IP协议解析培训胶片.ppt

1、网络技术培训之 IP协议解析 宽带产品技术支持部 2002/3,概述 IP协议 Internet Protocol ARP 地址解析协议 ICMP Internet 控制报文协议 IP 路由,目录,TCP/IP起源于60年代末美国政府资助的一个分组交换网络研究项目，到90年代已发展成为计算机之间最常应用的组网形式。它是一个真正的开放系统，因为协议族的定义及其多种实现可以不用花钱或花很少的钱就可以公开地得到。它成为被称作“全球互联网”或“因特网( Internet)”的基础。,IP协议概述-起源,TCP/IP是最早出现的网络协议之一，同时也是最早出现的互联网协议，它的出现顺应了社会需求。 DAR

2、PA为推广TCP/IP，采用开放策略，以低价出售TCP/IP使用权，鼓励厂商开发TCP/IP产品。 TCP/IP与流行操作系统UNIX的结合是其成功的一大源泉。 与ISO/OSI相比，TCP/IP技术来自于实践，简单实用，效率高。,IP协议概述-起源,TCP/IP通常被认为是一个四层协议系统。,IP协议概述-分层(1),应用层,传输层,网络层,链路层,Telnet FTP和e-mail等,TCP 和 UDP,IP ICMP IGMP,设备驱动程序及接口卡,IP协议概述-分层(2),IP协议概述-分层(3),OSI 模型 vs. TCP/IP 模型,IP协议概述-分层(4),IP地址结构,IP协

3、议概述-IP地址(1),IP协议概述-IP地址(2),IP协议概述-IP地址(3),网络地址 主机部分全0的地址 代表一个网段 常见于路由表 例： 全0地址 广播地址 主机部分全1的地址 代表网段内所有的接口和主机 例：55 全1地址55 Loopback地址 127.X.X.X 用作本地软件回送测试（Loopback test）之用。如：,Internet Assigned Numbers Authority (IANA) 规定了3段IP地址段用做私有网络： /8 172.1

4、6.0.0/12 /16,IP协议概述-IP地址(4),数据的封装,IP协议概述-封装(1),IP协议概述-封装(2),分用（Demultiplexing）,IP协议概述-分用(1),IP协议概述-分用(2),IP协议概述-传输层(1),传输层基本功能,IP协议概述-传输层(2),IP协议概述-传输层(3),20 File Transfer Protocol Default Data 21 File Transfer Protocol Control 23 Telnet 25 Simple Mail Transfer Protocol 53 Domain Name Ser

5、ver 80 World Wide Web HTTP 119 Network News Transfer Protocol 161 SNMP 162 SNMP TRAP,常用端口值,IP协议概述-端口号(3),IP协议（Internet Protocol),不可靠（unreliable ） 无连接（connectionless ） RFC 791Postel 1981a是IP的正式规范文件。,IP协议,IP协议-IP首部(1),IP协议-IP首部(2),版本 4IPv4 首部长度 单位为4字节，最大60字节 总长度 单位字节，最大65535字节 标识 数据包分片后重组 标志占3比特，只用到低位

6、的两个比特 MF（More Fragment） MF=1，后面还有分片的数据包 MF=0，分片数据包的最后一个 DF（Dont Fragment） DF=1，不允许分片 DF=0，允许分片,IP协议-IP首部(3),段偏移 分片后的分组在原分组中的相对位置 总共13比特，单位为8字节 寿命TTL（Time To Live） 丢弃TTL=0的报文 协议 携带的是何种协议报文 1 ：ICMP 6 ：TCP 17：UDP 89：OSPF,IP 分片,物理网络层一般要限制每次发送数据帧的最大长度。 任何时候IP层接收到一份要发送的IP数据报时，它要判断向本地哪个接口发送数据（选路），并查询该接口获得其

7、MTU。IP把MTU与数据报长度进行比较，如果需要则进行分片。分片可以发生在原始发送端主机上，也可以发生在中间路由器上。,IP 分片(1),IP 分片,回忆IP首部，其中一些字段用于分片过程： 标识字段：包含一个唯一值，该值在数据报分片时被复制到每个片中。 标志字段：用其中一个比特(MF)来表示“更多的片”。除了最后一片外，其他每个组成数据报的片都要把该比特置1。 片偏移字段：指的是该片偏移原始数据报开始处的位置。另外，当数据报被分片后，每个片的总长度值要改为该片的长度值。,IP 分片(2),IP 分片(3),IP协议-网络攻击(1),死亡之ping （ping of death） 早期的路由

8、器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过64K上限的数据包时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。 防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都可防止此类攻击。,泪滴（teardrop） 泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含

9、有指示该分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移的伪造分段时将崩溃。 防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。,IP协议- 网络攻击(2),UDP洪水（UDP flood） 各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 防御：关掉不必要

10、的TCP/IP服务，或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。,IP协议- 网络攻击(3),Smurf攻击 一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求（ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方雪崩。 防御：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉ICMP包。,IP

11、协议- 网络攻击(4),现在所有的主机都要求支持子网编址（RFC 950Mogul and Postel 1985）。 不是把IP地址看成由单纯的一个网络号和一个主机号组成，而是把主机号再分成一个子网号和一个主机号。,IP协议-子网寻址,给定IP地址和子网掩码以后，主机就可以确定IP 数据报的目的是： (1)本子网上的主机； (2)其他网络上的主机。,IP协议-子网掩码,IP协议-变长子网掩码VLMS,机,ipconfig 命令,Windows 98 IP Configuration Command line options: /All - Display detailed informati

