目录
一.网络层
1.什么是网络层
网络层是OSI参考模型中的第三层,介于传输层和数据链路层之间,它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上,进一步管理网络中的数据通信,将数据设法从源端经过若干个中间节点传送到目的端,从而向传输层提供最基本的端到端的数据传送服务。主要内容有:虚电路分组交换和数据报分组交换、路由选择算法、阻塞控制方法、X.25协议、综合业务数据网(ISDN)、异步传输模式(ATM)及网际互连原理与实现。
2.网络层的功能
定义了基于IP协议的逻辑地址
连接不同的媒介类型
选择数据通过网络的最佳路径
二.IP数据包格式
(分为20字节的固定部分,表示每个IP数据包必须包含的部分,和40字节的可变长部分)
1.版本号(4 bit位):指IP协议版本。并且通信双方使用的版本必须一致,目前我们使用的是IPv4,表示为0100.
2.首部长度(4):IP数据包的包头长度
3. 优先级与服务类型(8):该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级,用于实现Qos(服务质量)的要求。
4.总长度(16):IP数据包的总长度,最长为65535字节,包括包头和数据。
5.标识符(16):该字段用于表示IP数据包的标识符。当IP对上层数据进行分片时,它将给所有的分片分配一组编号,然后将这些编号放入标识符字段中,保证分片不会被错误地重组。标识符字段用于标志一个数据包,以便接收节点可以重组被分片的数据包。
6.标志(3):和标识符一起传递,指示不可以被分片或者最后一个分片是否发出
7.段偏移量(13):在一个分片序列中如何将各分片连接起来,按什么顺序连接起来
8.TTL生命周期(8)﹔可以防止一个数据包在网络中无限循环的转发下去,每经过一个路由器-1,当TTL的值为0时,该数据包将被丢弃
9.协议号(8):封装的上层哪个协议,ICMP:1 TCP:6 UDP:17
10.首部校验和(16)﹔这个字段只检验数据报的首部,不包括数据部分。这是因为数据报没经过一次路由器,都要重新计算一下首部校验和(因为,一些字段如生存时间、标志、片偏移等可能发生变化).
11.源地址(32):源ip地址,表示发送端的Ip地址
12.目标地址(32):目标ip地址,表示接收端的IP地址
13.可选项: 选项字段根据实际情况可变长,可以和IP一起使用的选项有多个。例如,可以输入创建该数据包的时间等。在可选项之后,就是上层数据。
注:根据实际情况可变长,例如创建时间等
14.上层数据
三.ICMP协议
1.ICMP是一个“错误侦测与回顾机制”,通过IP数据包封装的,用来发送错误和控制消息。
2.ICMP协议的封装,ICMP协议属于网络层协议
ICMP数据的封装过程
四.Ping命令
在检查网络连通性时,ping命令时用的最多的
当我们ping一台主机时,本地计算机发出的就是一个典型的ICMP数据包,用来测试两台主机是否能够顺利连通。Ping命令能够检测两台设备之间的双向连通性,即数据包能够到达对端,并能够返回。
1.Ping不通的几种情况
1,当主机有一个默认网关时,如果他ping其他网段的地址,到不了的话,显示的是request timeout(此时他把ICMP包发给网关,至于后面的事他就不管,如果没有包回应,就是显示request timeout)。
2. 当一个主机没有默认网关时或者配置了网关但是和网关不通时,如果他ping其他网段的地址,显示的时Destination host unreachable(此时他发送ARP请求包请求网关的mac地址)
3.当一个路由器ping他路由表中没有的地址时,显示的时request timeout(此时不发任何包)
4.当路由器ping一个路由表中存在地址时,如果没有回应,则显示的也是request timeout (此时发送ARP请求包,请求目标IP的mac地址)
2.ping命令的用法结合具体在上面场景使用什么选项
Windows系统
-t 在Windows操作系统中,默认情况下发送4个ping包,如果在ping命令后面加上参数“-t”,系统将会一直不停地ping下去
-a 显示主机名
-l 一般情况下,ping包的大小为32字节,有时为了检测大数据包的通过情况,可以使用参数改变ping包的大小
-n 指定发送包的个数
-S(大写) 指定源IP去ping
Linux系统如下:
-s 改变ping包的大小
-c 指定发送包的个数
-l 指定源IP去ping
3.tracert命令:
Windows系统
在命令行输入“tracert”并在后面加上一个IP地址,可以查询从本机到该IP地址所在的电脑要经过的路由器以及IP地址
Linux系统:
traceroute IP/域名 作用和上面一样
五.ARP协议
1.什么是ARP协议
