计算机网络教程 电子教案 第六章 网络层 ARP ICMP 移动IP和IPv6 2 主要内容 其它核心协议 6 5 地址解析协议ARP Internet控制消息协议ICMP 移动IP和IPv6 6 6 移动IP IPv6 3 ARP ARP IP地址 MAC地址 为什么需要MAC地址 数据链路层传输 用于以太网等广播网络中解析地址 如果不知道IP地址对应的MAC地址 发送ARP请求 暂时 保留IP分组在缓冲区 ARP请求采用广播发送 Sender IP MAC address Target IP MAC address Target IP站点响应ARP请求 源和目的字段互调 并且填 写源MAC地址 C 2 D E F 3 1 4 6 5 7 B A 4 ARP 所有站点收到ARP请求 更新相应的缓存 cache ARP请求的目的站点B A B 缓存A的映射 ARP响应的接收者A缓存B的映射 其他接收到ARP请求的站点在缓存中已包含A的映射时更新映射 ARP缓存的目的 高效 ARP缓存的TTL 20分钟 arp a 显示ARP表 Gratuitous ARP 在启动或者改变IP地址时发送自己 IP地址的ARP请求 检查地址是否已经使用 可以让接收者缓冲该MAC地址 5 ARP分组格式 ARP分组格式 1 Ethernet 0 x0806 IP 6 Reverse ARP RARP MAC IP 地址 无盘工作站获得自 己的IP地址 MAC 地址是唯一不变的 主机广播RARP请求 RARP服务器返回该 MAC对应的IP地址 RARP的缺陷 不能跨越路由器 每 个子网需要服务器 IP配置信息简单 应 用层的BOOTP DHCP更好 7 Proxy ARP 代理ARP 通过代理ARP 路由器 在两个物理网络中用同一IP网 络 另一个网络对第一个网络透明 第一个网络中的主机认为整个网络中只有一个物理网络 采用更短的子网掩码 代理ARP 路由器 将响应第一个网络到第二个网络主 机的ARP请求 回应路由器的MAC地址 例 移动IP应用中 8 Proxy ARP 缺点 第一个网络中的ARP请求会增加 主机必须保留更多的IP到MAC地址映射 安全漏洞 spoofing 对网络拓扑有要求 比如两个物理网络间有两个路由器 连接会带来问题 9 ARP伪装攻击 ARP Spoofing 伪造一个ARP响应 节点收到伪造的响应后会更新缓存 即poisoning ff ff ff ff ff ff ff ff ff ff ff ff 10 中间人攻击 Man in the Middle Attack MiM 攻击者 原来的两个节点间的通信通过第三方的攻击 者 攻击者会转发分组使得通信双方无法觉察到 如果攻击者位于节点和路由器之间 那么 可以监听该节点所有的Internet负载 11 ATTACKS SNIFFING Man in the Middle Attack MiM AB 10 0 0 1 00 00 00 00 00 01 10 0 0 2 00 00 00 00 00 02 IP AddressMAC Address 10 0 0 200 00 00 00 00 02 IP AddressMAC Address 10 0 0 100 00 00 00 00 01 Computer A B are communicating on a switched network For illustration purposes switch left out of picture 12 ATTACKS SNIFFING Man in the Middle Attack MiM AB 10 0 0 1 00 00 00 00 00 01 10 0 0 2 00 00 00 00 00 02 IP AddressMAC Address 10 0 0 200 00 00 00 00 02 IP AddressMAC Address 10 0 0 100 00 00 00 00 01 To intercept communications computer X first sends a spoofed ARP reply to computer A This reply replaces the IP address of B with the MAC of X X xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx xx 14 ATTACKS SNIFFING Man in the Middle Attack MiM AB 10 0 0 1 00 00 00 00 00 01 10 0 0 2 00 00 00 00 00 02 IP AddressMAC Address 10 0 0 2xx xx xx xx xx xx IP AddressMAC Address 10 0 0 1xx xx xx xx xx xx Now when computer A wants to talk to B it sends the data to X Likewise computer B sends its data to X when it wants to talk to A X xx xx xx xx xx xx xx xx xx xx 15 ATTACKS SNIFFING Man in the Middle Attack MiM AB 10 0 0 1 00 00 00 00 00 01 10 0 0 2 00 00 00 00 00 02 IP AddressMAC Address 10 0 0 2xx xx xx xx xx xx IP AddressMAC Address 10 0 0 1xx xx xx xx xx xx Computer X needs to do one more