TCP_IP详解第二章Inernet地址结构

1、表示IP地址

– IPv4 地址

– 长 32 位 ，采用点分四组或点分十进制来表示。

– 点分十进制，每个数字都是非负整数，范围是 0~255.

    165.195.130.107

– 大多数时候我们更关心它的 二进制结构 ，如下转换：

    http://www.subnetmask.info/

 

– IPv6 地址

– 长 128 位 ，用冒号分八组十六进制表示。

– 特殊情况的表示

    例如IP地址和端口号之间使用冒号。在这种情况下，用括号字母包围IPv6地址

    

– 标准化表示法：

     一个块中的前导0必须省略。

      全0的块可以用: :省略，但只能出现一次，用于压缩最多的0，如果数量相同，顺序靠前的将被替换。

      在IPv6格式中嵌入IPv4地址可以采用混合符号形式，紧接着IPv4部分的地址快为ffff，其余部分为点分四组。例：：( : :ffff:10.0.0.1)可表示IPv4地址(10.0.0.1)。被称为IPv4映射的IPv6地址。

– 大多数时候我们更关心它的 二进制结构 ，如下转换：

    http://www.subnetmask.info/  

 

2、基本的IP地址结构

2.1、基本的IP地址结构--简介

– IPv4 地址空间中有 4294967296 个可能的地址，而 IPv6 的地址个数为

     340 282 366 920 938 463 463 374 607 431 768 211 456

    号称可以为地球上的每一粒沙子表示IP地址

 

– IP 地址可以根据类型和大小进行分组。大多数 IPv4 地址快被最终细分为一个地址，用于识别连接 Internet 的计算机网络接口，被称为 单播地址 。 IPv4 地址中 大部分是单播地址 。

–

– IPv6 地址空间中大部分目前未使用，由于 NAT 技术的推广延迟了 IPV6 技术的推广

–

– 除了单播地址，其他类型的地址包括广播，组播和任播地址，后续讨论

 

2.2、基本的IP地址结构---分类寻址

– 最初建立 Internet 地址结构时，每个地址包含： 网络部分 ( 网络号，用于识别该主机属于哪个网络 ) ，和 主机地址 ( 主机号，用于识别主机 ) 。 每个主机需要一个唯一的 IP 地址。 长 32 位 ，采用点分四组或点分十进制来表示。

– 最初的五大类地址

    每一类都基于网络中可容纳的主机数量，站点的网络号长，网络种类多，但是每个种类的网络可容纳的主机数就会少一些。要注意取舍。

 

– 其中 A 、 B 、 C 属于单播地址， D 位组播， E 位保留。

– 直观的空间划分：

– 可以看出 网络号长，网络种类多，主机号长，可容纳的主机多 。

– 一些缺陷： A 类 B 类网络号通常浪费了太多的主机号，而 C 类不能提供充足的主机号。还有就是 很难为新接入 Internet 的新网络分配新的网络号 。

2.3、基本的IP地址结构---子网寻址

    –为了解决“很难为新接入Internet的新网络分配新的网络号”这个问题，我们可以舍弃一些主机号长度(反正也用不完)，就不必再为新加入的网络分配网络号，使其成为站点，而是把它加入到已经分配的站点中。称为子网，把我们舍弃的主机号长度用来编号这些子网。剩下的主机号继续用来编号主机。

–比如这个例子，Internet中的一个站点已经被分配了B类的网络号(就是说前16位已经固定)，而后16位可以自由分配，和之前一个道理。这里例子分配了八位子网ID、八位主机ID，这个配置支持256个子网，每个子网最多包含254个地址(当前子网的第一个和最后一个地址无效！)。而且每个支持子网的站点都会有一个子网掩码，一会再说。

2.4、基本的IP地址结构---子网掩码

–子网掩码用于从主机的IP地址中获取网络号和子网信息。IP子网掩码和IP地址的长度相同(IPv4:32,IPv6:128)。可以静态也可以动态，这都是我们后面要讨论的。对于IPv4来说，子网掩码也采用相同格式(点分十进制)编写。由一串的1后跟若干0组成，有时被称为前缀长度。可以简化表示成一个十进制数，表示前面有几个1。下面是例子：

–IPv6 常见子网掩码格式

–子网掩码使用方法： 我们来看看子网掩码如何确定一个IP地址的网络信息。子网掩码中的1表示一个IP地址的对应位与一个地址的网络/子网对应位相结合。相反，子网掩码中的0表示，表示一个IP地址的对应位作为主机ID的一部分。举个例子，我们用子网掩码255.255.255.0，处理IPv4地址128.32.1.14

–

– 我们将地址中的以子网掩码 对应位与运算 。

 

2.5、基本的IP地址结构---可变长度子网掩码

– 一个站点的子网分配不一定都是我们刚才所说的： 8 位子网 ID8 位主机 ID 。可能有多种样子， 可以将不同的子网掩码用于相同网号的站点 ，虽然增加了复杂性，但是却提高了子网的灵活性。因为不同的子网 可以有不同的种类，可以容纳不同数量的主机 。当然站点要支持可变长度子网掩码 (VLSM) 。

