目录
网络层功能
定义了基于IP协议的逻辑地址;连接了不同的媒介类型;选择数据通过网络的最佳路径
IP数据包格式
IP数据包格式(分为20字节的固定部分,表示每个ip数据包必须包含的部分,和40字节的可变长部分)
版本号(4bit):指ip协议版本。并且通信双方使用的版本必须一致,目前我们使用的是ipv4
,表示为0100
首部长度(4):ip数据包的包头长度
优先级和服务类型(8):该字段用于表示数据包的优先级和服务类型。通过在数据包中划分移动的优先级,用于实现QoS(服务质量)的要求。
总长度(16):ip 数据包的总长度,最长为65535字节,包括包头和数据。
标识符(16)该字段用于表示ip数据包的标识符。当ip对上层数据进行分片时,他将给所以的分片分配一组编号,然后将这样编号放入标识符字段中,保证分配不会被错误地重组。标识符字段用于表示一个数据包,以便接收节点可以重组被分片的数据包
标志(3):和标识符一起传递,指示不可以被分片或者最后一方分片是否发出
段偏移量(13):在一个分片序列中如何将各分片连接起来,按什么顺序连接起来
TTL生命周期(8):可以防止一个数据包在网络中无限循环的转发下去,每经过一个路由器-1,当TTL的值为0是,改数据包将被丢弃
协议号(8):封装的上层哪个协议,ICMP:1 TCP:6 UDP:17
首部校验和(16):这个字段只检验数据报的首部,不包括数据部分。这是因为数据报每经过一次路由器,都要重新计算一下首部校验和〔因为,一些字段如生存时间、标志、片偏移等可能发生变化)
源地址(32):源ip地址,表示发送端的IP地址
目标地址(32):目标ip地址,表示接收端的IP地址
可选项:选项字段根据实际情况可变长,可以和TP一起使用的选项有多个。例如,可以输入创建该数据包的时间等。在可选项之后,就是上层数据
网络层协议
ICMP协议
ICMP是有关错误侦测和回馈机制的协议,通过IP数据包封装,用来发送错误和控制消息。
ICMP报文类型分为差错报告报文和查询报文
ping命令
当我们ping一台主机时,本地计算机发出的就是一个典型的ICMP 数据包,用来测试两台主机是否能够顺利连通。ping命令能够检测两台设备之间的双向连通性,即数据包能够到达对端,并能够返回。
ping不通的几种情况
1、当主机有一个默认网关时,如果他ping其他网段的地址,到不了的话,显示的是request timeout (此时他把ICMP包发给网关,至于后面的事他就不管,如果没有包回应,就显示request timeout)
2、当一个主机没有默认网关时或者配置了网关但是和网关不通时,如果他ping其他网段的地址,显示的是pestination hostunreachable (此时他发送ARP请求包请求网关的MAC地址)
3、当一个路由器ping它路由表中没有的地址时,显示的是request timeout(此时不发任何包)
4、当路由器ping一个路由表中存在地址时,如果没有回应,则显示的也是 reugest timeout(此时发送ARP请求包,请求目标IP的MAC地址)
ping命令的用法:结合具体在什么场景使用选项
-t在Windows 操作系统中,默认情况下发送4个ping 包,如果在 ping 命令后面加上参数" -t",系统将会一直不停地ping 下去
-a显示主机名
-l一般情况下,ping包的大小为 32字节,有时为了检测大数据包的通过情况,可以使用参数改变ping 包的大小,在linux系统下为-s
-n指定发送包的个数,在linux系统下为-c
-S指定源IP去ping,在linux系统下为-I
Win:tracert命令:
在命令行中输入"tracert "并在后面加入一个IP地址,可以查询从本机到该IP地址所在的电脑要经过的路由器及其IP地址
Linux:traceroute IP/域名。
ARP协议
什么是ARP协议:
ARP协议是地址解析协议( Address Resolution Protocol)是通过解析h地址得到Nuac地址的,是一个在网络协议包中极共重要的网络传输协议,它与网卡有着极其密切的关系,在TCP/IP分层结构中,把ARP划分为网络层,为什么呢,因为在网络层看来,源主机与目标主机是通过IP地址进行识别的,而所有的数据传输又依赖网卡底层硬件,即链路层,那么就需要将这些IP地址转换为链路层可以识别的东西,在所有的链路中都有着自己的一套寻址机制,如在以太网中使用MAC地址进行寻址,以标识不同的主机,那么就需要有一个协议将IP地址转换为MAC地址,由此就出现了ARP协议,所有ARP协议在网络层被应用,它是网络层与链路层连接的重要枢纽,每当有一个数据要发送的时候都需要在通过ARP协议将TP地址转换成MAC地址,在IP层及其以上的层次看来,他们只标识IP地址,从不跟硬件打交道
ARP协议如何工作的:
为了实现TP地址与MAC地址的查询与转换,ARP协议引入了ARP缓存表的概念,每台主机或路由器在维护着一个ARP缓存表(ARP table),这个表包含IP地址到MAC地址的映射关系,表中记录了<IP地址,MAC地址>对,他们是主机最近运行时获得关于其他主机的IP地址到MAC地址的映射,当需要发送数据的时候,主机就会根据数据报中的目标IP地址信息,然后在ARP缓存表中进行查找对应的MAC地址,最后通过网卡将数据发送出去。ARP缓存表包含一个寿命值(TTL,也称作生存时间),它将记录每个ARP表项的生存时间,生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始,一个表项通常的生存时间一般是3分钟,当然,这些生存时间是可以任意设置的,我们一般使用默认即可。
工作原理(结合交换机原理)
