Internet控制协议PPT课件.ppt

第5章Internet控制协议 ARP RARP ICMP 1 问题 1 在网络通讯时 如何获得目的主机的MAC地址 2 为什么ARP缓存表项要有过期时间而不是一直有效 3 如果源主机和目的主机不在同一网段 ARP请求的广播帧无法穿过路由器 源主机如何与目的主机通信 4 ARP欺骗原理是什么 如何防范ARP攻击 5 ICMP协议的作用是什么 2 一 地址解析协议ARP 1 ARP协议概述 1 域名 IP地址 MAC地址应用层网络层数据链路层 2 IP地址 逻辑地址 软件实现 与物理设备无关 MAC地址 物理地址 硬件实现 与物理设备相关 网络不同 其物理地址也不同 3 用TCP IP技术构建的互联网 其目的就是要屏蔽底层物理网络的差异 只用网络层的IP地址进行通信 4 IP地址 MAC地址ARP 3 ARP协议概述 ARP的作用就是将IP地址映射为MAC地址 ARP可以看作是物理网络的一部分 而不是IP的一部分 在IPV6中 由于IP地址长度增大为128bit 超过了48bit 所以在IPV6中没有ARP 4 ARP协议工作原理 2 ARP协议工作原理 物理网络 ARP请求 主机AIP地址 168 69 11 10物理地址 0020D6CAC96B 主机BIP地址 168 69 11 20物理地址 0010C6CDC68D 请求IP地址168 69 11 20对应的物理地址 广播发送ARP请求 ARP广播请求不能跨越路由器 主机CIP地址 168 69 12 20MAC地址 0010C6CDC69D 5 ARP协议工作原理 物理网络 ARP应答 主机AIP地址 168 69 11 10MAC地址 0020D6CAC96B 主机BIP地址 168 69 11 20MAC地址 0010C6CDC68D IP地址168 69 11 20对应的MAC地址是0010C6CDC68D 单播发送ARP应答 主机CIP地址 168 69 12 20MAC地址 0010C6CDC69D 6 ARP协议工作原理 物理网络 物理网络 物理网络 主机A 主机B RouterLab 路由器R1 路由器R2 ARP R1的IP地址映射为MAC地址 主机A发送IP分组至路由器R1 RouterLab ARP R2的IP地址映射为物理地址 路由器R1发送IP分组至路由器R2 RouterLab ARP 主机B的IP地址映射为MAC地址 路由器R2发送IP分组至主机B IP分组转发过程中 在每一个物理网络上 ARP把要转发分组的下一跳路由器的IP地址映射为MAC地址 再组成数据链路层的帧 把IP分组发送给下一跳路由器 7 ARP高速缓存 3 ARP高速缓存如果每次发送IP分组时 都要通过ARP广播 进行地址解析 显然网络的性能和效率将会降低 设置ARP高速缓存目的正是为了解决这个问题 使用ARP的主机或路由器 维护着一个ARP高速缓存 存放得到的 IP地址 MAC地址 绑定消息 当发送IP分组时 主机或路由器总是首先在高速缓存中寻找所需的绑定 如果找到了所要的绑定 就不需要在网络上广播ARP请求 通过高速缓存机制大大提高了网络的效率 问题1 ARP的应答2 高速缓存超时 8 ARP协议数据结构 4 ARP协议数据结构 9 ARP请求 应答分组帧格式 1 ARP请求帧 ARP分组共28字节 数据域中剩余18字节填0 ARP请求分组广播发送 帧目的地址为广播地址 发送站的MAC地址 发送站硬件地址 发送站协议地址 目的站硬件地址 目的站协议地址 硬件类型 以太网 协议类型 IPV4 硬件长度 以太网 6 协议长度 IPV4 4 操作 1为ARP请求 协议类型为ARP 由于以太网规定最小数据长度为46字节 ARP帧长度只有28字节 因此有18字节填充位 填充位的内容没有定义 与具体实现相关 10 ARP请求实现流程 有 无 无 有 IP地址 MAC地址 收到ARP应答 找不到MAC地址 查询ARP高速缓存 11 ARP请求 应答分组帧格式 2 ARP应答帧 ARP应答分组单播发送 帧目的地址为发送站MAC地址 ARP应答站的MAC地址 ARP协议 硬件地址 实验以太网 协议类型 IPV4 硬件长度 以太网 6 协议长度 IPV4 4 操作 2为ARP应答 发送站硬件地址 发送站协议地址 目的站硬件地址 目的站协议地址 12 ARP应答实现流程 13 ARP命令 5 ARP命令 1 arp a显示当前的ARP地址表 