IP数据包

标签：ARP IP MAC 地址 IP地址数据包

IP数据包格式

网络层的功能

定义了基于IP协议的逻辑地址，就是ip地址
连接不同的媒介类型
选择数据通过网络的最佳路径，完成逻辑地址寻址

数据封装的时候在网络层会封装ip地址的头部，形成ip数据包 IP数据包格式（分为20字节的固定部分，表示每个ip数据包必须包含的部分，和40字节的可变长部分）

tips：

通过 TTL的返回值确定你的系统类型

win 128 左右
linux 64 左右

IP数据包格式（分为20字节的固定部分，表示每个ip数据包必须包含的部分，和40字节的可变长部分）

版本号（4bit）：指IP协议版本。并且通信双方使用的版本必须一致，目前我们使用的是IPv4，表示为0100 十进制是4
首部长度（4）：IP数据包的包头长度（不包括数据）
优先级与服务类型（8）：该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级，服务类型定义了如何处理数据一般没有使用
总长度（16）：IP数据包的总长度，最长为 65535 字节，包括包头和数据。
标识符（16）：该字段用于表示IP数据包的标识符。当IP对上层数据进行分片时，它将给所有的分片数据分配一组编号，然后将这些编号放入标识符字段中，保证分片不会被错误地重组。标识符字段用于标志一个数据包，以便接收节点可以重组被分片的数据包
标志（3）：和标识符一起传递，指示不可以被分片或者最后一个分片是否发出(完整)
段偏移量（13）：一个数据包需要分片，指明这个分片举例原始数据开始的位置，作用重组数据
TTL（time to live）生命周期（8）：可以防止一个数据包在网络中无限循环的转发下去，每经过一个路由器 -1,当TTL的值为0时，该数据包将被丢弃 0-255
协议号（8）：封装的上层哪个协议，ICMP:1 TCP:6 UDP:17
首部校验和（16）：这个字段只检验数据报的首部，不包括数据部分。这是因为数据报每经过一次路由器，都要重新计算一下首部校验和（因为，一些字段如生存时间、标志、片偏移等可能发生变化）
源地址（32）：源ip地址，表示发送端的IP地址
目标地址（32）：目标ip地址，表示接收端的IP地址
可选项：选项字段根据实际情况可变长，可以和IP一起使用的选项有多个。例如，可以输入创建该数据包的时间等。在可选项之后，就是上层数据

注：根据实际情况可变长，例如创建时间等上层数据

ICMP协议

Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议

ICMP协议用来在网络设备间传递各种差错和控制信息，对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。

ICMP作用：检测网络的双向联通性

Type	Code	描述
0	0	Echo Reply
3	0	网络不可达
3	1	主机不可达
3	2	协议不可达
3	3	端口不可达
11	0	超时
8	0	Echo Request

网络波动：偶尔丢一两个包
ping不通：没有一个数据能到达

type 代表类型

code 代表具体情况

排错思路

ping 自己 127.0.0.1 硬件
看双方地址是否有问题
看网关是否有问题
防火墙策略是否有问题（配合找网络工程师）

ping选项:

显示自己 IP地址   ipconfig
ping  --help   显示帮助命令
-t				长ping
-l				发送包大小。
-w				超时等待时间
-n				指定ping 几次        

tip：
ping的通一定通
ping不通不一定网络不通（比如协议被禁等等）

广播域  = 一个网段

tracert IP地址（win）

traceroute IP地址（ linux）

广播域

广播域：一台机器发送广播，能收到消息的机器都是在同一广播域

交换机的所有端口默认在同一个广播域里，

路由器的每一个端口都是一个独立的广播域

arp协议

什么是arp协议

ARP协议是地址解析协议（Address Resolution Protocol）是通过解析IP地址得到MAC地址的，是一个在网络协议包中极其重要的网络传输协议，它与网卡有着极其密切的关系，在TCP/IP分层结构中，把ARP划分为网络层，为什么呢，因为在网络层看来，源主机与目标主机是通过IP地址进行识别的，而所有的数据传输又依赖网卡底层硬件，即链路层，那么就需要将这些IP地址转换为链路层可以识别的东西，在所有的链路中都有着自己的一套寻址机制，如在以太网中使用MAC地址进行寻址，以标识不同的主机，那么就需要有一个协议将IP地址转换为MAC地址，由此就出现了ARP协议，所有ARP协议在网络层被应用，它是网络层与链路层连接的重要枢纽，每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址，在网络层及其以上的层次看来，他们只标识IP地址，从不跟硬件打交道。

