Wireshark TS | Fragment Offset 疑问

已于 2024-07-20 11:10:15 修改
阅读量1.2k 收藏 7
点赞数 2
分类专栏: NetShark 文章标签: wireshark tcp/ip 网络协议 网络 tcpdump
于 2022-06-13 08:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47627078/article/details/125253243
版权

问题背景

来自于群友的一个关于 IP 数据报分片的软考问题,主要如下,答案是 B 和 A。

假设一个IP数据报总长度为4000B,要经过一段MTU为1500B的链路,该IP数据报必须经过分片才能通过该链路。该原始IP数据报需被分成( )个片,若IP首部没有可选字段,则最后一个片首部中Ofiset字段为( )。
(1) A.2 B.3 C.4 D.5
(2) A.370 B.740 C.1480 D.2960

主要是第 2 个答案,以前研究 IPv4 Fragment Offset 的时候,自己也都是以实际数据帧长度像是 2960 字节理解,但仔细翻了下 RFC 文档发现并不是这样,研究了下还发现了一个 Wireshark 的问题,简单记录下。


问题分析

测试方式

简单在 Windows 主机上 ping 大包,ICMP 数据字段为 3992 字节,加上 ICMP 首部 8 字节,总长度为 4000 字节,同时进行了 Wireshark 抓包。

$ ping -l 3992 www.baidu.com

正在 Ping www.a.shifen.com [180.101.49.11] 具有 3992 字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。

180.101.49.11 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 0,丢失 = 4 (100% 丢失)

此处可忽略 ICMP 数据包分片带来的不通现象,为安全策略管控导致。


基础分析

数据帧1 和 数据帧 2

14 字节 ( Ethernet II 首部长度 ) + 20 字节 ( IPv4 首部长度 ) + 1480 字节(Data 长度) = 1514 字节

FO-01

数据帧3

14 字节 ( Ethernet II 首部长度 ) + 20 字节 ( IPv4 首部长度 ) + 1040 字节(Data 长度) = 1074 字节

FO-02

ICMP 1480+1480+1040 = 4000 字节 ,也就是分成了 3 片,数据帧 1 off = 0,数据帧 2 off = 1480,数据帧 3 off = 2960 。

FO-03

理论上这样分析下来貌似没什么问题,包括数据帧 3 所显示的 2 进制 0 1011 1001 0000 确实就是十进制 2960,16 进制应该是 0b 90 ,但是 wireshark 显示却是 01 72 ,哪一处出了问题???

查询了 RFC 791 ,引用如下:

Fragment Offset: 13 bits
This field indicates where in the datagram this fragment belongs.The fragment offset is measured in units of 8 octets (64 bits). The first fragment has offset zero.


fragment offset 的单位是 8 字节,8 字节的由来?

首先又要从 IPv4 首部 Total Length 说起。因为 Total length 长度是 16 bit,能表示的最大值就是 2 的 16 次方,以 1 字节为单位,意味着 IPv4 数据包最大长度可能是 65536 字节,而 fragment offset 设计只有 13 bit,能表示的最大值也就是 2 的 13 次方,只能表示出 8192 ,所以定义了以 8 字节为单位,这样分片偏移量最大就能表示出 65536 字节。

FO-04

所以数据帧 3 正确显示的 2 进制应该是 0 0001 0111 0010 , 十进制值应该是 370 ,16 进制就是 01 72所以目前的 Wireshark 版本(Version 3.6.3) 在此处二进制的值显示会有些问题,有歧义~

…0 1011 1001 0000 = Fragment Offset: 2960 x
…0 0001 0111 0010 = Fragment Offset: 370 √

这个逻辑不知道 Wireshark 是如何定义的,把原始数据包的二进制直接给左移了3位,所以这个值算出来的十进制直接就是 2960, 就是为了在分组细节中显示真实偏移长度嘛???


