1、表示IP地址
–
IPv4
地址
–
长
32
位
,采用点分四组或点分十进制来表示。
–
点分十进制,每个数字都是非负整数,范围是
0~255.
165.195.130.107
–
大多数时候我们更关心它的
二进制结构
,如下转换:
http://www.subnetmask.info/
–
IPv6
地址
–
长
128
位
,用冒号分八组十六进制表示。
–
特殊情况的表示
例如IP地址和端口号之间使用冒号。在这种情况下,用括号字母包围IPv6地址
–
标准化表示法:
一个块中的前导0必须省略。
全0的块可以用: :省略,但只能出现一次,用于压缩最多的0,如果数量相同,顺序靠前的将被替换。
在IPv6格式中嵌入IPv4地址可以采用混合符号形式,紧接着IPv4部分的地址快为ffff,其余部分为点分四组。例::( : :ffff:10.0.0.1)可表示IPv4地址(10.0.0.1)。被称为IPv4映射的IPv6地址。
–
大多数时候我们更关心它的
二进制结构
,如下转换:
http://www.subnetmask.info/
2、基本的IP地址结构
2.1、基本的IP地址结构--简介
–
IPv4
地址空间中有
4294967296
个可能的地址,而
IPv6
的地址个数为
340 282 366 920 938 463 463 374 607 431 768 211 456
号称可以为地球上的每一粒沙子表示IP地址
–
IP
地址可以根据类型和大小进行分组。大多数
IPv4
地址快被最终细分为一个地址,用于识别连接
Internet
的计算机网络接口,被称为
单播地址
。
IPv4
地址中
大部分是单播地址
。
–
–
IPv6
地址空间中大部分目前未使用,由于
NAT
技术的推广延迟了
IPV6
技术的推广
–
–
除了单播地址,其他类型的地址包括广播,组播和任播地址,后续讨论
2.2、基本的IP地址结构---分类寻址
–
最初建立
Internet
地址结构时,每个地址包含:
网络部分
(
网络号,用于识别该主机属于哪个网络
)
,和
主机地址
(
主机号,用于识别主机
)
。
每个主机需要一个唯一的
IP
地址。
长
32
位
,采用点分四组或点分十进制来表示。
–
最初的五大类地址
每一类都基于网络中可容纳的主机数量,站点的网络号长,网络种类多,但是每个种类的网络可容纳的主机数就会少一些。要注意取舍。
–
其中
A
、
B
、
C
属于单播地址,
D
位组播,
E
位保留。
–
直观的空间划分:
–
可以看出
网络号长,网络种类多,主机号长,可容纳的主机多
。
–
一些缺陷:
A
类
B
类网络号通常浪费了太多的主机号,而
C
类不能提供充足的主机号。还有就是
很难为新接入
Internet
的新网络分配新的网络号
。
2.3、基本的IP地址结构---子网寻址
–为了解决“很难为新接入Internet的新网络分配新的网络号”这个问题,我们可以舍弃一些主机号长度(反正也用不完),就不必再为新加入的网络分配网络号,使其成为站点,而是把它加入到已经分配的站点中。称为子网,把我们舍弃的主机号长度用来编号这些子网。剩下的主机号继续用来编号主机。
–比如这个例子,Internet中的一个站点已经被分配了B类的网络号(就是说前16位已经固定),而后16位可以自由分配,和之前一个道理。这里例子分配了八位子网ID、八位主机ID,这个配置支持256个子网,每个子网最多包含254个地址(当前子网的第一个和最后一个地址无效!)。而且每个支持子网的站点都会有一个子网掩码,一会再说。
2.4、基本的IP地址结构---子网掩码
–子网掩码用于从主机的IP地址中获取网络号和子网信息。IP子网掩码和IP地址的长度相同(IPv4:32,IPv6:128)。可以静态也可以动态,这都是我们后面要讨论的。对于IPv4来说,子网掩码也采用相同格式(点分十进制)编写。由一串的1后跟若干0组成,有时被称为前缀长度。可以简化表示成一个十进制数,表示前面有几个1。下面是例子:
–IPv6 常见子网掩码格式
–子网掩码使用方法: 我们来看看子网掩码如何确定一个IP地址的网络信息。子网掩码中的1表示一个IP地址的对应位与一个地址的网络/子网对应位相结合。相反,子网掩码中的0表示,表示一个IP地址的对应位作为主机ID的一部分。举个例子,我们用子网掩码255.255.255.0,处理IPv4地址128.32.1.14
–
–
我们将地址中的以子网掩码
对应位与运算
。
2.5、基本的IP地址结构---可变长度子网掩码
–
一个站点的子网分配不一定都是我们刚才所说的:
8
位子网
ID8
位主机
ID
。可能有多种样子,
可以将不同的子网掩码用于相同网号的站点
,虽然增加了复杂性,但是却提高了子网的灵活性。因为不同的子网
可以有不同的种类,可以容纳不同数量的主机
。当然站点要支持可变长度子网掩码
(VLSM)
。
–
–
下图所示的网络拓扑,它使用
VLSM
扩展了两个额外的子网
–
–
–
解释一下这张图,三个不同的子网掩码被用于站点
128.32.0.0/16
:
/24
、
/25
、
/26
。这样每个子网可以提供不同数量的主机。
2.6、基本的IP地址结构---广播地址
–
在每个
IPv4
地址中,一个特殊的地址被保留作为
子网广播地址
,将
IPv4
地址的网络
/
子网部分设置为适当值,
主机部分全部设为
1
,向这个
IP
发送数据报,就会发送到这个子网的所有主机上。
–
构造方式为:对
子网掩码取反
,并与
子网中任意计算机的地址
进行
按位或运算
得到。例如,前缀为
128.32.1.0/24
的子网,的广播地址构造方式如图所示:
–
IPv6
没有任何广播地址;广播地址可用于
IPv4
中,而
IPv6
仅使用组播
2.7、基本的IP地址结构---IPv6地址和接口标识符
–
IPv6
地址
–
–
通过附件学习一下基础的
IPv6
的知识
–
接口标识符
IID
就是附件中提到的 接口
ID
3、CIDR和聚合
3.1、CIDR和聚合---简介
–
IPv4
地址面临的问题
–
1.
