-IP包頭分析與靜態路由
IP資料包格式
基礎知識
1.整張圖表示上三層結構
2.最下面的“資料”指四層加五層的資料
3.從版本到可選項即為三層包頭
4.括號中的值單位是位元,每行32位元(4位元組)
5.圖中所示的20位元組是IP包頭的最小長度
6.可選項最多可達到10行(40位元組),輕易不會被使用
7.IP包頭的長度是可變的,20~60位元組,一般為20位元組
資料包各部分介紹
1.版本:表明IP地址的版本(IPV4,IPV6)
0100(ipv4包頭),0110(ipv6包頭)
2.首部長度:表明本IP包頭的長度(20~60),有沒有使用可選項
四位數中的每一位都表示32位元(即4位元組)
最常見的0101(十進制的5,5*32位元=20位元組)
3.優先級與服務型別
前三個位元代表優先級,中間四個位元代表服務型別,最后一個未被啟用
服務型別:低延遲、高通道服務型別
QOS,TOS
4.總長度:表明整個IP包(三四五層)的總長度
分開后,每一個都叫IP分片,三個IP包頭中有一個量是不同的(段偏移量)
與IP分片有關的
與IP分片有關的三個層:識別符號,標志,段偏移量,在總長度大于1500時開始分片
5.識別符號:標識同一個報文 的所有分片
發送端隨機生成
接收方據此將收到的IP分片先進行分類
6.標志:
第一個位元永遠為0(未被啟用)
第二個位元:若為0,則表明進行了分片;若為1,則表明未進行分片
第三個位元:表明本分片是否為最后一個分片
為1,本分片不是最后一個分片;為0,是最后一個分片
7.段偏移量:決定IP分片的先后順序
如圖,第一個IP分片的段偏移量為0,第二個為1480,第三個為2960,依次往后加1480
防火墻攔截IP分片
即防火墻只讓標志位的010通過,則此時,不再在網路層分片,將分片任務交給應用層,應用層將其分成1460的分片
8.TTL(time to life):防止一個資料包在網路上永久的回圈下去
TTL由8個位元組成(0~255),這個數字表示路由器個數,每經過一個路由器TTL值減一
通過TTL初始值可以大概判斷對方是什么主機(Windows,Linux )
一般100以上為Windows主機,100以下為Linux主機
9.協議號
6:通向TCP協議
17:通向UDP協議
1: 通向同層的ICMP協議
10.首部校驗和:校驗三層的IP包頭
路由原理
路由概述
1.跨越從源主機到目標主機的一個互聯網來轉發資料包的程序,即路由器為IP包(根據路由表)選擇路徑的程序
2.路由器連接不同的網段
3.路由器的轉發的唯一依據叫路由表
4.路由表一般不會自動學習,需要人為配上去
5.完善路由表時,一種是自動寫的(用C表示),一種是人為配的(用S表示)
直連路由條目,連接在同一路由器上的設備,只寫IP和埠就好
靜態條目,即沒有連接在同一路由器上的設備
首先寫目標IP,再寫本網段的下一跳IP地址
6.當路由器作業時,首先看傳過來的IP是否屬于與自己連在同一路由器的設備,若屬于,則向下一跳傳輸;若不是,則將該資料包丟棄,并向源IP發送回饋
7.優化路由表
(1)將”下一跳IP“相同的路由條目簡化為0.0.0.0/0(0.0.0.0代表所有IP),/后面為子網掩碼,/0的意思為子網掩碼是0.0.0.0
(2)0.0.0.0/0屬于靜態路由,叫默認路由,代表所有網段,為了辨識默認路由,需加特殊符號* S* 0.0.0.0/0
(3)邊緣路由器適合配默認路由
(4)配了默認路由表的路由器不會丟棄資料
(5)路由優先級:與管理距離值有關,也叫A值
每一種路由型別都有自己默認固定的管理距離值
C的直連路由型別的默認管理距離值為0,S的默認管理距離值為1,S*的默認管理距離值為無窮大
在一個路由表中,路由條目的優先級與管理距離值成反比,值越小路由條目的優先級越高
(6)浮動路由
8.路由器與交換機的區別
9.
