計(jì)算機(jī)網(wǎng)絡(luò)安全教程Chapter（課堂PPT）

1、.1第二章 網(wǎng)絡(luò)安全協(xié)議基礎(chǔ) .2內(nèi)容提要n本章介紹OSI七層網(wǎng)絡(luò)模型nTCP/IP協(xié)議簇。n重點(diǎn)介紹IP協(xié)議、TCP協(xié)議、UDP協(xié)議和ICMP協(xié)議。n介紹常用的網(wǎng)絡(luò)服務(wù)：文件傳輸服務(wù)、Telnet服務(wù)、電子郵件服務(wù)和、Web服務(wù)n介紹常用的網(wǎng)絡(luò)服務(wù)端口和常用的網(wǎng)絡(luò)命令的使用。.3OSI參考模型 nOSI參考模型是國(guó)際標(biāo)準(zhǔn)化組織參考模型是國(guó)際標(biāo)準(zhǔn)化組織ISO(International Standards Organization )制定的模型，把計(jì)算機(jī)與計(jì)算制定的模型，把計(jì)算機(jī)與計(jì)算機(jī)之間的通信分成七個(gè)互相連接的協(xié)議層，結(jié)構(gòu)如圖機(jī)之間的通信分成七個(gè)互相連接的協(xié)議層，結(jié)構(gòu)如圖2-1所所示。示。

2、.4OSI參考模型n很少有產(chǎn)品是完全的很少有產(chǎn)品是完全的OSI模式，然而模式，然而OSI參考模型為網(wǎng)絡(luò)的結(jié)構(gòu)提供了可行參考模型為網(wǎng)絡(luò)的結(jié)構(gòu)提供了可行的機(jī)制。的機(jī)制。nOSI模型將通信會(huì)話需要的各種進(jìn)程劃模型將通信會(huì)話需要的各種進(jìn)程劃分成分成7個(gè)相對(duì)獨(dú)立的層次。個(gè)相對(duì)獨(dú)立的層次。.51、物理層（Physical Layer）n最底層是物理層，這一層負(fù)責(zé)傳送比特流，它從第最底層是物理層，這一層負(fù)責(zé)傳送比特流，它從第二層數(shù)據(jù)鏈路層接收數(shù)據(jù)幀，并將幀的結(jié)構(gòu)和內(nèi)容二層數(shù)據(jù)鏈路層接收數(shù)據(jù)幀，并將幀的結(jié)構(gòu)和內(nèi)容串行發(fā)送，即每次發(fā)送一個(gè)比特。串行發(fā)送，即每次發(fā)送一個(gè)比特。n物理層只能看見物理層只能看見0和和1

3、，只與電信號(hào)技術(shù)和光信號(hào)，只與電信號(hào)技術(shù)和光信號(hào)技術(shù)的物理特征相關(guān)。這些特征包括用于傳輸信號(hào)技術(shù)的物理特征相關(guān)。這些特征包括用于傳輸信號(hào)電流的電壓、介質(zhì)類型以及阻抗特征。該層的傳輸電流的電壓、介質(zhì)類型以及阻抗特征。該層的傳輸介質(zhì)是同軸電纜、光纖、雙絞線等，有時(shí)該層被稱介質(zhì)是同軸電纜、光纖、雙絞線等，有時(shí)該層被稱為為OSI參考模型的第參考模型的第0層。層。n物理層可能受到的安全威脅是搭線竊聽和監(jiān)聽，可物理層可能受到的安全威脅是搭線竊聽和監(jiān)聽，可以利用數(shù)據(jù)加密、數(shù)據(jù)標(biāo)簽加密，數(shù)據(jù)標(biāo)簽，流量以利用數(shù)據(jù)加密、數(shù)據(jù)標(biāo)簽加密，數(shù)據(jù)標(biāo)簽，流量填充等方法保護(hù)物理層的安全。填充等方法保護(hù)物理層的安全。.62、數(shù)

