IP数据包格式（既然错过了落日余晖，就别错过满天繁星）

1.IP数据包格式

网络层的功能

• 定义了基于IP协议的逻辑地址，就是ip地址
• 连接不同的媒介类型
• 选择数据通过网络的最佳路径，完成逻辑地址寻址

数据封装的时候在网络层会封装ip地址的头部，形成ip数据包 IP数据包格式（分为20字节的固定部分，表示每个ip数据包必须包含的部分，和40字节的可变长部分

tips：

通过 TTL的 返回值 确定你的 系统类型

1. win 128 左右
2. linux 64 左右

IP数据包格式（分为20字节的固定部分，表示每个ip数据包必须包含的部分，和40字节的可变长部分）

• 版本号（4bit）：指IP协议版本。并且通信双方使用的版本必须一致，目前我们使用的是IPv4，表示为0100 十进制 是4

• 首部长度（4）：IP数据包的包头长度（不包括数据）

• 优先级与服务类型（8）：该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级，服务类型定义了如何处理数据一般没有使用

• 总长度（16）：IP数据包的总长度，最长为 65535 字节，包括包头和数据。

• 标识符（16）：该字段用于表示IP数据包的标识符。当IP对上层数据进行分片时，它将给所有的分片数据分配一组编号，然后将这些编号放入标识符字段中，保证分片不会被错误地重组。标识符字段用于标志一个数据包，以便接收节点可以重组被分片的数据包

• 标志（3）：和标识符一起传递，指示不可以被分片或者最后一个分片是否发出(完整)

• 段偏移量（13）：一个数据包需要分片，指明这个分片举例原始数据开始的位置，作用重组数据

• TTL（time to live）生命周期（8）：可以防止一个数据包在网络中无限循环的转发下去，每经过一个路由器 -1,当TTL的值为0时，该数据包将被丢弃 0-255

• 协议号（8）：封装的上层哪个协议，ICMP:1 TCP:6 UDP:17

• 首部校验和（16）：这个字段只检验数据报的首部，不包括数据部分。这是因为数据报每经过一次路由器，都要重新计算一下首部校验和（因为，一些字段如生存时间、标志、片偏移等可能发生变化）

• 源地址（32）：源ip地址，表示发送端的IP地址

• 目标地址（32）：目标ip地址，表示接收端的IP地址

• 可选项：选项字段根据实际情况可变长，可以和IP一起使用的选项有多个。例如，可以输入创建该数据包的时间等。在可选项之后，就是上层数据

  注：根据实际情况可变长，例如创建时间等 上层数据

2. ICMP协议

Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议

ICMP协议用来在网络设备间传递各种差错和控制信息，对于收集各种网络信息、诊断和排除各种网络故障等方面起着至关重要的作用。

icmp作用：检测网络的双向联通性

ping 的 格式

ping  空格    IP地址  [选项]   

-l  指定数据包的 大小

Type	Code	描述
0	0	Echo Reply
3	0	网络不可达
3	1	主机不可达
3	2	协议不可达
3	3	端口不可达
11	0	超时
8	0	Echo Request

• 网络波动：偶尔丢一两个包
• ping不通： 没有一个数据能到达

功能：Ping
Ping是网络设备、Windows、Unix和Linux平台上的一个命令，其实是一个小巧而实用的应用程序，该应用基于ICMP协议。
Ping常用于探测到达目的节点的网络可达性。

ping选项:

显示自己 IP地址   ipconfig
ping  --help   显示帮助命令
-t 			   长ping
-l size        发送缓冲区大小。
-w             超时等待时间
-n             指定ping 几次        

ping  -t  ip地址  长ping   ctrl+c  停止

ping  -l  指定包的大小（1600 2000）   ip地址

ping  -w  指定等待时间（默认是秒：2 ）  ip 地址

ping  -n  指定的次数（5） ip 地址

tip：
ping的通一定通
ping不通不一定网络不通

tracert  也是 icmp协议
192.168.1.144      192.168.1.152
tracert   IP地址

tracert 192.168.1.152
经过几个路由设备
追踪


广播域  = 一个网段

tracert IP地址 win

traceroute Ip地址 linux

3. 广播域

广播域的书面定义如下:广播域指的是网段中的一组设备，它们侦昕在该网段上发送的所有广播。广播域的边界通常为诸如交换机和路由器等物理介质，但广播域也可能是一个逻辑网段，其中每台主机都可通过数据链路层(硬件地址)广播访问其他所有主机。介绍广播域的基本概念后，下面来看看半双工以太网使用的一种冲突检测机制。

