6.6.3 网络协议和服务

1.地址解析协议

网络层处理和理解IP地址，而数据链路层处理物理MAC地址。

数据离开应用层后，会进入传输层获取序列号、建立会话并分流。接着，数据传递至网络层，并在每个数据包内添加路由信息，同时源IP地址和目标IP地址也加入数据束中。随后数据进入数据链路层，数据链路层必须找到MAC地址，以将其加到数据帧的首部。数据帧到达网线时，它只知道自己要到达地方的MAC地址。

MAC地址和IP地址必须正确映射，以便它们能够正确解析。这通过地址解析协议（ARP）完成。

有时，攻击者会修改系统的ARP表，使之包含错误的信息，这称为ARP表中毒。攻击者的目的是为了让自己接收到只想其他计算机的数据包。

2.动态主机配置协议

DHCP动态主机配置协议。
DHCP是一种UDP型协议，它允许服务器为网络客户端实时分配IP地址。

然而，DHCP的客户端和服务端都容易被篡改身份。在客户端，攻击者可以将其系统伪装成有效的网络客户端。

启动协议（BOOTP）在RARP之后提出，以增强RARP协议为无盘工作站提供的性能。无盘工作站可以接收其IP地址、用于名称解析的名称服务器地址和默认的网关地址。
这个协议的发展：RARP进化为BOOTP,BOOTP又发展为DHCP。

3.Internet控制消息协议

ICMP递送状态消息，报告错误，回答某些请求，报告路由信息。

4.简单网络管理协议

SNMP。利用SNMP的许多类产品来查看其网络、流量和网络内主机的状态。

SNMP内的两个主要组件是管理器和代理。管理器是服务器部分，它轮询不同的设备来检查状态信息。服务器组建也从代理那接收陷阱消息，提供一个集中地点来装载整个网络范围内的信息。

当SNMP管理器组建轮询安装在特定设备上的个别代理时，代理分析从MIT哪儿收集的数据并发给管理器。

社区字符串基本上就是管理器用来从代理那请求数据的密码，主要有两种不同访问级别的社区字符串：只读和读写。
只读社区字符串允许管理器读取存在设备MIB中的数据，读写社区字符串允许管理器读取数据和修改它。
社区字符串在SNMP v1和v2中用明文发送，所以即使公司更改了这些默认值，它们仍然很容易被使用嗅探器的任何攻击者所获取。

SNMP泄漏的信息