目录
一,IP包头分析
IP数据包格式
(不换行)(单位/bit)
大小(可变):20B~60B(一般为20B)
版本:0100(二进制)ip v4
首部长度:用来标识ip包头大小
优先级与服务类型:(QOS,TOS)
总长度:ip包的长度
当长度超过1500时进行切割(每节都需要包头)
标识符:对同一包进行分片。
标志:标志位的第一位不启用(保留位),第二位有0(代表该数据包进行了分片)和1(未分片),第三位确定本分片是否为最后一个分片。(0和1)
段偏移量:决定传输先后顺序(数值为1480的递加)
TTL(0~255):防止数据包在网络上永久的循环下去。
协议号:6:TCP,17:UDP,1:同层
首部校验和:只校验IP包头(20~60字节)
二路由原理
路由(链接不同网段):路由器为IP包选择路径的过程。
路由表:为数据包选择路径的唯一依据(有则转发没有则消失 )
1,“C”:直连, “S”:静态(手动设置)
2.目标ip地址
3.目标端口或跳到最近路由器端口
0.0.0.0/0.0.0.0代表所有IP地址和子母掩码
s*默认路由(不会丢弃数据包)
管理距离值:每一种路由类型都有自己固定的默认的管理距离值,c的是0,s的是1;s*为无穷大。
路由条目的优先级与这个管理距离值成反比,值越大,优先级越小,路由顺序:C<--S< --S*(最后的)。
(已有高的优先级低级会被隐藏)
交换机与路由器对比
演示
浮动路由:
在静态或默认路由后加空格+数字(正整数)
三ARP的协议分析
广播和广播域
广播:将广播地址作为目的地址的数据帧(广播地址作为目标IP发送)
广播域:网络中能够接收到同一个广播所有节点的集合(越小越好)
交换机隔离不了广播域,路由器控制广播。
ARP协议概述
——Address Resolution Protocol,地址解析协议
——将一个已知的IP地址解析成MAC地址
1.ARP广播请求
2.ARP单波应答
查看ARP缓冲表
广播域被路由器隔离(内网协议)内网攻击
Windows系统的ARP命令
—arp -a:查看ARP缓存表
—arp -d:清楚ARP缓存
—arp -s:ARP绑定
ARP攻击原理
ARP欺骗原理
当目标IP与自己IP地址在同一网段时会直接发送ARP广播报文去请求MAC地址。不在同一网段时会发ARP广播地址询问网管MAC地址。
ARP攻击---目的就是中断通信/断网
ARP欺骗---目的不是为了断网,是为了监听,窃取,篡改,控制流量
可以pingIP的才有MAC地址
路由器工作原理
四ARP防御
1.静态ARP绑定
手工绑定/双向绑定
缺点:效率低,工作量大
windows客户机上:
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP缓存表
2.ARP防火墙
自动绑定静态ARP
主动防御
3.硬件级ARP防御
交换机支持端口做动态ARP绑定(配合DHCP服务器)
或做静态ARP绑定