網(wǎng)絡(luò)層協(xié)議分析ARP協(xié)議分析ICMP協(xié)議分析ip協(xié)議分析TCP/IP協(xié)議分析課件制作：鄒延平ARP協(xié)議分析TCP/IP協(xié)議分析課件制作：鄒延平什么是ARPARP(AddressResolutionProtocol)地址解析協(xié)議作用：IP→MAC簡(jiǎn)單來(lái)說(shuō)：

任何網(wǎng)絡(luò)訪問(wèn)（第一次）都會(huì)事先發(fā)一次arp的請(qǐng)求，以獲取目地主機(jī)的物理地址。TCP/IP協(xié)議分析課件制作：鄒延平地址解析協(xié)議ARP不管網(wǎng)絡(luò)層使用的是什么協(xié)議，在實(shí)際網(wǎng)絡(luò)的鏈路上傳送數(shù)據(jù)幀時(shí)，最終還是必須使用硬件地址。每一個(gè)主機(jī)都設(shè)有一個(gè)ARP高速緩存(ARPcache)，里面有所在的局域網(wǎng)上的各主機(jī)和路由器的IP地址到硬件地址的映射表。當(dāng)主機(jī)A欲向本局域網(wǎng)上的某個(gè)主機(jī)B發(fā)送IP數(shù)據(jù)報(bào)時(shí)，就先在其ARP高速緩存中查看有無(wú)主機(jī)B的IP地址。如有，就可查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過(guò)局域網(wǎng)將該MAC幀發(fā)往此硬件地址。TCP/IP協(xié)議分析課件制作：鄒延平ARP協(xié)議的基本思想TCP/IP協(xié)議分析課件制作：鄒延平ARP響應(yīng)AYXBZ主機(jī)B向A發(fā)送ARP響應(yīng)分組主機(jī)A廣播發(fā)送ARP請(qǐng)求分組ARP請(qǐng)求ARP請(qǐng)求ARP請(qǐng)求ARP請(qǐng)求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是，硬件地址是00-00-C0-15-AD-18我想知道主機(jī)的硬件地址我是硬件地址是08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-18TCP/IP協(xié)議分析課件制作：鄒延平TCP/IP協(xié)議分析課件制作：鄒延平使用ARP的情況TCP/IP協(xié)議分析課件制作：鄒延平ARP高速緩存

使用ARP高速緩存。當(dāng)主機(jī)(或路由器)A通過(guò)ARP請(qǐng)求得到B的物理地址時(shí)，就將此“IP地址——物理地址”綁定存儲(chǔ)在高速緩存中。這樣，對(duì)于后續(xù)發(fā)往B的分組，通過(guò)查找高速緩存獲得物理地址。TCP/IP協(xié)議分析課件制作：鄒延平ARP緩存Arp–s添加靜態(tài)ARP緩存表項(xiàng)，該表項(xiàng)是永久性的，除非用arp–d刪除；動(dòng)態(tài)arp緩存表項(xiàng)有有限的生存時(shí)間，在pc上ping某ip后，獲得該ip的mac地址后，Arp–a觀察動(dòng)態(tài)arp緩存的生存時(shí)間；觀察在2分鐘內(nèi)未使用該arp表項(xiàng)的話，該表項(xiàng)會(huì)被自動(dòng)刪除，如果在2分鐘內(nèi)使用了該表項(xiàng)，會(huì)從使用之時(shí)起，該表項(xiàng)的生存時(shí)間再延長(zhǎng)2分鐘。TCP/IP協(xié)議分析課件制作：鄒延平arp緩存表項(xiàng)的生存期

在默認(rèn)情況下，WindowsServer2003家族和WindowsXP中，ARP緩存中的表項(xiàng)僅存儲(chǔ)2分鐘。如果一個(gè)ARP緩存表項(xiàng)在2分鐘內(nèi)被用到，則其期限再延長(zhǎng)2分鐘，直到最大生命期限10分鐘為止。超過(guò)10分鐘的最大期限后，ARP緩存表項(xiàng)將被移出，并且通過(guò)另外一個(gè)ARP請(qǐng)求——ARP回應(yīng)交換來(lái)獲得新的對(duì)應(yīng)關(guān)系。TCP/IP協(xié)議分析課件制作：鄒延平ARP請(qǐng)求實(shí)現(xiàn)流程有無(wú)無(wú)有目的站IP地址查詢ARP高速緩存IP地址—mac地址？廣播ARP請(qǐng)求，等待ARP應(yīng)答提取mac地址“IP地址——mac地址“綁定存入高速緩存收到ARP應(yīng)答？找不到mac地址TCP/IP協(xié)議分析課件制作：鄒延平ARP應(yīng)答實(shí)現(xiàn)流程是否ARP請(qǐng)求分組到達(dá)本機(jī)是請(qǐng)求目標(biāo)？用本機(jī)mac地址進(jìn)行應(yīng)答發(fā)送站“IP地址——mac地址“綁定存入高速緩存TCP/IP協(xié)議分析課件制作：鄒延平ARP分組格式硬件類型協(xié)議類型硬件長(zhǎng)度協(xié)議長(zhǎng)度操作（請(qǐng)求1，回答2）發(fā)送站硬件地址發(fā)送站協(xié)議地址目的站硬件地址目的站協(xié)議地址TCP/IP協(xié)議分析課件制作：鄒延平ARP幀格式TCP/IP協(xié)議分析課件制作：鄒延平特殊的ARP代理ARP向另一個(gè)網(wǎng)絡(luò)發(fā)送ARP請(qǐng)求時(shí)，路由器主機(jī)返回自己的mac作為目的地址免費(fèi)ARP發(fā)給自己的ARP，一般發(fā)生在系統(tǒng)引導(dǎo)時(shí)，來(lái)獲得網(wǎng)絡(luò)接口的MAC地址。TCP/IP協(xié)議分析課件制作：鄒延平代理ARP兩個(gè)物理網(wǎng)絡(luò)通過(guò)代理ARP連接的例子TCP/IP協(xié)議分析課件制作：鄒延平免費(fèi)ARP和重復(fù)的IP地址檢測(cè)

