wireshark 报文分析—根据TTL(Time to live)进行报文分析
TTL的作用是限制IP数据包在计算机网络中的存在的时间。TTL的最大值是255,TTL的一个推荐值是64。
虽然TTL从字面上翻译,是可以存活的时间,但实际上TTL是IP数据包在计算机网络中可以转发的最大跳数。TTL字段由IP数据包的发送者设置,在IP数据包从源到目的的整个转发路径上,每经过一个路由器,路由器都会修改这个TTL字段值,具体的做法是把该TTL的值减1,然后再将IP包转发出去。如果在IP包到达目的IP之前,TTL减少为0,路由器将会丢弃收到的TTL=0的IP包并向IP包的发送者发送 ICMP time exceeded消息。
TTL的主要作用是避免IP包在网络中的无限循环和收发,节省了网络资源,并能使IP包的发送者能收到告警消息。
TTL 是由发送主机设置的,以防止数据包不断在IP互联网络上永不终止地循环。转发IP数据包时,要求路由器至少将 TTL 减小 1。
在实际报文分析中,两端(client 和 server)通信报文的TTL维持一致,在异常通信中,经常会看到异常报文的TTL和其他报文的TTL不一致,这种场景是在通信时,被网络链路中的其他网元设备(比如防火墙拦截等)回包时,尤其是在公网访问未备案域名时,被工信部防火墙设备拦截,就会出现这种情况;
