1网络基础-5internet层相关协议详解原创

那接下来呢，咱们来介绍TC pip协议的第二个重要协议，IP协议。IP协议是工作在网络层。TC pip的协议站。他的这个。第从下往上数的第二个层啊，叫英特Internet层，那这个Internet层里面事实上除了IP协议以外，还有一些别的协议。比方说大家比较熟悉的icmp协议。I呢，叫英太控制消息协议，这个协议实际上就是我们常用的P命令。P命令，它就是利用icmp协议。来实现的。

IC，它的功能就是来探测网络状态。比方说现在我如果和对方的主机想测试网络通畅不通畅。我们可以用P命令，它就会向网络中发送SMP数据报文。如果通是正常的，你就会看到这样的一些结果，这个结果我们可以看到从10.8返回了。若干个。数据信息，这个返回的时候，每个数据对应的小的报文是64个字节，其中每个包它有编号。1234并且。TTL是64。Time是时间，时间表示花了多长时间，花了0.307毫秒。啊，那这个时间能够知道和远程的主机连接到底速度快还是慢。

比方说我们将来在生产中有的时候要配一些服务器，我们可以进行选择，到底我连哪个服务器，那比方说我们将来要配DNSDNS在互联网上有一些非常著名的DNS，公开的，比方说阿里的223.5.5.5，那么还有。腾讯的，还有百度的，包括还有什么联通的，这些都是可以进行选择的，那么到底有哪个，那我们就测一下就好了，那么当我去P这个主机的时候，这返回的数字就表示返回的一个结果，这个结果中，其中这就有一个平均值的参考，当然你可以拼一段时间，比方说你拼个100个包，拼100个包，然后呢，你去取个平均值。

那这个值我们看到它取出来的多少，45啊，45当然有最大值，最小值，它取一个平均值，它这个是偏偏差啊，这个我们不管它，我们需要看这个45，那这个45，那如果我现在想拿这个阿里的测完了，我先测测那个，呃腾讯的，呃，这不是腾讯的啊，这个是百度的767676。我测一下它的这个速度怎么样，那我们看一下，实际上大家不用算算了，你一眼就能看出来它是不是速度要更快，你看只有十六十六啊，那现在你看这个算出来的是16，所以让你选的话，显而易见阿里是不是应该是不如百度的。啊，当然你也可以去选择咱们国内的联通的，比方说114114114。

那这个你也可以看一下它的速度如何，那实际上呢，我们看到基本上应该还是百度的更好，所以那就选百度是比较好的啊，当然你也可以测一下腾讯的，腾讯的DNS地址是多少。腾讯的DS啊，腾讯的DS啊，比方说腾讯DNS。啊，看看腾讯的DS多少呢，这边有119292929啊，那就这个啊，那就是看看看给腾讯一个机会。果然不辱使命是吧，到底是慢，那总的来说百度应该是是更优秀的，所以我们就配百度呗，把百度的DS视为优先第一个啊，所以大家看你看我应该就选的是百度。

哎，我还不是百度，我设的是阿里，那现在可以调一下了，阿里这个是不是改成第二个，百度设成第一个对吧？哎，改成设。第一个啊，这样的话呢，应该说应该更好，当然这里面还涉及到一个问题，就是这个TPR的问题啊，这个TPR它的值，哎，到底这个是什么意思，这个TPL它叫time to leave time to leave啊叫time to live time to live呢，就是翻译成就生命期。但这个生命期不是以时间为单位，它表示的是最多允许经过多少个路由器。那么我发了个数据报文，对方给我回来的报文中TPR是128，表示他最多允许经过128个路由器，如果中间隔了一个路由器，它就会自动的减一。

啊，就是我发了一个数据报文到目标，那么结果呢，目标机器和我机器中间隔了很远，中间隔了好几个路由器，那这时候中间的隔开。啊，比方说这是我服务器，这是咱们的一个机器，中间呢，它隔了好多路由器啊，这个路由器哪个是路由器呢。这这个好像没有路由器，那就选下面这个。啊，下面这个都是网络设备。找个圆圈。这个这个就是路由器。和通用的路由器，诶，那这个路由器，这个路由器呢，它有可能经过的不是一个路由器，尤其从互联网过来，它中间会隔。

十来个20个比较多的路由器，那么你隔了这么多路由器，那这个数据报文每经过一个路由器就会减一啊，就会减一，那也就意味着我这个数据包发出去的时候，到达对方那个数据包就已经。不断的减一，减一已经不是初始的值了，它一个初始值，这个初始值每个包的每个计算机的初始值和系统有关，比方说如果是Linux，那默认值是，一般是。64啊64，所以大家看啊，你看我六和七之间通讯啊，你去P，我去拼10.0.8，因为中间没有路由器，所以它直接64，那如果是Windows，那Windows Windows呢，比方说我P一下我的Windows Windows是一，你看就是。

哟，这是应该是外面改了，外面可能改了，那正常的话呢，应该是128，那我们来试一试啊，我拿自己来拼一下自己吧，好，我拼一下，比方说我这拼一下1270.0.1。这个也是跟调过了，这Windows可能是改了一些东西，但是这个值是可以改的啊，这个值是可以改的，这个值并不是说必须固定是这样的值，但是默认的Windows一般都是128啊128，那这个128的值。它是一个初始值，那么每经过一个路由器就会简易。比方说，如果这是一个Linux。这是一个Linux，那这边是个Windows。啊，Windows，那么当Windows去P它的时候，这个数据包到达这边，这个Linux收到以候，因为这边收经过了三个路由器，它的初始值是128，所以到这边减三，那就变成了125，啊，这边收到以后看到的125，如果是Linux给Windows发个报文，Linux默认64，所以到这边你将看到的是61，听了吗？61啊，那这个实际上咱们在Windows里也可以拿这个P命令来测，比方说我们去访问百度，你看他访问的结果是几，你看就能看出来64。

呃，54，那这个54说明什么？54说明它应该是64减54，中间经过了十个路由器，明白了吧？哎，当然有人说，那么可能不可能128减下来啊，对不可能一边你比方说咱们访问国内的网站，你访问一个国外的网站，国外网站比方说访问一个，呃，国外哪个网站远呀，比红帽吧，红帽。这是国外的网站，你看他经过的是54。啊，当然你也可以访问国外的一些别的网站，国外还有什么别的网站，谷歌访问不了啊啊啊GIGI是吧，哎，看看能不能这就不让拼呢。

不让聘，他有的时候会竞聘啊，就不让你聘啊，不让你聘来。哎，这可以，哎，这不行，怎么拼出这个地址来了。提出这个地址来了。啊，访问一下微软嘛，不过微软估计在国内有镜像，就有的时候你访问的地址并不是国外的地址啊，比方说访问白宫吧，白宫白宫是white house org啊，不是不是。org，是gov gov，那政府嘛，Government，那为什么我记得，因为我访问的，因为第一个互联网的站点就是白宫啊，当初我们上大学的时候，老师带着我们去一个科研机构，让我们开开眼，说让你体验一下什么叫互联网，当时跑到一个科研机构啊，学校里面，那时那时候没有互联网，带我们跑到一个很远的地方，一个科研机构，看人家有一个工作人员拿一台电脑，打开一个网页，显示的是白宫网站。