2 arp s在ARP地址表中增加 IP地址 MAC地址 绑定 3 arp d删除ARP地址表中 IP地址 MAC地址 绑定 临时存储在ARP缓存中的条目 14 代理ARP 6 代理ARP ARP请求 主机E的MAC地址 ARP应答 0010C6CDC68D 物理网络1 物理网络2 168 69 11 20主机A 主机B168 69 11 21 主机C168 69 11 22 主机D168 69 11 23 192 168 100 2主机G 192 168 100 3主机F 192 168 100 4主机E 168 69 11 1 192 168 100 1 路由器 A MAC 0020D6CAC96BB MAC 0020C6CDC68DC MAC 0010A6CDF98DD MAC 0012C6DDC69AE MAC 0010C6CDC68DF MAC 0011B8F9C68DG MAC 0012C8ACB88C 15 代理ARP 代理ARP 也称为网关 它创建一个ARP高速缓存 其中包含这两个物理网络中主机或路由器的有关信息 代理ARP必须管理穿越于两个网络的ARP请求和应答 通过把对应于两个网络的ARP高速缓存组合成一个 代理ARP扩充了地址解析过程的灵活性 防止产生过多的ARP请求和ARP应答分组穿越网关 ARP具有一个特性 信任所有ARP应答 主机或路由器收到ARP应答 得到 IP地址 MAC地址 绑定时 并不检查其有效性和一致性 此时会出现多个IP地址对应同一个MAC地址 16 ARP欺骗 7 ARP欺骗为了提高效率 ARP使用了Cache 即在主机中专门有个内存缓冲区 保存最近获得的IP MAC地址对 在发包之前 首先在Cache中查找要发包对象IP对应的MAC地址 如果找不到 则发送一个FF FF FF FF FF FF的ARP请求数据包 请求地址解析 当主机收到ARP数据包时 不会进行任何认证就刷新Cache 记录下错误的IP MAC对 给ARP欺骗带来机会 造成ARPCache中毒 17 ARP欺骗 1 B向A发送应答包 192 168 1 103 03 03 03 03 03 2 主机A修改ARP缓存表 192 168 1 103 03 03 03 03 03 3 B向网关1发送应答包 192 168 1 203 03 03 03 03 03 4 网关1修改ARP缓存表 192 168 1 203 03 03 03 03 03 5 主机A与主机C通信 A B 网关1 网关2 CC 网关2 网关1 B A 18 ARP攻击 1 IP地址冲突 2 交换网络嗅探 3 阻止目标的数据包通过网关 4 通过ARP检测混杂模式节点 5 ARP病毒 向网关发送伪造的ARP应答数据包 其中发送方的IP地址为目标的IP地址 而MAC地址则为一个伪造的地址 这样 网关上的目标ARP记录就是一个错误的 网关发送给目标的数据报都是使用了错误的MAC地址 这种情况下 目标能够发送数据到网关 却不能接收到网关的任何数据 同时 目标自己查看ARP a却看不出任何问题来 19 ARP欺骗的检测 1 检测ARP欺骗 1 ARP命令 arp a 2 抓包分析 windump sniffer pro等 3 三层交换机上查询ARP缓存表 20 ARP欺骗的控制 2 控制ARP欺骗 1 主机静态绑定网关MACA arp s网关IP网关MACB echooffecho arpset arp darp s网关IP网关MACexit 21 ARP欺骗的控制 2 网关使用IP MAC地址绑定 22 ARP欺骗的控制 3 建立ARP服务器在局域网内架设ARP服务器 替代主机应答ARP包 4 使用防ARP攻击的软件ARPFix AntiARP 23 ARP欺骗的控制 三 防范ARP欺骗工具 1 ARP防火墙 ARPFix 2 windump软件 windump 3 snifferpro软件 sniffer 4 趋势的ARP专杀工具 TSC ARP 5 AntiARP软件 AntiArp 24 二 逆地址解析协议RARP 1 MAC地址 IP地址2 RARP协议支持Enternet TokenRing FDDI3 RARP规定只有RARP服务器能产生应答4 RARP服务器的设计 1 ARP服务器 TCP IP内核中实现 IP地址 MAC地址 2 RARP服务器 包含在磁盘文件中 MAC地址 IP地址 3 RARP请求是作为一个特殊类型的以太网数据帧来传送的 