网络协议基础

• tcp/ip协议簇

  • TCP/IP协议族 网络接口层(没有特定的协议) 物理层 数据链路层 网络层: IP (v4/v6) ARP(地址解析协议) RARP . ICMP (Internet控制报文协议) IGMP 传输层: TCP (传输控制协议) UDP (用户数据报协议) 应用层: 都是基于传输层协议的端口，总共端口0~65535 0~1023 HTTP---tcp80HTTPS----TCP443 DHCP DNS HTTP HTTPS FTP SMTP POP3 IMAP

    • 子主题 1

    • 1．物理层和数据链路层 在物理层和数据链路层，TCP/IP并没有定义任何特定的协议。它支持所有标准的和专用的协议，例如以太网协议等。基本上所有的局域网都采用以太网技术，上述说明的过程就是以太网技术所采用的方式。至于PPP协议一般用于点到点传输，电信网通等部门早期采用的一种技术，现在ADSL技术中使用的PPPoE、PPPoA协议就是PPP协议的一种。所以实际上只有三个层次 2．网络层 在网络层，TCP/IP定义了网际协议（Internet Protocol，简称IP），而IP又由4个支撑协议组成：ARP（地址解析协议）、RARP（逆地址解析协议）、ICMP（网际控制报文协议）和IGMP（网际组管理协议）。 3．传输层 TCP协议传输控制协议，传输更加稳定可靠，UDP协议，用户数据报协议，UDP协议传输效率更高。 4．应用层 这一层有很多上层应用协议，这些协议帮助实现上层应用之间的通讯，例如HTTP（超文本传输协议）、FTP（文件传输协议）、SMTP（简单邮件传输协议）、DNS（域名系统）等。

• 流量抓取工具wireshark

  • 一、网卡 wireshark是对主机网卡上的数据流量进行抓取 1、网卡模式 混杂模式:不管目的是否是自己，都接收 非混杂模式:默认情况下，主机的网卡处于此模式，不会接收目的非自己的数据 2、两种过滤器 捕获过滤器: 在抓包之前先进行过滤，(只抓某种类型的包或者不抓某些类型的包) 显示过滤器:抓包前后抓包后都可以进行过滤，但是不会影响抓取的（会抓取所有的包，只不过在查看的时候只显示某些包) 3、过滤器 捕获过滤器 语法 类型: host net port 方向: src dst 协议: ether ip tcp udp http ftp.......... 逻辑运算符: &&与或 !非 举例 抓取源IP为192.168.18.14并且目标端口为80的报文 src host 192.168.18.14 && dst port 80 抓取IP为192.168.18.14或者IP地址为192.168.18.1 host 192.168.18.14 ll host 192.168.18.1 不抓取广播包 ! broadcast 显示过滤器 语法 比较操作符: == (eg) != (neq) 大于 (gt) <小于(t) >= 大于等于 (ge) <= 小于等于 (le) 辑操作符: and (&&)与or (ll) not ip.dst IP地址过滤: ip.addr ip.src 端口过滤: tcp.port udp.port tcp.dstport 协议过滤: arp icmp udp tcp tcp.flag.syn tcp.flag.ack http 显示源IP等于192.168.18.14并且tcp端口为443 ip.src==192.168.18.14 and tcp.port==443

• ARP协议（地址解析协议）

  • 将一个已知的IP地址解析为MAC地址，从而进行二层数据交互 是一个三层的协议，但是工作在网络层

  • 工作流程

    • 两个阶段

      • ARP请求

      • ARP响应

    • ARP协议报文分组格式

      • 目的mac 源mac 帧类型 arp协议报文（硬件类型、协议类型、硬件地址长度、协议地址长度、opcode、发送方的mac地址、发送的IP地址、接收方的mac地址、接收方的mac地址） 帧校验

