網(wǎng)絡(luò)數(shù)據(jù)包傳輸過程總結(jié)

網(wǎng)絡(luò)數(shù)據(jù)包傳輸過程總結(jié)據(jù)包是如何在網(wǎng)絡(luò)中傳輸?shù)奈覀冸娔X上的數(shù)據(jù)，是如何〃走”到遠端的另一臺電腦的呢？這是個最基礎(chǔ)的問題，可能很多人回答不上來，盡管我們每天都在使用網(wǎng)絡(luò)。這里我們以一個最簡單的“ping”命令，來解釋一個數(shù)據(jù)包〃旅程”。假設(shè)：我的電腦A，向遠在外地的朋友電腦B傳輸數(shù)據(jù)，最簡單的就是“ping”一下，看看這個家伙的那一端網(wǎng)絡(luò)通不通。A與B之間只有一臺路由器。（路由器可能放在學校，社區(qū)或者電信機房，無所謂，基本原理是一樣的）具體過程如下——“ping”命令所產(chǎn)生的數(shù)據(jù)包，我們歸類為ICMP協(xié)議。說白了就是向目的地發(fā)送一個數(shù)據(jù)包，然后等待回應(yīng)，如果回應(yīng)正常則目的地的網(wǎng)絡(luò)就是通的。當我們輸入了“ping”命令之后，我們的機器（電腦A）就生成了一個包含ICMP協(xié)議域的數(shù)據(jù)包，姑且稱之為“小德”吧????“小德”已經(jīng)將ICMP協(xié)議打包到數(shù)據(jù)段里了，可是還不能發(fā)送，因為一個數(shù)據(jù)要想向外面?zhèn)魉?，還得經(jīng)過“有關(guān)部門”的批準------IP協(xié)議。IP要將你的“寫信人地址”和“收信人地址”寫到數(shù)據(jù)段上面，即：將數(shù)據(jù)的源IP地址和目的IP地址分別打包在“小德”的頭部和尾部，這樣一來，大家才知道你的數(shù)據(jù)是要送到哪里。3.準備工作還沒有完。接下來還有部門要審核——ARP。ARP屬于數(shù)據(jù)鏈路層協(xié)議，主要負責把IP地址對應(yīng)到硬件地址。直接說吧，都怪交換機太“傻”，不能根據(jù)IP地址直接找到相應(yīng)的計算機，只能根據(jù)硬件地址來找。于是，交換機就經(jīng)常保留一張IP地址與硬件地址的對應(yīng)表以便其查找目的地。而ARP就是用來生成這張表的。比如：當〃小德”被送到ARP手里之后，ARP就要在表里面查找，看看〃小德”的IP地址與交換機的哪個端口對應(yīng)，然后轉(zhuǎn)發(fā)過去。如果沒找到，則發(fā)一個廣播給所有其他的交換機端口，問這是誰的IP地址，如果有人回答，就轉(zhuǎn)發(fā)給它。經(jīng)過一番折騰，“小德”終于要走出這個倒霉的局域網(wǎng)了?？稍诖酥?，它們還沒忘給“小德”屁股后面蓋個“戳”，說是什么CRC校驗值，怕“小德”在旅行途中缺胳膊少腿，還得麻煩它們重新發(fā)送。。。。。我靠 注：很多人弄不清FCS和CRC。所謂的CRC是一種校驗方法，用來確保數(shù)據(jù)在傳輸過程中不會丟包，損壞等等，F(xiàn)CS是數(shù)據(jù)包（準確的說是frame）里的一個區(qū)域，用來存放CRC的計算結(jié)果的。到了目的地之后，目的計算機要檢查FCS里的CRC值，如果與原來的相同，則說明數(shù)據(jù)在途中沒有損壞。在走出去之前，那些家伙最后折磨了一次“小德”——把小德身上眾多的0和1,弄成了什么“高電壓”“低電壓”，在雙絞線上傳送了出去。暈~~出趟門就這么麻煩嗎？坐著雙絞線旅游，爽！可當看到很多人坐著同軸電纜，還有坐光纖的時候，小德又感覺不是那么爽了。就在這時，來到了旅途的中轉(zhuǎn)站——路由器。這地方可是高級場所，人家直接查看IP地址！剩下的一概不管，交給下面的人去做。夠牛吧？路由器的內(nèi)部也有一張表，叫做路由表，里面標識著哪一個網(wǎng)絡(luò)的IP對應(yīng)著路由器的哪一個端口。