网络安全技术项目化教程项目3网络协议与分析课件.pptx

项目项目3 3 网络协议与分析网络协议与分析项目项目1 1 双机互连对等网络的组建双机互连对等网络的组建 3.1 3.1 项目提出项目提出 u张张先先生生在在企企业业的的网网络络中中心心工工作作，负负责责整整个个企企业业网网络络的的管管理理和和维维护护，作作为为网网络络管管理理员员需需要要时时刻刻了了解解企企业业网网络络流流量量情情况况，并并对对网网络络流流量量进进行行监监控控，以以便便及及时时发发现现并解决可能出现的网络问题。并解决可能出现的网络问题。u最最近近有有多多位位企企业业员员工工反反映映，近近期期访访问问外外网网的的速速度度时时快快时时慢慢，甚甚至至不不能能访访问问外外网网，请求网络中心给予解决。请求网络中心给予解决。3.2 3.2 项目分析项目分析 u从从各各位位员员工工反反映映的的上上网网情情况况来来看看，网网速速变变慢慢是是最最近近发发生生的的事事情情，近近期期企企业业内内部部没没有有进进行行网网络络设设备备的的调调整整，网网络络环环境境没没有有发发生生变变化化，网网络络应应用用也也没没有有大大的的变变化化，这这应应该该是是网网络络中中有有异常流量造成的。异常流量造成的。u张先生经过调查发现，网络中存在以下网络故障现象。张先生经过调查发现，网络中存在以下网络故障现象。某部门的所有计算机配置相同，且处于同一个网段，某部门的所有计算机配置相同，且处于同一个网段，唯独某一台计算机无法上网，而且网络、网络接口等唯独某一台计算机无法上网，而且网络、网络接口等都正常，该计算机重新启动后网络恢复正常，过一段都正常，该计算机重新启动后网络恢复正常，过一段时间后，网络又瘫痪了。时间后，网络又瘫痪了。网络中的计算机逐台掉线，最后导致全部计算机无网络中的计算机逐台掉线，最后导致全部计算机无法上网。法上网。某计算机上网时突然掉线，一会又恢复了，但恢复某计算机上网时突然掉线，一会又恢复了，但恢复后上网一直很慢，而且在与局域网内的其他计算机共后上网一直很慢，而且在与局域网内的其他计算机共享文件时速度也变慢。享文件时速度也变慢。网络中用户上不了网或者网速很慢。网络中用户上不了网或者网速很慢。u张先生用网络监听工具张先生用网络监听工具Sniffer ProSniffer Pro来嗅探网来嗅探网络中的数据包，发现网络中存在大量的络中的数据包，发现网络中存在大量的ARPARP数数据包，而且计算机据包，而且计算机ARPARP缓存表中的网关缓存表中的网关MACMAC地地址已被修改，导致网络变慢甚至无法上网，址已被修改，导致网络变慢甚至无法上网，这就是典型的这就是典型的ARPARP欺骗攻击。欺骗攻击。u在计算机中利用在计算机中利用“ARP ARP s s 网关网关IP IP 网关网关MACMAC”命令静态设置正确的网关命令静态设置正确的网关MACMAC地址，在网关地址，在网关(一般是路由器一般是路由器)中对局域网内的主机中对局域网内的主机IPIP地址地址与其相应与其相应MACMAC地址也进行静态绑定，上网恢复地址也进行静态绑定，上网恢复正常。正常。3.3 3.3 相关知识点相关知识点 3.3.1 3.3.1 计算机网络体系结构计算机网络体系结构 1.OSI1.OSI参考模型参考模型u在计算机网络诞生之初，每个计算机厂商都有一套自己的在计算机网络诞生之初，每个计算机厂商都有一套自己的网络体系结构，之间互不相容。为此，国际标准化组织网络体系结构，之间互不相容。为此，国际标准化组织(ISO)(ISO)在在19791979年建立了一个分委员会来专门研究一种用于开年建立了一个分委员会来专门研究一种用于开放系统互联的体系结构，即放系统互联的体系结构，即OSIOSI。“开放开放”这个词表示：只这个词表示：只要遵循要遵循OSIOSI标准，一个系统可以和位于世界上任何地方的、标准，一个系统可以和位于世界上任何地方的、也遵循也遵循OSIOSI标准的其他任何系统进行连接。这个分委员会提标准的其他任何系统进行连接。这个分委员会提出了开放系统互联参考模型，即出了开放系统互联参考模型，即OSIOSI参考模型参考模型(OSI/RM)(OSI/RM)，它，它定义了异类系统互联的标准框架。定义了异类系统互联的标准框架。uOSI/RMOSI/RM模型分为模型分为7 7层，从下往上分别是物理层、数据链路层、层，从下往上分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层，如图网络层、传输层、会话层、表示层和应用层，如图3-13-1所示。