网络层协议分析

网络层协议分析ARP协议分析ICMP协议分析ip协议分析TCP/IP协议分析课件制作：邹延平ARP协议分析TCP/IP协议分析课件制作：邹延平什么是ARPARP(AddressResolutionProtocol)地址解析协议作用：IP→MAC简单来说：

任何网络访问（第一次）都会事先发一次arp的请求，以获取目地主机的物理地址。TCP/IP协议分析课件制作：邹延平地址解析协议ARP不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用硬件地址。每一个主机都设有一个ARP高速缓存(ARPcache)，里面有所在的局域网上的各主机和路由器的IP地址到硬件地址的映射表。当主机A欲向本局域网上的某个主机B发送IP数据报时，就先在其ARP高速缓存中查看有无主机B的IP地址。如有，就可查出其对应的硬件地址，再将此硬件地址写入MAC帧，然后通过局域网将该MAC帧发往此硬件地址。TCP/IP协议分析课件制作：邹延平ARP协议的基本思想TCP/IP协议分析课件制作：邹延平ARP响应AYXBZ主机B向A发送ARP响应分组主机A广播发送ARP请求分组ARP请求ARP请求ARP请求ARP请求00-00-C0-15-AD-1808-00-2B-00-EE-0A我是，硬件地址是00-00-C0-15-AD-18我想知道主机的硬件地址我是硬件地址是08-00-2B-00-EE-0AAYXBZ00-00-C0-15-AD-18TCP/IP协议分析课件制作：邹延平TCP/IP协议分析课件制作：邹延平使用ARP的情况TCP/IP协议分析课件制作：邹延平ARP高速缓存

使用ARP高速缓存。当主机(或路由器)A通过ARP请求得到B的物理地址时，就将此“IP地址——物理地址”绑定存储在高速缓存中。这样，对于后续发往B的分组，通过查找高速缓存获得物理地址。TCP/IP协议分析课件制作：邹延平ARP缓存Arp–s添加静态ARP缓存表项，该表项是永久性的，除非用arp–d删除；动态arp缓存表项有有限的生存时间，在pc上ping某ip后，获得该ip的mac地址后，Arp–a观察动态arp缓存的生存时间；观察在2分钟内未使用该arp表项的话，该表项会被自动删除，如果在2分钟内使用了该表项，会从使用之时起，该表项的生存时间再延长2分钟。TCP/IP协议分析课件制作：邹延平arp缓存表项的生存期

在默认情况下，WindowsServer2003家族和WindowsXP中，ARP缓存中的表项仅存储2分钟。如果一个ARP缓存表项在2分钟内被用到，则其期限再延长2分钟，直到最大生命期限10分钟为止。超过10分钟的最大期限后，ARP缓存表项将被移出，并且通过另外一个ARP请求——ARP回应交换来获得新的对应关系。TCP/IP协议分析课件制作：邹延平ARP请求实现流程有无无有目的站IP地址查询ARP高速缓存IP地址—mac地址？广播ARP请求，等待ARP应答提取mac地址“IP地址——mac地址“绑定存入高速缓存收到ARP应答？找不到mac地址TCP/IP协议分析课件制作：邹延平ARP应答实现流程是否ARP请求分组到达本机是请求目标？用本机mac地址进行应答发送站“IP地址——mac地址“绑定存入高速缓存TCP/IP协议分析课件制作：邹延平ARP分组格式硬件类型协议类型硬件长度协议长度操作（请求1，回答2）发送站硬件地址发送站协议地址目的站硬件地址目的站协议地址TCP/IP协议分析课件制作：邹延平ARP帧格式TCP/IP协议分析课件制作：邹延平特殊的ARP代理ARP向另一个网络发送ARP请求时，路由器主机返回自己的mac作为目的地址免费ARP发给自己的ARP，一般发生在系统引导时，来获得网络接口的MAC地址。TCP/IP协议分析课件制作：邹延平代理ARP两个物理网络通过代理ARP连接的例子TCP/IP协议分析课件制作：邹延平免费ARP和重复的IP地址检测