ARP可以被用來(lái)檢測(cè)重復(fù)的IP地址，這是通過(guò)傳送一種叫做免費(fèi)ARP的ARP請(qǐng)求來(lái)完成的。免費(fèi)ARP就是一個(gè)發(fā)往自己IP地址的ARP請(qǐng)求。在免費(fèi)ARP中，SPA(發(fā)送者協(xié)議地址)和TPA(目標(biāo)協(xié)議地址)被設(shè)置成同一個(gè)IP地址。如果節(jié)點(diǎn)發(fā)送一個(gè)發(fā)往自己IP地址的ARP請(qǐng)求，就不應(yīng)收到任何一個(gè)ARP回應(yīng)幀，這樣節(jié)點(diǎn)就可以判斷沒(méi)有其他節(jié)點(diǎn)使用跟它相同的IP地址。如果節(jié)點(diǎn)發(fā)送一個(gè)發(fā)往自己IP地址的ARP請(qǐng)求，結(jié)果收到ARP回應(yīng)，這樣此節(jié)點(diǎn)就可以判斷有另外一個(gè)節(jié)點(diǎn)使用同樣的IP地址。如果發(fā)送了3個(gè)免費(fèi)ARP后，都沒(méi)有收到ARP回應(yīng)，IP就假定此IP地址在此網(wǎng)絡(luò)段中是唯一的。TCP/IP協(xié)議分析課件制作：鄒延平ARP協(xié)議漏洞漏洞的根源就是ARP協(xié)議是無(wú)連接的沒(méi)有ARP的請(qǐng)求也可以ARP回復(fù),最致命的就是操作系統(tǒng)收到這個(gè)請(qǐng)求后就會(huì)更新ARP緩存。

ARP請(qǐng)求也可以偽造。ARP主機(jī)的緩存中毒！TCP/IP協(xié)議分析課件制作：鄒延平ARP攻擊分析幀類型—0x0806 ARP欺騙都是通過(guò)填寫錯(cuò)誤的MAC-IP對(duì)應(yīng)關(guān)系來(lái)實(shí)現(xiàn)的ARP攻擊利用ARP協(xié)議本身的缺陷來(lái)實(shí)現(xiàn)！可以利用幀類型來(lái)識(shí)別ARP報(bào)文TCP/IP協(xié)議分析課件制作：鄒延平ARP欺騙攻擊——仿冒網(wǎng)關(guān)攻擊者發(fā)送偽造的網(wǎng)關(guān)ARP報(bào)文，欺騙同網(wǎng)段內(nèi)的其它主機(jī)。主機(jī)訪問(wèn)網(wǎng)關(guān)的流量，被重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)。正常用戶A網(wǎng)關(guān)G網(wǎng)關(guān)MAC更新了已更新發(fā)送偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType(網(wǎng)關(guān))1-1-1DynamicIPAddressMACType（網(wǎng)關(guān)）2-2-2Dynamic目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3IPAddressBMACB05-5-5網(wǎng)關(guān)的MACis2-2-2ARP表項(xiàng)更新為數(shù)據(jù)流被中斷這種攻擊為ARP攻擊中最為常見(jiàn)的攻擊TCP/IP協(xié)議分析課件制作：鄒延平ARP欺騙攻擊——欺騙網(wǎng)關(guān)攻擊者偽造虛假的ARP報(bào)文，欺騙網(wǎng)關(guān)網(wǎng)關(guān)發(fā)給該用戶的所有數(shù)據(jù)全部重定向到一個(gè)錯(cuò)誤的MAC地址，導(dǎo)致該用戶無(wú)法正常訪問(wèn)外網(wǎng)正常用戶A網(wǎng)關(guān)G用戶A的MAC更新了已更新發(fā)送偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType3-3-3DynamicIPAddressMACType2-2-2Dynamic目的MAC源MAC…2-2-21-1-1…IPAddressAMACA3-3-3IPAddressBMACB05-5-5用戶A的MACis2-2-2ARP表項(xiàng)更新為數(shù)據(jù)流被中斷TCP/IP協(xié)議分析課件制作：鄒延平ARP欺騙攻擊——欺騙終端用戶攻擊者偽造虛假的ARP報(bào)文，欺騙相同網(wǎng)段內(nèi)的其他主機(jī)。網(wǎng)段內(nèi)的其他主機(jī)發(fā)給該用戶的所有數(shù)據(jù)都被重定向到錯(cuò)誤的MAC地址，同網(wǎng)段內(nèi)的用戶無(wú)法正常互訪。正常用戶A網(wǎng)關(guān)G用戶C的MAC更新了知道了發(fā)送偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType9-9-9DynamicIPAddressMACType2-2-2Dynamic目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3IPAddressBMACB05-5-5IPAddressCMACC9-9-9用戶C的MACis2-2-2ARP表項(xiàng)更新為數(shù)據(jù)流被中斷TCP/IP協(xié)議分析課件制作：鄒延平ARP泛洪攻擊攻擊者偽造大量不同ARP報(bào)文在同網(wǎng)段內(nèi)進(jìn)行廣播，導(dǎo)致網(wǎng)關(guān)ARP表項(xiàng)被占滿，合法用戶的ARP表項(xiàng)無(wú)法正常學(xué)習(xí)，導(dǎo)致合法用戶無(wú)法正常訪問(wèn)外網(wǎng)正常用戶A網(wǎng)關(guān)G用戶A、A1、A2、A3…的MAC更新了已更新發(fā)送大量偽造ARP信息攻擊者BIPAddressGMACG1-1-1IPAddressMACType2-2-2Dynamic2-2-3Dynamic2-2-4Dynamic2-2-5Dynamic2-2-6Dynamic………….DynamicIPAddressAMACA033-3-3MACis2-2-2ARP表項(xiàng)被占滿ARP表項(xiàng)無(wú)法學(xué)習(xí)IPAddressBMACB05-5-5MACis2-2-3MACis2-2-4……03MACis3-3-3TCP/IP協(xié)議分析課件制作：鄒延平ARP攻擊防御的三個(gè)控制點(diǎn)網(wǎng)關(guān)G用戶接入設(shè)備

網(wǎng)關(guān)防御

合法ARP綁定，防御網(wǎng)關(guān)被欺騙

ARP數(shù)量限制，防御ARP泛洪攻擊1接入設(shè)備防御

網(wǎng)關(guān)IP/MAC綁定，過(guò)濾掉仿冒網(wǎng)關(guān)的報(bào)文合法用戶IP/MAC綁定，過(guò)濾掉終端仿冒報(bào)文

ARP限速2客戶端防御

綁定網(wǎng)關(guān)信息3TCP/IP協(xié)議分析課件制作：鄒延平閱讀材料專題：ARP攻擊防范與解決方案Arp輔導(dǎo)材料

ARP欺騙的原理與模擬.doc

arp欺騙病毒排查實(shí)例.pdf

ARP協(xié)議深入解析實(shí)例-偽造ARP.pdf

……TCP/IP協(xié)議分析課件制作：鄒延平ICMP協(xié)議分析為了提高IP數(shù)據(jù)報(bào)交付成功的機(jī)會(huì)，在網(wǎng)際層使用了因特網(wǎng)控制報(bào)文協(xié)議ICMP(InternetControlMessageProtocol)。ICMP允許主機(jī)或路由器報(bào)告差錯(cuò)情況和提供有關(guān)異常情況的報(bào)告。ICMP報(bào)文作為IP層數(shù)據(jù)報(bào)的數(shù)據(jù)，加上數(shù)據(jù)報(bào)的首部，組成IP數(shù)據(jù)報(bào)發(fā)送出去。ICMP用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。