所示。u计算机网络体系结构是计算机网络层次模型和各层协计算机网络体系结构是计算机网络层次模型和各层协议的集合。计算机网络体系结构是抽象的，而实现是议的集合。计算机网络体系结构是抽象的，而实现是具体的，是能够运行的一些硬件和软件，多采用层次具体的，是能够运行的一些硬件和软件，多采用层次结构。划分层次的原则是：结构。划分层次的原则是：网中各结点都有相同的层次。网中各结点都有相同的层次。不同结点的同等层具有相同的功能。不同结点的同等层具有相同的功能。同一结点内相邻层之间通过接口通信。同一结点内相邻层之间通过接口通信。每一层使用下层提供的服务，并向其上层提供服务。每一层使用下层提供的服务，并向其上层提供服务。不同结点的同等层按照协议实现对等层之间的通信。不同结点的同等层按照协议实现对等层之间的通信。物理层。这是整个物理层。这是整个OSIOSI参考模型的最低层，它的任务就是提供网参考模型的最低层，它的任务就是提供网络的络的物理连接物理连接。所以，物理层是建立在物理介质上的。所以，物理层是建立在物理介质上的(而不是逻而不是逻辑上的协议和会话辑上的协议和会话)，它提供的是机械和电气接口，其作用是使，它提供的是机械和电气接口，其作用是使原始的原始的数据比特数据比特(Bit)(Bit)流能在物理媒体上传输流能在物理媒体上传输。数据链路层。数据链路层分为介质访问控制数据链路层。数据链路层分为介质访问控制(MAC)(MAC)子层和逻辑链子层和逻辑链路控制路控制(LLC)(LLC)子层，在物理层提供比特流传输服务的基础上，传子层，在物理层提供比特流传输服务的基础上，传送以送以帧帧为单位的数据。数据链路层的主要作用是为单位的数据。数据链路层的主要作用是通过校验、确通过校验、确认和反馈重发等手段，将不可靠的物理链路改造成对网络层来认和反馈重发等手段，将不可靠的物理链路改造成对网络层来说无差错的数据链路说无差错的数据链路。u数据链路层还要协调收发双方的数据传输速率，即进行数据链路层还要协调收发双方的数据传输速率，即进行流量控制流量控制，以防止接收方因来不及处理发送方来的高速数据而导致缓冲区以防止接收方因来不及处理发送方来的高速数据而导致缓冲区溢出及线路阻塞等问题。溢出及线路阻塞等问题。网络层。网络层负责由一个站到另一个站间的网络层。网络层负责由一个站到另一个站间的路径路径选择选择，它解决的是网络与网络之间，即网际的通信问，它解决的是网络与网络之间，即网际的通信问题，而不是同一网段内部的事。网络层的主要功能是题，而不是同一网段内部的事。网络层的主要功能是提供路由，即选择到达目的主机的最佳路径，并沿该提供路由，即选择到达目的主机的最佳路径，并沿该路径传送数据包路径传送数据包(分组分组)。此外，网络层还具有流量控。此外，网络层还具有流量控制和拥塞控制的能力。制和拥塞控制的能力。传输层。传输层负责提供两站之间数据的传送。当传输层。传输层负责提供两站之间数据的传送。当两个站已确定建立了联系后，传输层即负责监督，以两个站已确定建立了联系后，传输层即负责监督，以确保数据能确保数据能正确无误正确无误的传送，提供的传送，提供可靠的端到端可靠的端到端数据数据传输。传输。会话层。会话层主要负责控制每一站究竟会话层。会话层主要负责控制每一站究竟什么时间什么时间可以传送与接收数据可以传送与接收数据。例如，如果有许多使用者同时。例如，如果有许多使用者同时进行传送与接收消息，此时会话层的任务就要去决定进行传送与接收消息，此时会话层的任务就要去决定是要接收消息或是传送消息，才不会有是要接收消息或是传送消息，才不会有“碰撞碰撞”的情的情况发生。况发生。表示层。表示层负责表示层。表示层负责将数据转换成使用者可以看得将数据转换成使用者可以看得懂的有意义的内容懂的有意义的内容，包括，包括格式转换、数据加密与解密、格式转换、数据加密与解密、数据压缩与恢复数据压缩与恢复等功能。等功能。应用层。应用层负应用层。应用层负责网络中应用程序与网络操作系责网络中应用程序与网络操作系统间的联系统间的联系，包括建立与结束使用者之间的联系，监，包括建立与结束使用者之间的联系，监督并管理相互连接起来的应用系统以及系统所用的各督并管理相互连接起来的应用系统以及系统所用的各种资源。种资源。