到
1994
年,一半以上的
B
类地址已被分配。预计,
B
类地址空间大约在
1995
年将被用尽。
–
2.32
位的
IPv4
地址被认为不足以应付
Internet
在
21
世纪初的预期规模
–
3.
全球性路由表的数目(每个网络号对应一条),
1995
年大约为
65000
个条目,目前仍在增长中。随着越来越多的
A
类,
B
类,
C
类路由条目的出现,路由性能将受到影响。
–
–
网络前缀
为了帮助缓解IPv4地址的压力,分类寻址方案通常使用一个类似VLSM的方案,扩展Inernet路由系统以支持无类别域间路由(CIDR)。
使用CIDR,未经过预定义的任何地址范围可作为一个类的一部分,但需要一个类似于子网掩码的掩码,有时也称为CIDR掩码。CIDR掩码不再局限于一个站点,而对全球性路由系统都是可见的。因此,除了网络号之外,核心Internet路由器必须能解释和处理掩码。这个数字组合称为网络前缀。
3.2、CIDR和聚合---前缀
网络前缀展示
3.3、CIDR和聚合---聚合
3.4、CIDR和聚合---前缀
–
网络前缀示例
参考资料----https://blog.csdn.net/iostream1001001/article/details/78126150
4、特殊用途地址
4.1、–IPv4特殊用途地址
4.2、–IPv6地址
4.3、特殊用途地址---IPv4/IPv6地址转换
4.4、特殊用途地址---组播
–
组播范围
–
节点本地
(
同一计算机
)
–
链路本地(同一子网)
–
站点本地(适用于一些站点)
–
全球(整个
Internet
)
–
–
软件开发
–
在软件的控制下,每个
Internet
主机中的协议栈能加入或离开一个组播组
–
当一台主机向一个组发送数据时,它会创建一个数据报,使用
(
单播
)IP
地址作为源地址,使用组播
IP
地址作为目的地址
–
–
组播服务模型
–
ASM (any source multicast )
–
任意源组播模型,任意一个发送者都可以作为组播源向某组播组地址发送信息
–
SSM
(
source specific multicast
)
–
通过在客户端指定组播源,而不接收其它源发送的信息
–从华为资料获取的地址范围
4.5、特殊用途地址---IPv6组播地址
–
三种常见的组播地址格式
–
IPv6
组播地址空间中的保留地址
4.6、特殊用途地址---任播地址
–
任播地址是一个单播
IPv4
或
IPv6
地址,这些地址根据它所在的网络确定不同的主机。
–
–
一个任播地址不是
internet
中的一台主机,而是对于任播地址“最合适”或“最接近”的一台主机。
5、分配
–
IP
地址空间通常被分配为大的块,这由一些分层次组织的权威机构完成。
–
–
权威机构为各种“所有者”分配地址空间的组织,“所有者”通常是
ISP
或者其他较小的权威机构。
5.1、分配----单播
–
对于单播
IPv4
和
IPv6
的地址空间,
IANA
将分配权限主要委托给几个地区性
Internet
注册机构
(RIR)
–
RIR
之间通过一个组织互相协作,即
2003
年创建的号码资源组织
(NRO
)
–
截止
2011
年初,
IANA
拥有的剩余
IPv4
单播地址空间将移交给这些
RIR
分配。
5.2、分配----组播
–
在
IPv4
和
IPv6
中,组播地址
(
即组地址
)
可根据其范围来描述,他们需要根据组播方式
(
静态,动态的协议或算法
)
,以及是否使用
ASM
或
SSM
来确定。
–
RPC5771
描述了
IPv4
的分配策略,
RFC3307
描述了
IPv6
的分配策略
–
整体框架在
RFC6308
中有描述
6、单播地址分配
–下面描述网络管理员如何为各种常见场景的网络分配IP
6.1、单播地址分配----单个供应商/无网络/单个地址
–
–
目前,我们可获得的最简单的
Internet
服务是由
ISP
分配的
IP
地址。
–
DSL
的中文名是数字用户线路,是以电话线为
传输介质
的传输技术组合。
DSL
技术在传递公用电话网络的用户环路上支持对称和非对称传输模式,解决了经常发生在网络服务供应商和最终用户间的“最后一公里”的传输瓶颈问题。由于
DSL
接入方案无需对电话线路进行改造,可以充分利用可以已经被大量铺设的
电话用户