4、據(jù)鏈路層（Data Link Layer）nOSI參考模型的第二層稱為數(shù)據(jù)鏈路層。與參考模型的第二層稱為數(shù)據(jù)鏈路層。與其他層一樣，它肩負(fù)兩個(gè)責(zé)任：發(fā)送和接收其他層一樣，它肩負(fù)兩個(gè)責(zé)任：發(fā)送和接收數(shù)據(jù)。數(shù)據(jù)。n還要提供數(shù)據(jù)有效傳輸?shù)亩说蕉诉B接。在發(fā)還要提供數(shù)據(jù)有效傳輸?shù)亩说蕉诉B接。在發(fā)送方，數(shù)據(jù)鏈路層負(fù)責(zé)將指令、數(shù)據(jù)等包裝送方，數(shù)據(jù)鏈路層負(fù)責(zé)將指令、數(shù)據(jù)等包裝到幀中，幀是該層的基本結(jié)構(gòu)。到幀中，幀是該層的基本結(jié)構(gòu)。n幀中包含足夠的信息，確保數(shù)據(jù)可以安全地幀中包含足夠的信息，確保數(shù)據(jù)可以安全地通過(guò)本地局域網(wǎng)到達(dá)目的地。通過(guò)本地局域網(wǎng)到達(dá)目的地。.73、網(wǎng)絡(luò)層（Network Layer）n網(wǎng)絡(luò)層（

5、網(wǎng)絡(luò)層（Network Layer）的主要功能是完成網(wǎng)絡(luò)中）的主要功能是完成網(wǎng)絡(luò)中主機(jī)間的報(bào)文傳輸。在廣域網(wǎng)中，這包括產(chǎn)生從源端主機(jī)間的報(bào)文傳輸。在廣域網(wǎng)中，這包括產(chǎn)生從源端到目的端的路由。到目的端的路由。n當(dāng)報(bào)文不得不跨越兩個(gè)或多個(gè)網(wǎng)絡(luò)時(shí)，又會(huì)產(chǎn)生很多當(dāng)報(bào)文不得不跨越兩個(gè)或多個(gè)網(wǎng)絡(luò)時(shí)，又會(huì)產(chǎn)生很多新問(wèn)題。例如第二個(gè)網(wǎng)絡(luò)的尋址方法可能不同于第一新問(wèn)題。例如第二個(gè)網(wǎng)絡(luò)的尋址方法可能不同于第一個(gè)網(wǎng)絡(luò)；第二個(gè)網(wǎng)絡(luò)也可能因?yàn)榈谝粋€(gè)網(wǎng)絡(luò)的報(bào)文太個(gè)網(wǎng)絡(luò)；第二個(gè)網(wǎng)絡(luò)也可能因?yàn)榈谝粋€(gè)網(wǎng)絡(luò)的報(bào)文太長(zhǎng)而無(wú)法接收；兩個(gè)網(wǎng)絡(luò)使用的協(xié)議也可能不同等。長(zhǎng)而無(wú)法接收；兩個(gè)網(wǎng)絡(luò)使用的協(xié)議也可能不同等。網(wǎng)絡(luò)層必須解決這些問(wèn)題，

6、使異構(gòu)網(wǎng)絡(luò)能夠互連。網(wǎng)絡(luò)層必須解決這些問(wèn)題，使異構(gòu)網(wǎng)絡(luò)能夠互連。n在單個(gè)局域網(wǎng)中，網(wǎng)絡(luò)層是冗余的，因?yàn)閳?bào)文是直接在單個(gè)局域網(wǎng)中，網(wǎng)絡(luò)層是冗余的，因?yàn)閳?bào)文是直接從一臺(tái)計(jì)算機(jī)傳送到另一臺(tái)計(jì)算機(jī)的。從一臺(tái)計(jì)算機(jī)傳送到另一臺(tái)計(jì)算機(jī)的。.84、傳輸層（Transport Layer）n傳輸層的主要功能是完成網(wǎng)絡(luò)中不同主機(jī)上的傳輸層的主要功能是完成網(wǎng)絡(luò)中不同主機(jī)上的用戶進(jìn)程之間可靠的數(shù)據(jù)通信。用戶進(jìn)程之間可靠的數(shù)據(jù)通信。n最好的傳輸連接是一條無(wú)差錯(cuò)的、按順序傳送最好的傳輸連接是一條無(wú)差錯(cuò)的、按順序傳送數(shù)據(jù)的管道，即傳輸層連接是真正端到端的。數(shù)據(jù)的管道，即傳輸層連接是真正端到端的。n由于絕大多數(shù)主機(jī)都支持多

