计网笔记(4)——网络层

网络层负责在不同网络间尽力转发数据包，不负责丢失重传，也不负责顺序重排序。

路由器工作在第三层网络层，因此路由器是三层设备。

数据包在网络中的传输 网络设备和OSI参考模型：M1==》M4 TCP/IP协议

---

ARP协议

地址解析协议，即ARP（Address Resolution Protocol），是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播（目标MAC地址是FF-FF-FF-FF-FF-FF）到网络上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间，下次请求时直接查询ARP缓存以节约资源。ARP广播不可跨网段，只在本网段广播。

arp -a：查看缓存的MAC地址。

ARP欺骗

• 单向ARP欺骗：
  掐断 A 与 B 的通讯，实现原理：C 向 A 发送一条 Arp 数据包，内容为：B 的地址是 00:00:00:00:00:00 （一个错误的地址），那么 A 此后向 B 发的数据包都会发到 00，而这个地址是错误的，所以通讯中断了，但是要注意了，这里只是 A –> B 中断了，B –> A 没有中断，所以这个叫单向欺骗。

  掐断 B 与 A 的通讯，实现原理和第一条一样，如果和第一条一起发，那么 A 和 B 的通讯就完全中断了，即：A <– × –> B

  嗅探 A 与 B 的通讯，实现原理：C 向 A 发送一条 Arp 数据包，内容为：B 的地址是 AA:BB:CC:DD:EE:FF （C自己的地址），也就是说，C 对 A 说：我才是 B，于是 A 把向 B 发送的数据都发给 C 了，C 得到数据后就可以为所欲为了，可以直接丢弃，那么通讯中断，也可以再次转发给 B，那么又形成回路，C 当了个中间人，监视 A 和 B 的通讯，此时你就可以用CAIN等任何抓包工具进行本地嗅探了，因为目标机器数据完全从你这你走，任意嗅探。当然你可以不转发所有数据，只转发部分数据， 把某些特定协议的数据分离出来，然后单独处理，例如替换、修改（类似 zxarp 等 Arp 工具的插入、劫持数据功能），或者干点其他啥，都行。

• 双向ARP欺骗：
  A要跟C正常通讯，B向A说我是才C。B向C说我才是A，那么这样的情况下把A跟C的ARP缓存表全部修改了。以后通讯过程就是 A把数据发送给B，B再发送给C，C把数据发送B，B再把数据给A。

---

ICMP协议

PING (Packet Internet Groper)，因特网包探索器，用于测试网络连接量的程序。Ping发送一个ICMP(Internet Control Messages Protocol，因特网信报控制协议）回声请求消息给目的地并报告是否收到所希望的ICMP echo （ICMP回声应答）。它是用来检查网络是否通畅或者网络连接速度的命令。

它所利用的原理是这样的：利用网络上机器IP地址的唯一性，给目标IP地址发送一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通，时延是多少。

ping指的是端对端连通，通常用来作为可用性的检查， 但是某些病毒木马会强行大量远程执行ping命令抢占你的网络资源，导致系统变慢，网速变慢。严禁ping入侵作为大多数防火墙的一个基本功能提供给用户进行选择。通常的情况下你如果不用作服务器或者进行网络测试，可以放心的选中它，保护你的电脑。

ping + ip地址/域名         //发四次ICMP包，如 ping www.baidu.com
ping + ip地址/域名 + -t    // 一直发ICMP包，直到 ctrl+c停止，用来不断检验网络是否通畅，如 ping www.baidu.com -t
ping /?                   // 查看ping的参数说明

TTL是 Time To Live的缩写，该字段指定IP包被路由器丢弃之前允许通过的最大网段数量。TTL是IPv4包头的一个8 bit字段。TTL每过一次路由器减一，减到零后数据包丢失。不同操作系统的默认初始TTL不同，Linux 64，Windows 128，Unix 255

pathping是指提供有关在源和目标之间的中间跃点处网络滞后和网络丢失的信息。

C:\Users\Yukim>pathping www.baidu.com

通过最多 30 个跃点跟踪
到 www.a.shifen.com [220.181.111.188] 的路由:
  0  DESKTOP-0V38VPE [10.170.53.153]
  1  10.170.72.254
  2  172.16.255.242
  3  172.16.255.254
  4  113.140.11.97
  5  10.224.13.9
  6  117.36.240.109
  7     *     202.97.65.113
  8     *        *        *
正在计算统计信息，已耗时 175 秒...
            指向此处的源   此节点/链接
跃点  RTT    已丢失/已发送 = Pct  已丢失/已发送 = Pct  地址
  0                                           DESKTOP-0V38VPE [10.170.53.153]
                                0/ 100 =  0%   |
  1    0ms     0/ 100 =  0%     0/ 100 =  0%  10.170.72.254
                                0/ 100 =  0%   |
  2   19ms     0/ 100 =  0%     0/ 100 =  0%  172.16.255.242
                                0/ 100 =  0%   |
  3    0ms     0/ 100 =  0%     0/ 100 =  0%  172.16.255.254
                                0/ 100 =  0%   |
  4    0ms     0/ 100 =  0%     0/ 100 =  0%  113.140.11.97
                                0/ 100 =  0%   |
  5    1ms     0/ 100 =  0%     0/ 100 =  0%  10.224.13.9
                                0/ 100 =  0%   |
  6    3ms     0/ 100 =  0%     0/ 100 =  0%  117.36.240.109
                              100/ 100 =100%   |
  7  ---     100/ 100 =100%     0/ 100 =  0%  202.97.65.113

