IP헤더 이해

 

와이어샤크로 캡쳐한 IP패킷

TTL값이 128 - 윈도우

            64 -리눅스

 

IP헤더의 Identification 필드의 값은 패킷을 전송할때 패킷이 MTU보다 커서 패킷이 분할될 때 같은 패킷임을

확인시켜주는 역할을 한다.

 

PROTOCOL 필드는  TCP, ICMP등 상위 프로토콜을 설정하는 필드이다.

 

tos식별자는 iptv, 전화 등 서비스의 우선순위를 정해주는 필드이다. 예시) 인터넷에서 토렌트 영화를 받는다고해서 통화가 끊기지 않도록 우선순위를 정해준다.

 

 

FAGES필드 - don’t fragment 플레그가 0번이면 단편화를 하는 것이고 1번이면 단편화를 하지않도록 강제하는 것.

More fragments 플래그가 1번으로 세팅되면 뒤에 단편화된 패킷이 더있다는 뜻.

만약 마지막단편을 분석한다면 more fragments 플래그는 0으로 세팅되어을것임.

 

Fragment offset 플레그는 단편의 오프셋을 나타내며 기본 8바이트이다

수신한 곳에서 ip패킷을 재배열할 때 패킷의 순서를 이 필드를 보고 확인할 수 있음.

예를들어 185이면 1480까지가 ip패킷 단편이며 20바이트는 헤더임.

그리고 꼭 먼저보낸 단편이 먼저들어오는 것은 아님.

 

참고)

ip패킷을 분석하다보면 1516byte인 패킷도 있는데 이것은 arp frame에서 16바이트를 사용하는 것임.

icmp헤더의 크기는 8바이트 패킷분석시 이런요소도 고려할수있음