网络层协议介绍
目录
- 一、IP数据包格式
- 二、ICMP协议介绍
-
- 1.功能
- 2.报文类型
- 3.ICMP协议命令
- 4.封装
- 小结
- 三、ARP协议介绍
-
- 1.什么是ARP
- 2.ARP解析过程
- 3.ARP工作原理
- 四、ARP攻击原理
-
- 1.ARP攻击
- 2.ARP欺骗
- 总结
一、IP数据包格式
1.版本号(version)
指IP协议版本。并且通信双方使用的版本必须一致,目前我们使用的是IPv4,表示为0100
2.首部长度(Header Length)
该字段用于表示IP数据包头长度,4Bit。IP数据包头最短为20字节,但是其长度是可变的,具体长度取决于可选项字段的长度。
3.优先级与服务类型(priority & Type of service)
该字段用于表示数据包的优先级和服务类型,8bit。通过在数据包中划分一定优先级,用于实现Qos(服务质量)的要求。
4.总长度(Total Length)
该字段用以指示整个IP数据包的长度,16bit。最长为65535字节,包括包头和数据。
5.标识符(Identification)
该字段用于表示IP数据包的标识符,16Bit。当IP对上层数据进行分片时,它将给所有的分片分配同一组编号,然后将这些编号放入标识符字段中,保证分片不会被错误的重组。路由器将一个包拆分后,所有拆分开的小包被标记相同的值,以便目的端设备能够区分哪个包属于被拆分的包的一部分。
6.标志(Flags)
标志字段,3bit。对当前的包不能进行分片(当该包从一个以太网发送到另一个以太网时),或当一个包被分片后用以指示在一系列的分片中,最后一个分片是否已发出。
7.段偏移量(Fragment offset)
该字段用于表示段偏移量,13bit。段偏移量中包含的信息是指在一个分片序列中如何将各分片重新连接起来。
8.TTL生命周期(Time to live)
该字段用于表示 IP数据包的生命周期,8Bit。一个数据包每经过一个路由器,TTL将减去1,当TTL的值为0时,该数据包将被丢弃。可以防止一个数据包在网络中无限循环的转发下去。
9.协议号(Protocol)
协议字段,8bit。该字段用以指示在IP数据包封装的是哪一个协议,是TCP还是UDP,TCP的协议号为6,UDP的协议号为17,ICMP的协议号为1。
10.首部效验和(Header Checksum)
该字段用于表示效验和,16bit。接收方和网关用来效验数据有没有被改动过。
首部校验和(16):这个字段只检验数据报的首部,不包括数据部分。这是因为数据报没经过一次路由器,都要重新计算一下首部校验和(因为一些字段如生存时间、标志、片偏移等可能发生变化)
11.源地址(32bit)
源ip地址表示发送端的IP地址
12.目的地址(32bit)
目标ip地址表示接收端的IP地址
13.可选项
选项字段根据实际情况可变长,可以和IP一起使用的选项有多个。例如,可以输入创建该数据包的时间等。在可选项之后,就是上层数据
注:根据实际情况可变长,例如创建时间等上层数据
二、ICMP协议介绍
ICMP是一个“错误侦测与回馈机制”
1.通过IP数据包封装的
2.用来发送错误和控制消息
1.功能
作为网络管理员,必须知道网络设备之间的连接状况,因此就需要有一种机制来侦测或通知网络设备之间可能发生的各种各样的情况,这就是工CMP协议的作用。ICMP协议(Internet Control Messalge Protocol)的全称是"Internet控制消息协议",主要用于在IP 网络中发送控制消息,提供可能发生在通信环境中的各种问题的反馈。通过这些反馈信息管理员就可以对所发生的问题做出判断,然后采取适当的措施去解决。
2.报文类型
差错报告报文和查询报文
3.ICMP协议命令
ICMP协议–ping命令和traceroute/tracert (windows使用)命令:
在检查网络连通性时,ping命令是用得最多的,当我们ping 一台主机时,本地计算机发出的就是一个典型的ICMP 数据包,用来测试两台主机是否能够顺利连通。ping命令能够检测两台设备之间的双向连通性,即数据包能够到达对端,并能够返回。
4.封装
ICMP协议属于网络层协议
ICMP数据的封装过程
前面两层都在网络层进行的,ICMP数据加上ICMP头部组成ICMP报文