跟踪完成。

Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP数据包访问目标所采取的路径。Tracert 命令使用用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。

---

IGMP协议

IGMP（因特网组播管理协议，Internet Group Management Protocol）可跨网段传播，比较节省流量。

单播(unicast): 是指封包在计算机网络的传输中，目的地址为单一目标的一种传输方式。它是现今网络应用最为广泛，通常所使用的网络协议或服务大多采用单播传输，例如一切基于TCP的协议。
组播(multicast): 也叫多播， 多点广播或群播。 指把信息同时传递给一组目的地址。它使用策略是最高效的，因为消息在每条网络链路上只需传递一次，而且只有在链路分叉的时候，消息才会被复制。
广播(broadcast):是指封包在计算机网络中传输时，目的地址为网络中所有设备的一种传输方式。实际上，这里所说的“所有设备”也是限定在一个范围之中，称为“广播域”。

---

IP数据包

一个IP数据包由首部和数据两部分组成：

• 首部的前一部分是固定长度，共20字节，是所有IP数据包必须具有的。
• 在首部的固定部分后是一些可选字段，其长度可变，通常没有。

IP数据包

• 版本：占4位，指IP协议的版本。通信双方使用的IP协议版本必须一致。日前广泛使用的 IP协议版本号为 4 (即 IPv4)。IPv6 目前还处于起步阶段。
• 首部长度：占 4 位，可表示的最大十进制数值是 15。请注意，这个字段所表示数的单位是32位字 ( 1 个32位字长是4 字节)，因此，当 IP 的首部长度为 1111 时 (即十进制的 15)，首部长度就达到 60字节。当 IP 分组的首部长度不是4字节的整数倍时，必须利用最后的填充字段加以填充。因此数据部分永远在 4字节的整数倍开始，这样在实现 IP协议时较为方便。首部长度限制为 60字节的缺点是有时可能不够用。这样做的目的是希望用户尽量减少开销。最常用的首部长度就是 20 字节 (即首部长度为 0101)，这时不使用任何选项。
• 服务：占 8 位，用来获得更好的服务。这个字段在旧标准中叫做服务类型，但实际上一直没有被使用过。1998年IETF把这个字段改名为区分服务 DS (DifferentiatedServices)。只有在使用区分服务时，这个字段才起作用。
• 总长度：总长度指首部及数据之和的长度，单位为字节。因为总长度字段为 16位，所以数据报的最大长度为 2^16-1=65 535字节。在IP层下面的每一种数据链路层都有自己的帧格式，其中包括帧格式中的数据字段的最大长度，即最大传送单元 MTU (Maximum Transfer Unit)。当一个数据报封装成链路层的帧时，此数据报的总长度 (即首部加上数据部分)一定不能超过下面的数据链路层的MTU值。
• 标识：占 16位。IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加 1，并将此值赋给标识字段。但这个“标识”并不是序号，因为 IP是无连接的服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的 MTU 而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为
  原来的数据报。
• 标志(Flag)：占3 位，但目前只有2位有意义。标志字段中的最低位记为 MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为 DF(Don't Fragment)，意思是“不能分片”。只有当 DF=0时才允许分片。
• 片偏移：占 13位。较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对用户数据字段的起点，该片从何处开始。片偏移以 8个字节为偏移单位。这就是说，每个分片的长度一定是 8字节 (64位)的整数倍。
• 生存时间：占 8位，生存时间字段常用的英文缩写是TTL (Time To Live)，其表明数据报在网络中的寿命。由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在因特网中兜围子，因而白白消耗网络资源。最初的设计是以秒作为 TTL的单位。每经过一个路由器时，就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于 1 秒，就把TTL值减 1。当 TTL值为 0时，就丢弃这个数据报。
• 协议：占 8 位，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。
• 首部检验和：占 16位。这个字段只检验数据报的首部，不包括数据部分。这是因为数据报每经过一个路由器，都要重新计算一下首都检验和 (一些字段，如生存时间、标志、片偏移等都可能发生变化)。不检验数据部分可减少计算的工作量。
• 源地址：占32位。
• 目的地址：占 32位。

• IP数据报首部的可变部分就是一个可选字段。选项字段用来支持排错、测量以及安全等措施，内容很丰富。此字段的长度可变，从 1 个字节到40个字节不等，取决于所选择的项目。某些选项只需要 1 个字节，它只包括 1 个字节的选项代码。但还有些选项需要多个字节，这些选项一个个拼接起来，中间不需要有分隔符，最后用全0 的填充字段补齐成为 4字节的整数倍。 增加首都的可变部分是为了增加 IP 数据报的功能，但这同时也使得 IP 数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。新的 IPv6就将 IP数据报的首部长度做成固定的。