–

– 下图所示的网络拓扑，它使用 VLSM 扩展了两个额外的子网

–

–

– 解释一下这张图，三个不同的子网掩码被用于站点 128.32.0.0/16 ： /24 、 /25 、 /26 。这样每个子网可以提供不同数量的主机。

2.6、基本的IP地址结构---广播地址

– 在每个 IPv4 地址中，一个特殊的地址被保留作为 子网广播地址 ，将 IPv4 地址的网络 / 子网部分设置为适当值， 主机部分全部设为 1 ，向这个 IP 发送数据报，就会发送到这个子网的所有主机上。

– 构造方式为：对 子网掩码取反 ，并与 子网中任意计算机的地址 进行 按位或运算 得到。例如，前缀为 128.32.1.0/24 的子网，的广播地址构造方式如图所示：

– IPv6 没有任何广播地址；广播地址可用于 IPv4 中，而 IPv6 仅使用组播

 

2.7、基本的IP地址结构---IPv6地址和接口标识符

– IPv6 地址

–

– 通过附件学习一下基础的 IPv6 的知识

– https://www.w3cschool.cn/ipv6/

 

– 接口标识符 IID  就是附件中提到的 接口 ID

 

3、CIDR和聚合

      3.1、CIDR和聚合---简介

– IPv4 地址面临的问题

– 1. 到 1994 年，一半以上的 B 类地址已被分配。预计， B 类地址空间大约在 1995 年将被用尽。

– 2.32 位的 IPv4 地址被认为不足以应付 Internet 在 21 世纪初的预期规模

– 3. 全球性路由表的数目（每个网络号对应一条）， 1995 年大约为 65000 个条目，目前仍在增长中。随着越来越多的 A 类， B 类， C 类路由条目的出现，路由性能将受到影响。

–

– 网络前缀

    为了帮助缓解IPv4地址的压力，分类寻址方案通常使用一个类似VLSM的方案，扩展Inernet路由系统以支持无类别域间路由(CIDR)。

      使用CIDR，未经过预定义的任何地址范围可作为一个类的一部分，但需要一个类似于子网掩码的掩码，有时也称为CIDR掩码。CIDR掩码不再局限于一个站点，而对全球性路由系统都是可见的。因此，除了网络号之外，核心Internet路由器必须能解释和处理掩码。这个数字组合称为网络前缀。

3.2、CIDR和聚合---前缀

      网络前缀展示

     

3.3、CIDR和聚合---聚合

3.4、CIDR和聚合---前缀

– 网络前缀示例

           参考资料----https://blog.csdn.net/iostream1001001/article/details/78126150

4、特殊用途地址

4.1、–IPv4特殊用途地址

4.2、–IPv6地址

4.3、特殊用途地址---IPv4/IPv6地址转换

4.4、特殊用途地址---组播

– 组播范围

– 节点本地 ( 同一计算机 )

– 链路本地（同一子网）

– 站点本地（适用于一些站点）

– 全球（整个 Internet ）

–

– 软件开发

– 在软件的控制下，每个 Internet 主机中的协议栈能加入或离开一个组播组

– 当一台主机向一个组发送数据时，它会创建一个数据报，使用 ( 单播 )IP 地址作为源地址，使用组播 IP 地址作为目的地址

–

– 组播服务模型

– ASM  (any source multicast )

– 任意源组播模型，任意一个发送者都可以作为组播源向某组播组地址发送信息

– SSM （ source specific multicast ）

– 通过在客户端指定组播源，而不接收其它源发送的信息

–从华为资料获取的地址范围

4.5、特殊用途地址---IPv6组播地址

– 三种常见的组播地址格式

 

– IPv6 组播地址空间中的保留地址

 

4.6、特殊用途地址---任播地址

– 任播地址是一个单播 IPv4 或 IPv6 地址，这些地址根据它所在的网络确定不同的主机。

–

– 一个任播地址不是 internet 中的一台主机，而是对于任播地址“最合适”或“最接近”的一台主机。

 

5、分配

– IP 地址空间通常被分配为大的块，这由一些分层次组织的权威机构完成。

–

– 权威机构为各种“所有者”分配地址空间的组织，“所有者”通常是 ISP 或者其他较小的权威机构。

 

5.1、分配----单播

– 对于单播 IPv4 和 IPv6 的地址空间， IANA 将分配权限主要委托给几个地区性 Internet 注册机构 (RIR)

– RIR 之间通过一个组织互相协作，即 2003 年创建的号码资源组织 (NRO ）

– 截止 2011 年初， IANA 拥有的剩余 IPv4 单播地址空间将移交给这些 RIR 分配。

5.2、分配----组播

– 在 IPv4 和 IPv6 中，组播地址 ( 即组地址 ) 可根据其范围来描述，他们需要根据组播方式 ( 静态，动态的协议或算法 ) ，以及是否使用 ASM 或 SSM 来确定。

– RPC5771 描述了 IPv4 的分配策略， RFC3307 描述了 IPv6 的分配策略

– 整体框架在 RFC6308 中有描述

 