啊，当时觉得特别神奇，哎呀，既然这个电脑不用出国，就在网上就直接电脑就可以看到国外的东西了，好神奇呀，这个应该就是白宫四十七四十七应该是64减47减下来的64减47，那算算经过了几个路由器啊。是不是17个，17个路由器，所以你到达美国这么老远，中间跨了太平洋，也就是十来个，十来个啊，当然这个地址是不是美国的，那你可以百度一下，搜一下是不是美国的，应该是搜一下。

这个23。二三。啊，在日本东京怎么着啊，在日本东京那难道我们没有跑到美国去啊，他有东京的一个分战点吗？啊，也可能啊，也可能。啊，不管怎么样，是出国了是吧，就要出国了啊，总之经过的路由器应该不会特别多啊，所以64也够用了啊，这就是TTL啊TTL。所以用P命令呢，是能探测网络状态的，当然这个P命令呢，它根据不同的网络情况，它会返回不同的结果啊，比方说如果对方制定了一些策略不允许你访问，那么这时候有可能你看到的将是这样的一个信息，比方说我们在这通过防火墙技术，我拒绝七的访问，我可以拒绝它杠S10点杠才是原地址的意思，我把七的访问用防火墙技术把它拒绝了，拒绝以后你再PIN的时候，你会发现它的结果就不一样了，你看它的现象是不是就出现了什么port unreable这样的提示。

啊，这就是表示拒绝了啊，哎，拒绝了，所以呢，我们通过P呢，是能够探测网络状态的。另外，如果有一个域名。发现比方说你去P3W，呃，马哥，EDUORG。那如果他没有办法解析马克一丢org，它也会提示域名不可解析的提示。所以通过这样的一个P命令，他就能告诉你网络发生了什么事件啊，当然它这个你自动补了后缀了啊，这个补后缀是因为我们配了这个resource文件，这个地方把它删了。

啊，总之P命令它可以探测网络的状态，返还结果，我们就可以知道网络到底什么状态啊，经常是用来，呃，这个还留着呢，它又加糊了，它这个地方没有删干净，还在这个这个。他在，所以它自动补了一个预后缀啊，补了预后缀。啊，我这个我这个主机呢，你看这个带这个后缀的啊，我这个主带这个王小春给它自动给你加上这个后缀了。好，那比方说我们把这个主机名啊给它改一下，比方说我叫七叫local post。个革命。

他大伯。哎，没了，看这出来了，他说。主机的名称服务未知什么意思，就是他没有办法把这个名字解析成IP。进形成IP这样就可以了，那这就是网络出了故障的各种表现啊，那另外呢，P命令，它实际上这个数据报文，它的结构我们就不去研究了，不过呢，里面有一些报文的内容还是要有所了解的，比方说咱们在这儿可以看一下它的这个豹纹。好，我们把那个抓包工具再打开。二。

啊，这个是六到七。然后。这应该是六。这个日期。那我们只抓六和七之间的通讯。好，然后大家看，现在六和七之间通讯的时候，我们去P从七去P6。啊，拼的时候这可以加一个数据，数字一一就是拼一次啊，大家看拼一次就停下来了，然后拼一次完了以后，大家看这是不是有两个一期一回的包，呃，七到六的，六到七的，然后呢，这时候呢，你可以看一下这两个协议啊，它实际上是SMB协议，在这有一个type类型，看见没type例型是八，它表示请求报文。那么你看回来的豹纹，它就不是。

八它是零，看到没，零表示回应报文，所以将来我们可以通过这个type类型来判断你是请求的P还是响应的聘啊，这是可以看出来的。啊，当然我们这个地方呢，它还有一些别的信息啊，还有别的信息啊，这里面还有一些其他信息，比方说就有编号啊，第几个包，那如果说我们多拼几个，比方说我们拼上三个，这三个包。这三个包你看它有回音来的去的总共有六个啊，这个时候呢，我们看这是这个有状态啊，你看它是一，然后下面这个是二，这是二啊，这是第三个包，它有编号啊，并且呢，它数据里面还有时间之类的，有时间戳里面还填充了一些乱七八糟的数据。哎，填充了一些数据。好，这就是这个数据的一个大概，那么大家知道这个type类型啊，这个type类型决定了我们，那它是一个请求报文还是响应报文这个地方啊，需要大家把这个值记住了，好，那现在呢，我们知道了这个P它用的是SN协议来实现的，那么SNMP协议呢啊，它有一些用法还是挺有用的，比方说我们可以来实现这个不停的P，那不停的P呢，事实上我们用这个命令，它就是不停的P，不停的P。

那这个不停的P啊，本身它不会带来特别大的网络的干扰，因为你这个PIN的速度也不够慢啊，不够快，不够快，那么对于这个机器来讲呢，它的处理能力是足够的啊，足够的，所以呢，这个问题不是很大，那如果说我发送的请求再快一点，那这时候就有可能会比较消耗它的网络带宽，那这个网络带宽呢，我们后面会讲一些工具啊，不过呢，我们在这有一个命令，就可以看这个命令呢，就可以看到你的网络带宽使用情况。

诶叫什么来着，If f康这呃是这个吗？哎，这个大家看这有一个数据，这个数据呢，我们看到这说的就是收到的包的状态有几个啊，有6449个啊，大家看这个值在不断的往上涨啊，然后呢，我们可以用这个watch持命令，握持命令呢，就是让我们自动的一秒执行一次，N1就是一秒执行一次，当然你也可以快一点，比方0.5秒执行一次，0.5秒执行一次，你观察这个变化啊，大家看它这个包的变化不是特别快啊，一个一个的往上长。一个一个的往上找，那现在我们让它快速增长，怎么做呢？FF就是拉的。

Flood是泛红的意思，就是尽我的CPU所能去访问你，这时候这个机器，你就会发现这个包会暴涨啊，看着啊，回车。是暴涨啊，基本上一千一千的涨吧，一千一天涨，实际上涨还不够快啊，我们还可以把数据包给它调大，一个包我们就65507，最大就50708，就大超了，你看是不是最大是507，然后呢，我这写成七，那这个事，但是我们这写一个包就六五万零七，但是我们说过以太网真的最大的大小不是一千五嘛，所以这时候他是不是要把它拆开，那么把这65507要按照一千五来拆，那这个就相当于一下子就分成了40多个包吧。是不是啊，所以呢，这一个包下去就相当于40个，再加个F，那就长得更快了，你看着。

应该就是上万上万的涨了。是吧，长得更快了，从这就能观察到你的网络是不是很忙啊很忙啊，当然这种攻击呢，实际上就会占用比较大的网络带宽啊，网络带宽，那所以如果说。比方说如果你们用你们的机器去P我的网卡，P我的网卡这时候有可能我的机器就会带来比较大的网络流量，那么在这呢，我可以观察一下我的性能，在这找到我的物理网卡，这个应该就是我的物理网卡，那这个物理网卡大家看啊，网络连接带宽消耗是多大？多少多少兆是吧，十兆。十兆是每秒钟多兆BPS？啊，如果说你们都像我这个机器去拼，我这个机器的IP，你们知道吗。VC天天连你们还不知道，VC的IP就是这个IP啊，啊，VC的IP就是我这个自己的IP啊，是幺七二幺六零点一嘛，所以如果你们拿一个你的Linux去P，加上这两个选项，那我这个网卡的网络带宽消耗就会增长啊，就会增长，当然增长到一定的阶段，那你看40多兆看到没有，我这网络带宽上去了，说明大家都来攻击我了，对吧。