以两台局域网主机互相通信为例讲解原理ARP解析过程
(1)当PC1想发送数据给PC2,首先在自己的本地ARP缓存表中检查主机PC2匹配的MAc地址。
(2)如果PC1缓存中没有找到响应的条目,它将询问主机PC2的MAC地址,从而将ARP请求帧广播到本地网络的所有主机。该帧中包括源主机PC1的IP、MAC地址,本地网络中的所有主机都接收到ARP请求,并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配,则丢弃ARP请求。
(3)主机PC2确定ARP请求中得IP地址与自己的IP地址匹配,则将主机PC1的地址和MAC地址添加到本地缓存表中。
(4)主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1(数据帧为单播)。
(5)主机PC1收到PC2发送的ARP回复消息,将PC2的IP和MAC地址添加至自己ARP缓存表中,本机缓存是有生存期的,默认ARP缓存表有效期120s。当超过该有效期后,则将重复上面过程。主机PC2的MAC地址一旦确定,主机PC1就能向主机PC2发送IP信息。
精简版
ARP工作原理:
1.PC1想发送数据给PC2,会先检查自己的ARP缓存表。
2.如果发现要查找的MAC地址不在表中,就会发送一个ARP请求广播,用于发现目的地的MAC地址。ARP请求消息中包括PC1的IP地址和MAC地址以及PC2的IP地址和目的MAC地址(此时为广播MAC地址FF-FF-FF-FF-FF-FF) 。
3.交换机收到广播后做泛洪处理,除PC1外所有主机收到ARP请求消息,PC2以单播方式发送ARP应答
并在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系,而其他主机则丢弃这个ARP请求消息。
4.PC1在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系,以单播方式与PC2通信。
windows当中如何查看arp缓存表〈静态ARP和动态ARP)
arp -a ###查看arp缓存表
arp -d [ IP] ###删除arp缓存表
arp -s IP MAc ###删除arp静态绑定
如提示ARP项添加失败,解决方案:
a、用管理员模式:电脑左下角"开始"按钮右键,点击"windows Powershell (管理员)(A)"或者进入c盘windows \system32文件夹找到cmd.exe,右键"以管理员身份运行"再执行arp -s命令:绑定arp (win10)
cmd中输入:
netsh -c i i show in , 查看网络连接准确名称,如:本地连接、无线网络连接
netsh -c "i i" add neighbors 19"IP”"Mac",这里19是idx号。//绑定
netsh -c "i i" delete neighbors 19,这里19是idx号。//解绑
netsh interface ipv4 set neighbors<接口序号><IP><MAC>
动态ARP表项老化:在一段时间内(默认180s)如果表项中的ARP映射关系始终没有使用,则会被删除。通过及时删除不活跃表项,从而提升ARP响应效率。
APR攻击原理及抓包
arp攻击与欺骗ARP攻击
ARP攻击发送的是ARP应答,但是ARP应答中的MAc地址为虚假地址,所以在其他主机想要进行通信时,会将目的ac地址设置成此虚假iacl地址导致无法正常通信。
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新A条目后,如果网关再发生数据给Pc1时,就会发送到虚假的MAc地址导致通信故障。
此处可以举例说明,例如张三要给李四打电话,他首先要知道李四的电话号码,这时有人告诉他李四的电话号码是12345618(不存在的号码),于是张三就把电话打到12345678,这样就无法找到李四了。
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而ARrP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。
ARP报文(抓包)
arp报文(抓包分析)
重点有源ip目标ip和源mac和目标mac目的MAc地址: 54:89:98:0F:2B:BE源MAC地址: 54:89:98:5B:5B:8A
帧类型:0x0806--长度为2字节,0x0806代表为ARP packe
硬件类型: 0x0001 --长度为2字节,表示网络类型;以太网取值为1
协议类型:0x0800--长度为2字节,表示要映射的协议地址类型。取值为0x0800,表示根据IP地址来进行映射硬件地址长度: 0x06--长度为1字节,表示硬件地址长度;取值为0x06,以太网中表示MaAc地址长度为6字节协议地址长度: 0x04 --长度为1字节,表示协议地址长度;取值为0x04,以太网中表示IP地址长度为4字节op: 0x0002--长度为2个字节,表示ARP报文的种类:取值为1,表示请求报文;取值为2,表示ARP应答报文发送端MAc地址:54:89:98:5B:5B:8A(信息体的发起端>
发送端IP地址:OA:00:00:02(转换即为10.0.0.2)
目的端MAc地址:54:89:98:0F:2B:BE
目的端IP地址: 0A:00:00:01(转换即为10.0.0.1)
小结
这边简略叙述了网络层功能及部分协议,及能利用这些协议做出的基本操作
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
