IP包頭的格式
從版本到可選項最小20個位元組,最長60個位元組
版本(4)4指的是占了4個位,也就是四個位元,電脈沖,版本為IPv4
首部長度:標識IP包頭的長度
優先級(3)與服務型別(4):
2層幀頭3層包頭4層包頭5層資料2層幀頭
345層是IP包長度為4040個位元組在發送時不能一次全部發送,需要斷開
不能從五層資料中斷開,因為在中間的資料中沒有源IP地址和目標IP地址
應該有三個“導游”
三個包頭里有一個值(段偏移量:除第一個都是1480的倍數)是不一樣的,不一樣的值決定它們發送順序,只有段偏移量是不夠的,如果發送兩句話,包頭的段偏移量時一樣的就會發生資料串聯,所以就有了識別符號(16,也叫id號),先看識別符號再看段偏移量,識別符號是由發送端隨機生成的,id號一樣就是來自一個報文的,
標志(3):中的第1個的位元組時為開發利用的,中間的位元組是生平有沒有分片,分片為0,未分片為1,一般為一,最后一個位元組決定是不是最后一個分片,是最后一個就為0,不是為1.
TTL(8):生存時間,防止一個資料包在電腦里永久回圈
首部校驗和:相當于一個fas,檢驗三層IP包頭
路由概述:
路由:跨越從源主機到目標主機的一個互聯網路來轉發資料包的程序(路由器為IP包選擇路徑的程序)
1路由表:
C 10.1.1.0/24 F0/0 C 20.1.1.0/24 F0/1 C是連續,直連
S 70.1.1.0/24 20.1.1.2(下一跳地址)
S 30.1.1.0/24 20.1.1.2 S代表手工配的
S 40.1.1.0/24 20.1.1.2 都可以用默認路由來代替
S 50.1.1.0/24 20.1.1.2 S* 0.0.0.0/0(八個0) 20.1.1.2
S 60.1.1.0/24 20.1.1.2
2的路由表:
S 10.1.1.0/24 20.1.1.1 S 70.1.1.0/24 60.1.1.2
S 40.1.1.0/24 30.1.1.2 這兩個都可以用默認路由來代替
S 50.1.1.0/24 30.1.1.2 S* 0.0.0.0/0 30.1.1.2
優先級:C,S,S*(優先級遞減)
靜態路由:conf t
ip route 目標路段 子網掩碼 下一跳IP
如:ip route 70.1.1.0 255.255.255.0 20.1.1.2
浮動路由:在靜態或默認路由后加空格+數字(正整數)
ip route 0.0.0.0 0.0.0.0 30.1.1.1 2
ARP協議(地址決議協議):將一個已知的IP地址決議成MAC地址
廣播:將廣播地址作為目的地址的資料楨
廣播域:網路中能接收到同一個廣播所有節點的集合
MAC地址 廣播地址:FF-FF-FF-FF-FF-FF
IP地址廣播:255.255.255.255
廣播IP地址為IP地址網段的廣播地址,如,192.168.1.255/24
ARP的原理:PC1與PC2第一次通信
1.使用ipconfig/all 查看ARP快取
2.用“arp-a”查看ARP快取
3.在PC1上pingPC2后,再用“arp-a”查看ARP快取表
(簡言之,ARP廣播請求,ARP單播應答)
ARP命令:
arp -a:查看ARP快取表
arp -d:清除ARP快取
arp -s:ARP系結
ARP攻擊原理
偽造虛假ARP報文廣播或單播,如果MAC地址不存在,就會造成終端通信(斷網)的現象
ARP欺騙原理
偽造虛假ARP報文廣播或單播,如果MAC地址為攻擊者自己的地址,則可以監聽、竊取、篡改、控制流量但不中斷通信
ARP的漏洞:ARP協議沒有驗證機制
可以配IP的才有MAC地址
中間的資料楨從DD埠到達了EE埠,然后路由器判斷這個資料楨是不是傳輸給我的,如果是就把前面的目標MAC地址和源MAC地址刪去
在路由表里找下一跳的MAC地址,如果有直接傳輸,沒有就廣播尋找,
路由器的原理:
1)一個楨到達路由,路由器首先檢查目標MAC地址是否為自己,如果不是則丟棄,如果是則解封裝,并將IP包送到路由器內部
2)路由器檢查IP包頭中的把目標IP,并匹配路由表,如果匹配失敗,則丟棄,并向源IP回饋錯誤資訊,如匹配成功,則將IP包路由到出介面
3)封裝楨,首先將出介面的MAC地址作為源MAC封裝好,然后檢查ARP快取表,檢查是否有下一跳的MAC地址,如有,將提取并作為目標MAC地址封裝到楨中,如沒有,則發送ARP廣播請求下一跳的MAC,并獲取到對方的MAC地址,再記錄快取,并封裝楨,最后將楨發送出去
ARP攻擊防御:
1.靜態ARP系結 手工系結/雙向系結(缺點:保存不了,作業量太大)
Windows客戶機上:arp -s 10.0.0.252 00-01-2c-a0-e1-09
2.ARP防火墻 自動系結靜態ARP 主動防御
3.硬體級防御交換機支持“埠”做動態ARP系結(配合DHCP服務器)或做靜態系結
如:conf t
ip dhcp snooping
int range f0/1 - 48
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/395455.html
標籤:其他
下一篇:千鋒網路安全學習筆記部分2