wireshark 報文分析—根據TTL(Time to live)進行報文分析
TTL的作用是限制IP數據包在計算機網絡中的存在的時間。TTL的最大值是255,TTL的一個推薦值是64。
雖然TTL從字面上翻譯,是可以存活的時間,但實際上TTL是IP數據包在計算機網絡中可以轉發的最大跳數。TTL字段由IP數據包的發送者設置,在IP數據包從源到目的的整個轉發路徑上,每經過一個路由器,路由器都會修改這個TTL字段值,具體的做法是把該TTL的值減1,然後再將IP包轉發出去。如果在IP包到達目的IP之前,TTL減少爲0,路由器將會丟棄收到的TTL=0的IP包並向IP包的發送者發送 ICMP time exceeded消息。
TTL的主要作用是避免IP包在網絡中的無限循環和收發,節省了網絡資源,並能使IP包的發送者能收到告警消息。
TTL 是由發送主機設置的,以防止數據包不斷在IP互聯網絡上永不終止地循環。轉發IP數據包時,要求路由器至少將 TTL 減小 1。
在實際報文分析中,兩端(client 和 server)通信報文的TTL維持一致,在異常通信中,經常會看到異常報文的TTL和其他報文的TTL不一致,這種場景是在通信時,被網絡鏈路中的其他網元設備(比如防火牆攔截等)回包時,尤其是在公網訪問未備案域名時,被工信部防火牆設備攔截,就會出現這種情況;
