知识点梳理

概述

1--ICMP
2--IGMP
6--TCP
17--UDP

对于IP而言，ICMP与IGMP属于附属协议，所以经常被划分为同一层；
但是在数据帧分用（Demultiplexing）时，它们被划分为IP上层，原因在于ICMP和IGMP报文被封装在IP数据报中间。

端口号
TCP和UDP均采用16bit端口号来识别应用程序。1～1023端口号由IANA管理，1~255为常用知名端口号，256～1023往往是Unix系统服务端口号。1024～5000之间端口号，往往为临时端口号；大于5000为预留端口号，为不常用的服务准备。
常见端口号：

echo--7
discard--9
daytime--13
chargen--19
time--37   
FTP--21
Telnet--23
domain--53
TFTP--69

上述端口均是由NCP（网络控制协议，TCP协议前身）派生而来，由于单工机制，每个应用服务需要两个连接，故预留了成对端口号。后来TCP、UDP成为ie标准运输层协议，每个应用服务只需要一个端口号，故选择其中的奇数。

internet:利用共同的协议族将多个网络连接起来。
Internet:世界范围内通过TCP/IP相互通信的主机集合。
Internet可以理解为internet的一个实例。

数据帧MTU:最大传输单元

IP数据报TTL（8位）：生存时间，设置了数据报i可以经过的最多路由数。通常为32或者64，当该值为0时就被丢弃，并发送ICMP数据报通知源主机。

常见命令：

ifconfig -a 查询主机网络信息
netstat 查询接口信息

32位IP地址------>48位硬件MAC地址

tcpdump命令：dump the traffic on a network。
根据使用者的定义对网络上的数据包进行截获的包分析工具。

ARP代理：
如果发现同一个子网内获得的主机MAC是相同的，往往是存在中间路由器作ARP代理。

当网络上没有RARP服务器时，RARP分组的目的地址综都是以太网广播地址。两次重发间隔，采用倍数递增关系的超时重发机制。当发送间隔超过阈值时，重置为初始间隔。
观察时可以利用：
tcpdump -e 查看硬件层的地址信息

运行RARP服务时，遇到了点问题:<

$ rarp -a
内核不支持 RARP。

ICMP报文结构
所有ICMP报文前四个字节都是一样的，剩下的其他字节互不相同。
ICMP报文类型
ICMP报文是在主机之间进行交换的，而不用目的端口号。

验证主机是否可达，判断主机有多远。
ping -R 主机相当于 traceroute ,但受限于IP数据报首部长度限制，最多存放9个IP地址。
IP首部中记录路由选项的一般格式

以太网中地址最高字节的最低位设置为1，表示该地址为多播；
广播地址FF：FF：FF：FF：FF：FF可以看多播地址的一个特例。