达到一定的阶段以后，我的网卡是不是全部的资源都消耗在你看越来越高越越高，达到了一定的程度以后，我这个网卡是不是处理不了这么多请求了，那最后就崩了是吧，我这个网如果我是一个对外提供服务的网站的话，我那就挂了呗，挂了。所以P命令它实际上也可以作为一种攻击手段啊，也是一种攻击手段，你看达到400兆了，400兆那你们那这个VC会卡顿吗？有没有卡顿的感觉，还没卡是吧，那说明我这个说明还能应对你们是吧，应对好行了，那就断了吧。

啊，当然实际上我在Windows里也可以利用抓包工具，是不是来抓一抓谁在访问我是吧？哎，那你像我们这个地方可以来选择抓包。啊，我选择有哪个网卡来进行抓包，这可以进行选择这个选项，那我就抓哪个网卡，你可以选，比方说我的物理网卡应该是以太网。

这个吧啊，就抓这个网卡就行了啊，就用这个网卡来进行抓包，抓包那么截获下来的数据就可以看到谁在连接我了啊。好，这是刚才我们给大家讲的这个P啊P，好，接下来在英太层除了IP协议还有别的协议，比方说ARP协议，ARP协议叫地址解析协议，这个地址解析协议是个很重要的协议，电址解析协议它是干嘛的呢？那么这个协议是至关重要的一个协议，它是和我们局网中互相通讯非常关键的一个协议，大家都知道咱们在局网里面机器这么多，你想过没有，为什么我把我的IP告诉你，你就能连到我的电脑上，那么这个逻辑背后实际上就是利用ARP实现的，那实际上比方说我现在知道咱们班里的。

啊。啊，有个同学的快递是吧，什么函，吴子涵。吴志坤是吧？吴志啊，我知道那个同学还没来呢，应该你放这吧。五指宽我就没听出来啥意思，这是五指宽，实际上是好，那ARP协议的工作逻辑呢，实际上就跟我现在想找咱们班里同学一样，比方说刚才有同学他不是送了快递叫吴指环嘛，是吧？啊，吴志宽，那我现在想找班里的吴志宽，那怎么找啊，我光知道名字，我也不知道他到底在哪坐着，那怎么找啊，就像你现在知道我的IP，哎，我告诉你，我的IP是幺七二幺六零点，呃，1.1，但是这么多电脑呢，你咋知道我在哪啊？那这个背后的寻找逻辑就是ARP来完成的，那大家想，现在我知道有一个人叫吴志宽是吧，吴志宽啊，吴志宽，那这个人我知道名字，但是我怎么找他呀，难道我就像。

呃，这个这个一个一个问吗？我从第一排开始挨个找那挨，如果挨个问的话，这个太慢了吧，是不是我们喊一嗓子就可以了啊，我就喊哪个是吴志坤是吧，那咱们班里问一句，当然班里头可能他没没来啊，这个他是那个N467的同学啊，N467的网络直播班的，他觉得那个网络直班学的效果不好，不如面授班好，所以决定加入大家的这个团队，跟你们一块共同学习啊啊啊，那所以他现在很难不在教室里，所以我喊的时候呢，大家你们都听见了，但是一看不是问你，你不是吴志宽啊，所以你就不理我了，不理我，我喊了一句发现没人反应啊，那可能我过一会再喊一句，还没反应，没人反应呢，我就认为这个人不存在。

啊，不存在，那我就不通讯了，那如果过了两天他来了啊，我一喊谁是吴志宽，他说我是，哎。这时候我是不是就知道他是谁了？哎，我就记住了他的模样，下次如果再想找吴志宽，那是不是我就不用再喊了，我就直接找他就行了。啊，当然这时候还有一个问题，就是如果时间过了太久，比方说过了十年20年万一又又找吴志宽了，这时候他。他长什么样，我是不是可能时间长了也忘了啊，时间长了忘了忘了我是不是还得只能再喊一句了，说谁是吴志宽是吧？啊，这样的话我才能去找到他，那这个逻辑跟ARP是一模一样的。

那也就是你现在和对方通讯的时候，肯定先知道对方的IP了，对方的IP找到了，但是我怎么知道这个IP对应的是哪台机器呀？那我是不是要必须要拿到对方的对应的真正的唯一标识什么呢？就是Mac地址，Mac地址才才是它真正的唯一标识啊，所以我们怎么找到对方的Mac地址，那这就是ARP干的活，ARP就是把IP地址解析成Mac地址，这就叫地址解析协议，就这么来的啊，当然他的背后逻辑就是利用广播来实现的，刚开始哎，他发现要和幺七二幺七幺六零一点一要通讯，那这时候我要和对方通讯，那我先查一查我这有没有记录，说这个幺七二幺六一点一他的Mac如果没有记录，因为我从来和对方没有通讯过，所以我只能广播了，我发了广播说谁是幺七二幺六零一点一，就广播就发出去了，发出去以后当然大家的机器都收到了。

收到了，但是一看这个数据报文是问17216的，那我也不是那个机器啊，所以你们就不搭理他了啊，不搭理了，不搭理了，但是是不是有一个机器收到了，他说哎，我这个地址我就是它，所以就要回应，那回应的时候就把自己的Mac地址就回来了，说我就是那个幺七二幺六一点一，我的Mac什么什么什么。那这样的话，我这个机器是不是就把它记下来了，记下来以后，哎幺七二幺六一点一，IP是这个，Mac是这个，把它记录在缓存里面，那当然过一会儿我又想访问了，这时候由于我把它已经记录下来了，是不是下次就不用广播了，直接查缓存就查到他的那个地址和IP的对应关系，直接找他就可以了。这个是正常的逻辑，但是ARP他有一个安全风险，什么意思，就是我现在要找胡志宽，我也因为我也没见过他，所以我现在喊的时候呢，我说谁是吴志宽啊，喊完了以后，班里头有些同学可能想冒充他啊，就说我就是吴志奎是吧，河南的啊，然后我这个因为我也没见过吴志宽，我也不知道他长啥样，所以呢，你说是我是不是就信了。

是不是就有可能你就冒充成功了，那然后呢，我这不有个快递嘛，我就把快递给你了。对吧，你就无形中拿到了吴志宽的锅啊，吴志宽这个同学他特别喜欢做饭，有一套特别精美的锅啊，所以我们这个在N467很有名的啊，叫背锅的嘛，等宽宽总来了以后，你们跟他聊一聊啊，他这个在4667是有名的逼锅侠是吧，B锅侠。他做饭好像挺有一套的啊好，这个是46期的这个四大，这个四大这个红人之一啊，呃，这三大红人之一三大红人，现在他来了咱们班了啊，少了一个红人儿，嗯。

