wireshark图解ip报文分片

最新推荐文章于 2024-05-13 08:20:14 发布
最新推荐文章于 2024-05-13 08:20:14 发布
阅读量9k 收藏 52
点赞数 8
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanggong_1991/article/details/112508848
版权

前言:
ip分片如果丢了一片,整个报文都需要重传。所以网络传输都会减少ip分片的概率。tcp用MSS,而udp依靠上层协议,比如tftp。
所以ip分片的报文不太好抓到,故使用两台pc运行vmware虚拟机。一台当client用udp发送4500字节的数据,一台当server接收后再用udp返回4500字节的数据。通过wirewark分析ip分片。最后会把程序附上。

IP头中和分片有关的三个字段,如下图。摘自
《计算机网络》第7版 谢希仁
在这里插入图片描述
1.49是客户端,1.50是服务器
在这里插入图片描述
开始分析*
26到28号分片只有ip头,不带udp头。这三片携带数据总长度为1480 * 3 = 4440。
在这里插入图片描述
26号分片如下:
可得片偏移为0。
在这里插入图片描述
27号分片如下:
可得片偏移为1480,即上一个分片的字节是0-1479。
在这里插入图片描述
28号分片如下:
可得片偏移为2960,即上一个分片的字节是1480-2959。
在这里插入图片描述
可得三片报文的identification字段是一样的,属于同一个ip报文。

再分析29号报文 其携带udp头。
在这里插入图片描述
即只有第一片ip分片才会携带上层头(tcp/udp/icmp)。wireshark显示的问题导致看上去是最后一片才携带上层头,实际上是第一片携带。
在这里插入图片描述
可见其identification字段与上述三片相同,但是MF标志位是0了,表示这是最后一个分片了。

29号数据长度为88-20-8字节udp头 = 60字节。
完整报文长度为上述的4440+60=4500字节。

可从中括号中看到详细的分片情况。中括号表示注释性内容。
【4 IPv4 Fragments (4508 bytes): #26(1480), #27(1480), #28(1480), #29(68)】

可从data这里直接得到完整报文的数据长度为4500字节。
在这里插入图片描述
总结:
分析分片的情况时,只需要看携带上层头的报文片就可以了。

附:tcp避免不了分片的情况。
pc1 <--------router---------> pc2
pc1和pc2用tcp通信,为了避免分片,协商出mss为1460。
可是中间路由器的mtu为576。这时候就避免不了分片了。
因为tcp是端对端的协议,pc1和pc2这两个端点协商mss,中间设备是不参与协商的。
所以说tcp的mss是尽可能的避免分片,而不是完全杜绝分片。

附上udp client和server的程序。

//udp client
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <string.h>

#define N 5000

int main(int argc, const char *argv[])
{
  int sockfd;
  char buf[N] = {0};
  struct sockaddr_in serveraddr;
  FILE *fp = NULL;
  unsigned int len = 0;
  
  if(argc < 3)
  {
    fprintf(stderr,"Usage: %s ip port.\n",argv[0]);
    return -1;
  }
  
  if((sockfd = socket(AF_INET, SOCK_DGRAM, 0))<0)
  {
    perror("fail to socket");
    return -1;
  }
  
  serveraddr.sin_family = AF_INET;
  serveraddr.sin_addr.s_addr = inet_addr(argv[1]);
  serveraddr.sin_port = htons(atoi(argv[2])); //注意atoi
  socklen_t addrlen = sizeof(struct sockaddr);
  
  //提前准备个文本有4500字节的数据
  fp = fopen("./myfile.txt", "r");
  if (!fp)
  {
  	perror("fail to fopen");
    return -1;
  }
  
  len = fread(buf, sizeof(char), 4500, fp); //设读4500字节
	if(!len) {
		fclose(fp);
		perror("fail to fread");
		return -1;
	}
	
	//发4500字节
  sendto(sockfd, buf, 4500, 0, (struct sockaddr *)&serveraddr, addrlen);
  //服务器的sendto写地址了 这里可以省略 收4500字节 
  recvfrom(sockfd, buf, N, 4500, NULL, NULL); 
  printf("From server: %s \n",buf);

  close(sockfd);
  return 0;
}

//udp server
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <arpa/inet.h>
#include <netinet/in.h>
#include <unistd.h>
#include <string.h>
#include <stdlib.h>
#include <string.h>