加上IP头部之后才会下到数据链路层
小结
1.IP数据包的格式
2.ICMP的作用
3.ping命令的使用方法
三、ARP协议介绍
1.什么是ARP
地址解析协议(Address Resolution Protocol):将一个已知的IP地址解析成MAC地址
2.ARP解析过程
(1)当PC1想发送数据给PC2,首先在自己的本地ARP缓存表中检查主机PC2匹配的MAC地址
(2)如果PC1缓存中没有找到响应的条目,它将询问主机PC2的MAC地址,从而将ARP请求帧广播到本地网络的所有主机。该帧中包括源主机PC1的IP、MAC地址,本地网络中的所有主机都接收到ARP请求,并且检查是否与自己的I地址相匹配。如果发现请求中IP地址与自己IP不匹配,则丢弃ARP请求。
(3)主机PC2确定ARP请求中得IP地址与自己的IP地址匹配,则将主机PC1的地址和MAC地址添加到本地缓存表中
(4)主机PC2将包含其MAc地址的ARP回复消息直接发送回主机PC1(数据帧为单播)。
(5)主机PC1收到PC2发挥的ARP回复消息,将Pc2的IP和MAC地址添加至自己ARP缓存表中,本机缓存是有生存期的,默认ARP缓存表有效期120s。当超过该有效期后,则将重复上面过程。主机PC2的MAC地址一旦确定,主机PC1就能向主机PC2发送IP信息
3.ARP工作原理
1.PC1想发送数据给PC2,会先检查自己的ARP缓存表。
2.如果发现要查找的MAC地址不在表中,就会发送一个ARP请求广播,用于发现目的MAC地址。
注:ARP请求消息中包括PC1的Ip地址和MAC地址以及PC2的IP地址和目的MAC地址(此时为广播MAC地址FF-FF-EF-EF-FF-FF)。
3.交换机收到广播后做泛洪处理,除PC1外所有主机收到ARP请求消息,PC2以单播方式发送ARP应答,并在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系,而其他主机则丢弃这个ARP请求消息。
4.PC1在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系,以单播方式与PC2通信。
设有A和B两台主机
1.电脑A想发送数据给电脑B,会先检查自己的ARP缓存表(如果有缓存就可以直接进行访问)。
2.如果发现要查找的MAC地址不在表中,就会发送一个ARP请求广播,用于发现目的MAC地址。ARP请求消息中包括电脑A的IP地址和MAC地址以及电脑B的IP地址和目的MAC地址(此时为广播MAC地址FF-FF-FF-FF-FF-FF)。
3.交换机收到广播后做泛洪处理,除电脑A外所有主机收到ARP请求消息,电脑B以单播方式发送ARP应答,并在自己的ARP表中缓存电脑A的IP。
4.电脑A在自己的ARP表中添加电脑B的IP地址和MAC地址的对应关系,以单播方式与电脑B通信。
动态ARP表项老化:在一段时间内(默认180s)如果表项中的ARP映射关系始终没有使用,则会被删除。通过及时删除不活跃表项,从而提升ARP响应效率。(120s是断开联系)
四、ARP攻击原理
1.ARP攻击
ARP攻击发送的是ARP应答,但是ARP应答中的MAC地址为虚假地址,所以在其他主机想要进行通信时,会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后,如果网关再发生数据给PC1时,就会发送到虚假的MAC地址导致通信故障。
此处可以举例说明,例如张三要给李四打电话,他首先要知道李四的电话号码,这时有人告诉他李四的电话号码是12345678(不存在的号码),于是张三就把电话打到12345678,这样就无法找到李四了。
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而AP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。
2.ARP欺骗
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。
总结
1.IP数据包格式重点理解各字段的含义
2.ICMP用来发送错误和控制消息
3.ARP协议用于实现IP到MAC地址的解析
4.ARP协议通过广播查询目标主机MAC地址
5.ARP攻击是通过伪造ARP应答进行欺骗攻击