目錄

一、ICMP協(xié)議

ICMP報文被封裝在IP數(shù)據(jù)報中發(fā)送

ICMP報文的種類

ICMP差錯報告報文

ICMP詢問報文

ICMP的典型應(yīng)用

1.分組網(wǎng)間探測PING：

2.跟蹤路由traceroute：

ICMP報文結(jié)果統(tǒng)計

ping命令的使用

二、ARP地址解析協(xié)議

ARP：地址解析協(xié)議

ARP緩存表? ?

ARP報文

ARP攻擊與欺騙

ARP攻擊

如何隔絕攻擊？

三、交換機(jī)的原理和基本配置

以太網(wǎng)基本介紹

交換機(jī)的介紹和工作原理

四、Cisco模擬器的基本使用

作業(yè)

一、ICMP協(xié)議

• ICMP (internet control message protocol): 消息控制協(xié)議，是TCP/IP協(xié)議族的一部分。它主要用于在IP網(wǎng)絡(luò)上傳輸控制消息，以提供有關(guān)網(wǎng)絡(luò)通信的信息，同時也用于診斷網(wǎng)絡(luò)問題和錯誤報告。
• ICMP 協(xié)議的一些重要特點(diǎn)和功能

  • 錯誤報告：ICMP 用于向源主機(jī)報告數(shù)據(jù)包傳輸過程中發(fā)生的錯誤。例如，當(dāng)一個路由器發(fā)現(xiàn)一個數(shù)據(jù)包不能正確轉(zhuǎn)發(fā)時，它會發(fā)送一個 ICMP 錯誤消息給源主機(jī)。

  • Ping和Traceroute：ICMP 包含了兩個常用的網(wǎng)絡(luò)工具：Ping和Traceroute。Ping用于測試目標(biāo)主機(jī)是否可達(dá)，Traceroute用于確定數(shù)據(jù)包從源主機(jī)到目標(biāo)主機(jī)的路徑。這兩個工具通過發(fā)送特定類型的 ICMP 消息來實現(xiàn)。

  • 重定向消息：當(dāng)路由器發(fā)現(xiàn)有更優(yōu)的路由到達(dá)目標(biāo)網(wǎng)絡(luò)時，它可以發(fā)送一個重定向消息給源主機(jī)，提示它使用更合適的路由。

  • TTL（Time-to-Live）字段：在 IP 頭部中的 TTL 字段指定了數(shù)據(jù)包在網(wǎng)絡(luò)中可以經(jīng)過的最大路由器數(shù)量。當(dāng)路由器收到一個數(shù)據(jù)包時，它會將 TTL 減 1，如果 TTL 變?yōu)?0，路由器會丟棄該數(shù)據(jù)包，并發(fā)送一個 ICMP 時間超時消息給源主機(jī)。

  • Echo請求和回復(fù)：用于 Ping 測試的 ICMP 消息類型之一是 Echo 請求和 Echo 回復(fù)。當(dāng)主機(jī)發(fā)送一個 Echo 請求時，目標(biāo)主機(jī)會返回一個相同的 Echo 回復(fù)，這可以用于測試網(wǎng)絡(luò)的可達(dá)性和往返時間。

• ICMP報文被封裝在IP數(shù)據(jù)報中發(fā)送

  • 

• ICMP報文的種類

  • ICMP差錯報告報文

    • 終點(diǎn)不可達(dá)

      • 

    • 源點(diǎn)抑制

      • 

    • 時間超過 (超時)

      • 

    • 參數(shù)問題

      • 

    • 改變路由 (重定向)

      • 

      • 

    • 不應(yīng)發(fā)送ICMP差錯報告報文的情況

      • 對ICMP差錯報告報文不再發(fā)送ICMP差錯報告報文

      • 對第一個分片的IP數(shù)據(jù)報片的所有后續(xù)數(shù)據(jù)報片都不發(fā)送ICMP差錯報告報文

      • 對具有多播地址的IP數(shù)據(jù)報都不發(fā)送ICMP差錯報告報文

      • 對具有特殊地址 (例如127.0.0.0或0.0.0.0) 的IP數(shù)據(jù)報不發(fā)送ICMP美錯報告報文

  • ICMP詢問報文

    • 回送請求和回答

      • 由主機(jī)或路由器向一個特定的目的主機(jī)或路由器發(fā)出。

      • 收到此報文的主機(jī)或路由器必須給發(fā)送該報文的源主機(jī)或路由器發(fā)送ICMP回送回答報文

      • 這種詢問報文用來測試目的站是否可達(dá)以及了解其有關(guān)狀態(tài)

