局域网3arp帧格式专题培训课件

二.

网卡与以太网地址网络接口卡（NIC）又称网络适配器(NIA)简称网卡。用于实现联网计算机和网络电缆之间的物理连接在以太网中，每一台联网计算机都需要安装一块或多块网卡1网卡的功能介质访问控制CSMA/CD：进行载波侦听，确定能否发送数据或接受数据，以及进行冲突处理等工作；封装/解封装数据帧的封装：为数据加上帧头、PAD、CRC等控制字段；数据帧的解封装：对收到帧进行CRC校验并将控制字段去掉；数据编码/解码数据编码：将数据转换为适合网络介质传输的信号形式；数据解码：收到的信号解释为对应的数据；数据发送/接收发送数据：将主机的并行数据转换成串行位流，并通过MAC进行发送；接收数据：通过MAC接收信号，经解码后由串行位流转换成并行数据；数据缓存匹配主机数据处理速率与网络的传输速率不一致问题。2Ethernet地址(MAC地址)MAC地址固化在网卡中，又称为物理地址，它是网络节点全球唯一的物理标识，与其物理位置无关。MAC地址是数据链路层进行寻址的依据网络节点的每一个网络接口都有一个唯一的MAC地址。一个节点允许有多个MAC地址，取决于该站点网络接口的个数。例如：安装有多块网卡的计算机；有多个以太网接口的路由器。

3关于802.3的MAC地址问题

MAC地址6个字节，共48位二进制，字节之间用一个连字符隔开，每个字节采用两位十六进制数描述如：00-60-8C-01-28-124IEEE802.3标准规定：高24位为机构惟一标识符，由IEEE统一分给设备生产厂商；Cisco00-00-0cNovell00-00-1B00-00-D83Com00-20-AF00-60-8CIBM08-00-5A低24位称为扩展标识符，由厂商自行分配给每一块网卡或设备的网络硬件接口。关于802.3的MAC地址问题（续）56复习MAC地址固化在网卡中，又称为物理地址，它是网络节点全球唯一的物理标识，与其物理位置无关。MAC地址是以太网数据链路层进行寻址的依据MAC地址6个字节，共48位二进制，字节之间用一个连字符隔开，每个字节采用两位十六进制数描述如：00-60-8C-01-28-12Ethernet地址(MAC地址)71.为什么需要地址解析？2.ARP报文的封装及格式3.ARP表4.ARP协议的工作过程5.常用ARP命令与ARP攻击地址解析协议ARP（5.5.1节）8AD地址解析协议ARP1.为什么需要地址解析？9地址解析协议ARP

71-65-F7-2B-08-531A-2F-BB-76-09-AD58-23-D7-FA-20-B00C-C4-11-6F-E3-98LAN237.196.7.23237.196.7.78237.196.7.14237.196.7.88AABA主机A服务器B报文封装为什么需要地址解析？10地址解析:将在同一子网上的主机的IP地址作为输入，返回其MAC地址比较arp和dns112.ARP报文的封装及格式ARP报文封装在以太网帧中CRCPAD数据类型源地址目的地址起始符前导符716620-15000-464(bytes)校验区间64-1518字节1208162431bit硬件类型：发送方物理网络类型，1代表以太网；协议类型：发送方请求解析的协议地址类型，0x0800代表IP协议操作类型：1—ARP请求；2—ARP响应；发送者硬件地址：6Bytes发送者IP地址：4Bytes目的硬件地址：6Bytes目的IP地址：4BytesARP报文的格式133.地址解析协议------ARP表

IP节点（主机或路由器）每一个接口都有一个ARP模块,内有一个高速缓存表ARP表中记录了局域网内一些节点的IP/MAC地址映射

<IPaddress;MACaddress;TTL>ARP表随时更新，超过TTL过期删除ARP表具备自学习的能力1471-65-F7-2B-08-531A-2F-BB-76-09-AD58-23-D7-FA-20-B00C-C4-11-6F-E3-98LAN192.168.25.1192.168.25.7192.168.25.2192.168.25.25AAABA生成数据报，发送给目的主机B4.地址解析协议的工作过程：