這個表也不是天生就有的，而是靠路由器之間互相〃學習”之后生成的，當然也可以由管理員手工設(shè)定。這個“學習”的過程是依靠路由協(xié)議來完成的，比如RIP,EIGRP,OSPF等等。7.當路由器查看了“小德”的IP地址以后，根據(jù)路由表知道了小德要去的網(wǎng)絡(luò)，接著就把小德轉(zhuǎn)到了相應(yīng)的端口了。至此，路由器的主要工作完成，下面又是打包，封裝成frame，轉(zhuǎn)換成電壓信號等一系列〃折騰”的活，就由數(shù)據(jù)鏈路層和物理層的模塊去干吧。8.小德從路由器的出口出來，便來到了目的地----電腦B----所屬的網(wǎng)絡(luò)的默認網(wǎng)關(guān)。默認網(wǎng)關(guān)可以是路由器的一個端口，也可以是局域網(wǎng)里的各種服務(wù)器。不管怎樣，下面的過程還是一樣的：到交換機里的ARP表查詢〃小德”的IP地址，看看屬于哪個局域網(wǎng)段或端口，然后就轉(zhuǎn)發(fā)到B了。進7B的網(wǎng)卡之后，還要層層“剝皮”，基本上和從A出來的程序是一樣的——電腦B先校驗一下CRC值，看看數(shù)據(jù)是否完整；然后檢查一下frame的封裝，看到是IP協(xié)議之后，就把“小德”交給IP“部門”了；IP協(xié)議一看目的地址，正確，再看看應(yīng)用協(xié)議，是ICMP。于是知道了該怎么做了——產(chǎn)生一個回應(yīng)數(shù)據(jù)包，（可以命名為“回應(yīng)小德”），并準備以同樣的順序向遠端的A發(fā)送。。至于剛剛收到的那個數(shù)據(jù)包就丟棄了?！盎貞?yīng)小德”這個數(shù)據(jù)包又開始了上述同樣的循環(huán)，只不過這次發(fā)送者是B而接收者是A了。以上是一個最簡單的路由過程，任何復(fù)雜的網(wǎng)絡(luò)都是在次基礎(chǔ)之上實現(xiàn)的。網(wǎng)絡(luò)數(shù)據(jù)包大小用UDP協(xié)議發(fā)送時，用sendto函數(shù)最大能發(fā)送數(shù)據(jù)的長度為：65535-20-8二65507字節(jié)，其中20字節(jié)為IP包頭長度，8字節(jié)為UDP包頭長度。用sendto函數(shù)發(fā)送數(shù)據(jù)時，如果指的的數(shù)據(jù)長度大于該值，則函數(shù)會返回錯誤。用TCP協(xié)議發(fā)送時，由于TCP是數(shù)據(jù)流協(xié)議，因此不存在包大小的限制（暫不考慮緩沖區(qū)的大?。?，這是指在用send函數(shù)時，數(shù)據(jù)長度參數(shù)不受限制。而實際上，所指定的這段數(shù)據(jù)并不一定會一次性發(fā)送出去，如果這段數(shù)據(jù)比較長，可能會被分段發(fā)送，如果比較短，可能會等待和下一次數(shù)據(jù)一起發(fā)送。我在測試的時候，發(fā)現(xiàn)長度一般會被切成16384(16K)或49152(48K)，不知道這兩個值有什么意義。二,網(wǎng)絡(luò)中IP數(shù)據(jù)報傳輸?shù)倪^程偽代碼［有助于理解】IP數(shù)據(jù)報需從主機A上傳送到主機8上，主機入首先查找路由表;if(目的主機是與自己在同一個網(wǎng)段內(nèi))(主機入查詢自己的ARP表；if(有該目的IP地址對應(yīng)的MAC地址的記錄)(將該MAC地址作為目的MAC地址，封裝數(shù)據(jù)幀，傳送給主機B;}else(發(fā)送一個ARP請求廣播給網(wǎng)段內(nèi)的所有主機，來查詢該目的IP地址的MAC地址；收到ARP請求報文的各個主機如果發(fā)現(xiàn)該IP地址是自己的IP地址，則返回一個ARP應(yīng)答報文告訴主機A自己的MAC地址；如果發(fā)現(xiàn)不是自己的IP地址，則丟棄該報文。