ARP可以被用来检测重复的IP地址，这是通过传送一种叫做免费ARP的ARP请求来完成的。免费ARP就是一个发往自己IP地址的ARP请求。在免费ARP中，SPA(发送者协议地址)和TPA(目标协议地址)被设置成同一个IP地址。如果节点发送一个发往自己IP地址的ARP请求，就不应收到任何一个ARP回应帧，这样节点就可以判断没有其他节点使用跟它相同的IP地址。如果节点发送一个发往自己IP地址的ARP请求，结果收到ARP回应，这样此节点就可以判断有另外一个节点使用同样的IP地址。如果发送了3个免费ARP后，都没有收到ARP回应，IP就假定此IP地址在此网络段中是唯一的。TCP/IP协议分析课件制作：邹延平ARP协议漏洞漏洞的根源就是ARP协议是无连接的没有ARP的请求也可以ARP回复,最致命的就是操作系统收到这个请求后就会更新ARP缓存。

ARP请求也可以伪造。ARP主机的缓存中毒！TCP/IP协议分析课件制作：邹延平ARP攻击分析帧类型—0x0806 ARP欺骗都是通过填写错误的MAC-IP对应关系来实现的ARP攻击利用ARP协议本身的缺陷来实现！可以利用帧类型来识别ARP报文TCP/IP协议分析课件制作：邹延平ARP欺骗攻击——仿冒网关攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。正常用户A网关G网关MAC更新了已更新发送伪造ARP信息攻击者BIPAddressGMACG1-1-1IPAddressMACType(网关)1-1-1DynamicIPAddressMACType（网关）2-2-2Dynamic目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3IPAddressBMACB05-5-5网关的MACis2-2-2ARP表项更新为数据流被中断这种攻击为ARP攻击中最为常见的攻击TCP/IP协议分析课件制作：邹延平ARP欺骗攻击——欺骗网关攻击者伪造虚假的ARP报文，欺骗网关网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网正常用户A网关G用户A的MAC更新了已更新发送伪造ARP信息攻击者BIPAddressGMACG1-1-1IPAddressMACType3-3-3DynamicIPAddressMACType2-2-2Dynamic目的MAC源MAC…2-2-21-1-1…IPAddressAMACA3-3-3IPAddressBMACB05-5-5用户A的MACis2-2-2ARP表项更新为数据流被中断TCP/IP协议分析课件制作：邹延平ARP欺骗攻击——欺骗终端用户攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机。网段内的其他主机发给该用户的所有数据都被重定向到错误的MAC地址，同网段内的用户无法正常互访。正常用户A网关G用户C的MAC更新了知道了发送伪造ARP信息攻击者BIPAddressGMACG1-1-1IPAddressMACType9-9-9DynamicIPAddressMACType2-2-2Dynamic目的MAC源MAC…2-2-23-3-3…IPAddressAMACA3-3-3IPAddressBMACB05-5-5IPAddressCMACC9-9-9用户C的MACis2-2-2ARP表项更新为数据流被中断TCP/IP协议分析课件制作：邹延平ARP泛洪攻击攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网正常用户A网关G用户A、A1、A2、A3…的MAC更新了已更新发送大量伪造ARP信息攻击者BIPAddressGMACG1-1-1IPAddressMACType2-2-2Dynamic2-2-3Dynamic2-2-4Dynamic2-2-5Dynamic2-2-6Dynamic………….DynamicIPAddressAMACA033-3-3MACis2-2-2ARP表项被占满ARP表项无法学习IPAddressBMACB05-5-5MACis2-2-3MACis2-2-4……03MACis3-3-3TCP/IP协议分析课件制作：邹延平ARP攻击防御的三个控制点网关G用户接入设备