#define N 5000

int main(int argc, const char *argv[])
{
	int sockfd;
	char buf[N] = {};
	struct sockaddr_in serveraddr,clientaddr;
	
	if(argc < 3)
	{
		fprintf(stderr,"Usage: %s ip port.\n",argv[0]);
		return -1;
	}
	
	if((sockfd = socket(AF_INET,SOCK_DGRAM,0))<0)
	{//第二个参数TCP是SOCK_STREAM,UDP是SOCK_DGRAM
		perror("fail to socket");
		return -1;
	}
	
	serveraddr.sin_family = AF_INET;
	serveraddr.sin_addr.s_addr = inet_addr(argv[1]);
	serveraddr.sin_port = htons(atoi(argv[2]));  //注意atoi
	
	if(bind(sockfd,(struct sockaddr *)&serveraddr,sizeof(serveraddr))<0)
	{
		perror("fail to bind");
		return -1;
	}

	socklen_t addrlen = sizeof(struct sockaddr);

	while(1)
	{
		//接收4500字节
		recvfrom(sockfd, buf, 4500, 0, (struct sockaddr *)&clientaddr, &addrlen);
		printf("From client: %s \n",buf);
		if(0 == strncmp(buf,"quit",4))
		{
			break;
		}

		strcat(buf,"from server...");
		//发送4500字节
		sendto(sockfd, buf, 4500, 0, (struct sockaddr *)&clientaddr, sizeof(clientaddr));
	}
	