    • 時間戳請求和回答

      • 用來請求某個主機(jī)或路由器回答當(dāng)前的日期和時間

      • 在ICMP時間戳回答報文中有一個32比特的字段，其中寫入的整數(shù)代表從1900年1月1日起到當(dāng)前時刻一共有多少

      • 這種詢問報文用來進(jìn)行時鐘同步和測量時間

• ICMP的典型應(yīng)用

  • 1.分組網(wǎng)間探測PING：

    • 用于測試主機(jī)或路由器之間的連通性

      • PING是TCP/IP體系結(jié)構(gòu)的應(yīng)用層直接使用網(wǎng)際層ICMP的一個例子，它并不使用運(yùn)輸層的TCP或UDP

      • PING應(yīng)用所使用的ICMP報文類型為回送請求和回答

      • 

      • 

  • 2.跟蹤路由traceroute：

    • 用于探測IP數(shù)據(jù)報從源主機(jī)到達(dá)目的主機(jī)要經(jīng)過哪些路由器

      • 

      • 在不同操作系統(tǒng)中，traceroute應(yīng)用的命今和實現(xiàn)機(jī)制有所不同

        • 在UNIX版本中，具體命令為“traceroute”其在運(yùn)輸層使用UDP協(xié)議，在網(wǎng)絡(luò)層使用ICMP報文類型只有差錯報告報文。

        • 在Windows版本中，具體命令為“tracert”其應(yīng)用層直接使用網(wǎng)際層的ICMP協(xié)議，所使用的ICMP報文類型有回送請求和回答報文以及差錯報告報文。

          • 

          • 

          • 

• 根據(jù)OSI參考模型，在網(wǎng)絡(luò)傳輸過程中，如果遇到不能正常傳送或接受數(shù)據(jù)，需要根據(jù)第一層到第七層逐層進(jìn)行排查。
  • 網(wǎng)絡(luò)傳輸過程中出了問題怎么排查——7層逐層排查
  • 也可以 ping 檢查
• 為了方便網(wǎng)絡(luò)連通性測試和網(wǎng)絡(luò)路徑優(yōu)化。ICMP配合網(wǎng)絡(luò)聯(lián)合運(yùn)作
• 

• ICMP報文結(jié)果統(tǒng)計

  • 
  • 

• ping命令的使用

  • 

二、ARP地址解析協(xié)議

• ARP：地址解析協(xié)議

  • 在OSI模型中ARP協(xié)議屬于鏈路層，而在TCP/IP模型中，ARP協(xié)議屬于網(wǎng)絡(luò)層。
  • 只支持IPV4的地址解析，不支持IPV6
  • 目的：將IP地址和以太網(wǎng)深層次結(jié)合
  • 原理：在以太網(wǎng)通信體系中，只知道網(wǎng)絡(luò)節(jié)點(diǎn)的IP地址，不知道以太網(wǎng)中的MAC地址，無法形成數(shù)據(jù)幀的封裝，所以必須知道網(wǎng)絡(luò)節(jié)點(diǎn)的MAC地址才可以正常封裝報文完成網(wǎng)絡(luò)傳輸。
  • 將一個已知的的IP地址解析成MAC地址，以便在交換機(jī)上通過MAC地址進(jìn)行通信
  • 

• ARP緩存表? ?