TCP/IP協(xié)議分析課件制作：鄒延平ICMP報(bào)文

IP報(bào)頭ICMP報(bào)頭ICMP信息ICMP數(shù)據(jù)報(bào)IP數(shù)據(jù)報(bào)ICMP報(bào)文IP互聯(lián)網(wǎng)利用ICMP傳輸控制報(bào)文和差錯(cuò)報(bào)文ICMP報(bào)文的封裝：封裝在IP數(shù)據(jù)報(bào)中TCP/IP協(xié)議分析課件制作：鄒延平ICMP報(bào)文TCP/IP協(xié)議分析課件制作：鄒延平ICMP報(bào)文的格式首部ICMP報(bào)文0數(shù)據(jù)部分檢驗(yàn)和類型代碼（這4個(gè)字節(jié)取決于ICMP報(bào)文的類型）81631IP數(shù)據(jù)報(bào)前4個(gè)字節(jié)都是一樣的ICMP的數(shù)據(jù)部分（長(zhǎng)度取決于類型）ICMP數(shù)據(jù)部分，不同類型和代碼有不同內(nèi)容類型(8bits)代碼(8bits)校驗(yàn)和(16bits)TCP/IP協(xié)議分析課件制作：鄒延平ICMP報(bào)文ICMP報(bào)文的種類有兩種，即ICMP差錯(cuò)報(bào)告報(bào)文和ICMP詢問(wèn)報(bào)文。ICMP報(bào)文的前4個(gè)字節(jié)是統(tǒng)一的格式，共有三個(gè)字段：即類型、代碼和檢驗(yàn)和。接著的4個(gè)字節(jié)的內(nèi)容與ICMP的類型有關(guān)。TCP/IP協(xié)議分析課件制作：鄒延平類型字段的值與ICMP報(bào)文的類型的關(guān)系ICMP報(bào)文種類類型的值ICMP報(bào)文的類型差錯(cuò)報(bào)告報(bào)文3終點(diǎn)不可到達(dá)4源站抑制11時(shí)間超過(guò)12參數(shù)問(wèn)題5改變路由詢問(wèn)報(bào)文8或0回送請(qǐng)求或回答13或14時(shí)間戳請(qǐng)求或回答17或18地址掩碼請(qǐng)求或回答10或9路由器詢問(wèn)或通告ICMP報(bào)文的類型TCP/IP協(xié)議分析課件制作：鄒延平I

CMP報(bào)文的類型TCP/IP協(xié)議分析課件制作：鄒延平ICMP差錯(cuò)報(bào)告報(bào)文共有5種終點(diǎn)不可達(dá)源站抑制時(shí)間超過(guò)參數(shù)問(wèn)題改變路由（重定向）TCP/IP協(xié)議分析課件制作：鄒延平ICMP差錯(cuò)報(bào)告報(bào)文的數(shù)據(jù)字段的內(nèi)容首部IP數(shù)據(jù)報(bào)ICMP的前8字節(jié)裝入ICMP報(bào)文的IP數(shù)據(jù)報(bào)IP數(shù)據(jù)報(bào)首部ICMP差錯(cuò)報(bào)告報(bào)文8字節(jié)收到的IP數(shù)據(jù)報(bào)IP數(shù)據(jù)報(bào)首部8字節(jié)ICMP差錯(cuò)報(bào)告報(bào)文IP數(shù)據(jù)報(bào)的數(shù)據(jù)字段TCP/IP協(xié)議分析課件制作：鄒延平ICMP主要差錯(cuò)報(bào)告類型目的地不可達(dá)報(bào)告網(wǎng)絡(luò)不可達(dá)、主機(jī)不可達(dá)、協(xié)議和端口不可達(dá)等超時(shí)報(bào)告參數(shù)出錯(cuò)報(bào)告TCP/IP協(xié)議分析課件制作：鄒延平不應(yīng)發(fā)送ICMP差錯(cuò)報(bào)告報(bào)文

的幾種情況對(duì)ICMP差錯(cuò)報(bào)告報(bào)文不再發(fā)送ICMP差錯(cuò)報(bào)告報(bào)文。對(duì)第一個(gè)分片的數(shù)據(jù)報(bào)片的所有后續(xù)數(shù)據(jù)報(bào)片都不發(fā)送ICMP差錯(cuò)報(bào)告報(bào)文。對(duì)具有多播地址的數(shù)據(jù)報(bào)都不發(fā)送ICMP差錯(cuò)報(bào)告報(bào)文。對(duì)具有特殊地址（如或）的數(shù)據(jù)報(bào)不發(fā)送ICMP差錯(cuò)報(bào)告報(bào)文。TCP/IP協(xié)議分析課件制作：鄒延平ICMP詢問(wèn)報(bào)文有四種回送請(qǐng)求和回答報(bào)文時(shí)間戳請(qǐng)求和回答報(bào)文掩碼地址請(qǐng)求和回答報(bào)文路由器詢問(wèn)和通告報(bào)文TCP/IP協(xié)議分析課件制作：鄒延平ICMP請(qǐng)求/應(yīng)答報(bào)文對(duì)回應(yīng)請(qǐng)求與應(yīng)答測(cè)試目的主機(jī)或路由器的可達(dá)性時(shí)戳請(qǐng)求與應(yīng)答獲取其他設(shè)備的當(dāng)前時(shí)間掩碼請(qǐng)求與應(yīng)答從路由器獲取本網(wǎng)的子網(wǎng)掩碼TCP/IP協(xié)議分析課件制作：鄒延平TCP/IP協(xié)議分析課件制作：鄒延平TCP/IP協(xié)議分析課件制作：鄒延平TCP/IP協(xié)議分析課件制作：鄒延平PING(PacketInterNetGroper)PING用來(lái)測(cè)試兩個(gè)主機(jī)之間的連通性。PING使用了ICMP回送請(qǐng)求與回送回答報(bào)文。PING是應(yīng)用層直接使用網(wǎng)絡(luò)層ICMP的例子，它沒(méi)有通過(guò)運(yùn)輸層的TCP或UDP。TCP/IP協(xié)議分析課件制作：鄒延平在IP層中利用回應(yīng)請(qǐng)求/應(yīng)答ICMP報(bào)文來(lái)測(cè)試目的主機(jī)或路由器的可達(dá)性Ping命令Ping命令使用TCP/IP協(xié)議分析課件制作：鄒延平Ping命令使用（1）監(jiān)測(cè)網(wǎng)絡(luò)的連通性，檢驗(yàn)與遠(yuǎn)程計(jì)算機(jī)或本地計(jì)算機(jī)的連接。（2）確定是否有數(shù)據(jù)報(bào)被丟失、復(fù)制或重傳。（3）Ping在其所發(fā)送的數(shù)據(jù)報(bào)中設(shè)置時(shí)間戳（Timestamp），根據(jù)返回的時(shí)間戳信息可以計(jì)算數(shù)據(jù)包交換的時(shí)間，即RTT（RoundTripTime）。（4）Ping校驗(yàn)每一個(gè)收到的數(shù)據(jù)報(bào)，據(jù)此可以確定數(shù)據(jù)報(bào)是否損壞。通過(guò)執(zhí)行Ping命令主要可獲得如下信息：TCP/IP協(xié)議分析課件制作：鄒延平選項(xiàng)含義-t不停的ping目的主機(jī)，直到手動(dòng)停止（按下Ctrl-C）-a將IP地址解析為計(jì)算機(jī)主機(jī)名-ncount發(fā)送回送請(qǐng)求ICMP報(bào)文的次數(shù)（默認(rèn)值為4）