7、用戶操作，因而機(jī)由于絕大多數(shù)主機(jī)都支持多用戶操作，因而機(jī)器上有多道程序，這意味著多條連接將進(jìn)出于器上有多道程序，這意味著多條連接將進(jìn)出于這些主機(jī)，因此需要以某種方式區(qū)別報(bào)文屬于這些主機(jī)，因此需要以某種方式區(qū)別報(bào)文屬于哪條連接。識(shí)別這些連接的信息可以放入傳輸哪條連接。識(shí)別這些連接的信息可以放入傳輸層的報(bào)文頭中。層的報(bào)文頭中。.95、會(huì)話層（Session Layer）n會(huì)話層允許不同機(jī)器上的用戶之間建立會(huì)話關(guān)系。會(huì)話層允許會(huì)話層允許不同機(jī)器上的用戶之間建立會(huì)話關(guān)系。會(huì)話層允許進(jìn)行類似傳輸層的普通數(shù)據(jù)的傳送，在某些場(chǎng)合還提供了一些進(jìn)行類似傳輸層的普通數(shù)據(jù)的傳送，在某些場(chǎng)合還提供了一些有用的增強(qiáng)型服

8、務(wù)。允許用戶利用一次會(huì)話在遠(yuǎn)端的分時(shí)系統(tǒng)有用的增強(qiáng)型服務(wù)。允許用戶利用一次會(huì)話在遠(yuǎn)端的分時(shí)系統(tǒng)上登錄，或者在兩臺(tái)機(jī)器間傳遞文件。上登錄，或者在兩臺(tái)機(jī)器間傳遞文件。n會(huì)話層提供的服務(wù)之一是管理對(duì)話控制。會(huì)話層提供的服務(wù)之一是管理對(duì)話控制。n會(huì)話層允許信息同時(shí)雙向傳輸，或限制只能單向傳輸。如果屬會(huì)話層允許信息同時(shí)雙向傳輸，或限制只能單向傳輸。如果屬于后者，類似于物理信道上的半雙工模式，會(huì)話層將記錄此時(shí)于后者，類似于物理信道上的半雙工模式，會(huì)話層將記錄此時(shí)該輪到哪一方。該輪到哪一方。n一種與對(duì)話控制有關(guān)的服務(wù)是令牌管理（一種與對(duì)話控制有關(guān)的服務(wù)是令牌管理（Token Management）。有些協(xié)議

9、保證雙方不能同時(shí)進(jìn)行同樣的操作，）。有些協(xié)議保證雙方不能同時(shí)進(jìn)行同樣的操作，這一點(diǎn)很重要。為了管理這些活動(dòng)，會(huì)話層提供了令牌，令牌這一點(diǎn)很重要。為了管理這些活動(dòng)，會(huì)話層提供了令牌，令牌可以在會(huì)話雙方之間移動(dòng)，只有持有令牌的一方可以執(zhí)行某種可以在會(huì)話雙方之間移動(dòng)，只有持有令牌的一方可以執(zhí)行某種操作。操作。.106、表示層（Presentation Layer）n表示層完成某些特定的功能，這些功能不必由每個(gè)表示層完成某些特定的功能，這些功能不必由每個(gè)用戶自己來(lái)實(shí)現(xiàn)。用戶自己來(lái)實(shí)現(xiàn)。n值得一提的是，表示層以下各層只關(guān)心從源端機(jī)到值得一提的是，表示層以下各層只關(guān)心從源端機(jī)到目標(biāo)機(jī)可靠地傳送比特，而表示

