IP数据包指的是什么？

完全依赖于你的觉悟，数据包监测既是一个重要的管理工具，也可以成为一项邪恶的黑客技 术。

事实上，它两者皆是，一个好的数据包监测软件通常可以在网络管理和黑客技术工具包中同时找到。

黑客可以用数据包监测软件监听互联网，并且追踪一些敏感数据的交换如登录对话和财经交 易。

网络管理员可以用数据包监测软件检测错误布线，损坏的数据包和其它网络问题。

在本文中，我们覆盖了开始进行数据包监测需知的所有内容，而没有涉及太多阴暗面。

通过 一个最流行工具软件的实例，你将学习到在TCP/IP网上四处监听的基本技术。

文中阐述较为 详细，以帮助你理解在查看数据包时确实能看到什么，并且介绍了IP欺骗技术。

当然，我们 也提供了一个更多网络资源的列表以满足你所有监听的需要。

一、什么是数据包监测？数据包监测可以被认为是一根窃听电话线在计算机-网络中的等价物。

当某人在“监听”网络 时，他们实际上是在阅读和解释网络上传送的数据包。

如果你在互联网上，正通过其它计算机发送数据。

发送一封电子邮件或请求下载一个网页都 会使数据通过你和数据目的地之间的许多计算机。

这些你传输信息时经过的计算机都能够看 到你发送的数据。

数据包监测工具允许某人截获数据并且查看它。

互联网和大多数数据网络一样，通过从一个主机发送信息数据包到另一个主机来工作。

每个> 数据包包含有数据本身和帧头，帧头包含数据包的信息如它的目的地和来源。

数据包的数据 部分包含发送到网络的信息——它可能是电子邮件，网页，注册信息包括密码，电子商务信 息包括信用卡号码，和其它一切网络上流动的东西。

基于TCP/IP协议的互联网采用的体系结构是以太网，它的特点是把所有的数据包在网络中广 播。

网络为大多数计算机提供的接口是一个内置的以太网卡（也叫做网卡或NIC）。

这些接口卡 默认提取出目标地址和自己的网卡地址一致的数据包而过滤掉所有其它的数据包。

然而，以 太网卡典型地具有一个“混合模式”选项，能够关掉过滤功能而查看经过它的所有数据包。

这个混合模式选项恰好被数据包监测程序利用来实现它们的监听功能。

防火墙完全不能阻止数据包被监测。

虚拟个人网络（VPN）和加密技术也不能阻止数据包被监测 ，但能使它的危害小一点。

要知道许多密码在网络上传输时是不加密的，有时即使已经加密 ，也不能挫败一个数据包监测工具侵入系统的企图。

一个寻找登录序列和监听加密口令的入 侵者并不需要破译口令为自己所用，而只需要依赖未经授权的加密版。

对于需要高度安全的系统，一个和数据包监测技术妥协的保护密码的最好措施是执行“使用 一次即更改”的密码方案——所以即使是一个不道德的黑客可能监测了登录序列，密码在下 一次试验时就不起作用了。

