一般来说，网络编程我们只需要调用一些封装好的函数或者组件就能完成大部分的工作，但是一些特殊的情况下，就需要深入的理解

网络数据包的结构，以及协议分析。如：网络监控，故障排查等……

 

IP包是不安全的，但是它是互联网的基础，在各方面都有广泛的应用。由IP协议衍生的协议族有10数种（据我所知），以后还会出现

更多的基于IP的协议…

 

先从实际出发吧！

一般我们在谈上网速度的时候，专业上用带宽来描述，其实无论说网速或者带宽都是不准确的，呵呵。比如：1兆，512K……

有些在学校的学生，也许会有疑问，明明我的业务是1M，为什么下载速度到100K就飙不上去了？512K的为什么50多K就封顶了？…

 

这里所说的1M是指1Mbps = 1 Million Bits Per Second，也就是1M比特每秒，即一秒钟传输1048576个二进制位。我们知道一个字节

是8个二进制位。

好，又来问题了。即便这样子，1M=1048756÷8=131072÷1024=128K。那也应该有128K啊，为什么下载速度还是很少到120K，

110K都谢天谢地了。看完本文，你的帐就对了……

 

IP数据包结构：

http://hi.csdn.net/attachment/201109/8/0_131549627162sy.gif

如图，一个刻度表示1个二进制位（比特）。

1-1.版本4位，表示版本号，目前最广泛的是4=B1000，即常说的IPv4；相信IPv6以后会广泛应用，它能给世界上每个纽扣都分配

       一个IP地址。

1-2.头长4位，数据包头部长度。它表示数据包头部包括多少个32位长整型，也就是多少个4字节的数据。无选项则为5（红色部分）。

1-3.服务类型，包括8个二进制位，每个位的意义如下：

       过程字段：3位，设置了数据包的重要性，取值越大数据越重要，取值范围为：0（正常）~ 7（网络控制）

       延迟字段：1位，取值：0（正常）、1（期特低的延迟）

       流量字段：1位，取值：0（正常）、1（期特高的流量）

       可靠性字段：1位，取值：0（正常）、1（期特高的可靠性）

       成本字段：1位，取值：0（正常）、1（期特最小成本）

       保留字段：1位 ，未使用

1-4.包裹总长16位，当前数据包的总长度，单位是字节。当然最大只能是65535，及64KB。

2-1.重组标识16位，发送主机赋予的标识，以便接收方进行分片重组。

2-2.标志3位，他们各自的意义如下：

       保留段位(2)：1位，未使用

       不分段位(1)：1位，取值：0（允许数据报分段）、1（数据报不能分段）

       更多段位(0)：1位，取值：0（数据包后面没有包，该包为最后的包）、1（数据包后面有更多的包）

2-3.段偏移量13位，与更多段位组合，帮助接收方组合分段的报文，以字节为单位。

3-1.生存时间8位，经常ping命令看到的TTL（Time To Live）就是这个，每经过一个路由器，该值就减一，到零丢弃。

3-2.协议代码8位，表明使用该包裹的上层协议，如TCP=6，ICMP=1，UDP=17等。

3-3.头检验和16位，是IPv4数据包头部的校验和。

4-1.源始地址，32位4字节，我们常看到的IP是将每个字节用点（.）分开，如此而已。

5-1.目的地址，32位，同上。

6-1.可选选项，主要是给一些特殊的情况使用，往往安全路由会当作攻击而过滤掉，普联（TP_LINK）的TL-ER5110路由就能这么做。

7-1.用户数据。

http://image27.360doc.com/DownloadImg/2011/04/1216/10852915_1.jpg

1、IP数据报首部的固定部分中的各字段

　(1)版本　占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。目前广泛使用的IP协议版本号为4（即IPv4）。

　(2)首部长度　占4位，可表示的最大十进制数值是15。请注意，这个字段所表示数的单位是32位字长（1个32位字长是4字节），因此，当IP的首部长度为1111时（即十进制的15），首部长度就达到60字节。当IP分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在4字节的整数倍开始，这样在实现IP协议时较为方便。首部长度限制为60 字节的缺点是有时可能不够用。但这样做是希望用户尽量减少开销。最常用的首部长度就是20字节（即首部长度为0101），这时不使用任何选项。

（＃我们一般看到的版本和首部长度两个字段是十六进制45，就是版本号version=4,headlength=5,也就是首部长度是60个字节）

http://image27.360doc.com/DownloadImg/2011/04/1216/10852915_2.jpg

　　(3)区分服务　占8位，用来获得更好的服务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务DS(Differentiated Services)。只有在使用区分服务时，这个字段才起作用。

　　(4)总长度　总长度指首部和数据之和的长度，单位为字节。总长度字段为16位，因此数据报的最大长度为216-1=65535字节。

http://image27.360doc.com/DownloadImg/2011/04/1216/10852915_3.jpg＃可以看这个以太网frame总长为336字节，而IP数据包Total length＝322，336－322＝14正好是Ethernet包头的长度，所以就可以看出这IP数据包总长度一值就是除去Ethernet头的剩余长度，也就是IP包头加数据的长度。

