Linux云计算之网络基础4——ICMP协议和ARP协议

ymiii

已于 2024-04-02 16:35:58 修改

阅读量1.6k

点赞数 27

分类专栏：运维基本功1 文章标签：网络 linux 服务器

于 2024-03-27 10:37:52 首次发布

本文链接：https://blog.csdn.net/m0_52432110/article/details/136997605

版权

运维基本功1 专栏收录该内容

28 篇文章 2 订阅

订阅专栏

本文详细探讨了ICMP协议的功能与应用，包括错误报告、路由优化、网络探测；介绍了ARP协议的工作原理、ARP攻击与防范方法；涉及交换机的基础配置和Cisco模拟器的使用；还涵盖了STP协议的作用以及网关型ARP欺骗的实例。

摘要由CSDN通过智能技术生成

一、ICMP协议

ICMP (internet control message protocol): 消息控制协议，是TCP/IP协议族的一部分。它主要用于在IP网络上传输控制消息，以提供有关网络通信的信息，同时也用于诊断网络问题和错误报告。
ICMP 协议的一些重要特点和功能
- 错误报告：ICMP 用于向源主机报告数据包传输过程中发生的错误。例如，当一个路由器发现一个数据包不能正确转发时，它会发送一个 ICMP 错误消息给源主机。
- Ping和Traceroute：ICMP 包含了两个常用的网络工具：Ping和Traceroute。Ping用于测试目标主机是否可达，Traceroute用于确定数据包从源主机到目标主机的路径。这两个工具通过发送特定类型的 ICMP 消息来实现。
- 重定向消息：当路由器发现有更优的路由到达目标网络时，它可以发送一个重定向消息给源主机，提示它使用更合适的路由。
- TTL（Time-to-Live）字段：在 IP 头部中的 TTL 字段指定了数据包在网络中可以经过的最大路由器数量。当路由器收到一个数据包时，它会将 TTL 减 1，如果 TTL 变为 0，路由器会丢弃该数据包，并发送一个 ICMP 时间超时消息给源主机。
- Echo请求和回复：用于 Ping 测试的 ICMP 消息类型之一是 Echo 请求和 Echo 回复。当主机发送一个 Echo 请求时，目标主机会返回一个相同的 Echo 回复，这可以用于测试网络的可达性和往返时间。
ICMP报文被封装在IP数据报中发送
ICMP报文的种类
- ICMP差错报告报文
  - 终点不可达
  - 源点抑制
  - 时间超过 (超时)
  - 参数问题
  - 改变路由 (重定向)
  - 不应发送ICMP差错报告报文的情况
    - 对ICMP差错报告报文不再发送ICMP差错报告报文
    - 对第一个分片的IP数据报片的所有后续数据报片都不发送ICMP差错报告报文
    - 对具有多播地址的IP数据报都不发送ICMP差错报告报文
    - 对具有特殊地址 (例如127.0.0.0或0.0.0.0) 的IP数据报不发送ICMP美错报告报文
- ICMP询问报文
  - 回送请求和回答
    - 由主机或路由器向一个特定的目的主机或路由器发出。
    - 收到此报文的主机或路由器必须给发送该报文的源主机或路由器发送ICMP回送回答报文
    - 这种询问报文用来测试目的站是否可达以及了解其有关状态
  - 时间戳请求和回答
    - 用来请求某个主机或路由器回答当前的日期和时间
    - 在ICMP时间戳回答报文中有一个32比特的字段，其中写入的整数代表从1900年1月1日起到当前时刻一共有多少
    - 这种询问报文用来进行时钟同步和测量时间
ICMP的典型应用
- 1.分组网间探测PING：
  - 用于测试主机或路由器之间的连通性
    - PING是TCP/IP体系结构的应用层直接使用网际层ICMP的一个例子，它并不使用运输层的TCP或UDP
    - PING应用所使用的ICMP报文类型为回送请求和回答
- 2.跟踪路由traceroute：
  - 用于探测IP数据报从源主机到达目的主机要经过哪些路由器
    - 在不同操作系统中，traceroute应用的命今和实现机制有所不同
      - 在UNIX版本中，具体命令为“traceroute”其在运输层使用UDP协议，在网络层使用ICMP报文类型只有差错报告报文。
      - 在Windows版本中，具体命令为“tracert”其应用层直接使用网际层的ICMP协议，所使用的ICMP报文类型有回送请求和回答报文以及差错报告报文。
根据OSI参考模型，在网络传输过程中，如果遇到不能正常传送或接受数据，需要根据第一层到第七层逐层进行排查。
- 网络传输过程中出了问题怎么排查——7层逐层排查
- 也可以 ping 检查
为了方便网络连通性测试和网络路径优化。ICMP配合网络联合运作
ICMP报文结果统计
ping命令的使用

