1.同网段主机之间通信
(1)主机首先根据IP号和子网掩码来计算网络号,查看是否处于同一网段
(2)根据ARP协议
(2-1)首先,在本机的ARP缓存表中查看目的IP地址的MAC地址
(2-2)如果查询到对应条目,则直接封装数据包进行转发
(2-3)如果不存在对应条目,则在使用ARP协议进行广播查询
(2-3-1)主机封装广播数据包(目的MAC地址是FFFFFFFFFFFF),发送到二层交换机,二层交换机首先学习该端口和数据包的源MAC地址的映射,更新到交换机的MAC地址表
(2-3-2)交换机转发该数据包到除本端口之外的所有端口,数据包被对应端口的主机或者交换机接收或转发
(2-3-3)主机接收到数据包之后,根据目的IP地址和自身IP地址是否匹配来选择是否应答;目的IP地址与自身IP地址匹配的话,主机生成已知目的IP地址和MAC地址以及自身IP地址和MAC地址的数据包发送给APR广播请求的主机
(2-3-4)在响应包返回的途中,交换机学习对应端口和MAC地址的映射并进行转发
(2-3-5)发起ARP请求的主机收到ARP广播请求响应并更新本主机的ARP表
(3)根据ARP协议查找对应IP和MAC地址进行发送数据包
1二层交换机的动作:
(1)学习——学习入端的端口号和MAC地址映射
(2)转发——根据MAC地址表进行转发或者进行广播
1.ARP欺骗(其他主机能够接收到ARP广播包,所以可以伪造)只改变MAC地址,因为同网段的时候,主要根据MAC地址进行通信,
2.为了实施ARP欺骗,攻击者需要确保被攻击主机的ARP缓存表中的对应条目不会改变(一直发ARP回应)
3.监听、拦截、篡改
4.防御:
(1)主机,将ARP表中将重要的条目(例如网关等)设置为静态,静态优先级高于动态,不易被修改
(2)交换机,将MAC地址表中的MAC地址与对应的IP进行绑定,不再单独记录MAC地址
(3)VLAN划分网段
1.交换机中的MAC地址表存储于缓存中、MAC地址表中条目有老化时间(有效时间)、MAC地址表大小有限制——导致交换机不知道如何转发(找不到端口和MAC地址的映射)——交换机泛洪(广播):泛洪时候知道MAC地址,但不知道要往哪个端口转发,所有都转发,而且有携带数据;但广播不知道MAC地址,也没有具体数据——导致信息泄露,占用交换机带宽和资源
2.黑客主机伪造大量数据包,其中的源MAC地址被随机填充,这样大量的数据包就能把交换机原先的MAC地址表中条目置换,造成泛洪攻击
3.一个端口可以对应多个MAC地址
4.port security端口安全特性——人为设置一个端口对应的MAC地址数量,超过该数量之后,交换机不能继续学习该端口上的对应MAC地址——导致黑客不能置换交换机中MAC地址的所有条目
1为什么要划分网段:
(1)广播流量太多,占用网络带宽和设备资源
(2)管理复杂,不利于发现问题、排除故障
(3)不利于安全风险的隔离,安全问题影响范围大
2如何划分网段
(1)只要网络号相同,就在同一个网段——IP地址和子网掩码与运算
(2)主机号(主机地址):IP地址是网络号和主机号的结合
1.路由器端口有IP地址和MAC地址
2.网关:主机号位1
3不同网段主机通信
(1)主机判断两个IP地址是否在同一个网段
(2)主机通过本地路由表查看默认网关
(3)主机和网关都在同网段)
(4)主机通过ARP表查找网关MAC地址(和同一网段的主机通信一样)
(5)主机封装数据包
源地址:本机IP地址和MAC地址
目的地址:另一太台主机的IP地址和网关MAC地址
(6)将数据包发送给交换机,交换机根据数据包内目的MAC地址和MAC地址表进行转发给网关(路由器)
(7)路由选择:网关抹去原数据包中的所有MAC地址,根据目的IP查询路由表,得到下一跳的IP地址,再查询本地ARP缓存得到对应的MAC地址(此处如果不知道对应的MAC地址,则使用ARP协议查询,同样也有ARP缓存表),将下一跳的MAC地址作为目的MAC地址,要转发过去的端口MAC地址作为源MAC地址,进行封装转发
(7-1)直连路由 ——路由器接口所连接子网的路由,根据路由器接口IP配置,自动生成
(7-2)静态路由——网络管理员手动写的路由表——适用于网络规模不大,拓扑结构固定——配置简单、不占用资源——需要网络管理员逐条配置,不能动态调整
(7-3)动态路由——路由器和路由器之间定期自动的交换数据优化路由表——适用于网络规模大、网络拓扑结构复杂的网络——只需要占用路由器资源(CPU、内存)和未来带宽资源——常见协议OSPF和RIP
(7-3-1)OSPF?