　　在IP层下面的每一种数据链路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，这称为最大传送单元MTU(Maximum Transfer Unit)。当一个数据报封装成链路层的帧时，此数据报的总长度（即首部加上数据部分）一定不能超过下面的数据链路层的MTU值。

　　(5)标识(identification)　占16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

　　(6)标志(flag)　占3位，但目前只有2位有意义。

　　●　标志字段中的最低位记为MF(More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。

　　●　标志字段中间的一位记为DF(Don’t Fragment)，意思是“不能分片”。只有当DF=0时才允许分片。

http://image27.360doc.com/DownloadImg/2011/04/1216/10852915_4.jpg

http://image27.360doc.com/DownloadImg/2011/04/1216/10852915_5.jpg

　　(7)片偏移　占13位。片偏移指出：较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以8个字节为偏移单位。这就是说，每个分片的长度一定是8字节（64位）的整数倍。

　　(8)生存时间　占8位，生存时间字段常用的的英文缩写是TTL(Time To Live)，表明是数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜圈子，因而白白消耗网络资源。最初的设计是以秒作为TTL的单位。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1秒，就把 TTL值减1。当TTL值为0时，就丢弃这个数据报。

 

＃TTL通常是32或者64，scapy中默认是64

　　(9)协议　占8位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。（在scapy中，下层的这个protocol一般可以从上曾继承而来，自动填充，我们一般可以省略不填此项）

　　(10)首部检验和　占16位。这个字段只检验数据报的首部，但不包括数据部分。这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和（一些字段，如生存时间、标志、片偏移等都可能发生变化）。不检验数据部分可减少计算的工作量。

 

　　(11)源地址　占32位。

　　(12)目的地址　占32位。

2、IP数据报首部的可变部分

IP首部的可变部分就是一个可选字段。选项字段用来支持排错、测量以及安全等措施，内容很丰富。此字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。某些选项项目只需要1个字节，它只包括1个字节的选项代码。但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0的填充字段补齐成为4字节的整数倍。

　　增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。新的IP版本IPv6就将IP数据报的首部长度做成固定的。

　　目前，这些任选项定义如下：

　　（1）安全和处理限制（用于军事领域）

　　（2）记录路径（让每个路由器都记下它的IP地址）

　　（3）时间戳（让每个路由器都记下它的IP地址和时间）

　　（4）宽松的源站路由（为数据报指定一系列必须经过的IP地址）

　　（5）严格的源站路由（与宽松的源站路由类似，但是要求只能经过指定的这些地址，不能经过其他的地址）

　　这些选项很少被使用，并非所有主机和路由器都支持这些选项。

TCP数据包结构：

http://hi.csdn.net/attachment/201109/8/0_1315497633XFTf.gif

1-1.源始端口16位，范围当然是0-65535啦。

1-2.目的端口，同上。

2-1.数据序号32位，TCP为发送的每个字节都编一个号码，这里存储当前数据包数据第一个字节的序号。

3-1.确认序号32位，为了安全，TCP告诉接受者希望他下次接到数据包的第一个字节的序号。

4-1.偏移4位，类似IP，表明数据距包头有多少个32位。

4-2.保留6位，未使用，应置零。

4-3.紧急比特URG—当URG＝1时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应尽快传送(相当于高优先级的数据)。

4-3.确认比特ACK—只有当ACK＝1时确认号字段才有效。当ACK＝0时，确认号无效。参考TCP三次握手

4-4.复位比特RST(Reset) —当RST＝1时，表明TCP连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新

       建立运输连接。参考TCP三次握手

4-5.同步比特SYN—同步比特SYN置为1，就表示这是一个连接请求或连接接受报文。参考TCP三次握手

4-6.终止比特FIN(FINal)—用来释放一个连接。当FIN＝1时，表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。

4-7.窗口字段16位，窗口字段用来控制对方发送的数据量，单位为字节。TCP连接的一端根据设置的缓存空间大小确定自己的接收窗口

       大小，然后通知对方以确定对方的发送窗口的上限。

5-1.包校验和16位，包括首部和数据这两部分。在计算检验和时，要在TCP报文段的前面加上12字节的伪首部。

5-2.紧急指针16位，紧急指针指出在本报文段中的紧急数据的最后一个字节的序号。

6-1.可选选项24位，类似IP，是可选选项。

6-2.填充8位，使选项凑足32位。

7-1.用户数据……

 

可以看出，每个IP包至少要20字节的头部长度，这些与下载内容无关，加上目前多数传输，包括http协议（就是IE直接下载），都是基于

TCP协议的，所以IP包裹还要从用户数据中扣除20字节的TCP包头，这里已经是40字节，加上其他程序的连接，状态确认等等包裹，因

而算出来要比理论值要小。

另外网络环境（包括稳定因素和传输节点的转发率）也是影响下载速度的重要原因……

 

呵呵，好了，就这么多吧！