网关防御

合法ARP绑定，防御网关被欺骗

ARP数量限制，防御ARP泛洪攻击1接入设备防御

网关IP/MAC绑定，过滤掉仿冒网关的报文合法用户IP/MAC绑定，过滤掉终端仿冒报文

ARP限速2客户端防御

绑定网关信息3TCP/IP协议分析课件制作：邹延平阅读材料专题：ARP攻击防范与解决方案Arp辅导材料

ARP欺骗的原理与模拟.doc

arp欺骗病毒排查实例.pdf

ARP协议深入解析实例-伪造ARP.pdf

……TCP/IP协议分析课件制作：邹延平ICMP协议分析为了提高IP数据报交付成功的机会，在网际层使用了因特网控制报文协议ICMP(InternetControlMessageProtocol)。ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告。ICMP报文作为IP层数据报的数据，加上数据报的首部，组成IP数据报发送出去。ICMP用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息并不传输用户数据，但是对于用户数据的传递起着重要的作用。

TCP/IP协议分析课件制作：邹延平ICMP报文

IP报头ICMP报头ICMP信息ICMP数据报IP数据报ICMP报文IP互联网利用ICMP传输控制报文和差错报文ICMP报文的封装：封装在IP数据报中TCP/IP协议分析课件制作：邹延平ICMP报文TCP/IP协议分析课件制作：邹延平ICMP报文的格式首部ICMP报文0数据部分检验和类型代码（这4个字节取决于ICMP报文的类型）81631IP数据报前4个字节都是一样的ICMP的数据部分（长度取决于类型）ICMP数据部分，不同类型和代码有不同内容类型(8bits)代码(8bits)校验和(16bits)TCP/IP协议分析课件制作：邹延平ICMP报文ICMP报文的种类有两种，即ICMP差错报告报文和ICMP询问报文。ICMP报文的前4个字节是统一的格式，共有三个字段：即类型、代码和检验和。接着的4个字节的内容与ICMP的类型有关。TCP/IP协议分析课件制作：邹延平类型字段的值与ICMP报文的类型的关系ICMP报文种类类型的值ICMP报文的类型差错报告报文3终点不可到达4源站抑制11时间超过12参数问题5改变路由询问报文8或0回送请求或回答13或14时间戳请求或回答17或18地址掩码请求或回答10或9路由器询问或通告ICMP报文的类型TCP/IP协议分析课件制作：邹延平I

CMP报文的类型TCP/IP协议分析课件制作：邹延平ICMP差错报告报文共有5种终点不可达源站抑制时间超过参数问题改变路由（重定向）TCP/IP协议分析课件制作：邹延平ICMP差错报告报文的数据字段的内容首部IP数据报ICMP的前8字节装入ICMP报文的IP数据报IP数据报首部ICMP差错报告报文8字节收到的IP数据报IP数据报首部8字节ICMP差错报告报文IP数据报的数据字段TCP/IP协议分析课件制作：邹延平ICMP主要差错报告类型目的地不可达报告网络不可达、主机不可达、协议和端口不可达等超时报告参数出错报告TCP/IP协议分析课件制作：邹延平不应发送ICMP差错报告报文

的几种情况对ICMP差错报告报文不再发送ICMP差错报告报文。对第一个分片的数据报片的所有后续数据报片都不发送ICMP差错报告报文。对具有多播地址的数据报都不发送ICMP差错报告报文。对具有特殊地址（如或）的数据报不发送ICMP差错报告报文。TCP/IP协议分析课件制作：邹延平ICMP询问报文有四种回送请求和回答报文时间戳请求和回答报文掩码地址请求和回答报文路由器询问和通告报文TCP/IP协议分析课件制作：邹延平ICMP请求/应答报文对回应请求与应答测试目的主机或路由器的可达性时戳请求与应答获取其他设备的当前时间掩码请求与应答从路由器获取本网的子网掩码TCP/IP协议分析课件制作：邹延平TCP/IP协议分析课件制作：邹延平TCP/IP协议分析课件制作：邹延平TCP/IP协议分析课件制作：邹延平PING(PacketInterNetGroper)PING用来测试两个主机之间的连通性。PING使用了ICMP回送请求与回送回答报文。PING是应用层直接使用网络层ICMP的例子，它没有通过运输层的TCP或UDP。TCP/IP协议分析课件制作：邹延平在IP层中利用回应请求/应答ICMP报文来测试目的主机或路由器的可达性Ping命令Ping命令使用TCP/IP协议分析课件制作：邹延平Ping命令使用（1）监测网络的连通性，检验与远程计算机或本地计算机的连接。（2）确定是否有数据报被丢失、复制或重传。（3）Ping在其所发送的数据报中设置时间戳（Timestamp），根据返回的时间戳信息可以计算数据包交换的时间，即RTT（RoundTripTime）。（4）Ping校验每一个收到的数据报，据此可以确定数据报是否损坏。通过执行Ping命令主要可获得如下信息：TCP/IP协议分析课件制作：邹延平选项含义-t不停的ping目的主机，直到手动停止（按下Ctrl-C）-a将IP地址解析为计算机主机名-ncount发送回送请求ICMP报文的次数（默认值为4）

