信息安全工程师----第四章 4.4网络层

第四章 4.4网络层

IP协议与IP地址

IPv4 地址

IP地址就好像电话号码 ：有了某人的电话号码 ，你就能与他通话了。同样，有了某台主机的ip地址 ，你就能与这台主机通信了 。TCP/IP协议规定 ，ip地址使用32位的二进制表示，也就是四字节 。

IP地址分类

ip地址分为五类： A类用于大型网络设备 ，B类用于大型网络，C类用于小型网络，D类用于组播，E类保留用于实验。 每一类有不同的网络号位数和主机号位数 。

A类地址

ip地址写成二进制形式时，A类地址第一位总是0。A类地址的第一字节为网络地址 ，其他三个字节为主机地址。

A类地址的范围：1.0.0.0~126.255.255.255

A类地址中的私有地址和保留地址：

10.X.X.X是私有地址， 就是在互联网上不使用 ，而只在局域网中的地址。网络号为10，网络个数为1，地址范围为10.0.0.0~10.255.255.255。

127.X.X.X是保留地址, 用作环回址， 环回地址向自己发送流量 。发送到该地址的数据不会离开设备的网络中 ，而是直接回送到本主七机。该地址既可以作为目标地址 ，也可以作为源地址 ，是一个虚ip地址。

B类地址

ip地址写成二进制形式时，B类地址的前两位总是十。B类地址的第1和第2字节为网络地址，第3和第4字节为主机地址。

B类地址范围：128.0.0.0~191.255.255.255
B类地址中的私有地址和保留地址 ：

172.16.0.0~172.31.255.255是私有地址

169.254.X.X是保留地址。 如果pc机上的ip地址设置自动获取 而，pc机又没有找到相应的DHCP服务 ，那么最后 pc机可能得到保留地址中的一个ip。

C类地址

ip地址写成二进制时，C类地址的前三位固定为110 。C类地址第一到第三字节为网络地址 ，第四字节为主机地址。

C类地址范围:192.0.0.0~233.255.255.255

C类地址中的私有地址:192.168.X.X是私有地址,地址范围 192.168.0.0~192.168.255.255

D类地址

ip地址写成二进制形式时，D类地址的前四位固定为1110。D类地址不分网络地址和主机地址，该类地址用作组播。

D类地址范围：224.0.0.0~239.255.255.255

E类地址

ip地址写成二进制形式时，E类地址的前四位固定为11110。E类地址不分网络地址和主机地址，该类地址用作组播。

E类地址范围：240.0.0.0~247.255.255.255

地址规划和子网规划

子网掩码

子网掩码用于区分网络地址 、主机地址、 广播地址，是表示网络地址和子网大小的重要指标 。子网掩码的形式是网络号部分全一，主机号部分全0。掩码也能像IPv4地址一样使用点分十进制表示法书写，但掩码不是ip地址。掩码还能使用“/从左到右连续1的总数”形式表示，这种描述方式称为建网比特数。

地址结构

早期IP地址结构为两级地址：
IP地址：：={<网络号>,<主机号>}

RFC 950文档发布后增加了一个子网号字段，变成三级网络地址结构：
IP地址：：={<网络号>,<子网号>,<主机号>}

VLSM和CIDR

1987年前 ，互联网使用A~E类通用标准划分子网的方式 ，而这种整段分配划分地址的方式不灵活 ，同时ip损耗太大 ；同时因特网主干路由器的路由表项急剧增长 。因此为了解决上述问题， 人们提出了VLSM和CIDR技术

可变长子网掩码（VLSM）

传统的 A类 B类 C类地址使用固定长度的子网掩码，分别为8位，16位，24位 ，这种方式比较死板 ，浪费地址空间。VLSM则是对部分子网再次进行子网划分 ，允许一个组织在同一个网络地址空间中使用多个不同的子网掩码 。VLSM使寻址效率更高 ，ip地址利用率也更高。 所以VLSM技术被用来节约ip地址 ，该技术可以理解为把大网分解成小网 。

无类别域间路由（CIDR）

在进行网段划分时， 除了有大网拆分成若干个小网络的需求外， 也有将小网络组合成大网络的需求的情况 。在一个有类别的网络中 ，路由器决定一个地址的类别， 并根据该类别识网络和主机 。而在CIDR中，路由器使用前缀来表述有多个位是网络位， 剩下的位置是主机位。CIDR显著提高了IPv4的可拓展率和效率， 通过使用路由聚合可有效减少路由表的大小， 节约路由器的内存空间 ，提高路由器的查找效率 。该技术可以理解为把小网合并成大网。

ICMP

Internet控制报文协议（ICMP）是TCP/IP协议簇的一个子网协议，是网络层协议，用于主机和路由器之间传递控制信息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对用户数据的传递起着重要作用。