-lsize定義echo數(shù)據(jù)包大小。（默認(rèn)值為32B）-f在數(shù)據(jù)包中不允許分片（默認(rèn)為允許分片）

-iTTL指定生存周期-vTOS指定要求的服務(wù)類型-rcount記錄路由-scount使用時(shí)間戳選項(xiàng)-jhost-list］利用computer-list指定的計(jì)算機(jī)列表路由數(shù)據(jù)包-khost-list利用computer-list指定的計(jì)算機(jī)列表路由數(shù)據(jù)包-wtimeout指定超時(shí)間隔，單位為毫秒Ping命令選項(xiàng)TCP/IP協(xié)議分析課件制作：鄒延平1.連續(xù)發(fā)送Ping測(cè)試報(bào)文連續(xù)發(fā)送Ping測(cè)試報(bào)文可以使用-t選項(xiàng)。如執(zhí)行命令“ping12–t”連續(xù)向IP地址為12的主機(jī)發(fā)送Ping測(cè)試報(bào)文，可以使用Ctrl＋break顯示發(fā)送和接收回應(yīng)請(qǐng)求/應(yīng)答ICMP報(bào)文的統(tǒng)計(jì)信息。2.自選數(shù)據(jù)長(zhǎng)度的Ping測(cè)試報(bào)文在默認(rèn)情況下，Ping命令使用的測(cè)試報(bào)數(shù)據(jù)長(zhǎng)度為32B，使用“-lSize”選項(xiàng)可以指定測(cè)試報(bào)數(shù)據(jù)長(zhǎng)度。如使用命令“ping12–l1560”。

Ping命令TCP/IP協(xié)議分析課件制作：鄒延平3.修改Ping命令的請(qǐng)求超時(shí)時(shí)間默認(rèn)情況下，系統(tǒng)等待1000ms的時(shí)間以便讓每個(gè)響應(yīng)返回。如果超過(guò)1000ms，系統(tǒng)將顯示“請(qǐng)求超時(shí)（requesttimedout）”。在Ping測(cè)試數(shù)據(jù)報(bào)經(jīng)過(guò)延遲較長(zhǎng)的鏈路時(shí)，響應(yīng)可能會(huì)花更長(zhǎng)的時(shí)間才能返回，這時(shí)可以使用“-w”選項(xiàng)指定更長(zhǎng)的超時(shí)時(shí)間。如命令“ping12–w6000”指定超時(shí)時(shí)間為6000ms。4.不允許路由器對(duì)Ping探測(cè)報(bào)文分片主機(jī)發(fā)送的Ping探測(cè)報(bào)文通常允許中途的路由器分片，以便使探測(cè)報(bào)文通過(guò)MTU較小的網(wǎng)絡(luò)。如果不允許Ping探測(cè)報(bào)文在傳輸過(guò)程中被分片，可以使用“–f”選項(xiàng)。如果指定的探測(cè)報(bào)文的長(zhǎng)度太長(zhǎng)，同時(shí)又不允許分片，探測(cè)數(shù)據(jù)報(bào)就不可能到達(dá)目的地并返回應(yīng)答。在以太網(wǎng)中，如果指定不允許分片的探測(cè)數(shù)據(jù)報(bào)長(zhǎng)度為3000B，執(zhí)行命令“Ping-f–l3000”，那么，系統(tǒng)將給出目的地不可達(dá)報(bào)告。Ping命令TCP/IP協(xié)議分析課件制作：鄒延平連續(xù)發(fā)送ping探測(cè)報(bào)文TCP/IP協(xié)議分析課件制作：鄒延平自選數(shù)據(jù)長(zhǎng)度的ping探測(cè)報(bào)文TCP/IP協(xié)議分析課件制作：鄒延平不允許對(duì)ping探測(cè)報(bào)分片TCP/IP協(xié)議分析課件制作：鄒延平修改“ping”命令的請(qǐng)求超時(shí)時(shí)間TCP/IP協(xié)議分析課件制作：鄒延平ping對(duì)目的地不可達(dá)的屏幕響應(yīng)1.目的網(wǎng)絡(luò)不可達(dá)（Destinationnetunreachable）沒(méi)有到目的地的路由原因：通常是“Replyfrom”中列出的路由器路由錯(cuò)誤造成的2.請(qǐng)求超時(shí)（Requesttimedout）在指定的超時(shí)時(shí)間內(nèi)沒(méi)有對(duì)探測(cè)報(bào)文作出響應(yīng)原因：路由器關(guān)閉、目標(biāo)主機(jī)關(guān)閉、沒(méi)有路由返回到主機(jī)或響應(yīng)的等待時(shí)間大于指定的超時(shí)時(shí)間等TCP/IP協(xié)議分析課件制作：鄒延平tracert命令Tracert（跟蹤路由）是路由跟蹤實(shí)用程序，用于獲得IP數(shù)據(jù)報(bào)訪問(wèn)目標(biāo)時(shí)從本地計(jì)算機(jī)到目的主機(jī)的路徑信息。在MSWindows操作系統(tǒng)中該命令為tracert，而在Unix／Linux以及CiscoIOS中則為traceroute。Tracert命令用IP生存時(shí)間(TTL)字段和ICMP差錯(cuò)報(bào)文來(lái)確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。Tracert命令格式：tracert[-d][-hMaximumHops][-jHostList][-wTimeout][-R][-SSrcAddr][-4][-6]TargetNameTCP/IP協(xié)議分析課件制作：鄒延平1.要跟蹤名為的主機(jī)的路徑，輸入命令:

