分析
04-09
利用wiresharkIP协议及分片分析
wireshark图解ip报文分片
wanggong_1991的博客
01-12 1万+
前言: ip分片如果丢了一片,整个报文都需要重传。所以网络传输都会减少ip分片的概率。tcp用MSS,而udp依靠上层协议,比如tftp。 所以ip分片的报文不太好抓到,故使用两台pc运行vmware虚拟机。一台当client用udp发送4500字节的数据,一台当server接收后再用udp返回4500字节的数据。通过wirewark分析ip分片。最后会把程序附上。 IP头中和分片有关的三个字段,如下图。摘自 《计算机网络》第7版 谢希仁 1.49是客户端,1.50是服务器 ...
Wireshark查看
jingmiaowill的专栏
07-13 758
过滤器 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过滤器 Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. Host(s):可能的值: net, port, host, portrange.
WireShark网络安全之网络层安全-泪滴安全测试IP分片介绍
qq_43776408的博客
06-30 745
MTU最大传输单元是1500字节 一次传不完 所以就要分片传输 IP数据包很大情况下也无法一次性传输 分片<<分组 一个分组包括很多分片 通过wireshark的中的Identification来查看IP分片是否属于同一个分组 若值相同则为同一个分组 偏位移 前3位:标志位 确定是否还有更多的分片 后13位:分片在原始数据的位移 请看下图的Flags 实际数据包的大小:数据包大小-14-20 14:以太网帧 20:IP头 实战:ping4400 下面蓝字 说是第20个数据包传输1480字节(1
使用WireShark抓包分析TCP_IP协议_wiresharkip协议分析
最新发布
2401_87555661的博客
11-12 1667
在(谢希仁编著)这本书中,详细介绍了TCP/IP网络传输涉及的分层,及各个比特的含义。在这篇文章中,我们将使用抓包分析 TCP/IP 协议,用实践来验证理论。
最新Wireshark抓包分析IP协议_捕捉并分析ip数据包
2401_84281720的博客
05-04 1600
作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者「专栏简介」:此文章已录入专栏试验目的:抓包分析IP协议的传输过程和数据分片操作系统:Windows 10 企业版抓包工具:Wireshark 3.6.3。
2024年网络安全最新Wireshark抓包分析IP协议_捕捉并分析ip数据包
2401_84297944的博客
05-01 1789
数据帧的最大传输限制(MTU)是1500字节,我们 ping 的数据包是 3200 字节,会被IP协议分割成三个数据包(1500 + 1500 + 200),刚好对应前面三个请求包;之所以只保存了1480个字段,是因为首部占了20个字节,首部+数据刚好够1500个字节,达到数据帧的上限。TTL是生存时间值,每经过一个路由器时,生存时间值减1,减少为0时,则会丢弃,目的是防止数据包在网络中循环转发,以节约网络资源。Fragment Offset字段的值是0,表示这个数据分片从第0个字节开始保存数据。
解决wireshark抓包校验和和分片显示异常
weixin_30781433的博客
08-16 1687
问题描述: 在使用wireshark抓取报文时,发现从10.81.2.92发过来的报文绝大部分标记为异常报文(开启IPv4和TCP checksum) 分析如下报文,发现http报文(即tcp payload)的长度远远大于实际的mss大小,如下图为4126 查看该报文的ip长度,为4148,远大于Ethernet的mtu 且tcp的校验和有来自wire...
WiresharkIP协议分析.zip
03-11
此文件为*.pcapng格式的文件,可以直接使用Wireshark打开,内含两部分数据包,第一个是IP数据包,第二个是IP数据包分片的部分,可以直接用来进行协议分析
DPDK抓包,libnids包还原(分片,重组)
05-02
DPDK抓包,libnids包还原(分片,重组,协议分析)
通过 wireshark 体验 IP 层分包
HermanOpenGL的专栏
08-30 1366
不管是 TCP 包还是 UDP 包,如果 size 太大,到了 IP 层,都会进行分包处理。 如何才算 size 太大呢?这个跟具体的网络类型有关。 以最常用的以太网为例,允许的最大包 size 为 1500 字节,也就是我们俗称的 MTU(Maximum Transmission Unit)值。 今天我们通过 Wireshark 工具,直观的感受一下 IP 层是如何对 TCP 或者 UDP 包进行分包处理的。 实验环境:两台电脑+网络互通 操作系统:Windows 或者 Linux 均可
使用wireshark抓包分析ICMP拼通与不通,IP分片与不分片,ARP中含对象mac地址与不含时的各层状态
ZHOU_sc的博客
03-28 3022
wireshark分析icmp拼通与不通,ip分片与不分片,ARP中不含mac地址
基于WiresharkIP数据包头中ToS段介绍2-1
hou09tian的博客
08-14 2286
1 ToS简介 IP数据包头结构如图1所示。 图1 IP数据包头部结构 从图1中可以看出,ToS是Type of Sevices的简称,即服务类型。ToS长度是8bit,其含义可以是IP优先级或者DSCP(Differentiated Services Code Point),即差分服务代码点。服务器或交换机根据网络数据包中的ToS的值来提供相应的QoS。 相关链接1 QoS,是Quality of Sevice即服务质量的简称,网络的服务质量包括传输的带宽、传输的延时和数据的丢包率等。 2.
