网络安全理论课03网络层

PPT下载

网际协议 IP网际协议 IP 是 TCP/IP 体系中两个最主要的协议之一

1、地址解析协议 ARP (Address Resolution Protocol)
2、网际控制报文协议 ICMP (Internet Control Message Protocol)
3、网际组管理协议 IGMP (Internet Group Management Protocol)

IP地址

• 1、表示方式：点分十进制、点分二进制
• 2、地址范围
  • a) A类：1.0.0.1—126.155.255.254
    • i. 10.X.X.X 是私有地址
    • ii. 127.X.X.X 是保留地址，用做循环测试用
  • b) B类：128.0.0.1—191.255.255.254
  • c) C类：192.0.0.0—223.255.255.255
  • d) D类：
  • e) 特殊地址
    • i. 0.0.0.0 网络地址
    • ii. 255.255.255.255 广播地址
    • iii. 127.0.0.1 本机地址
    • iv. 224.0.0.1 组播地址

子网掩码

1、32位二进制值，每节8位
2、用于将网络进一步划分为若干子网，以避免主机过多而拥堵或过少而IP浪费
3、与IP地址“与”计算，分离出IP地址中的网络地址和主机地址，用于判断该IP地址是在局域网上，还是在广域网上

问：网络层要解决的问题？
答：解决不同网络之间的数据通信问题（点到点的通信）

网络层三大功能模块

• 1、 IP编址和寻址

  • a) 有类划分
  • b) 子网划分
  • c) CIDR
  • d) IPv6：物联网的诞生，万物互联

• 2、 IP路由

  • a) 路由器
  • b) 路由表 路由器收到一个数据包，根据数据包的目的网络，查询路由表，如果有条目，找到指定的接口转发，并指明下一跳；如果没有条目，丢弃该数据包
  • c) 路由表的丰富方式
    • i. 直连路由 接口
    • ii. 静态路由 人手工配置的（费劲）对路由器的性能压力最小
    • iii. 动态路由 路由器自己学习的，维护难

• 3、 IP分片

  • a) 为什么会产生分片？
    MTU值 最大传输单元 一条数据链路中，所能够承载的最大的数据量
    当数据在链路中传输的时候，它的大小，超过了MTU的值，就会发生分片
  • b) IP数据包头

    • i. 版本字段（version）：表示的是当前IP协议所使用的版本，IPv4和IPv6

    • ii. 头部长度（header length）：IP数据包头部的长度

    • iii. 总长度：IP数据包头部的长度＋数据部分长度 定位的
      
      例题：PC1-PC2-PC3
      PC1-PC2 MTU2000 PC2-PC3 MTU800
      ICMP大小5000bit
      问题： 分几片
      每片大小
      每片DF、MF
      片偏移
      解答： PC1-PC2
      ① 20+1980=2000 DF=0 MF=1 F=0
      ② 20+1980=2000 DF=0 MF=1 F=1980
      ③ 20+8+1040 DF=0 MF=0 F=3960
      PC2-PC3
      ①
      a) 20+780=2000 DF=0 MF=1 F=0
      b) 20+780=2000 DF=0 MF=1 F=780
      c) 20+420 DF=0 MF=0 F=1560
      ②
      a) 20+780=2000 DF=0 MF=1 F=0
      b) 20+780=2000 DF=0 MF=1 F=780
      c) 20+420 DF=0 MF=0 F=1560
      ③
      a) 20+780=2000 DF=0 MF=1 F=0
      b) 20+8+260 DF=0 MF=0 F=780

    • iv. 服务位：用来区分不同优先级的数据流量，配合QOS等协议

    • v. 标识位：用来标识分片数据的所属关系

    • vi. 标志位：IP包头里的flag字段，用来控制分片的过程（DF，MF）（Don’t Fragment ，More Fragment）
      MF=1即表示后面“还有分片”的数据报
      MF=0表示这已是若干数据报片中的最后一个
      DF意思是“不能分片”，只有当DF=0时才允许分片

    • vii. 片偏移：控制分片数据的重组的先后顺序

    • viii. 协议位（protocol）：用来标识网络层的上层协议

    • ix. 首部校验和（header checksum）：只对IP包头的内容进行校验，网络层实际上提供的是不可靠的服务

    • x. TTL（Time to live）：生存时间（实际含义：不是数据包能够存活多少时间，而是数据包在网络中额能够被转发的次数）

      • 1、递变规律：每经过一个路由设备的转发，它的值-1；当一个数据包TTL值为0时，路由设备会丢弃这个（作用：路由防环）
      • 2、赋值：不同的操作系统，对于TTL值的定义是不同的，windows10/128 XP/128 7/64 linux/64 unix/255
      • 3、探测目标主机的转发路径，tracert命令

• 4、 ICMP协议

  • 主要的消息类型request/reply 请求/回应 目标地址不可达/请求超时/重定向

• 5、 ARP协议

  • a) 地址解析协议，完成MAC地址和IP地址之间的对应关系的解析
  • b) ARP中IP和MAC的对应关系存放在ARP缓存表中，通过ARP –A查看
  • c) 当数据包完成三层封装，要继续封装二层的时候，需要查找ARP缓存表，来获取，源IP和目标IP对应的MAC地址
  • d) ARP缓存表是有时间限制的，老化机制（条目在表中能够存在的时间）
  • e) 主机收到ARP回应之后，会立即将源MAC地址进行学习，并且更新ARP缓存表
  • f) 免费ARP的作用，在网络中查找是否有重复的IP

• 6、 网络层面临的主要攻击

  • a) IP地址的扫描攻击：ping /24 254 ping一次，只要有人回复，说明目标主机存活
  • b) smurf攻击：通过ping广播地址，造成所有主机不得不回复的现象，消耗局域网的宽带
  • c) ICMP重定向和不可达攻击
  • d) IP欺骗攻击
  • e) ARP欺骗攻击：主要是利用了ARP协议中对ARP回应包，不做认证的漏洞发起的，可以用作局域网的断网攻击，也可以用作局域网的信息窃取攻击