(地址解析协议,将一个已知的IP地址解析成Mac地址)
ARP是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到Mac地址的,是一个在网络协议包中极其重要的网络传输协议,它与网卡有着极其密切的关系,在TCP/IP分层结构中,把ARP划分为网络层,为什么呢,因为在网络层看来,源主机与目标主机是通过IP地址进行识别的,而所有的数据传输又依赖网卡底层硬件,即链路层,那么就需要将这些IP地址转换成链路层可以识别的东西,在所有的链路中都有着自己的一套寻址机制,如在以太网中使用Mac地址进行寻址,以表示不同的主机,那么就需要有一个协议将IP地址转换为Mac地址,由此就出现了ARP协议,所有ARP协议在网络层被应用,他是网络层与链路层连接的重要枢纽,每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成Mac地址,在IP层及其以上的层次看来,他们指标是IP地址,从不跟硬件打交道。
2.arp协议如何工作的
为了实现IP地址与Mac地址的查询与转换,ARP协议引入了ARP缓存表的概念,每台主机或路由器在维护着一个ARP缓存表(ARP table),这个表包含IP地址到Mac地址的映射关系,表中记录了<IP地址,Mac地址>对,我称之为ARP表项,他们是主机最近运行时获得关于其他主机的IP地址到Mac地址的映射,当需要发送数据的时候,主机就会根据数据报中的目标IP地址信息,然后在ARP缓存表中进行查找对应的MAC地址,最后通过网卡将数据发送出去。ARP缓存表包含一个寿命值(TTL,也称作生存时间),它将记录每个ARP表项的生存时间,生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始,一个表项通常的生存时间一般是10分钟吗,当然,这些生存时间是可以任意设置的,我们一般使用默认即可。
ARP工作原理
- pc1想发松数据给pc2,会先检查自己的ARP缓存表。
- 如果发现要查找的MAC地址不在表中,就会发送一个ARP请求广播,用于发现目的地址的MAC地址。
ARP请求消息中包括pc1的IP地址和MAC地址以及pc2的IP地址和目的MAC地址(此时为广播Mac地址FF-FF-FF-FF-FF-FF)
- 交换机收到广播后做泛洪处理,除pc1外所有主机收到ARP请求消息,pc2以单薄方式发送给ARP应答.
- Pc1在自己的ARP表中添加pc2的IP地址和Mac地址的对应关系,以单薄方式与pc2通信。
ARP相关命令
Windows系统:
arp -a 查看arp缓存表
arp -d [IP] 删除arp缓存表
arp -s IP MAC 删除arp静态绑定
如提示ARP项添加失败,解决方案:
win系统若提速ARP项添加失败,解决方案如下:
用管理员模式:右键开始键,点击‘Windows PowerShell(管理员)(A)’
进入c盘Windows\system32\cmd.exe,右键以管理员身份运行,再执行 arp -s 命令:
Win绑定arp
cmd输入:
netsh -c i i show in 查看网络连接准确名称:如:本地连接,无线网连接
netsh -c “i i” add neighbors 19 “IP” “MAC” 这里19是idx号绑定
netsh -c “i i” delete neighbors 19 这里19是idx号 解绑
netsh interface ipv4 set neighbors<接口序号><IP><MAC>
动态ARP表项老化:在一段时间内(默认180s),如果表项中的ARP映射关系始终没有使用,则会被删除;通过即使删除不活跃表象,从而提升ARP的响应效率 。
华为系统中的ARP命令
[Huawei]dis mac- address 查看mac地址信息.
[Huawei]arp static <IP><MAC> 绑定ARP
[Huawei]undo arp static <IP><MAC> 解绑定
<Huawei>reset arp all 清除MAC地址表
六.ARP攻击原理
ARP攻击与欺骗
ARP攻击
ARP攻击发送的是ARP应答,但是ARP应答中的MAC地址为虚假地址,所以在其他主机想要进行通信时,会将目的Mac地址设置成此虚假Mac地址导致无法正常通信。
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后,如果网关再发生数据给Pc1时,就会发送到虚假的MAc地址导致通信故障。
ARP欺骗
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。
扫一扫
673
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