	close(sockfd);
	return 0;
}

使用时先开server。
gcc udp_server.c
./a.out server_ip server_port

再开client。
gcc udp_client.c
./a.out server_ip server_port

细雪微凉
关注
  • 8
    点赞
  • 52
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wireshark捕获IP报文——分片与不分片
weixin_43727680的博客
12-31 1万+
Wireshark捕获IP报文——分片与不分片Wireshark操作一、观察不分片标志对较短IP报文传输的影响Windows命令行提示窗口Wireshark二、观察不分片标志位对较长IP报文传输的影响Windows命令行提示窗口三、将IP报文分片Windows命令行提示窗口Wireshark Wireshark操作 步骤1:在 PC1 上运行 Wireshark,开始截获报文,为了只截获和实验内容有关的报文,将 Wireshark 的 Captrue Filter 设置为“icmp”; 步骤2: PC1
利用wiresharkIP协议及分片分析
04-09
利用wiresharkIP协议及分片分析
Wireshark抓包分析IP协议
wangyuxiang946的博客
10-25 1万+
抓包分析IP协议的传输过程和数据分片
Wireshark抓包分析IP协议_捕捉并分析ip数据包
最新发布
2401_84968101的博客
05-13 644
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Wireshark抓包来看IP分片
qq_41866334的博客
07-27 1万+
Wireshark抓包来看UDP协议的分片 文件来自于前几天CyBRICS 2021中的lx100题目,因为做题时候被IP分片坑到了,发现自己对于网络这一块的知识掌握的并不好,所以写一篇文章来理一下。为了省事就直接用比赛的pcap文件做样例了:点击。 UDP/lPv4分片 一般来说我们都知道MTU是1500字节,因此超过1500字节的数据就需要进行ip分片。包含源和目的端口号的UDP头部只出现在第一个分片里,分片IPv4头部中的标识(Identification)、分片偏移(Fragment offie
【网络协议分析】利用Wireshark分析IP分片
qq_41626672的博客
01-29 1931
本次实验主要为利用Wireshark和eNSP软件进行分析IP分片,了解分片的过程。如果当传输数据量超过设置的MTU时,IP就会将数据报进行分片,将一个超过MTU的数据报分为多个不大于MTU的数据报进行发送。接收端收到后再进行组装,形成完整的数据报。在进行分片时,IP通过设置MF标志位为1作为标识是否为最后一个分片。mtu :设置当前接口的最大传输单元限制MTUdisplay current-configuration interface:查看全部接口的配置。
Wireshark查看
jingmiaowill的专栏
07-13 710
过滤器 捕捉过滤器(CaptureFilters) 显示过滤器(DisplayFilters) 捕捉过滤器 Protocol(协议):可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. Host(s):可能的值: net, port, host, portrange.
wireshark里的“TCP segment of a reassembled PDU”
02-14 666
    转:http://blog.csdn.net/rossini23/archive/2010/03/28/5424850.aspx上周在公司里遇到一个问题,用wireshark抓系统给网管上报的数据发现里面有好多报文被标识为“TCP segment of a reassembled PDU”,并且每一段报文都是180Byte,当时看到这样的标识,觉得是IP报文分片,以为系统的接口MTU值为设置小了,通过命令查询发现是1500,没有被重设过,当时有点想不通。    回来查了一下,发现自己的理解是错的,“
IP协议抓包分析 wireshark源文件,包括切片(一文看完IP包分析,附源文件,ppt,操作视频)
Alocus的博客
05-27 2966
一.原理 二.IP包分析 三.TTL字段分析 四.切片分析 五.源文件下载 下载地址:https://download.csdn.net/download/Crystal_remember/19130643 本文链接:
Wireshark---几个关于分片的问题
m0_37039331的博客
09-15 1494
1.为什么要分片? 目的是为了提高链路的利用率。电路交换的双方要独占链路,所以利用率很低,后来发明了分组交换,将数据分割,分割就需要确定包的大小,即MTU(最大传输单元)。 2.发送方是如何确定分片大小的? 一般发送方是根据自身的MTU来决定分片大小的。 3.接收方是靠什么重组分片的? 包里面有个flag,More fragments=0时,表示他是最后一个分片。 4.TCP是如何避免被发送发分片...
WireShark网络安全之网络层安全-泪滴安全测试IP分片介绍
qq_43776408的博客
06-30 683
MTU最大传输单元是1500字节 一次传不完 所以就要分片传输 IP数据包很大情况下也无法一次性传输 分片<<分组 一个分组包括很多分片 通过wireshark的中的Identification来查看IP分片是否属于同一个分组 若值相同则为同一个分组 偏位移 前3位:标志位 确定是否还有更多的分片 后13位:分片在原始数据的位移 请看下图的Flags 实际数据包的大小:数据包大小-14-20 14:以太网帧 20:IP头 实战:ping4400 下面蓝字 说是第20个数据包传输1480字节(1
Wireshark抓包分析TCP协议
