千锋学习笔记

IP包头分析与静态路由

IP数据包格式

1.ip包头的最小长度：20字节

ip包头的最大长度：60字节（可选项不常被使用）

2.首部长度：标识本ip包头的总长度

3.总长度 ：ip报文的总长度（3.4.5层总长度）

4.段偏移量：决定分片的先后顺序

段偏移量是0或1480的倍数

5.标识符：决定同一个数据报文的所有分片

6.标志：第一个比特永远为0（未启用）

第二个比特为0（数据包进行了分片）1代表未分片

最后一位表明是否为最后一个分片，为1还有后续分片

7.分片在网络层

防火墙：010才能通过

8.TTL（8）:转换成十进制最大为255，经过一个路由器就-1

作用：防止数据包在网络上永久的循环下去

9.协议号：识别上层协议（TCP【6】,UDP【17】,ICMP【1】）

10.首部校验和：校验3层的ip包头（20-60个字节）

路由原理

1.路由（路由器为ip包选择路径的过程）：跨越从源主机到目标主机的一个互联网络来转发数据包的过程

2.路由器：连接不同网段

3.

S*：0.0.0.0/0:任何网段，任何掩码【默认路由】

4.ipv4地址32位

ipv6地址128位

5.S*的管理值：无穷大

S的管理值：1

C 的管理值：0

管理值越小优先级越高

6.路由表：路由器中维护的路由条目的集合

浮动路由：在静态或默认路由后加空格+数字（正整数）

ARP协议

1.广播：将广播地址作为目的地址的数据帧

广播域：网络中能接收到同一个广播所有节点的集合

2.MAC地址广播：广播地址为FF-FF-FF-FF-FF-FF

IP地址广播：

（1）255.255.255.255

（2）广播ip地址为ip地址网段的广播地址

3.交换机不能控制广播，路由器可以

4.ARP协议（地址解析协议）

作用：将一个已知的IP地址解析成MAC地址

5.（1）ARP广播请求（内容：我是10.1.1.1 我的mac：AA 谁是10.1.1.3 你的mac：？）

（2）ARP单播应答

6.查看arp缓存

7.ARP协议是内网协议（不能攻击外网）

8.ARP相关命令

arp -a:查看ARP缓存表

arp -d:清除ARP缓存（本次开机学习）

arp -s：ARP绑定

9.

 

攻击：发送虚假的MAC地址（断网）

欺骗：虚假的MAC地址是黑客自己的MAC地址

攻击和欺骗的原理:通过发送伪造虚假的ARP报文（广播或单播），来实现的攻击或欺骗，如虚假报文的mac是伪造的不存在的，实现ARP攻击，结果为中断通信/断网

如虚假报文的mac是攻击者自身的MAC地址，实现ARP欺骗，结果可以监听，窃取，篡改，控制流量，但不中断通信

路由原理（二）

1.交换机端口不能配ip（只有能配ip的接口才有MAC）

2.路由器可以配ip

3.路由器工作流程：当一个帧到路由器后，首先检查帧头的目标MAC地址是不是自己，不是则丢弃。是则解封装，将ip包输送到路由器内部，

检查目标ip，并匹配路由表。有则路由转发，没有则丢弃数据，并向源ip回馈错误信息。如果路由表里有，则按路由表路由到出接口，

准备封装帧，出接口作为源MAC地址，目标MAC地址检查ARP缓存表有无下一跳的ip的mac地址，有则提取并作为目标MAC地址封装，没有向下一跳发送ARP广播请求下一跳mac地址。记录缓存后封装帧后发出

ARP防御

1.静态arp绑定（手工绑定）双向绑定

arp -s ip地址 mac地址（静态绑定）

2.ARP防火墙

自动绑定静态ARP，主动防御

3.硬件级ARP防御：

交换机支持端口做动态ip绑定（配合DHCP服务）

或做静态ARP绑定