tracert2.要跟蹤名為的主機(jī)的路徑并防止將每個(gè)IP地址解析為它的名稱，輸入命令:tracert-dtracert命令的使用TCP/IP協(xié)議分析課件制作：鄒延平ICMP的安全問(wèn)題pingofdeath(死亡之ping)ICMPFlood(ICMP洪水)Smurf攻擊ICMP重定向TCP/IP協(xié)議分析課件制作：鄒延平死亡之Ping（pingofdeath）對(duì)目標(biāo)IP不停地Ping探測(cè)從而致使目標(biāo)主機(jī)網(wǎng)絡(luò)癱瘓。由于在早期的階段，路由器對(duì)包的最大尺寸都有限制，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)，當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)。防御：現(xiàn)在所有的標(biāo)準(zhǔn)TCP/IP實(shí)現(xiàn)都已實(shí)現(xiàn)對(duì)付超大尺寸的包，并且大多數(shù)防火墻能夠自動(dòng)過(guò)濾這些攻擊，包括：從windows98之后的windowsNT(servicepack3之后)，Solaris、和MacOS都具有抵抗一般pingofdeath攻擊的能力。此外，對(duì)防火墻進(jìn)行配置，阻斷ICMP以及任何未知協(xié)議，都講防止此類攻擊。ping-t-l65500ip

死亡之ping(發(fā)送大于64K的文件并一直ping就成了死亡之ping)

TCP/IP協(xié)議分析課件制作：鄒延平ICMPFloodICMPFlood（ICMP洪水攻擊）：當(dāng)ICMPping產(chǎn)生的大量回應(yīng)請(qǐng)求超出了系統(tǒng)的最大限度，以至于系統(tǒng)耗費(fèi)所有資源來(lái)進(jìn)行響應(yīng)直至再也無(wú)法處理有效的網(wǎng)絡(luò)信息流，就是ICMP洪水攻擊。目的是使網(wǎng)絡(luò)癱瘓，是最常用的網(wǎng)絡(luò)攻擊行為之一。TCP/IP協(xié)議分析課件制作：鄒延平Smurf攻擊Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名“Smurf”來(lái)命名的。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)進(jìn)行服務(wù)。Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。TCP/IP協(xié)議分析課件制作：鄒延平ICMP重定向

在Internet上，主機(jī)數(shù)量要比路由器多出許多，為了提高效率，主機(jī)都不參與路由選擇過(guò)程。主機(jī)通常使用靜態(tài)路由選擇。當(dāng)主機(jī)開(kāi)始聯(lián)網(wǎng)時(shí)，其路由表中的項(xiàng)目數(shù)很有限，通常只知道默認(rèn)路由的IP地址。因此主機(jī)可能會(huì)把某數(shù)據(jù)發(fā)送到一個(gè)錯(cuò)誤的路由，其實(shí)該數(shù)據(jù)本應(yīng)該發(fā)送給另一個(gè)網(wǎng)絡(luò)的。在這種情況下，收到該數(shù)據(jù)的路由器會(huì)把數(shù)據(jù)轉(zhuǎn)發(fā)給正確的路由器，同時(shí)，它會(huì)向主機(jī)發(fā)送ICMP重定向報(bào)文，來(lái)改變主機(jī)的路由表。

路由器發(fā)送ICMPRedirect消息給主機(jī)來(lái)指出存在一個(gè)更好的路由。ICMPRedirect數(shù)據(jù)包使用下圖中顯示的結(jié)構(gòu)。當(dāng)IP數(shù)據(jù)報(bào)應(yīng)該被發(fā)送到另一個(gè)路由器時(shí)，收到數(shù)據(jù)報(bào)的路由器就要發(fā)送ICMP重定向差錯(cuò)報(bào)文給IP數(shù)據(jù)報(bào)的發(fā)送端。ICMP重定向報(bào)文的接收者必須查看三個(gè)IP地址：

（1）導(dǎo)致重定向的IP地址（即ICMP重定向報(bào)文的數(shù)據(jù)位于IP數(shù)據(jù)報(bào)的首部）；

（2）發(fā)送重定向報(bào)文的路由器的IP地址（包含重定向信息的IP數(shù)據(jù)報(bào)中的源地址）；

（3）應(yīng)該采用的路由器的IP地址（在ICMP報(bào)文中的4-7字節(jié)）。TCP/IP協(xié)議分析課件制作：鄒延平ICMP重定向

類型=5代碼=0-3檢

驗(yàn)

和應(yīng)該使用的路由器IP地址IP首部（包括選項(xiàng)）+原始IP數(shù)據(jù)報(bào)中數(shù)據(jù)的前8字節(jié)代碼為0：

路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)到達(dá)目標(biāo)網(wǎng)絡(luò)的更好方法。

代碼為1：

路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)到達(dá)目標(biāo)主機(jī)的更好方法。

代碼為2：

路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)更好的方法到達(dá)使用希望的TOS目標(biāo)網(wǎng)絡(luò)。

代碼為3：

路由器可以發(fā)送這個(gè)ICMP消息來(lái)指出有一個(gè)更好的方法到達(dá)使用所要求的TOS的目標(biāo)主機(jī)。

TCP/IP協(xié)議分析課件制作：鄒延平改變路由請(qǐng)求

主機(jī)則從最少的路由信息開(kāi)始，并從路由器那里獲得新的路由信息。主機(jī)通常在配置中設(shè)定一個(gè)默認(rèn)的路由器。當(dāng)主機(jī)所在網(wǎng)絡(luò)存在多個(gè)路由器時(shí)，主機(jī)涉及改變路由的問(wèn)題TCP/IP協(xié)議分析課件制作：鄒延平改變路由ICMPTCP/IP協(xié)議分析課件制作：鄒延平改變路由ICMPTCP/IP協(xié)議分析課件制作：鄒延平改變路由ICMPTCP/IP協(xié)議分析課件制作：鄒延平改變路由ICMPTCP/IP協(xié)議分析課件制作：鄒延平閱讀材料輔導(dǎo)材料