二、ARP地址解析协议

ARP：地址解析协议
- 在OSI模型中ARP协议属于链路层，而在TCP/IP模型中，ARP协议属于网络层。
- 只支持IPV4的地址解析，不支持IPV6
- 目的：将IP地址和以太网深层次结合
- 原理：在以太网通信体系中，只知道网络节点的IP地址，不知道以太网中的MAC地址，无法形成数据帧的封装，所以必须知道网络节点的MAC地址才可以正常封装报文完成网络传输。
- 将一个已知的的IP地址解析成MAC地址，以便在交换机上通过MAC地址进行通信
ARP缓存表
- 主机1想发数据给主机2，先检查自己的ARP缓存表，ARP缓存表是主机存储在内存中的IP和MAC的对应的表
- PC1要发数据给PC2，需要先知道PC2的IP地址所对应的MAC地址是什么，需要通过ARP请求广播来实现。
- ARP表项的生成方式
  - 静态配置 (不灵活，24小时时效)
  - 通过ARP协议自动学习，动态获取，4小时之内
- ARP缓存表 (命令arp -a)
  - 在以太网设备中，任何设备都有这一张表。
- ARP高速缓存表中的记录类型和生命周期
  - IP地址与MAC地址的对应关系记录为什么要周期性删除呢?
    - 有助于确保网络的安全性、稳定性和性能。
    - 网络拓扑变化：网络中的设备可能会动态地加入或退出网络，或者更换网络接口。这种变化可能会导致IP地址与MAC地址的对应关系发生变化，因此周期性删除ARP表可以确保表中的对应关系是最新的。
    - 安全性：ARP欺骗（ARP spoofing）是一种常见的网络攻击方式，攻击者发送虚假的ARP响应以欺骗其他设备将流量发送到错误的目的地。定期删除ARP表中的对应关系可以减少成功进行ARP欺骗攻击的机会，因为攻击者的虚假对应关系不会长时间保持有效。
    - 资源管理：ARP表可能会占用设备的内存资源，尤其是在网络中存在大量设备的情况下。定期删除不再需要的对应关系可以释放内存资源，提高设备的性能和效率。
    - 减少错误情况的影响：如果网络中的设备发生故障或配置错误，可能会导致ARP表中的对应关系出现错误。定期删除ARP表可以帮助减少这些错误情况对网络性能和可用性的影响，因为设备将会重新学习正确的对应关系。
ARP报文
- ARP请求（ARP Request）：当一个设备需要知道另一个设备的MAC地址时，它会在本地网络上广播一个ARP请求。ARP请求中包含了目标IP地址，以及发送ARP请求的设备的MAC地址。ARP请求的目的是询问网络上是否有拥有目标IP地址的设备，并且请求该设备回复其MAC地址。
- ARP应答（ARP Reply）：当网络上有一个设备收到了ARP请求，并且拥有请求中指定的目标IP地址时，它会发送一个ARP应答。ARP应答中包含了目标IP地址和对应的MAC地址。收到ARP应答的设备将会更新它的ARP表，将目标IP地址和MAC地址的对应关系存储起来，以便以后的通信中使用。
- ARP报文
  - Ethernet2 | ARP | FCS
    - Ethernet2：指的是以太网帧（Ethernet frame），它是在以太网网络上传输数据的基本单位。以太网帧包含了目标设备的 MAC 地址、源设备的 MAC 地址、数据内容以及帧校验序列（FCS）等信息。
    - ARP：表示 ARP 报文，即地址解析协议报文，其中包含了 ARP 协议的具体内容。
    - FCS：帧校验序列（Frame Check Sequence），用于在以太网帧传输过程中检测数据是否发生了错误。
  - ARP广播 SMAC:SIP------>FFFF.FFFF.FFFF:DIP
    - ARP广播：这指的是 ARP 报文在网络上的广播传输方式。由于 ARP 请求需要找到目标设备的 MAC 地址，因此 ARP 请求通常以广播形式发送到网络上的所有设备。
    - SMAC：指的是发送 ARP 报文的设备的源 MAC 地址（Source MAC Address），即报文的发送者的 MAC 地址。
    - SIP：指的是发送 ARP 报文的设备的源 IP 地址（Source IP Address），即报文的发送者的 IP 地址。