u数据在网络中传送时，在发送方和接收方有一个封装数据在网络中传送时，在发送方和接收方有一个封装和解封装的过程，如图和解封装的过程，如图3-23-2所示所示 2.TCP/IP2.TCP/IP参考模型参考模型uARPAnetARPAnet最初开发的网络协议使用在通信可靠性最初开发的网络协议使用在通信可靠性较差的通信子网中，且出现了不少问题，这就较差的通信子网中，且出现了不少问题，这就导致了新的网络协议导致了新的网络协议TCP/IPTCP/IP的产生。的产生。u虽然虽然TCP/IPTCP/IP协议不是协议不是OSIOSI标准，但它是目前最流标准，但它是目前最流行的商业化的网络协议，并被公认为当前的工行的商业化的网络协议，并被公认为当前的工业标准或业标准或“事实上的标准事实上的标准”。uTCP/IPTCP/IP协议具有以下特点：协议具有以下特点：开放的协议标准，独立于特定的计算机硬件开放的协议标准，独立于特定的计算机硬件和操作系统。和操作系统。独立于特定的网络硬件，可以运行在局域网、独立于特定的网络硬件，可以运行在局域网、广域网中，更适用于互联网。广域网中，更适用于互联网。统一的地址分配方案，使得整个统一的地址分配方案，使得整个TCP/IP TCP/IP 设设备在网中都具有唯一的地址。备在网中都具有唯一的地址。标准化的高层协议，可提供多种可靠的服务。标准化的高层协议，可提供多种可靠的服务。u传输层实现应用进程间的端到端通信，主要包括两个传输层实现应用进程间的端到端通信，主要包括两个协议：协议：TCPTCP协议协议和和UDPUDP协议协议。uTCPTCP协议是一种协议是一种可靠的面向连接的协议可靠的面向连接的协议，允许将一台，允许将一台主机的字节流无差错地传送到目的主机。主机的字节流无差错地传送到目的主机。UDPUDP协议是协议是不可靠的无连接协议不可靠的无连接协议，不要求分组顺序到达目的地。，不要求分组顺序到达目的地。u应用层的主要协议有：域名系统应用层的主要协议有：域名系统(DNS)(DNS)、超文本传输、超文本传输协议协议(HTTP)(HTTP)、简单邮件传输协议、简单邮件传输协议(SMTP)(SMTP)、邮局协议、邮局协议(POP)(POP)、远程登录协议、远程登录协议(TELNET)(TELNET)、文件传输协议、文件传输协议(FTP)(FTP)、网络文件协议网络文件协议(NFS)(NFS)等。等。3.3.2 3.3.2 以太网的帧格式以太网的帧格式1 1EthernetEthernet地址地址u为了标识以太网上的每台主机，需要给每台主机上的网络适配器为了标识以太网上的每台主机，需要给每台主机上的网络适配器(网卡网卡)分配一个全球唯一的通信地址，即分配一个全球唯一的通信地址，即EthernetEthernet地址，或称地址，或称为网卡的物理地址、为网卡的物理地址、MACMAC地址。地址。uIEEEIEEE负责为网络适配器制造厂商分配负责为网络适配器制造厂商分配EthernetEthernet地址块，各厂商为地址块，各厂商为自己生产的每块网络适配器分配一个全球唯一的自己生产的每块网络适配器分配一个全球唯一的EthernetEthernet地址。地址。EthernetEthernet地址长度为地址长度为4848比特，共比特，共6 6个字节，如个字节，如00-0D-88-47-58-00-0D-88-47-58-2C2C，其中，前，其中，前3 3个字节为个字节为IEEEIEEE分配给厂商的厂商代码分配给厂商的厂商代码(00-0D-88)(00-0D-88)，后，后3 3个字节为厂商自己设置的网络适配器编号个字节为厂商自己设置的网络适配器编号(47-58-2C)(47-58-2C)。uMACMAC广播地址为广播地址为FF-FF-FF-FF-FF-FFFF-FF-FF-FF-FF-FF。如果。如果MACMAC地址地址(二进制二进制)的第的第8 8位是位是1 1，则表示该，则表示该MACMAC地址是组播地址，如地址是组播地址，如01-00-5E-37-55-4D01-00-5E-37-55-4D。2 2以太网的帧格式以太网的帧格式u以太网的帧是数据链路层的封装形式，网络层的数据包被加上帧以太网的帧是数据链路层的封装形式，网络层的数据包被加上帧头和帧尾成为可以被数据链路层识别的数据帧头和帧尾成为可以被数据链路层识别的数据帧(成帧成帧)。虽然帧。虽然帧头和帧尾所用的字节数是固定不变的，但依被封装的数据包大头和帧尾所用的字节数是固定不变的，但依被封装的数据包大小的不同，以太网的帧长度也在变化，其范围是小的不同，以太网的帧长度也在变化，其范围是646415181518字节字节(不算不算8 8字节的前导字字节的前导字)。