快速了解网络层协议

目录

• 一、IP数据包格式
• 二、ICMP协议介绍
  • 1.1、介绍
  • 2.2、实践
• 三、ARP协议介绍
  • 3.1ARP协议定义：
  • 3.2ＡＲＰ协议解析过程
• 四、ARP攻击与欺骗
  • 4.1、ARP攻击原理
  • 4.2、ARP欺骗原理

一、IP数据包格式

• 版本：
  占4位，指IP协议版本。并且通信双方使用的版本必须一致，目前我们使用的是IPv4，IPv6也是一种版本，目前用的不多，以后会使用

• 首部长度：
  占4位，表示的最大十进制数是15（注意：首部长度字段所表示的单位是32位子，一个32位字长是4字节），因此首部长度的最小值为5（即：0101），相当于54=20字节，最大值为15（即：1111），相当于154=60字节，切记当首部长度不是4的整数倍时，必须利用最后的填充字段填充

• 区分服务：
  占 8位，用来获得更好的服务，一般情况下不怎么使用这个字段，只有在区分服务时使用这个字段

• 总长度：
  指首部和数据之和的长度，单位为字节，总长度字段为16位，因此数据报的最大长度为2^16 - 1 = 65535

• 标识：
  占16位，IP软件在存储器中维持一个计数器，每产生一个数据包，计数器加1，并将此值赋给标识字段，当数据包长度超过网络的MTU时，就要采用分片处理，分片时，这个标识字段的值就会被复制到所有的数据报切片中。最后相同的数据报标识字段的分片就会重装成为原来的数据报。

• 标志：
  占3位，但目前只有两位有意义

标志字段中最低位记MF，MF=1表示后面还有分片的数据报，MF=0，表示这是若干数据报中的最后一个
中间的一位为DF，意思是不能分片，只有当DF=0时才允许分片

• 片偏移：
  占13位，表示相对于用户数据的起点，该片从何处开始，片偏移以8字节为偏移量，也就是说每一个分片的长度一定是8字节的整数倍

• 生存时间：
  占8位，生存时间常用的字段是TTL（Time To Live），表示数据报在网络中的寿命，由发出的源站点设置，目的就是防止无法交付的数据报在因特网中无限制的兜圈子，白白消耗资源。TTL字段是以跳数限制的，每经过一个路由器，在转发之前就把跳数减为1，当TTL减为0时就会丢弃这个数据报，因为数据报在因特网中最大经过的路由器是255

• 协议：
  占8位，协议字段指数据报携带的数据是使用何种协议的，以便使目的主机的IP层知道将数据部分上交给那个处理过程。

• 首部校验和：
  占16位，这个字段只检验数据报的首部，不包括数据部分。这是因为数据报没经过一次路由器，都要重新计算一下首部校验和（因为，一些字段如生存时间、标志、片偏移等可能发生变化）

• 源地址和目的地址：
  占32位，表示发送端和接收端的IP地址

• 可选字段：
  占25位，该字段大小长度可变，从一字节到40字节不等

• 填充
  占7位，前面字段加起来不是4的整数倍时，该字段填充全0补齐为4字节的倍数

二、ICMP协议介绍

1.1、介绍

ICMP：Internet控制报文协议，是网络层的一个协议，用于探测网络是否连通、主机是否可达，路由是否可用等。简单地讲，它是用来查询诊断网络的。

2.2、实践

1、打开命令提示符

2、ping主机自己

3、ping网址

三、ARP协议介绍

3.1ARP协议定义：

　　地址解析协议，工作在数据链路层，在本层和硬件接口联系，同时向上层提供服务。IP数据包常通过以太网发送，以太网设备不识别32位IP地址，他们是以48位以太网地址传输以太网数据包的，因此需要IP转化为以太网目的地址。ARP协议用于将网络中的IP地址解析为Mac地址以保证通信的顺利进行。RARP则反向解析地址协议，负责将链路层Mac地址转化为网络层IP地址。

3.2ＡＲＰ协议解析过程

　　１、每台主机都会在自己的ARP缓冲区中建立一个ARP列表，以表示IP地址和自己MAC地址的对应关系。当源主机要将一个数据包发送到目的主机时，会先检查自己的ARP列表中是否存在该IP地址对应的MAC地址，如果有就直接发送，如果没有就会在本地网段发起一个ARP请求的广播包，查询此IP地址对应的MAC地址。
　　2、网络中所有的主机收到这个ARP请求之后，会检查这个数据包中的目的IP地址是否和自己的IP地址一致，如果不相同则会忽略此数据包，如果相同，则会将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP列表中已经已存在该IP地址，则将其覆盖，然后给源主机发送一个ARP响应包，告诉它自己就是它需要查找的MAC地址。
　　3、源主机收到这个响应数据包，将目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用该信息进行数据传输。如果源主机没有收到ARP响应数据包则表示查询失败。

四、ARP攻击与欺骗

4.1、ARP攻击原理

1、攻制造假的arp应答，并发送给局域网中除被攻击之外的所有主机。arp应答中包含被 攻击主机的IP地址和虚假的MAC地址。

2、攻造假的arp应答，并发送给被攻击的主机，arp应答中包含除被攻击攻击主机之外的所有主机的IP地址和虚假的MAC地址。

3、要执行上诉arp攻击行为中的一种就可以实现被攻击主机和其他主机无法通信。

4、arp病毒会向局域网中的所有主机发送ARP应答，其中包含网关IP地址和虚假的MAC地址。局域网中的主机收到ARP应答跟新ARP表后，就无法和网关正常通信，导致无法访问互联网

4.2、ARP欺骗原理

1.一般情况下，ARP欺骗并不是使网络无法正常通信，而是通过冒充网关或其他主机使得到达网关或主机的流量通过攻击进行转发。通过转发流量可以对流量进行控制和查看，从而控制流量或得到机密信息。

2.ARP欺骗发送arp应答给局域网中其他的主机，其中包含网关的IP地址和进行ARP欺骗的主机MAC地址;并且也发送了ARP应答给网关，其中包含局域网中所有主机的IP地址和进行arp欺骗的主机MAC地址。当局域网中主机和网关收到ARP应答跟新ARP表后，主机和网关之间的流量就需要通过攻击主机进行转发。冒充主机的过程和冒充网关相同。