详解网络层协议（ICMP，ARP）

目录

1、网络层功能：

2、IP数据包格式：

 3、ICMP协议：

4、请求超时和目标主机不可达的区别：

5、ICMP协议的封装：

 6、ping 命令的使用：

 7、ARP协议：

 8、ARP工作原理：

 9、ARP欺骗：

总结：

---

1、网络层功能：

定义了基于IP协议的逻辑地址；

连接不同的网段；

选择数据通过网络的最佳路径；

2、IP数据包格式：

协议字段：协议号：TCP是6，UDP是17

 3、ICMP协议：

ICMP：Internet控制报文协议。它是TCP/IP协议簇的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

ICMP协议：Internet控制报文协议，是一个错误侦测与回馈机制；

作用：测试网络的联通性并给予一定的反馈

组成：ping，tracert；

ping 用来测试网络可达性，tracert 用来显示到达目的主机的路径。

4、请求超时和目标主机不可达的区别：

请求超时意味着主机没有收到目标主机的响应，但能够达到它。 目标主机不可达表示没有有效的路由到请求的主机。

据我所知，“请求超时”是指从一台主机到达另一台主机的ICMP数据包，但答复无法到达请求主机。 可能会有更多的数据包丢失或一些物理问题。 “目标主机不可达”意味着在两台主机之间没有合适的路由。

5、ICMP协议的封装：

 6、ping 命令的使用：

1、-t 参数会一直不停的执行ping

查看网络是否有丢包的情况；

调试故障或需进行持续连通性测式时应用；

Ctrl+C可以中断命令； 

 2、-a 参数可以显示目标主机的名称 

 3、-l 参数可以设定ping 包的大小

单位为字节（默认ping 包大小是32字节）；可用于简单测试通信质量

 7、ARP协议：

 ARP协议：地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。

局域网中主机的通信：IP地址，MAC地址

什么是ARP协议？

正向地址解析协议；将一个已知的目标lP地址解析成对应的MAC地址；

 8、ARP工作原理：

主机A的IP地址为192.168.1.1，MAC地址为0A-11-22-33-44-01；

主机B的IP地址为192.168.1.2，MAC地址为0A-11-22-33-44-02；

（1）根据主机A上的路由表内容，IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。

（2）如果主机A在ARP缓存中没有找到映射，它将询问192.168.1.2的硬件地址，从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配，它将丢弃ARP请求。  

（3）主机B确定ARP请求中的IP地址与自己的IP地址匹配，则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。

（4）主机B将包含其MAC地址的ARP回复消息直接发送回主机A。

（5）当主机A收到从主机B发来的ARP回复消息时，会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的，生存期结束后，将再次重复上面的过程。主机B的MAC地址一旦确定，主机A就能向主机B发送IP通信了

RARP：反向地址解析协议

使用场合：己知自标MAC，未知目标IP时候用；

Windows系统中的ARP命令：

arp -a:查看ARP缓存表

arp -d:清除ARP缓存(一般不会清除静态ARP缓存，清除的是动态ARP缓存)

ARP绑定   例: arp -s 192.168.0.1  aa-aa-aa-aa-aa-aa

ensp例子：（设备的ARP一些命令）

查看arp缓存< >/[ ]display arp

arp捆绑[ ]arp static 192.168.0.100  AAAA-AAAA-AAAA

删除ARP缓存< >reset arp all  //清除所有ARP缓存

< >reset arp static   //清除静态ARP缓存

 9、ARP欺骗：

ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。

ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。

 有ARP欺骗网关，ARP欺骗主机等；

总结：

1、网络层两个重要的协议：ICMP（控制报文协议）协议，ARP（地址解析协议）协议；

2、区分请求超时和主机不可达的区别；

3、一些简单的ping 命令；

4、ARP的工作原理；

5、扩充：ARP欺骗；