-lsize定义echo数据包大小。（默认值为32B）-f在数据包中不允许分片（默认为允许分片）

-iTTL指定生存周期-vTOS指定要求的服务类型-rcount记录路由-scount使用时间戳选项-jhost-list］利用computer-list指定的计算机列表路由数据包-khost-list利用computer-list指定的计算机列表路由数据包-wtimeout指定超时间隔，单位为毫秒Ping命令选项TCP/IP协议分析课件制作：邹延平1.连续发送Ping测试报文连续发送Ping测试报文可以使用-t选项。如执行命令“ping12–t”连续向IP地址为12的主机发送Ping测试报文，可以使用Ctrl＋break显示发送和接收回应请求/应答ICMP报文的统计信息。2.自选数据长度的Ping测试报文在默认情况下，Ping命令使用的测试报数据长度为32B，使用“-lSize”选项可以指定测试报数据长度。如使用命令“ping12–l1560”。

Ping命令TCP/IP协议分析课件制作：邹延平3.修改Ping命令的请求超时时间默认情况下，系统等待1000ms的时间以便让每个响应返回。如果超过1000ms，系统将显示“请求超时（requesttimedout）”。在Ping测试数据报经过延迟较长的链路时，响应可能会花更长的时间才能返回，这时可以使用“-w”选项指定更长的超时时间。如命令“ping12–w6000”指定超时时间为6000ms。4.不允许路由器对Ping探测报文分片主机发送的Ping探测报文通常允许中途的路由器分片，以便使探测报文通过MTU较小的网络。如果不允许Ping探测报文在传输过程中被分片，可以使用“–f”选项。如果指定的探测报文的长度太长，同时又不允许分片，探测数据报就不可能到达目的地并返回应答。在以太网中，如果指定不允许分片的探测数据报长度为3000B，执行命令“Ping-f–l3000”，那么，系统将给出目的地不可达报告。Ping命令TCP/IP协议分析课件制作：邹延平连续发送ping探测报文TCP/IP协议分析课件制作：邹延平自选数据长度的ping探测报文TCP/IP协议分析课件制作：邹延平不允许对ping探测报分片TCP/IP协议分析课件制作：邹延平修改“ping”命令的请求超时时间TCP/IP协议分析课件制作：邹延平ping对目的地不可达的屏幕响应1.目的网络不可达（Destinationnetunreachable）没有到目的地的路由原因：通常是“Replyfrom”中列出的路由器路由错误造成的2.请求超时（Requesttimedout）在指定的超时时间内没有对探测报文作出响应原因：路由器关闭、目标主机关闭、没有路由返回到主机或响应的等待时间大于指定的超时时间等TCP/IP协议分析课件制作：邹延平tracert命令Tracert（跟踪路由）是路由跟踪实用程序，用于获得IP数据报访问目标时从本地计算机到目的主机的路径信息。在MSWindows操作系统中该命令为tracert，而在Unix／Linux以及CiscoIOS中则为traceroute。Tracert命令用IP生存时间(TTL)字段和ICMP差错报文来确定从一个主机到网络上其他主机的路由。Tracert命令格式：tracert[-d][-hMaximumHops][-jHostList][-wTimeout][-R][-SSrcAddr][-4][-6]TargetNameTCP/IP协议分析课件制作：邹延平1.要跟踪名为的主机的路径，输入命令:

