【简单认识IP数据包格式】
文章目录
- 一、IP数据包格式
- 二、ICMP协议
-
- 1.ping 的 格式
- 排错思路
-
- 2.功能:Ping
- arp协议
-
- 什么是arp协议
- ARP协议如何工作的
- 检测地址冲突:
- 工作原理(结合交换机原理)
- ARP报文
- windows当中如何查看arp缓存表(静态arp和动态arp)
- 华为系统中的ARP命令
-
- arp攻击与欺骗
#网络层的功能
- 定义了基于IP协议的逻辑地址,就是ip地址
- 连接不同的媒介类型
- 选择数据通过网络的最佳路径,完成逻辑地址寻址
数据封装的时候在网络层会封装ip地址的头部,形成ip数据包
一、IP数据包格式
-
版本号(4bit):指IP协议版本。并且通信双方使用的版本必须一致,目前我们使用的是IPv4,表示为0100 十进制 是4
-
首部长度(4):IP数据包的包头长度(不包括数据)
-
优先级与服务类型(8):该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级,服务类型定义了如何处理数据一般没有使用
-
总长度(16):IP数据包的总长度,最长为 65535 字节,包括包头和数据。
-
标识符(16):该字段用于表示IP数据包的标识符。当IP对上层数据进行分片时,它将给所有的分片数据分配一组编号,然后将这些编号放入标识符字段中,保证分片不会被错误地重组。标识符字段用于标志一个数据包,以便接收节点可以重组被分片的数据包
-
标志(3):和标识符一起传递,指示不可以被分片或者最后一个分片是否发出(完整)
-
段偏移量(13):一个数据包需要分片,指明这个分片举例原始数据开始的位置,作用重组数据
-
TTL(time to live)生命周期(8):可以防止一个数据包在网络中无限循环的转发下去,每经过一个路由器 -1,当TTL的值为0时,该数据包将被丢弃 0-255
-
协议号(8):封装的上层哪个协议,ICMP:1 TCP:6 UDP:17
-
首部校验和(16):这个字段只检验数据报的首部,不包括数据部分。这是因为数据报每经过一次路由器,都要重新计算一下首部校验和(因为,一些字段如生存时间、标志、片偏移等可能发生变化)
-
源地址(32):源ip地址,表示发送端的IP地址
-
目标地址(32):目标ip地址,表示接收端的IP地址
-
可选项:选项字段根据实际情况可变长,可以和IP一起使用的选项有多个。例如,可以输入创建该数据包的时间等。在可选项之后,就是上层数据
注:根据实际情况可变长,例如创建时间等 上层数据
二、ICMP协议
Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议
ICMP协议用来在网络设备间传递各种差错和控制信息,对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。
icmp作用:
检测网络的双向联通性
1.ping 的 格式
代码如下(示例):
ping 空格 IP地址 [选项]
-l 指定数据包的 大小
- 网络波动:偶尔丢一两个包
- ping不通: 没有一个数据能到达
- type 代表类型
- code 代表具体情况
排错思路
当你的 服务出了问题,网络ping
- ping 自己 127.0.0.1 硬件
- 看双方地址是否有问题
- 看网关是否有问题
- 防火墙策略是否有问题( 配合 找网络工程师)
2.功能:Ping
Ping是网络设备、Windows、Unix和Linux平台上的一个命令,其实是一个小巧而实用的应用程序,该应用基于ICMP协议。
Ping常用于探测到达目的节点的网络可达性。
ping选项:
显示自己 IP地址 ipconfig
ping --help 显示帮助命令
-t 长ping
-l size 发送缓冲区大小。
-w 超时等待时间
-n 指定ping 几次
ping -t ip地址 长ping ctrl+c 停止
ping -l 指定包的大小(1600 2000) ip地址
ping -w 指定等待时间(默认是秒:2 ) ip 地址
ping -n 指定的次数(5) ip 地址
tip:
ping的通一定通
ping不通不一定网络不通
tracert 也是 icmp协议
192.168.1.144 192.168.1.152
tracert IP地址
tracert 192.168.1.152
经过几个路由设备
追踪
广播域 = 一个网段
tracert IP地址 win
traceroute Ip地址 linux
arp协议
什么是arp协议
ARP协议是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到MAC地址的,是一个在网络协议包中极其重要的网络传输协议,它与网卡有着极其密切的关系,在TCP/IP分层结构中,把ARP划分为网络层,为什么呢,因为在网络层看来,源主机与目标主机是通过IP地址进行识别的,而所有的数据传输又依赖网卡底层硬件,即链路层,那么就需要将这些IP地址转换为链路层可以识别的东西,在所有的链路中都有着自己的一套寻址机制,如在以太网中使用MAC地址进行寻址,以标识不同的主机,那么就需要有一个协议将IP地址转换为MAC地址,由此就出现了ARP协议,所有ARP协议在网络层被应用,它是网络层与链路层连接的重要枢纽,每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址,在IP层及其以上的层次看来,他们只标识IP地址,从不跟硬件打交道
ARP协议如何工作的
为了实现IP地址与MAC地址的查询与转换,ARP协议引入了ARP缓存表的概念,每台主机或路由器在维护着一个ARP缓存表(ARP table),这个表包含IP地址到MAC地址的映射关系,表中记录了
检测地址冲突:
无故ARP:
当一台设备获取到一个Ip 地址时 ,会自动发送一个无故ARP,检测 是否有设备已使用了此地址
工作原理(结合交换机原理)
1、两台局域网主机互相通信为例讲解原理
ARP解析过程
- 当PC1想发送数据给PC2,首先在自己的本地ARP缓存表中检查主机PC2的MAC地址是否存在?
