一、IP包头分析
?ip包头最少20个字节,最长60个字节(可选项最长可为40个字节)
1.版本:表示IP地址的版本(IPV4,IPV6)
0100为ipv4,0110为ipv6
2.首部长度:表示IP包头的长度(20~60)
由于最大数为15,ip包头最长为60字节,则一位数表示4字节
3.优先级(QOS)与服务类型(TOS)
优先级越大越高
前三个比特代表优先级,中间四个比特代表服务类型,最后一个未被启用
4.总长度:表示三四五层IP包(数据报文)的总长度
ip包头若超过1500字节,则需要分片
将第4、5层看为整体
优先满足与ip包头组成1500字节ip分片
5、标识符用来表示这些分片是否为同一个数据报文
6、段偏移量确定组装顺序
7、标志:
第一个比特位为0,表示为启用
第二个比特位若为0,表示该包进行了分片;若为1,表示未进行分片(即ip包未超出1500字节)
第三个比特位若为0,表示该分片为最后一个分片;若为1,表示后续还有分片4
8、TTL:生存时间,防止一个数据包在电脑里永久循环
范围:0-255
通过TTL初始值可以判断对方主机:
大于100时,为windows;小于100时为linux。
其每经过一个网关(路由器)TTL值减1,直到TTL值为0(可以判断有多少路由器)
9、协议号:
6:往TCP 走
17:往UDP走
1:往同层的ICMP协议走
10、首部校验和:校验三层的IP包头
二、路由原理
路由:路由器为IP包选择路径的过程
路由表:C代表直连;S代表静态(静态路由手工配置)
优化路由条目:
优化为
管理距离值:直连路由C默认管理距离值:0;静态路由S:1;S*:无穷
管理距离值越大,优先级越小
路由条目类型:直连路由,静态路由,默认路由,浮动路由
静态路由:
conf t
ip route 目标网段 子网掩码 下一跳IP
如ip route 70.1.1.0 255.255.255.0 20.1.1.2
默认路由:
conf t
ip route 0.0.0.0 0.0.0.0 下一跳IP
如ip route 0.0.0.0 0.0.0.0 20.1.1.2
浮动路由:在静态路由或默认路由后加空格+数字(正整数)
如:ip route?0.0.0.0 0.0.0.0 30.1.1.1 2
广播域越小越好
ARP协议概述
Address Resolution Protocol,地址解析协议
作用:将一个已知的IP地址解析成MAC地址
?Windows系统中的ARP命令
—arp -a 查看ARP缓存表(arp缓存表只有开机时生效)
—arp -d 清除ARP缓存(本次开机学习的)
—arp -s ARP绑定
ARP的原理:
需求分析:PC1与PC2第一次通信
步骤:1.使用ipconfig/all 查看ARP缓存
? ? ? ? ? ?2.用“arp-a”查看ARP缓存
? ? ? ? ? ?3.在PC1上pingPC2后,再用“arp-a”查看ARP缓存表
ARP攻击的目的:中断通信/断网
原理:通过发送虚假的广播或应答报文
ARP欺骗
目的:截获数据
原理:发送应答报文,将自己的MAC地址作为目标MAC,结果可以监听、窃取、篡改、控制流量,但不中断通信
路由器的原理:
1、一个桢到达路由,路由器首先检查目标MAC地址是否为自己,如果不是则丢弃,如果是则解封装,并将IP包送到路由器内部
2、路由器检查IP包头中的把目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息,如匹配成功,则将IP包路由到出接口
3、封装桢,首先将出接口的MAC地址作为源MAC封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,将提取并作为目标MAC地址封装到桢中,如没有,则发送ARP广播请求下一跳的MAC,并获取到对方的MAC地址,再记录缓存,并封装桢,最后将桢发送出去
ARP攻击防御:
静态ARP绑定:
手工绑定/双向绑定
Windows客户机上:
arp -s ?10.0.0.252 ? 00-01-2c-a0-e1-09
ARP防火墙 ? 自动绑定静态ARP ? 主动防御
交换机支持“端口”做动态ARP绑定(配合DHCP服务器)或做静态绑定
如:conf t
ip dhcp snooping
int range f0/1 - 48