u以太网的帧格式有多种，在每种格式的帧开始处都有以太网的帧格式有多种，在每种格式的帧开始处都有6464比特比特(8(8字字节节)的前导字符，其中前的前导字符，其中前7 7个字节为前同步码个字节为前同步码(7(7个个10101010)10101010)，第，第8 8个字节为帧起始标志个字节为帧起始标志(10101011)(10101011)。图。图3-33-3所示为所示为Ethernet Ethernet 的的帧格式帧格式(未包括前导字符未包括前导字符)。uEthernet Ethernet 类型以太网帧的最小长度为类型以太网帧的最小长度为6464字节字节(6(66 62 246464)4)，最大长度为，最大长度为15181518字节字节(6(66 62 2150015004)4)。u其中前其中前1212字节分别标识出发送数据帧的源节点字节分别标识出发送数据帧的源节点MACMAC地址和接收数地址和接收数据帧的目标节点据帧的目标节点MACMAC地址。地址。u接下来的接下来的2 2个字节标识出以太网帧所携带的上层数据类型，如十个字节标识出以太网帧所携带的上层数据类型，如十六进制数六进制数0 x08000 x0800代表代表IPIP协议数据，如十六进制数协议数据，如十六进制数0 x08060 x0806代表代表ARPARP协议数据等。协议数据等。u在不定长的数据字段后是在不定长的数据字段后是4 4个字节的帧校验序列个字节的帧校验序列(Frame Check(Frame Check SequenceSequence，FCS)FCS)，采用，采用3232位位CRCCRC循环冗余校验，对从循环冗余校验，对从“目的目的MACMAC地址地址”字段到字段到“数据数据”字段的数据进行校验。字段的数据进行校验。3.3.3 3.3.3 网络层协议格式网络层协议格式u网络层的协议主要有网络层的协议主要有IPIP协议、协议、ARPARP协议和协议和ICMPICMP协议。协议。1.IP1.IP数据报格式数据报格式uIPIP数据报分为两大部分：报文头和数据区，其中报文头仅仅是正数据报分为两大部分：报文头和数据区，其中报文头仅仅是正确传输高层确传输高层(即传输层即传输层)数据而增加的控制信息，数据区包括高数据而增加的控制信息，数据区包括高层需要传输的数据。层需要传输的数据。(1)(1)版本。占版本。占4 4位，指位，指IPIP协议版本号协议版本号(一般是一般是4 4，即，即IPv4)IPv4)，不，不同同IPIP版本规定的数据格式不同。版本规定的数据格式不同。(2)(2)报头长度。占报头长度。占4 4位，指数据报报头的长度。以位，指数据报报头的长度。以3232位位(即即4 4个字节个字节)为单位，当报头中无可选项时，报头的基本长度为单位，当报头中无可选项时，报头的基本长度为为5(5(即即2020个字节个字节)。(3)(3)服务类型。占服务类型。占8 8位，包括一个位，包括一个3 3位长度的优先级，位长度的优先级，4 4个标个标志位志位D(D(延迟延迟)、T(T(吞吐量吞吐量)、R(R(可靠性可靠性)和和C(C(代价代价)，另外一，另外一位未用。位未用。(4)(4)总长度。占总长度。占1616位，数据报的总长度，包括头部和数据，位，数据报的总长度，包括头部和数据，以字节为单位。以字节为单位。(5)(5)标识。占标识。占1616位，源主机赋予位，源主机赋予IPIP数据报的标识符，目的数据报的标识符，目的主机利用此标识判断此分片属于哪个数据报，以便重组。主机利用此标识判断此分片属于哪个数据报，以便重组。u当当IPIP分组在网上传输时，可能要跨越多个网络，但每个分组在网上传输时，可能要跨越多个网络，但每个网络都规定了一个帧最多携带的数据量网络都规定了一个帧最多携带的数据量(此限制称为最此限制称为最大传输单元大传输单元MTU)MTU)，当长度超过，当长度超过MTUMTU时，就需要将数据分时，就需要将数据分成若干个较小的部分成若干个较小的部分(分片分片)，然后独立发送。目的主机，然后独立发送。目的主机收到分片后的数据报后，对分片再重新组装收到分片后的数据报后，对分片再重新组装(重组重组)。(6)(6)标志。占标志。占3 3位，告诉目的主机该数据报是否已经分片，位，告诉目的主机该数据报是否已经分片，是否是最后的分片。是否是最后的分片。