tracert2.要跟踪名为的主机的路径并防止将每个IP地址解析为它的名称，输入命令:tracert-dtracert命令的使用TCP/IP协议分析课件制作：邹延平ICMP的安全问题pingofdeath(死亡之ping)ICMPFlood(ICMP洪水)Smurf攻击ICMP重定向TCP/IP协议分析课件制作：邹延平死亡之Ping（pingofdeath）对目标IP不停地Ping探测从而致使目标主机网络瘫痪。由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。防御：现在所有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从windows98之后的windowsNT(servicepack3之后)，Solaris、和MacOS都具有抵抗一般pingofdeath攻击的能力。此外，对防火墙进行配置，阻断ICMP以及任何未知协议，都讲防止此类攻击。ping-t-l65500ip

死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)

TCP/IP协议分析课件制作：邹延平ICMPFloodICMPFlood（ICMP洪水攻击）：当ICMPping产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流，就是ICMP洪水攻击。目的是使网络瘫痪，是最常用的网络攻击行为之一。TCP/IP协议分析课件制作：邹延平Smurf攻击Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。TCP/IP协议分析课件制作：邹延平ICMP重定向

在Internet上，主机数量要比路由器多出许多，为了提高效率，主机都不参与路由选择过程。主机通常使用静态路由选择。当主机开始联网时，其路由表中的项目数很有限，通常只知道默认路由的IP地址。因此主机可能会把某数据发送到一个错误的路由，其实该数据本应该发送给另一个网络的。在这种情况下，收到该数据的路由器会把数据转发给正确的路由器，同时，它会向主机发送ICMP重定向报文，来改变主机的路由表。

路由器发送ICMPRedirect消息给主机来指出存在一个更好的路由。ICMPRedirect数据包使用下图中显示的结构。当IP数据报应该被发送到另一个路由器时，收到数据报的路由器就要发送ICMP重定向差错报文给IP数据报的发送端。ICMP重定向报文的接收者必须查看三个IP地址：

（1）导致重定向的IP地址（即ICMP重定向报文的数据位于IP数据报的首部）；

（2）发送重定向报文的路由器的IP地址（包含重定向信息的IP数据报中的源地址）；

（3）应该采用的路由器的IP地址（在ICMP报文中的4-7字节）。TCP/IP协议分析课件制作：邹延平ICMP重定向

类型=5代码=0-3检

验

和应该使用的路由器IP地址IP首部（包括选项）+原始IP数据报中数据的前8字节代码为0：

路由器可以发送这个ICMP消息来指出有一个到达目标网络的更好方法。

代码为1：

路由器可以发送这个ICMP消息来指出有一个到达目标主机的更好方法。

代码为2：

路由器可以发送这个ICMP消息来指出有一个更好的方法到达使用希望的TOS目标网络。

代码为3：

路由器可以发送这个ICMP消息来指出有一个更好的方法到达使用所要求的TOS的目标主机。

TCP/IP协议分析课件制作：邹延平改变路由请求

主机则从最少的路由信息开始，并从路由器那里获得新的路由信息。主机通常在配置中设定一个默认的路由器。当主机所在网络存在多个路由器时，主机涉及改变路由的问题TCP/IP协议分析课件制作：邹延平改变路由ICMPTCP/IP协议分析课件制作：邹延平改变路由ICMPTCP/IP协议分析课件制作：邹延平改变路由ICMPTCP/IP协议分析课件制作：邹延平改变路由ICMPTCP/IP协议分析课件制作：邹延平阅读材料辅导材料