ARP协议如何工作的

ARP协议作用：

1.检测地址冲突

当一台设备获取到一个Ip 地址时，会自动发送一个无故ARP，检测是否有设备已使用了此地址

在这里插入图片描述

2.将ip地址转换成mac地址

为了实现IP地址与MAC地址的查询与转换，ARP协议引入了ARP缓存表的概念，每台主机或路由器在维护着一个ARP缓存表（ARP table），这个表包含IP地址到MAC地址的映射关系，表中记录了<IP地址，MAC地址>对，我称之为ARP表项。他们是主机最近运行时获得关于其他主机的IP地址到MAC地址的映射，当需要发送数据的时候，主机就会根据数据报中的目标IP地址信息，然后在ARP缓存表中进行查找对应的MAC地址，最后通过网卡将数据发送出去。ARP缓存表包含一个寿命值（TTL，也称作生存时间），它将记录每个ARP表项的生存时间，生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始，一个表项通常的生存时间一般是10分钟，当然，这些生存时间是可以任意设置的，我们一般使用默认即可。

工作原理（结合交换机原理）

ARP解析过程

当PC1想发送数据给PC2，首先在自己的本地ARP缓存表中检查主机PC2的MAC地址是否存在？
如果PC1缓存中没有找到响应的条目，它将询问主机PC2的MAC地址，从而将ARP请求帧广播到本地网络的所有主机。该帧中包括源主机PC1的IP、MAC地址，本地网络中的所有主机都接收到ARP请求，并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配，则丢弃ARP请求。
主机PC2确定ARP请求中得IP地址与自己的IP地址匹配，则将主机PC1的地址和MAC地址添加到本地缓存表中。
主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1（数据帧为单播）。
主机PC1收到PC2发的ARP回复消息，将PC2的IP和MAC地址添加至自己ARP缓存表中，本机缓存是有生存期的，默认ARP缓存表有效期120s。当超过该有效期后，则将重复上面过程。主机PC2的MAC地址一旦确定，主机PC1就能向主机PC2发送IP信息

ARP报文

在这里插入图片描述

windows当中如何查看arp缓存表（静态arp和动态arp）

arp -a          ### 查看arp缓存表 
arp -d          ### 不加IP清除所有
arp -d [IP]     ### 加IP只删除该IP
arp -s IP MAC   ### 删除arp静态绑定

如提示ARP项添加失败，解决方案:
a、用管理员模式:电脑左下角“开始”按钮右键，点击"Windows PowerShell (管理员) (A)”或者
进入C:\windows\system32文件夹找到cmd.exe, 右键“以管理员身份运行”再执行arp -s命令：

绑定arp（win10）
cmd中输入
netsh -c i i show in 
# 查看网络连接准确名称，如：本地连接、无线网络连接
netsh -c “i i” add neighbors 19 “IP” “Mac”		# 这里19是idx号。//绑定
netsh -c “i i” delete neighbors 19		# 这里19是idx号。//解绑
netsh interface ipv4 set neighbors <接口序号> <IP> <MAC>

动态ARP表项老化：在一段时间内如果表项中的ARP映射关系始终没有使用，则会被删除。通过及时删除不活跃表项，从而提升ARP响应效率。

华为系统中的ARP命令

[Huawei]dis mac-address		### 查看mac地址信息

[Huawei]arp static <IP> <MAC>	### 绑定ARP

[Huawei]undo arp static <IP> <MAC> 	### 解绑定

<Huawei>reset arp all		### 清除mac地址表

ARP攻击与欺骗

ARP攻击

ARP攻击发送的是ARP应答，但是ARP应答中的MAC地址为虚假地址，所以在其他主机想要进行通信时，会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。

例如：如果希望被攻击主机无法访问互联网，就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后，如果网关再发生数据给PC1时，就会发送到虚假的MAC地址导致通信故障。

此处可以举例说明，例如张三要给李四打电话，他首先要知道李四的电话号码，这时有人告诉他李四的电话号码是12345678（不存在的号码），于是张三就把电话打到12345678，这样就无法找到李四了。

ARP欺骗的原理和ARP攻击基本相同，但是效果不一样。ARP攻击最终的结果是导致网络中断，而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。

标签：ARP,IP,MAC,地址,IP地址,数据包
From： https://blog.csdn.net/permit7/article/details/142856282