进一步分析

为了验证这个问题,同样的数据包在科来中显示如下,数据帧 3 的二进制就是 0 0001 0111 0010 ,后面会显示提示 2960 偏移字节,完全正确~

FO-05

然后又翻查了 Wireshark 版本注释,并做了老版本的验证,发现在 Version 3.0.5 之前就都是 370 ,而到了 Version 3.0.6 开始之后就都变成了 2960 。。。。

Wireshark 3.0.6 Release Notes
https://www.wireshark.org/docs/relnotes/wireshark-3.0.6.html


Updated Protocol Support
AgentX, BT L2CAP, ERSPAN, GRE, IPv4, IS-IS, NAS 5GS, OpcUa, SNMP, and SRT
可能就在 IPv4 这一笔带过了。。。

FO-06

FO-07


总结

🤣 软考好难,要是我真碰到肯定就挂了,嗨,基础知识不牢靠。。


感谢阅读,更多技术文章可关注个人公众号:Echo Reply ,谢谢。
如何使用AMR M分析rtp流中的amr语音
笔者从事电信媒体开发多年,愿意将多年的开发经验分享给同行
12-23 2244
进行媒体服务器开发,经常要分析RTP中的媒体流,用来确定通话中是否存在问题。通过tcpdump抓取网卡包,用wireshark可以打开网卡包,对于pcma或pcmu的语音包可以播放,但是对于amr格式的抓包却无法播放。 采用wireshark剥离出raw文件,用amr master的pyton脚本工具将raw文件转出amr文件,用vlc player进行播放。这是目前为止发现的一个比较有效播放amr的工具组合。希望该问对于从事媒体通信的同行有起到帮助。
winpcap编程实现自动过滤FTP用户名及密码
Q1n6
12-15 3399
Wireshark提供了许多Filter Expression,我们可以很轻松的过滤出FTP的用户名和密码。请看下图 Filter Expression为ftp.request.command=="USER" or ftp.request.command=="PASS"。具体为什么查找FTP连接的建立过程,而且点击Expression之后可以看到wireshark封装了许多过滤规则。Wi
TCP/IP 笔记】IPv4-03 | 数据报分片 (Fragmentation) 和重组 (Reassembly)
Cody's Blog
02-03 3673
参考 <The TCP/IP Guide> http://tcpipguide.com 文章目录概述MTU (Maximum Transmission Unit) 和数据报碎片多次分片分片过程有关报头字段Total LengthIdentificationMore FlagmentsFragment OffsetCopied FlagDF Flag重组过程 概述 MTU (Maxi...
关于数据包分析中Fragment offset(分片偏移)字段的十六进制码解读
weixin_33739646的博客
05-05 7968
学习数据包分析时遇到如题所述的困惑,GOOGLE&白度无果。看了RFC791对fragment offset字段的描述后经思考计算才明白。希望对有同样困惑的童鞋有所帮助。下面从截图开始说明:如图,灰底的Fragment offset:1480那行对应的十六进制码是蓝底的0X20b9,刚开始很疑惑为何十进制的1480对应的是0x20b6,怎么算都不对啊,不知道读...
Wireshark实验
weixin_48720671的博客
12-22 1739
Wireshark实验实验准备数据链路层实作 实验准备 请自行查找或使用如下参考资料,了解 Wireshark 的基本使用: - 选择对哪块网卡进行数据包捕获 - 开始/停止捕获 - 了解 Wireshark 主要窗口区域 - 设置数据包的过滤 - 跟踪数据流 ???? 参考 1. 官方文档 https://www.wireshark.org/docs/wsug_html/ 2. Wireshark抓包新手使用教程 https://www.cnblogs.com/linyfeng/p/949612
报文分析笔记---常见wireshark报文标记
海渊_haiyuan的博客
08-09 1万+
文章目录报文分析笔记---常见wireshark报文标记Fragmented IP protocolPacket size limited during captureTCP Previous segment not capturedTCP ACKed unseen segmentTCP Out-of-OrderTCP Dup ACKTCP Fast RetransmissionTCP Spurious RetransmissionTCP RetransmissionTCP zerowindowTCP wi
IP 分片机制 | 分片偏移量计算
最新发布
u013669912的博客
05-28 8993
C++ 获取网卡和OA账号密码 (wireshark
lin_________的博客
08-26 382
#pac_ana.h #ifndef _PAC_ANA_H #define _PAC_ANA_H #ifdef _MSC_VER /* * we do not want the warnings about the old deprecated and unsecure CRT functions * since these examples can be compiled under *nix as well */ #define _CRT_SECURE_NO_WARNINGS #endi...
