网卡配置、网关绑定和路由操纵

一、网卡配置

我们使用的PC机和笔记本电脑都需要对网卡进行配置才可以上网，网卡配置主要配置如下信息：1.ip地址(ipv4)，2.子网掩码，3.默认网关4.DNS服务器

1.IP地址

我们之前讲过，任何一台网络设备要想上网都必须配置IP地址，IP地址的配置有两种方式：1）手工配置，2）通过DHCP获得，要求你所接入的网络环境有一台DHCP服务器，用于给主机进行地址分配，比如在公司办公的电脑或者在机场、咖啡厅通过连接WiFi上网的笔记本电脑。在使用dhcp获取时，如果拿到的是169.254开头的IP地址，这说明获取合法地址超时，你需要联系网管。

2.子网掩码

子网掩码：它的作用是表明合法主机的地址范围以及网络地址和本网段的广播地址都是什么。例如 ip地址192.168.100.100/24,则表示网络地址是192.168.100.0，广播地址是192.168.100.255，合法主机地址范围是192.168.100.1-192.168.100.254，一般192.168.100.1留给网关设备使用，其它的地址分配给电脑、网络设备使用。

大家可以思考下，如果是192.168.100.100/28,那么总共有几个子网，每个子网的合法主机地址范围都是什么？每个子网的网络地址和广播地址都是什么？

3.默认网关

默认网关的作用是，指定去往非本地网段的报文都发给它，如果默认网关连接互联网，你就可以访问互联网。默认网关通常是三层设备，例如路由器

4.DNS服务器

是帮你进行域名解析的服务器，例如我们要访问今日头条,https://mp.toutiao.com,需要dns服务器把域名mp.toutiao.com解析成IP地址，才可以完成访问。

二、网关绑定

为什么需要人工进行网关mac地址的绑定？那是因为局域网如果遭受到网络攻击，攻击者通过arp request或者arp reply报文篡改网关地址的MAC地址，欺骗局域网内的电脑，那么就会给其它电脑造成不能上网的麻烦，这就是我们常说的ARP地址欺骗。

如果攻击者把网关的MAC地址改成自己的电脑的MAC地址，那么就可以构成中间人攻击，造成信息泄露。

基于对ARP攻击的防护和应急，我们可以手工绑定网关设备的MAC地址：

arp -s 192.168.43.3 11:22:33:44:55:66, 192.168.43.3是网关的IP地址，11:22:33:44:55:66是网关的MAC地址，这样就把它们永久地绑定了。该绑定项电脑重启后会丢失。

arp -s 添加ip Mac绑定

不同操作系统的arp操作

Kali系统中arp操作

Mac系统中arp操作

三、路由操纵

在拓扑图中，PC1有一个网卡，该网卡上配置两个IP地址：192.168.100.2/24，网关为192.168.100.1，这个IP地址用于与互联网通信。另一个IP地址192.168.200.2/24,用于跟PC2(192.168.200.3/24)通信。

如果我们不做任何配置，PC1是ping不通PC2的，因为默认网关是192.168.100.1，当在PC1上ping PC2的时候，数据包是扔到了Router0上，不会到达PC2.

下面我们操纵路由，让PC1可以ping通PC2.

Kali系统中操纵路由

route add -net 192.168.102.0/24 192.168.101.2,此处我们指定的是出接口，也可以指定下一跳，只是度量值不同。

windows操作系统中添加方法：

route add 192.168.102.2 mask 255.255.255.0 192.168.101.2

通过以上操作，我们就可以在不影响上网的同时，访问另一个私有网络了。