啊，那这个是刚才提到的，这个有可能会冒充，那在生产中这个问题是很容易产生极大的安全风险的啊，这就是ARP的工作逻辑，那么ARP的工作逻辑大家看一下这个图，这个图实际上描述的就是刚才这个通讯过程啊，你看现在这个是A，这个是B，那么A呢，它有自己的ipb，也有自己的IP。这个IP。那通讯过程怎么通讯呢？那就是那现在当然这个是两个情况，这是同一网段，这是跨网段的情况，那跨网段我们稍后再说，先看上面这个图啊，上一图这个比较简单，他俩在一个网段里面，就中间没有路由器隔开，现在呢，你也说我要幺七二幺六三点二，我想访问你，那就发一个广播说谁是3.2，然后这边回应说我就是3.2，我的麦克是这个，然后你拿到麦克以后呢，就可以在那个数据包文的帧里面就可以填上IP地址和麦克地址的信息，然后这个数据包就发出去了，但是呢，这个由于是在同一网段，所以ARP广播是可以到达的，那问题是跨网段怎么办？比方说两个主机它不连着，不连着，那我们说过中间隔了路由器以后，路由器会有一个所谓的隔断广播域的功能，所以呢，现在这个机器他想给这个机器发数据，那问题是他俩的IP不在一个网段，所以这个数据包你直接发广播也过不去呀，过不去的话就相当于。

哎，我现在在这个教室，呃，吴志宽他在另外一个教室，他现在我在喊破嗓子，他也听不见呀，那所以那怎么办呀，那这时候，那么我们就不直接发ARP广播，而是什么呢？而是找一个。快递员过来，这个快递员就是路由器啊路由器，所以我这个数据啊直接到不了他，那请你帮忙吧，你把东西，我把东西交给你，你去把我这个东西交给他就行了，这个路由器就是快递员啊，快递员快递员我先我发现对方和我不在一块，不在一块呢，我们就直接不不去尝试ARP广播了啊，我去找谁呀，找离我最近的快递员，比方说我就打电话找咱们这个郑州当地的什么顺丰也好，还是什么呃，几几几几元几通之类的，我就打个电话让他上门拿快递，那拿快递他就来了，当然我这个叫他实际上也是个广播，因为我们俩挨着嘛啊，我就把他叫过来，叫过来以后他就把我要发送的东西就收到了，收到以后，然后他再去间接的去找这个目标的B机器，这样的话呢，通过层层的这么转发，最终把数据包给他交过来，他是这样的一个逻辑，就是你直接到不了，那只能通过快递员。

间接的来传了，这就是跨网段通讯的背后逻辑，跨网段通讯呢，涉及到IP地址判断，这个我们马上后面接着说啊。

好，那我们现在来看一下，在单网段的情况下，单网段的情况下ARP的实现，现在呢，是这样的，呃，我们通讯的双方，我们把这个两个机器都重启一下，然后让它干净的系统，干净的系统，然后呢，我们在这来抓一下这个ARP的请求包的过程。ERP的工作过程大家必须要掌握，这也是呃工作和面试容易问到的。好，我还是抓六和七之间的同学。嗯。好，那现在这两个机器呢，已经都分别重新启动了啊，这两个机器是一个干净的系统。

啊。我重启之后，如果它有缓存，它自然也就没了。好，那么怎么去查这个缓存呢？有一个命令可以来查，就是ARP命令杠N。好，大家看，只要和对方通讯过，他自然就会有缓存，你看这个三六和一和二通讯过，所以自然就拿到了对方的Mac，但是六和七之间是不是从来没有通讯过啊，现在它是没有缓存的，现在我去P一下啊，当我去P拼一次就行，当我一拼对方，大家想我拼对方是不是我必须要先拿到对方的麦克，所以这时候他就先要利用ARP缓存，呃，先要发ARP广播，所以大家看着啊，我一这一回车他就会先发广播再走聘聘是后来后发的，看走，你看它是先有一个ARP呢。啊，应该是个广播啊，所以这个地方就不对了，因为它这个是目标不是七，而是广播啊，我刚才是七发的是吧，七发的话呢，元就是七。

原是七，我就写原是七就好了，好，大家看这是不是有一个。ARP的广播能找到。原是七。应该有个广播信息。袁是七。那可能是。重新来一下啊。那这个已经过去了，应该那这时候你看啊，在这里面我们看一下它是不是有六的麦克就出来了。那这个怎么来的，实际上就是ARP广播，然后对方收到了，然后回来的，知道吧，嗯，当然呢，这已经没了啊，那没了，那我们就换一个吧，比如七到八的，七到八的啊，七到八的。

好，然后我再去聘爆发的，那这时候他自然就会发一个广播广播包，看看有没有。啊，这个原地址是七。他这儿是。没有看到原地址是七发出来的，那我把这个删了，直接看应该找ARP是能找到的，直接写ARP就行，ARP大家看这里面就有，你看这里面它就有那个各种ARP协议的通讯，那其中呢，你看这有一个，你看这个问题是不是就是七问的，说七我是七，不过呢，他这个地方他没有写IP地址的原地址啊，所以他就IP地址判断不出来，然后呢，我们看到他这写了说发送数据报文日期。目标是谁呢？目标是个广播啊，目标是个广播，所以呢，我们看一下这个广播啊，这个broadcast你看为什么是广播呀，你看他这那个地址不是FFM吗？这不广播吗？是吧？那这个ARP是干嘛的，就是问谁是八，谁是点八，请你把你麦克告我。

啊，当然八收到以后是不是有回应啊，呃，回回来你看是不是就是那个E0153，也就是0153，就是八那个麦克，然后回来说我就是那个八，看见没有是二八，哎，我就是二八，我的Mac是0153，这就回来了嘛，那回来的时候它是单播啊，那大家看到目标Mac原麦C不都是单播地址嘛，对吧，单播地址这就是AP。ERP。啊，那么一旦回来以后呢，我这就记住了啊，你看ARP-N你看这是不是八的Mac也有了，这不就有了吗？当然那现在请问在八的机上有没有七的M。有没有八字上有没有七的麦克？哎，有啊，必须有啊，因为你发过来的时候，是不是你自然就带你的IP和麦C呀，所以你问我的时候，我这实际上自然也就学过了，学到了啊，所以自然就有啊，自然就有，这就是ARP的工作逻辑啊，当然这个ARP工作逻辑呢，因为你问我，我答我就信，所以这样的话是有很大的安全风险的，所以是容易产生被欺骗的情况发生的，尤其咱们在上互联网的时候，是有可能会产生这种问题的，因为我们平时上网啊，都是通过网关上网啊，就是说白了就中国路由器上网，那经过路由器上网，那就相当于我们是这样的一个情况，我这有个路由器，这企业里面不是有个路由器吗？这个路由器大家都是通过这个路由器上网，那么通过路由器上网，如果有人想搞点小动作，他完全可以这么干。比方说。

这是你的手机是吧，IPhone啊，这个想上网上网的话，一般都是通过无线路由器上网吧，啊无线路由器上网，结果呢，他在这自己的机器上装了一个软件啊，干嘛呢，就是欺骗。

