网络协议整理.docx

ARP地址解析协议1. 利用wireshark随即抓取arp报文，分析格式。 从图可以看到目的mac地址全f，为广播地址，采用ARP协议。Opcode字段为（0x0001），表明该arp报文为arp请求报文。Target IP address为01，但是Target MAC address为空，是因为请求的即为目标的MAC地址。整个报文的作用为主机20广播arp请求报文，寻找IP地址为01主机的MAC地址。2. ARP欺骗演练与抓包分析。 攻击工具使用zxarps.exe，抓包工具使用wireshark，攻击者IP为22，受害者运行于VMware上，IP为22。网关地址为54。使用命令监听受害者后，利用wireshark抓包如下：（抓包规则为arp.opcode = 2 and arp，即抓取所有arp响应包）可见攻击者首先确定了网关的MAC地址。接下来攻击者又确定了受害者的MAC地址。攻击者发送伪造ARP响应报文发送给网关，将受害者的IP指向了自己的MAC地址。发送伪造ARP响应报文发送给受害者，将网关的IP指向了自己的MAC地址。接下来的时间攻击者不断发送上面两种伪造ARP报文。到这里攻击基本已经实现了，因为数据报传送过程中通过MAC地址来确定下一跳的走向，此时网关把要发给受害者的数据都发给了攻击者，受害者把本来想发给网关的数据发给了攻击者，而攻击者此时相当于处在受害者和网关之间，只需简单的数据报转发功能，就能隐藏自己，同时监听所有发送给受害者、和受害者发出的数据报。ICMP网络控制报文协议1. Icmp用于在IP主机、路由器之间传递控制消息，ICMP报文封装在IP数据报内部，icmp的首部第一个字节和第二个字节为类型代码和8位的代码，通过这两个字节可确定一个ICMP报文。l 8号0号分别对应ping请求和回显l 3号代表网络错误，不同的错误类型由第二个字节来确定。l 13号14号分别对应时间戳请求与应答l 17、18分别对应地址掩码请求与应答ICMP地址掩码请求用于无盘系统确定自己的地址掩码，系统先广播ICMP17报文，收到ICMP13即可确定自己的地址掩码。？如何广播，不知道自己的掩码如何确定广播地址？ICMP时间戳请求用于向另一系统查询时间，数据部分有3个，发起时间戳，接收时间戳和传送时间戳。发起时间戳为发起者的时间，接收时间戳和传送时间戳一般相同，为接收者的时间。时间的格式为从午夜开始到现在的毫秒数。实际的时间差为ICMP14中两者的时间差加上数据报传送时间的一半。ICMP端口不可达数据报要通过代码来确定不可达的具体类型。报文始终包含差错报文的IP首部和数据部分的前8个字节，因为通过这些数据可以详细的反应跟错误有关的信息，以便于反馈给对应进程进行错误分析。ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发利用ICMP可以进行攻击。1.伪造目标ip向发达网络的广播地址发送ping包，大量的回显包会发送到目标主机，占用带宽。2.控制大量肉鸡向目标发送ping，使得目标忙于处理ping包，消耗资源，同样占用带宽。3.黑客冒充网关，向目标主机发送ICMP重定向报文，在报文里的路由IP填成自己的IP，这样，黑客将指定目标与目标间通信的网管地址设置成了黑客的IP地址，实现两者之间通信的监听，即ICMP重定向的欺骗攻击。如果换成一个不可达地址同样会影响两者之间的通信。Ip选路IP层进行的选路实际上是一种选路机制，它搜索路由表并决定向那个网络接口发送分组。利用netsta r命令可以查看主机路由表，linux下路由表格式如下：Destination Gateway Genmask Flags Metric Ref Use Iface * U 0 0 0 eth0 * U 0 0 0 eth0default UG 0 0 0 eth0对于一个路由器，有五种不同的标志（flag）：U 该路由可以使用G 该路由是一个到网关(路由器)，如过没有设置该标志，说明目的地是直接相连的。H 该路由是到一个主机，也就是说，目的地址是一个完整的主机地址。如果没有设置该标志，说明该路由是一个到网络，而目的地址是一个网络地址。D 该路由是由重定向报文创建的。M 该路由已被重定向报文修改。参数Refcnt列出的是正在使用路由的活动进程个数，面向连接的协议如TCP在建立连接时要固定路由，此时对应路由的表项Refcnt标志的值加1。USE显示的是通过该路由发送的分组数，如果我们是这个路由的唯一用户，那么运行ping发送5个分组后，它的值将变为5。Iface是接口的名字，名字为lo0说明为环回接口。在destination一列中，default那一行指明默认路由。系统在收到ICMP重定向报文后，会在路由表中加入新的路由方案。路由器发现报文用于设置默认路由，有主机广播出去。路由通告报文由路由器回应给主机，里面会由一对或多对IP地址和优先级，IP地址必须是发送路由器的某个地址，优先级指出该IP地址作为默认路由器地址的优先等级。