UDP 报头结构 - Wireshark 数据包分析实战（第 3 版） - 知乎书店1

UDP（User Datagram Protocol）是一种无连接的、不可靠的传输层协议，与TCP（Transmission Control Protocol）相比，它的设计更为简单，主要用于对实时性要求较高的应用，例如语音通话、视频会议和在线游戏等。在Wireshark这样的数据包分析工具中，理解UDP报头结构对于网络诊断和问题排查至关重要。 UDP报头包含四个主要字段： 1. 源端口号（Source Port）：这是一个16位的字段，用于标识发送数据的源应用程序或进程。它允许接收方知道数据来自哪个特定的源服务。 2. 目标端口号（Destination Port）：同样是一个16位的字段，标识接收数据的目的应用程序或进程。这个字段告诉接收计算机如何路由接收到的数据。 3. 长度（Length）：这是一个16位的字段，表示整个UDP数据报（包括报头和数据）的字节数。这个字段有助于确定数据报的边界，尤其是在数据包被分割或重组的情况下。 4. 校验和（Checksum）：也是一个16位的字段，用于检查UDP数据报在传输过程中的错误。尽管UDP不提供像TCP那样的可靠传输，但这个校验和可以提供一定程度的数据完整性验证。然而，这个字段可以被设置为零，表示不进行校验和计算，这在某些情况下可能会增加数据丢失的风险。 在图8-13中展示的实例是一个使用UDP的DNS（Domain Name System）请求。DNS是互联网上的一个关键服务，它负责将人类可读的域名转换成IP地址。由于DNS查询通常需要快速响应，UDP因其低延迟特性而被选用。当使用Wireshark分析这个数据包时，可以看到UDP头的这四个域以及其对应的值。 值得注意的是，UDP不保证数据包的顺序、完整性和重传，这意味着使用UDP的应用程序必须自己处理这些问题。例如，如果一个视频流丢失了某个数据包，那么播放可能会出现卡顿，而应用程序需要有机制来恢复这种丢失。相比之下，TCP提供了连接建立、流量控制、拥塞控制和确认重传等一系列机制，确保数据的可靠传输，但代价是增加了额外的开销和延迟。 本章对传输层的TCP和UDP进行了介绍，强调了它们在网络通信中的核心作用。掌握这两个协议的分析技巧对于成为数据包分析专家至关重要。在后续章节中，我们将进一步探讨应用层协议，这些协议是建立在TCP和UDP之上，实现具体应用功能的，例如HTTP、FTP、DNS等。了解这些协议的工作原理和交互方式，将有助于深入理解网络通信的全貌。