帧类型字段值为0 x8035 4 RARP请求是在硬件层上进行广播的 多个RARP服务器同时应答 25 RARP工作原理 1 发送主机发送一个本地的RARP广播 在此广播包中 声明自己的MAC地址并且请求任何收到此请求的RARP服务器分配一个IP地址 2 本地网段上的RARP服务器收到此请求后 检查其RARP列表 查找该MAC地址对应的IP地址 3 如果存在 RARP服务器就给源主机发送一个响应数据包并将此IP地址提供给对方主机使用 4 如果不存在 RARP服务器对此不做任何的响应 5 源主机收到从RARP服务器的响应信息 就利用得到的IP地址进行通讯 如果一直没有收到RARP服务器的响应信息 表示初始化失败 26 RARP请求分组广播发送 27 RARP应答分组单播发送 28 RARP分组格式 29 三 ICMP报文控制协议 1 概述 1 设计ICMP协议的目的IP协议不可靠 无连接 缺少差错控制 查询机制 它是TCP IP协议的一个子协议 用于在路由器与主机之间传递控制消息 网络通不通 主机是否可达 路由是否可用 ICMP协议的差错与查询 控制功能对于保证TCP IP协议的可靠运行至关重要 30 概述 2 ICMP协议特点ICMP协议属于网络层 封装在IP数据报中传送给数据链路层 从协议体系上看 ICMP的差错和控制信息传输只是解决IP协议可能出现的不可靠问题 它不具有普遍意义的传输机制 ICMP协议主要用于路由器向源主机报告传输差错 ICMP协议不能纠正差错 而只是报告差错 差错处理需要高层协议完成 31 ICMP数据报格式 2 ICMP数据报格式 type code checksum 类型 1B定义报文类型 校验和 2B用于差错控制 代码 1B说明出错原因 32 ICMP工作原理 3 ICMP工作原理 1 目的站不可达 2 源站抑制 3 超时 4 重定向 5 参数问题 33 ICMP功能 4 ICMP功能 1 通告网络或主机错误 2 通告网络拥塞 3 协助解决故障 4 通告超时 34 ICMP报文类型 5 ICMP报文类型 35 差错控制报文 1 目的站不可达目的不可达报文是一个差错报告报文 其类型值Type 3 供路由器和目的主机使用 代码 Code 字段的值表示该数据报出错的原因 36 目的站不可达原因 网络不可达主机不可达协议不可达端口不可达源路由选择不能完成目的网络不可知目的主机不可知 路由器寻址错误 目的主机不工作或不存在 高层协议UDP TCP OSPF未运行 所交付的进程未运行 指定的路由器无法通过 路由表中无目的网络信息 路由表中无目的主机信息 37 源站抑制 2 源站抑制当路由器或主机因拥塞而丢弃一个数据报时 它就向数据报的发送站发送源抑制报文 源抑制报文是一个差错报告报文 其类型值Type 4 代码Code 0 用于要求减慢数据报传输的速度 38 源站抑制原因 1 由于是无连接数据报传输服务 IP协议中没有流量控制 那么在产生数据报的源主机 转发数据报的路由器 以及接收数据报的目的主机之间 并没有通信协调机制 2 由于在数据报发送之前 并不需要在主机或路由器中为数据报预留缓冲区 可能有大量的数据报同时涌向某一个主机或路由器 造成 拥塞 现象 3 路由器或主机缓冲区中的队列长度是有限的 这种队列空间是为等待转发或等待处理的数据报而准备的 如果路由器或主机的数据报接收速率比转发或处理的速率快 则缓冲区队列将会溢出 路由器将丢弃数据报 39 源站抑制原因 4 路由器出现拥塞的原因一是处理速度慢 不能完成数据报排队 表格刷新等工作 二是输出数据报的速度低于输入数据报速度 从而造成数据报的积压 根本原因是路由器缓冲区空间不足 5 ICMP协议拥塞控制采用的是 源抑制 方法 40 超时 3 超时当路由器中的路由表出现问题时 整个网络寻址就会出现错误 极端情况造成 数据报风暴 为了防止这种情况发生 IP协议采取了两点措施 IP报头中设置生存时间 TTL 域 对分片采用定时器技术 针对这两种情况 ICMP协议设计了超时报告报文 41 超时报告报文 超时报文是一个差错报告报文 其类型值Type 11 代码 Code 字段的值表示超时的原因 42 定时器技术 当某个数据报的第一个分片到达时 目的主机启动计时器 当计时器的时限到了 目的主机没有收到一个数据报的所有分片 它将接收的分片全部丢弃 并向源主机发送超时报告报文 路由器R为报文A预留了4个分组的缓存 由于分组3还未到达 报文A还不能交付给主机H 