千锋网络安全学习笔记部分2
-IP包头分析与静态路由
IP数据包格式
基础知识
1.整张图表示上三层结构
2.最下面的“数据”指四层加五层的数据
3.从版本到可选项即为三层包头
4.括号中的值单位是比特,每行32比特(4字节)
5.图中所示的20字节是IP包头的最小长度
6.可选项最多可达到10行(40字节),轻易不会被使用
7.IP包头的长度是可变的,20~60字节,一般为20字节
数据包各部分介绍
1.版本:表明IP地址的版本(IPV4,IPV6)
0100(ipv4包头),0110(ipv6包头)
2.首部长度:表明本IP包头的长度(20~60),有没有使用可选项
四位数中的每一位都表示32比特(即4字节)
最常见的0101(十进制的5,5*32比特=20字节)
3.优先级与服务类型
前三个比特代表优先级,中间四个比特代表服务类型,最后一个未被启用
服务类型:低延迟、高通道服务类型
QOS,TOS
4.总长度:表明整个IP包(三四五层)的总长度
分开后,每一个都叫IP分片,三个IP包头中有一个量是不同的(段偏移量)
与IP分片有关的
与IP分片有关的三个层:标识符,标志,段偏移量。在总长度大于1500时开始分片
5.标识符:标识同一个报文 的所有分片
发送端随机生成
接收方据此将收到的IP分片先进行分类
6.标志:
第一个比特永远为0(未被启用)
第二个比特:若为0,则表明进行了分片;若为1,则表明未进行分片
第三个比特:表明本分片是否为最后一个分片
为1,本分片不是最后一个分片;为0,是最后一个分片
7.段偏移量:决定IP分片的先后顺序
如图,第一个IP分片的段偏移量为0,第二个为1480,第三个为2960,依次往后加1480
防火墙拦截IP分片
即防火墙只让标志位的010通过,则此时,不再在网络层分片,将分片任务交给应用层,应用层将其分成1460的分片
8.TTL(time to life):防止一个数据包在网络上永久的循环下去
TTL由8个比特组成(0~255),这个数字表示路由器个数,每经过一个路由器TTL值减一
通过TTL初始值可以大概判断对方是什么主机(Windows,Linux )
一般100以上为Windows主机,100以下为Linux主机
9.协议号
6:通向TCP协议
17:通向UDP协议
1: 通向同层的ICMP协议
10.首部校验和:校验三层的IP包头
路由原理
路由概述
1.跨越从源主机到目标主机的一个互联网来转发数据包的过程,即路由器为IP包(根据路由表)选择路径的过程
2.路由器连接不同的网段
3.路由器的转发的唯一依据叫路由表
4.路由表一般不会自动学习,需要人为配上去
5.完善路由表时,一种是自动写的(用C表示),一种是人为配的(用S表示)
直连路由条目,连接在同一路由器上的设备,只写IP和端口就好
静态条目,即没有连接在同一路由器上的设备
首先写目标IP,再写本网段的下一跳IP地址
6.当路由器工作时,首先看传过来的IP是否属于与自己连在同一路由器的设备,若属于,则向下一跳传输;若不是,则将该数据包丢弃,并向源IP发送回馈
7.优化路由表
(1)将”下一跳IP“相同的路由条目简化为0.0.0.0/0(0.0.0.0代表所有IP),/后面为子网掩码,/0的意思为子网掩码是0.0.0.0
(2)0.0.0.0/0属于静态路由,叫默认路由,代表所有网段。为了辨识默认路由,需加特殊符号* S* 0.0.0.0/0
(3)边缘路由器适合配默认路由
(4)配了默认路由表的路由器不会丢弃数据
(5)路由优先级:与管理距离值有关,也叫A值
每一种路由类型都有自己默认固定的管理距离值
C的直连路由类型的默认管理距离值为0,S的默认管理距离值为1,S*的默认管理距离值为无穷大
在一个路由表中,路由条目的优先级与管理距离值成反比,值越小路由条目的优先级越高
(6)浮动路由
8.路由器与交换机的区别
9.
