1、表示IP地址

–IPv4地址

–長32位，採用點分四組或點分十進制來表示。

–點分十進制，每個數字都是非負整數，範圍是0~255.

165.195.130.107

–大多數時候我們更關心它的二進制結構，如下轉換：

http://www.subnetmask.info/

–IPv6地址

–長128位，用冒號分八組十六進制表示。

–特殊情況的表示

例如IP地址和端口號之間使用冒號。在這種情況下，用括號字母包圍IPv6地址

–標準化表示法：

一個塊中的前導0必須省略。

全0的塊可以用: :省略，但只能出現一次，用於壓縮最多的0，如果數量相同，順序靠前的將被替換。

在IPv6格式中嵌入IPv4地址可以採用混合符號形式，緊接着IPv4部分的地址快爲ffff，其餘部分爲點分四組。例：：( : :ffff:10.0.0.1)可表示IPv4地址(10.0.0.1)。被稱爲IPv4映射的IPv6地址。

–大多數時候我們更關心它的二進制結構，如下轉換：

http://www.subnetmask.info/

2、基本的IP地址結構

2.1、基本的IP地址結構--簡介

–IPv4地址空間中有4294967296個可能的地址，而IPv6的地址個數爲

340 282 366 920 938 463 463 374 607 431 768 211 456

號稱可以爲地球上的每一粒沙子表示IP地址

–IP地址可以根據類型和大小進行分組。大多數IPv4地址快被最終細分爲一個地址，用於識別連接Internet的計算機網絡接口，被稱爲單播地址。IPv4地址中大部分是單播地址。

–

–IPv6地址空間中大部分目前未使用，由於NAT技術的推廣延遲了IPV6技術的推廣

–

–除了單播地址，其他類型的地址包括廣播，組播和任播地址，後續討論

2.2、基本的IP地址結構---分類尋址

–最初建立Internet地址結構時，每個地址包含：網絡部分(網絡號，用於識別該主機屬於哪個網絡)，和主機地址(主機號，用於識別主機)。每個主機需要一個唯一的IP地址。長32位，採用點分四組或點分十進制來表示。

–最初的五大類地址

每一類都基於網絡中可容納的主機數量，站點的網絡號長，網絡種類多，但是每個種類的網絡可容納的主機數就會少一些。要注意取捨。

–其中A、B、C屬於單播地址，D位組播，E位保留。

–直觀的空間劃分：

–可以看出網絡號長，網絡種類多，主機號長，可容納的主機多。

–一些缺陷：A類B類網絡號通常浪費了太多的主機號，而C類不能提供充足的主機號。還有就是很難爲新接入Internet的新網絡分配新的網絡號。

2.3、基本的IP地址結構---子網尋址

–爲了解決“很難爲新接入Internet的新網絡分配新的網絡號”這個問題，我們可以捨棄一些主機號長度(反正也用不完)，就不必再爲新加入的網絡分配網絡號，使其成爲站點，而是把它加入到已經分配的站點中。稱爲子網，把我們捨棄的主機號長度用來編號這些子網。剩下的主機號繼續用來編號主機。

–比如這個例子，Internet中的一個站點已經被分配了B類的網絡號(就是說前16位已經固定)，而後16位可以自由分配，和之前一個道理。這裏例子分配了八位子網ID、八位主機ID，這個配置支持256個子網，每個子網最多包含254個地址(當前子網的第一個和最後一個地址無效！)。而且每個支持子網的站點都會有一個子網掩碼，一會再說。

2.4、基本的IP地址結構---子網掩碼

–子網掩碼用於從主機的IP地址中獲取網絡號和子網信息。IP子網掩碼和IP地址的長度相同(IPv4:32,IPv6:128)。可以靜態也可以動態，這都是我們後面要討論的。對於IPv4來說，子網掩碼也採用相同格式(點分十進制)編寫。由一串的1後跟若干0組成，有時被稱爲前綴長度。可以簡化表示成一個十進制數，表示前面有幾個1。下面是例子：

–IPv6 常見子網掩碼格式

–子網掩碼使用方法：我們來看看子網掩碼如何確定一個IP地址的網絡信息。子網掩碼中的1表示一個IP地址的對應位與一個地址的網絡/子網對應位相結合。相反，子網掩碼中的0表示，表示一個IP地址的對應位作爲主機ID的一部分。舉個例子，我們用子網掩碼255.255.255.0，處理IPv4地址128.32.1.14

–

–我們將地址中的以子網掩碼對應位與運算。

2.5、基本的IP地址結構---可變長度子網掩碼

–一個站點的子網分配不一定都是我們剛纔所說的：8位子網ID8位主機ID。可能有多種樣子，可以將不同的子網掩碼用於相同網號的站點，雖然增加了複雜性，但是卻提高了子網的靈活性。因爲不同的子網可以有不同的種類，可以容納不同數量的主機。當然站點要支持可變長度子網掩碼(VLSM)。