(7)(7)片偏移。占片偏移。占1313位，本片数据在初始位，本片数据在初始IPIP数据报中的位置，数据报中的位置，以以8 8字节为单位。字节为单位。(8)(8)生存时间生存时间(TTL)(TTL)。占。占8 8位，设计一个计数器，位，设计一个计数器，当计数器值为当计数器值为0 0时，数据报被删除，避免循环时，数据报被删除，避免循环发送。发送。(9)(9)协议类型。占协议类型。占8 8位，指示数据报携带的数据位，指示数据报携带的数据是使用何种协议，以便使目的主机的是使用何种协议，以便使目的主机的IPIP层知层知道应将数据部分上交给哪个处理过程，如道应将数据部分上交给哪个处理过程，如TCP(06)TCP(06)、UDP(17)UDP(17)、ICMP(01)ICMP(01)等。等。(10)(10)首部校验和。占首部校验和。占1616位，只校验数据报的报位，只校验数据报的报头，不包括数据部分。头，不包括数据部分。(11)IP(11)IP地址。各占地址。各占3232位的源位的源IPIP地址和目的地址和目的IPIP地地址分别表示数据报发送者和接收者的址分别表示数据报发送者和接收者的IPIP地址，地址，在整个数据报传输过程中，此两字段的值一在整个数据报传输过程中，此两字段的值一直保持不变。直保持不变。(12)(12)可选字段可选字段(选项选项)。主要用于控制和测试两。主要用于控制和测试两大目的。既然是选项，用户可以使用大目的。既然是选项，用户可以使用IPIP选项选项也可以不使用选项，但实现也可以不使用选项，但实现IPIP协议的设备必协议的设备必须能处理须能处理IPIP选项。在使用选项的过程中，如选项。在使用选项的过程中，如果造成果造成IPIP数据报的报头不是数据报的报头不是3232位的整数倍，位的整数倍，这时需要使用这时需要使用“填充填充”字段凑齐。字段凑齐。uIPIP选项主要有以下选项主要有以下3 3个选项。个选项。源路由源路由。指。指IPIP数据报穿越互联网所经过的路径是由源主机指定。数据报穿越互联网所经过的路径是由源主机指定。包括包括严格路由严格路由选项和选项和松散路由松散路由选项。严格路由选项规定选项。严格路由选项规定IPIP数据数据报要经过路径上的每一个路由器，相邻的路由器之间不能有中报要经过路径上的每一个路由器，相邻的路由器之间不能有中间路由器，并经过的路由器的顺序不能改变。松散路由选项给间路由器，并经过的路由器的顺序不能改变。松散路由选项给出数据报必须要经过的路由器列表，并且要求按照列表中的顺出数据报必须要经过的路由器列表，并且要求按照列表中的顺序前进，但是，在途中也允许经过其他的路由器。序前进，但是，在途中也允许经过其他的路由器。记录路由记录路由。记录。记录IPIP数据报从源主机到目的主机所经过的路径上数据报从源主机到目的主机所经过的路径上各个路由器的各个路由器的IPIP地址，用于测试网络中路由器的路由配置是否地址，用于测试网络中路由器的路由配置是否正确。正确。时间戳时间戳。记录。记录IPIP数据报经过每一个路由器时的时间数据报经过每一个路由器时的时间(以以msms为单位为单位)。2.ARP2.ARP数据报格式数据报格式u利用利用ARP(Address Resolution ProtocolARP(Address Resolution Protocol，地址解析协议，地址解析协议)就可以由就可以由IPIP地址得知其物理地址地址得知其物理地址(MAC(MAC地址地址)。u以太网协议规定，同一局域网中的一台主机要和另一台主机进行直以太网协议规定，同一局域网中的一台主机要和另一台主机进行直接通信，必须要知道目的主机的接通信，必须要知道目的主机的MACMAC地址。而在地址。而在TCP/IPTCP/IP协议中，网协议中，网络层和传输层只关心目的主机的络层和传输层只关心目的主机的IPIP地址，这就导致在以太网中使用地址，这就导致在以太网中使用IPIP协议时，数据链路层的以太网协议接到的上层协议时，数据链路层的以太网协议接到的上层IPIP协议提供的数据协议提供的数据中，只包含目的主机的中，只包含目的主机的IPIP地址。地址。u于是需要一种方法，根据目的主机的于是需要一种方法，根据目的主机的IPIP地址获得其地址获得其MACMAC地址，这就地址，这就是是ARPARP协议要做的事情。所谓地址解析协议要做的事情。