TCPIP协议理解文档.doc

TCP/IP协议理解文档以太网封装 目的地址和源地址：也就是mac地址，数据报能够传输的前提条件就是要有mac地址封装。但是有的时候，主机并不知道目的主机的mac地址，这就需要用到arp协议，广播请求目的主机的mac地址。例如：这里的目的mac地址ff:ff:ff:ff:ff:ff就是广播地址 以太网的类型字段定义了后续数据的类型，例如0800为ip，0806为arp，8035为rarp CRC字段用于帧内后续字节差错的循环冗余码校验，也就是FCS 因为mac地址很容易伪装，这样就会在网络环境中可能存在不安定的因素。而免费arp可以有效的解决该问题l 技术原理：设备接口每间隔指定的时间，请求本接口的mac地址，收到该请求的主机可以更新自己的mac地址表l 包格式：收到免费arp包的主机，就会更新自己的mac-table，防范中间人攻击。注意：以太网的帧有最小长度限制，要求最少有46字节（指的是数据部分），长度不够，需要加入填充字节Ip首部 版本：指的是使用的ipv4还是ipv6 首部长度：范围20-60字节。20字节指的是没有选项部分，又因为首部长度字段为4 位长，可表示的最大十进制数字是15（1111）。因此首部长度的最大值是15个4字节长的字，即60字节 服务类型：设备根据这些类型，使用区分服务对待不同的数据包，优先发送优先级高的，当网络出现延时时，丢弃优先级低的数据包，保证正常的业务流量通过。另外一个重要特点就是，dscp是端到端的应用，也就是沿途的每一跳路由器都要匹配dscp值，然后应用相关的策略，这样就可以达到端到端的流量控制的目的。u 抓包（默认为0） 总长度：是指整个ip数据报的长度，它等于首部长度+数据部分，例如上图总长度=首部长度（20字节）+数据部分 udp首部（8字节）+数据部分（248字节）=276字节 标识字段：唯一地标识每个主机发送的每一份数据报，在数据包分片时，该字段被复制到每一个片中 标志字段：有两个比较重要的字段，一个就是“MF”，代表不是最后一个分片，除了最后一个分片外，其他的片“MF”都置1；另一个就是“DF”，置1时代表不会对数据包进行分片，接受这个数据的设备将数据包丢弃，并发送一个icmp差错报文（需要分片但是设置了DF为1）u MF置1u DF置1 片偏移量：目的主机利用该字段将分片的报文进行重组 TTL：标识数据报可以经过的最多的路由器的数量，每经过一个路由器，该值就减1，直到为0，该数据报就会被丢弃，并发送一个icmp通知报文告诉源主机。Tracetoute即是使用的这个原理u 主机192.168.98.103 PING 111.1.1.1，设置ttl为1u 当数据包到达192.168.98.1时，ttl减1，这时ttl为0，所以这台设备向源主机192.168.98.103发送icmp差错报文 协议位：标识ip协议承载的上层协议类型，这里抓包显示是udp（17，也就是十六进制0x11），也可以是tcp（6）或者icmp（1）等u ICMPu TCPu UDP 首部检验和：对ip首部的每16bit进行二进制反码求和，将其结果存在检验和中。接收端收到该报文，同样对ip首部的每16bit反码求和，结果为全1证明数据在传输的过程中没有发现差错 选项：可以定义路径记录，时间戳记录以及源站路由等功能。在网络安全领域，一般尽量避免使用该技术，因为非常的不安全u 宽松源站路由：定义数据包经过一系列的地址，例如Hacker没有内网服务器的路由，但是他知道途径的设备1.1.1.1和2.2.2.2，这时他就可以利用ip选项的宽松源站路由功能了。具体的做法：这样hacker就可以轻松抵达服务器了，这时他就可以做些破坏工作了。u 严格源站路由：与宽松源站路由类似，只不过只能经过指定的ip地址，不能经过其他地址，具体做法：u 利用ip选项可以做很多破坏工作，所以安全设备应该能够做到识别ip选项包，对这些包进行过滤。我们的墙上可以做到ip包合法性检查，当检查有ip选项时，丢弃该数据报ICMP首部 类型位：描述特定类型的icmp报文，例如类型8-icmp请求回显，类型0-回显应答 代码位：同一个类型位，可能回有多种icmp报文，这时就需要代码位加以区分 检验和：与ip首部中的校验和计算方法相同按照icmp报文的作用，icmp报文分为两类 查询报文：例如icmp request 差错报文：例如网络不可达network unreachable举例说明icmp重定向R1需要到达3.3.3.0网络，设置它的默认网关为123.1.1.2R2到达3.3.3.0网络的下一跳是123.1.1.3当R1到3.3.3.0的数据报到达R2的时候，R2发现R1直接使用R2的下一跳更合理，这时R2该R1发送icmp重定向报文，并且转发数据包重定向报文的格式：R2告诉R1，要达到3.3.3.3，使用网关123.1.1.3注意:icmp差错报文始终包括ip的首部和产生icmp差错报文的ip数据报的前8个字节。这样接受icmp差错报文的模块根据ip首部中协议字段以及端口号判断是哪个应用程序出错。ARP首部 协议类型：一般都是IP 硬件类型：一般都是以太网 硬件地址长度：mac地址一共48bit，所以硬件地址长度是6字节 协议地址长度：ip地址一共32bit，所以协议地址长度是4字节 操作码：arp request是1，arp respond是2，rarp request是3，rarp respond是4l 应用1-免费arp：（1）请求自己的ip的mac，防止arp欺骗和中间人攻击 （2）提示局域网主机ip地址冲突从图中就可以看出，发送方的ip地址等于目的方的ip地址l 应用2-Arp代理：如果arp请求是从一个网络的主机发往另一个网络的主机，那么连接这两个网络的主机就可以用自己mac地址回复发起方实例：Pc1-FW-pc2Pc1通过fw的dhcp功能获取ip地址，但是该dhcp服务器并没有指定默认网关，所以pc1只有ip地址，而没有默认网关，到pc1需要到达pc2的时候，需要有mac地址，这时pc1广播arp请求，当fw收到该arp请求的时候，发现该arp请求的是pc2的mac地址，但是fw并没有开启代理arp功能，所以忽略该arp请求，这样就造成了pc1到达pc2是不通的。解决方式就是在fw上：echo 1 /proc/sys/net/ipv4/conf/default/proxy_arpUDP首部 源端口：主机发送数据的端口号，一般是随机选择的一个大于1024的号码 目的端口：在目的主机上请求应用程序的端口号，一般是小于1024的知名端口号 长度：udp首部和udp数据部分的长度 检验和：覆盖udp首部以及udp数据部分，并且计算的时候包括12字节的伪首部TCP首部 源端口：主机发送数据的端口号 目的端口：在目的主机上请求应用程序的端口号 序列号：标识发送的数据字节流，表示在这个报文段中的第一个数据字节 确认号：表示发送端期望接受到的下一个序号，为上次已成功接受的数据字节序号加1（只有当ACK标志置位时，确认号才有效） 首部长度:与ip首部长度类一样，范围为20-60字节 代码位：用于建立以及结束会话的控制功能，具体代码含义为l URG 紧急指针有效l ACK 确认序号有效l PSH 接收方应该尽快将这个报文段交给上层l RST 重建连接l SYN 同步序号发起一个连接l FIN 发端完成发送任务 窗口大小：是发送发被允许发送窗口大小，它起始于确认序号指明的值 校验和：与udp计算校验和的