数据链路层

最新推荐文章于 2020-12-17 22:27:39 发布
最新推荐文章于 2020-12-17 22:27:39 发布
阅读量159 收藏
点赞数
分类专栏: 协议分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49891929/article/details/110023431
版权
本文详细介绍了网络通信的基础知识,包括OSI七层模型与TCP/IP四层模型的对比,以太网的帧结构、连接方式、MAC地址以及地址解析协议(ARP)。同时,探讨了交换机的工作原理、端口安全、DHCP和ARP攻击的防护策略,并解析了数据封装过程,如MTU、IP头部、TCP/UDP头和数据的关系。此外,还讨论了MAC地址与IP地址在通信中的角色,以及路径MTU的概念。
摘要由CSDN通过智能技术生成

OSI七层模型

应用层 表示层 会话层 传输层 网络层 数据链路层 物理层

tcp/ip模型

应用层 传输层 网络层 网络接口层

以太网协议号
IP:0x0800
ARP:0x0806
PPPOE:0x8863、0x8864

IP协议号
ICMP:1
TCP:6
UDP:17
GRE:47
ESP:50
AH:51

端口号
FTP:20 21
SSH:22
Telnet:23
SMTP:25
TACACS+:49
HTTP:80
HTTPS:443
IKE:500
Radius:1645、1646、1812、1813

tcp是全双工的

以太网

现在最常用的就是以太网
帧结构:目的、源、类型

  1. 以太网的连接方式:总线型(同轴电缆总线型连接)、交换式(集线器做的);交换机
  2. 以通信介质分:共享介质型(半双工)、非共享介质型(全双工)
  3. MAC地址就是以太网的地址:硬件地址,48比特,前半段识别厂商,后半段厂商内识别码
  4. 环回口:127开头的都是,可以做策略路由到环回口,这样回来的流量不走NAT,可以直接走虚拟专网
  5. 以太网就是把32位的IP地址映射到MAC地址上

802.3以太网

一些二层协议会用到802.3封装,但是很少见(VTP)

以太网的连接方式

  • 总线型:同轴电缆总线型,一根总线可以接很多台电脑,线两头有终端,数据在这根线上传输
  • 集线器:比总线型贵一点,交换机的前身,交换式
  • 交换机:双绞线

共享型网络

集线器、无线AP,线路上同一时间只有一个数据在传,基本都是半双工通信方式。
争用方式:CSMA—>CSMA/CD(检查冲突随机延时,退避)、令牌环

非共享型网络

扩展:无线千兆和有线千兆差很多;无线的千兆—>如1000M,十个客户,半双工为了实现不冲突,会有一些相应的算法,会浪费转发时间,所以效率低,只有60%左右,就相当于600M,相当于每个人60M;交换机的千兆—>千兆全双工,一个接口即可以发送又可以接受,相当于2000M,非共享式网络,效率比共享式要高,算80%为1600M,而且是接口13之间1600,接口24之间1600M,前提是两两通信,假设完美,如果是两个和一个通信,也会平分带宽,但是依然比无线千兆好很多

交换机

MAC地址

长度:48bit,一个16进制4位,12个16进制是48bit,表现形式不一样;前半部分厂商识别码,后半部分厂商内识别码

抓包二层帧后面标识的不同厂商,就是根据MAC地址前半部分厂商识别码来识别的

思科无状态服务器:UCS服务器,需要先配置网卡、mac、uid才能开机,好处是替换坏掉的设备时(坏掉的设备基于mac等做了安全策略)可以直接配置好替换

基于mac地址的转发:交换机自学原理
show mac address-table dynamic—>查看mac地址表
帧从交换机接口进入:帧的源mac、vlan、进接口就是CAM表
Unknown unicast帧(CAM表没有目的地址,不知道目的的单播帧),交换机就会除了入接口外的所有接口进行泛洪

交换机端口分析技术:SPAN;可以抓到通过交换机的同vlan包;虚拟交换机启用杂合模式,效果类似于集线器,网络里出现的所有包我都接受

封装

以太网:目的MAC、源MAC、类型(0x0800、0x0806)、数据(46-1500)、CRC

在这里插入图片描述

数据:大于1500分片,不满足46有垫片垫位

在这里插入图片描述
*图片取自下文ARP包,长度不够需要额外的数据垫位,全是0无意义
在这里插入图片描述
*图源自网络

802.3:数据(38-1492)