    • ARP缓存

      • 为了避免重复发送ARP请求

      • ARP -d清空缓存 ARP -a查看

  • ARP攻击及欺骗

    • ARP攻击

      • 伪造ARP应答报文，向被攻击主机响应虚假的MAC地址 网络 当被攻击主机进行网络通信时，会将数据交给虚假的MAC地址进行转发，由于虚假的MAC地址不存在，所以造成被攻击主机无法访问

    • arp欺骗

      • 欺骗网关

        • 伪造ARP应答报文，向被攻击主机和网关响应真实的MAC地址当被攻击主机进行网络通信时，会将数据交给真实MAC地址进行转发，从而来截获被攻击主机的数据，这时被攻击主机是可以进 行网络通信的

      • 欺骗主机

        • 伪造ARP应答报文，向被攻击主机和通信的主机响应真实的MAC地址当被攻击主机向通信主机发送数据时，会将数据交给真实MAC地址进行转发，从而来截获被攻击主机的数据，这时被攻击主机是可以进行网络通信的

    • 解决ARP攻击及欺骗

      • 相互绑定或者下载ARP防火墙

  • 实施ARP攻击和欺骗

    • kali linux 安装一个arpspoof kaii配置 kali Linux 系统是基于debian Linux系统，采用deb包管理方式，可以使用apt源的方式进行直接从源安装 1、配置源 apt -get update 2、安装工具 arpspoff 是集成在dsniff工具，需要安装dsniff工具 apt -get install dsniff arpspoof -i eth0(虚拟机网卡 ifconfig查看 ) -t 攻击的主机ip 网关地址 apt -get install driftnet抓取图片 driftnet -i eth0

• ICMP网际控制报文协议

  • lnternet控制报文协议，用于在IP主机、路由照之间传递控制消息，控制消息指网络通不通、主机是否可达、路由是否可用等等 ICMP是属于网焰层的协议，封装在传输层与网络层之间

  • 2、ICMP报文格式 类型(type) 代码 (code) 类型 （8 0）请求 （0 0）回显应答 (表示比较正常的应答) （3 1）目标不可达(主机不可达) （11 0）超时 (传输期间生存时间为0) （3 3）目标不可达 (端口不可达) （3 2）协议不可达 类型13 14时间戳请求和应答 （5 0）重定向（网络重定向) （5 1）主机重定向

  • 3、ICMP常见的报文 请求报文：使用ping请求（type=8）发送给目标主机，用于探测目标主机是否可达。 响应报文：目标主机收到ping请求后，会发送响应（type=0）给源主机，表示目标主机的可达性。 目标不可达报文： 当目标主机无法到达或无法处理某个IP数据报时，会发送目标不可达报文（type=3）给源主机，以告知源主机无法到达目标。 源抑制报文： 源抑制报文（type=4）充当一个控制流量的角色，它通知源主机减少数据报的发送速率。由于ICMP没有恢复传输的报文，所以只要停止该报文，源主机就会逐渐恢复传输速率。 超时报文： 超时报文用于指示IP数据报在传输过程中发生超时。类型11的超时报文有两种code： code 0：传输超时，表示某个IP数据报在传输过程中超过了指定的时间限制。 code 1：重组分段超时，表示某个IP数据报的分段在重组过程中超过了指定的时间限制。 时间戳请求和应答报文： 时间戳请求报文（type=13）用于请求目标主机的当前时间戳。 时间戳应答报文（type=14）是目标主机对时间戳请求的响应，包含目标主机的当前时间戳。

    • 响应请求 使用ping请求(type=0) 响应 (type=8) 目标不可达 type=3 源抑制 源抑制则充当一个控制流显的角色，它通知主机减少数据报流量，由于1CMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传动速率 type=4 超时报文 类型11 code 0 传输超时， code 1 重组分段超时。 时间配 type= 13时间戳清求 type =14 时间戳应答

  • ICMP重定向

    • 在某些特定情况下，路由器检测到主机使用非优化路由时候，会向主机发送一个CMP重定向报文，是主机的路由改变