目录
一、网络层的功能
二、IP数据包格式
三、ICMP协议
1.功能
2.类型
3.ICMP协议的应用
4.ping不通的几种情况
5.ping命令的用法
6.tracert命令:
四、ARP协议
1.arp协议如何工作的
2.工作原理(结合交换机原理)
3.如何查看arp缓存表
4.绑定arp(win10)
5.动态ARP表项老化
6.arp攻击与欺骗
7.arp报文(抓包分析)
一、网络层的功能
1.定义了基于IP协议的逻辑地址,就是ip地址
2.连接不同的媒介类型
3.选择数据通过网络的最佳路径,完成逻辑地址寻址
二、IP数据包格式
(ip头部分为20字节的固定部分,表示每个ip数据包必须包含的部分,和40字节的可变长部分)
| 字段 | 长度(位) | 描述 |
|---|---|---|
| 版本 (Version) | 4 | IP协议的版本号(IPv4中为4) |
| 报头长度 (IHL) | 4 | 报头长度,以4字节为单位 |
| 区分服务 (TOS) | 8 | 服务类型,用于区分不同的服务质量 |
| 总长度 | 16 | 整个IP数据包的长度,以字节为单位 |
| 标识 (ID) | 16 | 唯一标识主机发送的每一个数据报文 |
| 标志 (Flags) | 3 | 控制和标记数据包的某些特性 |
| 片偏移 (FO) | 13 | 数据包分片的位置 |
| 生存时间 (TTL) | 8 | 数据包在网络中的存活时间 |
| 协议 (Protocol) | 8 | 上层协议类型,例如TCP、UDP |
| 头校验和 | 16 | 检验报头的完整性 |
| 源地址 | 32 | 发送数据包的设备的IP地址 |
| 目的地址 | 32 | 接收数据包的设备的IP地址 |
| 选项 (Options) | 可变 | 支持网络测试和调试等功能 |
| 数据 (Padding) | 可变 | 补充字段,使报头长度为4字节的整数倍 |
三、ICMP协议
1.功能
作为网络管理员,必须知道网络设备之间的连接状况,因此就需要有一种机制来侦测或通知网络设备之间可能发生的各种各样的情况,这就是 ICMP 协议的作用。ICMP 协议(Internet Control Message Protocol)的全称是“Internet 控制消息协议”,主要用于在IP 网络中发送控制消息,提供可能发生在通信环境中的各种问题的反馈。通过这些反馈信息管理员就可以对所发生的问题做出判断,然后采取适当的措施去解决。
2.类型
ICMP报文有两种类型:差错报告报文和查询报文。
3.ICMP协议的应用
ping命令和traceroute/tracert(windows使用)命令,在检查网络连通性时,ping 命令是用得最多的。
当我们 ping 一台主机时,本地计算机发出的就是一个典型的 ICMP 数据包,用来测试两台主机是否能够顺利连通。ping 命令能够检测两台设备之间的双向连通性,即数据包能够到达对端,并能够返回。
4.ping不通的几种情况
1)当主机有一个默认网关时,如果他ping其他网段的地址,到不了的话,显示的是request timeout(此时他把icmp包发给网关,至于后面的事他就不管,如果没有包回应,就显示request timeout)
2)当一个主机没有默认网关时或者配置了网关但是和网关不通时,如果他ping其他网段的地址,显示的是Destination host unreachable(此时他发送arp请求包请求网关的mac地址)
3)当一个路由器ping他路由表中没有的地址时,显示的是request timeout(此时不发任何包)
4)当路由器ping一个路由表中存在地址时,如果没有回应,则显示的也是 reuqest timeout (此时发送arp请求包,请求目标ip的mac地址)
5.ping命令的用法
1)-t 在 Windows 操作系统中,默认情况下发送 4 个 ping 包,如果在 ping 命令后面加上参数“-t”,系统将会一直不停地 ping 下去
2)-a 显示主机名
3)-l 一般情况下,ping 包的大小为 32 字节,有时为了检测大数据包的通过情况,可以使用参数改变 ping 包的大小 #在linux 系统下为 -s
4)-n 指定发送包的个数
5)-S 指定源IP去ping
6.tracert命令:
在命令行中输入“tracert ”并在后面加入一个IP地址,可以查询从本机到该IP地址所在的电脑要经过的路由器及其IP地址(windows是tracert,再linux中是traceroute IP/域名)
四、ARP协议
1.arp协议如何工作的
为了实现IP地址与MAC地址的查询与转换,ARP协议引入了ARP缓存表的概念,每台主机或路由器在维护着一个ARP缓存表(ARP table),这个表包含IP地址到MAC地址的映射关系,表中记录了<IP地址,MAC地址>对,我称之为ARP表项,如我们前面那张图所展示的一样,他们是主机最近运行时获得关于其他主机的IP地址到MAC地址的映射,当需要发送数据的时候,主机就会根据数据报中的目标IP地址信息,然后在ARP缓存表中进行查找对应的MAC地址,最后通过网卡将数据发送出去。ARP缓存表包含一个寿命值(TTL,也称作生存时间),它将记录每个ARP表项的生存时间,生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始,一个表项通常的生存时间一般是10分钟吗,当然,这些生存时间是可以任意设置的,我们一般使用默认即可。
2.工作原理(结合交换机原理)