在这里插入图片描述
*图源自网络

区分以太网帧/802.3帧:长度/类型取值范围不一样,所以完全不冲突,所以网卡发802.3帧交换机也转发;如长度/类型是0806那就是以太网帧,长度/类型值本身就可以区分到底是哪个

在这里插入图片描述
*图源自网络

MTU包括:IP头部、tcp/udp头、数据,在路由器的出方向检查

最小值以太网46为例:不满足46要用垫片(用0,无意义),填充到46

路径MTU:两台通信主机路径中的最小MTU,叫路径MTU。包只有低于路径MTU,在当前链路上才不会分片;分片可能多次发生,组装只在目的地;路径MTU在两个方向上不一定是一致的

图源自网络
*图源自网络(http://www.colasoft.com.cn/network-fault-analysis/d29z.php),自己抓包没有抓到,因为Windows网卡默认过滤了vlan tag,需要修改相关配置及注册表,暂时没有解决这个问题

经典问题:既然MAC地址可以通信,为什么还要用IP?

若A、B两台主机通信,中间要经由路由器的话,即使知道了主机B的MAC地址,由于路由器会隔离两个网络,所以还是无法实现直接从主机A发送数据报给主机B。此时,主机A必须先将数据报发送给路由器与A相连的接口的MAC地址。

总结

遇到mac泛洪用端口安全搞定
遇到dhcp攻击用dhcp snooping搞定
遇到arp攻击用动态arp监控技术
想要二层绑定用IP Source Guard技术(在局域网内绑定IP和mac)