10、層關(guān)心的是所傳送目標(biāo)機(jī)可靠地傳送比特，而表示層關(guān)心的是所傳送的信息的語(yǔ)法和語(yǔ)義。的信息的語(yǔ)法和語(yǔ)義。n表示層服務(wù)的一個(gè)典型例子是用一種一致選定的標(biāo)表示層服務(wù)的一個(gè)典型例子是用一種一致選定的標(biāo)準(zhǔn)方法對(duì)數(shù)據(jù)進(jìn)行編碼。準(zhǔn)方法對(duì)數(shù)據(jù)進(jìn)行編碼。n大多數(shù)用戶程序之間并非交換隨機(jī)的比特，而是交大多數(shù)用戶程序之間并非交換隨機(jī)的比特，而是交換諸如人名、日期、貨幣數(shù)量和發(fā)票之類的信息。換諸如人名、日期、貨幣數(shù)量和發(fā)票之類的信息。這些對(duì)象是用字符串、整型數(shù)、浮點(diǎn)數(shù)的形式，以這些對(duì)象是用字符串、整型數(shù)、浮點(diǎn)數(shù)的形式，以及由幾種簡(jiǎn)單類型組成的數(shù)據(jù)結(jié)構(gòu)來(lái)表示。及由幾種簡(jiǎn)單類型組成的數(shù)據(jù)結(jié)構(gòu)來(lái)表示。.117、應(yīng)用層（App

11、lication Layer）n應(yīng)用層包含大量人們普遍需要的協(xié)議。雖然，對(duì)應(yīng)用層包含大量人們普遍需要的協(xié)議。雖然，對(duì)于需要通信的不同應(yīng)用來(lái)說(shuō)，應(yīng)用層的協(xié)議都是于需要通信的不同應(yīng)用來(lái)說(shuō)，應(yīng)用層的協(xié)議都是必須的。必須的。n例如，例如，PC（Personal Computer）機(jī)用戶使用仿）機(jī)用戶使用仿真終端軟件通過(guò)網(wǎng)絡(luò)仿真某個(gè)遠(yuǎn)程主機(jī)的終端并真終端軟件通過(guò)網(wǎng)絡(luò)仿真某個(gè)遠(yuǎn)程主機(jī)的終端并使用該遠(yuǎn)程主機(jī)的資源。使用該遠(yuǎn)程主機(jī)的資源。n這個(gè)仿真終端程序使用虛擬終端協(xié)議將鍵盤輸入這個(gè)仿真終端程序使用虛擬終端協(xié)議將鍵盤輸入的數(shù)據(jù)傳送到主機(jī)的操作系統(tǒng)，并接收顯示于屏的數(shù)據(jù)傳送到主機(jī)的操作系統(tǒng)，并接收顯示于屏幕的

12、數(shù)據(jù)。幕的數(shù)據(jù)。.12TCP/IP協(xié)議簇n 協(xié)議簇模型協(xié)議簇模型 n和其他網(wǎng)絡(luò)協(xié)議一樣，和其他網(wǎng)絡(luò)協(xié)議一樣，TCP/IP有自己的參考模型用于描述有自己的參考模型用于描述各層的功能。各層的功能。TCP/IP協(xié)議簇參考模型和協(xié)議簇參考模型和OSI參考模型的比參考模型的比較如圖較如圖2-2所示。所示。.13TCP/IP協(xié)議簇nTCP/IP參考模型實(shí)現(xiàn)了參考模型實(shí)現(xiàn)了OSI模型中的所模型中的所有功能。有功能。n不同之處是不同之處是TCP/IP協(xié)議模型將協(xié)議模型將OSI模型模型的部分層進(jìn)行了合并。的部分層進(jìn)行了合并。nOSI模型對(duì)層的劃分更精確，而模型對(duì)層的劃分更精確，而TCP/IP模型使用比較寬的層定