静态路由:conf t
ip route 目标网段 子网掩码 下一跳IP
如ip route 70.1.1.0 255.255.255.0 20.1.1.2
默认路由:
conf t
ip route 0.0.0.0 0.0.0.0 下一跳IP
如ip route 0.0.0.0 0.0.0.0 20.1.1.2
浮动路由:在静态路由或默认路由后加空格+数字(正整数)
ARP协议
广播与广播域概述
1.广播域越小越好
2.交换机不能控制广播域,路由器能控制广播域
ARP协议概述
1.Address Resolution Protocol,地址解析协议
2.作用:将一个已知的IP地址解析成MAC地址
3.没有ARP无法通信
4.ARP是内网协议
5.工作原理
(1)发送ARP广播请求:生成ARP请求报文(写本机的IP地址和MAC地址,询问目标IP的MAC地址),送到网卡,网卡给ARP请求报文加一个帧头(源MAC写自己,目标MAC写FF-FF-FF-FF-FF-FF),交换机向所有端口进行广播,每台电脑收到帧后,去掉帧头帧尾送到网络层,ARP协议判断目标IP是否为自己,若不是,则不再进行;
(2)接收ARP单播应答:若目标IP是自己,则将自己的MAC地址填上去。再单播给原来的电脑
6.Windows系统中的ARP命令
—arp -a 查看ARP缓存表(arp缓存表只有开机时生效)
—arp -d 清除ARP缓存(本次开机学习的)
—arp -s ARP绑定
ARP攻击和欺骗
ARP协议没有验证机制
ARP攻击
1.ARP协议缓存表中,后到后得
2.当判断目标IP与自己为同一网段时,直接发送ARP请求报文去请求对方的MAC地址
;当判断目标IP与自己不在同一网段时,发送ARP报文请求网关的MAC地址
3.ARP攻击的目的:中断通信/断网
4.原理:通过发送虚假的广播或应答报文
ARP欺骗
目的:截获数据
原理:发送应答报文,将自己的MAC地址作为目标MAC,结果可以监听、窃取、篡改、控制流量,但不中断通信
ARP防御
1.电脑默认没有ARP防御能力
2.方法: (1)静态ARP绑定
手工绑定/双向绑定
Windows客户机上:
arp -s 10.1.1.254 00-01-2c-a0-e1-09
arp -a 查看ARP缓存表
(2)ARP防火墙
自动绑定静态ARP
主动防御
(3)硬件级防御
交换机支持“端口”做动态ARP绑定(配合DHCP服务器)或做静态ARP绑定
如,交换机上开启DHCP监听功能
conf t
ip dhcp snooping
路由原理
1.凡是可以配IP的接口才有MAC
2.只有交换机有MAC地址表
3.ARP缓存表只会根据ARP的应答或请求来更新
4.路由器工作原理
(1)一个帧到达路由器,路由器先检查目标MAC地址是否为自己,如果不是,则丢弃;如果是,则解封装并将IP包送到路由器内部
(2)路由器检查IP包头中的目标IP,并匹配路由表,如果匹配失败,则丢弃,并向源IP回馈错误信息;如果匹配成功,则将IP包路由到出接口。
(3)封装帧,首先将出接口的MAC地址作为源MAC地址封装好,然后检查ARP缓存表,检查是否有下一跳的MAC地址,如有,则将提取并作为目标MAC地址封装到帧中;如没有,则发送ARP广播请求下一跳的MAC,并获取到对方MAC地址,再记录缓存,并封装帧,最后将帧发送出去。
千锋网络安全学习笔记部分2相关推荐
- 千锋网络安全学习笔记部分3
渗透测试 1. 定义:是实施安全评估(即审计)的具体手段. 2.方法论 是制定.实施信心安全审计方案时,需要遵循的规则.惯例和过程. 目前没有官方组织规定渗透测试的流程 3.渗透测试种类 *网络基础设 ...
- 千锋Django学习笔记
千锋Django学习笔记 文章目录 千锋Django学习笔记 写在前面 1. MVC和MTV 2. Django简介 3. MTV简单流程 4. 和Model的简单对接 5. Model 6. Tem ...
- 千锋Flask学习笔记
千锋Flask学习笔记 文章目录 千锋Flask学习笔记 写在前面 1. Flask介绍 2. Views 3. Request 4. Response 5. 会话技术 6. 模型和模板 7. 数据传 ...
- 千锋JavaScript学习笔记
千锋JavaScript学习笔记 文章目录 千锋JavaScript学习笔记 写在前面 1. JS基础 1.1 变量 1.2 数据类型 1.3 数据类型转换 1.4 运算符 1.5 条件 1.6 循环 ...
- 千锋Unity学习笔记
学习笔记:[千锋合集]史上最全Unity3D全套入门教程|匠心之作 文章目录 初级 1.0数学 1.0点乘叉乘 1.点乘: 2.叉乘: 2.0Mathf 3.0Vector 4.0旋转 2.0组件 3 ...
- 网络安全学习(千锋网络安全笔记)1--搭建虚拟机
网络安全学习(千锋网络安全视频笔记)1–搭建虚拟机 虚拟机(winxp,win7,win2003,win2008)的安装 虚拟机使用VM 配置虚拟机的一般步骤: 一.虚拟机的硬件配置及系统安装 二.优 ...
- 网络安全学习(千锋网络安全笔记)2--IP与基本DOS命令
网络安全学习(千锋网络安全笔记)2–IP与基本DOS命令 文章目录 1.IP地址详解 **局域网(内网)** **IP地址** **子网掩码** **IP地址** **网关** **DNS** **测 ...
- [网络安全学习篇10]:扫描技术、暴力破解工具(千峰网络安全视频笔记 10 day)
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...
- [网络安全学习篇2]:IP详解及简单的DOS命令(千峰网络安全视频笔记 2 day)
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足:对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以 ...
最新文章
- MySQL优化篇:IN VS EXISTS
- 全球及中国防褥疮充气垫行业投资前景展望与“十四五”发展规划建议报告2021年版
- html写登录框中的字,一个登录界面的PS设计和HTML/CSS实现
- 去掉烦人的“正在配置Windows”
- 2 文件处理、权限管理、搜索
- PHP多线程的实现(PHP多线程类)
- 苹果WWDC前瞻之iOS 13更新最受关注;微软发布基于区块链的去中心化身份识别系统;小米成立了新集团质量办公室……...
- iphone字体大小设置_Win10电脑桌面上使用的记事本便签软件字体大小怎么调整?...
- 软件设计 -- 流程图的重要性
- 汽油与消费需求问题的MonteCarlo求解方法
- 显示visual studio试用版序列号输入框小程序_Visual Studio 2008试用版的评估期已经结束 的解决方法...
- Blob(二进制)、byte[]、long、date之间的类型转换
- matlab中摄像机标定,基于Matlab的摄像机标定系统的设计与实现
- springboot框架直接访问静态页面
- 二、Excel大纲—基础篇
- 192.168.1.0/24
- JVM分代回收机制和垃圾回收算法
- Python数据分析(1)----餐饮订单数据分析
- 通达信反映资金变化资金趋势的指标公式源码
- 如何从iCloud中下载元气骑士存档