一、网络层协议:
目录
1、功能性
定义了基于IP地址协议的逻辑地址
连接不同网段
选择数据通过网络的最佳路径
2、IP数据包格式
ping的命令参数
-t 调试故障或需要进行持续性通信测试时应用(参数会一直不停的执行)
-a 参数可以显示目标主机名称
-l 参数可以设定ping包大小
单位为字节(默认ping包大小是32字节)
可用于简单测试通信质量
ICMP协议:
ICMP是一个”错误侦测与回馈机制“(Internet 控制报文协议)
通过IP数据包封装的
作用:测试网络的联通性并给予一定的反馈
组成:ping tracert
3、ARP协议概述
局域网中主机的通信
IP地址与MAC地址
什么是ARP协议
正向地址解析协议(Address Resolution Protocol)
将一个已知目标IP地址解析成MAC地址
数据传输通讯地址:源IP、源MAC、目标IP、目标MAC
使用场合:已知目标IP,未知目标MAC地址的使用
工作原理:pc1已知pc2的IP地址,未知pc2的MAC地址,这时候要用到ARP协议。pc1发送ARP广播给二层交换机,二层交换机接收到ARP广播消息后无条件泛洪处理,连接到二层交换下的所有pc机,都将接收到此广播消息,每个pc机都会把自身的IP地址和目标IP地址进行比较,若一致,则接收该广播消息,并回数据包给pc1,pc1接收到消息返回数据包会记录下pc2的IP和MAC地址,记录到ARP缓存表中,若不一致则丢包处理
RARP:反向地址解析
使用场合:已知MAC地址,位置IP地址
5、ARP相关命令
Windows系统中的ARP命令
arp -a :查看ARP缓存表
arp -d:清除ARP缓存
ARP绑定:arp-s
例:arp-s 192.168.0.1 aa-aa-aa-aa-aa-aa
在设备上的命令
<>/[] display arp 查看arp缓存
[]arp static 192.168.0.100 AAAA-AAAA-AAAA arp捆绑
<>reset arp all 消除所有ARP缓存
<>reset arp static 消除静态ARP缓存
6、ARP原理
需求分析:
对等网的环境
pc1和pc2第一次通信
实现步骤
1、使用ipconfig/all 查看pc1 pc2 的MAC地址
2、用arp -a 查看ARP缓存
3、在pc1上ping pc2后,再用”arp -a“查看ARP和缓存表
了解
ARP的攻击原理
ARP攻击主要是通过伪造IP地址和MAC地址进行欺骗。使以太网数据包的源地址、目标地址和ARP通信数量剧增导致网络中断或中间人攻击。ARP攻击主要存在于局域网中。若其中一台计算机感染ARP病毒。就会试图通过ARP欺骗截获局域网内其他计算机的信息,造成局域网内的计算机通信故障
1、中间人攻击(欺骗其他所有计算机,欺骗被攻击计算机)
中间人攻击是同时欺骗局域网内的主机和网关,局域网中用户的数据和网关的数据会发给同一个攻击者,这样,用户与网关的数据就会泄露
2、欺骗网关
欺骗网关就是把别的主机发送给网关的数据通过欺骗网关的形式使得这些数据通过网关发送给攻击者。这种攻击目标选择的不是个人主机而是局域网的网关,这样就会攻击者源源不断的获取局域网内其他用户的数据.造成数据的泄露,同时用户电脑中病毒的概率也会提升
3、欺骗主机
攻击者通过ARP欺骗使得局域网内被攻击主机发送给网关的流量信息实际上都发送给攻击者。主机刷新自己的ARP使得在自己的ARP缓存表中对应的MAC为攻击者的MAC,这样一来其他用户要通过网关发送出去的数据流就会发往主机这里,这样就会造成用户的数据外泄
防御措施
-
不要把网络安全信任关系建立在IP基础上或MAC基础上(RARP同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
-
设置静态的MAC-->IP对应表,不要让主机刷新设定好的转换表。
-
除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
-
使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
-
使用“proxy”代理IP的传输。
-
使用硬件屏蔽主机。设置好路由,确保IP地址能到达合法的路径(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
-
管理员定期用响应的IP包中获得一个RARP请求,然后检查ARP响应的真实性。
-
管理员定期轮询,检查主机上的ARP缓存。
-
若感染ARP病毒,可以通过清空ARP缓存、指定ARP对应关系、添加路由信息、使用防病毒软件等方式解决。
总结
网络层协议,OSI参考模型的第三层。它控制通信子网进行工作,提供建立、保持和释放连接的手段,保证传输层实体之间进行透明的数据传输