路由发现报文与路由通告报文均会每隔一段时间发送出去，路由在收到路由发现报文时还会立即回应一个通告报文。网络层次物理层数据链路层：交换机、路由器网络层：ip选路传输层：tcp udp会话层表示层应用层：SMTP、DNS和FTP都是7层协议Rip选路信息协议如果守护进程发现前往同一信宿存在多条路由，那么它将悬着最佳路由并加入内核路由表中。如果路由守护进程发现一条路由已经断开，它可以删除受影响的路由或增加另一条路由以绕过该问题。Rip报文包含在udp数据报中，它有一个4字节的首部。数据部分为20字节的整数倍，每一部分指定一个IP地址和度量值，度量值即代表跳数，16代表不可达。RIP常用的端口号是520，在启动一个守护进程时，路由向每个端口发送请求报文，收到特殊请求的路由器会将自己的路由表发送给请求者，如果不是特殊请求，会处理请求中的每一个表项，如果有连接到指明地址的路由，则将度量设置成自己的值，然后发回响应。每过30秒，路由器会自动发送一次路由表，或者当某条路由的度量 发生变化时，就对它进行更新，不需要发送完整路由表，只需要发送那些发生变化的表项。Udp用户数据报协议Udp首部长8字节，含16位源目的端口号，16为udp长度，16为udp校验和。Udp与tcp都含有一个伪首部，用于计算校验和时使用。Ip分片：物理网络层一般限制每次发送数据帧的最大长度，任何时候IP层接收到一份要发送的IP数据报时，它要判断向本地哪个接口发送数据，并查询该接口的MTU，IP把MTU与数据报长度进行比较判断是否需要分片。分片可以发生在原始发送端的主机上，也可以发生在中间路由器上。（IP层的重新组装与其他网络协议不同，要求在下一跳就进行重新组装，而不是在最终目的地，IP首部中包含的数据为分片和重新组装提供了足够的信息）。每个分片都有自己的IP首部，并在选择路由时与其他分组独立。IP首部中有足够的信息能让失序的分片重新组装。首部中有标记字段设置某一报文不允许分片时，如果需要分片，路由会回发一个ICMP不可达报文。如果有一个分片丢失，则要重传整个报文。当系统接收数据报的速度比其处理速度快时，会向发送端发送一个ICMP源站抑制差错报文。广播和多播2011年7月27日13:40单播：通常每个以太网帧仅发往单个目的主机，目的地址指明单个接收接口，因而称为单播。广播和多播仅应用于UDP，用来将报文同时发送给多个接收者。1. 受限的广播：地址为55，路由器从不转发目的地址为受限的广 播地址的数据报，这样的数据报仅出现在本地网络中。2. 指向网络的广播：主机号全为1的地址。3. 指向子网的广播：主机号全为1且有特定子网号的地址。4. 指向所有子网的广播：子网号及主机号全为1。多播：多播减少了对应用不感兴趣的主机的处理负荷，使用多播，主机可加入一个或多个多播组，这样，网卡将获悉该主机属于哪个多播组，然后仅接收主机所在多播组的那些多播帧。多播组地址头4位为1110，其余28bit作为多播组号。多播组地址的mac地址前3字节为01:00:5e，后面23bit与IP多播组号对应起来，哦那个过多播组号的地位23bit映射到以太网地址中德低位23bit实现。单个物理网络的多播是简单的，多播进程将目的IP地址指明为多播地址，设备驱动程序将它转换为相应的以太网地址，然后把数据发送出去。IGMPIGMP封装在ip报文中，前4字节为igmp首部，后4字节为32位的多播组地址。多播路由器使用IGMP报文来记录与该路由器相连网络中组成员的变化情况。当第一个进程加入一个组时，主机就发送一个IGMP报文，如果有多个进程，主机值发送一个IGMP报告。进程离开时，主机不发送IGMP报告。多播路由定时发送IGMP查询来了解是否还有任何主机包含有属于多播组的进程。多播路由器向每一个接口发送一个IGMP查询。主机通过发送IGMP报告来响应一个IGMP查询。使用这些查询报告报文，多播路由器对每个接口保持一个表，表中记录接口上至少还包含一个主机的多播组。当路由器收到要转发的多播数据报时，它只将该数据报发到对应的接口上。DNSDNS用于提供主机名字和ip地址之间的转换及有关电子邮件的选路信息。Dns的名字空间有层次结构，根节点没有任何特殊标识，二次节点成为顶级域，三层节点成为第二级域。顶级域划分为三个部分：1） arpa是一个用作地址到名字转换的特殊域2） 7个3字符长德普通域，也可以称为组织域3） 所有2字符长的域称为国家域，或地理域。NATNAT用于解决网络地址不够用的问题，它实现了私有地址到公共地址的映射。如果一个公司申请得到的ip有限，那么他就可以通过使用nat来解决ip不够用的问题。一个配置了nat功能的路由器，从外网看来，所有从该路由出来的数据包源地址都是仅有的一个或多个，而路由另一端的私有地址数往往大于这个数目。这有点类似与公司的电话一样，所有从公司打出去的电话对接收者看来都是一个号码，接收者在给公司回电话的时候必须由前台人工进行