二、用什么监测实际上有几百种可用的数据包监测程序，许多结合起来破译和扫描特定类型的数据并被专门 设计为黑客的工具。

我们在这里不讨论任何寻找密码或信用卡号的工具，但它们确实存在。

这类工具经常有内置的协议分析程序，它能够帮助翻译不同网络协议的数据包，而不是提供 原始的数字数据。

一个最古老也最成功的数据包和网络分析产品是由WildPackets （以前的AG 组）出品的Ether Peek。

EtherPeek已经存在了10年，堪称互联网时代真正的恐龙。

他们提供Windows版 和Mac intosh版，每个都具有网络管理员-导向的价格。

这个工具软件开始只是一个网络分析器型的 数据包监测软件，经过这些年的发展已经成为一个真正的网络管理工具并具有网站监视和分 析等新的功能。

在他们的网站有一个演示版，想要试验的人可以去下载。

另一个能够监视网络活动捕获和分析数据包的程序是TamoSoft的CommView。

这个流行的监测 程序显示网络连接和IP统计数字，能够检查单独的数据包，通过对IP协议TCP, UDP，和 ICMP 的完全分析解码到最低层。

完全访问原始数据也只需要花费一个非常友好的价格9（或者 是以更低的价格获得个人许可证，它只能捕获发送到你的PC的数据包）。

TamiSoft的网站同 样提供一个可以下载的演示版。

如果你运行微软的Windows NT Server，将不必买任何东西——它有一个内置的数据包监测程 序叫做网络监视器。

要访问它，进入网络控制面板，选择服务标签，点击添加并选择网络监 视工具和代理。

一旦它已经安装你就可以从程序菜单下的管理工具中运行网络监视器。

三、如何监测好了，现在你的手头至少有一个流行的数据包监测软件的测试版了，我们要开始研究事情的 真相了，看一看我们实际上能从这些数据包中学到什么。

本文将以Tamisoft的CommView为例 。

但同样的概念和功能在其它的数据包监测产品中也很容易适用。

开始工作以前，我们需要打开监测功能，在CommView中通过从下拉菜单中选择网络适配器， 然后按下开始捕获按钮，或从文件菜单中选择开始捕获。

如果发生网络阻塞，你应该立即看 到一些行为。

CommView和大多数数据包监测软件一样，有一个显示IP网络信息的屏幕和一个显示数据包数 据的屏幕。

在默认方式下你将看到IP统计页。

你应该能够在你的浏览器中输入一个URL，或检 查你的e-...

IP数据包格式是什么？

那要从 OSI七层模型 开始说了 经过OSI七层模型的数据要经历数据的封装（打包）和解封装（解包）过程，封装过程是将原数据从高层向低层传递的过程，每经过一层都需要加上该层的报头信息，解封装过程是从低层向高层传递的过程，每经过一层都需要将对等层的报头去掉还原为上层数据。

第一层：物理层：处于最底层，为上层提供物理连接，负责传送二进制比特流，在物理层中定义了机械特性（连接器形式和插针分配），电气特性（接口电路参数），功能特性（物理接口的信号线）和规程特性（信号线操作规程），传输介质可以使用有线介质或无线介质，物理层传输二进制比特流，为数据链路层提供物理连接。

物理层的典型设备有：集线器 第二层：数据链路层，链路的管理，流量的控制，差错控制，数据以数据帧格式传输的，数据帧包含帧头（H2）和帧尾（T2） MAC（介质访问控制），48位二进制组成，为了方便表示使用十六进制表示，网卡上的MAC地址是物理地址，在生产网卡时就内置在网卡的ROM（只读存储器）芯片中了，不能修改，但是可以伪造（网卡属性中），为了表示网卡的全球唯一性，将MAC地址表示的48位二进制地址分为2部分，前24位表示厂商代号，后24位表示厂商内部代号，MAC地址相同的计算机不能够相互通信。

网桥，二层交换机，网卡都工作在数据链路层 第三层：网络层，提供统一的寻址方案，完成分组的独立路由选择，网络层数据以数据包传输。

路由器工作在网络层，实现路径的选择，通过路由表中的路由表项，（直连路由，路由器自己接口所在的网络形成的路由表），（静态路由，管理员手工添加路由信息添加的路由表），（动态路由，路由器通过相互的路由学习，得到的路由表），路由器可以实现网络分段。

网络层使用的协议：X.25分组包交换协议；IP协议（网际互连协议）；IPX协议（网间包交换协议） 第四层：传输层，向上提供标准传输服务，向下屏蔽不同通信子网，属于OSI模型中的中间层，传输层中传输数据段，提供端到端服务，向高层屏蔽低层细节问题。

第五层：会话层，建立和维持会话，使会话同步。

第六层：表示层，解决了异种机之间的编码转换和表示，以便进行互操作，加密和压缩功能。

第七层：应用层，为用户的应用进程访问提供环境，负责整个网络应用程序一起很好工作。

例：一封电子邮件从发送端到接收端，首先发送者编辑好电子邮件，在应用层和表示层将数据转换为字符，到达传输层变成数据段，到达网络层转换为数据包，到达数据链路层转换为数据帧，再到达物理层转换为二进制比特流，在接收方进行相反的操作还原原始数据 分层优势： 降低协议设计复杂性并标准化了接口方便网络模型设计，提供了互操作，简化学习和教学最终能够使不同厂商生产的设备有共同的标准使它们相互兼容，加速了网络技术的发展 层次划分的基本原则： 网络各个结点都有相同层次，且相同层次执行相同功能，相临层次通过接口层通信，每一层向上提供服务，并接受下层所提供的服务，不同结点的同等层次按照协议实现对等层次之间的通信