所谓地址解析(Address Resolution)(Address Resolution)，就，就是主机在发送数据帧前将目的是主机在发送数据帧前将目的IPIP地址转换成目的主机的地址转换成目的主机的MACMAC地址的地址的过程。过程。u另外，当发送主机和目的主机不在同一个局域网中时，另外，当发送主机和目的主机不在同一个局域网中时，即便知道目的主机的即便知道目的主机的MACMAC地址，两者也不能直接通信，地址，两者也不能直接通信，必须经过路由转发才可以。必须经过路由转发才可以。u所以此时，发送主机通过所以此时，发送主机通过ARPARP协议获得的将不是目的协议获得的将不是目的主机的真实主机的真实MACMAC地址，而是一台可以通往局域网外的地址，而是一台可以通往局域网外的路由器的某个端口的路由器的某个端口的MACMAC地址。地址。u于是，此后发送主机发往目的主机的所有帧都将发往于是，此后发送主机发往目的主机的所有帧都将发往该路由器，通过它向外发送，这种情况称为该路由器，通过它向外发送，这种情况称为ARPARP代理代理(ARP Proxy)(ARP Proxy)。(1)ARP(1)ARP的工作原理的工作原理u在每台安装有在每台安装有TCP/IPTCP/IP协议的计算机中都有一个协议的计算机中都有一个ARPARP缓存表，表中的缓存表，表中的IPIP地址与地址与MACMAC地址是一一对应的。地址是一一对应的。u下面以主机下面以主机A(192.168.1.5)A(192.168.1.5)向主机向主机B(192.168.1.1)B(192.168.1.1)发送数据为例说发送数据为例说明明ARPARP的工作原理。的工作原理。当发送数据时，主机当发送数据时，主机A A会在自己的会在自己的ARPARP缓存表中寻找是否有目的主缓存表中寻找是否有目的主机机IPIP地址。地址。如果找到了，也就知道了目标如果找到了，也就知道了目标MACMAC地址，直接把目标地址，直接把目标MACMAC地址写入地址写入帧里面，就可以发送了。帧里面，就可以发送了。如果在如果在ARPARP缓存表中没有找到目的缓存表中没有找到目的IPIP地址，主机地址，主机A A就会在网络上发就会在网络上发送一个广播：送一个广播：“我是我是192.168.1.5192.168.1.5，我的，我的MACMAC地址是地址是00-aa-00-66-00-aa-00-66-d8-13d8-13，请问，请问IPIP地址为地址为192.168.1.1192.168.1.1的的MACMAC地址是什么？地址是什么？”网络上其他主机并不响应网络上其他主机并不响应ARPARP询问，只有主机询问，只有主机B B接收到这个帧时，接收到这个帧时，才向主机才向主机A A做出这样的回应：做出这样的回应：“192.168.1.1192.168.1.1的的MACMAC地址是地址是00-aa-00-aa-00-62-c6-0900-62-c6-09”。这样，主机这样，主机A A就知道了主机就知道了主机B B的的MACMAC地址，它就可以向主机地址，它就可以向主机B B发送发送信息了。信息了。主机主机A A和和B B还同时都更新了自己的还同时都更新了自己的ARPARP缓存表缓存表(因为因为A A在询问的时候在询问的时候把自己的把自己的IPIP和和MACMAC地址一起告诉了地址一起告诉了B)B)，下次，下次A A再向主机再向主机B B或者或者B B向向A A发送信息时，直接从各自的发送信息时，直接从各自的ARPARP缓存表里查找就可以了。缓存表里查找就可以了。ARPARP缓存表采用了老化机制缓存表采用了老化机制(即设置了生存时间即设置了生存时间TTL)TTL)，在一段时，在一段时间内间内(WindowsWindows系统这个时间为系统这个时间为2min2min，而，而CiscoCisco路由器的这个时间路由器的这个时间为为5min5min)如果表中的某一行内容如果表中的某一行内容(IP(IP地址与地址与MACMAC地址的映射关系地址的映射关系)没有被使用过，该行内容就会被删除，这样可以大大减少没有被使用过，该行内容就会被删除，这样可以大大减少ARPARP缓缓存表的长度，加快查询速度。存表的长度，加快查询速度。(2)ARP(2)ARP数据报格式数据报格式 硬件类型：占硬件类型：占2 2字节，定义字节，定义ARPARP实现在何种类型的网络上，以太网的硬件实现在何种类型的网络上，以太网的硬件类型值为类型值为0 x00010 x0001。