A。

收到Ttl为1，那么说该路由器处理过就是TTL=0了。TTL=0是要丢弃的所以选A。

TTL由IP数据包的发送端设置，在IP数据包从源到目的的整个转发路径上，每经过一个路由器，则把该TTL的值减1，然后再将IP包转发出去。

如果在IP包到达目的IP之前，TTL减少为0，路由器将会丢弃收到的TTL=0的IP包，并向IP包的发送者发送 ICMP time exceeded消息，以防止数据包不断在IP互联网络上永不终止地循环。

扩展资料：

TTL字段由IP数据包的发送者设置，在IP数据包从源到目的的整个转发路径上，每经过一个路由器，路由器都会修改这个TTL字段值，具体的做法是把该TTL的值减1，然后再将IP包转发出去。如果在IP包到达目的IP之前，TTL减少为0，路由器将会丢弃收到的TTL=0的IP包并向IP包的发送者发送 ICMP time exceeded消息。

TTL的主要作用是避免IP包在网络中的无限循环和收发，节省了网络资源，并能使IP包的发送者能收到告警消息。TTL是由发送主机设置的，以防止数据包不断在IP互联网络上永不终止地循环。转发IP数据包时，要求路由器至少将 TTL减小1。

偏移量的意思是这百个数据包是从源数据包哪个位置开始的，因为IP报文有40个字节的IP报文头。度所以问1300个字节的数据会被分成以下三个包：

1、A数据包：包含40个字节的IP报文头，答0-460字节的数据，偏移版量为0；

2、B数据包：包含40个字节的IP报文头，460-920字节的数据，偏移量为权460；

3、C数据包：包含40个字节的IP报文头，920-1300字节的数据，偏移量为920。

扩展资料：

IP首部的可变部分就是一个可选字段。选项字段用来支持排错、测量以及安全等措施，内容很丰富。

此字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。某些选项项目只需要1个字节，它只包括1个字节的选项代码。但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0的填充字段补齐成为4字节的整数倍。

增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。新的IP版本IPv6就将IP数据报的首部长度做成固定的。

参考资料：

百度百科-IP数据报

检测到带选项的IP报文攻击, 丢弃报文31个, 攻击源:192.168.1.8等进行启用局域网ARP攻击防御功能，步骤如下：

1、首先第一步就是对于电脑ARP检测及防御的最基本的方法，就是通过将IP和MAC进行静态绑定来实现，特别是将网关IP和MAC进行绑定即可。

2、接着就是进行保护电脑上网信息传输的安全性，然后进行可以开启操作系统自带的防火墙功能，如图所示，在“服务”界面中，找到“Windows FireWare”服务并开启即可。

3、然后就是进行打开“安全检测工具”窗口中，勾选“启用局域网ARP攻击防御功能”项即可开启局域网ARP攻击检测功能，同时还可以勾选其它三个选项，如下图所示。

4、接着就是进行针对局域网中运行的影响网速的第三方限速软件（比如“网络终结者、网络警察”等）进行检测即可。

5、最后就是局域网中存在ARP攻击行为的主机，直接通过程序对其进行强制隔离或断网操作。然后右击对应的ARP攻击源主机，从其右键菜单中选择“断开选中主机公网连接”项即可如下图所示。

扩展资料

报文也是网络传输的单位，传输过程中会不断的封装成分组、包、帧来传输，封装的方式就是添加一些信息段，那些就是报文头以一定格式组织起来的数据。

比如里面有报文类型，报文版本，报文长度，报文实体等等信息。

完全与系统定义，或自定义的数据结构同义。

来几个 TCP/IP 头结构感受一下：

IP报文头部信息

typedef struct _iphdr //定义IP首部

{unsigned char h_lenver； //4位首部长度+4位IP版本号

unsigned char tos； //8位服务类型TOS

unsigned short total_len； //16位总长度（字节）

unsigned short ident； //16位标识

unsigned short frag_and_flags； //3位标志位

unsigned char ttl； //8位生存时间 TTL

unsigned char proto； //8位协议 (TCP, UDP 或其他)

unsigned short checksum； //16位IP首部校验和

unsigned int sourceIP； //32位源IP地址

unsigned int destIP； //32位目的IP地址

}IP_HEADER；

typedef struct psd_hdr //定义TCP伪首部

{unsigned long saddr； //源地址

unsigned long daddr； //目的地址

char mbz；

char ptcl； //协议类型

unsigned short tcpl； //TCP长度

}PSD_HEADER；

typedef struct _tcphdr //定义TCP首部

{USHORT th_sport； //16位源端口

USHORT th_dport； //16位目的端口

unsigned int th_seq； //32位序列号

unsigned int th_ack； //32位确认号

unsigned char th_lenres； //4位首部长度/6位保留字

unsigned char th_flag； //6位标志位

USHORT th_win； //16位窗口大小

USHORT th_sum； //16位校验和

USHORT th_urp； //16位紧急数据偏移量}TCP_HEADER；

// 这里只是数据头, 但头最能让你看清报文是啥东西

// IP_HEADER::total_len 指明了实体数据(也就是真正的消息内容)长度。

IP报文格式如下图，IP报头前5块为必选，因此，IP包最少20字节：

以下为属性解说供参考：

Version（版本）：标识了数据包的IP版本号，一共4位，0100表示IPV4，0110表示IPV6；

IHL（报头长度）：表示32位字长的报头长度，一共4位；

TOS（服务类型）：用来指定特殊的数据包处理方式。一共8位；Total Length（总长度）：接收者用IP数据包总程度减去IP报头长度，就可以确定数据包数据有效载荷的大小；

