网络协议整理.docxVIP

ARP地址解析协议 利用wireshark随即抓取arp报文，分析格式。 从图可以看到目的mac地址全f，为广播地址，采用ARP协议。Opcode字段为（0x0001），表明该arp报文为arp请求报文。Target IP address为01，但是Target MAC address为空，是因为请求的即为目标的MAC地址。整个报文的作用为主机20广播arp请求报文，寻找IP地址为01主机的MAC地址。 ARP欺骗演练与抓包分析。 攻击工具使用zxarps.exe，抓包工具使用wireshark，攻击者IP为22，受害者运行于VMware上，IP为22。网关地址为54。使用命令监听受害者后，利用wireshark抓包如下：（抓包规则为arp.opcode == 2 and arp，即抓取所有arp响应包） 可见攻击者首先确定了网关的MAC地址。 接下来攻击者又确定了受害者的MAC地址。 攻击者发送伪造ARP响应报文发送给网关，将受害者的IP指向了自己的MAC地址。 发送伪造ARP响应报文发送给受害者，将网关的IP指向了自己的MAC地址。 接下来的时间攻击者不断发送上面两种伪造ARP报文。 到这里攻击基本已经实现了，因为数据报传送过程中通过MAC地址来确定下一跳的走向，此时网关把要发给受害者的数据都发给了攻击者，受害者把本来想发给网关的数据发给了攻击者，而攻击者此时相当于处在受害者和网关之间，只需简单的数据报转发功能，就能隐藏自己，同时监听所有发送给受害者、和受害者发出的数据报。 ICMP网络控制报文协议 Icmp用于在IP主机、路由器之间传递控制消息，ICMP报文封装在IP数据报内部，icmp的首部第一个字节和第二个字节为类型代码和8位的代码，通过这两个字节可确定一个ICMP报文。 8号0号分别对应ping请求和回显 3号代表网络错误，不同的错误类型由第二个字节来确定。 13号14号分别对应时间戳请求与应答 17、18分别对应地址掩码请求与应答 ICMP地址掩码请求用于无盘系统确定自己的地址掩码，系统先广播ICMP17报文，收到ICMP13即可确定自己的地址掩码。？？如何广播，不知道自己的掩码如何确定广播地址？ ICMP时间戳请求用于向另一系统查询时间，数据部分有3个，发起时间戳，接收时间戳和传送时间戳。发起时间戳为发起者的时间，接收时间戳和传送时间戳一般相同，为接收者的时间。时间的格式为从午夜开始到现在的毫秒数。实际的时间差为ICMP14中两者的时间差加上数据报传送时间的一半。 ICMP端口不可达数据报要通过代码来确定不可达的具体类型。报文始终包含差错报文的IP首部和数据部分的前8个字节，因为通过这些数据可以详细的反应跟错误有关的信息，以便于反馈给对应进程进行错误分析。 ?ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。路由器也会把初始数据报向它的目的地转发 利用ICMP可以进行攻击。1.伪造目标ip向发达网络的广播地址发送ping包，大量的回显包会发送到目标主机，占用带宽。2.控制大量肉鸡向目标发送ping，使得目标忙于处理ping包，消耗资源，同样占用带宽。3.黑客冒充网关，向目标主机发送ICMP重定向报文，在报文里的路由IP填成自己的IP，这样，黑客将指定目标与目标间通信的网管地址设置成了黑客的IP地址，实现两者之间通信的监听，即ICMP重定向的欺骗攻击。如果换成一个不可达地址同样会影响两者之间的通信。 Ip选路 IP层进行的选路实际上是一种选路机制，它搜索路由表并决定向那个网络接口发送分组。 利用netsta –r命令可以查看主机路由表，linux下路由表格式如下： Destination Gateway Genmask Flags Metric Ref Use Iface * U 0 0 0 eth0 * U 0 0 0 eth0default UG 0 0 0 eth0 对于一个路由器，有五种不同的标志（flag）： U 该路由可以使用 G 该路由是一个到网关(路由器)，如过没有设置该标志，说明目的地是直接相连的。 H 该路由是到一个主机，也就是说，目