IP数据包格式
网络层的功能
- 定义了基于IP协议的逻辑地址,就是ip地址
- 连接不同的媒介类型
- 选择数据通过网络的最佳路径,完成逻辑地址寻址
数据封装的时候在网络层会封装ip地址的头部,形成ip数据包 IP数据包格式(分为20字节的固定部分,表示每个ip数据包必须包含的部分,和40字节的可变长部分)
tips:
通过 TTL的 返回值 确定你的 系统类型
- win 128 左右
- linux 64 左右
IP数据包格式(分为20字节的固定部分,表示每个ip数据包必须包含的部分,和40字节的可变长部分)
-
版本号(4bit):指IP协议版本。并且通信双方使用的版本必须一致,目前我们使用的是IPv4,表示为0100 十进制 是4
-
首部长度(4):IP数据包的包头长度(不包括数据)
-
优先级与服务类型(8):该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级,服务类型定义了如何处理数据一般没有使用
-
总长度(16):IP数据包的总长度,最长为 65535 字节,包括包头和数据。
-
标识符(16):该字段用于表示IP数据包的标识符。当IP对上层数据进行分片时,它将给所有的分片数据分配一组编号,然后将这些编号放入标识符字段中,保证分片不会被错误地重组。标识符字段用于标志一个数据包,以便接收节点可以重组被分片的数据包
-
标志(3):和标识符一起传递,指示不可以被分片或者最后一个分片是否发出(完整)
-
段偏移量(13):一个数据包需要分片,指明这个分片举例原始数据开始的位置,作用重组数据
-
TTL(time to live)生命周期(8):可以防止一个数据包在网络中无限循环的转发下去,每经过一个路由器 -1,当TTL的值为0时,该数据包将被丢弃 0-255
-
协议号(8):封装的上层哪个协议,ICMP:1 TCP:6 UDP:17
-
首部校验和(16):这个字段只检验数据报的首部,不包括数据部分。这是因为数据报每经过一次路由器,都要重新计算一下首部校验和(因为,一些字段如生存时间、标志、片偏移等可能发生变化)
-
源地址(32):源ip地址,表示发送端的IP地址
-
目标地址(32):目标ip地址,表示接收端的IP地址
-
可选项:选项字段根据实际情况可变长,可以和IP一起使用的选项有多个。例如,可以输入创建该数据包的时间等。在可选项之后,就是上层数据
注:根据实际情况可变长,例如创建时间等 上层数据
ICMP协议
Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议
ICMP协议用来在网络设备间传递各种差错和控制信息,对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。
ICMP作用:检测网络的双向联通性
Type | Code | 描述 |
---|---|---|
0 | 0 | Echo Reply |
3 | 0 | 网络不可达 |
3 | 1 | 主机不可达 |
3 | 2 | 协议不可达 |
3 | 3 | 端口不可达 |
11 | 0 | 超时 |
8 | 0 | Echo Request |
- 网络波动:偶尔丢一两个包
- ping不通: 没有一个数据能到达
type 代表类型
code 代表具体情况
排错思路
- ping 自己 127.0.0.1 硬件
- 看双方地址是否有问题
- 看网关是否有问题
- 防火墙策略是否有问题( 配合 找网络工程师)
ping选项:
http
显示自己 IP地址 ipconfig
ping --help 显示帮助命令
-t 长ping
-l 发送包大小。
-w 超时等待时间
-n 指定ping 几次
tip:
ping的通一定通
ping不通不一定网络不通(比如协议被禁等等)
广播域 = 一个网段
tracert IP地址 (win)
traceroute IP地址( linux)
广播域
广播域:一台机器发送广播,能收到消息的机器都是在同一广播域
交换机的所有端口默认在同一个广播域里,
路由器的每一个端口都是一个独立的 广播域
arp协议
什么是arp协议
ARP协议是地址解析协议(Address Resolution Protocol)是通过解析IP地址得到MAC地址的,是一个在网络协议包中极其重要的网络传输协议,它与网卡有着极其密切的关系,在TCP/IP分层结构中,把ARP划分为网络层,为什么呢,因为在网络层看来,源主机与目标主机是通过IP地址进行识别的,而所有的数据传输又依赖网卡底层硬件,即链路层,那么就需要将这些IP地址转换为链路层可以识别的东西,在所有的链路中都有着自己的一套寻址机制,如在以太网中使用MAC地址进行寻址,以标识不同的主机,那么就需要有一个协议将IP地址转换为MAC地址,由此就出现了ARP协议,所有ARP协议在网络层被应用,它是网络层与链路层连接的重要枢纽,每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址,在网络层及其以上的层次看来,他们只标识IP地址,从不跟硬件打交道。
