ip_Header 的Identification 字段中使用的增量值是多少？

Question

我打开了 telnet 会话和wireshark ..并观察了连接。

我所知道的是 ip ident 字段的正常增量是“1”（在没有碎片的情况下），但是如果发生碎片，则标识字段将在所有碎片上保持相同

但正如我所见..它不是 1 ..它是随机变化的值

那么递增 ident 字段的算法是什么？

另一个问题：如果设置了 DF 标志..我们会查看 ident 字段还是忽略它？

Answer 1

这非常依赖于实现——事实上，这些差异被用来进行操作系统指纹识别。例如，某些 Windows 系统会递增 ID，但会按主机字节顺序而不是网络字节顺序发送字段。

这并不重要，也不会引起问题，因为 ID 仅用于碎片。因此，正如您所建议的，如果设置了 DF，您可能可以忽略 ID，尽管我会合理检查碎片偏移量是否为 0 并且总长度与接收到的数据量匹配。

Answer 2

我的猜测是它是伪随机的，以便攻击者更难猜测序列并欺骗数据包。哪个操作系统正在生成时髦的标识值？

Answer 3

我发现增量值取决于数据包之间的时间..在telnet中：如果您频繁发送快速字符..id将增加1..如果您以慢速发送字符..您会注意到差异..我没有找出真正的关系...但它与时间有关..