  • 主機(jī)1想發(fā)數(shù)據(jù)給主機(jī)2，先檢查自己的ARP緩存表，ARP緩存表是主機(jī)存儲在內(nèi)存中的IP和MAC的對應(yīng)的表
  • PC1要發(fā)數(shù)據(jù)給PC2，需要先知道PC2的IP地址所對應(yīng)的MAC地址是什么，需要通過ARP請求廣播來實現(xiàn)。
    • 
  • ARP表項的生成方式
    • 靜態(tài)配置 (不靈活，24小時時效)
    • 通過ARP協(xié)議自動學(xué)習(xí)，動態(tài)獲取，4小時之內(nèi)
  • ARP緩存表 (命令arp -a)
    • 在以太網(wǎng)設(shè)備中，任何設(shè)備都有這一張表。
    • 
    • 
  • ARP高速緩存表中的記錄類型和生命周期
    • 
    • IP地址與MAC地址的對應(yīng)關(guān)系記錄為什么要周期性刪除呢?
      • 有助于確保網(wǎng)絡(luò)的安全性、穩(wěn)定性和性能。

      • 網(wǎng)絡(luò)拓?fù)渥兓?/strong>：網(wǎng)絡(luò)中的設(shè)備可能會動態(tài)地加入或退出網(wǎng)絡(luò)，或者更換網(wǎng)絡(luò)接口。這種變化可能會導(dǎo)致IP地址與MAC地址的對應(yīng)關(guān)系發(fā)生變化，因此周期性刪除ARP表可以確保表中的對應(yīng)關(guān)系是最新的。

      • 安全性：ARP欺騙（ARP spoofing）是一種常見的網(wǎng)絡(luò)攻擊方式，攻擊者發(fā)送虛假的ARP響應(yīng)以欺騙其他設(shè)備將流量發(fā)送到錯誤的目的地。定期刪除ARP表中的對應(yīng)關(guān)系可以減少成功進(jìn)行ARP欺騙攻擊的機(jī)會，因為攻擊者的虛假對應(yīng)關(guān)系不會長時間保持有效。

      • 資源管理：ARP表可能會占用設(shè)備的內(nèi)存資源，尤其是在網(wǎng)絡(luò)中存在大量設(shè)備的情況下。定期刪除不再需要的對應(yīng)關(guān)系可以釋放內(nèi)存資源，提高設(shè)備的性能和效率。

      • 減少錯誤情況的影響：如果網(wǎng)絡(luò)中的設(shè)備發(fā)生故障或配置錯誤，可能會導(dǎo)致ARP表中的對應(yīng)關(guān)系出現(xiàn)錯誤。定期刪除ARP表可以幫助減少這些錯誤情況對網(wǎng)絡(luò)性能和可用性的影響，因為設(shè)備將會重新學(xué)習(xí)正確的對應(yīng)關(guān)系。

• ARP報文

  • ARP請求（ARP Request）：當(dāng)一個設(shè)備需要知道另一個設(shè)備的MAC地址時，它會在本地網(wǎng)絡(luò)上廣播一個ARP請求。ARP請求中包含了目標(biāo)IP地址，以及發(fā)送ARP請求的設(shè)備的MAC地址。ARP請求的目的是詢問網(wǎng)絡(luò)上是否有擁有目標(biāo)IP地址的設(shè)備，并且請求該設(shè)備回復(fù)其MAC地址。

  • ARP應(yīng)答（ARP Reply）：當(dāng)網(wǎng)絡(luò)上有一個設(shè)備收到了ARP請求，并且擁有請求中指定的目標(biāo)IP地址時，它會發(fā)送一個ARP應(yīng)答。ARP應(yīng)答中包含了目標(biāo)IP地址和對應(yīng)的MAC地址。收到ARP應(yīng)答的設(shè)備將會更新它的ARP表，將目標(biāo)IP地址和MAC地址的對應(yīng)關(guān)系存儲起來，以便以后的通信中使用。

  • ARP報文
    • Ethernet2 | ARP | FCS

      • Ethernet2：指的是以太網(wǎng)幀（Ethernet frame），它是在以太網(wǎng)網(wǎng)絡(luò)上傳輸數(shù)據(jù)的基本單位。以太網(wǎng)幀包含了目標(biāo)設(shè)備的 MAC 地址、源設(shè)備的 MAC 地址、數(shù)據(jù)內(nèi)容以及幀校驗序列（FCS）等信息。

