网络安全笔记——第七天：IP相关知识

IP协议与地址的简介

    IP协议是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。各个厂家生产的网络系统和设备，如以太网、分组交换网等，它们相互之间不能互通，不能互通的主要原因是因为它们所传送数据的基本单元（技术上称之为“帧”）的格式不同。IP协议实际上是一套由软件程序组成的协议软件，它把各种不同“帧”统一转换成“IP数据报”格式，这种转换是因特网的一个最重要的特点，使所有各种计算机都能在因特网上实现互通，即具有“开放性”的特点。正是因为有了IP协议，因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。因此，IP协议也可以叫做“因特网协议”。
    IP协议中还有一个非常重要的内容，那就是给因特网上的每台计算机和其它设备都规定了一个唯一的地址，叫做“IP地址”。由于有这种唯一的地址，才保证了用户在连网的计算机上操作时，能够高效而且方便地从千千万万台计算机中选出自己所需的对象来。
    IP地址就像是我们的家庭住址一样，如果你要写信给一个人，你就要知道他（她）的地址，这样邮递员才能把信送到。计算机发送信息就好比是邮递员，它必须知道唯一的“家庭地址”才能不至于把信送错人家。只不过我们的地址是用文字来表示的，计算机的地址用二进制数字表示。
    IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址，才能正常通信。我们可以把“个人电脑”比作“一台电话”，那么“IP地址”就相当于“电话号码”，而Internet中的路由器，就相当于电信局的“程控式交换机”。
    IP地址是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。IP地址通常用“点分十进制”表示成（a.b.c.d）的形式，其中，a,b,c,d都是0~255之间的十进制整数。例：点分十进IP地址（100.4.5.6），实际上是32位二进制数（01100100.00000100.00000101.00000110）。

发展历程

    首先出现的IP地址是IPv4，它只有4段数字，每一段最大不超过255。由于互联网的蓬勃发展，IP位址的需求量愈来愈大，使得IP位址的发放愈趋严格，各项资料显示全球IPv4位址可能在2005至2010年间全部发完(实际情况是在2019年11月25日IPv4位址分配完毕）。地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。IPv6采用128位地址长度。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其它问题。
    现有的互联网是在IPv4协议的基础上运行的。IPv6是下一版本的互联网协议，也可以说是下一代互联网的协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，而地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过IPv6以重新定义地址空间。IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上仍可分配1000多个地址。在IPv6的设计过程中除解决了地址短缺问题以外，还考虑了在IPv4中解决不好的其它一些问题，主要有端到端IP连接、服务质量（QoS）、安全性、多播、移动性、即插即用等。
    随着互联网的飞速发展和互联网用户对服务水平要求的不断提高，IPv6在全球将会越来越受到重视。实际上，并不急于推广IPv6，只需在现有的IPv4基础上将32位扩展8位到40位，即可解决IPv4地址不够的问题。这样一来可用地址数就扩大了256倍。

分类

公有地址
公有地址（Public address）由Inter NIC（Internet Network Information Center因特网信息中心）负责。这些IP地址分配给注册并向Inter NIC提出申请的组织机构。通过它直接访问因特网。
私有地址
私有地址（Private address）属于非注册地址，专门为组织机构内部使用。
以下列出留用的内部私有地址

• A类 10.0.0.0–10.255.255.255
• B类 172.16.0.0–172.31.255.255
• C类 192.168.0.0–192.168.255.255

编址方式

    最初设计互联网络时，为了便于寻址以及层次化构造网络，每个IP地址包括两个标识码（ID），即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID，网络上的一个主机（包括网络上工作站，服务器等）有一个主机ID与其对应。Internet委员会定义了5种IP地址类型以适合不同容量的网络，即 A类-E类。
    其中A、B、C3类（如下表格）由InternetNIC在全球范围内统一分配，D、E类为特殊地址。

类别	最大网络数	IP地址范围	单个网段最大主机数	私有IP地址范围
A	126(27-2)	1.0.0.1-127.255.255.254	16777214	10.0.0.0-10.255.255.255
B	16384(214)	128.0.0.1-191.255.255.254	65534	172.16.0.0-172.31.255.255
C	2097152(221)	192.0.0.1-223.255.255.254	254	192.168.0.0-192.168.255.255

不同类别的IP地址

A类IP地址

    一个A类IP地址是指， 在IP地址的四段号码中，第一段号码为网络号码，剩下的三段号码为本地计算机的号码。如果用二进制表示IP地址的话，A类IP地址就由1字节的网络地址和3字节主机地址组成，网络地址的最高位必须是“0”。A类IP地址中网络的标识长度为8位，主机标识的长度为24位，A类网络地址数量较少，有126个网络，每个网络可以容纳主机数达1600多万台。
    A类IP地址 地址范围1.0.0.1到127.255.255.254（二进制表示为：00000001 00000000 00000000 00000001 - 01111111 11111111 11111111 11111110）。最后一个是广播地址。

B类IP地址

    一个B类IP地址是指，在IP地址的四段号码中，前两段号码为网络号码。如果用二进制表示IP地址的话，B类IP地址就由2字节的网络地址和2字节主机地址组成，网络地址的最高位必须是“10”。B类IP地址中网络的标识长度为16位，主机标识的长度为16位，B类网络地址适用于中等规模的网络，有16384个网络，每个网络所能容纳的计算机数为6万多台。
B类IP地址地址范围128.0.0.1-191.255.255.254（二进制表示为：10000000 00000000 00000000 00000001----10111111 11111111 11111111 11111110）。 最后一个是广播地址。
    B类IP地址的子网掩码为255.255.0.0，每个网络支持的最大主机数为256²-2=65534台。