12、on. /Batch file - Write to file or ./WINIPCFG.OUT /renew_all - Renew all adapters. /release_all - Release all adapters. /renew N - Renew adapter N. /release N - Release adapter N.,IP协议-ipconfig,ARP：地址解析协议,IP地址和数据链路层使用的任何类型的地址。RFC 826Plummer1982是A R P 规范描述文档。,ARP协议(1),A R P 高效运行的关键是由于每个主机上都有一个A R P 高

13、速缓存。这个高速缓存存放了最近Internet地址到硬件地址之间的映射记录。高速缓存中每一项的生存时间一般为20分钟，起始时间从被创建时开始算起。,ARP协议(2),ARP报文格式,ARP协议(3),ARP协议(4),ARP（源主机与目的主机在同一子网）,ARP协议(5),PROXY ARP（源主机与目的主机不在同一子网）,ARP协议(6),免费ARP 可以有两个方面的作用： 1) 一个主机可以通过它来确定另一个主机是否设置了相同的IP地址。 2) 如果发送免费A R P 的主机正好改变了硬件地址（很可能是主机关机了，并换了一块接口卡，然后重新启动），那么这个分组就可以使其他主机高速缓存中旧的

14、硬件地址进行相应的更新。,ARP/RARP-gratuitous ARP,ARP协议(7),ARP/RARP-ARP Command,ARP协议(8),ARP -s inet_addr eth_addr if_addr ARP -d inet_addr if_addr ARP -a inet_addr -N if_addr,ICMP ：Internet 控制报文协议,ICMP经常被认为是IP层的一个组成部分。它传递差错报文以及其他需要注意的信息。 ICMP 的正式规范参见RFC 792Posterl1981b 。,ICMP协议,ICMP的报文格式,ICMP协议-报文格式,ICMP报文的格式如下

15、图所示。类型字段可以有15个不同的值，以描述特定类型的ICMP报文。,Ping 程序,ICMP协议Ping 程序(1),ICMP Echo Request Echo Reply,ICMP回显请求和回显应答报文,ICMP协议Ping 程序(2),PING的输出及选项参数,ICMP协议Ping 程序(3),PING的输出及选项参数,ICMP协议Ping 程序(4),ICMP Request 报文,ICMP协议Ping 程序(5),ICMP Reply 报文,ICMP协议Ping 程序(6),ICMP Time Exceed 报文,ICMP协议Ping 程序(7),Traceroute 程序过程,I

16、CMP协议traceroute 程序(1),IP报头TTL字段 ICMP,Traceroute 程序过程,1）发送一份TTL字段为1的IP数据报给目的主机 2）处理这份数据报的第一个路由器将TTL值减1，丢弃该数据报，并发回一份超时ICMP报文 3）这样就得到了该路径中的第一个路由器的地址。 4）Traceroute程序发送一份TTL值为2的数据报，按上面的办法就可以得到第二个路由器的地址,ICMP协议traceroute 程序(2),5）继续这个过程直至该数据报到达目的主机，但是目的主机哪怕接收到TTL值为1的IP数据报，也不会丢弃该数据报并产生一份超时ICMP报文，这是因为数据报已经到达其

17、最终目的地。 6）Traceroute程序发送一份UDP数据报给目的主机，但它选择一个不可能的值作为UDP端口号（大于30000），使目的主机的任何一个应用程序都不可能使用该端口。因为，当该数据报到达时，将使目的主机的UDP模块产生一份“端口不可达”错误的ICMP报文。这样，Traceroute程序所要做的就是区分接收到的ICMP报文是超时还是端口不可达，以判断什么时候结束。,Traceroute 程序过程,ICMP协议traceroute 程序(3),Traceroute 举例,ICMP协议traceroute 程序(4),Traceroute 举例,ICMP协议traceroute 程序(

18、5),IP路由,对于整个路由器软件体系结构来说，寻找路由是其中相当主要的功能。针对不同的应用情况，现有很多种寻找路由的协议（RIP、OSPF、BGP、DVMP、IS-IS等等），而且随着计算机网络的发展，肯定还会出现很多新的寻找路由协议。,IP 路由(1),路由协议简介 根据数据流的类型，路由协议分为: 单播路由协议(Unicast Routing Protocol): RIP、OSPF、 IGRP、BGP、IS-IS等 多播路由协议（Multicast Routing Protocol）:DVMRP、PIM-SM、PIM-DM等。,IP 路由(2),路由协议简介 根据网络规模大小，单播路由协

19、议可分为: 域内路由协议（IGP）: RIP、OSPF、IGRP、EIGRP、IS-IS 域外路由协议（EGP）:目前只流行BGP,IP 路由(3),路由协议简介 根据寻径算法，单播路由协议可分为： 距离矢量协议(Distance-Vctor): RIP、IGRP、EIGRP、BGP 链接状态协议（Link-State）：OSPF、IS-IS。,IP 路由(4),路由优先级,路由器中的路由来源各不相同： 直接相连的网段路由： 配置的静态路由： 动态路由协议发现： 在实现中，对于路由选择机制，我们采用路由优先级（Route Preference）的概念。每个路由根据路由策略设置一个优先级参数。一般对于到同一目的地址的若干路由，选择其中优先级参数最小的作为Active 路由，只由Active指导转发。,IP 路由(5),静态路由,静态路由是一种特殊的路由，它由网络管理员采用手工方法在路由器中配置