完全理解ICMP协议.pdf

TCP/IP协议分析课件制作：邹延平IP协议分析TCP/IP协议分析课件制作：邹延平69网际协议IP及其配套协议各种应用层协议网络接口层(TELNET,FTP,SMTP等)物理硬件运输层TCP,UDP应用层ICMPIPRARPARP与各种网络接口网际层IGMPTCP/IP协议分析课件制作：邹延平网络层功能网络互联数据链路层给传输层提供服务地址解析传输层路由选择协议接收数据链路层服务分组寻址路由选择分段多播TCP/IP协议分析课件制作：邹延平IP地址与硬件地址TCP报文IP数据报MAC帧应用层数据首部首部尾部首部链路层及以下使用硬件地址硬件地址网络层及以上使用IP地址IP地址TCP/IP协议分析课件制作：邹延平HA1HA5HA4HA3HA6主机H1主机H2路由器R1硬件地址路由器R2HA2IP1IP2局域网局域网局域网通信的路径H1→经过R1转发→再经过R2转发→H2查找路由表查找路由表TCP/IP协议分析课件制作：邹延平HA1HA5HA4HA3HA6主机H1主机H2路由器R1硬件地址路由器R2HA2IP1IP2局域网局域网局域网IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网MAC帧IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报从协议栈的层次上看数据的流动TCP/IP协议分析课件制作：邹延平HA1HA5HA4HA3HA6主机H1主机H2路由器R1硬件地址路由器R2HA2IP1IP2局域网局域网局域网IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网MAC帧IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报从虚拟的IP层上看IP数据报的流动TCP/IP协议分析课件制作：邹延平HA1HA5HA4HA3HA6主机H1主机H2路由器R1硬件地址路由器R2HA2IP1IP2局域网局域网局域网IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网MAC帧IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报在链路上看MAC帧的流动TCP/IP协议分析课件制作：邹延平IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网MAC帧IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报在IP层抽象的互联网上只能看到IP数据报图中的IP1→IP2表示从源地址IP1到目的地址IP2

两个路由器的IP地址并不出现在IP数据报的首部中TCP/IP协议分析课件制作：邹延平IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网MAC帧IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报路由器只根据目的站的IP地址的网络号进行路由选择TCP/IP协议分析课件制作：邹延平IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC帧从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报在具体的物理网络的链路层只能看见MAC帧而看不见IP数据报TCP/IP协议分析课件制作：邹延平IP1HA1HA5HA4HA3HA6HA2IP6主机H1主机H2路由器R1IP层上的互联网IP2IP4IP3IP5路由器R2IP1→IP2IP1→IP2IP1→IP2MAC帧从HA1到HA3从HA4到HA5从HA6到HA2MAC帧MAC帧IP数据报IP层抽象的互联网屏蔽了下层很复杂的细节在抽象的网络层上讨论问题，就能够使用统一的、抽象的IP地址研究主机和主机或主机和路由器之间的通信TCP/IP协议分析课件制作：邹延平IP数据报的格式一个IP数据报由首部和数据两部分组成首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的在首部的固定部分的后面是一些可选字段，其长度是可变的TCP/IP协议分析课件制作：邹延平固定部分可变部分04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分数据部分首部传送IP数据报首部发送在前IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分数据部分首部传送IP数据报固定部分可变部分IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分版本——占4位，指IP协议的版本目前的IP协议版本号为4(即IPv4)IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分首部长度——占4位，可表示的最大数值是15个单位(一个单位为4字节),因此IP的首部长度的最大值是60字节。IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分区分服务——占8位，用来获得更好的服务。在旧标准中叫做服务类型，但实际上并未被使用过。仅在使用区分服务(DiffServ)时，此字段才起作用。IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分总长度——占16位，指首部和数据之和的长度，单位为字节，因此数据报的最大长度为65535字节。总长度必须不超过最大传送单元MTU。

IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分标识(identification)——占16位，IP数据报的格式IP软件在存储器中维持一个计数器，每产生一个数据报，计数器就加1，并将此值赋给标识字段。但这个“标识”并不是序号，因为IP是无连接服务，数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分标志(flag)——占3位，目前只有后两位有意义标志字段的最低位是MF(MoreFragment)MF1表示后面“还有分片”

