網絡層協定介紹
- 一、網絡層功能
- 二、IP資料包格式
-
- 1.協定字段
- 2.ICMP協定
-
- ICMP協定(Internet控制消息協定)
- ICMP協定的封裝
- 3.Ping指令
-
- Windows系統中ping指令常用選項
- Linux系統中ping指令常用選項
- 4.跟蹤路由路徑指令
- 三、ARP協定
-
- 1.廣播與廣播域
- 2.ARP協定概述
- 3.ARP的工作原理
- 4.ARP相關指令
-
- 華為系統中的ARP指令
- 四、ARP攻擊和ARP欺騙
-
- 1.ARP攻擊
- 2.ARP欺騙
一、網絡層功能
(1)定義了基于IP協定的邏輯位址
(2)連接配接不同的媒介類型
(3)選擇資料通過網絡的最佳路徑
二、IP資料包格式
1.協定字段
IP字段:版本(Version):該字段包含的是IP的版本号,4bit。目前的IP的版本為4(即IPv4)。
首部長度(Header Length):該字段用于的表示IP資料標頭長度,4bit。IP資料標頭最短為20位元組,但是其長度是可變的,具體長度取決于可選項字段的長度。
優先級與服務類型(Priority & Type of Service):該字段用于表示資料包的優先級和服務類型,8bit。通過在資料包中劃分一定的優先級,用于實作Qos(服務品質)的要求。
總長度(Total Length):該字段用以訓示整個IP資料包的長度,16bit。最長的為65535位元組,包括標頭和資料。
辨別符(Identification):該字段用以表示IP資料包的辨別符,16bit。當IP對上層資料同一個資料進行分片,給所有的分片配置設定同一組編号,然後将這些編号放入辨別符字段中,保證分片不會被錯誤的重組。
路由器将一個包拆分後,所有拆分開的小包被标記相同的值,以便目的端裝置能區分哪個包屬于被拆分開的包的一部分。
标志(Flags):标準字段,3bit。對目前的包不能進行分片(僅作為轉發裝置),或當一個包被分片後用以訓示在一系列的分片中,最後一個分片是否已發出。
段偏移量(Fragment Offset):該字段用于表示段偏移量,13bit。包含的資訊是指在一個分片序列中如何将各分片重新連接配接起來。
TTL(Time to Live):表示IP資料包的生命周期,8bit。一個資料包每經過一個路由器,TTL将減去1。當值為0時,該資料包将被丢棄。可以防止資料包在網絡中無線循環,造成網絡擁堵。
協定号(Protocol):協定字段,8bit。用以訓示帶IP資料包中封裝的是哪一種協定,是TCP還是UDP,TCP的協定号是6,UDP的是17。
首部校驗和(Header Checksum):該字段用于表示校驗和,16bit。接收方和網關用來校驗資料有沒有被改動過。
源IP位址(Source IP Address):該字段表示資料包的源位址,32bit。
目标IP位址(Destination IPAddress):該字段用于表示資料包的目的位址,32bit。
可選項(Options):可選項字段根據實際情況可變長,可以和IP一起使用的選項有多個。在可選項之後就是上層資料。
2.ICMP協定
ICMP協定(Internet控制消息協定)
(1)ICMP是一個“錯誤偵測與回饋機制”
(2)通過IP資料包封裝的
(3)用來發送錯誤和控制消息
ICMP協定的封裝
ICMP屬于網絡層協定
3.Ping指令
Ping指令的基本格式
Windows系統中ping指令常用選項
| 指令 | 作用 |
|---|---|
| -t | 參數會一直不停的執行Ping |
| -a | 參數可以顯示主機名稱 |
| -l | 參數可以設定Ping包的大小 |
| -n | 指定發送包的個數 |
| - S | 指定源IP去Ping |
Linux系統中ping指令常用選項
| 指令 | 作用 |
|---|---|
