TCP/IP协议数据报结构详解(1)

TCP/IP协议中各层的数据报结构是一个比较抽象的内容，大家在日常学习过程中往往难以理解和掌握,常常是死记硬背把它记住了事。

本文首先利用Sniffer工具捕获了FTP命令操作过程中的所有数据包，然后对Sniffer工具中捕获的每一部分数据包的含义进行了详细的阐述，最后总结归纳出TCP/IP协议中网络接口层、网络层、传输层的数据报文结构，从而使大家加深对TCP/IP协议各层数据报结构的理解和掌握。

一、捕获FTP命令底层数据包

1、搭建网络环境。建立一台FTP服务器，设置IP地址为：76.88.16.16。建立一台FTP客户端，IP地址设为76.88.16.104，在其上安装Sniffer软件。将这两台设备通过集线器连接起来。

2、定义过滤器。在FTP客户端上运行Sniffer软件，进入系统，点“Monitor”－“Matrixa”，选中本机，点鼠标右健，选择“Define Filter…”，在“Define Filter…”窗口，点“Advanced”，选择IP->TCP->FTP，点“确定”，即已定义好过滤器，如图1所示。

图１

3、捕获FTP命令数据包。首先，在Sniffer中选择“Monitor”－“Matrix”，点击“Capture”命令开始捉包。然后，在FTP客户端上进入DOS提示符下，输入“FTP76.88.16.16”命令，输入FTP用户名和口令，登录FTP服务器，进行文件的下载，最后输入“bye”命令退出FTP程序，完成整个FTP命令操作过程。最后，点击Sniffer中的“停止捕捉”，选择“Decode”选项，完成FTP命令操作过程数据包的捕获，并显示在屏幕上。

下面对Sniffer捕获的底层数据包进行详细的介绍。

二、网络接口层DLC帧结构详解

图２

如图2所示，在Sniffer捕获的DLC数据帧中依次包括以下信息：

目的MAC地址Destination＝GigTecAAD4A3，源MAC地址Source＝000C295264C2，以太网类型Ethertype＝0800(IP)，8表示为以太网。

通过上述分析，可以得出DLC帧结构为：

图３

如图3所示，IP数据报中依次包括以下信息：

1、Version＝4，表示IP协议的版本号为4。该部分占4个BIT位。

2、Header Length=20 Bytes，表示IP包头的总长度为20个字节。该部分占4个BIT位，单位为4个字节，因此，一个IP包头的长度最长为“1111”，即15＊4＝60个字节。

3、Type of Service=00，表示服务类型为0。该部分用二个十六进制值来表示，共占8个BIT。

8个BIT的含义是：

000 前三位不用

0 表示最小时延，如Telnet服务使用该位

0 表示吞吐量，如FTP服务使用该位

0 表示可靠性，如SNMP服务使用该位

0 表示最小代价

0 不用

4、Total Length=48Bytes,表示该IP包的总长度为48个字节。该部分占16个BIT，单位为Byte。由此可见，一个IP数据包的最大长度为2的16次方减1，即：65535个字节。因此，在以太网中能够传输的最大IP数据包为65535个字节。

5、Identification=363，表示IP包识别号为363。该部分占16个BIT，以十进制数表示。

6、Flags，表示片标志，占3个BIT。各位含义分别为：第一个“0”不用，第二个“0”为分片标志位，“1”表示分片，“0”表示不分版本。第三个0为是否最后一片标志位，0表示最后一片，1表示还有更多的片。

7、Fragment Offset＝0，表示片偏移为0个Bytes。该部分占13个BIT。

8、Time to Live=128Secongs/Hops，表示生存时间TTL值为128。该部分占8个BIT。

9、Proctol＝6（TCP），表示协议类型为TCP，协议代码是6。如果是UDP协议，则此处的协议代码应为17。如果是ICMP协议，则此处的协议代码应为1。该部分占8个BIT。

10、Header Checksun=4035(correct)，表示IP包头校验和为4035，括号内的Correct表示此IP数据包是正确的，没有被非法修改过。该部分占16个BIT，用十六进制表示。

11、Source Address=[76.88.16.104]，表示IP数据包源地址为：76.88.16.104。该部分占32个BIT。

12、Destination Address=[76.88.16.16],表示IP数据包目的地址为：76.88.16.16。该部分占32个BIT。

13、No Options，表示IP数据包中未使用选项部分。当需要记录路由时才使用该选项。