完全理解ICMP協(xié)議.pdf

TCP/IP協(xié)議分析課件制作：鄒延平IP協(xié)議分析TCP/IP協(xié)議分析課件制作：鄒延平69網(wǎng)際協(xié)議IP及其配套協(xié)議各種應(yīng)用層協(xié)議網(wǎng)絡(luò)接口層(TELNET,FTP,SMTP等)物理硬件運(yùn)輸層TCP,UDP應(yīng)用層ICMPIPRARPARP與各種網(wǎng)絡(luò)接口網(wǎng)際層IGMPTCP/IP協(xié)議分析課件制作：鄒延平網(wǎng)絡(luò)層功能網(wǎng)絡(luò)互聯(lián)數(shù)據(jù)鏈路層給傳輸層提供服務(wù)地址解析傳輸層路由選擇協(xié)議接收數(shù)據(jù)鏈路層服務(wù)分組尋址路由選擇分段多播TCP/IP協(xié)議分析課件制作：鄒延平IP地址與硬件地址TCP報(bào)文IP數(shù)據(jù)報(bào)MAC幀應(yīng)用層數(shù)據(jù)首部首部尾部首部鏈路層及以下使用硬件地址硬件地址網(wǎng)絡(luò)層及以上使用IP地址IP地址TCP/IP協(xié)議分析課件制作：鄒延平HA1HA5HA4HA3HA6主機(jī)H1主機(jī)H2路由器R1硬件地址路由器R2HA2IP1IP2局域網(wǎng)局域網(wǎng)局域網(wǎng)通信的路徑H1→經(jīng)過(guò)R1轉(zhuǎn)發(fā)→再經(jīng)過(guò)R2轉(zhuǎn)發(fā)→H2查找路由表查找路由表TCP/IP協(xié)議分析課件制作：鄒延平HA1HA5HA4HA3HA6主機(jī)H1主機(jī)H2路由器R1硬件地址路由器R2HA2IP1IP2局域網(wǎng)局域網(wǎng)局域網(wǎng)IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)從協(xié)議棧的層次上看數(shù)據(jù)的流動(dòng)TCP/IP協(xié)議分析課件制作：鄒延平HA1HA5HA4HA3HA6主機(jī)H1主機(jī)H2路由器R1硬件地址路由器R2HA2IP1IP2局域網(wǎng)局域網(wǎng)局域網(wǎng)IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)從虛擬的IP層上看IP數(shù)據(jù)報(bào)的流動(dòng)TCP/IP協(xié)議分析課件制作：鄒延平HA1HA5HA4HA3HA6主機(jī)H1主機(jī)H2路由器R1硬件地址路由器R2HA2IP1IP2局域網(wǎng)局域網(wǎng)局域網(wǎng)IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)在鏈路上看MAC幀的流動(dòng)TCP/IP協(xié)議分析課件制作：鄒延平IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)在IP層抽象的互聯(lián)網(wǎng)上只能看到IP數(shù)據(jù)報(bào)圖中的IP1→IP2表示從源地址IP1到目的地址IP2

兩個(gè)路由器的IP地址并不出現(xiàn)在IP數(shù)據(jù)報(bào)的首部中TCP/IP協(xié)議分析課件制作：鄒延平IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)MAC幀IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)路由器只根據(jù)目的站的IP地址的網(wǎng)絡(luò)號(hào)進(jìn)行路由選擇TCP/IP協(xié)議分析課件制作：鄒延平IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC幀從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)在具體的物理網(wǎng)絡(luò)的鏈路層只能看見(jiàn)MAC幀而看不見(jiàn)IP數(shù)據(jù)報(bào)TCP/IP協(xié)議分析課件制作：鄒延平IP1HA1HA5HA4HA3HA6HA2IP6主機(jī)H1主機(jī)H2路由器R1IP層上的互聯(lián)網(wǎng)IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC幀從HA1到HA3從HA4到HA5從HA6到HA2MAC幀MAC幀IP數(shù)據(jù)報(bào)IP層抽象的互聯(lián)網(wǎng)屏蔽了下層很復(fù)雜的細(xì)節(jié)在抽象的網(wǎng)絡(luò)層上討論問(wèn)題，就能夠使用統(tǒng)一的、抽象的IP地址研究主機(jī)和主機(jī)或主機(jī)和路由器之間的通信TCP/IP協(xié)議分析課件制作：鄒延平IP數(shù)據(jù)報(bào)的格式一個(gè)IP數(shù)據(jù)報(bào)由首部和數(shù)據(jù)兩部分組成首部的前一部分是固定長(zhǎng)度，共20字節(jié)，是所有IP數(shù)據(jù)報(bào)必須具有的在首部的固定部分的后面是一些可選字段，其長(zhǎng)度是可變的TCP/IP協(xié)議分析課件制作：鄒延平固定部分可變部分04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分?jǐn)?shù)據(jù)部分首部傳送IP數(shù)據(jù)報(bào)首部發(fā)送在前IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分?jǐn)?shù)據(jù)部分首部傳送IP數(shù)據(jù)報(bào)固定部分可變部分IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分版本——占4位，指IP協(xié)議的版本目前的IP協(xié)議版本號(hào)為4(即IPv4)IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分首部長(zhǎng)度——占4位，可表示的最大數(shù)值是15個(gè)單位(一個(gè)單位為4字節(jié)),因此IP的首部長(zhǎng)度的最大值是60字節(jié)。IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分區(qū)分服務(wù)——占8位，用來(lái)獲得更好的服務(wù)。在舊標(biāo)準(zhǔn)中叫做服務(wù)類型，但實(shí)際上并未被使用過(guò)。僅在使用區(qū)分服務(wù)(DiffServ)時(shí)，此字段才起作用。IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分總長(zhǎng)度——占16位，指首部和數(shù)據(jù)之和的長(zhǎng)度，單位為字節(jié)，因此數(shù)據(jù)報(bào)的最大長(zhǎng)度為65535字節(jié)。總長(zhǎng)度必須不超過(guò)最大傳送單元MTU。

IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分標(biāo)識(shí)(identification)——占16位，IP數(shù)據(jù)報(bào)的格式IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，每產(chǎn)生一個(gè)數(shù)據(jù)報(bào)，計(jì)數(shù)器就加1，并將此值賦給標(biāo)識(shí)字段。但這個(gè)“標(biāo)識(shí)”并不是序號(hào)，因?yàn)镮P是無(wú)連接服務(wù)，數(shù)據(jù)報(bào)不存在按序接收的問(wèn)題。當(dāng)數(shù)據(jù)報(bào)由于長(zhǎng)度超過(guò)網(wǎng)絡(luò)的MTU而必須分片時(shí)，這個(gè)標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)的標(biāo)識(shí)字段中。相同的標(biāo)識(shí)字段的值使分片后的各數(shù)據(jù)報(bào)片最后能正確地重裝成為原來(lái)的數(shù)據(jù)報(bào)。

TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分標(biāo)志(flag)——占3位，目前只有后兩位有意義標(biāo)志字段的最低位是MF(MoreFragment)MF1表示后面“還有分片”