1. ICMP报文格式

ICMP报文是封装在IP数据报内传输的，由于IP数据报首部校验和并不检验IP数据报的内容，因此不能保证经过传输的ICMP报文不会产生差错。

ICMP报文分类

ICMP报文的种类分为两种：一种是差错报告报文，另一种是查询报文。

对于差错报告报文来说，ICMP总是把差错报文报告给发送数据源端（源主机）。比如：主机A给主机发送一个数据，结果这个数据在网络传输过程中出错了，然后ICMP协议的机制就会返回一个差错报告给主机A（相当于把数据在传输过程中出错的信息发回给主机A）。

差错报告报文
差错报告报文常见有以下几类：

类型3：终点不可达，当数据包不能发送到目标主机或路由时，就会丢弃该数据包向源点发送终点不可达报文。出错的原因有很多，具体参考错误代码。

类型4：源点抑制，也就是数据在传输过程中，如果源点发送数据很快，而目的地接收数据慢，造成拥塞，这时就会向源点发送源点抑制报文，告知源点应该降低发送数据包的速率。比如主机A给主机B发送数据，可能主机A每次发送数据都比较快，而主机B每次接收数据比较慢，导致主机B可能会造成数据拥塞，这时主机B会发送一个源点抑制的ICMP数据报文告诉主机A：你发送的数据太快，我这边接收的很慢。

类型11：超时，当路由器收到TTL值为0的数据包时，会丢弃该数据包并向源点发送超时报文，也有可能数据分片在进行重组超过规定时间也会丢弃已收到的报文然后向源点发送超时报文。
这里写图片描述
类型为11，code值为0，说明该数据包在发送时超时原因是TTL值为0造成的，也就是说该数据包可能造成路由环路了，通俗来说就是数据在传输过程中一直在路 由器之间转圈。而Time to live exceeded in transit这句话的大意就是生存时间超时的意思。

类型12：参数问题，可能是IP首部有的字段值是错误的或者IP首部被修改，破坏都有可能，因为IP数据报文有一个首部校验和的字段会对IP首部进行校验。

类型5：改变路由（路由重定向）。主机A在给主机B发送数据时，数据在传输过程中选择的传输路线不是最优的，这时主机B会发送一个改变路由的ICMP数据报文告知主机A下次发送数据时选择另外的路线。

查询报告报文

查询报文常见有以下几类:
类型8或0：类型8表示请求，类型0表示回答。比如：经常使用ping命令来ping一个网络是否连通。

类型13或14：类型13表示时间戳请求，类型14表示时间戳回答，。记录数据报文的发送时间和接收时间，一般来说发送时间和接收时间是一样的，比如主机A发送的时间是14点，那么主机B接收的时间是16点，说明这两个时间不同步，是有问题的。

类型17或18：类型17表示地址码请求，类型18表示地址码回答，地址码一般指的是子网掩码，如果主机A不知道自己的子网掩码会发送一个地址码请求，收到请求的主机会发送一个地址码回答，告诉主机A的子网掩码是多少。

c类型10或9：路由器查询通告，一般指的是返回路由的状态信息

ICMP报文应用

ICMP报文应用有ping命令（使用回送应答和回送请求报文）和Traceroute命令(使用时间超过报文和目的不可达报文)

ARP和RARP

地址解析协议（ARP）是将32位IP地址解析成48位的以太网地址；而反向地址解析（RARP）则是将48位的以太网地址解析成32位的Ip地址。ARP报文封装在以太网帧中进行发送。

ARP原理ARP的工作过程如下：

第一步，发送ARP请求请求主机以广播方式发出ARP请求分组，ARP请求分组主要由‘/三个部分组成。

第二步，ARP响应

所有主机都能收到ARP请求分组，但只有与请求分组的IP地址一致的主机响应，并以单播方式向ARP请求主机发送ARP响应分组。ARP响应分组由响应方的IP地址和Mac地址组成

第三步，写高速缓存收到响应分组后，将响应分组的IP地址和Mac地址的对应关系写入ARP高速缓存，ARP高速缓存记录IP地址和Mac地址的对应关系，避免了主机进行一次通信就发送一次APP请求分组的情况出现，减少网络中ARP请求带来的广播报文。当然高速缓存中的每个IP地址和Mac地址的对应关系都有一定的生存时间，大于该时间的对应关系将被删除。

ARP病毒

ARP病毒是一种破坏性极大的病毒，利用了ARP协议设计之初没有任何验证功能这一漏洞而实施破坏，ARP病毒使用ARP欺骗手段破坏客户机建立正确的IP地址和Mac地址对应关系，把虚假的网关Mac地址发送给受害主。达到盗取用户账户，阻碍网络瘫痪的目的。