–

–下圖所示的網絡拓撲，它使用VLSM擴展了兩個額外的子網

–

–解釋一下這張圖，三個不同的子網掩碼被用於站點128.32.0.0/16：/24、/25、/26。這樣每個子網可以提供不同數量的主機。

2.6、基本的IP地址結構---廣播地址

–在每個IPv4地址中，一個特殊的地址被保留作爲子網廣播地址，將IPv4地址的網絡/子網部分設置爲適當值，主機部分全部設爲1，向這個IP發送數據報，就會發送到這個子網的所有主機上。

–構造方式爲：對子網掩碼取反，並與子網中任意計算機的地址進行按位或運算得到。例如，前綴爲128.32.1.0/24的子網，的廣播地址構造方式如圖所示：

–IPv6沒有任何廣播地址；廣播地址可用於IPv4中，而IPv6僅使用組播

2.7、基本的IP地址結構---IPv6地址和接口標識符

–IPv6地址

–

–通過附件學習一下基礎的IPv6的知識

–https://www.w3cschool.cn/ipv6/

–接口標識符IID 就是附件中提到的接口ID

3、CIDR和聚合

3.1、CIDR和聚合---簡介

–IPv4地址面臨的問題

–1.到1994年，一半以上的B類地址已被分配。預計，B類地址空間大約在1995年將被用盡。

–2.32位的IPv4地址被認爲不足以應付Internet在21世紀初的預期規模

–3.全球性路由表的數目（每個網絡號對應一條），1995年大約爲65000個條目，目前仍在增長中。隨着越來越多的A類，B類，C類路由條目的出現，路由性能將受到影響。

–

–網絡前綴

爲了幫助緩解IPv4地址的壓力，分類尋址方案通常使用一個類似VLSM的方案，擴展Inernet路由系統以支持無類別域間路由(CIDR)。

使用CIDR，未經過預定義的任何地址範圍可作爲一個類的一部分，但需要一個類似於子網掩碼的掩碼，有時也稱爲CIDR掩碼。CIDR掩碼不再侷限於一個站點，而對全球性路由系統都是可見的。因此，除了網絡號之外，核心Internet路由器必須能解釋和處理掩碼。這個數字組合稱爲網絡前綴。

3.2、CIDR和聚合---前綴

網絡前綴展示

3.3、CIDR和聚合---聚合

3.4、CIDR和聚合---前綴

–網絡前綴示例

參考資料----https://blog.csdn.net/iostream1001001/article/details/78126150

4、特殊用途地址

4.1、–IPv4特殊用途地址

4.2、–IPv6地址

4.3、特殊用途地址---IPv4/IPv6地址轉換

4.4、特殊用途地址---組播

–組播範圍

–節點本地(同一計算機)

–鏈路本地（同一子網）

–站點本地（適用於一些站點）

–全球（整個Internet）

–

–軟件開發

–在軟件的控制下，每個Internet主機中的協議棧能加入或離開一個組播組

–當一臺主機向一個組發送數據時，它會創建一個數據報，使用(單播)IP地址作爲源地址，使用組播IP地址作爲目的地址

–

–組播服務模型

–ASM (any source multicast )

–任意源組播模型，任意一個發送者都可以作爲組播源向某組播組地址發送信息

–SSM（source specific multicast）

–通過在客戶端指定組播源，而不接收其它源發送的信息

–從華爲資料獲取的地址範圍

4.5、特殊用途地址---IPv6組播地址

–三種常見的組播地址格式

–IPv6組播地址空間中的保留地址

4.6、特殊用途地址---任播地址

–任播地址是一個單播IPv4或IPv6地址，這些地址根據它所在的網絡確定不同的主機。

–

–一個任播地址不是internet中的一臺主機，而是對於任播地址“最合適”或“最接近”的一臺主機。

5、分配

–IP地址空間通常被分配爲大的塊，這由一些分層次組織的權威機構完成。

–

–權威機構爲各種“所有者”分配地址空間的組織，“所有者”通常是ISP或者其他較小的權威機構。

5.1、分配----單播

–對於單播IPv4和IPv6的地址空間，IANA將分配權限主要委託給幾個地區性Internet註冊機構(RIR)

–RIR之間通過一個組織互相協作，即2003年創建的號碼資源組織(NRO）

–截止2011年初，IANA擁有的剩餘IPv4單播地址空間將移交給這些RIR分配。

5.2、分配----組播

–在IPv4和IPv6中，組播地址(即組地址)可根據其範圍來描述，他們需要根據組播方式(靜態，動態的協議或算法)，以及是否使用ASM或SSM來確定。

–RPC5771描述了IPv4的分配策略，RFC3307描述了IPv6的分配策略

–整體框架在RFC6308中有描述

6、單播地址分配

–下面描述網絡管理員如何爲各種常見場景的網絡分配IP

6.1、單播地址分配----單個供應商/無網絡/單個地址

–

–目前，我們可獲得的最簡單的Internet服務是由ISP分配的IP地址。

–DSL的中文名是數字用戶線路，是以電話線爲傳輸介質的傳輸技術組合。DSL技術在傳遞公用電話網絡的用戶環路上支持對稱和非對稱傳輸模式，解決了經常發生在網絡服務供應商和最終用戶間的“最後一公里”的傳輸瓶頸問題。由於DSL 接入方案無需對電話線路進行改造，可以充分利用可以已經被大量鋪設的電話用戶環路，大大降低額外的開銷。因此，利用銅纜電話線提供更高速率的因特網接入，更受用戶的歡迎，得到了各個方面的重視，在一些國家和地區得到大量應用。