同一LAN内通信时15地址解析协议的工作过程：

同一LAN内通信时1.查表：发送节点查找ARP表，若查到目的IP相应的MAC则结束；没有查到，进入第二步2.询问：以广播的方式(目的MAC为FF:FF:FF:FF:FF:FF)向LAN内节点发送ARP请求包，询问拥有目的IP的主机的MACARP只能返回在同一网络上的主机MAC3.应答：相应主机收到ARP请求后，返回ARP应答，告知其MAC4.保存：发送节点得到接收节点的MAC，并存入ARP高速缓存表备用比较arp和dns16当源端主机与目的端主机在同一物理网络时（举例）：(1)查表——当主机1向主机2发送IP包时，先在映射表中查主机2的物理地址，若查到，则返回相应的物理地址；(2)询问——若查不到，则主机1向网络发送的一个ARP广播包(报文格式参见下页)，向所有机器询问“谁的IP地址为192.168.1.1，请把你的物理地址告诉给192.168.1.105/00:d0:59:a9:3d:68”；(3)响应——当主机2收到ARP询问包后，马上向主机1即192.168.1.105/00:d0:59:a9:3d:68回一个包含自己IP地址和物理地址的ARP响应包，并在自己的地址表中记录或更新主机1的IP和物理地址InternetAddr.PhysicalAddr.Type------------------------------------------------------192.168.25.100-11-22-33-44-55static192.168.25.300-11-22-33-44-55staticInternetAddr.PhysicalAddr.Type------------------------------------------------------192.168.25.100-11-22-33-44-55static192.168.25.200-11-22-33-44-55static报文格式举例

以太网

主机1

主机2

IP地址：192.168.1.105

物理地址：00:d0:59:a9:3d:68

IP地址：192.168.1.1

物理地址：?

17举例：ARP请求报文格式举例数据报要发往子网外，ARP解析默认路由器的MAC地址18举例：ARP应答报文格式举例19（4）学习——网络上其他主机收到主机1的询问包后也会在自己的地址映射表中记录或更新主机1的IP和物理地址；（5）通报——对于新入网的主机，要求它主动广播自己的IP地址和物理地址，以便本广播域内的计算机都知道它的IP和MAC对应关系。当源端主机与目的端主机在同一物理网络时20ARB每站更换目的主机MAC地址,但目的主机IP地址不变A生成数据报，发送给目的主机B地址解析协议的工作过程：

在不同LAN之间通信时结合路由表的查询

ARP只能返回在同一网络上的主机MAC215.常用的ARP命令

arp-a------显示目前的ARP表arp-s192.168.25.19800-aa-bb-22-33-44 ------增加一个静态的ARP项arp/?------帮助22表现原理：每台主机都有一个临时存放IP-MAC的对应表，ARP攻击就通过更改这个缓存来达到欺骗的目的解决方案>arp–a（更改前）InternetAddressPhysicalAddressType192.168.0.100-03-6b-7f-ed-02dynamic

>arp–a（更改后）InternetPhysicalAddressType192.168.0.100-03-6b-7f-fd-56dynamic>arp–s192.168.0.100-03-6b-7f-ed-02

（解决方法）192.168.0.100-03-6b-7f-ed-02staticARP攻击23三.以太网的帧格式曾经有五种不同格式的以太网帧，不同格式的以太网帧的各字段定义都不相同，彼此也不兼容。常用的为:

●EthernetII：Xerox与DEC、Intel在1982年制定的以太网标准帧格式，是以太网的事实标准.