13、義。模型使用比較寬的層定義。.14解剖TCP/IP模型nTCP/IP協(xié)議簇包括四個(gè)功能層：應(yīng)用層、傳輸層、協(xié)議簇包括四個(gè)功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層及網(wǎng)絡(luò)接口層。網(wǎng)絡(luò)層及網(wǎng)絡(luò)接口層。n這四層概括了相對(duì)于這四層概括了相對(duì)于OSI參考模型中的七層。參考模型中的七層。n1、網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)接口層n網(wǎng)絡(luò)接口層包括用于物理連接、傳輸?shù)乃泄δ?。網(wǎng)絡(luò)接口層包括用于物理連接、傳輸?shù)乃泄δ?。OSI模型模型把這一層功能分為兩層：物理層和數(shù)據(jù)鏈路層，把這一層功能分為兩層：物理層和數(shù)據(jù)鏈路層，TCP/IP參參考模型把兩層合在一起?？寄Ｐ桶褍蓪雍显谝黄?。n2、網(wǎng)絡(luò)層（、網(wǎng)絡(luò)層（Internet層）層）n網(wǎng)絡(luò)層由在

14、兩個(gè)主機(jī)之間通信所必須的協(xié)議和過(guò)程組成。這網(wǎng)絡(luò)層由在兩個(gè)主機(jī)之間通信所必須的協(xié)議和過(guò)程組成。這意味著數(shù)據(jù)報(bào)文必須是可路由的。意味著數(shù)據(jù)報(bào)文必須是可路由的。.15解剖TCP/IP模型n3、傳輸層、傳輸層n這一層支持的功能包括：為了在網(wǎng)絡(luò)中傳輸對(duì)應(yīng)用數(shù)據(jù)進(jìn)行這一層支持的功能包括：為了在網(wǎng)絡(luò)中傳輸對(duì)應(yīng)用數(shù)據(jù)進(jìn)行分段，執(zhí)行數(shù)學(xué)檢查來(lái)保證所收數(shù)據(jù)的完整性，為多個(gè)應(yīng)用分段，執(zhí)行數(shù)學(xué)檢查來(lái)保證所收數(shù)據(jù)的完整性，為多個(gè)應(yīng)用同時(shí)傳輸數(shù)據(jù)多路復(fù)用數(shù)據(jù)流同時(shí)傳輸數(shù)據(jù)多路復(fù)用數(shù)據(jù)流(傳輸和接收傳輸和接收)。這意味著該層。這意味著該層能識(shí)別特殊應(yīng)用，對(duì)亂序收到的數(shù)據(jù)進(jìn)行重新排序。能識(shí)別特殊應(yīng)用，對(duì)亂序收到的數(shù)據(jù)進(jìn)行重新

15、排序。n當(dāng)前的主機(jī)到主機(jī)層包括兩個(gè)協(xié)議實(shí)體：傳輸控制協(xié)議當(dāng)前的主機(jī)到主機(jī)層包括兩個(gè)協(xié)議實(shí)體：傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)。n4、應(yīng)用層、應(yīng)用層n應(yīng)用層協(xié)議提供遠(yuǎn)程訪問(wèn)和資源共享。應(yīng)用包括應(yīng)用層協(xié)議提供遠(yuǎn)程訪問(wèn)和資源共享。應(yīng)用包括Telnet服務(wù)、服務(wù)、FTP服務(wù)、服務(wù)、SMTP服務(wù)和服務(wù)和HTTP服務(wù)等，很多其他應(yīng)用程序服務(wù)等，很多其他應(yīng)用程序駐留并運(yùn)行在此層，并且依賴于底層的功能。該層是最難保駐留并運(yùn)行在此層，并且依賴于底層的功能。該層是最難保護(hù)的一層。護(hù)的一層。.16解剖TCP/IP模型nTCP/IP組的四層、組的四層、OSI參考模型和常用協(xié)議的對(duì)應(yīng)關(guān)系

