目录

一、网络层的功能

二、ip数据包格式

三、ICMP协议（Internet控制报文协议）

3.1功能

3.2 ping命令

3.2.1ping命令的用法

 3.2.2扩展

3.3 tracert命令（windows）

四、arp协议

4.1ARP协议是如何工作的

4.2工作原理（结合交换机原理）

4.3ARP攻击与欺诈

---

一、网络层的功能

1. 路由的选择与分组转发： 通过路由选择算法来选择一条最佳路由，然后将数据按照路由的顺序进行转发
2. 异构网络的互联
3. 拥塞控制： 如果所有节点都来不及接收分组，而要丢弃大量分组的话，网络就处于拥塞状态。因此我们需要采取一定的措施来缓解这种拥塞：WAY1(开环控制)：静态、WAY2(闭环控制)：动态

二、ip数据包格式

数据封装的时候在网络层会封装ip地址的头部，形成ip数据包，那么ip数据包是怎样的格式呢，里面包含哪些内容？

ip数据包格式（分为20字节的固定格式，表示每个ip数据包必须包含的和40字节的可变长格式）

1.版本号：占4bit，指ip协议版本，并且通信双方使用的版本必须一致，ipv4的表示0100

2.首部长度：占4bit，ip数据包的包头长度，可表示的最大十进制数值是15，这个字段所表示的数的单位是4字节，也就是说首部最大是60字节。

3.服务类型（现在叫区分服务DS）：占8bit,一字节，该字段用于表示数据包的优先级和服务类型。通过在数据包中划分一定的优先级，用于实现Qos(服务质量)的要求。

注意：定义ip数据包是否有限传送

4.总长度：占16bit，两字节，定义ip数据包的总长度最长为65535字节，包括包头和数据。

注：ip头部 数据段 可能是20字节 也可能更多，总长度加上数据段长度，最长为65535字节。

5.标识符：占16bit，两字节，该字段用于表示ip数据包的标识符。当ip对上层数据进行分片时，他将给所有的分片分配一组编号，然后将这些标号放入标识符字符中，保证分片不会被错误地重组。标识符字段用于标志一个数据包，以便接收节点可以重组被分片的数据包。

6.标志：占3bit，只有两位有意义

• 标志字段中的最低位记为MF(More Fragment)。

1. MF=1即表示后面“还有分片”的数据报。
2. MF=0表示这已是若干数据报片中的最后一个。

• 标志字段中间的一位记为DF(Don’t Fragment)，意思是“不能分片”。

        当DF允许0才允许分片

7.片偏移：13bit  较长的分组在分片后，某片在原分组中的相对位置。也就是说，相对于用户数据字段的起点，该片从何处开始

 片偏移以8个字节为偏移单位。这就是说，除最后一个数据报片外，其他每个分片的长度一定是8字节（64位）的整数倍。

8.TTL生存时间：8bit

• 表明这是数据报在网络中的寿命。
• 由发出数据报的源点设置这个字段。其目的是防止无法交付的数据报无限制地在互联网中兜圈子，因而白白消耗网络资源。
• TTL的意义是指明数据报在互联网中至多可经过多少个路由器。
• 路由器在每次转发数据报之前就把TTL值减1。若TTL值减小到零，就丢弃这个数据报，不再转发。因此，TTL的单位是跳数。
• 数据报能在互联网中经过的路由器的最大数值是255。
• 若把TTL的初始值设置为1，就表示这个数据报只能在本局域网中传送。

9.协议：占8bit   封装的上层哪个协议，ICMP:1 TCP:6 UDP:17

10.首部检验和：占16bit  这个字段只检验数据报的首部，不包括数据部分。这是因为数据报每经过一个路由器，路由器都要重新计算一下首部检验和，所以首部需要检验

11.源地址 占32bit：源ip地址，表示发送端的IP地址

12.目标地址 占32bit：目标ip地址，表示接收端的IP地址

三、ICMP协议（Internet控制报文协议）

3.1功能

作为网络管理员，必须知道网络设备之间的连接状况，因此就需要有一种机制来侦测或
通知网络设备之间可能发生的各种各样的情况，这就是 ICMP 协议的作用。ICMP 协议
（Internet Control Message Protocol）的全称是“Internet 控制消息协议”，主要用于在
IP 网络中发送控制消息，提供可能发生在通信环境中的各种问题的反馈。通过这些反馈信
息管理员就可以对所发生的问题做出判断，然后采取适当的措施去解决。

ICMP的两种报文类型：差错报告报文和查询报文

3.2 ping命令

当我们ping一台主机时，本地计算机会发出一个ICMP数据包，用来测试两台主机是否能够顺利连通。ping命令能够测试两台设备之间的双向连通性，即数据包能够到达对端，并能够返回

3.2.1ping命令的用法

-t   在 Windows 操作系统中，默认情况下发送 4 个 ping 包，如果在 ping 命令后面加上参数“-t”，系统将会一直不停地 ping 下去
-a   显示主机名
-l 一般情况下，ping 包的大小为 32 字节，有时为了检测大数据包的通过情况，可以使用参数改变 ping 包的大小 
#在linux 系统下为 -s
-n 指定发送包的个数      -c
-S 指定源IP去ping        -I

 3.2.2扩展

ping不通的几种情况

1、当主机有一个默认网关时，如果他ping其他网段的地址，到不了的话，显示的是request timeout(此时他把icmp包发给网关，至于后面的事他就不管，如果没有包回应，就显示request timeout)
2、当一个主机没有默认网关时或者配置了网关但是和网关不通时，如果他ping其他网段的地址，显示的是Destination host unreachable（此时他发送arp请求包请求网关的mac地址）
3、当一个路由器ping他路由表中没有的地址时，显示的是request timeout(此时不发任何包)
4、当路由器ping一个路由表中存在地址时，如果没有回应，则显示的也是 reuqest timeout (此时发送arp请求包，请求目标ip的mac地址)