欺骗。那么现在。这是一个交换机。然后大家是通过这个交换机上网的。通过交换机，然后交换机再连到。上面的路由器，通过路由器连接互联网。啊。对不起，歪歪斜斜的，好别扭。诶就是有点斜好，那然后这边呢，连到互联网上去，这是互联网啊，这是Internet，嗯，啊通过它连接互联网啊，那如果我是黑客的话，我想盗取你上网的信息，我就可以在这发一个ARP广播啊，发一个ARP的欺骗啊，这个机器，这个手机也好，电脑也是好上网，它是通过路由器上网的，所以他就会问这个路由器的麦C地址，然后作为这个黑客来讲，他就会向可以欺骗说我就是路由器，我就是路由器，他会发个消息说我就是路由器啊，这是黑客的机器啊，黑客机器它的Mac地址，比方说它有自己的Mac地址。

他有自己的Mac啊，这个Mac呢，假设叫B。然后他这就发了，说我就是那个路由器，我是路由器getway啊，就是我是路由器啊，我的Mac是这个macb。

那么当这个机器想这个手机上网的时候，他先去问说谁是路由器，请你告诉我的，呃，你的Mac，然后呢，这边欺骗说我就是那个路由器，我的Mac是B，然后这边是不是如果不做检查，他是不是就误信了这个信息，他就认为路由器的Mac就应该是B，就应该是B，这时候那是不是就意味着这个电脑手机要上网，它不是直接上，它是把数据包给交给了B了。B收到以后，然后再聪明一点，再把它转发到真正的路由器，跑到互联网上，那就意味着现在你这个电手机上网都是要经过他上网的。那也就是说所有的数据包都要经过它，那这时候也就意味着你在手机上看的所有数据，在这个电脑上都能看得到，比方说你打开浏览器或者是聊天什么样的这个机器都能看得见啊，啊比方说你上网看的网页是吧，看的什么在线视频啊，抖音啊，这个都能看得见啊。

所以这就是很容易产生安全风险的，那在这边我这好像之前有一个案例啊，当然这个因为我这没装啊，没装呃，没装，那这个实际上你可以装一个那个专门的黑客的类似的这种系统叫Kelly啊KLYKLY那个上面就带有ARP欺骗工具啊，你可以发那个ARP欺骗工具，他就可以直接抓到你们彼此之间的通讯啊，就是欺骗你们两边欺骗啊，你可以看他的数据。啊，所以这个也是很危险的啊，另外呢，我们这刚才给大家讲了，哎，这个就是KLY，看我这个把例子都写在这了。

例子写在这了啊，这个只不过我这没装KLY啊，所以没法演示这个Kelly呢，你可以从网上去下载那个KLY的那个安装软件包，就是那个光盘啊，光盘开启以后，你看它就可以欺骗上网流量，就是先装个Kelly Kelly安装就装Linux一样的系统啊，这个过程稍微有一些细节不一样，但是基本上一样，因为那Kelly呢，它就是一个带有大量黑客工具的一个Linux系统。啊，当然在黑客眼里叫黑客，那实际上对于运维工程师来讲，就是安全工具是吧，安全工具，然后你把这个功能先打开，这个是启用转发功能，然后他这个KLY呢，用的这个它属于deb包啊deb系列的，所以它的安装软件用apd get，然后把这个工具给装上，装上工具以后呢，用这个命令，这个命令呢就可以来欺骗，欺骗谁啊，欺骗某一个机器，你想骗谁，你就写上对方的IP，然后呢，这写上网关的IP，这时候对方上网就得经过你上网，然后然后在这个机器上。

本机是目标主机，那这个是网关，然后这是被劫持的目标主机IP，这是欺骗目标主机，本地是网关，然后欺骗网关，两边骗嘛，因为你得骗网关是吧，你得告诉网关说我就是那个要想上网那个机器，所以这两边骗，所以这个就是两边骗啊，两边片，两边片以后呢，这时候你就你你会发现在你的这个开ing机上就能够看到对方所有的通讯过程啊，比方说他打开的网页啊什么的啊，网上不经常有一些一个小小的小的一些什么教程，说怎么去看隔壁小姐姐的这个电脑在上网看什么，这就是这种方法是吧，那你就输入那个小姐姐的电脑的IP嘛。然后这写上网关的IP就完了啊，就就就就可以了啊。我。

啊，这个因为我没有装Kelly啊，你们因为我步骤都写了，如果你们想试的话，你也可以装个Kelly试一试啊，这个外面里面它是支持装Kelly的，他这呃可以进行选择。我记得好像这里面新建虚拟机。这里面是有K的一个选项的。啊，你看这个Linux版本里面有没有那个K的选项。有没有啊？没有你就选一下那盒好了啊，没看见是吧。它实际上是DB系列的啊，你选个DB系列。啊，不行，你就选个内核啊，这样就可以了，嗯。其他的里面有没有，这个里面没有没有，哎，这就是。

我们后面要学的虚拟化ex啊，这都会，后面有有的会讲。哎，这是我们上午说的那个net操作系统所已经被微软啊。击败的草一头就那边。好。那Kelly呢，这个官网你可以去网上去搜一下Kelly下载这个，这个是免费的啊，这是免费的Kelly的，那这个是这是官方的站点吗？官方站点你可以直接把它下载下来。那阿里阿里还有开源的这个镜像，那去阿里下吧，阿里下快，那这个阿里的开直接可以下啊对应的你看这个系统。就是它的这个池应该是。这就是他的那个对应的包，那下的话在这下啊，最新版的。2020版。这有64位版，直接装就行了。

啊，或者你不装的话，他有那个live版也行，你把这个live版三个G下来，直接光盘启动也行，这是网络安装版啊，这都可以的。好，这个我就不演示了啊，你们下来自己试，另外呢，还有一个叫ARP的。绑定，因为我们担心对方骗我，怎么办呢？我可以人为的把网关的IP和麦克六给他绑在一起，写死了，这样的话呢，对方骗我，我就不上当了，那这叫静态绑定，看到没有静态绑定，那这个静态绑定我可以把我想和对方通讯的IP和Mac给他绑在一起，比方说我现在想和六通讯，我担心别人骗我，那这是我故意的把六和对方真实Mac的地址给它绑在一起，绑在一起完了以后，你再看这是不是就绑定了。那这时候就记录的就是对方麦克和IP的关系，这个地方我们有个M就是表示静态绑定啊，当然这时候呢，你再和六通讯，他就认为对方的Mac是这个Mac了啊。

啊，这是静态宝地，当然你也可以删，删的话也可以用这个也把它删了，删了你看删了就没了。好，这是刚才给大家讲的，另外呢，我们这边还有一个特殊的ARP，叫免费ARP，这个单词翻译成免费，那所谓的免费，或者有的时候翻译成无故的ARP。它这个功能主要是为了实现什么呢？哎，为了实现这个，确定我网络中是否有和我相同的IP，就是为了避免地址冲突的啊，就是解决地址冲突问题的，我们都知道网络中如果有两个电脑配置IP一样，是不是就冲突了，那么ARP。有一个叫免费RP，它就来实现这个功能的，那这个功能大家看，当我的三八在把电脑重启的时候，它就会向外发广播说，哎，谁拥有10.28这个地址。

