一、题目
一个IPv4数据包首部长度字段为20B,总长度字段为1500B,则此数据包有效载荷为?
A. 20B
B. 1520B
C. 1480B
D. 1500B
二、答案
C
三、解析
IPv4数据包的首部长度字段(Header Length)用于表示IPv4首部的长度,单位是32位字(4字节)的个数。通常,IPv4首部的长度为20字节,因此首部长度字段的值为5(20字节 / 4字节 = 5)。
IPv4数据包的总长度字段(Total Length)表示整个IPv4数据包的长度,包括首部和有效载荷。在你提供的情况下,总长度字段的值为1500字节。
要计算有效载荷的长度,你可以使用以下公式:
有效载荷长度 = 总长度 – 首部长度
有效载荷长度 = 1500字节 – 20字节 = 1480字节
因此,此IPv4数据包的有效载荷长度为1480字节
四、扩展–DHCP Snooping
DHCP Snooping 的信任功能,能够保证客户端从合法的服务器获取 IP 地址。
网络中如果存在私自架设的伪 DHCP 服务器,则可能导致 DHCP 客户端获取错误的 IP 地址和网络配置参数,无法正常通信。DHCP Snooping 信任功能可以控制 DHCP 服务器应答报文的来源,以防止网络中可能存在的伪造或非法 DHCP 服务器为其他主机分配 IP 地址及其他配置信息。
DHCP Snooping 信任功能允许将端口分为信任端口和非信任端口:
信任端口正常转发接收到的 DHCP 应答报文。
非信任端口在接收到 DHCP 服务器响应的 DHCP Ack、DHCP Nak、DHCP Offer 和 DHCP Decline 报文后,丢弃该报文。
基本监听功能:
DHCP Snooping 的基本监听功能,能够记录 DHCP 客户端 IP 地址与 MAC 地址等参数的对应关系。开启DHCP Snooping 功能后,设备能够通过监听 DHCP 请求报文和回应报文,生成 DHCP Snooping 绑定表,绑定表项包括客户端的 MAC 地址、获取到的 IP 地址、与 DHCP 客户端连接的端口及该端口所属的 VLAN 等信息。像 IPSourceGuard 功能、DAI 功能在工作时都需要用到 DHCP Snooping 绑定表。
如果一台 PC 先获取 IP,然后再在交换机上配置 DHCP Snooping。那么 DHCPSnooping 就不能保证这台 PC 获得的 IP 地址是从授权 DHCP SERVER 获取的,同时不会形成 DHCP Snooping 绑定表或者如果 PC 采用静态配置 IP,那它也不会有 snooping 绑定表项,如果在交换机上配置了 IPSG、DAI 功能的话,交换机将丢弃这台 PC 发送的报文。
DHCP snooping 能防范的风险:
防止 DHCP Server 仿冒者攻击:将与合法 DHCP 服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信任(Untrusted)”接口上收到的 DHCP 回应报文将被直接丢弃,这样可以有效防止 DHCP Server 仿冒者的攻击。
防止非 DHCP 用户攻击:为了有效的防止非 DHCP 用户攻击,可开启设备根据 DHCP Snooping 绑定表生成接口的静态 MAC 表项功能。之后,设备将根据接口下所有的 DHCP 用户对应的 DHCP Snooping 绑定表项自动执行命令生成这些用户的静态 MAC 表项,并同时关闭接口学习动态 MAC 表项的能力。
防止 DHCP 报文泛洪攻击:在 DHCP 网络环境中,若攻击者短时间内向设备发送大量的 DHCP 报文,将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。为了有效的防止 DHCP 报文泛洪攻击,在使能设备的 DHCP Snooping 功能时,可同时使能设备对 DHCP 报文上送 DHCP 报文处理单元的速率进行检测的功能。此后,设备将会检测 DHCP 报文的上送速率,并仅允许在规定速率内的报文上送至 DHCP 报文处理单元,而超过规定速率的报文将会被丢弃。
防止仿冒 DHCP 报文攻击: 已获取到IP地址的合法用户通过向服务器发送DHCP Request或DHCP Release报文用以续租或释放 IP 地址。如果攻击者冒充合法用户不断向 DHCP Server 发送 DHCP Request 报文来续租 IP 地址,会导致这些到期的 IP 地址无法正常回收,以致一些合法用户不能获 IP 地址;而若攻击者仿冒合法用户的 DHCP Release 报文发往 DHCP Server,将会导致用户异常下线。为了有效的防止仿冒 DHCP 报文攻击,可利用 DHCP Snooping 绑定表的功能。设备通过将 DHCP Request 续租报文 DHCP Release 报文与绑定表进行匹配操作能够有效的判别报文是否合法,若匹配成功则转发该报文,匹配不成功则丢弃。
防止 DHCP Server 服务拒绝攻击 :为了抑制大量 DHCP 用户恶意申请 IP 地址,在使能设备的 DHCPSnooping 功能后,可配置 设备或接口允许接入的最大 DHCP 用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到 IP 地址。而对通过改变 DHCP Request 报文中的 CHADDR 字段方式的攻击,可使能设备检测 DHCP Request 报文帧头 MAC 与 DHCP 数据区中 CHADDR 字段是否一致功能,此后设备将检查上送的 DHCP Request 报文中的帧头 MAC 地址是否与 CHADDR 值相等,相等则转发,否则丢弃。