3.3 tracert命令（windows）

在命令行中输入“tracert ”并在后面加入一个IP地址，可以查询从本机到该IP地址所在的电脑要经过的路由器及其IP地址

traceroute（linux）

学习网站：traceroute命令详解 - 马昌伟 - 博客园 (cnblogs.com)

返回的结果会是发送数据包来回的时间，设备的名称及其ip地址。

四、arp协议

ARP协议是地址解析协议（Address Resolution Protocol）是通过解析IP地址得到MAC地址的，是一个在网络协议包中极其重要的网络传输协议，它与网卡有着极其密切的关系，在TCP/IP分层结构中，把ARP划分为网络层，为什么呢，因为在网络层看来，源主机与目标主机是通过IP地址进行识别的，而所有的数据传输又依赖网卡底层硬件，即链路层，那么就需要将这些IP地址转换为链路层可以识别的东西，在所有的链路中都有着自己的一套寻址机制，如在以太网中使用MAC地址进行寻址，以标识不同的主机，那么就需要有一个协议将IP地址转换为MAC地址，由此就出现了ARP协议，所有ARP协议在网络层被应用，它是网络层与链路层连接的重要枢纽，每当有一个数据要发送的时候都需要在通过ARP协议将IP地址转换成MAC地址，在IP层及其以上的层次看来，他们只标识IP地址，从不跟硬件打交道

4.1ARP协议是如何工作的

为了实现IP地址与MAC地址的查询与转换，ARP协议引入了ARP缓存表的概念，每台主机或路由器在维护着一个ARP缓存表（ARP table），这个表包含IP地址到MAC地址的映射关系，表中记录了<IP地址，MAC地址>对，我称之为ARP表项，如我们前面那张图所展示的一样，他们是主机最近运行时获得关于其他主机的IP地址到MAC地址的映射，当需要发送数据的时候，主机就会根据数据报中的目标IP地址信息，然后在ARP缓存表中进行查找对应的MAC地址，最后通过网卡将数据发送出去。ARP缓存表包含一个寿命值（TTL，也称作生存时间），它将记录每个ARP表项的生存时间，生存时间到了就会从缓存表中删除。从一个表项放置到ARP缓存表中开始，一个表项通常的生存时间一般是10分钟吗，当然，这些生存时间是可以任意设置的，我们一般使用默认即可。

4.2工作原理（结合交换机原理）

详细版

              （1）当PC1想发送数据给PC2，首先在自己的本地ARP缓存表中检查主机PC2匹配的MAC地址

　　　　（2）如果PC1缓存中没有找到响应的条目，它将询问主机PC2的MAC地址，从而将ARP请求帧广播到本地网络的所有主机。该帧中包括源主机PC1的IP、MAC地址，本地网络中的所有主机都接收到ARP请求，并且检查是否与自己的IP地址相匹配。如果发现请求中IP地址与自己IP不匹配，则丢弃ARP请求。

　　　　（3）主机PC2确定ARP请求中得IP地址与自己的IP地址匹配，则将主机PC1的地址和MAC地址添加到本地缓存表中。

　　　　（4）主机PC2将包含其MAC地址的ARP回复消息直接发送回主机PC1（数据帧为单播）。

　　　　（5）主机PC1收到PC2发挥的ARP回复消息，将PC2的IP和MAC地址添加至自己ARP缓存表中，本机缓存是有生存期的，默认ARP缓存表有效期120s。当超过该有效期后，则将重复上面过程。主机PC2的MAC地址一旦确定，主机PC1就能向主机PC2发送IP信息

精简版

1. PC1想发送数据给PC2， 会先检查自己的ARP缓存表。

2.如果发现要查找的MAC地址不在表中，就会发送一个ARP请求广播，用于发现目的地的MAC地址。
ARP请求消息中包括PC1的IP地址和MAC地址以及PC2的IP地址和目的MAC地址(此时为广播MAC地址FF-FF-FF-FF-FF-FF)。

3.交换机收到广播后做泛洪处理，除PC1外所有主机收到ARP请求消息，PC2以单播方式发送ARP应答， 并在自己的ARP表中缓存PC1的IP地址和MAC地址的对应关系，而其他主机则丢弃这个ARP请求消息。

4. PC1在自己的ARP表中添加PC2的IP地址和MAC地址的对应关系，以单播方式与PC2通信。

4.3ARP攻击与欺诈

ARP攻击
ARP攻击发送的是ARP应答，但是ARP应答中的MAC地址为虚假地址，所以在其他主机想要进行通信时，会将目的MAC地址设置成此虚假MAC地址导致无法正常通信。
例如：如果希望被攻击主机无法访问互联网，就需要对网关发送或被攻击主机发送虚假的ARP应答。当网关接收到虚假的ARP应答更新ARP条目后，如果网关再发生数据给PC1时，就会发送到虚假的MAC地址导致通信故障。

此处可以举例说明，例如张三要给李四打电话，他首先要知道李四的电话号码，这时有人告诉他李四的电话号码是12345678（不存在的号码），于是张三就把电话打到12345678，这样就无法找到李四了。

ARP欺骗的原理和ARP攻击基本相同，但是效果不一样。ARP攻击最终的结果是导致网络中断，而ARP欺骗的最终结果是使得流量通过自身达到监控或控制的目的。