      • ARP：表示 ARP 報文，即地址解析協(xié)議報文，其中包含了 ARP 協(xié)議的具體內(nèi)容。

      • FCS：幀校驗序列（Frame Check Sequence），用于在以太網(wǎng)幀傳輸過程中檢測數(shù)據(jù)是否發(fā)生了錯誤。

    • ARP廣播 SMAC:SIP------>FFFF.FFFF.FFFF:DIP

      • ARP廣播：這指的是 ARP 報文在網(wǎng)絡(luò)上的廣播傳輸方式。由于 ARP 請求需要找到目標(biāo)設(shè)備的 MAC 地址，因此 ARP 請求通常以廣播形式發(fā)送到網(wǎng)絡(luò)上的所有設(shè)備。

      • SMAC：指的是發(fā)送 ARP 報文的設(shè)備的源 MAC 地址（Source MAC Address），即報文的發(fā)送者的 MAC 地址。

      • SIP：指的是發(fā)送 ARP 報文的設(shè)備的源 IP 地址（Source IP Address），即報文的發(fā)送者的 IP 地址。

      • FFFF.FFFF.FFFF：這是一個特殊的 MAC 地址，表示以太網(wǎng)的廣播地址。當(dāng) ARP 請求發(fā)送到這個廣播地址時，網(wǎng)絡(luò)上的所有設(shè)備都可以接收到這個請求。

      • DIP：指的是 ARP 報文中目標(biāo)設(shè)備的 IP 地址（Destination IP Address），即請求的目標(biāo)設(shè)備的 IP 地址。

    • 描述了一個以太網(wǎng)上發(fā)送的 ARP 請求報文，其中源設(shè)備廣播一個 ARP 請求到網(wǎng)絡(luò)上的所有設(shè)備，以尋找指定目標(biāo)設(shè)備的 MAC 地址。

  • ping命令
    • 注意：在相同廣播域內(nèi)節(jié)點(diǎn)進(jìn)行通信，針對目的節(jié)點(diǎn)IP地址進(jìn)行ARP檢索，不同廣播域節(jié)點(diǎn)通信，針對網(wǎng)關(guān)的IP地址來進(jìn)行檢索。
  • PC1的ARP緩存表沒有PC2的MAC地址，于是發(fā)送ARP廣播(幀) ，其他主機(jī) (PC2、PC3、PC4) 收到ARP數(shù)據(jù)幀，進(jìn)行IP比較。
  • 如果目標(biāo)IP地址與自己的IP地址不同，則會丟棄。只有目標(biāo)主機(jī)（PC2) 查自己ARP緩存表，確定對應(yīng)關(guān)系，發(fā)送一個ARP應(yīng)答，確定并告訴PC1自己的MAC地址 (直接進(jìn)行單
    播） ，然后PC1將PC2的MAC地址寫進(jìn)自己的ARP緩存表然后雙方可以進(jìn)行數(shù)據(jù)通信了

• ARP攻擊與欺騙

  • 例如: 在局域網(wǎng)中，主機(jī)A、主機(jī)B、主機(jī)C同時收到ARP廣播，主機(jī)A發(fā)送B數(shù)據(jù)信息
    主機(jī)A知道主機(jī)B的IP地址情況下，但是不知道主機(jī)B的MAC地址，于是在局域網(wǎng)內(nèi)進(jìn)行
    ARP廣播，此時主機(jī)C在得知主機(jī)B的IP地址情況下，偽裝成B，將自己的MAC地址發(fā)送
    給主機(jī)A，偽裝成B和主機(jī)A進(jìn)行通信，截取數(shù)據(jù)信息。
  • 
  • 主機(jī)型欺騙

    • 在主機(jī)型欺騙中，攻擊者發(fā)送虛假的ARP響應(yīng)，宣稱自己擁有目標(biāo)主機(jī)的IP地址，并且將自己的MAC地址發(fā)送給網(wǎng)絡(luò)中的其他設(shè)備。這樣，其他設(shè)備發(fā)送到目標(biāo)主機(jī)的數(shù)據(jù)包實際上會被發(fā)送到攻擊者控制的設(shè)備上。