假设两台主机A和B在同一个局域网中,主机A的IP地址是192.168.1.2,MAC地址是AA:AA:AA:AA:AA:AA,主机B的IP地址是192.168.1.3,MAC地址是BB:BB:BB:BB:BB:BB。
2.1. 主机A要向主机B发送数据
2.1.1主机A构建数据包:
数据包包括源IP地址(192.168.1.2)、目的IP地址(192.168.1.3)、
源MAC地址(AA:AA:AA:AA:AA:AA)、以及目的MAC地址。
2.1.2查找主机B的MAC地址:
如果主机A的ARP缓存中没有主机B的MAC地址,
就需要使用ARP协议来解析IP地址到MAC地址的映射。
2. 2ARP解析过程
2.2.1 发送ARP请求
1)主机A发送ARP请求包到局域网,ARP请求包的格式为:
目的IP地址:192.168.1.3
目的MAC地址:FF:FF:FF:FF:FF:FF(广播地址)
源IP地址:192.168.1.2
源MAC地址:AA:AA:AA:AA:AA:AA
2)交换机接收到ARP请求包后,会将其广播到局域网内的所有主机。
2.2.2接收ARP响应主机B回应ARP请求:
1)局域网内所有主机收到ARP请求后,
只有IP地址匹配(192.168.1.3)的主机B会回应ARP请求。
2)主机B构建ARP响应包:
源MAC地址:BB:BB:BB:BB:BB:BB
源IP地址:192.168.1.3
目的MAC地址:AA:AA:AA:AA:AA:AA
目的IP地址:192.168.1.2
3)主机B将ARP响应包单播发送给主机A。
2.3. 数据通信过程
2.3.1. 构建数据帧
主机A将需要发送的数据包封装成以太网帧:
源MAC地址:AA:AA:AA:AA:AA:AA
目的MAC地址:BB:BB:BB:BB:BB:BB
数据部分:实际的传输数据(包括IP头和数据)
2.3.2发送数据帧:
主机A通过交换机发送数据帧,交换机会根据目的MAC地址将帧转发给主机B。
2.3.3 数据接收和处理
主机B接收数据帧:
交换机将数据帧转发给主机B,
主机B解封装数据帧,提取出IP数据包并进行处理。
2.4 交换机的工作原理
2.4.1学习MAC地址:
交换机通过监听数据帧的源MAC地址来学习局域网中主机的MAC地址,
并将其与相应的端口映射存储在MAC地址表中。
2.4.2数据帧转发:
当交换机接收到一个数据帧时,会查找目的MAC地址在MAC地址表中的映射关系,
并将帧转发到对应的端口。
3.如何查看arp缓存表
1)arp -a ###查看arp缓存表
2)arp -d [IP] ###删除arp缓存表
3)arp -s IP MAC ###删除arp静态绑定
(windows静态arp和动态arp)
附加:如提示ARP项添加失败,解决方案:
用管理员模式:电脑左下角“开始”按钮右键,点击"Windows PowerShell (管理员) (A)”或者
进入C盘windows \system32文件夹找到cmd.exe, 右键“以管理员身份运行”再执行arp -s命令:
4.绑定arp(win10)
cmd中输入
netsh -c i i show in 查看网络连接准确名称,如:本地连接、无线网络连接
netsh -c “i i” add neighbors 19 “IP” “Mac”,这里19是idx号。//绑定
netsh -c “i i” delete neighbors 19,这里19是idx号。 //解绑
netsh interface ipv4 set neighbors <接口序号> <IP> <MAC>
5.动态ARP表项老化
动态ARP表项老化:在一段时间内(默认180s)如果表项中的ARP映射关系始终没有使用,则会被删除。通过及时删除不活跃表项,从而提升ARP响应效率
6.arp攻击与欺骗
6.1ARP攻击
ARP攻击发送的是ARP应答,但是ARP应答中的MAC地址为虚假地址,所以在其他主机想要进行通信时,会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后,如果网关再发生数据给PC1时,就会发送到虚假的MAC地址导致通信故障。
6.2ARP欺骗
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。
7.arp报文(抓包分析)
1)目的MAC地址: 54:89:98:0F:2B:BE
2)源MAC地址: 54:89:98:5B:5B:8A
3)帧类型: 0x0806 --长度为2字节,0x0806代表为ARP packe
4)硬件类型:0x0001 --长度为2字节,表示网络类型;以太网取值为1
5)协议类型:0x0800 --长度为2字节,表示要映射的协议地址类型。
取值为0x0800,表示根据IP地址来进行映射
6)硬件地址长度:0x06 --长度为1字节,表示硬件地址长度;
取值为0x06,以太网中表示MAC地址长度为6字节
7)协议地址长度:0x04 --长度为1字节,表示协议地址长度;
取值为0x04,以太网中表示IP地址长度为4字节
8)op: 0x0002 --长度为2个字节,表示ARP报文的种类;
取值为1,表示请求报文;取值为2,表示ARP应答报文
9)发送端MAC地址: 54:89:98:5B:5B:8A (信息体的发起端)
发送端IP地址: 0A:00:00:02 (转换即为10.0.0.2)
10)目的端 MAC地址:54:89:98:0F:2B:BE
标签:ARP,协议,AA,主机,网络层,地址,MAC,IP地址 From: https://blog.csdn.net/xw2441176267/article/details/139287001