C类IP地址

    一个C类IP地址是指，在IP地址的四段号码中，前三段号码为网络号码，剩下的一段号码为本地计算机的号码。如果用二进制表示IP地址的话，C类IP地址就由3字节的网络地址和1字节主机地址组成，网络地址的最高位必须是“110”。C类IP地址中网络的标识长度为24位，主机标识的长度为8位，C类网络地址数量较多，有209万余个网络。适用于小规模的局域网络，每个网络最多只能包含254台计算机。
C类IP地址范围192.0.0.1-223.255.255.254（二进制表示为: 11000000 00000000 00000000 00000001 - 11011111 11111111 11111111 11111110）。
C类IP地址的子网掩码为255.255.255.0，每个网络支持的最大主机数为256-2=254台

D类IP地址

    D类IP地址在历史上被叫做 多播地址(multicast address)，即组播地址。在以太网中，多播地址命名了一组应该在这个网络中应用接收到一个分组的站点。多播地址的最高位必须是“1110”，范围从224.0.0.0到239.255.255.255。

特殊的网址

1. 每一个字节都为0的地址（“0.0.0.0”）对应于当前主机；
2. IP地址中的每一个字节都为1的IP地址（“255．255．255．255”）是当前子网的==广播地址==；
3. IP地址中凡是以“11110”开头的E类IP地址都保留用于将来和实验使用。
4. IP地址中不能以十进制“127”作为开头，该类地址中数字127.0.0.1到127.255.255.255用于回路测试，如：127.0.0.1可以代表本机IP地址，用“http://127.0.0.1”就可以测试本机中配置的Web服务器。
5. 网络ID的第一个6位组也不能全置为“0”，全“0”表示本地网络。

相关的知识

子网

    引入子网掩码(NetMask)，从逻辑上把一个大网络划分成一些小网络。子网掩码是由一系列的1和0构成，通过将其同IP地址做“与”运算来指出一个IP地址的网络号是什么。对于传统IP地址分类来说，A类地址的子网掩码是255.0.0.0；B类地址的子网掩码是255.255.0.0；C类地址的子网掩码是255.255.255.0。例如，如果要将一个B类网络166.111.0.0划分为多个C类子网来用的话，只要将其子网掩码设置为255.255.255.0即可，这样166.111.1.1和166.111.2.1就分属于不同的网络了。像这样，通过较长的子网掩码将一个网络划分为多个网络的方法就叫做划分子网(Subnetting)。

超网

    超网(Supernetting)是同子网类似的概念，它通过较短的子网掩码将多个小网络合成一个大网络。例如，一个单位分到了8个C类地址：202.120.224.0 ～ 202.120.231.0，只要将其子网掩码设置为255.255.248.0，就能使这些C类网络相通。

无类间路由

    TCP/IP协议需要针对不同的网络进行不同的设置，且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过，可以通过动态主机配置协议（DHCP），给客户端自动分配一个IP地址，避免了出错，也简化了TCP/IP协议的设置。
IP地址现由因特网名字与号码指派公司ICANN（Internet Corporation for Assigned Names and Numbers）分配。

• InterNIC：负责美国及其他地区；
• ENIC：负责欧洲地区；
• APNIC（Asia Pacific Network Information Center）：　我国用户可向APNIC申请（要缴费）
• PS：1998年，APNIC的总部从东京搬迁到澳大利亚布里斯班。
• 负责A类IP地址分配的机构是ENIC
• 负责北美B类IP地址分配的机构是InterNIC
• 负责亚太B类IP地址分配的机构是APNIC

IP地址管理

倘若不能对IP地址进行有效管理，可能会造成降低了网络可用性与服务质量，严重甚至会导致网络崩溃。
以下是之中主要的IP地址管理模式：

1. 手工管理模式

       网络管理人员对Excel表格或地址登记簿进行维护是使用 手工维护，对某IP地址是不是能有效使用进行查询验证使借助简单PING命令，当对IP进行新分配之后，对Excel表格或地址登记簿需要进行更新运用手工方式。运用手工方式在接入端对静态IP地址进行配置，这就是传统手工管理IP模式。

2. DHCP分配IP地址的管理模式

       DHCP动态分配IP地址的模式的出现是因为信息系统规模是在变大，对于实际业务需要，手工分配 IP地址的模式已经满足不了了。这样的方式会给网络带来下面一些问题：
           1）对IP地址进行随机分配使用DHCP分配的管理模式，各位工作人员使用电脑指定单一IP地址，实现不了相关部门分配、绑定IP/MAC地址和审计等措施的要求；
           2）使用过高CPU与系统挂断的情况，或用户的数量会大增，DHCP请求过高这些情况是因为使用了非专用DHCP服务器最终造成出现不及时的相应与出现中断服务的现象；
           3）不能自动释放租约到期的IP地址；无法自动清除记录 IP冲突的表格，这是因为一些网络设备的硬件的设置的规定；
            4）对传统DHCP功能而言缺乏外来用户授权与认证安全机制，这样一来，对MAC地址进行恶意伪造的行为是不能做到阻止，也就会用尽IP地址；
            5）对网络管理员而言，网络扩容工程的过程比较繁杂琐碎；
            6）准确定位非法接入设备的大量检索工作量也是存在这种管理模式；
            7）安全性能低，很容易被攻击

3. 通过交换机管理IP 地址模式

       在局域网内，使用的方式是创新的，借助交换机内部集成的安全特性对IP地址进行有效管理的模式。只是按照安全措施来自认证（如IEEE802.1x）与访问控制列表对于前文提及的来自网络第2层即数据链路层的安全攻击（DHCP服务器欺骗 攻击、IP/MAC地址欺骗、MAC地址的泛滥攻击等等）是不能起到阻止的。

告别

学习的时光就是这么短暂，我们明天见！