P63,P64
IP包頭(三層)分析
長度不固定,最小20位元組
可選性最多10行,40位元組,所以IP包頭范圍:20~60位元組
可選性不輕易使用
版本:0100 -> 4 -> IPv4
首部長度:標識IP包頭的長度,一般為20,常見:0101
優先級與服務型別(QOS,TOS):前3個位元代表優先級,中間4個位元代表服務型別,最后一個沒有啟用
總長度(重點):--> 首部長度,IP包長度(3,4,5,不包括幀頭幀尾)
超過1500后分段 -> IP分片
段偏移量:決定分片的先后順序,0,1480,2960
識別符號:為分片標識,標識同一報文的所有分片
標志:第一個位元未啟用,為0,
第二個位元,如果為0,代表資料包進行了分片,如果為1,未分片
第三個位元,如果為0,該分片是最后一個分片,如果為1,說明還有后續分片
TTL:防止資料包在網路上永久回圈下去,100以上一般為windows主機,100以下linux主機
(跟蹤:tracert www.baidu.com)
協議號:識別上層協議
1---同層的ICMP
6---TCP
17---UDP
首部校驗和:校驗IP包頭
源地址:源IP地址
目標地址:目標IP地址
靜態路由
路由概述
路由,跨越從源主機到目標主機的一個互聯網路來轉發資料包的程序,選擇路徑的程序,路由器在為資料包選擇資料的程序,為IP包選擇路徑的程序
路由表
合并:(0.0.0.0所有地址,/0所有子網掩碼)
C 直連 S 靜態 S* 默認路由
f0/0 邊緣路由器
路由順序:C -- S -- S*
優先級低的會被隱藏起來
S 10.1.1.0/24 20.1.1.2
S 10.1.1.0/24 30.1.1.2(2) -> 被隱藏 -> 浮動路由
路由表:
路由器中維護的路由條目的集合
路由器根據路由表做路徑選擇
路由表的形成:
直連網段
配置IP地址,埠UP狀態
非直連網段(手工)
交換與路由對比
路由作業在網路層
---根據“路由表”轉發資料
---路由選擇
---路由轉發
交換作業在資料鏈路層
---根據“MAC地址表”轉發資料
---硬體轉發
靜態路由和默認路由的配置
全域模式下操作
靜態路由
ip route 目標網段 子網掩碼 下一跳IP默認路由
ip route 0.0.0.0 0.0.0.0 下一跳IP浮動路由
在靜態或默認路由后加空格+數字(正整數)
例如:
ip route 0.0.0.0 0.0.0.0 20.1.1.2
ip route 0.0.0.0 0.0.0.0 30.1.1.1 2P66,P67,P68,P69
廣播與廣播域概述
廣播與廣播域
廣播:將廣播地址作為目的地址的資料幀
廣播域:網路中能夠接收到同一個廣播所有節點的集合
MAC地址廣播
廣播地址為FF-FF-FF-FF-FF-FF
IP地址廣播
1.255.255.255.255
2.廣播IP地址為IP地址網段的廣播地址,如192.168.1.255/24
交換機無法控制廣播,而路由器可以
ARP協議概述
什么是ARP協議
內網協議
---Address Resolution Protocol,地址決議協議
---將一個已知的IP地址決議成MAC地址
原理:發送ARP廣播請求->接收ARP單播應答
ARP協議
IP地址決議為MAC地址
---PC1發送資料給PC2,查看快取沒有PC2的MAC地址
---PC1發送ARP請求訊息(廣播)
---所有主機收到ARP請求訊息
·PC2回復ARP應答(單播)
·其他主機丟棄
---PC1將PC2的MAC地址保存到快取中,發送資料
ARP相關命令
Windows系統中的ARP命令
---arp -a:查看ARP快取表
---arp -d:清除ARP快取
---arp -s:ARP系結
演示:arp -a
ARP原理演示
ARP攻擊原理
ARP覆寫更新
偽造虛假的ARP報文,MAC地址,中斷通信
應答,廣播都能攻擊
與網關通信
當你判斷目標IP與自己在同一網段時,直接發送ARP廣播報文,請求對方的MAC地址
不在同一網段時,還會發送ARP廣播報文,但會詢問誰是網關
ARP欺騙原理
資料泄露,篡改,控制傳輸速度
ARP攻擊或欺騙的原理
通過發送偽造虛假的ARP報文(廣播或單播),來實作的攻擊或欺騙
如虛假報文的MAC是偽造不存在的,實作ARP攻擊,結果為終端通訊/斷網
如虛假報文的MAC是攻擊者自身的MAC地址,實作ARP欺騙,結果可以監聽,竊取,篡改,控制流量,但不中斷通信
ARP協議沒有驗證機制
ARP攻擊者通過發送虛假偽造的ARP報文對受害者進行ARP緩投毒
路由器的作業原理
1)一個幀到達路由器,路由器首先檢查目標MAC地址是否為自己,如果不是則丟棄,如果是則解封裝,并將IP包送到路由器內部
2)路由器檢查IP包頭中的目標IP,并匹配路由表,如果匹配失敗,則丟棄,并向源IP回饋錯誤資訊,如匹配成功,則將IP包路由到出介面
3)封裝幀,首先將出介面的MAC地址作為源MAC封裝好,然后檢查ARP快取表,檢查是否有下一條的MAC地址,如有,將提取并作為目標MAC地址封裝到幀中,如沒有,則發送ARP廣播請求下一跳的MAC,并獲取到對方的MAC地址,再記錄快取,并封裝幀,最后將幀發送出去,
ARP攻擊的防御
1.靜態ARP系結
手工系結/雙向系結 -> 缺點,效率低,作業量大
windows客戶機上:
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP快取表
2.ARP防火墻
自動系結靜態ARP
主動防御
3.硬體級ARP防御
交換機支持埠做動態ARP系結(配合DHCP服務器)
或做靜態ARP系結
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/389367.html
標籤:區塊鏈
上一篇:Web安全-點擊劫持