MF0表示最后一個(gè)分片標(biāo)志字段中間的一位是DF(Don'tFragment)只有當(dāng)DF0時(shí)才允許分片

IP數(shù)據(jù)報(bào)的格式000可以分片,但不用分片

或已是最后一片

001可以分片,后面還有分片

010不可分片TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分片偏移(13位)：較長(zhǎng)的分組在分片后某片在原分組中的相對(duì)位置。片偏移以8個(gè)字節(jié)為偏移單位。IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的數(shù)據(jù)報(bào)數(shù)據(jù)報(bào)片1首部數(shù)據(jù)部分共3800字節(jié)首部1首部2首部3字節(jié)0數(shù)據(jù)報(bào)片2數(shù)據(jù)報(bào)片314002800字節(jié)0IP數(shù)據(jù)報(bào)分片的舉例TCP/IP協(xié)議分析課件制作：鄒延平MTUMTU：網(wǎng)絡(luò)規(guī)定的一個(gè)幀最多能夠攜帶的數(shù)據(jù)量IP數(shù)據(jù)報(bào)的長(zhǎng)度只有小于或等于網(wǎng)絡(luò)的MTU，才能在這個(gè)網(wǎng)絡(luò)傳輸與路由器連接的各個(gè)網(wǎng)絡(luò)的MTU可能不同TCP/IP協(xié)議分析課件制作：鄒延平分片分片：IP數(shù)據(jù)報(bào)的尺寸大于將發(fā)往網(wǎng)絡(luò)的MTU值時(shí)，路由器將IP數(shù)據(jù)報(bào)分成若干較小的部分的過(guò)程每個(gè)分片由報(bào)頭區(qū)和數(shù)據(jù)區(qū)兩部分構(gòu)成每個(gè)分片經(jīng)過(guò)獨(dú)立的路由選擇等處理過(guò)程，最終到達(dá)目的主機(jī)TCP/IP協(xié)議分析課件制作：鄒延平分片控制1.標(biāo)識(shí)源主機(jī)賦予IP數(shù)據(jù)報(bào)的標(biāo)識(shí)符該域需要復(fù)制到新分片的報(bào)頭中目的主機(jī)利用此域和目的地址判斷分片屬于哪個(gè)數(shù)據(jù)報(bào)2.標(biāo)志是否已經(jīng)分片，是否是最后一個(gè)分片3.片偏移本片數(shù)據(jù)在初始IP數(shù)據(jù)報(bào)數(shù)據(jù)區(qū)的位置偏移量以8B為單位TCP/IP協(xié)議分析課件制作：鄒延平重組1.重組：在接收到所有分片的基礎(chǔ)上，主機(jī)對(duì)分片進(jìn)行重新組裝的過(guò)程2.目的主機(jī)進(jìn)行重組減少了中間路由器的計(jì)算量路由器可以為每個(gè)分片獨(dú)立選路3.路由器不需要對(duì)分片進(jìn)行重組，也不可能對(duì)分片進(jìn)行重組TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分生存時(shí)間(8位)記為TTL(TimeToLive)，這是為了限制數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的生存時(shí)間，其單位最初是秒，但為了方便，現(xiàn)在都用“跳數(shù)”作為TTL的單位。數(shù)據(jù)報(bào)每經(jīng)過(guò)一個(gè)路由器，其TTL值就減1。IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分協(xié)議(8位)字段指出此數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)使用何種協(xié)議以便目的主機(jī)的IP層將數(shù)據(jù)部分向上層正確交付IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平運(yùn)輸層網(wǎng)絡(luò)層首部TCPUDPICMPIGMPOSPF數(shù)據(jù)部分IP數(shù)據(jù)報(bào)協(xié)議字段指出應(yīng)將數(shù)據(jù)部分交付到什么地方TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分首部檢驗(yàn)和(16位)字段只檢驗(yàn)數(shù)據(jù)報(bào)的首部不包括數(shù)據(jù)部分。這里不采用CRC檢驗(yàn)碼而采用簡(jiǎn)單的計(jì)算方法。IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平發(fā)送端接收端16bit字116bit字2置為全0檢驗(yàn)和16bit字n16bit反碼算術(shù)運(yùn)算求和……取反碼數(shù)據(jù)報(bào)首部IP數(shù)據(jù)報(bào)16bit檢驗(yàn)和16bit字116bit字216bit檢驗(yàn)和16bit字n16bit反碼算術(shù)運(yùn)算求和16bit結(jié)果……取反碼數(shù)據(jù)部分若結(jié)果為0,則保留；否則，丟棄該數(shù)據(jù)報(bào)數(shù)據(jù)部分不參與檢驗(yàn)和的計(jì)算TCP/IP協(xié)議分析課件制作：鄒延平首部04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)區(qū)分服務(wù)總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）位首部長(zhǎng)度數(shù)據(jù)部分固定部分可變部分源地址和目的地址都各占4字節(jié)IP數(shù)據(jù)報(bào)的格式TCP/IP協(xié)議分析課件制作：鄒延平IP數(shù)據(jù)報(bào)首部的可變部分IP首部的可變部分就是一個(gè)選項(xiàng)字段，用來(lái)支持排錯(cuò)、測(cè)量以及安全等措施，內(nèi)容很豐富。選項(xiàng)字段的長(zhǎng)度可變，從1個(gè)字節(jié)到40個(gè)字節(jié)不等，取決于所選擇的項(xiàng)目。增加首部的可變部分是為了增加IP數(shù)據(jù)報(bào)的功能，但這同時(shí)也使得IP數(shù)據(jù)報(bào)的首部長(zhǎng)度成為可變的。這就增加了每一個(gè)路由器處理數(shù)據(jù)報(bào)的開(kāi)銷。實(shí)際上這些選項(xiàng)很少被使用。TCP/IP協(xié)議分析課件制作：鄒延平下一代的網(wǎng)際協(xié)議IPv6

TCP/IP協(xié)議分析課件制作：鄒延平解決IP地址耗盡的措施從計(jì)算機(jī)本身發(fā)展以及從因特網(wǎng)規(guī)模和網(wǎng)絡(luò)傳輸速率來(lái)看，現(xiàn)在IPv4已很不適用。最主要的問(wèn)題就是32bit的IP地址不夠用。要解決IP地址耗盡的問(wèn)題的措施：采用無(wú)類別編址CIDR，使IP地址的分配更加合理。采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT方法以節(jié)省全球IP地址。采用具有更大地址空間的新版本的IP協(xié)議IPv6。