weixin_33850015的博客
12-07 1308
  版权声明:本文为作者原创文章,可以随意转载,但必须在明确位置表明出处!!! 之前有一篇文章介绍了http协议「初识http协议」, http协议协议是基于tcp协议的,所以作者觉得有必要针对tcp协议做一个介绍,希望各位读者能够静下心来认真阅读,也可以自己去看看TCP/IP协议详解这本书,一定要让自己成为那20%的人。 TCP(Transmission Control Protoco...
路由器对IP报文分片
betterlord的专栏
10-25 7982
网络协议栈中,各个层次都具有其最大传输单元值(MTU),上层的数据依赖于下层可以容纳的MTU,例如在以太网环境中,帧中允许携带的IP分组最大为1500字节,如果IP分组大小超出网络允许传输数据的最大值,则需要对IP分组进行分片。路由设备针对IP分组进行处理,这里以IP报文为例,说明这一分片过程。 图中,R0到R1的链路所能传输的最大IP分组大小大于R1到R2的链路,这时候路由器R1需要对IP
浅析IP分片原理
wzb56的资料库
01-29 2129
浅析IP分片原理 IP分片是网络上传输IP报文的一种技术手段。IP协议在传输数据包时,将数据报文分为若干分片进行传输,并在目标系统中进行重组。 不同的链路类型规定有不同最大长度的链路层数据帧,称为链路层MTU(最大传输单元)。 常见以太网的MTU为1500,若IP协议在传输数据包时,IP报文长度大于转发接口的MTU,则将数据报文分为若干分片进行传输,分片报文到达接收方时,由接
计算机网络实验IP数据报分片,计算机网络实验-使用Wireshark分析IP协议
weixin_33781072的博客
07-27 1124
实验三使用Wireshark分析IP协议一、实验目得1、分析IP协议2、分析IP数据报分片二、实验环境与因特网连接得计算机,操作系统为Windows,安装有Wireshark、IE等软件。三、实验步骤IP协议就是因特网上得中枢。它定义了独立得网络之间以什么样得方式协同工作从而形成一个全球户联网。因特网内得每台主机都有IP地址。数据被称作数据报得分组形式从一台主机发送到另一台。每个数据报标有源IP地...
IP分片实例分析
liufuliang163的专栏
06-05 4857
IP分片实例分析 引言 最近公司要研发一款用于链路通信加密的设备,使用祖冲之算法对OSI七层中的数据链路层数据进行流式加密,在设计技术方案时,发现一个问题,就是广域网上传输的数据包都是有最大长度限制的,对TCP数据包是MSS(最大分段长度), 对UDP数据包是MTU(最大传输单元),而对于我们的项目,TCP的分段不用特殊处理,而IP分片需要在加密设备端主动分片,并且满足IP的包格式。UDP不会分段,就由IP分片;TCP会分段,就不用IP分片IP分片 下面...
【作业】IP数据分片原理——观察报文,理解意义
iHUQAQ的博客
11-10 283
一,配置基础 配置IP 打开路由器的CIL 键入以下代码 enable configure terminal interface gigabitEthernet 0/0 ip address 10.1.1.1 255.255.255.0 no shutdown exit interface gigabitEthernet 0/1 ip address 10.2.2.1 255.255.255.0 no shutdown exit 可以用show interfaces gigabitEthernet
IP分片原理及分析
wzb56的资料库
05-19 2339
这是一片关于IP分片的论文,转自网上,分享大家! 关键字:IP分片,MTU,MSS 引言 分片是分组交换的思想体现,也是IP协议解决的两个主要问题之一。在IP协议中的分片算法主要解决不同物理网络最大传输单元(MTU) 的不同造成的传输问题。但是分组在传输过程中不断地分片和重组会带来很大的工作量还会增加一些不安全的因素。我们将在这篇小论文中讨论IP分片的原因、原理、实现以及引起的安全问题。
wireshark捕获IP分片数据包实践
热门推荐
实践求真知
04-06 2万+
一 简介如果一个数据包超过1500个字节,就需要将该包进行分片发送。通常情况下,是不会出现这种情况的。下面通过使用ICMP包,来产生IP分片数据包。使用ICMP包进行测试时,如果不指定包的大小,可能无法查看被分片的数据包。由于IP首部占用20个字节,ICMP首部占8个字节,所以捕获ICMP包大小最大为1472字节。但是一般情况下,ping命令默认的大小都不会超过1472。这样,发送的ICMP包就可...
wireshark 分片报文
12-16
Wireshark 是一款开源的网络封包分析软件,它可以帮助用户对网络流量进行抓包和分析。当我们在使用 Wireshark 进行网络数据捕获时,有时会遇到分片报文分片报文是指在网络传输过程中,由于网络链路或设备限制,原始的数据报文可能需要分成多个较小的片段进行传输。这种分片的操作是由发送端设备根据网络链路的 MTU(最大传输单元)进行分割的。 在 Wireshark 中,我们可以通过一些特殊的设置来观察和分析这些分片报文。当我们在捕获网络数据时,Wireshark 会将这些分片报文按照 IP 协议的分片机制进行重组,以便我们能够更好地理解和分析。 通过 Wireshark,我们可以观察到分片报文的相关信息,如源 IP 地址、目的 IP 地址、分片标识符、偏移量、原始数据长度等。这些信息有助于我们分析网络链路的传输状况和效率,并检查网络设备是否正确地处理和重组这些分片报文。 此外,Wireshark 还提供了一些过滤器和统计功能,可以帮助我们筛选和分析分片报文。我们可以使用过滤器来查看特定的分片报文,可以根据偏移量等字段来排序和统计分片报文的数量和大小。 总的来说,Wireshark分片报文的分析中提供了很好的支持。通过分析分片报文,我们可以深入了解网络传输过程中可能遇到的问题,并确保网络数据的完整性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值