为什么cmd显示1472分片wireshark显示1480分片
m0_52951519的博客
11-10 396
数据包头开销差异 在网络通信中,ping命令发送的数据包大小是指有效负载(数据部分)的大小。当你指定-l 1500字节时,这是数据部分的大小。但是在实际网络传输中,数据包还包含了各种协议头信息。 在 Windows 的cmd中,ping命令发送的 ICMP 数据包考虑了 IP 头和 ICMP 头的开销。IP 头通常是 20 字节,ICMP 头一般是 8 字节,总共 28 字节。所以当你指定数据部分为 1500 字节时,实际的数据包大小(包含头部)是 1500 + 28 = 1528 字节。 而网络
计算机网络实验IP数据报分片,计算机网络实验-使用Wireshark分析IP协议
weixin_33781072的博客
07-27 1312
实验三使用Wireshark分析IP协议一、实验目得1、分析IP协议2、分析IP数据报分片二、实验环境与因特网连接得计算机,操作系统为Windows,安装有Wireshark、IE等软件。三、实验步骤IP协议就是因特网上得中枢。它定义了独立得网络之间以什么样得方式协同工作从而形成一个全球户联网。因特网内得每台主机都有IP地址。数据被称作数据报得分组形式从一台主机发送到另一台。每个数据报标有源IP地...
Wireshark---几个关于分片的问题
m0_37039331的博客
09-15 1604
1.为什么要分片? 目的是为了提高链路的利用率。电路交换的双方要独占链路,所以利用率很低,后来发明了分组交换,将数据分割,分割就需要确定包的大小,即MTU(最大传输单元)。 2.发送方是如何确定分片大小的? 一般发送方是根据自身的MTU来决定分片大小的。 3.接收方是靠什么重组分片的? 包里面有个flag,More fragments=0时,表示他是最后一个分片。 4.TCP是如何避免被发送发分片...
Wireshark捕获IP报文——分片与不分片
热门推荐
weixin_43727680的博客
12-31 1万+
Wireshark捕获IP报文——分片与不分片Wireshark操作一、观察不分片标志对较短IP报文传输的影响Windows命令行提示窗口Wireshark二、观察不分片标志位对较长IP报文传输的影响Windows命令行提示窗口三、将IP报文分片Windows命令行提示窗口Wireshark Wireshark操作 步骤1:在 PC1 上运行 Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将 Wireshark 的 Captrue Filter 设置为“icmp”; 步骤2: PC1
如何使用wireshark抓包IP分片
07-11
Wireshark是一款强大的网络协议分析工具,用于捕获、查看和分析网络数据包。要抓取IP分片的数据包,你需要按照以下步骤操作: 1. **安装并启动Wireshark**:首先确保你在计算机上已经安装了Wireshark,如果没有,可以从其官方网站下载并安装。 2. **设置过滤器**:开始捕包前,设置一个过滤器以便只显示包含IP分片的流量。进入Wireshark的过滤栏,输入`ip.fragment` 或者 `ip frag bits` 这样的表达式,然后点击"Apply"按钮。 3. **选择监听接口**:在Wireshark的顶部菜单,选择"Interfaces",选择你要监听的网络接口,通常是局域网(如eth0)或者无线接口。 4. **开始捕包**:点击"Start"或者双击过滤后的条目开始捕获。这将显示所有符合你设置条件的IP分片数据包。 5. **查看分片信息**:在捕获到的数据包列表中,每个IP分片通常会有标识符,你可以通过检查这些信息判断它们是否属于同一数据流,并尝试重建原始数据。 6. **重组数据**:在某些软件或命令行工具中,如TCPdump的`tcpdump -s0 -w file.pcap && tshark -r file.pcap -z reassembled`,可以对捕获的数据进一步处理,自动重组IP分片
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值