TCP/IP協(xié)議分析課件制作：鄒延平IPv6的基本首部IPv6所引進(jìn)的主要變化如下更大的地址空間。IPv6將地址從IPv4的32bit增大到了128bit，擴(kuò)展的地址層次結(jié)構(gòu)。靈活的首部格式。改進(jìn)的選項(xiàng)。允許協(xié)議繼續(xù)擴(kuò)充。支持即插即用（即自動(dòng)配置）支持資源的預(yù)分配。TCP/IP協(xié)議分析課件制作：鄒延平IPv6數(shù)據(jù)報(bào)的首部IPv6將首部長(zhǎng)度變?yōu)楣潭ǖ?0字節(jié)，稱為基本首部(baseheader)。將不必要的功能取消了，首部的字段數(shù)減少到只有8個(gè)。取消了首部的檢驗(yàn)和字段，加快了路由器處理數(shù)據(jù)報(bào)的速度。在基本首部的后面允許有零個(gè)或多個(gè)擴(kuò)展首部。所有的擴(kuò)展首部和數(shù)據(jù)合起來(lái)叫做數(shù)據(jù)報(bào)的有效載荷(payload)或凈負(fù)荷。TCP/IP協(xié)議分析課件制作：鄒延平IPv6數(shù)據(jù)報(bào)的一般形式基本首部擴(kuò)展首部1擴(kuò)展首部N…數(shù)據(jù)部分選項(xiàng)IPv6數(shù)據(jù)報(bào)有效載荷TCP/IP協(xié)議分析課件制作：鄒延平IPv6數(shù)據(jù)報(bào)首部與

IPv4數(shù)據(jù)報(bào)首部的對(duì)比04816192431版本標(biāo)志生存時(shí)間協(xié)議標(biāo)識(shí)服務(wù)類型總長(zhǎng)度片偏移填充首部檢驗(yàn)和源地址目的地址可選字段（長(zhǎng)度可變）比特首部長(zhǎng)度固定部分20字節(jié)可變部分IPv4首部取消有變化上面是IPv4數(shù)據(jù)報(bào)的首部TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24擴(kuò)展首部/數(shù)據(jù)IPv6的基本首部（40B）IPv6的有效載荷（至64KB）TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B版本(version)——4bit。它指明了協(xié)議的版本，對(duì)IPv6該字段總是6。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B通信量類(trafficclass)——8bit。這是為了區(qū)分不同的IPv6數(shù)據(jù)報(bào)的類別或優(yōu)先級(jí)。目前正在進(jìn)行不同的通信量類性能的實(shí)驗(yàn)。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B流標(biāo)號(hào)(flowlabel)——20bit。“流”是互聯(lián)網(wǎng)絡(luò)上從特定源點(diǎn)到特定終點(diǎn)的一系列數(shù)據(jù)報(bào)，“流”所經(jīng)過(guò)的路徑上的路由器都保證指明的服務(wù)質(zhì)量。所有屬于同一個(gè)流的數(shù)據(jù)報(bào)都具有同樣的流標(biāo)號(hào)。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B有效載荷長(zhǎng)度(payloadlength)——16bit。它指明IPv6數(shù)據(jù)報(bào)除基本首部以外的字節(jié)數(shù)（所有擴(kuò)展首部都算在有效載荷之內(nèi)），其最大值是64KB。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B下一個(gè)首部(nextheader)——8bit。它相當(dāng)于IPv4的協(xié)議字段或可選字段。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B跳數(shù)限制(hoplimit)——8bit。源站在數(shù)據(jù)報(bào)發(fā)出時(shí)即設(shè)定跳數(shù)限制。路由器在轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)時(shí)將跳數(shù)限制字段中的值減1。當(dāng)跳數(shù)限制的值為零時(shí)，就要將此數(shù)據(jù)報(bào)丟棄。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B源地址——128bit。是數(shù)據(jù)報(bào)的發(fā)送站的IP地址。TCP/IP協(xié)議分析課件制作：鄒延平041631版本比特目的

地址源地址下一個(gè)首部流標(biāo)號(hào)12通信量類（128bit）（128bit）有效載荷長(zhǎng)度跳數(shù)限制24IPv6的基本首部40B目的地址——128bit。是數(shù)據(jù)報(bào)的接收站的IP地址。TCP/IP協(xié)議分析課件制作：鄒延平IPv6的擴(kuò)展首部基本首部下一個(gè)首部=TCP/UDP基本首部下一個(gè)首部=路由選擇路由選擇首部下一個(gè)首部=分片分片首部下一個(gè)首部=TCP/UDPTCP/UDP首部和數(shù)據(jù)(TCP/UDP報(bào)文段）有效載荷有效載荷TCP/UDP首部和數(shù)據(jù)(TCP/UDP報(bào)文段）無(wú)擴(kuò)展首部有擴(kuò)展首部TCP/IP協(xié)議分析課件制作：鄒延平擴(kuò)展首部舉例IPv6將分片限制為由源站來(lái)完成。源站可以采用保證的最小MTU（1280字節(jié)），或者在發(fā)送數(shù)據(jù)前完成路徑最大傳送單元發(fā)現(xiàn)(PathMTUDiscovery)，以確定沿著該路徑到目的站的最小MTU。分片擴(kuò)展首部的格式如下：

0291631比特下一個(gè)首部片偏移8標(biāo)識(shí)符保留保留MTCP/IP協(xié)議分析課件制作：鄒延平擴(kuò)展首部舉例IPv6數(shù)據(jù)報(bào)的有效載荷長(zhǎng)度為3000字節(jié)。下層的以太網(wǎng)的最大傳送單元MTU是1500字節(jié)。分成三個(gè)數(shù)據(jù)報(bào)片，兩個(gè)1400字節(jié)長(zhǎng)，最后一個(gè)是200字節(jié)長(zhǎng)。IPv6基本首部分片首部1第一個(gè)分片1400字節(jié)IPv6基本首部分片首部2第二個(gè)分片1400字節(jié)IPv6基本首部分片首部3第三個(gè)分片200字節(jié)擴(kuò)展首部TCP/IP協(xié)議分析課件制作：鄒延平用隧道技術(shù)來(lái)傳送長(zhǎng)數(shù)據(jù)報(bào)當(dāng)路徑途中的路由器需要對(duì)數(shù)據(jù)報(bào)進(jìn)行分片時(shí)，就創(chuàng)建一個(gè)全新的數(shù)據(jù)報(bào)，然后將這個(gè)新的數(shù)據(jù)報(bào)分片，并在各個(gè)數(shù)據(jù)報(bào)片中插入擴(kuò)展首部和新的基本首部。路由器將每個(gè)數(shù)據(jù)報(bào)片發(fā)送給最終的目的站，而在目的站將收到的各個(gè)數(shù)據(jù)報(bào)片收集起來(lái)，組裝成原