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
以太网数据链路层协议分析
weixin_33704591的博客
01-09 238
相信很多新人在学习协议的时候会遇到很多问题,有些地方可能会总是想不明白(因为我自己也是新人^_^),所以,跟据我自己学习的经历和我在学习中所遇到的问题,我总结了一下列出来。如果能对大家有所帮助,将是我莫大的荣耀! 关于局域网的起源和发展,这里就不多说,因为很多书上和网上都有详细的说明,我们将直接进入对局域网协议的学习中。 局域网的几种协议,主要括以太网第二...
计算机网络——数据链路层
最新发布
商务合作|种草文章|产品测评
06-20 9083
数据链路层在现在的社会起到关键性作用,比如:数据传输和通信;网络连接和互联互通;错误检测和纠正;媒体访问控制;网络性能优化;起到了确保数据传输的可靠性和准确性、促进设备互联互通、实施错误检测和纠正、管理媒体访问和优化网络性能等关键作用,为建立和维护稳定、高效的通信网络提供了基础支持。
计算机网络-数据链路层知识点总结.pdf
10-02
计算机网络中的数据链路层是至关重要的一个层次,它负责在相邻节点之间提供可靠的通信。在OSI模型中,数据链路层位于物理层之上,网络层之下,主要完成物理地址寻址、网络拓扑结构、错误检测与控制等功能。本文将对...
计算机网络原理:第三章 数据链路层.pptx
07-07
计算机网络原理:数据链路层 数据链路层是计算机网络中负责实现可靠、有效的通信的关键层次。它位于网络层和物理层之间,负责处理帧的传输、错误检测和纠正、流量控制等问题。数据链路层的主要功能是向网络层提供一...
数据链路层设备有哪些
01-19
数据链路层的设备与组件是指那些同时具有物理层和数据链路层功能的设备或组件。数据链路层的设备与组件主要有网卡、网桥和交换机。 数据链路层设备有哪些——网卡 网卡是局域网中提供各种网络设备与网络通信介质...
数据链路层工作原理是怎样的
01-19
数据链路层简介 数据链路层是OSI参考模型中的第二层,介乎于物理层和网络层之间。数据链路层在物理层提供的服务的基础上向网络层提供服务,其基本的服务是将源自网络层来的数据可靠地传输到相邻节点的目标机网络层...
一文看懂数据链路层和网络层的区别
01-19
网络层的概念 网络层是OSI参考模型中的第三层,介于传输层和数据链路层之间,它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上,进一步管理网络中的数据通信,将数据设法从源端经过若干个中间节点传送到...
用Wireshark分析谁是攻击者,做了什么事
JoJo
11-26 1757
确定谁访问谁 大致浏览,发现是一些随机端口在访问固定端口80,可以猜测被访问地址是192.168.10.5:80,先设置条件过滤一下 过滤后再次浏览,发现是很多tcp协议,夹杂着少量http,先从少的开始看,设置过滤条件 发现是不同的地址向同一个web服务器在用get/post方式上传文件,get多,post少,再次设置过滤 明显看到192.168.10.5:80被上传了.php文件,命名很贴心地用了:小马,打开看看 由此可确定,攻击者是116.99.45.41,通过post请求的方式向192.
CSNA网络分析实战案例读后笔记-网络安全分析-如何找出内网主机被控
JoJo
11-21 1311
要点: 当TCP同步远大于同步确认时,说明网络可能存在扫描行为 几分钟内,IP数猛增,同步也开始与同步确认出现较大差值–>扫描开始 正常情况: 内网TCP同步与TCP同步确认之间的比值应为1:1 知识点: FreeRDP库:rdpdr、rdpsnd、drdynvc、cliprdr,是免费开源实现的一个远程桌面协议(RDP)工具,用于从Linux下远程连接到Windows的远程桌面 黑客软件名:DToolsSQL、ntscan、hsan、ssh 情况: 内网被控主机扫描内网地址,每个地址发送
用Wireshark分析流量1
JoJo
11-26 1094
大致浏览,发现是不同地址在访问192.168.10.5:80,设置过滤看看 依据上图可知,是大量tcp,少量http,从少的开始 发现是不同的ip在用get在向服务器上传图片,量有点大,先把源ip设置一个 如上图,没有发现什么异常,get请求后没有参数,换个源ip 没啥异常,信息太多,再来个过滤条件,post 如上图,用post上传了图片,还有点大,而且看到了熟悉的image/jpeg,MIME限制扩展名绕过,打开看看 由此可知,攻击者使用了MIME限制扩展名绕过上传了图片马 ...
交换机端口分析技术
JoJo
12-08 869
SPAN:交换机端口分析技术 原理: 流量复制 作用: 流量监控 故障定位 类型: Local SPAN RSPAN ERSPAN ⚠️:monitor session :<1-66> ⚠️:source : interface,把一个接口的流量搜集起来 remote,把一个远端送过来的流量搜集起来 vlan,把一个vlan的流量搜集起来 ⚠️:监控流量的方向 不写默认是both 双向流量入和出 假设交换机端口1G全双工,入和出共2G,用both一个接口接收有可
分析之DHCP
JoJo
11-21 594
一、Discover 二、Offer 三、Request 四、ACK
CSNA网络分析实战案例读后笔记-网络故障分析-如何定位引起网络丢的根源
JoJo
11-23 449
思路: 1、先向客户了解故障情况,了解疑似故障区域(设备) 2、了解网络拓扑及和疑似故障区域(设备)有关数据的流向 3、确定科来网络回溯分析系统的部署位置及要镜像的流量方向,如果不确定的话就双向流量镜像 ⚠️要采集正常的通信数据做比对 4、开始操作 从最近的设备开始ping,采集ICMP报文,计算丢率 测试疑似故障设备TCP通信的丢率 如果以上两个数据都有问题,那么可以初步判定故障范围–疑似故障设备到ping发出的设备之间 列出所有可能 ping的发出设备接口故障 疑似故障设备接入网线故障 疑似故障设备
HTTP
JoJo
12-17 381
*这一周匆匆忙忙的研究了HTTP,所有我学到的内容都整理在下面了 客户端浏览器:IE、Chrome、Firefox Web服务器:Apache、IIS 中间传输的协议:HTTP超文本传输协议 协议传的数据:HTML超文本标记语言(5.0) URI:统一资源标识符,抽象 URL:统一资源定位符,是URI的子集,更具体 URL组成:协议、host、请求URI 网页安全现状:由于浏览器为了方便客户、抢占市场,而不按标准制作,导致和网页开发者的标准不兼容,从而产生一些安全问题 ...
ICMP协议
JoJo
12-10 349
ICMP *本文实验都是通过Cisco模拟器完成 主要功能:确认IP是否成功送达目的地址;通知IP在发送过程中被废弃的具体原因 协议号:1 长度:8字节(前4字节是固定的) ICMP技术网络设备都配合,网络排错好帮手 类型:查询报文、差错报文 差错报文: 思科:排查时出现U—>debug ip icmp 若是host unreachable主机不可达,大概率路由问题 若是administratively prohibited unreachable,访问控制列表干掉 排查时出
计算机网络数据链路层协议详解
"计算机网络-数据链路层" 在计算机网络中,数据链路层是OSI模型中的第二层,对应于TCP/IP模型中的数据链路层和物理层。该层的主要功能是将来自网络层的数据封装成帧,并将其传输到目标机器上,然后将接收到的帧解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值