IP数据包的长度特点是什么？

TCP/IP协议定义了一个在因特网上传输的包，称为IP数据包，而IP数据报（IP Datagram）是个比较抽象的内容，是对数据包的结构进行分析。

由首部和数据两部分组成，其格式如图所示。

首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。

在首部的固定部分的后面是一些可选字段，其长度是可变的。

首部中的源地址和目的地址都是IP协议地址。

固定部分 （1）版本 占4位，指IP协议的版本。

通信双方使用的IP协议版本必须一致。

目前广泛使用的IP协议版本号为4（即IPv4）。

关于IPv6，目前还处于草案阶段。

（2）首部长度 占4位，可表示的最大十进制数值是15。

请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。

当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。

因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。

首部长度限制为60字节的缺点是有时可能不够用。

但这样做是希望用户尽量减少开销。

最常用的首部长度就是20字节（即首部长度为0101），这时不使用任何选项。

（3）区分服务 占8位，用来获得更好的服务。

这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。

1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。

只有在使用区分服务时，这个字段才起作用。

（4）总长度 总长度指首部和数据之和的长度，单位为字节。

总长度字段为16位，因此数据报的最大长度为2^16-1=65535字节。

在IP层下面的每一种数据链路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU(Maximum Transfer Unit)。

当一个数据报封装成链路层的帧时，此数据报的总长度（即首部加上数据部分）一定不能超过下面的数据链路层的MTU值。

（5）标识（identification） 占16位。

IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。

但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。

当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。

相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

（6）标志（flag） 占3位，但目前只有2位有意义。

● 标志字段中的最低位记为MF(More Fragment)。

MF=1即表示后面“还有分片”的数据报。

MF=0表示这已是若干数据报片中的最后一个。

● 标志字段中间的一位记为DF(Don't Fragment)，意思是“不能分片”。

只有当DF=0时才允许分片。

（7）片偏移 占13位。

片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。

也就是说，相对用户数据字段的起点，该片从何处开始。

片偏移以8个字节为偏移单位。

这就是说，除了最后一个分片，每个分片的长度一定是8字节（64位）的整数倍。

（8）生存时间 占8位，生存时间字段常用的的英文缩写是TTL(Time To Live)，表明是数据报在网络中的寿命。

由发出数据报的源点设置这个字段。

其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。

最初的设计是以秒作为TTL的单位。

每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。

若数据报在路由器消耗的时间小于1秒，就把TTL值减1。

当TTL值为0时，就丢弃这个数据报。

后来把TTL字段的功能改为“跳数限制”（但名称不变）。

路由器在转发数据报之前就把TTL值减1.若TTL值减少到零，就丢弃这个数据报，不再转发。

因此，现在TTL的单位不再是秒，而是跳数。

TTL的意义是指明数据报在网络中至多可经过多少个路由器。

显然，数据报在网络上经过的路由器的最大数值是255.若把TTL的初始值设为1，就表示这个数据报只能在本局域网中传送。

（9）协议 占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。

（10）首部检验和 占16位。

这个字段只检验数据报的首部，但不包括数据部分。

这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和（一些字段，如生存时间、标志、片偏移等都可能发生变化）。

不检验数据部分可减少计算的工作量。

（11）源地址 占32位。

（12）目的地址 占32位。

可变部分 IP首部的可变部分就是一个可选字段。

选项字段用来支持排错、测量以及安全等措施，内容很丰富。

此字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。

某些选项项目只需要1个字节，它只包括1个字节的选项代码。

但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0的填充字段补齐成为4字节的整数倍。

增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。

这就增加了每一个路由器处理数据报的开销。

实际上这些选项很少被使用。

新的IP版本IPv6就将IP数据报的首部长度做成固定的。

目前...

IP数据包的格式

一个IP数据报由首部和数据两部分组成。

首部的前一部分是所有IP数据报都必须包含的20字节固定长度，后面是一些可选字段。

其中20字节的固定长度包括4位的版本号，4位的首部长度，8位的区分服务，16位的数据报总长度，16位的标识，3位的标志，13位片偏移，8位生存时间，8位协议，16位首部检验和，32位源地址和32位目的地址。

希望能帮到你，好运！...

IP协议给每个数据包的意思是什么？

当一个数据包进入路由器： 1、拆去二层帧头； 2、进入缓冲区； 3、查看目标地址（匹配路由表）； 4、重新封装二层帧头； 5、转发。

二、Switching Process: 1、Check framing and buffer packet； 查看二层帧，进行CRC校验，层三的数据和头部进入缓冲区（buffer）; 2、Check routing table； 查路由表，从buffer中拿出目标IP和路由表进行匹配（与运算）； 3、Re-Encapsulation layer 2 header； 重新封装二层帧头； 注： （1）二层帧头包括源MAC地址和目标MAC地址。

（2）此时的二层帧头的源MAC已经变为路由器出接口的地址。

4、Forwarding from one local interface； 转发（从一个本地接口封装）；...