那我本身就是八，但是我还要问为什么，我就担心别人用这个地址了，和我是不是冲突了，打架了，所以我要对外问问，哎，谁用扒拉，谁用巴拉，谁用巴拉，哎问好几遍，呃，没人理我，诶说明我就踏实了，没人用，诶没人用我就可以用了。那如果有人用，那就打架了，打架了就报提示错误，明白了吧，来提示错误，这个是可以看到的，这个呢，我们比方说。你也可以把我当前的机器重启一下，然后呢，我们在这个地方可以来抓一下包。掖着。好，那现在我把这个八的机器重新启动。

好，重启完了以后，我们在这儿可以观察一下它的这个。谢谢。有没有？所以免费AP啊。哎，好像过去了吧。有没有ARP的信息？哎，这有一个announce，看见没啊，Announcement就是广播，那你看他发发出去包的是谁？发的是0153，而0153是谁呀。0153不就是我自己吗？对不对，哎，0153，那为什么他会发这个。ARP的这种数据报文的，那这个数据报文实际上就是我们说的这个免费ARP啊，免费ARP它的数据报文的作用呢，就是说自问自答，就是我就是一点吧，看网络中有没有人用这个地址啊，哎，他就对外如果没人用，我就宣称我自己拥有这个地址，那这就是他背后的逻辑，当然他这个这个实际上相当于对外宣称了我就是那个，呃，你看他怎么发的，说我的Mac是这个，我的IP是这个，然后问问网络中有没有人用10.18，就这个意思。

哎，就是看看网络中有人用了，那就地址冲突了，没人用，那我就可以踏实用了，这就是他背后的逻辑啊，那么这个八的机器，他他发的时候是发这样的一个，呃，自问自答啊，自问自答，那但是如果是六的话，你会发现它的这个数据发的时候就不太一样，它这它的问法要更为复杂一些啊，我们看如果是六的话，你看它这会出现什么现象。

啊。哎，看这。哎，这有个单词看见了没有。看到这个单词了吗？这就那个免费的意思。你看是4BF8发的。4BF8发的啊，行了，我们就刷到这就够了，那这个4BF84BF8实际上应该是六的那个Mac地址啊，六的是Mac地址，当然我们来确认一下ARP的杠N啊，这还没有看到。A2P杠有没有，那刚才这有这是不是就是4BF84BF8。啊，在这大家看有一个叫免费ARP4B28发的，发了个广播，你看他发了广播这个地方，他发的时候是怎么发的。嗯。

脚。这个。你看他是不是也是六发的，然后呢，问广播发广播啊，广播说谁是是件2.6，那这个就是那个免费ERP免VIP连发好几次，你看这一次这一次前面有没有。反正连续发好几次。连续发好几次。前面应该也有这儿有一次。这有两次，是不是有好几次发完以后，然后连续发好几次，他就开始自问自答了啊，自问自答，自问自答说我就是那个10.0.6，哎，我有他的地址，所以他这时候呢，他就会有一个自问自答的过程啊，自问自答的过程，那这个过程实际上就是所谓的免费ERP的过程，那通过这个过程他就能够发现网络中是否有人和他采用相同的IP，如果没人用相同的IP，它就可以正常使用了，如果发现有人用这个IP地址，它就会产生地址冲突啊，地址冲突你看这写了。

你看谁是12.6告诉000啊，你看他告诉零零什么意思，就是他现在还没地址这个六呢，他启动的时候，他先问问有没有有人用六，没人用六，那他才会自己用这个六，那就自问自答啊，自问自答。啊，所以这样的话呢，就可以通过这个ARP来保证网络中没有人采用这个地址，产生地址冲突，这是ARP的另外一个功能啊好了，了解这些，那接下来咱们来看另外一个，在IP这层也有了一个协议，叫反向定制协议协议反向定址协议呢，就是把Mac转换成IP的过程。啊，刚才我们AR这个ARP呢，是把IP整成Mac rap反过来把Mac转换成IP，那这个时候什么时候用呢？嗯，在网吧里面会用到，大家去过网吧网吧没有啊，一听就是假的啊，我这个说实在的，偶尔还去过网吧呢啊，当然这个有好多年不去了，嗯。

啊，这个网吧，他他们网吧里面的电脑呢，都是没有硬盘的。注意，网吧电脑没硬盘，那么没硬盘这时候大家马上就想到了，那没硬盘怎么装系统啊，没有系统怎么启动啊，对不对？那事实上网吧的电脑虽然没有硬盘，但是它有网卡，那么在网络中它有一个服务器，这个服务器上面它已经把那些Windows都装好了，然后当你的网吧的电脑一启动的时候，它会通过网卡自动的去从服务器上把那个超系统下载下来，放到内存里面啊，然后进行加载。啊，这时候在加载的过程中就要用到rarp rap说的啥呢？就是我现在这个电脑刚启动，刚启动我现在没有地没有地址，那就谈不上通讯了，所以呢，他就会把自己的ma先报露给服务器，说我是这个Mac，请问有没有人能IP给我一个。

那么在目前，那目前在咱们的网络中，会事先搭好一个服务器，这个服务器呢，它上面会预先把IP和Mac的对应关系怎么样呢？写在一个表里，哎，你的Mac是这个，比方说你的Mac是MAC1，那么对应的IP就是某一个ma ip1，好，那么我们你不是发请求吗？你不是没有IP嘛，那我就查到这个表，查到这个表是IP1，那我就把IP1给你就行了。那这也就意味着他是利用Mac地址查到的IP地址是吧？反向地址解析协议啊，这就是他背后的工作逻辑。好，那接下来咱们来说一说英特尔层最重要的协议就是IP协议。

啊，IP协议，那么IP协议呢，叫英特Internet协议，Internet协议，那么它的报文结构。也是很复杂的，大家看这是IP协议的报文结构，这个报文结构里面最前面有版本号，注意它这个一行也是32个字节，32倍啊，32倍，然后这也是占了四个位的叫版本号啊，目前在局域网里面，我们主流的是四版本IPV4四版本。然后这个是手部长度，手部长度呢，就是个头嘛，这个头多长，那我们发现它这个头啊，有一部分又是什么可选的，也就是说固定的长度必须有的只有多少，这这五行嘛，这五行那一行是32位，也就是四个字节，四个字节五行是不是又是20个字节啊，也就是说IP的头至少得20个字节啊，当然如如果加上可选项可能会更多，但是至少得20个字节是固定的。

那么所以那到底这次这个包有多少个，多大的这个头，那就要写在这，然后区分符，我们一般不关心啊，然后接着看这个总长度，总长度呢就是包括数据部分有多长。数据部分有多长？好，还有标识，这个标识什么意思呢？标识说的就是那么IP它的数据是从上面的传输层来的，而传输层它的单位叫段叫segment啊，叫segment叫段，这个段呢，有可能会比较大啊，比方说咱们刚才曾经用过一个命令，叫P命令，这个P命令大家记得我刚才是不是指定了一个杠S，那杠S呢，比方说65507，这个大小是不是远远超过了帧的大小，那么这个是在上层定义好的一个大小，这个上层定义好一个大小以后，那么这时候你要交给下一层的网络层船，那么这个船的话呢，那么将来我们可能就要把它拆分成小小的，那么拆成小的，那么我们比方说我这有一个三千五的一个段，三千五的一个段，我们以太网帧假设就按一千五算，那是不是就必约？