24EthernetII帧格式BCRCPAD数据类型源地址目的地址起始符前导符716620-15000-464字节校验区间64-1518字节25前导符和起始符:8个字节

7个10101010

字节尾随1个10101011字节，用来同步收发双方的时钟速率，稳定收发电路状态，并进行帧定界。源地址和目的地址:发送主机和接收主机的物理MAC地址,每个地址6个字节

源地址类型：单播地址目的地址类型：单播地址、多播地址、广播地址EthernetII帧格式26以太网帧中的目的地址分为三种类型：单播地址：（I/G＝0）

拥有单播地址的帧将发送给网络中一个站点多播地址：（I/G＝1）拥有多播地址的帧将发送给网络中的一组站点广播地址：（FF-FF-FF-FF-FF-FF）拥有广播地址的帧将被发送给局域网中所有的站点。关于802.3的MAC地址问题（续）I/GOUI（22位）G/LEI（24位）0=全局管理地址1=本地管理地址0=单播地址1=组播地址27类型:

2个字节

以太网支持多个网络层协议，每个网络层协议有固定编号。当接收方收到帧后，会根据协议类型将数据帧交给相应的网络层协议。0800

IP8137

NovellIPX

809b

AppleTalk0806

ARP

0835

RARPEthernetII帧格式28举例：ARP请求报文格式举例数据报要发往子网外，ARP解析默认路由器的MAC地址29数据:长度0～1500字节以太网的MTU为1500字节PAD填充字段：0～46字节；为了确保64字节的最小帧长，当数据的字节数不够时进行填充。CRC:4个字节采用32位的CRC校验。在接收端校验,如果出错，则将该帧丢弃解释46和1500EthernetII帧格式30以太网的最小帧长度问题若帧过短，会导致在冲突信号返回前数据已传送完毕，发送方会认为数据已被成功的传送。为了保证正确传输，发送方需要缓存已发送的帧，并在冲突窗口内侦听冲突信号31以太网的最小帧长度问题为避免上述情况，要求以太网帧至少需要冲突窗口时间才能传完，保证冲突信号返回时，传送仍在继续已知条件：帧的传输时长t=数据帧长度/数据传输速率；信号传播时延τ=两站点的距离/信号传播速度；

措施：

保证在帧的传输过程中检测到冲突，即：

t>=2*τ32结论1：在一个最大长度为2500米，具有4个中继器的10Mbps局域网，往返一周大约是50微秒，大约是传递500比特所需要的时间，为保证安全，将最小帧定为512比特，即64字节作为该类型以太网的最小帧长度（不含前导字符和起始字符）以太网的最小帧长度问题33以太网的最小帧长度问题结论2：在以太网中，由于冲突窗口的限制，最小帧长Fmin

、传输速率R、网络跨距S三者之间必须满足一定的关系：

Fmin＝kSRk:系数可以看出：最小帧长度不变时，传输速率越高，网络跨距就越小传输速率固定时，网络跨距越大，最小帧长度应越大网络跨距固定时，传输率越高，最小帧长度应越大

34练习在一个采用CSMA/CD协议的网络中，传输介质是一根完整的电缆，传输速率为1Gbps，电缆中的信号传播速度是200000km/s，若最小数据帧长度减少800比特，则最远的两个站点之间的距离至少需要（）A、增加160mB、增加80mC、减少160mD、减少80m

35四.以太网的发展与物理层标准以太网的发展物理层标准的命名传统局域网快速局域网千兆以太网36以太网的发展传统以太网快速以太网千兆以太网……

随着以太网的传输速度不断提高,以太网的MAC子层变化很小,仍保留着传统的帧格式、介质访问控制方法；改变最大的是物理层的实现,包括改变编码方式和采用不同的传输介质.

读书中4.4节高速局域网37物理层标准的命名XBASE(–)YX:数据传输速率（Mb/s）BASE:基带传输,即在传输介质中传送数字脉冲信号Y:若是数字表示网段支持的最大长度(百米)若是英文字母表示传输介质的类型10Base5100Base-T38IEEE802.3协议结构39