网络层协议与功能

本章结构

IP数据包格式

ICMP协议介绍

ARP协议介绍

ARP攻击原理

 

网络层的功能

定义了基于IP协议的逻辑地址

连接不同的媒介类型

选择数据通过网络的最佳路径

 

IP数据包格式

IP数据包格式（分为20字节的固定部分，表示每个ip数据包必须包含的部分，和40字节的可变长部分）

 

版本号（4bit）：指IP协议版本。并且通信双方使用的版本必须一致目前我们使用的IPv4，表示为0100

 

首部长度（4）：IP数据包的包头长度。

 

优先级与服务器（8）：该字段的优先级和服务器类型，通过在数据包中划分一定的优先级，用于实现Qos（服务器）的要求。

 

总长度（16）：IP数据包的总长度，最长为65535字节，包括包头数据。

 

标识符（16）：该字段用于1表示IP数据包的标识符。当IP对上层数据进行分片时，它将给所有的分片分配一组编号，然后将这些编号放入标识符字段中，保证分片不会被错误的重组。标识符字段用于标志一个数据包，以便于接收节点可以重组被分片的数据包。

 

标志（3）：和标识符一起传递，只是不可以被分片或者最后一个分片是否发出。

 

段偏移量（13）：在一个分片序列中如何将各分片连接起来，按顺序连接起来

 

TTL生命周期（8）：可以防止一个数据包在网络中无限循环的转发下去，每经过一个路由器-1，当TTL的值为0时，该数据包将被丢弃。

 

协议号（8）：封装的上层哪个协议，TCP：6  UDP：17

 

首部校验和（16）：这个字段只检验数据包的首部，不包括数据部分。这是因为数据包没每过一次路由器，都要重新计算一下首部校验和（以为一些字段如生存时间，标志，片偏移等可能发生变化）

 

源地址（32）：源IP地址，表示接收端的IP地址。

 

目标地址（32）：目标IP地址，表示接收端的IP地址。

 

可选项：选择字段可根据实际情况可变长，可以和IP一起使用的选项有多个。例如：可以输入创建该数据包的时间等。在可选项之后，就是上层数据。

注：根据实际情况可变长，例如：创建时间等上层数据。

 

 

ICMP协议

ICMP是一个“错误侦测与回馈机制”

通过IP数据包封装的             

用来发送错误和控制消息

 

ICMP报文类型有两种

1、差错报告报文

2、查询报文

 

ICMP协议的封装

ICMP协议属于网络层协议

ICMP数据的封装过程

 

Ping命令

Ping命令的基本格式为

C：\>ping [-t][-i字节数] [-i] IP_Address|target_name

 

 

 

 

 

 

 

 

 

 

 

Ping不同的几种情况

1、当主机有一个默认网关时，如果他Ping其他网段的地址，到不了的话，显示的是request

Timeout（此时他把icmp包发给网关，至于后面的事他就不管，如果包没有回应，就显示request timeout）

2、当一个主机没有默认网关时或者配置了网关但网关不通时，如果他ping其他网段地址，显示的是Destination host unreachable（此时他发送arp请求包请求网关的mac地址）

3、当一个路由器ping一个他路由器表中没有地址时，显示reuquest timeout（此时不发如何包）

4、当路由器ping一个路由器表中存在地址时，如果没有回应，则显示的也是reuquest timeout（此时发送arp请求包，请求目标ip的MAC地址）

 

Ping命令的用法：结合具体在什么场景使用什么选项

 

 

 

 

WIN：

tracert命令：

在命令行中输入“tracert”并在后面加入一个

IP地址，可以查询从本机到该IP地址所在的电脑要经过路由器及其IP地址。

Linux:traceroute  IP/域名

 

 

 

ARP协议概述

局域网中主机的通信

IP地址与MAC地址

什么是ARP协议

Address  resolution  Protocol地址解析协议

将一个已知的IP地址解析成MAC地址

 

 

IP地址解析为MAC地址

PC1发送数据给PC2，查看缓存没有PC2的MAC地址

PC1发送ARP请求消息（帧广播）

所有主机收到ARP请求消息

PC2回复ARP应答（单播）

其他主机丢弃

PC1将PC2的MAC地址保存到缓存中，发送数据

 

ARP攻击原理

欺骗其他所有计算机

欺骗被攻击计算机

ARP欺骗原理

ARP欺骗网关

 

ARP攻击

ARP攻击发送的是ARP应答，但是ARP应答中的Mac地址是虚假地址，所以在其他主机想要进行通信时，会将目的的Mac地址设置成这个虚假的Mac地址导致无法正常通信。

例如：如果希望被攻击的主机无法访问互联网，就需要对网关发送或被主机发送虚假的ARP应答。当网关接收虚假的ARP应答更新ARP条目后，如果网关再发送数据给PC1时，就会发送到虚假的MAC地址导致通信故障

此处举例说明：例如：张三给李四打电话，他首先要知道李四的电话号码，这时有人告诉他李四的号码是12345678（不存在的虚假号码），于是张三打电话到12345678，这样子就无法找到李四了。

 

ARP欺骗的原理和ARP攻击基本相同，但是效果不一样。ARP攻击最终的结果是导致网络中断，而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。

 

利用ARP欺骗管理网络

通过长角牛网络监控软件管理网络

设置监控范围

进行网络管理

验证效果