把它拆成三个包才行，三个针才行，那三个针的，那拆成三个小针，就是一个三千五的，要拆成三个，一千五一个，一千五一个，当然有最后一个就不够一千五了，不管怎么样，要拆成三个，拆成三个以后，那我怎么知道这三个是来自于同一个大的段拆出来的呢？诶这个标志，这个标志呢，就是我们这三个这个IP，它这个标志都是一样的，比方说都是110。那都是110，都写个110，都写幺零，就是表示我们这三个是同一个大段拆出来的，理解了吧，是这个意思。

啊，那后面呢，还有标志啊，这个标志呢，我们啊，待会再说它里面和你的拆分，你是第一个是拆出来的三个里面的第一个还是最后一个是前面的针，前面的段，前面的包还是后面的包，它是可以表示的啊，还有偏偏移，偏偏移呢，实际上就表示的是你是拆出来的，拆出来的你是第几个，你是第一个，这是第二个，这是第三个，你得表示出来吧，因为到最后是不是要组合呀，哎，要组合。好，那另外这个标志，这标志这呢，他这有三个位，其中有一个位没有用啊，另外有两个位，这两个位是什么呢？我们来看一下。啊，在这啊，有一个叫DF位，DF位呢叫不分片，FFF位呢叫更多的分片，这是在最后一位，那也就是说总共有三个位，实际上最高位的这个位没有用，只用了两个位，这有两个位，这两个位分别第一个位呢叫DF位，DF位呢，它是如果为零，就表示允许分片，也就是说零的话呢，就是我这个是，呃，三个是多个分片包组合成一个完整的段子啊，当然这几个我不知道，反正是它是分片了啊，然后呢，这个DMF呢，如果这个地方最后一位，它是最后一位，如果是一，后面表示横有分片，那比方说我们刚才是一个段分成了三个片，三个片的话呢，这个MF必须是一，这个也必须是一，而这个的就必须是零，为什么？因为它是最后一个分片了，零就表示最后一个片，只我是最后一个分片，第三个片了嘛，它是最后一个了，就是零，而前面。

两个呢，后面还有分片，就是一理解了吧，哎，它就表示我是分片包还是就一个包，那如果我们假设我这个包就是。

啊，这个1000，我这个就是一千一千的话就不用分片了，不用分片了，那它就是一个包，就一个包的话呢，那自然而然，那DF就显示什么，DF就应该是呃是1111就是不分片，那我这个地方就会显示1DF就是1DF就是一啊然后呢，MF是啥呢？MF呢自然就是零了呗，因为它就是最后一个，最后一个了嘛，就是零了，明白了吧。哎，就告诉不要告诉我们这是第几个啊，就是分片不分片的意思，分片不分片。然后这个就是我们说的这个生存期还记得吗？Time to live time to live啊，这个不同测略统的值不一样，然后Windows Linux它默认值不一样，比方说Linux里默认64，这个东西可以改，在这能查到64呢，在这可以看，有一个地方可以看在这啊，Cat PC s net下的IPV4下的IP。

你看64，看到没有64啊，这是它的默认值，这个默认值可以改，比方说我去P它这拼出来肯定默认就是64，你看64好，那现在我把这个值给它改了，那么怎么改呢？也用Apple改，比方说我们来冒充Windows。改成128，这时候一旦改了以后，你看这返过来是不是128了，看了吗？是不是就看到了，所以有的时候企业里面为了安全，他有时候故意改这个麦，改这个ttr，因为改完以后别人就猜不到你是什么操勇。这样的话，尽可能让对方少知道你的系统信息，就更安全啊，更安全。啊，你看咱们拼拼微软的系统，Microsoft这是微软的网站，微软的网站是不是应该用微软的系统。

结果他竟然是49，那49不可能628减下来的，肯定是64减下来的，那64减下来的它应该就是Linux。啊，但是他是不是个思，也许不是，也许是是吧，啊，也许是啊。当然，微软的系统用Linux好像名声不太好听了是吧？你有自己的系统你不用啊，你自己都不有信心，是不是你的客户还会用啊啊。啊，这个值，这个值可以改啊，这个值啊，当然你这个值想改多少，最大只能改到200。多少？那你觉得它最大能改到多少，那实际上你看这个大小就看出了吗？你看看到它这个位只有几位，只有八位，那八位的话，二到八次方嘛，也就这么大了，二到八次方多少，256，但是你你这个你这是八个幺嘛，就是八个幺，这不255嘛，所以最大值255啊，所以你这个值你能改成256吗。

错了吧，啊255吗？最大值改成二百五十五二百五十五改了。是不是啊，它有一个限定大小，限定大小这个，然后协议，协议呢是上层协议的类型，上层协议我们说下层协议为上层协议提供服务啊，IP的上一层是谁？是不是传输层，那传输层我们刚刚讲过有两个协议，TCP和udp，是不是你要说清楚上层是udp还是TCP啊。哎，这个地方要写，那你比方说UDPTCP分别是什么呢？如果是TCP就是六，Udp是17，当然大家可能想了，那上层是不是还有别的协议，肯定有，只不过最著名的协议就是TCBDP了，用的最多啊。好，这是刚才提到的这个协议，然后手部教盒是检查的，那发现这个手部教和这个地方好像有点重复，为什么呢？大家想TCP协议里面是不是也有校验盒。

TCP的报文图谱里面是不是也有校验，这不有校验吗？对吧？IP头里也有校验，大家记得Mac地址就是那个数据上层是不是也有最后的FCS也有校验，它好多地方都有校验，实际上有点重复，那重复呢，所以在新版本里面，我们将将来会用IPV6 IPv6呢，它就没有什么校验了，就给砍掉了，那就有，既然大家都有校验，干嘛要重复校验，对吧？有一个地方校验一下就行了，就他有些地方就给删掉了啊，就未来有些协议发展的过程中，他会不断的去改良啊改进。啊，那这个接下来这就是原地址，计算机发送数据报文，它有一个原地址，注意这个原地址我们称为逻辑地址啊，也就是俗称的IP地址啊，那么麦克地址呢，咱们称为物理地址，那为什么物理啊，那出厂的时候找完卡就写进去了，那改那正常人不能改的，那么逻辑地址，IP地址是逻辑地址，因为IP地址是人为分配的，是逻辑上的一个地址，当然目标也有目标地址，听见没有，那下面这个是可选项，我们就不讨论了，这就是整个IP的结构，那这个IP结构呢，咱们可以同样也可以来随便找个包来看一下啊，比方说呃。