Identification（标识符）：通常与标记字段和分片字段一起用于数据包的分段，长度为16位；

Flags（标记字段）：用于IP数据包分段标记使用，长度为3位；Fragment Offset（分段偏移）：用于指明分段起始点相对于报头起始点的偏移量，可以使接受者按照正确的顺序重组数据包，长度为13位；

Time to Live（生存时间）：用于防止数据包在网络上无休止地被传输，长度8位；

Protocol（协议）：指定了数据包中信息的类型，长度8位；Header Checksum(报头校验和)：针对IP报头的纠错字段；

Source Address（源地址）：表示发送者数据包源点的IP地址，长度为32位；Destination Address（目标地址）：表示发送者目标的IP地址，长度为32位；

Options（可选项）：被添加在IP报头中，包括源点产生的信息和其它路由器加入的信息；可选字段，主要用于测试，长度可变；Loose Source Routing(松散源路由选择)：可以指定数据包传递的路径；可以跨越中间多台路由器；Strict Soutce Routing(严格源路由选择)：可以指定数据包传递的路径；不同于loose的是，数据包必须严格按照路由转发，如果下一跳不在路由表中，将会产生错误；

Record Route(记录路由)：记录数据包离开每台路由的出接口，区别于traceroute的是，record可以记录来 回的路径，而traceroute只可以记录但方向的；Timestamp（时间戳）：记录数据包到达设备的时间；Verbose（详细内容）：查看数据包传送的详细内容；一般用于查看延迟；Padding（填充）：通过在可选字段后面添加0来补足32位，为了确保报头长度是32的倍数。

一、MAC帧头定义 /*数据帧定义，头14个字节，尾4个字节*/

typedef struct _MAC_FRAME_HEADER

{

char m_cDstMacAddress;    //目的mac地址

char m_cSrcMacAddress;    //源mac地址

short m_cType;       　　　　　//上一层协议类型，如0x0800代表上一层是IP协议，0x0806为arp

}__attribute__((packed))MAC_FRAME_HEADER,*PMAC_FRAME_HEADER;

typedef struct _MAC_FRAME_TAIL

{

unsigned int m_sCheckSum;    //数据帧尾校验和

}__attribute__((packed))MAC_FRAME_TAIL, *PMAC_FRAME_TAIL;

二、IP头结构的定义

/*IP头定义，共20个字节*/

typedef struct _IP_HEADER

{

char m_cVersionAndHeaderLen;     　　//版本信息(前4位)，头长度(后4位)

char m_cTypeOfService;      　　　　　 // 服务类型8位

short m_sTotalLenOfPacket;    　　　　//数据包长度

short m_sPacketID;      　　　　　　　 //数据包标识

short m_sSliceinfo;      　　　　　　　  //分片使用

char m_cTTL;        　　　　　　　　　　//存活时间

char m_cTypeOfProtocol;    　　　　　 //协议类型

short m_sCheckSum;      　　　　　　 //校验和

unsigned int m_uiSourIp;     　　　　　//源ip

unsigned int m_uiDestIp;     　　　　　//目的ip

} __attribute__((packed))IP_HEADER, *PIP_HEADER ;

三、tcp头结构定义

/*TCP头定义，共20个字节*/

typedef struct _TCP_HEADER

{

short m_sSourPort;        　　　　　　// 源端口号16bit

short m_sDestPort;       　　　　　　 // 目的端口号16bit

unsigned int m_uiSequNum;       　　// 序列号32bit

unsigned int m_uiAcknowledgeNum;  // 确认号32bit

short m_sHeaderLenAndFlag;      　　// 前4位：TCP头长度；中6位：保留；后6位：标志位

short m_sWindowSize;       　　　　　// 窗口大小16bit

short m_sCheckSum;        　　　　　 // 检验和16bit

short m_surgentPointer;      　　　　 // 紧急数据偏移量16bit

}__attribute__((packed))TCP_HEADER, *PTCP_HEADER;

/*TCP头中的选项定义

kind(8bit)+Length(8bit，整个选项的长度，包含前两部分)+内容(如果有的话)