主機A收到這個應(yīng)答報文后，就按照返回的MAC地址，將IP數(shù)據(jù)包封裝成幀，然后發(fā)送到主機B上；(補充：一般為了減少網(wǎng)絡(luò)中的報文量，通信雙方會維護一個各自的ARP表，把一次通信中獲得IPMAC地址對保存在緩沖的ARP表電但是ARP表有一個老化機制，刪除一段時間內(nèi)不用的IPMAC地址對。)}}elseif(發(fā)現(xiàn)了能與目的網(wǎng)絡(luò)號相匹配的表目)(則把報文發(fā)給改表目指定的下一站的路由器或直接連接的網(wǎng)絡(luò)接口；報文發(fā)送到下一站時，數(shù)據(jù)幀的目的MAC地址是下一個站路由器或者網(wǎng)絡(luò)接口的MAC地址，而IP頭部的目的IP地址是主機B的IP地址；這里要指出的是：ARP請求報文以下一站路由器或網(wǎng)絡(luò)接口的IP地址為目的IP地址，尋找真的目的MAC地址。換句話，ARP請求報文只負責IP數(shù)據(jù)報傳輸過程中每一跳中的目的MAC地址查詢。}else(尋找標為〃默認”的表目，把報文發(fā)送給該表目指定的下一站路由器；報文發(fā)送到下一站時，數(shù)據(jù)幀的目的MAC地址是下一個站路由器的MAC地址，而IP頭部的目的IP地址是主機B的IP地址。}數(shù)據(jù)幀在每兩個網(wǎng)絡(luò)設(shè)備間傳遞時，是轉(zhuǎn)換成bit流在傳輸媒體上傳輸。鏈路層提供了如停止等待協(xié)議等機制，控制了bit流在傳輸媒體上的無措傳輸。三ARP協(xié)議詳解前言：ARP協(xié)議的作用：什么是ARP?ARP(AddressResolutionProtocol)是個地址解析協(xié)議。最直白的說法是：在IP以太網(wǎng)中，當一個上層協(xié)議要發(fā)包時，有了該節(jié)點的IP地址，ARP就能提供該節(jié)點的MAC地址。2為什么要有ARP?OSI模式把網(wǎng)絡(luò)工作分為七層，彼此不直接打交道，只通過接口（layreinterface）.IP地址在第三層,MAC地址在第二層。協(xié)議在發(fā)生數(shù)據(jù)包時，首先要封裝第三層（IP地址）和第二層（MAC地址）的報頭但協(xié)議只知道目的節(jié)點的IP地址，不知道其物理地址，又不能跨第二、三層，所以得用ARP的服務(wù)。詳細說明：在網(wǎng)絡(luò)通訊時，源主機的應(yīng)用程序知道目的主機的IP地址和端口號，卻不知道目的主機的硬件地址，而數(shù)據(jù)包首先是被網(wǎng)卡接收到再去處理上層協(xié)議的，如果接收到的數(shù)據(jù)包的硬件地址與本機不符，則接丟兼因此在通訊前必須獲得目的主機的硬件地址。ARP協(xié)議就起到這個作用當一臺主機把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于同一局域網(wǎng)上的另一臺主機時，是根據(jù)48位的以太網(wǎng)地址來確定目的接口的，設(shè)備驅(qū)動程序從不檢查IP數(shù)據(jù)報中的目的IP地址。ARP（地址解析）模塊的功能為這兩種不同的地址形式提供映射：32位的IP地址和48位的以太網(wǎng)地址（-）ARP報文各字段含義：ARP報文字段總共有28個字節(jié)硬件類型：占2個字節(jié)，表明ARP實現(xiàn)在何種類型的網(wǎng)絡(luò)上。值為1：表示以太網(wǎng)。協(xié)議類型：占2個字節(jié)表示要映射的協(xié)議地址類型。IP:0800硬件地址長度：占1個字節(jié)，表示MAC地址長度，其值為6個字節(jié)。