ARP病毒利用感染主机的方法向网络发送大量虚假的ARP报文，主机没有感染ARP木马时，也有可能导致网络访问不稳定。例如：向被攻击主机发送的虚假IP报文中，目的IP地址为网关IP地址，目的Mac地址为感染木马的主机Mac地址。这样会将同网段内其他主机发往网关的数据引向发送虚假ARP报告的机器，并抓包或截取用户口令信息。

ARP病毒还能在局域网内产生大量的广播包，造成广播风暴。

ARP欺骗原理

在每台主机中都有ARP缓存表，缓存表中记录了IP地址与MAC地址的对应关系，而局域网数据传输依靠的是MAC地址(网络设备之间互相通信是用MAC地址而不是IP地址)。

假设主机 A 192.168.1.2,B 192.168.1.3,C 192.168.1.4; 网关 G 192.168.1.1; 在同一局域网，主机A和B通过网关G相互通信，就好比A和B两个人写信，由邮递员G送信，C永远都不会知道A和B之间说了些什么话。但是并不是想象中的那么安全，在ARP缓存表机制存在一个缺陷，就是当请求主机收到ARP应答包后，不会去验证自己是否向对方主机发送过ARP请求包，就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中，如果原有相同IP对应关系，则原有的会被替换。
这样C就有了偷听A和B的谈话的可能，继续思考上面的例子：
C假扮邮递员，首先要告诉A说：“我就是邮递员” （C主机向A发送构造好的返回包，源IP为G 192.168.1.1，源MAC为C自己的MAC地址），愚蠢的A很轻易的相信了，直接把“C是邮递员”这个信息记在了脑子里；

C再假扮A，告诉邮递员：“我就是A” （C向网关G发送构造好的返回包，源IP为A 192.168.1.2，源MAC地址为自己的MAC地址），智商捉急的邮递员想都没想就相信了，以后就把B的来信送给了C，C当然就可以知道A和B之间聊了些什么

ARP病毒的发现和解决手段

网管员经常使用的发现和解决ARP病毒的手段有：

• 接入交换机端口绑定固定的Mac地址
• 查看接入交换机的端口异常
• 安装ARP防火墙

• 发现主机ARP缓存中的Mac地址不正确时，可以执行arp -d命令清除IP缓存

  IPv6

IPv6是IETF设计的用于替代现行IPv4的下一代IP协议。IPv6地址长度位128位，但通常写作8组，每组为4个十六进制数的形式。

单播地址
单播地址用于表示单台设备的地址。发送到此地址的数据包被传递给标识的设备。单播地址和多播地址的区别在于高八位不同，多播地址的高八位总是16进制的FF。单播地址有以下几种类型。

全球单播地址全球单播地址是指这个单播地址是全球唯一的

链路本地单播地址链路本地单播地址在邻居发现协议等功能中很有用，该地址主要用于启动时系统尚未获取较大范围的地址，是链路节点的自动地址配置。

地区本地单播地址这个地址仅在一个给定区域内地址是唯一的，其他区域内可以使用相同的地址，但这类方式争议较大

任意播地址任意播地址更像一种服务，而不是一台设备，并且相同的地址可以驻留在提供相同服务的一台或多台设备中。任意广播地址取自单播地址空间，而且在语法上不能与其他地址区分开来，寻址的接口依据其配置确定单播和任意广播地址之间的差别。使用任意播地址的好处是路由器总选择到达最近的或代价最低的服务器路由。

组播地址多播地址标识不是一台设备 ，而是多台设备组成的一个多播组 。

NAT，NAPT

网络地址转换（NAT）将数据报中的IP地址替换成另一个IP地址，一般是私有地址转化为公有地址来实现访问公网的目的。这种方式只需要占用较少的公网IP地址，有助于减少IP地址空间的枯竭。传统NAT，NATP包括2大类。

基本NAT基本NAT可以分为静态NAT和动态NAT。

静态NAT是设置起来最简单和最容易实现的一种地址转化方式，内部网络中的每个主机都被永久映射成外部网络中的某个合法地址。

动态NAT主要应用于拨号和频繁的远程连接，当远程用户连接上后，动态NAT就会给用户分配一个IP地址，当用户断开号，这个IP地址就会被释放而留待以后使用

NAPT网络地址端口转换（NAPT）是NAT的一种变形，它允许多个内部地址映射到同一公有地址上，也可称为多对一地址转换或地址复用。NAPT同时映射IP地址和端口，来自不同内部地址的数据包的源地址可以映射到同一个外部地址，但他们的端口号被转化成该地址的不同端口号，因而仍然能够共享同一个地址，即NAPT出口数据包中的内网IP地址被NAT的公网IP地址替代，出口分组的端口被一个高端端口代替。外网进来的数据报根据对应关系进行转换，NAPT将内部的所有地址映射到一个外部IP地址（也可以是少数外部的IP地址），这样做的好处是隐藏了内部网络的IP配置，节省了资源。

转载：https://blog.csdn.net/qq_43799246/article/details/111180385