(7-3-2)RIP?
(7-4)默认路由——IP地址和子网掩码为0.0.0.0和0.0.0.0,并写明写一跳的IP——当其余路由无法匹配时候,使用默认路由——如果没有默认路由,且报文IP不再路由表中,则丢弃,返回ICMP报文指出目的不可达
(7-5)路由优先级——直连路由>静态路由>动态路由>默认路由
(8) 重复(7)的步骤,直到目的主机接收数据
(9)目的主机应答:数据包中IP地址分别为请求主机IP和本主机IP,目的MAC地址为网关MAC,源MAC地址为本机MAC地址
##该过程中IP地址不变,MAC地址每一跳改变
##可以理解为同网段基于MAC地址通信,不同网段基于同网段和IP地址通信
1.单臂路由(虚拟接口)
域名解析
1.首先,向本地DSN服务器发起请求,若本地DNS服务器知道对应的IP则返回IP地址
2若找不到,则本地DNS服务器向根DNS服务器发起请求,根DSN服务器返回对应的顶级域名服务器IP
3.本地DNS服务器根据的顶级DNS服务器IP,向顶级DNS服务器发起请求,顶级DNS服务器返回权威DNS服务器的IP
4.本地DSN服务器根据权威DNS服务器IP,向权威DNS服务器发起请求,权威DNS服务器返回目标域名的IP地址
5.本地DNS服务器将接收到的对应服务器IP地址发送给客户端
以上解析过程中,如果服务器有着属于多个不同运营商的IP地址,则可能发生跨运营商方法或者访问了故障IP(比如本地是联通网络,选择的服务器IP是电信网络)
避免跨运营商访问和故障IP:
1.需要服务器端的AD协助
2.权威DNS服务器不再记录A记录,而是改为NS记录,返回的是对应目标服务器的域名解析服务器AD
3.本地域名解析服务器查询AD,得到最优的目标服务器IP,从而进行访问
##A记录:源码对应IP地址
##NS记录:name server纪录
源头网络地址转换NAT(子网IP可以访问外网,但外网响应无法回来)——内网主机访问互联网服务器
1.请求出去:NAT将子网IP转换为代理的公网IP,使其能够进行通信(SNAT转换——源IP地址转换)
2.响应回来:目的IP地址为代理的公网IP,达到NAT之后,将目的地址转换为真正的目的IP地址,进行通信
3.NAT映射缓存表
原先的IP 转换后的IP (端口1--NAPT)(端口2--NAPT)
4.分类
(4-1)静态:一对一
(4-2)动态:谁先来,谁先用公网IP,一个公网IP可以对应多个子网IP(同一时刻只能一对一)
(4-3)NAPT(网络地址端口转换):在动态转换的基础上加上源端口号,使用源端口号来区分不同的子网IP(两台子网主机使用到同一个端口怎么办?)——NAT再额外使用一个端口号来代理原先的源端口号
目的网络地址转换DNAT(服务器处于内网,不然易被攻击)——互联网主机访问内网服务器
1.防火墙具有路由功能
2.根据目的端口号进行映射
目的端口号 最终目的IP地址
3.SNAT和DNAT配对使用才能相互访问(访问不同于通信)