好，诶，这还聘着呢，那就拿这个吧，大家看就七。那七和八之间的通讯就第一个吧，第一个大家看这是不是有英泰的这个协议，英特协议下面大家看这是不是就是那个前面的版本，我们现在用四版本IPV4嘛，那将来我们可能会用IP6，然后呢，接着这是这个是区分服务，我们就不管了，这是头部的大小，就是总长度啊，这应该是总长度，总长度呢，就这个总长度是总共数据包是多大啊，总共数据包多大，它这显示84啊，但实际上它真正的是84吗？大家看，实际上我们看到的是第一个啊，第一个的话，真正大小不是84，它是98，为什么它是84呀，它这84是不包括什么，不包括前面的以太网真的投的。

啊八四再加上前面的以太网帧，前面以太网帧是目标Mac原Mac，再加上那个typeb类型六六十二十四是吧，十四十四加起来，你看14加84是不是就是正98对不对，也就是说它这个84只是说IP投的。以IP头以内的内容啊注，我们现在讨论的位置在哪呢？啊注意我们现在讨论的位置在这个位置。啊。讨论的位置。那干啥？

把那个图去哪儿了？啊，这呢，那我们现在讨论的it头是在这个位置。这个。那么我们在讨论这部分，刚才我们已经讲过TCB的头了，是吧，现在我们在讨论它啊，它的头固定程度就是至少有20个字体，至少有20个字体。然后我们发现这个TCP是20个字节固定，至少IP是20字节，那么这个，呃，这是以太网头，以太网头你看这是六个，六个这是两个啊，这是多少，22个吧。是吧，这是22个，在再加个尾，这是22个，就是这个固定的，这个是固定的啊，这是固定的22个，这个IP头至少20个，这个头二十二十个，所以呢，实际上真正的数据啊，前面它至少有一些是用来存啊这个协议信息的，那就22加20再加20，应该62个。

是不是62个啊，数据呢，实际上在这数据在这真正有效数据在这前面呢，都是一些控制信息都是头，那就相当于包装，包装也有费用啊，对吧，包装也有费用。包裹也要有成本的，好，那刚才我们看到了这个地方，好，那接着咱们来看下面这是那个标记，你看标记，你看这是不是就是不分片一嘛，不分片不分片，因为这个包太小了，因为我们拼的时候，这个包总共才六十四六十，它总共才98嘛，98是不是根本就不到那个一千五那个。没有到那个可以切片的条件的，所以这就这个98，那所以它这个地方是一，那当然这个零，那就不不分片，那当然这个opposite自然也就是不需要了啊零。

64TT2啊，你看上层协议协议，上层协议是IC nmp协议是一，哎，那么刚才我们说了，六表示TCB协议啊，17表示UDB协议，而一表示的是ICB协议，当然你看你看我们比要找一个TCB协议，你看TCB协议这个地方，它上层协议不是六啊。是不是六啊，上层协议的类型啊，这不就可以看见了。啊，你看原地址，目标地址，IP地址中间还有什么校验盒之类的，我们就不看了，哎，这就是他的IP结构，那现在你可以看看分片啊，比方说你想分片也简单，怎么就让它分片了呢？那是稍微大一点就分片了啊，比方说我们这就只抓SNB协议，只抓SNP协议。好，只转三比C，那么怎么就让它分片了呢？我们大小分成3500，按照三千五分的话，是不是B肯定就会分，按一千五最大，一千五最大，那差不多就分成三个片吧。

是不是分成三个片啊，那我们就拼一个包就够了，你看它是不是分三个片，你看着就知道了。不对呀，啊对，那这因为因为这个这个过滤了，因为前两个它不显示SIP，最后一个才显示SIP，所以你看。晚饭。太作了。啊，重新来一下，好，这样就行了，你看有没有，你看这有这前三个，看前三个是不是它是分片包一千五百一十四一写满了吗？我们说过以太网真它那个不关心前面的八个字节和那个最后四个字节刨去了，不就一千一百一千五百一十四吗？啊，当然它的这个数据，你看它这个切片怎么切的，你看你看这是不是不分片，这DF是零，那不分片零，那说明它分片了。

啊，一一表示什么？一后面冒，就是后面还有分片，因为它不是最后一片是不是，那你看第二个也不是，第二个也是零一最后一个的时候，它是不是已经是最后了啊，最后一个分片它肯定要分最后一个是最后的分片了，所以呢，它是零了，看到没有这个地方冒冒就是零了，这不就三个分片吗。三个分片包啊，当然只有最后一个，它显示是SMB协议，前面呢，就是普通的IPV4协议，IPV4协议啊，它上层协议他实际上也写了SN，看到没有，实际上他也写了SN，只不过就是咱们在这个抓包的时候，他这没有给你显示出来，他实上上层协议S也是S。啊，你看他这个地方一千四百八啊这个，哎，你看他填充了数据了，他这个数据怎么填的，你看他是不是又凑那12345ABCD凑数了。

是吧，这不填满了吗？要不这一千五也不好填的呀，对吧啊填填乱七八糟符号凑啊凑了1500个1500。好，这就是咱们给大家讲的IP，那么IP给大家理解了以后，那现在你再来看IP协议的这些特性啊，应该就好理解了啊，那总之IP地址就在这个地方，IP地址现在大家明白了，IP地址无非就是数据报文里面的这个位置，它是占四个字节。虽然我们写的时候写成十点点七啊，10.8呀，实际上它真正的就是个32位的数字，12位的数字，而且中间没什么点，那点是给人看的，看起来更方便，实际上真正的地址它就是一个32位的二进制数字。二季度数字啊，你看这两个是不是就是一个是0A000。

呃，零八这个是0A0007，但是0A不就是A不就是十吗？是不是后中间俩零就不用说了，零七不就是七吗？所以你看我们这个IP地址不就最终就是个二进制数字吗。对不对。啊，所以呢，IP地址本质上就是这样的一个东西，那实际上呢，现在我们还可以这么玩，我们这10.0.8，那点二八呢，你P10.8现在没问题，那现在你也可以把它转换成十进制，你把这个10.8转为十进制是多少呢？那1010的十进制是啊幺零你先把它转换成二进制，先通通先转换成二进制，幺零的二进制是多少？幺零的二进制是八加二嘛，那八加二这是八，那八加二是不是就这个1010前面高位的四个零我就不写了，因为高位的零可以省略，然后呢，接着我们再补上。

另外的八位的零，那就是1234567812345678，是不是就凑成了16个零，然后还有就是八八的话呢，这个就前面的四个零就不能少了，然后1000，这是不是就是它的二进制啊，那这个二进制我们再把它转换成十进制，那怎么转换成十进制啊。哎，这个有一个叫什么啊，叫I被子是二是吧。输出的时候自然就是十进制，这不就十进制了吗？对不对，哎，这个十进制的数字我们拼一下。拼一下，拼过这样的数字吗？

你看看。是不是很有意思呀，所以你们以后拼猪鸡牙都不能拼这种地址吧，直接拼这个别人都不知道啥意思是吧。这变相的一种小小的加密啊，是吧，小小的加密啊，当然实际上你减一就应该是拼七了，是不是啊，那所以现在大家知道了，IP地址不就是个二进制数字嘛，实际上啊，好了，那关于IP地址这里面还有更多的计算，咱们休息会，待会详细给大家讲，呃，十分吧，十分回来啊。