网络层有四个协议:ARP、IP、ICMP、IGMP
负责在不同网络之间尽力转发数据包,不负责丢失重传,也不负责顺序。基于数据包的IP地址转发
通过APR协议广播来得到各设备的MAC地址。根据自己的子网掩码与目标IP进行与运算,如果一致,则局域网内转发,如果不一致,则目标MAC地址改为网关MAC地址。
- 集线器: 作用是信号加强,因为双绞线最多100M
- 交换机: 链路层设备,用于存储转发(根据目标MAC地址决定从那个口出)
- 左路由器: 网络层设备,解析出目标IP,查询路由表,进行转发,由于使用点对点通信,所以源MAC=目标MAC地址。
- 右路由器: 网络层设备,通过目标IP查询路由表,得出目标MAC地址。然后进行转发
- 问:交换机与路由器能中病毒吗?答: 不能。因为数据被切割成很多块儿,病毒是一个应用,被切割后不起作用。不过病毒能通过不停的发广播来影响设备忙于转发无用请求,使正常请求不能访问。
网络层协议
ARP协议
- ARP协议: IP地址通过广播,目标MAC地址是FF-FF-FF-FF-FF-FF,解析目标IP地址的MAC地址。(只解析/广播本网段的设备,路由器隔绝。 cmd -> arp -a)
- ARP欺骗: 即将IP对应的正确MAC地址修改掉。ARP欺骗工具: 网络执行官可通过手动修改MAC地址来破解(一重启就没了,可写脚本,然后开机运行来解决):arp -s [ip] [mac]、或安装ARP防火墙
网际控制报文协议 ICMP
- ICMP: 在IP协议之上,又在传输层协议(TCP/UDP)之下。用来测试网络层是否畅通,网络是否有故障。如有故障,该协议可报告故障。可通过PING命令表达
- TTL: 表示存活周期,每过一个路由器就-1;可根据TTL大概判断对方是什么系统,Linux(64) Windows(128) Unix(255)
- ping命令ping
-l : 使用大字节来ping地址ping -i :更改数据包的TTL时间,能够跟踪数据包途径的路由器 - pathping: 跟踪数据包路径、计算丢包情况
- tracert: 能够查看沿途的路由器(目前看比pathping 好用)
IGMP协议和多播组播
IGMP协议的作用就是周期性扫描本网段内有没有主机在访问多播数据包。
点到点通信:广播:目标MAC地址全是F,目标IP地址全是255,也就是全是1.全网广播不能跨越路由器。组播=多播:分组广播。使用多播一般用于直播,网络会议,能够节省带宽。
IP数据包格式
- 版本: 用来表示 TCP/IP 协议的版本 v4 v6
- 数据包大小(超了就要分片):网络层最大 2的十六次减1=65535字节链路层最大1500字节针对数据包的分包模式,有一种专门的攻击方式叫泪滴攻击;
- 常见协议ICMP 协议号为1(十进制)IGMP 协议号为2TCP 协议号为6UDP 协议号为 17IPV6 协议号为41OSPF协议号为 89
首部检验和
使用抓包工具排查网络故障
IP协议
网络畅通的条件(数据包有去有回,查看路由表、网关)
- 静态路由:由管理员来设置网络怎么走。告诉路由器所有没有直连的网络吓一跳给谁
- 动态路由: 通过IP协议,自己学习网络怎么走RIP: 周期性广播路由表给其他路由器,条数少的则是最优路径。30S更新更新一次,最大跳数15跳,过了16就是不可达;OSPF:以带宽为判断标准;
参考文献https://www.bilibili.com/video/av9876107?p=54
分享到:
閱讀更多 MrWu平凡 的文章