ARP协议如何工作的
ARP协议作用:
1.检测地址冲突
当一台设备获取到一个Ip 地址时 ,会自动发送一个无故ARP,检测 是否有设备已使用了此地址
2.将ip地址转换成mac地址
为了实现IP地址与MAC地址的查询与转换,ARP协议引入了ARP缓存表的概念,每台主机或路由器在维护着一个ARP缓存表(ARP table),这个表包含IP地址到MAC地址的映射关系,表中记录了<IP地址,MAC地址>对,我称之为ARP表项。他们是主机最近运行时获得关于其他主机的IP地址到MAC地址的映射,当需要发送数据的时候,主机就会根据数据报中的目标IP地址信息,然后在ARP缓存表中进行查找对应的MAC地址,最后通过网卡将数据发送出去。ARP缓存表包含一个寿命值(TTL,也称作生存时间),它将记录每个ARP表项的生存时间,生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始,一个表项通常的生存时间一般是10分钟,当然,这些生存时间是可以任意设置的,我们一般使用默认即可。
工作原理(结合交换机原理)
ARP解析过程
- 当PC1想发送数据给PC2,首先在自己的本地ARP缓存表中检查主机PC2的MAC地址是否存在?
- 如果PC1缓存中没有找到响应的条目,它将询问主机PC2的MAC地址,从而将ARP请求帧广播到本地网络的所有主机。该帧中包括源主机PC1的IP、MAC地址,本地网络中的所有主机都接收到ARP请求,并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配,则丢弃ARP请求。
- 主机PC2确定ARP请求中得IP地址与自己的IP地址匹配,则将主机PC1的地址和MAC地址添加到本地缓存表中。
- 主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1(数据帧为单播)。
- 主机PC1收到PC2发的ARP回复消息,将PC2的IP和MAC地址添加至自己ARP缓存表中,本机缓存是有生存期的,默认ARP缓存表有效期120s。当超过该有效期后,则将重复上面过程。主机PC2的MAC地址一旦确定,主机PC1就能向主机PC2发送IP信息
ARP报文
windows当中如何查看arp缓存表(静态arp和动态arp)
bash
arp -a ### 查看arp缓存表
arp -d ### 不加IP清除所有
arp -d [IP] ### 加IP只删除该IP
arp -s IP MAC ### 删除arp静态绑定
如提示ARP项添加失败,解决方案:
a、用管理员模式:电脑左下角"开始"按钮右键,点击"Windows PowerShell (管理员) (A)"或者
进入C:\windows\system32文件夹找到cmd.exe, 右键"以管理员身份运行"再执行arp -s命令:
bash
绑定arp(win10)
cmd中输入
netsh -c i i show in
# 查看网络连接准确名称,如:本地连接、无线网络连接
netsh -c "i i" add neighbors 19 "IP" "Mac" # 这里19是idx号。//绑定
netsh -c "i i" delete neighbors 19 # 这里19是idx号。//解绑
netsh interface ipv4 set neighbors <接口序号> <IP> <MAC>
动态ARP表项老化:在一段时间内如果表项中的ARP映射关系始终没有使用,则会被删除。通过及时删除不活跃表项,从而提升ARP响应效率。
华为系统中的ARP命令
[Huawei]dis mac-address ### 查看mac地址信息
[Huawei]arp static <IP> <MAC> ### 绑定ARP
[Huawei]undo arp static <IP> <MAC> ### 解绑定
<Huawei>reset arp all ### 清除mac地址表
ARP攻击与欺骗
ARP攻击
ARP攻击发送的是ARP应答,但是ARP应答中的MAC地址为虚假地址,所以在其他主机想要进行通信时,会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。
例如:如果希望被攻击主机无法访问互联网,就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后,如果网关再发生数据给PC1时,就会发送到虚假的MAC地址导致通信故障。
此处可以举例说明,例如张三要给李四打电话,他首先要知道李四的电话号码,这时有人告诉他李四的电话号码是12345678(不存在的号码),于是张三就把电话打到12345678,这样就无法找到李四了。
ARP欺骗的原理和ARP攻击基本相同,但是效果不一样。ARP攻击最终的结果是导致网络中断,而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。