网络层协议介绍

目录

1.IP数据包格式

2.ICMP协议介绍

3.ARP协议介绍

4.ARP攻击原理

总结

1.IP数据包格式

网络层的功能

定义了基于IP协议的逻辑地址

连接不同的媒介类型

选择数据通过网络的最佳路径

IP数据包格式

协议字段

 

 

版本号：（4bit）：指IP协议版本，并且通信双方使用的版本必须一致，目前我们使用的是IPv4，表示0100

首部长度（4）：IP数据包的包头长度

优先级与服务类型（8）：该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级，用于实现QoS（服务质量）的要求。

总长度（16）：IP数据包的总长度，最长为65535字节，包括包头和数据

标识符（16）：该字段用于表示IP数据包的标识符。当IP对上层数据进行分片时，它将给所有的分片分配一组编号，然后将这些编号放入标识符字段中，保证分片不会被错误地重组。标识符字段用于标志一个数据包，以便接收节点可以重组被分片的数据包

标志（3）：和标志符一起传递，指示不可以被分片或者最后一个分片是否发出

段偏移量（13）：在一个分片序列中如何将各分片连接起来，按什么顺序连接起来

TTL生命周期（8）：可以防止一个数据包在网络中无限循环转发下去，每经过一个路由器-1，当TTL的值为0时，该数据包将被丢弃

协议号（8）：封装的上层哪个协议，ICMP：1 TCP：6 UDP:17

首部校验和（16):这个字段只检验数据报文的首部，不包括数据部分。这是因为数据报文没经过一次路由器，都要重新计算一下首部校验验和（因为，一些字段如生存时间、标志、片偏移等可能发生变化）

源地址（32）：源IP地址，发送端IP地址

目标地址（32）：目标IP地址，表示接收端的IP地址

可选项：选项字段根据实际情况可变长，可以和IP一起使用的选项有多个。例如可以输入创建该数据包的时间等。在可选项之后，就是上层数据

注：根据实际情况可变长，例如创建时间等  上层数据

 

2.ICMP协议介绍

ICMP协议

ICMP是一个“错误侦测与回馈机制”

通过IP数据包装的

用来发送错误和控制消息

 

ICMP协议的封装

ICMP协议属于网络层协议

ICMP数据的封装过程

 

		ICMP头部	ICMP数据
	IP头部	上层数据（ICMP报文）
帧头部	上层数据			帧尾部

ICMP报文有两种类型：差错报告报文和查询报文

 

Ping命令

 

 

 “-t”   在Windows 操作系统中，默认情况下发送4个ping 包，如果在ping命令后面加上参数“-t”，系统将会一直不停地ping下去

 

 

Ctrl+C可以中断命令

 

-a 显示主机名

 

 -l    一般情况下，ping 包的大小为32字节，有时为了检测大数据包的通过情况，可以使用参数改变ping 包的大小

 

 输入100 字节就变成100了如上图

 

- S指定源IP去ping

 

 

-n指定发送包的个数

 

 

 

WIN：

tracert命令:在命令行中输入"tracert”并在后面加入--个IP地址，可以查询从本机到该IP地址所在的电脑要经过的路由器及其IP地址

Linux:traceroute IP/域名

 

 

（补充）如果在其中一个不往下走 就是网工的责任

 

 

3.ARP协议介绍

ARP协议概述

局域网中主机的通信

IP地址与MAC地址

arp协议

什么是arp协议

ARP协议是地址解析协议( Address Resolution Protocol)是通过解析IP地址得到MAc地址的，是--个在网络协议包中极其重要的网络传输协议，它与网卡有着极其密切的关系，在TCP/IP分层结构中，把ARP划分为网络层，为什么呢，因为在网络层看来，源主机与目标主机是通过IP地址进行识别的，而所有的数据传输又依赖网卡底层硬件，即链路层，那么就需要将这些IP地址转换为链路层可以识别的东西，在所有的链路中都有着自己的一套寻址机制，如在以太网中使用MAC地址进行寻址，以标识不同的主机，那么就需要有--个协议将IP地址转换为MAC地址，由此就出现了ARP协议，所有ARP协议在网络层被应用，它是网络层与链路层连接的重要枢纽，每当有-一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址，在IP层及其以上的层次看来，他们只标识IP地址，从不跟硬件打交道

 

5 arp协议如何工作的

为了实现IP地址与MAC地址的查询与转换，ARP协议引入了ARP缓存表的概念，每台主机或路由器在维护着一-个ARP缓存表(ARP table)这个表包含IP地址到MAC地址的映射关系，表中记录了<IP地址，MAC地址>对，我称之为ARP表项，如我们前面那张图所展示的一样，他们是主机最近运行时获得关于其他主机的IP地址到MAc地址的映射，当需要发送数据的时候，主机就会根据数据报中的目标IP地址信息，然后在ARP缓存表中进行查找对应的MAC 地址，最后通过网卡将数据发送出去。ARP缓存表包含-个寿命值(TTL，也称作生存时间) ，它将 记录每个ARP表项的生存时间，生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始，一个表项通常的生存时间一般是10分钟吗，当然，这些生存时间是可以任意设置的，我们一般使用默认即可。

 

ARP协议

IP地址解析为MAC地址

 

 

ARP工作原理:

 

1. PC1想发送数据给PC2，会 先检查自己的ARP缓存表。

2.如果发现要查找的MAC地址不在表中，就会发送一个ARP请求广播，用于发现目的地的MAC地址。ARP请求消息中包括PC1的IP地址和MAC地址以及PC2的IP地址和目的MAC地址(此时为广播MAC地址FE-FF-FF-FF-FF-FF)。

3.交换机收到广播后做泛洪处理，除PC1外所有主机收到ARP请求消息，PC2以单播方式发送ARP应答，并在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系，而其他主机则丢弃这个ARP请求消息。

4. PC1在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系，以单播方式与PC2通信。（两分钟不联系会自动断开）

 

4.ARP攻击原理

欺骗其他所有计算机

欺骗被攻击计算机

ARP攻击发送的是ARP应答，但是ARP应答中的MAC地址为虚假地址，所以在其他主机想要进行通信时，会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。

例如如果希望被攻击无法访问互联网，就需要对网关发送或被攻击主机发送虚假ARP应答。当网关接收到虚假的ARP条目后，如果网关再发生数据给PC时，就会发送到虚假的MAC地址导致通信故障。

此处可以举例说明，例如张三要给李四打电话，他首先要知道李四的电话号码，这时有人告诉他李四的电话号码是12345678（不存在的号码），于是张三就把电话打到12345678，这样就无法找到李四。

ARP欺骗的原理和ARP攻击基本相同，但效果不一样。ARP攻击最终的结果是导致网络中断，而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。

 

利用ARP欺骗管理网络

通过长角牛网络监控机软件管理网络

设置监控范围

进行网络管理

验证效果

 

总结

IP数据包格式重点理解各字段的含义

版本号 首部长度 优先级与服务类型 总长度 标志符 标志 段偏移量 TTL（生命周期） 协议号 首部校验和 源地址 目的地址 可选项 数据

ICMP用来发送错误和控制信息

ARP协议用于实现IP到MAC 地址的解析

ARP协议通过广播查询目标主机MAC地址

ARP攻击是通过伪造ARP应答进行欺骗攻击