KIND = 1表示 无操作NOP，无后面的部分

2表示 maximum segment   后面的LENGTH就是maximum segment选项的长度（以byte为单位，1+1+内容部分长度）

3表示 windows scale     后面的LENGTH就是 windows scale选项的长度（以byte为单位，1+1+内容部分长度）

4表示 SACK permitted    LENGTH为2，没有内容部分

5表示这是一个SACK包     LENGTH为2，没有内容部分

8表示时间戳，LENGTH为10，含8个字节的时间戳

*/

typedef struct _TCP_OPTIONS

{

char m_ckind;

char m_cLength;

char m_cContext;

}__attribute__((packed))TCP_OPTIONS, *PTCP_OPTIONS;

四、UDP头结构的定义

/*UDP头定义，共8个字节*/

typedef struct _UDP_HEADER

{

unsigned short m_usSourPort;    　　　// 源端口号16bit

unsigned short m_usDestPort;    　　　// 目的端口号16bit

unsigned short m_usLength;    　　　　// 数据包长度16bit

unsigned short m_usCheckSum;    　　// 校验和16bit

}__attribute__((pa

图2-8　 TCP建立连接的三次握手过程

2、TCP释放连接的四次握手过程

TCP连接的释放需要进行四次握手，步骤是：

●源主机发送一个释放连接标志位（FIN）为1的数据段发出结束会话请求

arp将一个IP地址解析为一个MAC地址，这和DNS类似。每个节点的ARP模块在他的RAM中都有一ARP表，这个表包含IP地址到MAC地址的映射。假设没有找到对应的MAC地址，发送节点构造一个ARP分组的特殊分组，他有几个字段，包括发送节点和接受节点的IP地址和MAC地址，ARP查询和响应分组具有相同的格式。ARP查询分组的目的是询问子网上的所有的其它节点，来判定对应于要解析的IP地址的MAC地址。 携带主机A的IP地址Ia——物理地址Pa，适配器应该用MAC广播地址（即FF-FF-FF-FF-FF-FF）发送这个分组。包含这个ARP查询的桢里的ARP分组向上传递给它的父节点，每个节点检查它的IP地址是否与ARP分组中的目的IP地址匹配。至多一个匹配的节点给查询节点发送回一个携带要求映射的响应ARP分组。然后进行查询的节点（222，222，222，220）可以更新它的ARP表并且发送它的IP数据包！

IP数据报首部的固顶部分中的各字段： 按顺序是：版本，4bits，首部长度占4bits,服务类型8bits，总长度占16bits,标识占16bits，标志占16bits,片偏移占不确定，生存时间建议值是32秒，协议占8bits,首部检验和占16bits,源地址，占4字节,目的地址占4字节 IP数据报的可变部分从1个字节到40个字节不等，主要用来支持排错，测量以及安全等措施，内容很丰富。

CP报文段（TCP segment）

TCP传输给IP的数据单元称作TCP报文段。

segment: part of sth separated or marked off from the other parts.

（注意：它是part of sth，不是independent）

TCP报文段：TCP传输给IP的数据单元称作TCP报文段TCP协议是面向有连接的协议，“有连接”的意思是TCP协议需要维护后续数据的状态信息。

（2）UDP数据报（User Datagram）

UDP传输给IP的信息单元称作UDP数据报。

datagram：a self-contained,independent entity of data carrying sufficient information to be routed fromthe source to the destination computer without reliance on earlier exchangesbetween this source and destination computer and the transporting network.

UDP数据报：与TCP协议面向有连接不同，UDP是一个简单的面向数据报的运输层协议：进程的每个输出操作都正好产生一个UDP数据报，并组装成一份待发送的IP数据报，即每个数据报是独立的，不属于某个整体。（详见IP数据报）

（3）IP数据报（IP datagram），更准确的说法叫分组（packet）。

（分组指IP数据报既可以是一个IP数据报，也可以是IP数据报的一个片（fragment））

IP传输给网络接口层的数据单元称作IP数据报。

packet: small package or parcel.

IP数据报（或分组）：IP协议并不维护任何关于后续数据报的状态信息，每个数据报的处理都是相互独立的。

这要从它们的工作特点来谈起了：

udp是面向报文的，发送方的udp对应用层交下来的报文，不合并，不拆分，只是在其上面加上首部后就交给了下面的网络层，也就是说无论应用层交给udp多长的报文，它统统发送，一次发送一个。而对接收方，接到后直接去除首部，交给上面的应用层就完成任务了。因此，它需要应用层控制报文的大小

tcp是面向字节流的，它把上面应用层交下来的数据看成无结构的字节流来发送，可以想象成流水形式的，发送方tcp会将数据放入“蓄水池”（缓存区），等到可以发送的时候就发送，不能发送就等着，tcp会根据当前网络的拥塞状态来确定每个报文段的大小。

地址解析协议 ARP（Address Resolution Protocol）

网际控制报文协议 ICMP（Internet Control Message Protocol）

网际组管理协议 IGMP（Internet Group Management Protocol