调用wireshark(二):调用协议解析器
dengdi8115的博客
05-11 1440
上文【调用wireshark(一):初次尝试http://www.cnblogs.com/zzqcn/archive/2013/05/11/3072362.html】已经介绍了调用wireshark的原理,并给出一个简单示例。本文要给出真正调用wireshark协议解析函数的方法和代码。 本文的讨论和代码基于wireshark 1.8.4版本。 涉及到的函数与数...
python十六进制转pcap文件_PCAP文件格式分析(做抓包软件之必备)
weixin_28687415的博客
01-29 1245
转载源:http://blog.csdn.net/anzijin/article/details/2008333http://www.ebnd.cn/2009/09/07/file-format-analysis-of-wireshark-pcap/前段时间因工作要求,需要对各种数据包进行分析和操作,内容涉及网路协议分析,socket,文件操作等。在此分享下学习和实践的经验。首先介绍下网络抓包、协...
wireshark简易抓包分析——ping指定大小包长多28Byte
krokodil98的博客
09-21 5678
测试ping时会发现一个现象:在指定ping包长度后,实际发出的包总长=指定ping包长度+28。
TCP/IP协议专栏——分片报文详解——网络入门和工程维护必看
weixin_44081384的博客
09-02 1万+
> 一般来说我们都知道MTU是1500字节,因此超过1500字节的数据就需要进行ip分片。 > 包含源和目的端口号的UDP头部只出现在第一个分片里, > 分片由IPv4头部中的标识(Identification)、分片偏移(Fragment offiet)和更多分片(More Fragments, MF)字段控制。
详述IPV4数据包结构
m0_59952621的博客
08-25 1286
对IPV4数据包结构的一个简略叙述
网络Wireshark对远程主机抓包|过滤|原理
小鱼菜鸟的博客
10-04 2300
目录 对远程Linux主机进行抓包 对Windows主机抓包 过滤 1.过滤IP,如来源IP或者目标IP等于某个IP 2.过滤端口 3.过滤协议 4.过滤MAC 5.包长度过滤 6.http模式过滤 7.TCP参数过滤|过滤标志 SYN|RST|ACK…… 8.包内容过滤 9.dns模式过滤 10.DHCP 11.msn 1...
软考网络工程师 第六章 第二部分 第二节 IP分片与计算
qq_60012881的博客
04-30 1083
假设设一个IP数据报总长度为3000B,要经过一段MTU为1500B的链路,该IP数据报必须经过分片才能通过该链路。IP数据报的分段和重装配要到报文头部的报文ID、数据长度、段偏置值和M标志4个字段,其中(段偏置值)的作用是指示每一段在原报文的位置、若某个段时原报文的最后一个分段,其(M标志)值为“0”假设一个数据段的长度为4000B,要经过一段MTU为1500B的链路,该IP数据报必须经过分片才能通过该链路,以下关于分片的叙述中,正确的是(D)C.数据报需分为三片,这三片的每长度为4000B。
wireshark过滤器使用
qq_41846013的博客
03-23 824
转载自https://blog.csdn.net/cumirror/article/details/7054496 首先要注意,如果你是使用localhost或者127.0.0.1进行测试的,流量是不经过电脑网卡的,所以WireShark无法抓包,如果想抓取本地的包,参考WireShark如何抓取本地localhost的包 Wireshark 基本语法,基本使用方法,及包过滤规则: 1.过滤IP,如来源IP或者目标IP等于某个IP 例子: ip.src eq 192.168.1.107 or ip.dst
Wireshark网络分析实战笔记(一)抓包过滤器
weixin_33725272的博客
07-07 316
抓包过滤器和显示过滤器的差别: 1.抓包过滤器配置在抓包之前,wireshark仅仅抓取抓包过滤器过滤的数据 2.显示过滤器配置在抓包后,wireshark已经抓取全部的数据包,显示过滤器让wireshark仅仅显示想看的数据包 抓包过滤器的配置方法: 1.在主页面的...using this filter中输入表达式(点击文本框前面的黄色butto...
[协议分析] IP分片(碎片)重组简单概念
热门推荐
科技追踪者的专栏
10-09 1万+
链路层具有最大传输单元MTU这个特性,它限制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的MTU是1500,可以用 netstat -i 命令查看这个值。如果IP层有数据包要传,而且数据包的长度超过了MTU,那么IP层就要对数据包进行分片(fragmentation)操作,使每一片的长度都小于或等于MTU。我们假设要传输一个UDP数据包,以太网的MTU为1500字节,一般IP首部为20
wireshark抓包中的mpeg ts
01-11
Wireshark 是一款开源的网络数据包分析工具,可以...总之,Wireshark 可以帮助用户对 MPEG-TS 数据包进行深入的分析和监测,使用户可以更好地了解和掌握网络中 MPEG-TS 数据的传输情况,有助于网络故障排查和性能优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值