1.当一个 主机把 以太网数据帧发送到位于同一局域网的另一台主机时,是根据48bit的以太网地址来确定目的接口的。设备驱动程序从来不检查IP数据报中目的IP地址。
2.ARP(地址解析协议):为IP地址到对应的硬件地址之间提供动态映射(动态过程是自动完成的,一般应用程序用户或者系统管理员不必关心)。
3.RARP(逆地址解析协议):RARP是被那些没有磁盘驱动器的系统使用,它需要系统管理员进行手工设置。
4.命令ftp
(1)FTP客户端调用函数gethostbyname(3)(DNS中的解析器)将主机名转化为32bit的IP地址
(2)FTP客户端请求TCP用得到的IP地址建立连接。
(3)TCP发送一个连接请求分段到远端的主机(IP地址发送一份IP数据报)
(4)如果目的主机在本地网络上,就IP数据报可以直接送到目的主机上。
如果目的主机在一个远程主机上,就通过IP选路函数来确定位于本地网络的下一站路由器地址,并让它转发IP数据报。
在这两种情况下,IP数据报都是被送到位于本地网络上的一台主机或者路由器。
(5)当位于以太网上,那么发送端主机必须把32bit的IP地址转换为48bit的以太网地址(从逻辑Internet地址到和对应的物理硬件地址需要进行翻译,这就是ARP的功能)。
(6)ARP发送一份称作ARP请求的以太网数据帧给以太网的每个主机(这个过程称为广播)。ARP请求数据帧中包含目的主机的IP地址(如果你是这个IP地址的拥有者,请回答你的硬件地址)
(7)目的主机的ARP层收到这份广播报文后,识别出这是发送端在讯问它的IP地址,于是,发送一个ARP应答(ARP应答包含IP地址及对应的硬件地址)
(8)收到ARP应答后,使ARP进行请求----应答交换的IP数据报现在可以传送了
(9)发送IP数据报到目的主机。
5.网络接口有一个硬件地址(一个48bit的值,标识不同的以太网或者令牌环网络接口)。
在硬件层次上进行的数据帧交换必须有正确的接口地址。但是,TCP/IP有自己的地址:32bit的IP地址。内核(如以太网驱动程序)必须知道目的端的硬件地址才能发送数据(仅仅知道主机的IP地址并不能让内核发送一帧数据给主机)。
其中,ARP的功能是在32bit的IP地址和采用不同网络技术的硬件地址之间提供动态映射。
6.ARP高速缓存:
ARP高速运行的关键是:每一个主机都有一个ARP高速缓存(ARP高速缓存存放了最近Internet地址到硬件地址之间的映射记录,TTL=20min(起始时间从被创建时开始算起))(ARP高速缓存中的每一项内容都有一个定时器,根据它来删除不完整和完整的表项)
arp命令:arp -a(显示高速缓存中所有的内容)
其中,,48bit的以太网地址用6个十六进制的数来表示,中间用冒号表示。
7.ARP的分组格式
(1)以太网目的地址全1时是广播地址,电缆上所有的以太网接口都要接收广播的数据帧。
(2)帧类型:ARP请求或应答(0x0806)
(3)硬件类型(硬件地址的类型)以太网地址全为1
(4)协议类型(要映射的协议地址即IP地址)IP地址(0X0800)(协议类型的值与包含IP数据报的以太网数据帧中的类型字段的值相同)
(5)硬件地址长度(硬件地址的长度)和协议地址长度(协议地址的长度),对于以太网上IP地址的ARP请求或者应答,它们的值分别为6和4.
(6)操作字段(包含四种操作类型):ARP请求(值为1);ARP应答(值为2);RARP请求(值为3);RARP应答(值为4)。(注意:ARP和RARP应答的帧类型字段的值是相同的)
(7)发送端的硬件地址;发送端的协议地址(IP地址);目的端的硬件地址;目的端的协议地址。
8.tcpdump命令(没有测试出来,需要下次继续)
tcpdump -e (显示的是硬件地址)(已存在的主机进行ARP请求)
对第一行输出数据进行分析:
(1)源主机的硬件地址0:0:0c:6f:2d:40
(2)目的端主机的硬件地址:ff:ff:ff:ff:ff:ff(以太网广播地址)
(3)arp:帧类型字段是0x0806;是一个ARP请求或者回答
(4)60:在arp或ip后的60表示以太网数据帧的长度(ARP请求或者应答的数据帧长度是42字节,需要加入填充字符以达到以太网的最小长度要求:60字节)
(5)arp who-has:表示ARP请求的这个数据帧,目的IP地址是svr4的地址,发送端的IP地址是bsdi的地址
第二行输出数据进行分析:
尽管ARP请求是广播的,但是ARP应答却是bsdi。即ARP应答是直接送到请求端主机的,不是广播的。打印出arp reply,主机名和硬件地址。
第三行输出数据进行分析:
第一个请求建立连接的TCP字段,目的硬件地址是目的主机(svr4),行号后面是tcpdump收到分组的时间(除了第一行外,其他每行在括号内包含了与上一行的时间差异)
8.ARP代理:如果ARP请求是从一个网络的主机发往另一个网络的主机,那么连接这两个网络的路由器就可以回答该请求(可以欺骗发起ARP请求的发送端,使它误以为路由器就是目的主机,然而目的主机是在路由器的“另一边”,此时,路由器的功能相当于目的主机的代理,把分组从其他主机转发给它)。
如何识别ARP代理:在arp命令执行后,在同一子网的路由器与主机的IP地址映射的硬件地址是相同的。
ARP的其他功能:通过两个物理网络之间的路由器可以互相隐藏物理网络。(此时两个物理网络可以使用相同的网络号,只要把中间的路由器设置成一个ARP代理,以响应一个网络到另一个网络主机的ARP请求)
9.免费的ARP:主机发送ARP查找自己的IP地址(它发生在系统引导期间进行接口配置的时候)
tcpdump -n :用来打印点分十进制的地址,而不是主机名
免费ARP的作用:
(1)一个主机可以通过它来确定另一台主机是否设置了相同的IP地址。(如果收到回答,就会在终端日志上出现错误:以太网地址:xxxx发送来重复的IP地址)
(2)如果发送免费ARP的主机正好改变了硬件地址,那么这个分组就可以使其他主机高祖缓存中旧的硬件地址进行相应的更新。
注意:
通过发送含有备份硬件地址和故障服务器的IP地址的免费ARP请求,使得备份文件服务器可以顺利地接替故障服务器进行工作。这使得所有的目的地为故障服务器的报文都被送到备份服务器那里,客户程序不用关心原来的服务器是否出现了故障。当出现客户端ARP协议实现与规范不一致就会出现问题。
10.arp命令
arp -a(显示ARP高速缓存中的所有内容)
arp -d(删除ARP高速缓存中的某一项内容)
arp -s(增加高速缓存中的内容,需要主机名和以太网地址)
位于命令行末尾的关键字pub和-s选项是一起的,可以使系统起着主机ARP代理的作用。(系统将回答与主机名对应的IP地址的ARP请求,兵役指定的以太网地址作为应答。如果广播的地址是系统本身,那么系统就为指定的主机名起着委托ARP代理的作用)