IP包头分析与静态路由
IP数据包格式
1.ip包头的最小长度:20字节
ip包头的最大长度:60字节(可选项不常被使用)
2.首部长度:标识本ip包头的总长度
3.总长度 :ip报文的总长度(3.4.5层总长度)
4.段偏移量:决定分片的先后顺序
段偏移量是0或1480的倍数
5.标识符:决定同一个数据报文的所有分片
6.标志:第一个比特永远为0(未启用)
第二个比特为0(数据包进行了分片)1代表未分片
最后一位表明是否为最后一个分片,为1还有后续分片
7.分片在网络层
防火墙:010才能通过
8.TTL(8):转换成十进制最大为255,经过一个路由器就-1
作用:防止数据包在网络上永久的循环下去
9.协议号:识别上层协议(TCP【6】,UDP【17】,ICMP【1】)
10.首部校验和:校验3层的ip包头(20-60个字节)
路由原理
1.路由(路由器为ip包选择路径的过程):跨越从源主机到目标主机的一个互联网络来转发数据包的过程
2.路由器:连接不同网段
3.
S*:0.0.0.0/0:任何网段,任何掩码【默认路由】
4.ipv4地址32位
ipv6地址128位
5.S*的管理值:无穷大
S的管理值:1
C 的管理值:0
管理值越小优先级越高
6.路由表:路由器中维护的路由条目的集合
浮动路由:在静态或默认路由后加空格+数字(正整数)
ARP协议
1.广播:将广播地址作为目的地址的数据帧
广播域:网络中能接收到同一个广播所有节点的集合
2.MAC地址广播:广播地址为FF-FF-FF-FF-FF-FF
IP地址广播:
(1)255.255.255.255
(2)广播ip地址为ip地址网段的广播地址
3.交换机不能控制广播,路由器可以
4.ARP协议(地址解析协议)
作用:将一个已知的IP地址解析成MAC地址
5.(1)ARP广播请求(内容:我是10.1.1.1 我的mac:AA 谁是10.1.1.3 你的mac:?)
(2)ARP单播应答
6.查看arp缓存
7.ARP协议是内网协议(不能攻击外网)
8.ARP相关命令
arp -a:查看ARP缓存表
arp -d:清除ARP缓存(本次开机学习)
arp -s:ARP绑定
9.
?
攻击:发送虚假的MAC地址(断网)
欺骗:虚假的MAC地址是黑客自己的MAC地址
攻击和欺骗的原理:通过发送伪造虚假的ARP报文(广播或单播),来实现的攻击或欺骗,如虚假报文的mac是伪造的不存在的,实现ARP攻击,结果为中断通信/断网
如虚假报文的mac是攻击者自身的MAC地址,实现ARP欺骗,结果可以监听,窃取,篡改,控制流量,但不中断通信
路由原理(二)
1.交换机端口不能配ip(只有能配ip的接口才有MAC)
2.路由器可以配ip
3.路由器工作流程:当一个帧到路由器后,首先检查帧头的目标MAC地址是不是自己,不是则丢弃。是则解封装,将ip包输送到路由器内部,
检查目标ip,并匹配路由表。有则路由转发,没有则丢弃数据,并向源ip回馈错误信息。如果路由表里有,则按路由表路由到出接口,
准备封装帧,出接口作为源MAC地址,目标MAC地址检查ARP缓存表有无下一跳的ip的mac地址,有则提取并作为目标MAC地址封装,没有向下一跳发送ARP广播请求下一跳mac地址。记录缓存后封装帧后发出
ARP防御
1.静态arp绑定(手工绑定)双向绑定
arp -s ip地址 mac地址(静态绑定)
2.ARP防火墙
自动绑定静态ARP,主动防御
3.硬件级ARP防御:
交换机支持端口做动态ip绑定(配合DHCP服务)
或做静态ARP绑定