16、如參考模型和常用協(xié)議的對(duì)應(yīng)關(guān)系如圖圖2-3所示。所示。.17網(wǎng)絡(luò)協(xié)議IP nIP協(xié)議已經(jīng)成為世界上最重要的網(wǎng)際協(xié)議。協(xié)議已經(jīng)成為世界上最重要的網(wǎng)際協(xié)議。nIP的功能定義在由的功能定義在由IP頭結(jié)構(gòu)的數(shù)據(jù)中。頭結(jié)構(gòu)的數(shù)據(jù)中。IP是網(wǎng)絡(luò)層上的主要協(xié)是網(wǎng)絡(luò)層上的主要協(xié)議，同時(shí)被議，同時(shí)被TCP協(xié)議和協(xié)議和UDP協(xié)議使用。協(xié)議使用。nTCP/IP的整個(gè)數(shù)據(jù)報(bào)在數(shù)據(jù)鏈路層的結(jié)構(gòu)如表的整個(gè)數(shù)據(jù)報(bào)在數(shù)據(jù)鏈路層的結(jié)構(gòu)如表2-1所示。所示。n表表2-1 TCP/IP數(shù)據(jù)報(bào)的結(jié)構(gòu)數(shù)據(jù)報(bào)的結(jié)構(gòu)以太網(wǎng)數(shù)據(jù)包頭以太網(wǎng)數(shù)據(jù)包頭IP頭頭TCP/UDP/ICMP/IGMP頭頭數(shù)據(jù)數(shù)據(jù).18IP頭的結(jié)構(gòu)n可以看出一條完整數(shù)據(jù)報(bào)

17、由四部分組成可以看出一條完整數(shù)據(jù)報(bào)由四部分組成n第三部分是該數(shù)據(jù)報(bào)采用的協(xié)議第三部分是該數(shù)據(jù)報(bào)采用的協(xié)議n第四部分是數(shù)據(jù)報(bào)傳遞的數(shù)據(jù)內(nèi)容第四部分是數(shù)據(jù)報(bào)傳遞的數(shù)據(jù)內(nèi)容n其中其中IP頭的結(jié)構(gòu)如表頭的結(jié)構(gòu)如表2-2所示。所示。版本（版本（4位）位）頭長(zhǎng)度（頭長(zhǎng)度（4位）位）服務(wù)類型（服務(wù)類型（8位）位）封包總長(zhǎng)度（封包總長(zhǎng)度（16位）位）封包標(biāo)識(shí)（封包標(biāo)識(shí)（16位）位）標(biāo)志（標(biāo)志（3位）位）片斷偏移地址（片斷偏移地址（13位）位）存活時(shí)間（存活時(shí)間（8位）位）協(xié)議（協(xié)議（8位）位）校驗(yàn)和（校驗(yàn)和（16位）位）來(lái)源來(lái)源IP地址（地址（32位）位）目的目的IP地址（地址（32位）位）選項(xiàng)（可選）選項(xiàng)（

18、可選）填充（可選）數(shù)據(jù)數(shù)據(jù).19IP頭的結(jié)構(gòu)nIP頭結(jié)構(gòu)在所有協(xié)議中都是固定的，對(duì)表頭結(jié)構(gòu)在所有協(xié)議中都是固定的，對(duì)表2-2說(shuō)明如下：說(shuō)明如下：n（1）字節(jié)和數(shù)字的存儲(chǔ)順序是從右到左，依次是從低位到高位，而網(wǎng)絡(luò)存儲(chǔ)順序是從）字節(jié)和數(shù)字的存儲(chǔ)順序是從右到左，依次是從低位到高位，而網(wǎng)絡(luò)存儲(chǔ)順序是從左到右，依次從低位到高位。左到右，依次從低位到高位。n（2）版本：占第一個(gè)字節(jié)的高四位。頭長(zhǎng)度：占第一個(gè)字節(jié)的低四位。）版本：占第一個(gè)字節(jié)的高四位。頭長(zhǎng)度：占第一個(gè)字節(jié)的低四位。n（3）服務(wù)類型：前）服務(wù)類型：前3位為優(yōu)先字段權(quán)，現(xiàn)在已經(jīng)被忽略。接著位為優(yōu)先字段權(quán)，現(xiàn)在已經(jīng)被忽略。接著4位用來(lái)表示最小延遲