    - FFFF.FFFF.FFFF：这是一个特殊的 MAC 地址，表示以太网的广播地址。当 ARP 请求发送到这个广播地址时，网络上的所有设备都可以接收到这个请求。
    - DIP：指的是 ARP 报文中目标设备的 IP 地址（Destination IP Address），即请求的目标设备的 IP 地址。
  - 描述了一个以太网上发送的 ARP 请求报文，其中源设备广播一个 ARP 请求到网络上的所有设备，以寻找指定目标设备的 MAC 地址。
- ping命令
  - 注意：在相同广播域内节点进行通信，针对目的节点IP地址进行ARP检索，不同广播域节点通信，针对网关的IP地址来进行检索。
- PC1的ARP缓存表没有PC2的MAC地址，于是发送ARP广播(帧) ，其他主机 (PC2、PC3、PC4) 收到ARP数据帧，进行IP比较。
- 如果目标IP地址与自己的IP地址不同，则会丢弃。只有目标主机（PC2) 查自己ARP缓存表，确定对应关系，发送一个ARP应答，确定并告诉PC1自己的MAC地址 (直接进行单
  播），然后PC1将PC2的MAC地址写进自己的ARP缓存表然后双方可以进行数据通信了
ARP攻击与欺骗
- 例如: 在局域网中，主机A、主机B、主机C同时收到ARP广播，主机A发送B数据信息
  主机A知道主机B的IP地址情况下，但是不知道主机B的MAC地址，于是在局域网内进行
  ARP广播，此时主机C在得知主机B的IP地址情况下，伪装成B，将自己的MAC地址发送
  给主机A，伪装成B和主机A进行通信，截取数据信息。
- 主机型欺骗
  - 在主机型欺骗中，攻击者发送虚假的ARP响应，宣称自己拥有目标主机的IP地址，并且将自己的MAC地址发送给网络中的其他设备。这样，其他设备发送到目标主机的数据包实际上会被发送到攻击者控制的设备上。
  - 主机型欺骗通常用于窃取数据或者中间人攻击。攻击者可以拦截网络通信、窃取用户的敏感信息，或者篡改数据包以实施欺诈行为。
- 网关型欺骗
  - 在网关型欺骗中，攻击者发送虚假的ARP响应，宣称自己是网络中的默认网关，并且将自己的MAC地址发送给其他设备。这样，网络中的所有数据包都会被发送到攻击者控制的设备上，然后由攻击者将数据包转发到真正的网关或者外部网络上。
  - 网关型欺骗可以导致所有网络流量经过攻击者的设备，攻击者可以窃取所有的网络通信数据、进行中间人攻击或者拒绝服务攻击，严重影响网络的安全和可用性。
- ARP攻击
  - 攻击主机制造假的arp应答，并发送给局域网中除被攻击之外的所有主机。arp应答中包含被攻击主机的IP地址和虚假的MAC地址。
  - 攻击主机制造假的arp应答，并发送给被攻击的主机，arp应答中包含除被攻击主机之外的所有主机的IP地址和虚假的MAC地址
  - 只要执行上诉arp攻击行为中的一种就可以实现被攻击主机和其他主机无法通信。
- 如何隔绝攻击？
  - 静态ARP绑定：在网络设备上配置静态ARP绑定，将IP地址与MAC地址的对应关系手动指定，并且不允许ARP协议动态学习。这样可以防止攻击者发送虚假的ARP响应来欺骗网络设备。
  - ARP检测工具：使用专门的ARP检测工具来监控网络中的ARP流量，并且检测是否存在异常的ARP活动。这些工具可以帮助及时发现ARP攻击行为，并采取相应的防御措施。
  - 网络入侵检测系统（IDS）：部署网络入侵检测系统来监控网络流量，并且检测是否有异常的ARP活动。IDS可以帮助及时发现并报告ARP攻击事件，以便网络管理员采取措施应对。
  - 端口安全功能：在交换机上启用端口安全功能，限制每个端口所允许学习的MAC地址数量，并且配置静态MAC地址绑定。这样可以防止攻击者通过发送大量虚假的ARP响应来充满交换机的MAC地址表。
  - 网络隔离：将网络分割成多个较小的子网，并且使用ACL（访问控制列表）或防火墙来限制子网之间的通信。这样即使发生ARP攻击，其影响也将被限制在较小的范围内。
  - 加密通信：使用加密技术保护网络通信，使得即使攻击者截获了数据包，也无法获取其中的敏感信息。

