Appearance
Skip to content
IP
IP(Internet Protocol)负责在网络层给数据包标注源地址、目的地址,并把上层协议的数据交给下一跳转发。排查跨网段通信、路由方向、分片、TTL 异常或“包有没有到达目标网段”时,可以从 IP 层开始。
不要把 IP 和 TCP/UDP 混淆:IP 负责寻址和转发;TCP/UDP 负责传输层端口和会话语义。也不要把 IP 地址和 MAC 地址混淆:MAC 属于链路层,通常只在本地链路内有效。
Wireshark 中看什么
| 目标 | 重点字段或视图 | 说明 |
|---|---|---|
| 确认通信双方 | ip.src、ip.dst、ip.addr | 先看源地址、目的地址和报文方向。 |
| 判断上层协议 | ip.proto、Protocol 列 | 可看到上层承载的是 TCP、UDP、ICMP 等。 |
| 观察生存时间 | ip.ttl | TTL 异常变化常用于辅助判断路径、转发或环路问题。 |
| 检查分片 | ip.flags.mf、ip.frag_offset | 用于分析 MTU、分片重组或丢片相关问题。 |
| 关联链路层地址 | Ethernet II 中的源/目的 MAC | 同一 IP 流量在不同抓包点可能对应不同 MAC。 |
常用显示过滤字段
text
ip只显示 IPv4 报文。
text
ip.addr == 192.0.2.10查看与某个 IPv4 地址相关的双向流量。请替换为现场地址。
text
ip.src == 192.0.2.10 && ip.dst == 198.51.100.20查看指定方向的流量。
text
ip.proto == 6筛选 IPv4 中承载 TCP 的报文。
text
ip.proto == 17筛选 IPv4 中承载 UDP 的报文。
text
ip.flags.mf == 1 || ip.frag_offset > 0查找 IPv4 分片相关报文。
常见分析问题
为什么同一个连接在不同抓包点看到的 MAC 不一样?
IP 地址表示端到端的网络层地址,MAC 地址表示当前链路上的下一跳。报文经过路由器后,IP 地址通常保持通信双方不变,而链路层 MAC 会随每一跳改变。
看到目的 IP 就说明应用一定收到了吗?
不能。IP 层只能说明数据包被抓包点观察到,是否被应用处理还要继续看 TCP/UDP、ICMP 错误、主机防火墙、端口状态和应用响应。
分片一定是故障吗?
不一定。分片本身是 IPv4 的机制之一,但大量分片、重组失败或只看到部分分片时,可能影响上层协议解析,需要结合 MTU、路径和丢包现象判断。
相关页面和外部参考
- TCP
- UDP
- ICMP
- ARP
- Display Filters
- Wireshark Wiki 原页:<https://wiki.wireshark.org/IP>
相关 Wireshark Wiki 页面
- Wireshark Wiki 首页Home · 入门与使用
- Internet_ProtocolInternet_Protocol · 协议参考