总结：

广播域：一台机器发送广播，能收到消息的机器 都是在同一广播域

交换机的所有端口默认在同一个广播域里，

路由器的 每一个端口都是一个独立的 广播域

1.检测地址冲突

2.将ip地址转换成mac 地址

4. arp协议

4.1什么是arp协议

ARP协议是地址解析协议（Address Resolution Protocol）是通过解析IP地址得到MAC地址的，是一个在网络协议包中极其重要的网络传输协议，它与网卡有着极其密切的关系，在TCP/IP分层结构中，把ARP划分为网络层，为什么呢，因为在网络层看来，源主机与目标主机是通过IP地址进行识别的，而所有的数据传输又依赖网卡底层硬件，即链路层，那么就需要将这些IP地址转换为链路层可以识别的东西，在所有的链路中都有着自己的一套寻址机制，如在以太网中使用MAC地址进行寻址，以标识不同的主机，那么就需要有一个协议将IP地址转换为MAC地址，由此就出现了ARP协议，所有ARP协议在网络层被应用，它是网络层与链路层连接的重要枢纽，每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址，在IP层及其以上的层次看来，他们只标识IP地址，从不跟硬件打交道

5.工作原理（结合交换机原理）

以两台局域网主机互相通信为例讲解原理
ARP解析过程

1. 当PC1想发送数据给PC2，首先在自己的本地ARP缓存表中检查主机PC2的MAC地址是否存在？
2. 如果PC1缓存中没有找到响应的条目，它将询问主机PC2的MAC地址，从而将ARP请求帧广播到本地网络的所有主机。 该帧中包括源主机PC1的IP、MAC地址，本地网络中的所有主机都接收到ARP请求，并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配，则丢弃ARP请求。
3. 主机PC2确定ARP请求中得IP地址与自己的IP地址匹配，则将主机PC1的地址和MAC地址添加到本地ARP缓存表中。
4. 主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1(数据帧为单播）。
5. 主机PC1收到PC2发的ARP回复消息，将PC2的IP和MAC地址添加至自己ARP缓存表中，本机缓存是有生存期的，默认ARP缓存表有效期120s。当超过该有效期后，则将重复上面过程。主机PC2的MAC地址一旦确定，主机PC1就能向主机PC2发送IP信息，实现单播通信。

精简版ARP工作原理:

1. PC1想发送数据给PC2， 会先检查自己的ARP缓存表。 只在终端设备上

2.如果发现要查找的MAC地址不在表中，就会发送一个ARP请求广播，用于发现目的地的MAC地址。ARP请求消息中包括PC1的IP地址和MAC地址以及PC2的IP地址和目的MAC地址(此时为广播MAC地址FF-FF-FF-FF-FF-FF)

3.交换机收到广播后做泛洪处理，除PC1外所有主机收到ARP请求消息，PC2以单播方式发送ARP应答， 并在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系，而其他主机则丢弃这个ARP请求消息。
4. PC1在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系，以单播方式与PC2通信。

windows当中如何查看arp缓存表（静态arp和动态arp）

arp -a          ###查看arp缓存表 
arp -d          ###不加ip清除所有
arp -d [IP]     ###加ip  只删除改Ip
arp -s IP MAC   ###删除arp静态绑定

如提示ARP项添加失败，解决方案:
a、用管理员模式:电脑左下角“开始”按钮右键，点击"Windows PowerShell (管理员) (A)”或者
进入C盘windows \system32文件夹找到cmd.exe, 右键“以管理员身份运行”再执行arp -s命令:

绑定arp（win10）
cmd中输入
netsh -c i i show in 
#查看网络连接准确名称，如：本地连接、无线网络连接
netsh -c “i i” add neighbors 19 “IP” “Mac”，这里19是idx号。//绑定
netsh -c “i i” delete neighbors 19，这里19是idx号。  //解绑
netsh interface ipv4 set neighbors <接口序号> <IP> <MAC>

6.华为系统中的ARP命令

[Huawei]dis mac- address ## #查看mac地址信息

[Huawei]arp static <IP> <MAC> ## #绑定ARP

[Huawei]undo arp static <IP> <MAC>  ###解绑定

<Huawei>reset arp all ###清除mac地址表

arp攻击与欺骗
ARP攻击
ARP攻击发送的是ARP应答，但是ARP应答中的MAC地址为虚假地址，所以在其他主机想要进行通信时，会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。
例如：如果希望被攻击主机无法访问互联网，就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后，如果网关再发生数据给PC1时，就会发送到虚假的MAC地址导致通信故障。

此处可以举例说明，例如张三要给李四打电话，他首先要知道李四的电话号码，这时有人告诉他李四的电话号码是12345678（不存在的号码），于是张三就把电话打到12345678，这样就无法找到李四了。

ARP欺骗的原理和ARP攻击基本相同，但是效果不一样。ARP攻击最终的结果是导致网络中断，而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。