協(xié)議地址長度：占1個字節(jié)，表示IP地址長度，此處值4個字節(jié)操作類型：占2個字節(jié)，表示ARP數(shù)據(jù)包類型。值為1表示ARP請求。值2表示ARP應(yīng)答。源MAC地址：占6個字節(jié)，表示發(fā)送端MAC地址源IP地址:占4個字節(jié)，表示發(fā)送端IP地址目的以太網(wǎng)地址：占6個字節(jié)，表示目標設(shè)備的MAC物理地址目的IP地址：占4個字節(jié)，表示目標設(shè)備的IP地址.注意：在ARP操作中，有效數(shù)據(jù)的長度為28個字節(jié)，不足以太網(wǎng)的最小長度46字節(jié)長度，需要填充字節(jié)，填充字節(jié)最小長度為18個字節(jié)(=)ARPW求分￡或^答分3以太網(wǎng)首部總共有14字節(jié)數(shù)據(jù)，arp請求報文總共有28字節(jié)。所以一個ARP請求分組或應(yīng)答分組總共有46字節(jié)數(shù)據(jù)。而以太網(wǎng)數(shù)據(jù)包的最小數(shù)據(jù)為60字節(jié)。所以，要對其進行填充。這里有一些重復(fù)信息在以太網(wǎng)的數(shù)據(jù)幀報頭中和ARP請求數(shù)據(jù)幀中都有發(fā)送端的MAC物理地址。在發(fā)送ARP請求時，以太網(wǎng)幀頭中的目的MAC物理地址為FF-FF-FF-FF-FF-FF,而在ARP幀中的目的MAC處此時為空。對一個ARP請求來說，除ARP中目的端MAC硬件地址外的所有其他的字段都有填充值。當系統(tǒng)收到一份目的端為本地的ARP請求報文后，它就把硬件地址填進去，然后用兩個目的端地址分別替換兩個發(fā)送端地址，并把操作字段置為2，最后發(fā)送出去。(M)ARP協(xié)議工作過程：原理：(ARP協(xié)議只使用于局域網(wǎng)中)1＞在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰◣?，幀里面是有目標主機的MAC地址的。2＞在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得呢？它就是通過地址解析協(xié)議獲得的。所謂〃地址解析”就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。3＞ARP協(xié)議的基本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。4＞點對點的連接是不需要ARP協(xié)議的工作過程：1＞當主機A向本局域網(wǎng)上的某個主機B發(fā)送IP數(shù)據(jù)報時，就先在自己的ARP緩沖表中查看有無主機B的IP地址。2＞如果有，就可以查出其對應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過以太網(wǎng)將數(shù)據(jù)包發(fā)送到目的主機中。3＞如果查不到主機B的IP地址的表項。可能是主機B才入網(wǎng)，也可能是主機A剛剛加電。其高速緩沖表還是空的。在這中情況下，主機入就自動運行ARP。ARP進程在本局域網(wǎng)上廣播一個ARP請求分組。ARP請求分組的主要內(nèi)容是表明：我的IP地址是192.168.0.2，我的硬件地址是00-00-C0-15-AD-18.我想知道IP地址為192.168.0.4的主機的硬件地址。在本局域網(wǎng)上的所有主機上運行的ARP進行都收到此ARP請求分組。主機B在ARP請求分組中見到自己的IP地址，就向主機A發(fā)送ARP響應(yīng)分組，并寫入自己的硬件地址。其余的所有主機都不理睬這個ARP請求分組。