协议类型：占协议类型：占2 2字节，定义使用字节，定义使用ARPARP的协议类型，的协议类型，0 x08000 x0800表示表示IPv4IPv4。硬件地址长度：占硬件地址长度：占1 1字节，以字节为单位定义物理地址的长度，以太网字节，以字节为单位定义物理地址的长度，以太网为为6 6。协议地址长度：占协议地址长度：占1 1字节，以字节为单位定义协议地址的长度，字节，以字节为单位定义协议地址的长度，IPv4IPv4为为4 4。操作类型：占操作类型：占2 2字节，定义报文类型，字节，定义报文类型，1 1为为ARPARP请求，请求，2 2为为ARPARP应答，应答，3 3为为RARPRARP请求，请求，4 4为为RARPRARP应答。应答。发送方硬件地址：发送方的发送方硬件地址：发送方的MACMAC地址，占地址，占6 6字节。字节。发送方协议地址：发送方的发送方协议地址：发送方的IPIP地址，占地址，占4 4字节，字节，RARPRARP请求中不填此字段。请求中不填此字段。目的硬件地址：接收方的目的硬件地址：接收方的MACMAC地址，占地址，占6 6字节，字节，ARPARP请求中不填此字段请求中不填此字段(待待解析解析)。目的协议地址：接收方的目的协议地址：接收方的IPIP地址，占地址，占4 4字节。字节。ARPARP数据报的总长度为数据报的总长度为2828字节。字节。3.ICMP3.ICMP数据报格式数据报格式u在任何网络体系结构中，控制功能是必不可少的。网络层使用的在任何网络体系结构中，控制功能是必不可少的。网络层使用的控制协议是网际控制报文协议控制协议是网际控制报文协议ICMP(Internet Control Message ICMP(Internet Control Message Protocol)Protocol)。ICMPICMP不仅用于传输控制报文，而且还用于传输差错不仅用于传输控制报文，而且还用于传输差错报文。报文。u实际上，实际上，ICMPICMP报文是作为报文是作为IPIP数据报的数据部分而传输的，如图数据报的数据部分而传输的，如图3-63-6所示。所示。IPv6IPv6数据报格式数据报格式uICMPICMP报文的格式如图报文的格式如图3-73-7所示。所示。u当当pingping一台主机想看它是否运行时，就会产生一一台主机想看它是否运行时，就会产生一条条ICMPICMP信息，目的主机将用它自己的信息，目的主机将用它自己的ICMPICMP信息对信息对pingping请求做出回应。请求做出回应。IPv6IPv6数据报格式数据报格式3.3.4 3.3.4 传输层协议格式传输层协议格式u传输层的协议有传输层的协议有TCPTCP协议和协议和UDPUDP协议。协议。1.TCP1.TCP数据报格式数据报格式 (1)(1)源端口号和目的端口号：各占源端口号和目的端口号：各占1616位，标识发送端和接收位，标识发送端和接收端的应用进程。这两个值加上端的应用进程。这两个值加上IPIP首部中的源首部中的源IPIP地址和目的地址和目的IPIP地址，唯一地确定了一个连接。地址，唯一地确定了一个连接。10241024以下的端口号被称以下的端口号被称为公认端口为公认端口(Well-Known Port)(Well-Known Port)，它们被保留用于一些标，它们被保留用于一些标准的服务。准的服务。(2)(2)序号：占序号：占3232位，所发送的消息的第一字节的序号，用以位，所发送的消息的第一字节的序号，用以标识从标识从TCPTCP发送端和发送端和TCPTCP接收端发送的数据字节流。接收端发送的数据字节流。(3)(3)确认号：占确认号：占3232位，期望收到对方的下一个消息第一字节位，期望收到对方的下一个消息第一字节的序号。为确认的一端所期望接收的下一个序号。只有在的序号。为确认的一端所期望接收的下一个序号。只有在“标识标识”字段中的字段中的ACKACK位设置为位设置为1 1时，此确认号才有效。时，此确认号才有效。(4)(4)首部长度：占首部长度：占4 4位，以位，以3232位为计算单位的位为计算单位的TCPTCP报文段首部报文段首部的长度。的长度。(5)(5)保留：占保留：占6 6位，为将来的应用而保留，目前置为位，为将来的应用而保留，目前置为“0 0”。(6)(6)标识：占标识：占6 6位，有位，有6 6个标识位个标识位(以下是设置为以下是设置为1 1时的意时的意义，为义，为0 0时相反时相反)。紧急位紧急位(URG)(URG)：紧急指针有效。：紧急指针有效。