三、交换机的原理和基本配置

以太网基本介绍
- 以太网网络自适应
- 广播地址：ip层面的定向广播地址（192.168.1.255）
- Ipconfig/all 查看
交换机的介绍和工作原理
- 交换机的级联接口和下联接口是两种不同类型的接口，用于连接交换机与其他设备或网络的端口。它们在网络拓扑中的位置和功能有所不同：
  - 级联接口：通常连接到更高级别的网络设备，提供对外部网络的连接，
  - 下联接口：则连接到终端设备或其他较低级别的网络设备，提供对终端设备的接入。

四、Cisco模拟器的基本使用

安装
- http://t.csdnimg.cn/OPkgyhttp://t.csdnimg.cn/OPkgy
交换机的配置
- 连接
  - 计算机的com口接上交换机的Console口
  - 有的计算机可能需要转接头
  - console线
- 交换机的命令行操作 (可用补全功能)

作业

1：ICMP协议的主要作用是什么？并写出其基本的三个功能。另外如果出现路径优化重定向，那么ICMP报头的类型标志号是多少？

（1）ICMP（消息控制协议）主要作用是在IP网络中提供错误报告和网络诊断工具

（2）三个基本功能：1. 测试网络三层连通性：回声请求和回声应答(双向连通，有去有回；2. 差错提示：丢包返回原因提示；3. 路径优化: 路由器来自动判断来进行使用，ICMP重定向

（3）如果出现路径优化重定向，那么ICMP报头的类型标志号是50

2：如果我是主机A，我要访问主机B，主机B并不在我的局域网，我访问主机B，网络好像不能联通，请写出自己的检查网络的排错思路。

通过OSI七层模型逐层排查：

物理层：检查网线连接是否牢固、更换损坏的网线、确认网络设备的物理连接是否正确；

数据链路层：MAC地址冲突、帧损坏、网络设备配置错误等；

网络层：检查主机的IP配置、使用ping或traceroute测试主机之间的连通性、检查路由器配置等；

传输层：TCP或UDP端口被阻塞、TCP连接超时、TCP窗口大小设置错误等；

会话层：确认应用程序是否正确地建立了会话、检查会话设置是否正确、排查网络设备是否对会话进行了干扰等；

表示层：确认数据格式是否正确、检查数据是否被正确地加密和解密、排查可能导致数据格式错误的因素等；

应用层：检查应用程序日志、确认应用层协议是否正确实现、尝试使用其他应用程序进行通信等

2. 通过ping命令来检查：

检查目标主机的可达性：“ping <目标主机IP或域名>” 如果ping不通，可能表示目标主机不可达或网络连接存在问题；

检查网络延迟：“ping -n <次数> <目标主机IP或域名>” 观察ping的响应时间，评估网络延迟情况，较高的响应时间可能表示网络拥塞或连接质量差；

检查数据包丢失情况：“ping -c <次数> <目标主机IP或域名>” 如果ping命令返回的丢包率较高，可能表示网络连接不稳定或存在丢包问题。可以检查网络设备、路由器配置和网络负载等因素；

检查MTU大小问题：“ping -l <数据包大小> <目标主机IP或域名>” 调整ping命令中的数据包大小，检查网络路径的最大传输单元（MTU）是否正确设置，ping命令成功，但使用大数据包时失败，可能表示MTU大小不匹配；

检查DNS解析：“ping <目标主机域名>” 如果ping使用域名而不是IP地址，并且无法解析域名到IP地址，则可能表示DNS配置问题。可以使用其他DNS服务器或手动配置IP地址来解决

3：①：我要对192.168.1.104测试网络联通性，使用ping命令，我想发10个包进行测试，请写出命令
ping -c 10 192.168.1.104
②：查询我和www.sohu.com通信，中间经过的TTL跳数

4：简要介绍STP协议的主要作用是什么？

STP（Spanning Tree Protocol）是一种用于在具有冗余连接的网络中防止网络环路的协议。它是一种数据链路层协议，通常在以太网上实现，用于确保网络中没有环路存在，以避免数据包在网络中无限循环。

STP协议的主要作用是防止网络中出现环路，并确保网络拓扑是冗余但不是循环的

5：结合此图，写出PC4给PC3发数据过程中，自己对网关型ARP攻击与欺骗的理解

假设laptop0是攻击者，laptop0首先在目标网络中探测活动主机和网关的IP地址，pc3通过网关向pc4发送ARP响应，同时laptop0向目标网络中的pc4发送虚假的ARP响应，由于arp地址解析协议具有后来先得的性质，pc3先发生的ARP响应被丢弃，从而laptop0发送虚假的ARP响应被记录下来，将目标主机pc4对网关的ARP缓存中的条目更新为攻击者laptop0控制的设备的MAC地址。目标主机pc4接受了虚假的ARP响应，它会将网络流量发送到攻击者laptop0控制的设备，而不是真正的网关。laptop0对pc4进行了网关型欺骗，对pc3进行了攻击