三、TCP/IP---ARP和ICMP协议

ARP协议

简介：号称TCP/IP中最不安全的协议，安全工具，黑客工具大多数基于ARP协议。它是地址解析协议，用于实现从IP到MAC地址的映射，即询问目标Ip对应的MAC地址是多少，局域网通信不仅需要源目地址封装，也要源目MAC地址，由于上层程序不关心MAC，只关心IP地址，所以需要ARP协议根据IP获取MAC

举例

P1要与P2建立链接，但是只知道P2的IP地址，不知道MAC地址，所以P1会广播发送一个ARP request包，询问你们谁是IP（2的），请告诉我MAC是多少。P2收到后回复我是IP（2的），MAC是xxx。
request：

reply：

部分字段

硬件类型：Ethernet（1）
协议类型：IP（0x0800）
硬件大小：字节数
协议大小：字节数
操作类型：1是request 2是reply
源目MAC/IP：若是请求则目标MAC/IP置空

ARP攻击

1、ARP扫描 2、ARP欺骗
攻击原理：ARP表遵循”后到优先“原则；基于伪造ARP回应包，通过伪造”错位“IP和MAC地址映射覆盖主机ARP表截取数据流，若通信加密则不易被截取到有用信息。

ICMP协议

简介：互联网信息控制协议，Internet control message protocol，链路联通测试和链路追踪，可以实现差错报告，ICMP运行在传输层，服务于IP协议

部分字段

类型值/代码值： 8/0 请求 0/0 回复 区分数据包类型
校验：检验数据完整性
标识符：标识不同ping进程
序列号：在此进程下的第几个包

拓展

DDos攻击，windows是ICMP。Linux是UDP（高端口）
包有问题时返回会附带在ICMP包里面
链路追踪利用TTL超时规则