靜態路由:conf t
ip route 目標網段 子網掩碼 下一跳IP
如ip route 70.1.1.0 255.255.255.0 20.1.1.2
默認路由:
conf t
ip route 0.0.0.0 0.0.0.0 下一跳IP
如ip route 0.0.0.0 0.0.0.0 20.1.1.2
浮動路由:在靜態路由或默認路由后加空格+數字(正整數)
ARP協議
廣播與廣播域概述
1.廣播域越小越好
2.交換機不能控制廣播域,路由器能控制廣播域
ARP協議概述
1.Address Resolution Protocol,地址決議協議
2.作用:將一個已知的IP地址決議成MAC地址
3.沒有ARP無法通信
4.ARP是內網協議
5.作業原理
(1)發送ARP廣播請求:生成ARP請求報文(寫本機的IP地址和MAC地址,詢問目標IP的MAC地址),送到網卡,網卡給ARP請求報文加一個幀頭(源MAC寫自己,目標MAC寫FF-FF-FF-FF-FF-FF),交換機向所有埠進行廣播,每臺電腦收到幀后,去掉幀頭幀尾送到網路層,ARP協議判斷目標IP是否為自己,若不是,則不再進行;
(2)接收ARP單播應答:若目標IP是自己,則將自己的MAC地址填上去,再單播給原來的電腦
6.Windows系統中的ARP命令
—arp -a 查看ARP快取表(arp快取表只有開機時生效)
—arp -d 清除ARP快取(本次開機學習的)
—arp -s ARP系結
ARP攻擊和欺騙
ARP協議沒有驗證機制
ARP攻擊
1.ARP協議快取表中,后到后得
2.當判斷目標IP與自己為同一網段時,直接發送ARP請求報文去請求對方的MAC地址
;當判斷目標IP與自己不在同一網段時,發送ARP報文請求網關的MAC地址
3.ARP攻擊的目的:中斷通信/斷網
4.原理:通過發送虛假的廣播或應答報文
ARP欺騙
目的:截獲資料
原理:發送應答報文,將自己的MAC地址作為目標MAC,結果可以監聽、竊取、篡改、控制流量,但不中斷通信
ARP防御
1.電腦默認沒有ARP防御能力
2.方法: (1)靜態ARP系結
手工系結/雙向系結
Windows客戶機上:
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP快取表
(2)ARP防火墻
自動系結靜態ARP
主動防御
(3)硬體級防御
交換機支持“埠”做動態ARP系結(配合DHCP服務器)或做靜態ARP系結
如,交換機上開啟DHCP監聽功能
conf t
ip dhcp snooping
路由原理
1.凡是可以配IP的介面才有MAC
2.只有交換機有MAC地址表
3.ARP快取表只會根據ARP的應答或請求來更新
4.路由器作業原理
(1)一個幀到達路由器,路由器先檢查目標MAC地址是否為自己,如果不是,則丟棄;如果是,則解封裝并將IP包送到路由器內部
(2)路由器檢查IP包頭中的目標IP,并匹配路由表,如果匹配失敗,則丟棄,并向源IP回饋錯誤資訊;如果匹配成功,則將IP包路由到出介面,
(3)封裝幀,首先將出介面的MAC地址作為源MAC地址封裝好,然后檢查ARP快取表,檢查是否有下一跳的MAC地址,如有,則將提取并作為目標MAC地址封裝到幀中;如沒有,則發送ARP廣播請求下一跳的MAC,并獲取到對方MAC地址,再記錄快取,并封裝幀,最后將幀發送出去,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/395456.html
標籤:其他
上一篇:【無標題】第14周學習筆記
下一篇:IGMP協議原理與配置