- 如果PC1缓存中没有找到响应的条目,它将询问主机PC2的MAC地址,从而将ARP请求帧广播到本地网络的所有主机。 该帧中包括源主机PC1的IP、MAC地址,本地网络中的所有主机都接收到ARP请求,并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配,则丢弃ARP请求。
- 主机PC2确定ARP请求中得IP地址与自己的IP地址匹配,则将主机PC1的地址和MAC地址添加到本地缓存表中。
- 主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1(数据帧为单播)。
- 主机PC1收到PC2发的ARP回复消息,将PC2的IP和MAC地址添加至自己ARP缓存表中,本机缓存是有生存期的,默认ARP缓存表有效期120s。当超过该有效期后,则将重复上面过程。主机PC2的MAC地址一旦确定,主机PC1就能向主机PC2发送IP信息
ARP报文
windows当中如何查看arp缓存表(静态arp和动态arp)
arp -a ###查看arp缓存表
arp -d ###不加ip清除所有
arp -d [IP] ###加ip 只删除改Ip
arp -s IP MAC ###删除arp静态绑定
如提示ARP项添加失败,解决方案:
a、用管理员模式:电脑左下角“开始”按钮右键,点击"Windows PowerShell (管理员) (A)”或者
进入C盘windows \system32文件夹找到cmd.exe, 右键“以管理员身份运行”再执行arp -s命令:
绑定arp(win10)
cmd中输入
netsh -c i i show in
#查看网络连接准确名称,如:本地连接、无线网络连接
netsh -c “i i” add neighbors 19 “IP” “Mac”,这里19是idx号。//绑定
netsh -c “i i” delete neighbors 19,这里19是idx号。 //解绑
netsh interface ipv4 set neighbors <接口序号> <IP> <MAC>
动态ARP表项老化:在一段时间内如果表项中的ARP映射关系始终没有使用,则会被删除。通过及时删除不活跃表项,从而提升ARP响应效率
华为系统中的ARP命令
[Huawei]dis mac- address ## #查看mac地址信息
[Huawei]arp static <IP> <MAC> ## #绑定ARP
[Huawei]undo arp static <IP> <MAC> ###解绑定
<Huawei>reset arp all ###清除mac地址表
arp攻击与欺骗
1.ARP攻击
ARP攻击发送的是ARP应答,但是ARP应答中的MAC地址为虚假地址,所以在其他主机想要进行通信时,会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后,如果网关再发生数据给PC1时,就会发送到虚假的MAC地址导致通信故障。
此处可以举例说明,例如张三要给李四打电话,他首先要知道李四的电话号码,这时有人告诉他李四的电话号码是12345678(不存在的号码),于是张三就把电话打到12345678,这样就无法找到李四了。
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。
2、中间有一台交换机时完整的通信过程时怎么样的
arp报文(抓包分析)
重点有源ip目标ip和源mac和目标mac
目的MAC地址: 54:89:98:0F:2B:BE
源MAC地址: 54:89:98:5B:5B:8A
帧类型: 0x0806 --长度为2字节,0x0806代表为ARP packe
硬件类型:0x0001 --长度为2字节,表示网络类型;以太网取值为1
协议类型:0x0800 --长度为2字节,表示要映射的协议地址类型。取值为0x0800,表示根据IP地址来进行映射
硬件地址长度:0x06 --长度为1字节,表示硬件地址长度;取值为0x06,以太网中表示MAC地址长度为6字节
协议地址长度:0x04 --长度为1字节,表示协议地址长度;取值为0x04,以太网中表示IP地址长度为4字节
op: 0x0002 --长度为2个字节,表示ARP报文的种类;取值为1,表示请求报文;取值为2,表示ARP应答报文
发送端MAC地址: 54:89:98:5B:5B:8A (信息体的发起端)
发送端IP地址: 0A:00:00:02 (转换即为10.0.0.2)
目的端 MAC地址:54:89:98:0F:2B:BE
目的端IP地址:0A:00:00:01 (转换即为10.0.0.1)