环路,大大降低额外的开销。因此,利用铜缆电话线提供更高速率的因特网接入,更受用户的欢迎,得到了各个方面的重视,在一些国家和地区得到大量应用
。
–
对于
DSL
服务,单个地址可以被分配到一个点到点的链路的一端,并可能只是暂时的。
–
–
为了在
Linux
上查看一台主机使用的组播地址,我们可以使用
ifconfig
和
netstat
命令查看正在使用的
IP
地址和组
:
–
类似于家庭使用情况,一台路由器,家庭的所有设备都属于这个路由器的子网设备,而路由器的
wan
口通过运行商的
ISP
获取
1
个
IP
,重点是有个技术
NAT(
见第
7
章;在
windows
中称为
Internet
连接共享
ICS)
6.2、单播地址分配----单个供应商/多个网络/多个地址
–
小型到中型规模的企业常见网络模型
–
该网站一杯分配
128.32.2.64/26
范围内的
64
个公开
(
可路由
)
的
IPv4
地址。
–
DMZ
网络包含
Internet
中可见的服务器。内部路由器使用
NAT
为企业内部的计算机提供
Internet
访问
6.3、单播地址分配----多个供应商/多个网络/多个地址
–
供应商聚合和供应商独立的
IPv4
地址用于一个假设的多宿主企业。如果
PI
地址是可用的,站点运营者倾向于选择使用
PI
空间。
ISP
更喜欢
PA
孔家,因为它可促进前缀聚合,减少路由表的大小。
7、与IP地址相关的攻击
–
“肉鸡”
ip地址欺骗
锁定
本词条由“科普中国”科学百科词条编写与应用工作项目 审核 。
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。这是一种黑客的攻击形式,黑客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。
中文名
IP地址欺骗
外文名
IPaddress spoofing
别 名
IP欺骗攻击
目录
- 1 定义
- 2 易受攻击的服务
- 3 应用方法
- 4 防御方法
定义
指行动产生的IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。这是一种骇客的攻击形式,骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种ip欺骗。
按照Internet Protocol(IP)网络互联协议,数据包头包含来源地和目的地信息。 而IP地址欺骗,就是通过伪造数据包包头,使显示的信息源不是实际的来源,就像这个数据包是从另一台计算机上发送的。
IP地址欺骗攻击示意图
易受攻击的服务
应用方法
在网络安全领域,隐藏自己的一种手段就是IP欺骗——伪造自身的IP地址向目标系统发送恶意请求,造成目标系统受到攻击却无法确认攻击源,或者取得目标系统的信任以便获取机密信息。
这两个目的对应着两种场景:
场景一,常用于DDoS攻击(分布式拒绝攻击),在向目标系统发起的恶意攻击请求中,随机生成大批假冒源IP,如果目标防御较为薄弱,对收到的恶意请求也无法分析攻击源的真实性,从而达到攻击者隐藏自身的目的。
这类场景里一种很有意思的特殊情景来自于“反射”式DDoS攻击,它的特点来自于利用目标系统某种服务的协议缺陷,发起针对目标系统输入、输出的不对称性——向目标发起吞吐量相对较小的某种恶意请求,随后目标系统因其协议缺陷返回大量的响应,阻塞网络带宽、占用主机系统资源。这时如果攻击者的请求使用真实源地址的话,势必要被巨大的响应所吞没,伤及自身。这样,攻击者采取IP欺骗措施就势在必行了。
场景二,原本A主机信任B主机,也就是B可以畅通无阻地获取A的数据资源。而恶意主机C为了能同样获取到A的数据,就需要伪装成B去和A通信。这样C需要做两件事:第一、让B“把嘴堵上”,不再向A吐请求,比如向B主机发起DoS攻击(拒绝服务攻击),占用B的连接使其无法正常发出网络包;第二、伪装成B的IP和A交互。
防御方法
IP欺骗的防范,一方面需要目标设备采取更强有力的认证措施,不仅仅根据源IP就信任来访者,更多的需要强口令等认证手段;另一方面采用健壮的交互协议以提高伪装源IP的门槛。
有些高层协议拥有独特的防御方法,比如TCP(传输控制协议)通过回复序列号来保证数据包来自于已建立的连接。由于攻击者通常收不到回复信息,因此无从得知序列号。不过有些老机器和旧系统的TCP序列号可以被探得