ARP響應(yīng)分組的主要內(nèi)容是表明：〃我的IP地址是192.168.0.4，我的硬件地址是08-00-2B-00-EE-AA”，請注意：雖然ARP請求分組是廣播發(fā)送的，但ARP響應(yīng)分組是普通的單播，即從一個源地址發(fā)送到U一個目的地址。主機A收到主機B的ARP響應(yīng)分組后，就在其ARP高速緩沖表中寫入主機B的IP地址到硬件地址的映射。事例說明：用ping說明ARP工作的原理假設(shè)我們的計算機IP地址是192.168.1.1，要執(zhí)行這個命令：ping192.168.1.2。該命令會通過ICMP協(xié)議發(fā)送ICMP(以太網(wǎng)控制報文協(xié)議)數(shù)據(jù)包該過程需要經(jīng)過下面的步驟：1＞應(yīng)用程序構(gòu)造數(shù)據(jù)包，該示例是產(chǎn)生ICMP包，被提交給內(nèi)核(網(wǎng)絡(luò)驅(qū)動程序)；2＞內(nèi)核檢查是否能夠轉(zhuǎn)化該IP地址為MAC地址，也就是在本地的ARP緩存中查看IP-MAC對應(yīng)表；3＞如果存在該IP-MAC對應(yīng)關(guān)系，那么跳到步驟＜7；如果不存在該IP-MAC對應(yīng)關(guān)系，那么接續(xù)下面的步驟；4＞內(nèi)核進行ARP廣播，目的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令類型為REQUEST（1），其中包含有自己的MAC地址；5＞當192.168.1.2主機接收到該ARP請求后，就發(fā)送一個ARP的REPLY（2）命令，其中包含自己的MAC地址；6＞本地獲得192.168.1.2主機的IP-MAC地址對應(yīng)關(guān)系，并保存到ARP緩存中；7＞內(nèi)核將把IP轉(zhuǎn)化為MAC地址，然后封裝在以太網(wǎng)頭結(jié)構(gòu)中，再把數(shù)據(jù)發(fā)送出去；特殊情況：ARP是解決同一個局域網(wǎng)上的主機或路由器的IP地址和硬件地址的映射問題。如果所要找的目標設(shè)備和源主機不在同一個局域網(wǎng)上。1＞此時主機A就無法解析出主機B的硬件地址（實際上主機A也不需要知道遠程主機B的硬件地址）；2＞此時主機A需要的是將路由器R1的IP地址解析出來，然后將該IP數(shù)據(jù)報發(fā)送給路由器R1.3＞R1從路由表中找出下一跳路由器R2，同時使用ARP解析出R2的硬件地址。于是IP數(shù)據(jù)報按照路由器R2的硬件地址轉(zhuǎn)發(fā)到路由器R2。4＞路由器R2在轉(zhuǎn)發(fā)這個IP數(shù)據(jù)報時用類似方法解析出目的主機B的硬件地址，使IP數(shù)據(jù)報最終交付給主機B.說明：如果你的數(shù)據(jù)包是發(fā)送到不同網(wǎng)段的目的地，那么就一定存在一條網(wǎng)關(guān)的IP-MAC地址對應(yīng)的記錄。知道了ARP協(xié)議的作用，就能夠很清楚地知道，數(shù)據(jù)包的向夕卜傳輸很依靠ARP協(xié)議，當然，也就是依賴ARP緩存。要知道，ARP協(xié)議的所有操作都是內(nèi)核自動完成的，同其他的應(yīng)用程序沒有任何關(guān)系。同時需要注意的是，ARP協(xié)議只使用于本網(wǎng)絡(luò)。）ARP緩沖表和TTLARP緩沖表1>ARP協(xié)議的本質(zhì)是完成網(wǎng)絡(luò)地址到物理地址的映射。從概念上將就是找到一個映射方法f,使得“物理地址=f（網(wǎng)絡(luò)地址）“。物理地址有兩種基本類型：以太網(wǎng)類型和令牌環(huán)網(wǎng)類型。網(wǎng)絡(luò)地址特指IP地址，對映射方法的要求就是高效。具體到以太網(wǎng)，它使用的是動態(tài)綁定轉(zhuǎn)換的方法。