6、单播地址分配

–下面描述网络管理员如何为各种常见场景的网络分配IP

6.1、单播地址分配----单个供应商/无网络/单个地址

–

– 目前，我们可获得的最简单的 Internet 服务是由 ISP 分配的 IP 地址。

– DSL 的中文名是数字用户线路，是以电话线为 传输介质 的传输技术组合。 DSL 技术在传递公用电话网络的用户环路上支持对称和非对称传输模式，解决了经常发生在网络服务供应商和最终用户间的“最后一公里”的传输瓶颈问题。由于 DSL 接入方案无需对电话线路进行改造，可以充分利用可以已经被大量铺设的 电话用户 环路，大大降低额外的开销。因此，利用铜缆电话线提供更高速率的因特网接入，更受用户的欢迎，得到了各个方面的重视，在一些国家和地区得到大量应用 。

– 对于 DSL 服务，单个地址可以被分配到一个点到点的链路的一端，并可能只是暂时的。

–

– 为了在 Linux 上查看一台主机使用的组播地址，我们可以使用 ifconfig 和 netstat 命令查看正在使用的 IP 地址和组 :

 

– 类似于家庭使用情况，一台路由器，家庭的所有设备都属于这个路由器的子网设备，而路由器的 wan 口通过运行商的 ISP 获取 1 个 IP ，重点是有个技术 NAT( 见第 7 章；在 windows 中称为 Internet 连接共享 ICS)

6.2、单播地址分配----单个供应商/多个网络/多个地址

– 小型到中型规模的企业常见网络模型

– 该网站一杯分配 128.32.2.64/26 范围内的 64 个公开 ( 可路由 ) 的 IPv4 地址。

– DMZ 网络包含 Internet 中可见的服务器。内部路由器使用 NAT 为企业内部的计算机提供 Internet 访问

6.3、单播地址分配----多个供应商/多个网络/多个地址

 

– 供应商聚合和供应商独立的 IPv4 地址用于一个假设的多宿主企业。如果 PI 地址是可用的，站点运营者倾向于选择使用 PI 空间。 ISP 更喜欢 PA 孔家，因为它可促进前缀聚合，减少路由表的大小。

7、与IP地址相关的攻击

– “肉鸡”

– IP 地址攻击 . docx

 

ip地址欺骗

 锁定

本词条由“科普中国”科学百科词条编写与应用工作项目 审核 。

IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。

中文名

IP地址欺骗

外文名

IPaddress spoofing

别    名

IP欺骗攻击

目录

1. 1 定义
2. 2 易受攻击的服务
3. 3 应用方法
4. 4 防御方法

定义

指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种骇客的攻击形式，骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种ip欺骗。

按照Internet Protocol(IP)网络互联协议，数据包头包含来源地和目的地信息。 而IP地址欺骗，就是通过伪造数据包包头，使显示的信息源不是实际的来源，就像这个数据包是从另一台计算机上发送的。

IP地址欺骗攻击示意图

易受攻击的服务

• 以IP地址认证作为用户身份的服务
• X window system
• 远程服务系列（如远程访问服务）

应用方法

在网络安全领域，隐藏自己的一种手段就是IP欺骗——伪造自身的IP地址向目标系统发送恶意请求，造成目标系统受到攻击却无法确认攻击源，或者取得目标系统的信任以便获取机密信息。

这两个目的对应着两种场景：

场景一，常用于DDoS攻击（分布式拒绝攻击），在向目标系统发起的恶意攻击请求中，随机生成大批假冒源IP，如果目标防御较为薄弱，对收到的恶意请求也无法分析攻击源的真实性，从而达到攻击者隐藏自身的目的。

这类场景里一种很有意思的特殊情景来自于“反射”式DDoS攻击，它的特点来自于利用目标系统某种服务的协议缺陷，发起针对目标系统输入、输出的不对称性——向目标发起吞吐量相对较小的某种恶意请求，随后目标系统因其协议缺陷返回大量的响应，阻塞网络带宽、占用主机系统资源。这时如果攻击者的请求使用真实源地址的话，势必要被巨大的响应所吞没，伤及自身。这样，攻击者采取IP欺骗措施就势在必行了。

场景二，原本A主机信任B主机，也就是B可以畅通无阻地获取A的数据资源。而恶意主机C为了能同样获取到A的数据，就需要伪装成B去和A通信。这样C需要做两件事：第一、让B“把嘴堵上”，不再向A吐请求，比如向B主机发起DoS攻击（拒绝服务攻击），占用B的连接使其无法正常发出网络包；第二、伪装成B的IP和A交互。

防御方法

IP欺骗的防范，一方面需要目标设备采取更强有力的认证措施，不仅仅根据源IP就信任来访者，更多的需要强口令等认证手段；另一方面采用健壮的交互协议以提高伪装源IP的门槛。

有些高层协议拥有独特的防御方法，比如TCP（传输控制协议）通过回复序列号来保证数据包来自于已建立的连接。由于攻击者通常收不到回复信息，因此无从得知序列号。不过有些老机器和旧系统的TCP序列号可以被探得