MF0表示最后一个分片标志字段中间的一位是DF(Don'tFragment)只有当DF0时才允许分片

IP数据报的格式000可以分片,但不用分片

或已是最后一片

001可以分片,后面还有分片

010不可分片TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分片偏移(13位)：较长的分组在分片后某片在原分组中的相对位置。片偏移以8个字节为偏移单位。IP数据报的格式TCP/IP协议分析课件制作：邹延平偏移=0/8=0偏移=0/8=0偏移=1400/8=175偏移=2800/8=350140028003799279913993799需分片的数据报数据报片1首部数据部分共3800字节首部1首部2首部3字节0数据报片2数据报片314002800字节0IP数据报分片的举例TCP/IP协议分析课件制作：邹延平MTUMTU：网络规定的一个帧最多能够携带的数据量IP数据报的长度只有小于或等于网络的MTU，才能在这个网络传输与路由器连接的各个网络的MTU可能不同TCP/IP协议分析课件制作：邹延平分片分片：IP数据报的尺寸大于将发往网络的MTU值时，路由器将IP数据报分成若干较小的部分的过程每个分片由报头区和数据区两部分构成每个分片经过独立的路由选择等处理过程，最终到达目的主机TCP/IP协议分析课件制作：邹延平分片控制1.标识源主机赋予IP数据报的标识符该域需要复制到新分片的报头中目的主机利用此域和目的地址判断分片属于哪个数据报2.标志是否已经分片，是否是最后一个分片3.片偏移本片数据在初始IP数据报数据区的位置偏移量以8B为单位TCP/IP协议分析课件制作：邹延平重组1.重组：在接收到所有分片的基础上，主机对分片进行重新组装的过程2.目的主机进行重组减少了中间路由器的计算量路由器可以为每个分片独立选路3.路由器不需要对分片进行重组，也不可能对分片进行重组TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分生存时间(8位)记为TTL(TimeToLive)，这是为了限制数据报在网络中的生存时间，其单位最初是秒，但为了方便，现在都用“跳数”作为TTL的单位。数据报每经过一个路由器，其TTL值就减1。IP数据报的格式TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分协议(8位)字段指出此数据报携带的数据使用何种协议以便目的主机的IP层将数据部分向上层正确交付IP数据报的格式TCP/IP协议分析课件制作：邹延平运输层网络层首部TCPUDPICMPIGMPOSPF数据部分IP数据报协议字段指出应将数据部分交付到什么地方TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分首部检验和(16位)字段只检验数据报的首部不包括数据部分。这里不采用CRC检验码而采用简单的计算方法。IP数据报的格式TCP/IP协议分析课件制作：邹延平发送端接收端16bit字116bit字2置为全0检验和16bit字n16bit反码算术运算求和……取反码数据报首部IP数据报16bit检验和16bit字116bit字216bit检验和16bit字n16bit反码算术运算求和16bit结果……取反码数据部分若结果为0,则保留；否则，丢弃该数据报数据部分不参与检验和的计算TCP/IP协议分析课件制作：邹延平首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）位首部长度数据部分固定部分可变部分源地址和目的地址都各占4字节IP数据报的格式TCP/IP协议分析课件制作：邹延平IP数据报首部的可变部分IP首部的可变部分就是一个选项字段，用来支持排错、测量以及安全等措施，内容很丰富。选项字段的长度可变，从1个字节到40个字节不等，取决于所选择的项目。增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。TCP/IP协议分析课件制作：邹延平下一代的网际协议IPv6

TCP/IP协议分析课件制作：邹延平解决IP地址耗尽的措施从计算机本身发展以及从因特网规模和网络传输速率来看，现在IPv4已很不适用。最主要的问题就是32bit的IP地址不够用。要解决IP地址耗尽的问题的措施：采用无类别编址CIDR，使IP地址的分配更加合理。采用网络地址转换NAT方法以节省全球IP地址。采用具有更大地址空间的新版本的IP协议IPv6。

