目录
- 网络层的功能
- IP数据包格式
- ICMP主要功能
- ping命令常用的参数
- ARP协议工作原理
- ARP攻击原理
网络层的功能
1.定义了基于IP协议的逻辑地址
2.连接不同的媒介类型
3.选择数据通过网络的最佳路径
IP数据包格式
版本(Version):该字段包含的是IP版本号,4比特,目前IP的版本为4(即IPv4)
首部长度(Header Length);该字段用于表示IP数据包头长度,4比特,最短为20字节,但是其长度是可变的,具体长度取决于可选项字段的长度
优先级与服务类型(Priority&Type of Service):该字段用于表示数据包的优先级和服务类型,8比特,通过在数据包中划分一定的优先级,用于实现QoS(服务质量)的要求
总长度(Total Length):以指示整个IP数据包的长度,16比特,总长为65535字节,包括包头和数据
标识符(Identification):该字段用于标识一个数据包,以便接受节点可以重组被分片的数据包,16比特
标志(Flags):标志字段,3比特,对当前的包不能进行分片,或当一个包被分片后,最后一个分片是否已发出
段偏移量(Fragment Offset):该字段用于表示段偏移量,13比特,其中包含的信息是在一个包被分片序列中如何将各分片重新连接起来
TTL(Time to Live):表示数据包的生命周期,每经过一个路由器-1,为0将被丢弃,8比特
协议号(Protocol):指示IP数据包中封装的是TCP(协议号6)还是UDP(协议号17),8比特
首部校验和(Header Checksum):校验和是16位的错误检测字段,如果数据没有改动过,目的主机和网络中每个网关重新计算包头的校验和的结果应该与源主机所做一致
源IP地址(Source IP Address):发送该数据包设备的网络地址,32比特
目标IP地址(Destination IP Address):表示接受节点的网络地址,32比特
可选项(Options):该字段根据实际情况可变长,可以和IP一起使用的选项有多个
ICMP(Internet Control Message Protocol)协议
全称“Internet控制消息协议”属于网络层协议,用于在IP网络中发送控制消息,提供在通信环境中发生的各种问题反馈,信息管理员收到反馈即可对所发生问题进行判断。
1.“错误帧测与回馈机制”
使管理员能够掌握网络连通状态,如路由器收到一个不能被送达最终目的的数据包是,会向源主机放送一个主机不可达的ICMP消息
2.ICMP的封装
*传输ICMP信息时,要先封装网络层的IP报头,再交给数据链路层,即IC报文对应IP层的数据
Ping命令常用参数
1.ping X/X/X/X -t,参数会一直执行下去,ctrl+c可结束
2.ping X/X/X/X -a,可显示对方主机名(若对方开启防火墙可能无法显示)
3.ping X/X/X/X -l,改变ping包大小
APR协议
ARP(Address Resolution Protocol)地址解析协议,局域网中主机的通信,IP地址与MAC地址,将一个已知的IP地址解析成MAC地址
1.PC1发送数据给PC2,先查看缓存表是否有PC2的MAC地址(arp -a查看ARP缓存表/arp -d清除ARP缓存)
2.PC1发送ARP请求(广播),交换机记录其MAC地址和接口,查找没有PC2的MAC地址将数据帧广播,主机接受到数据帧进行比较,PC2对应上单波方式发一个ARP回应,并记录PC1的IP地址和MAC地址,其余主机比对不上的则丢弃该数据包。
3.PC1收到回应后添加PC2的IP和MAC地址,交换机也在此过程中学习了PC1和PC2的MAC地址,之后PC1和PC2之间进行单播方式的数据传输。
*动态学习的ARP老化时间是120s,静态绑定的ARP条目则会在关机或重启后消失
ARP攻击原理
利用ARP回愧机制向被攻击的主机和网关不断传输虚假MAC地址,使其ARP毒化,实现对被攻击的主机网络的限制即监控等