一、网络层首部

• 1. 我们知道网络层会把传输层传递下来的数据当做数据部分，然后给这个数据增加一个网络层首部，组装成网络层
     
     网络层数据组成.png
• 2. 网络层的主要作用是提供了主机之间的逻辑通道，也就把一个数据包从一个主机发到另一个主机，网络层之所以能把数据包从一台主机传输给另一个主机，网络层的首部功不可没，让我们来看看网络层的首部存放了哪些数据吧

• 3.网络层的首部分为固定部分和可变部分，固定部分是20个字节，可变部分是0~40个字节，首部总长度最大是60个字节，最小是20个字节，下图清晰的展现了网络层首部各个数据的含义：
  

  网络层首部

二、网络层首部各个字段的含义

• 1. 版本（Version），第一个字段，版本占四位，有两个值：0b0100和0b0110，分别代表IPv4和IPv6
• 2. 首部长度（Header Length），就是字面意思，代表网络层的首部的总长度，占4位，最小值0b0101，最大值0b1111，二进制乘以4才是最终长度，也就是代表首部长度是在20~60个字节中
• 3. 区分服务（Differentiated Service Field）：占8位，可以用来提高网络服务质量，在区分服务字段写入特殊值以后，路由器会让带有特殊值的数据包优先通过，以提高网络质量
• 4. 总长度（Total length）：占16位，代表网络层的首部和数据部分总共的长度，最大值是65535，我们知道数据链路层的数据部分不能超过最大传输单元MTU，也就是1500个字节，如下图所示，所以过大的IP数据包，在网络层就会进行分片，每片都小于1500，每片都会加上自己的网络层首部，然后才会传输给数据链路层
     
     网络层到数据链路层
• 5. 标识（Identification）：占16位，代表数据包的ID，当IP数据包过大进行分片时，同一个数据包的所有片的标识都是相同的；有一个计数器专门管理数据包的ID，每发送一个完整的数据包，下一个包的标识就会加1
• 6. 标志（Flags）：占3位，不同的数值代表不同的含义：
  • 第1位(Reserved Bits)：保留位，目前没啥用处；
  • 第2位(Don't Fragment)：1代表不允许分片，0代表允许分片；
  • 第3位(More Fragment)：1代表不是最后一片，0代表是最后一片；

• 7.片偏移（Fragment Offset）：占13位，其数值乘以8，才是真正的字节偏移数，这样做是因为片偏移只有13位，为了存放更多的数字，专门用字节偏移数除以8存放；

  • 如下所示，假设有一个3800字节的IP数据包，由于超过了MTU1500个字节的限制，所以进行了分片，每片1400个字节，每一片都会加上网络层首部，第一片是从0~1399个字节，片偏移就是0；第二片是从1400~2799个字节，片偏移就是175；第三片是从2800~3799个字节，片偏移就是350
    
    片偏移

敲黑板，敲黑板，敲黑板，划重点了：

• 标识、标志、片偏移这三个字段组合在一起，就可以发送大IP数据包了，流程是这样的：当一个大的IP数据包，以多个分片的形式，从数据链路层传递到网络层以后，网络层就会校验各个分片的标识是否相同，相同的标识就代表是一个数据包不同的分片，相同标识的分片就会按照片偏移组合在一起，直到标志的第三位是0，0就代表是最后一片数据，然后就可以把这些数据片组装成完整的数据，继续向上发给传输层了

• 8.生存时间（Time to Live）：占8位，代表数据包的可以经过多少个路由器，每个路由器在转发数据之前，都会将数据包的TTL减一，一旦发现TTL减为0，路由器就会返回错误报告，目的是为了防止路由器之间的死循环，不同操作系统的TTL都不相同，如下所示：
  

  不同操作系统的TTL

• 9.协议（Protocol）：占8位，代表数据部分使用的是什么协议，对照关系如下所示：
  

  协议对照表

• 10.首部校验和（Head Checksum）：用于检查首部是否有错误

• 11.源IP地址（Source Address）：字面含义，代表数据包的来源于哪个IP

• 12.目标IP地址（Destination Address）：字面含义，代表数据包要发送给哪个IP

三、抓包实战，看看实际的网络请求的网络层首部

• 1. 抓包采用的Wireshark工具，使用ping命令，ping命令实际上就是ICMP协议，因为ICMP是工作在网络层的，而咱们这一章主要研究网络层， 所以就选择了ICMP协议

• 2.ping命令的用法:

windows下：
ping ip地址 -l 数据包大小：可以发送指定大小的数据包
ping ip地址 -f ：不允许网络层分片
ping ip地址 -i TTL：设置TTL的值

mac下：
ping -s 数据包大小 ip地址：可以发送指定大小的数据包

• 3. 我们打开Wireshark，在命令行输入ping -s 800 www.baidu.com进行抓包，如下所示：
     
     抓包ICMP
• 4. 从上图可以看出，ping一个800的数据包，网络层的数据总长度是828个字节，其中20个字节是网络层头部，808个字节是网络层数据部分，808个字节中的8个字节是ICMP的头部，800是ICMP的数据部分