取消
显示结果 
搜索替代 
您的意思是: 
cancel
5568
查看次数
0
有帮助
16
回复

分片问题

jinmaichen
Level 1
Level 1
总是听说,数据包分片,第一个分片才有完整的上层协议。但我抓包,发现却是最后一个分片才有


我对比icmp,tcp,udp都是这样,第一个分片反而没有完整的上层信息,最后一个分片才有

16 条回复16

jinmaichen
Level 1
Level 1
有没有大神

Rockyw
Spotlight
Spotlight
楼主你看看下面文档中关于IP分片的实例讲解,再看看你的抓包。
IP数据报分片——Fragmentation和重组
https://my.oschina.net/xinxingegeya/blog/483138
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

jinmaichen
Level 1
Level 1
Rocky 发表于 2019-6-12 00:13
楼主你看看下面文档中关于IP分片的实例讲解,再看看你的抓包。
IP数据报分片——Fragmentation和重组
htt ...

看啦。没有解开我的疑惑

jinmaichen
Level 1
Level 1
Rocky 发表于 2019-6-12 00:13
楼主你看看下面文档中关于IP分片的实例讲解,再看看你的抓包。
IP数据报分片——Fragmentation和重组
htt ...

序号37是第一分片,38是最后分片。这是确认过啦

Rockyw
Spotlight
Spotlight
jinmaichen 发表于 2019-6-12 01:21
看啦。没有解开我的疑惑

建议去找跟IP分片有关的RFC文档看看,那个应该比较权威。我看上面的文档的分析结果跟你一样,虽然它上面也说第一个分片包含上层头部信息,但它实例分析的时候,上层头部却出现在最后一个分片那里。估计作者也没注意到。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw
Spotlight
Spotlight
jinmaichen 发表于 2019-6-12 01:22
序号37是第一分片,38是最后分片。这是确认过啦

你这是在发送端抓的包,还是在接收端抓的包?我猜想最后带有上层头部信息的才是第一个分片,实际是不是如此真的要查权威的文档才知道。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

jinmaichen
Level 1
Level 1
Rocky 发表于 2019-6-12 13:16
你这是在发送端抓的包,还是在接收端抓的包?我猜想最后带有上层头部信息的才是第一个分片,实际是不是如 ...

都不是,在徒经过的设备,抓的包

Rockyw
Spotlight
Spotlight
jinmaichen 发表于 2019-6-12 14:16
都不是,在徒经过的设备,抓的包

查过一些资料,上层头部信息应该在第一个分片里面,你能够不能像下面这篇文章里那样,将第一个包和最后一个包的三层和四层详细数据截一下图。你在一楼的截图显示的只是三层的部分数据,没看到四层的数据。
IP分片(IP Fragment)
http://www.vants.org/?post=106
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw
Spotlight
Spotlight
你要看清楚四层带不带头部信息,而不是带不带数据信息。第一个分片应该既带四层头部信息,也带数据信息,而最后一个分片应该只带数据信息,并不带四层头部信息。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

jinmaichen
Level 1
Level 1
Rocky 发表于 2019-6-12 21:51
你要看清楚四层带不带头部信息,而不是带不带数据信息。第一个分片应该既带四层头部信息,也带数据信息,而 ...

没有四层头部,他标源端口,目的端口干啥。那不是四层的头部信息嘛

Rockyw
Spotlight
Spotlight
jinmaichen 发表于 2019-6-12 22:49
没有四层头部,他标源端口,目的端口干啥。那不是四层的头部信息嘛

你将第一个和最后一个数据包详细数据部分截个图发上来看看。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw
Spotlight
Spotlight
本帖最后由 Rocky 于 2019-6-13 14:46 编辑
UDP分片的情况

TCP分片的情况

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rockyw
Spotlight
Spotlight
jinmaichen 发表于 2019-6-12 14:16
都不是,在徒经过的设备,抓的包

IP分片只有到达最终端的时候才会重组,在路经的设备上是不会重组的,而且各个分片到达这个设备的时间跟它们被分片时候的顺序并不一定是一致的,所以你抓到的包应该是乱序的分片包,除非抓包软件将它们按相关性显示,而不是按时间顺序显示。要验证是不是只有第一个片包含上层头部信息,应该只能在分片端或最终端抓包进行分析。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

jinmaichen
Level 1
Level 1
Rocky 发表于 2019-6-12 23:02
你将第一个和最后一个数据包详细数据部分截个图发上来看看。

截图实在麻烦,或者你抓下就知道,不说tcp,udp的,就icmp的,都是这样
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接