thing to prevent disrupting the communication Between A and B It must forward the packets A sends to B on and visa versa X xx xx xx xx xx xx xx xx xx xx ICMP 认为是IP的一部分 必须实现 主要功能包括 差错报告 TTL超时 目的不可达 不能分段等 网络管理 ping traceroute 端系统配置 路由器通告等 ICMP消息使用IP来传递 Query类 差错类消息 ICMP消息最少8个字节 Type Code 类型 子类型 Protocol 1 17 ICMP差错报告 IP分组递交或者转发出现错误时发送ICMP差错报告 差错报告信息中包含了出错IP分组头部以及数据的前8个字节 ICMP消息发送给对应IP分组的源IP地址对应的节点 ICMP消息限制 ICMP不报告ICMP消息 本身的错误 ICMP不报告IP分组的 检验和错误 不能向IP分组途径的路 由器报告差错或更正 差错 ICMP只报告IP分组的 第一个分段的错误 ICMP不报告广播和组 播分组的错误 18 ICMP差错报告 Type 3 目的地不可达 Code 0 网络不可达 找不到对应路由表项 Code 1 主机不可达 ARP请求没有响应 Code 2 协议不可达 目的地不支持IP头部中的protocol Code 3 端口不可达 没有应用程序绑定在该端口上 Code 4 需要分段但DF置位 Type 5 重定向 通知有一条更好的路由 Type 11 时间超时 Code 0 TTL为0 Code 1 重组计时器超时 Type 12 参数错误 19 ICMP应用 Host or Router ICMP ECHO REQUEST 8 0 Host or router ICMP ECHO REPLY 0 0 A B R1R2 Next Hop R2 R1 A ICMP Redirect A R2 B B Redirect Ping 20 ICMP应用 Traceroute R1R2R3AB TTL 1 Dest B port invalid TTL 2 Dest B TTL 3 Dest B TTL 4 Dest B Te R1 Te R2 Te R3 Pu B Time Te Time exceeded Pu Port unreachable 21 ICMP应用 Path MTU Discovery 发送一个足够大的分组 DF标志为1 根据本地MTU和对方的MSS的取较小者 如果途中网络的MTU不够大 源节点将收到ICMP 不能分段差错报告 发送一个小一些的分组 DF标志为1 进一步探 测是否可以经过那些网络 重复直到没有收到ICMP消息 22 主要内容 其它核心协议 6 5 地址解析协议ARP Internet控制消息协议ICMP 移动IP和IPv6 6 6 移动IP IPv6 23 Mobile IP Internet设计时没有考虑到主机的移动 包 括路由和地址 网络 主机 每次移动到新的位置改变IP地址 但是正在进 行的连接会中断 采用松散源路由LSR 移动主机发送的分组用 于记录路径 通信另一方采用源路由来发送给 移动主机 考虑到安全问题防火墙一般会禁止源路由 Mobile IP Seamless roaming 主机移动位置但是要求目前的连 接不会中断 24 Mobile IP Internet home network 移动主机 永久的家 128 119 40 24 Permanent address 在 home网络中的地址 通过 它可以到达移动主机 128 119 40 186 home agent 为主机移动到 外部网络提供服务 Care of address CoA 标识主机的当前位置 即在访问网络中的地址 79 129 13 2 常常为FA的地址 FA CoA 或者通过DHCP申请一个新的本地地址 CoLocated CoA visited network 主机当前所 在的网络 79 129 13 24 foreign agent 在访问网 络中提供移动IP服务 correspondent 和移动 主机通信的节点 Home Address CoA lifetime Home Address HA MAC lifetime 25 Mobile IP 代理发现 MH怎么知道是在Home还是Foreign网络 MH通过发现FA来检测目前的位置 HA和FA定期广播Agent Advertisements ICMP Router扩展 消息 包括1个或者多个CoA地址 是HA还是FA MH通过这些消息来检测移动情况 同时也可以 主动广播agent solicitation ICMP消息 26 Mobile IP 登记 登记 HA怎么知道MH的位置 FA怎么知道需要把分组转发 给MH 如果MH发现在Home网络 可以发送一个lifetime 0的登记请求给HA 如果发现在新的网络 发送Registration Request Home address HA 给FA FA发送Registration Request Home address CoA 给HA HA更新位置信息 发送确认给FA FA更新访问者列表后再转发给 MH Internet visited network foreign agent correspondent Home Address CoA lifetime Home Address HA MAC lifetime Home agent Register Request Register Reply 27 Mobile IP 通信 Internet visited network foreign agent correspondent Home Address CoA lifet