–對於DSL服務，單個地址可以被分配到一個點到點的鏈路的一端，並可能只是暫時的。

–

–爲了在Linux上查看一臺主機使用的組播地址，我們可以使用ifconfig和netstat命令查看正在使用的IP地址和組:

–類似於家庭使用情況，一臺路由器，家庭的所有設備都屬於這個路由器的子網設備，而路由器的wan口通過運行商的ISP獲取1個IP ，重點是有個技術NAT(見第7章；在windows中稱爲Internet連接共享ICS)

6.2、單播地址分配----單個供應商/多個網絡/多個地址

–小型到中型規模的企業常見網絡模型

–該網站一杯分配128.32.2.64/26範圍內的64個公開(可路由)的IPv4地址。

–DMZ網絡包含Internet中可見的服務器。內部路由器使用NAT爲企業內部的計算機提供Internet訪問

6.3、單播地址分配----多個供應商/多個網絡/多個地址

–供應商聚合和供應商獨立的IPv4地址用於一個假設的多宿主企業。如果PI地址是可用的，站點運營者傾向於選擇使用PI空間。ISP更喜歡PA孔家，因爲它可促進前綴聚合，減少路由表的大小。

7、與IP地址相關的攻擊

–“肉雞”

–IP地址攻擊.docx

ip地址欺騙

鎖定

本詞條由“科普中國”科學百科詞條編寫與應用工作項目審覈。

IP地址欺騙是指行動產生的IP數據包爲僞造的源IP地址，以便冒充其他系統或發件人的身份。這是一種黑客的攻擊形式，黑客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。

中文名

IP地址欺騙

外文名

IPaddress spoofing

別名

IP欺騙攻擊

定義

指行動產生的IP數據包爲僞造的源IP地址，以便冒充其他系統或發件人的身份。這是一種駭客的攻擊形式，駭客使用一臺計算機上網,而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務器打交道。防火牆可以識別這種ip欺騙。

按照Internet Protocol(IP)網絡互聯協議，數據包頭包含來源地和目的地信息。而IP地址欺騙，就是通過僞造數據包包頭，使顯示的信息源不是實際的來源，就像這個數據包是從另一臺計算機上發送的。

IP地址欺騙攻擊示意圖

易受攻擊的服務

以IP地址認證作爲用戶身份的服務
X window system
遠程服務系列（如遠程訪問服務）

應用方法

在網絡安全領域，隱藏自己的一種手段就是IP欺騙——僞造自身的IP地址向目標系統發送惡意請求，造成目標系統受到攻擊卻無法確認攻擊源，或者取得目標系統的信任以便獲取機密信息。

這兩個目的對應着兩種場景：

場景一，常用於DDoS攻擊（分佈式拒絕攻擊），在向目標系統發起的惡意攻擊請求中，隨機生成大批假冒源IP，如果目標防禦較爲薄弱，對收到的惡意請求也無法分析攻擊源的真實性，從而達到攻擊者隱藏自身的目的。

這類場景裏一種很有意思的特殊情景來自於“反射”式DDoS攻擊，它的特點來自於利用目標系統某種服務的協議缺陷，發起針對目標系統輸入、輸出的不對稱性——向目標發起吞吐量相對較小的某種惡意請求，隨後目標系統因其協議缺陷返回大量的響應，阻塞網絡帶寬、佔用主機系統資源。這時如果攻擊者的請求使用真實源地址的話，勢必要被巨大的響應所吞沒，傷及自身。這樣，攻擊者採取IP欺騙措施就勢在必行了。

場景二，原本A主機信任B主機，也就是B可以暢通無阻地獲取A的數據資源。而惡意主機C爲了能同樣獲取到A的數據，就需要僞裝成B去和A通信。這樣C需要做兩件事：第一、讓B“把嘴堵上”，不再向A吐請求，比如向B主機發起DoS攻擊（拒絕服務攻擊），佔用B的連接使其無法正常發出網絡包；第二、僞裝成B的IP和A交互。

防禦方法

IP欺騙的防範，一方面需要目標設備採取更強有力的認證措施，不僅僅根據源IP就信任來訪者，更多的需要強口令等認證手段；另一方面採用健壯的交互協議以提高僞裝源IP的門檻。

有些高層協議擁有獨特的防禦方法，比如TCP（傳輸控制協議）通過回覆序列號來保證數據包來自於已建立的連接。由於攻擊者通常收不到回覆信息，因此無從得知序列號。不過有些老機器和舊系統的TCP序列號可以被探得

TCP_IP詳解第二章Inernet地址結構