TCP/IP协议分析课件制作：邹延平IPv6的基本首部IPv6所引进的主要变化如下更大的地址空间。IPv6将地址从IPv4的32bit增大到了128bit，扩展的地址层次结构。灵活的首部格式。改进的选项。允许协议继续扩充。支持即插即用（即自动配置）支持资源的预分配。TCP/IP协议分析课件制作：邹延平IPv6数据报的首部IPv6将首部长度变为固定的40字节，称为基本首部(baseheader)。将不必要的功能取消了，首部的字段数减少到只有8个。取消了首部的检验和字段，加快了路由器处理数据报的速度。在基本首部的后面允许有零个或多个扩展首部。所有的扩展首部和数据合起来叫做数据报的有效载荷(payload)或净负荷。TCP/IP协议分析课件制作：邹延平IPv6数据报的一般形式基本首部扩展首部1扩展首部N…数据部分选项IPv6数据报有效载荷TCP/IP协议分析课件制作：邹延平IPv6数据报首部与

IPv4数据报首部的对比04816192431版本标志生存时间协议标识服务类型总长度片偏移填充首部检验和源地址目的地址可选字段（长度可变）比特首部长度固定部分20字节可变部分IPv4首部取消有变化上面是IPv4数据报的首部TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24扩展首部/数据IPv6的基本首部（40B）IPv6的有效载荷（至64KB）TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B版本(version)——4bit。它指明了协议的版本，对IPv6该字段总是6。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B通信量类(trafficclass)——8bit。这是为了区分不同的IPv6数据报的类别或优先级。目前正在进行不同的通信量类性能的实验。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B流标号(flowlabel)——20bit。“流”是互联网络上从特定源点到特定终点的一系列数据报，“流”所经过的路径上的路由器都保证指明的服务质量。所有属于同一个流的数据报都具有同样的流标号。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B有效载荷长度(payloadlength)——16bit。它指明IPv6数据报除基本首部以外的字节数（所有扩展首部都算在有效载荷之内），其最大值是64KB。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B下一个首部(nextheader)——8bit。它相当于IPv4的协议字段或可选字段。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B跳数限制(hoplimit)——8bit。源站在数据报发出时即设定跳数限制。路由器在转发数据报时将跳数限制字段中的值减1。当跳数限制的值为零时，就要将此数据报丢弃。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B源地址——128bit。是数据报的发送站的IP地址。TCP/IP协议分析课件制作：邹延平041631版本比特目的

地址源地址下一个首部流标号12通信量类（128bit）（128bit）有效载荷长度跳数限制24IPv6的基本首部40B目的地址——128bit。是数据报的接收站的IP地址。TCP/IP协议分析课件制作：邹延平IPv6的扩展首部基本首部下一个首部=TCP/UDP基本首部下一个首部=路由选择路由选择首部下一个首部=分片分片首部下一个首部=TCP/UDPTCP/UDP首部和数据(TCP/UDP报文段）有效载荷有效载荷TCP/UDP首部和数据(TCP/UDP报文段）无扩展首部有扩展首部TCP/IP协议分析课件制作：邹延平扩展首部举例IPv6将分片限制为由源站来完成。源站可以采用保证的最小MTU（1280字节），或者在发送数据前完成路径最大传送单元发现(PathMTUDiscovery)，以确定沿着该路径到目的站的最小MTU。分片扩展首部的格式如下：

0291631比特下一个首部片偏移8标识符保留保留MTCP/IP协议分析课件制作：邹延平扩展首部举例IPv6数据报的有效载荷长度为3000字节。下层的以太网的最大传送单元MTU是1500字节。分成三个数据报片，两个1400字节长，最后一个是200字节长。IPv6基本首部分片首部1第一个分片1400字节IPv6基本首部分片首部2第二个分片1400字节IPv6基本首部分片首部3第三个分片200字节扩展首部TCP/IP协议分析课件制作：邹延平用隧道技术来传送长数据报当路径途中的路由器需要对数据报进行分片时，就创建一个全新的数据报，然后将这个新的数据报分片，并在各个数据报片中插入扩展首部和新的基本首部。路由器将每个数据报片发送给最终的目的站，而在目的站将收到的各个数据报片收集起来，组装成原