一般是設(shè)置ARP高速緩存，通過學習，老化，更新，溢出算法處理ARP映射表來解決這些問題。學習指ARP收到任何指向本結(jié)點IP地址的ARP/IP包，從中提取出地址對，當ARP緩沖表中無對應(yīng)項時，由ARP接收部分添加；老化指為每項設(shè)置壽命域，以便代謝掉陳舊的地址映射項；更新指ARP提取到新的地址對時，用其更新緩存里已有的對應(yīng)項;溢出算法指當緩存慢時，采取何種方法替代舊有的地址對。2>ARP緩存表由狀態(tài)，壽命，IP地址，MAC地址4個字段組成。狀態(tài)字段指示地址對是否有效；壽命字段用于老化操作，初始存入最大值，以后由OS時間函數(shù)調(diào)用，每秒減1，直至為0清除；IP地址和MAC地址字段保存網(wǎng)絡(luò)地址和物理地址的映射。圍繞ARP緩存表，完成了4種操作：學習，老化，更新，表滿處理。3>當ARP被詢問一個已只IP地址節(jié)點的MAC地址時，先在ARPcache查看l若存在，就直接返回MAC地址，l若不存在，才發(fā)送ARPrequest向局域網(wǎng)查詢。4>當主機入向B發(fā)送數(shù)據(jù)報時，很可能以后不久主機B還要向A發(fā)送數(shù)據(jù)報，因而主機B可能要向A發(fā)送ARP請求分組。所以，為了減少網(wǎng)絡(luò)上的通信量，主機A在發(fā)送其ARP請求分組時，就將自己的甲地址到硬件地址的寫入主機B自己的ARP高速緩沖表中。這對主機B以后向A發(fā)送數(shù)據(jù)報時就更方便了。Tiger說明：任何事物都有兩面性，如果掌握的好它就是天使，如果掌握的不好它就是Satan,ARP中的緩沖表為計算機之間的通信效率和減少網(wǎng)絡(luò)通信量之間作出了巨大的貢獻，但是它同時為我們上網(wǎng)時留下了安全隱患；例如交換機嗅探（在下面會有介紹）ARP中的TTL（即上面所說的壽命域）ARP將保存在高速緩沖表中的每一個映射地址表項都設(shè)置了TTL（生存時間），只要TTL小于0的項目就從高速緩沖表中刪除掉。（ARP的超時值一般為20分鐘，對不完整的表項設(shè)置為20分鐘，而對不完整的表項設(shè)置為2分鐘《不完整的表項：即在以太網(wǎng)上對一個不存在的主機發(fā)出ARP請求》，當這些表項再次使用時，這些實現(xiàn)一般都把超時值重新設(shè)為20分鐘。）好處：主機A和B通信。A的ARP高速緩沖表里保存有B的物理地址。但B的網(wǎng)卡突然壞了，B立即就更換了一塊，因此B的硬件地址就改變了。A還要和B繼續(xù)通信。A在其ARP緩沖表中查找到B原先的硬件地址，并使用該硬件地址向B發(fā)送數(shù)據(jù)幀。但B原先的硬件地址已經(jīng)失效了。因此A無法找到主機B。但是過了一段時間，A的ARP高速緩沖表中已經(jīng)刪除了B原先的硬件地址（因為它的生存時間到了），于是A重新光播發(fā)送ARP請求分組，又找到了B。（五） ARPg:使用arp-a命令就可以查看本地的ARP緩存內(nèi)容，所以，執(zhí)行一個本地的PING命令后，ARP緩存就會存在一個目的甲的記錄了。使用arp-d來刪除ARP高速緩存中的某一項內(nèi)容使用arp-s來增加高速緩沖表中的內(nèi)容，這個命令需要主機名和以太網(wǎng)地址。新增加的內(nèi)容是永久性的，除非在命令行的末尾加上關(guān)鍵字temp。arp-s157.55.85.21200-aa-aa-562-c6-09增加一個靜態(tài)的ARP表項。arppub-s:使系統(tǒng)起著主機ARP代理功能。系統(tǒng)將回答與主機名對應(yīng)的IP地址的ARP請求。（六） ARP其他方面1.交換網(wǎng)絡(luò)的嗅探1>1.ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答當計算機接收到ARP應(yīng)答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。因此，在上面的假設(shè)網(wǎng)絡(luò)中，B向A發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)為發(fā)送方IP地址是192.168.10.3（C的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（C的MAC地址本來應(yīng)該是CC-CC-CC-CC-CC-CC,這里被偽造了）。當A接收到B偽造的ARP應(yīng)答，就會更新本地的ARP緩存，將本地的IP-MAC對應(yīng)表更換為接收到的數(shù)據(jù)格式，由于這一切都是A的系統(tǒng)內(nèi)核自動完成的，A可不知道被偽造了。ARP欺騙的主要用途就是進行在交換網(wǎng)絡(luò)中的嗅探。2.IP地址沖突1＞如果網(wǎng)絡(luò)中存在相同IP地址的主機時候，就會報告出IP地址沖突的警告。2＞如何產(chǎn)生？比如某主機B規(guī)定IP地址為192.168.0.1，如果它處于開機狀態(tài)，那么其他機器A更該IP地址為192.168.0.1就會造成IP地址沖突。其原理是：主機A在連接網(wǎng)路（或更改IP地址）的時候就會向網(wǎng)絡(luò)發(fā)送ARP包廣播自己的IP地址，也就是freearp免費ARP）.如果網(wǎng)絡(luò)中存在相同IP地址的主機B，那么B就會通過ARP來reply該地址，當A接收到這個reply后，A就會跳出IP地址沖突的警告，當然B也會有警告。因此用ARP欺騙可以來偽造這個ARPreply，從而使目標一直遭受IP地址沖突警告的困擾。阻止目標的數(shù)據(jù)包通過網(wǎng)關(guān)1＞比如在一個局域網(wǎng)內(nèi)通過網(wǎng)管上網(wǎng)，那么連接外部的計算機上的ARP緩存中就存在網(wǎng)管IP-MAC對應(yīng)記錄2＞如果，該記錄被更改，那么該計算機向夕卜發(fā)送的數(shù)據(jù)包總是發(fā)送到了錯誤的網(wǎng)關(guān)硬件地址上，這樣，該計算機就不能上網(wǎng)了。3＞這里也主要是通過ARP欺騙進行的。有兩種方法達到這樣的目的：向目標發(fā)送偽造的ARP應(yīng)答數(shù)據(jù)包，其中發(fā)送方的IP地址為網(wǎng)管的地址，而MAC地址則為一個偽造的地址。當目標接收到ARP包，那么就更新自身的ARP緩存。如果該欺騙一直持續(xù)下去，那么目標的網(wǎng)管緩存一直是一個被偽造的錯誤記錄。不過，如果使用arp-司就知道問題所在了。第二種方法是欺騙網(wǎng)管。向網(wǎng)管發(fā)送偽造的ARP應(yīng)答數(shù)據(jù)包，其中發(fā)送方的IP地址為目標的IP地址，而MAC地址則為一個偽造的地址。這樣，網(wǎng)管上的目標ARP記錄就是一個錯誤的，網(wǎng)管發(fā)送給目標的數(shù)據(jù)報都是使用了錯誤的MAC地址。這種情況下，目標能夠發(fā)送數(shù)據(jù)到網(wǎng)管，卻不能接收到網(wǎng)管的任何數(shù)據(jù)同時，目標自己查看arp-a卻看不出任何問題來。通過檢測混雜模式節(jié)點1＞在混雜模式中，網(wǎng)卡進行包過濾不同于普通模式。本來在普通模式下，只有本地地址的數(shù)據(jù)包或者廣播(多播等)才會被網(wǎng)卡提交給系統(tǒng)核心，否則的話，這些數(shù)據(jù)包就直接被網(wǎng)卡拋棄?，F(xiàn)在，混合模式讓所有經(jīng)過的數(shù)據(jù)包都