    • 主機(jī)型欺騙通常用于竊取數(shù)據(jù)或者中間人攻擊。攻擊者可以攔截網(wǎng)絡(luò)通信、竊取用戶的敏感信息，或者篡改數(shù)據(jù)包以實施欺詐行為。

  • 網(wǎng)關(guān)型欺騙

    • 在網(wǎng)關(guān)型欺騙中，攻擊者發(fā)送虛假的ARP響應(yīng)，宣稱自己是網(wǎng)絡(luò)中的默認(rèn)網(wǎng)關(guān)，并且將自己的MAC地址發(fā)送給其他設(shè)備。這樣，網(wǎng)絡(luò)中的所有數(shù)據(jù)包都會被發(fā)送到攻擊者控制的設(shè)備上，然后由攻擊者將數(shù)據(jù)包轉(zhuǎn)發(fā)到真正的網(wǎng)關(guān)或者外部網(wǎng)絡(luò)上。

    • 網(wǎng)關(guān)型欺騙可以導(dǎo)致所有網(wǎng)絡(luò)流量經(jīng)過攻擊者的設(shè)備，攻擊者可以竊取所有的網(wǎng)絡(luò)通信數(shù)據(jù)、進(jìn)行中間人攻擊或者拒絕服務(wù)攻擊，嚴(yán)重影響網(wǎng)絡(luò)的安全和可用性。

  • ARP攻擊

    • 攻擊主機(jī)制造假的arp應(yīng)答，并發(fā)送給局域網(wǎng)中除被攻擊之外的所有主機(jī)。arp應(yīng)答中包含被攻擊主機(jī)的IP地址和虛假的MAC地址。
    • 攻擊主機(jī)制造假的arp應(yīng)答，并發(fā)送給被攻擊的主機(jī)，arp應(yīng)答中包含除被攻擊主機(jī)之外的所有主機(jī)的IP地址和虛假的MAC地址
    • 只要執(zhí)行上訴arp攻擊行為中的一種就可以實現(xiàn)被攻擊主機(jī)和其他主機(jī)無法通信。

  • 如何隔絕攻擊？

    • 靜態(tài)ARP綁定：在網(wǎng)絡(luò)設(shè)備上配置靜態(tài)ARP綁定，將IP地址與MAC地址的對應(yīng)關(guān)系手動指定，并且不允許ARP協(xié)議動態(tài)學(xué)習(xí)。這樣可以防止攻擊者發(fā)送虛假的ARP響應(yīng)來欺騙網(wǎng)絡(luò)設(shè)備。

    • ARP檢測工具：使用專門的ARP檢測工具來監(jiān)控網(wǎng)絡(luò)中的ARP流量，并且檢測是否存在異常的ARP活動。這些工具可以幫助及時發(fā)現(xiàn)ARP攻擊行為，并采取相應(yīng)的防御措施。

    • 網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS）：部署網(wǎng)絡(luò)入侵檢測系統(tǒng)來監(jiān)控網(wǎng)絡(luò)流量，并且檢測是否有異常的ARP活動。IDS可以幫助及時發(fā)現(xiàn)并報告ARP攻擊事件，以便網(wǎng)絡(luò)管理員采取措施應(yīng)對。

    • 端口安全功能：在交換機(jī)上啟用端口安全功能，限制每個端口所允許學(xué)習(xí)的MAC地址數(shù)量，并且配置靜態(tài)MAC地址綁定。這樣可以防止攻擊者通過發(fā)送大量虛假的ARP響應(yīng)來充滿交換機(jī)的MAC地址表。

    • 網(wǎng)絡(luò)隔離：將網(wǎng)絡(luò)分割成多個較小的子網(wǎng)，并且使用ACL（訪問控制列表）或防火墻來限制子網(wǎng)之間的通信。這樣即使發(fā)生ARP攻擊，其影響也將被限制在較小的范圍內(nèi)。

    • 加密通信：使用加密技術(shù)保護(hù)網(wǎng)絡(luò)通信，使得即使攻擊者截獲了數(shù)據(jù)包，也無法獲取其中的敏感信息。