抓包工具
Wireshark:全球最知名的网络抓包软件
科来网络分析系统:国产网络抓包软件
OSI是一个理论,协议栈是理论的实现
OSI模型,分为以下七层:
1,2,3:层负责上层的软件交互 4,5,6:数据流层 7:通信
1.应用层
2.表示层
3.会话层
4.传输层
5.网络层
6.数据链路层
7.物理层
1.Ethernet(以太网)协议
定义:用于实现链路层的数据传输和地址封装(MAC),DIX(Digital、Intel、Xerox)联盟开发
Destination/目的字段:标识目的通信方的MAC地址
Source/源字段:标识发送端的MAC地址
Type/类型值:标志上层协议
MAC地址
所有设备的MAC地址都是全球唯一的
MAC地址是16进制表示的,长度为48bit,采用冒号分16进制表示;01010100
MAC地址前半部分被称为‘OUI代码’厂商唯一标识符,后半部分为厂商自行分配
以太网协议仅仅是链路层/局域网通信中的一种标准(并不是唯一标准),还有其他链路层协议,令牌网、总线网、FDDI网...
ARP协议
ARP(Address Resolution Protocol)地址解析协议,用于实现IP地址到MAC地址映射(知道IP通过ARP协议得到MAC),实现数据封装过程,ARP协议是在Ethernet以上,属于网络层
arp -a 查看电脑的ARP表
ARP攻击工具
Cain & Abel Etthercap P2P终结者
ARP欺骗攻击/中间人攻击/毒化
ARP防护
彩影ARP 360ARP防火墙 金山贝壳ARP windows手工绑定
使用arp -s ip mac添加静态项
免费/无故ARP:用于检测IP地址冲突场景
1、地址变动(地址冲突)
2、DHCP获取地址
IP协议
Internet Protocol 互联网协议,用于实现数据的不可靠面向无连接的通信,实现三层数据封装和IP寻址
1.版本号(Version):表示IP协议版本
2.TTL生存时间(Time to live):当路由器收到一个TTL=0的数据包时,则宣告此数据包死亡并丢弃。每经过一“跳”TTL减一,最大为255跳。标志路径长短,防止环路
3.协议号(Protocol):类型值,协议号,端口号都是用于标志上层协议,方便接收方实现数据的解封装,此功能称为协议之间的‘分用’
4.头部校验和(Header checksum)(奇偶,MD5算法):头部长度(默认为20字节),总长度;区分IP头部和数据包,接收方根据长度字段知道从哪里解封装
5.IP分片原理---标识、标志、偏移量(以太网包最大为1500bytes)
a.标识符(Identification):用于标志分片的进程
b.标志符(Flags):MF(More fragments)更多位用于告知接收方是否还有分片,0表示没有,1表示有;DF(Don't fragments)不要分片位告知途径设备不要进行分片
c:偏移量(Fragment offset):用于告知接收方每个分片距离IP头部的位置,才能实现有序的重新组装
6.DSCP/TOS:QoS服务质量技术用于实现流量标记
1、广播数据包不能跨网段;(ARP request无法发送到远端设备)
2、多网段通信过程中,IP地址不变,但是MAC地址会改变
同网段通信过程中,IP和MAC信息不变,‘跟谁通信用谁的MAC’
ICMP协议:
互联网信息控制协议(Internet Control Message Protocol),用于实现链路连通性测试和链路追踪,可以实现链路差错报告。
ICMP运行在传输层协议,服务于IP协议
工具
1.Ping
ping的原理:探测目的主机是否有问题,探测本地到目的的延迟等
Echo request 回显请求
Echo reply 回显应答
2.Traceroute/Tracert(跟踪)
原理:探测本地到目的路径,“踩点”
DOS(Deny of service)攻击 拒绝服务式攻击
DDOS(Distributed deny of service) 分布式拒绝服务式攻击
工具:LOIC
UDP协议
用户数据报协议,user datagram protocol,用于实现面向无连接的不可靠协议,传输层协议
原理
特征
1.数据包结构非常简洁
2.处理速度快
3.实时交互(社交软件、视频流、实时交互协议)
基于UDP开发的应用,协议
DHCP(端口:67/68) DNS(53) OICQ(8000) TFTP(69)
DHCP
动态主机配置协议,Dynamic Host Configuration Protocol,用于实现对终端设备的动态IP信息分配(IP地址、网关地址、DNS服务器、WINS服务)
原理
1.通信过程中,源端口一般属于随机高端口(端口号比较大),目的端口属于固定知名端口。
2.1-1023为知名端口号范围,余下的为高端口号
小结
1.数据包的功能:
发现包用于广播发现局域网的DHCP服务器;
提供包用于预回复客户端,告知其即将给的IP地址
请求包正是对感兴趣的服务器/IP地址发起请求
确认包对客户端进行最终的正是确认(这个时候服务器会将分配出去的IP地址移开本地地址池)
2.为什么需要4个包来获取地址,而不是2个包
2个包无法解决多服务器环境下,地址浪费的问题
3.DHCP初始请求过程中,客户端本地是没有IP地址的,那么如何对外发送发现和请求包呢
0.0.0.0
4.DHCP的交互过程都是广播包形式来实现的,目的IP采用255.255.255.2555
5.DHCP交互过程中,服务端为67,客户端为68
TCP协议
Transmission Control Protocol,传输控制协议,是TCP/IP协议栈中算法最多,功能最繁杂的协议。
基于TCP的应用层协议:
HTTP:80 上网
HTTPS:443 安全性较高,网银、支付宝
FTP:20/21 传输大数据流
SSH:22 远程安全连接、登录
TELNET:23 远程连接、登录
SMTP/POP:25/110 邮件传输协议,一个收,一个发送
功能
面向连接(三次握手、四次挥手)
可靠传输(经典重传、超时重传、快速重传/选择性重传)
流量控制(滑动窗口、拥塞管理)
多路复用(套接字)
原理
1.面向连接(三次连接、四次挥手)
三次连接
三次握手是一个会话的建立过程,这个过程中没有正式的数据包交互
SYN包用于实现端口请求,ACK包用于实现端口回复
2.四次挥手(结束会话)
四次挥手的意义在于释放会话,减少服务器和客户端的资源消耗
2.可靠传输(序列号SEQ、确认号ACK)
3.流量控制
4.多路复用(套接字socket/session---IP+Port)
Telnet协议
远程登录协议,用于对设备进行远程管理