| -s | 參數可以設定Ping包的大小 |
| -c | 指定發送包的個數 |
| -I | 指定源IP去Ping |
4.跟蹤路由路徑指令
| 系統 | 指令 |
|---|---|
| WIN | tracert IP/域名 |
| Linux | traceroute IP/域名 |
三、ARP協定
1.廣播與廣播域
廣播:将廣播位址作為目的位址的資料幀
廣播域:網絡中能接收到同一個廣播的所有節點的集合
廣播位址:FF-FF-FF-FF-FF-FF
2.ARP協定概述
ARP(Address Resolution Protocol,位址解析協定)是負責将一個已知的IP位址解析成MAC位址。
3.ARP的工作原理
PC1發送資料給PC2,會先檢查自己的ARP快取記錄。如果有PC2的IP位址和MAC位址,就直接單點傳播通信。如果PC2的MAC位址不在ARP快取記錄裡,就會發送一個ARP請求廣播,用于找到PC2的MAC位址。ARP請求裡包括PC1的IP位址和MAC位址以及PC2的IP位址和MAC位址(此時為廣播位址FF-FF-FF-FF-FF-FF)。交換機收到廣播後做泛洪處理,除PC1外的所有主機都會收到ARP消息,隻有PC2以單點傳播的方式回複,并在自己的ARP表中緩存PC1的IP位址和MAC位址的對應關系。而其他主機則會丢棄這個ARP消息。PC1收到回複後,在自己的ARP表中添加PC2的IP位址和MAC位址的對應關系,之後,PC1和PC2就以單點傳播的形式通信。
注:交換機隻負責廣播和轉發
4.ARP相關指令
| 指令 | 作用 |
|---|---|
| arp -a | 檢視ARP快取記錄 |
| arp -d [IP] | 清理ARP緩存 |
| arp -s IP MAC | ARP 靜态綁定 |
| netsh -c i i delete neighbors ’Idx‘ 解除靜态綁定 |
動态學習到的ARP的老化時間是120秒,靜态綁定的ARP條目需要計算機關機或重新開機後才會消失
華為系統中的ARP指令
| 指令 | 作用 |
|---|---|
| [Huawei]dis mac-address | 檢視mac 位址資訊 |
| [Huawei]arp static <IP> <MAC> | 綁定ARP |
| [Huawei]undo arp static <IP> <MAC> | 解綁定 |
| <Huawei>reset arp all | 清除mac位址表 |
四、ARP攻擊和ARP欺騙
1.ARP攻擊
ARP攻擊的主要目的是是網絡無法正常通路。
(1)直接攻擊主機
舉例:PC4要讓PC1網絡無法正常通信,那麼PC4就會制造假的ARP應答,發送給PC1。在這個ARP應答中包含了PC2、PC3、PC4和網關的IP位址以及虛假的MAC位址。
(2)攻擊網關
舉例:這次ARP攻擊不直接攻擊PC1,這次攻擊PC2、PC3、PC4和網關,将制造的虛假ARP應答發給除PC1以外的主機。這個ARP應答中包括被攻擊主機的IP位址和虛假的MAC位址。
2.ARP欺騙
ARP是冒充網關或主機,騙取流量,侵犯他人隐私或機密。
(1)ARP欺騙網關
舉例:PC2想擷取PC1的資料:首先PC2發送ARP應答(包括網關的IP位址和PC2的MAC位址)給PC1,并且發送ARP應答(包含PC1的IP位址和PC2的MAC位址)給網關,等PC1和網關收到ARP應答更新ARP表或,這樣就同時欺騙了PC1和網關,PC1想通路Internet,就要先發給PC2,由PC2發給網關,通路Internet,傳回資料也要從網關到PC2之後才能到PC1。
(2)ARP欺騙主機
舉例:PC3發送ARP應答(包括PC2的IP 位址和PC3的MAC位址)給PC1,并發送ARP應答(包括PC1的IP位址和PC3的MAC位址)給PC2。當區域網路中的PC2和PC1收到ARP應答後,更新ARP表,PC1和PC2的流量都需要經過PC3了。