确认位确认位(ACK)(ACK)：确认号有效。：确认号有效。急迫位急迫位(PSH)(PSH)：接收方收到数据后，立即送往应用程：接收方收到数据后，立即送往应用程序。序。复位位复位位(RST)(RST)：复位由于主机崩溃或其他原因而出现：复位由于主机崩溃或其他原因而出现的错误的连接。的错误的连接。同步位同步位(SYN)(SYN)：SYN=1SYN=1，ACK=0ACK=0表示连接请求消息，表示连接请求消息，SYN=1SYN=1，ACK=1ACK=1表示同意建立连接消息。表示同意建立连接消息。终止位终止位(FIN)(FIN)：表示数据已发送完毕，要求释放连接。：表示数据已发送完毕，要求释放连接。(7)(7)窗口大小：占窗口大小：占1616位，滑动窗口协议中的窗口大小。位，滑动窗口协议中的窗口大小。(8)(8)校验和：占校验和：占1616位，对位，对TCPTCP报文段首部和报文段首部和TCPTCP数据部分数据部分的校验。的校验。(9)(9)紧急指针：占紧急指针：占1616位，当前序号到紧急数据位置的偏位，当前序号到紧急数据位置的偏移量。移量。(10)(10)选项：用于提供一种增加额外设置的方法，如连选项：用于提供一种增加额外设置的方法，如连接建立时，双方说明最大的负载能力。接建立时，双方说明最大的负载能力。(11)(11)填充：当填充：当“选项选项”字段长度不足字段长度不足3232位时，需要加位时，需要加以填充。以填充。(12)(12)数据：来自高层数据：来自高层(即应用层即应用层)的协议数据。的协议数据。2.UDP2.UDP数据报格式数据报格式(1)(1)源端口号和目的端口号：标识发送端和接收端的应源端口号和目的端口号：标识发送端和接收端的应用进程。用进程。(2)(2)报文长度：包括报文长度：包括UDPUDP报头和数据在内的报文长度值，报头和数据在内的报文长度值，以字节为单位，最小为以字节为单位，最小为8 8。(3)(3)校验和：计算对象包括伪协议头、校验和：计算对象包括伪协议头、UDPUDP报头和数据。报头和数据。校验和为可选字段，如果该字段设置为校验和为可选字段，如果该字段设置为0 0，则表示发，则表示发送者没有为该送者没有为该UDPUDP数据报提供校验和。数据报提供校验和。u伪协议头主要包括了源伪协议头主要包括了源IPIP地址、目的地址、目的IPIP地址、协议类地址、协议类型等来自型等来自IPIP报头的字段和报头的字段和UDPUDP报文长度，对其进行校报文长度，对其进行校验主要用于检验验主要用于检验UDPUDP数据报是否正确传送到了目的地。数据报是否正确传送到了目的地。3.3.5 3.3.5 三次握手机制三次握手机制3.3.6 ARP3.3.6 ARP欺骗攻击欺骗攻击1.ARP1.ARP欺骗攻击的原理欺骗攻击的原理u假设主机假设主机A A曾经和主机曾经和主机B B进行过通信，主机进行过通信，主机A A就会在就会在ARPARP缓存表中记录下主机缓存表中记录下主机B B的的IPIP地址和其对应的地址和其对应的MACMAC地址。地址。u一般地，一般地，ARPARP缓存表都有更新机制，当有主机通知其缓存表都有更新机制，当有主机通知其他主机其他主机其MACMAC地址更新时，会向其他主机发送地址更新时，会向其他主机发送ARPARP更新更新信息，以便这些主机及时更新其信息，以便这些主机及时更新其ARPARP缓存表。每台主缓存表。每台主机在收到机在收到ARPARP数据包时都会更新自己的数据包时都会更新自己的ARPARP缓存表。缓存表。uARPARP欺骗攻击的原理，就是通过发送欺骗性的欺骗攻击的原理，就是通过发送欺骗性的ARPARP数据数据包，致使接收者收到欺骗性的包，致使接收者收到欺骗性的ARPARP数据包后，更新其数据包后，更新其ARPARP缓存表，从而建立错误的缓存表，从而建立错误的IPIP地址与地址与MACMAC地址的对应地址的对应关系。关系。uARPARP欺骗主要分为两种：一种是伪装成主机的欺骗；另一种是伪欺骗主要分为两种：一种是伪装成主机的欺骗；另一种是伪装成网关的欺骗。装成网关的欺骗。u伪装成主机的伪装成主机的ARPARP欺骗主要是在局域网环境内实现的。假设在同欺骗主要是在局域网环境内实现的。假设在同一个局域网中有一个局域网中有A A、B B、C C三台主机，它们的三台主机，它们的IPIP地址与地址与MACMAC地址分地址分别如下：别如下：A A的为的为192.168.1.1192.168.1.1和和AA-AA