分组A3还暂存在路由器P的缓存中 它无法转发到路由器Q中 因为路由器Q的缓存已满 路由器Q的缓存中的任何一个分组都不能向前转发 路由器R的缓存是为报文A预留的 图重装死锁的例 43 参数问题 4 参数问题当数据报在传输过程中 数据报头出现错误或报头选项出现错误 报头缺少某个域 域中的某个参数错误 缺少某个值等 路由器或目的主机发现后将丢弃该数据报 并发送参数出错报告报文给源主机 44 参数报告报文 参数问题报文是一个差错报告报文 其类型值Type 12 代码 Code 字段的值反映了丢弃该数据报的原因 指针 Pointer 字段的值准确指明了出现错误的位置 45 重定向的含义 5 重定向 1 互联网中的数据报的路径选择是由源主机和路由器的路由表决定的 其中路由表起主导作用 2 转发时 源主机和路由器都必须有一个路由表 以便找出路由器或下一个路由器 3 由于网络中主机数远远多于路由器数 主机通常使用静态路由选择 而路由器使用动态路由选择且参与路由选择更新过程 4 TCP IP协议路由设计原则 若路由器知道正确的路径 主机启动时只需要知道最少的寻址信息 启动后在数据传输过程中不断地从路由器获取新的路径信息 46 重定向 问题1 主机如何从路由器获取寻址信息 2 当网络拓扑发生变化变化 路由器之间如何交换新的路径信息 IP分组 IP分组 IP分组 改变路由报文 47 重定向报文格式 重定向报文是一个比较特殊的差错报告报文 发送重定向报文的路由器不会丢弃数据报 而是把数据报转发给正确的路由器 代码 Code 字段的值给出了四种不同类型的重定向服务 代码值0 特定网络路由的改变代码值1 特定主机路由的改变代码值2 服务类型和特定网络路由的改变代码值3 服务类型和特定主机路由的改变 48 ICMP重定向 1 R2的L0端口和PC机不在同一个网段 而PC的网关地址是R1的E0端口 此ICMP请求包只能发给R1 2 之前PC机必须发送ARP请求 请求R1的E0端口的MAC地址 3 R1对PC进行ARP应答 通知自己E0端口的MAC地址 并且将ICMP请求转发给R2的E0端口 4 路由器R1必须正确配置了到路由器R2的路由 192 168 3 0 24 5 路由器R1发送ICMP重定向消息给PC机 通知PC请求的网关地址是 192 168 1 253 6 路由器R1发送ICMP重定向消息给PC机 通知PC请求的网关地址是 192 168 1 253 7 路由器R2发送ARP请求PC的MAC地址 主机PC应答R2的ARP请求 R2获得PC的MAC地址 将ICMP应答消息发送给主机PC 49 查询报文 1 回送请求和应答回送请求和回送应答是一对查询报文 用于测试两个机器 主机或路由器 之间能否实现通信 类型字段Type 8表示这是回送请求 EchoRequest 报文 Type 0表示这是回送应答 EchoReply 报文 50 回送请求和应答 回送请求报文和回送应答报文还可以用来测试某个主机是否可达 通常是调用PING命令来实现 PING命令使用回送请求和回送应答 并具有指定请求的时间间隔和发送请求的次数 51 地址掩码请求和应答 2 地址掩码请求和应答地址掩码请求和地址掩码应答是一对查询报文 用于获得一个主机所在网络的子网掩码 类型字段Type 17表示这是地址掩码请求 AddressMaskRequest 报文 Type 18表示这是地址掩码应答 AddressMaskReply 报文 52 时间戳请求和应答 3 时间戳请求和应答时间戳请求和时间戳应答一对查询报文 用于确定IP数据报在源端和目的端之间往返所需要的时间 也可用作源端和目的端主机的时钟同步 类型字段Type 13表示这是时间戳请求报文 Type 14表示这是时间戳应答报文 53 时间戳请求和应答 延迟计算公式 发送延迟时间 接收时间戳值 原始时间戳值接收延迟时间 报文返回时间 发送时间戳值往返延迟时间 发送延迟时间 接收延迟时间 实际上只有当源主机和目的主机的时钟同步时 发送时间和接收时间的计算才是准确的 54 路由器通告和请求 4 路由器通告和请求路由器通告和路由器请求是一对查询报文 用于主机与路由器之间交换信息 路由器请求报文的格式如下 55 路由器通告和请求 收到路由器请求报文的路由器 会创建一个路由器通告报文 并在网络上广播 路由器通告报文的格式如下 地址参考 定义路由器的等级 用来表示路由器能否作为默认路由器 若地址参考值为0 则此路由器为默认路由器