19、、位用來(lái)表示最小延遲、最大吞吐量、最高可靠性和最小費(fèi)用。最大吞吐量、最高可靠性和最小費(fèi)用。n（4）封包總長(zhǎng)度：整個(gè)）封包總長(zhǎng)度：整個(gè)IP報(bào)的長(zhǎng)度，單位為字節(jié)。報(bào)的長(zhǎng)度，單位為字節(jié)。n（5）存活時(shí)間：就是封包的生存時(shí)間。通常用通過(guò)的路由器的個(gè)數(shù)來(lái)衡量，比如初始）存活時(shí)間：就是封包的生存時(shí)間。通常用通過(guò)的路由器的個(gè)數(shù)來(lái)衡量，比如初始值設(shè)置為值設(shè)置為32，則每通過(guò)一個(gè)路由器處理就會(huì)被減一，當(dāng)這個(gè)值為，則每通過(guò)一個(gè)路由器處理就會(huì)被減一，當(dāng)這個(gè)值為0的時(shí)候就會(huì)丟掉這個(gè)的時(shí)候就會(huì)丟掉這個(gè)包，并用包，并用ICMP消息通知源主機(jī)。消息通知源主機(jī)。n（6）協(xié)議：定義了數(shù)據(jù)的協(xié)議，分別為：）協(xié)議：定義了數(shù)據(jù)的協(xié)議

20、，分別為：TCP、UDP、ICMP和和IGMP。如。如TCP定義為：定義為：ndefine PROTOCOL_TCP 0 x06n（7）檢驗(yàn)和：校驗(yàn)的首先將該字段設(shè)置為）檢驗(yàn)和：校驗(yàn)的首先將該字段設(shè)置為0，然后將，然后將IP頭的每頭的每16位進(jìn)行二進(jìn)制取反求位進(jìn)行二進(jìn)制取反求和，將結(jié)果保存在校驗(yàn)和字段。和，將結(jié)果保存在校驗(yàn)和字段。n（8）來(lái)源）來(lái)源IP地址：將地址：將IP地址看作是地址看作是32位數(shù)值則需要將網(wǎng)絡(luò)字節(jié)順序轉(zhuǎn)化位主機(jī)字節(jié)順位數(shù)值則需要將網(wǎng)絡(luò)字節(jié)順序轉(zhuǎn)化位主機(jī)字節(jié)順序。轉(zhuǎn)化的方法是：將每序。轉(zhuǎn)化的方法是：將每4個(gè)字節(jié)首尾互換，將個(gè)字節(jié)首尾互換，將2、3字節(jié)互換。字節(jié)互換。n（9）目

21、的）目的IP地址：轉(zhuǎn)換方法和來(lái)源地址：轉(zhuǎn)換方法和來(lái)源IP地址一樣。地址一樣。n在網(wǎng)絡(luò)協(xié)議中，在網(wǎng)絡(luò)協(xié)議中，IP是面向非連接的，所謂的非連接就是傳遞數(shù)據(jù)的時(shí)候，不檢測(cè)網(wǎng)絡(luò)是是面向非連接的，所謂的非連接就是傳遞數(shù)據(jù)的時(shí)候，不檢測(cè)網(wǎng)絡(luò)是否連通。所以是不可靠的數(shù)據(jù)報(bào)協(xié)議，否連通。所以是不可靠的數(shù)據(jù)報(bào)協(xié)議，IP協(xié)議主要負(fù)責(zé)在主機(jī)之間尋址和選擇數(shù)據(jù)包路協(xié)議主要負(fù)責(zé)在主機(jī)之間尋址和選擇數(shù)據(jù)包路由。由。 .20抓取Ping指令發(fā)送的數(shù)據(jù)包n按照第一章按照第一章Sniffer的設(shè)置抓取的設(shè)置抓取Ping指令發(fā)送的數(shù)據(jù)包，指令發(fā)送的數(shù)據(jù)包，命令執(zhí)行如圖命令執(zhí)行如圖2-4所示。所示。 .21抓取Ping指令發(fā)送的數(shù)

22、據(jù)包.22抓取Ping指令發(fā)送的數(shù)據(jù)包n其實(shí)其實(shí)IP報(bào)頭的所有屬性都在報(bào)頭中顯示出來(lái)，可以看出報(bào)頭的所有屬性都在報(bào)頭中顯示出來(lái)，可以看出實(shí)際抓取的數(shù)據(jù)報(bào)和理論上的數(shù)據(jù)報(bào)一致，分析如圖實(shí)際抓取的數(shù)據(jù)報(bào)和理論上的數(shù)據(jù)報(bào)一致，分析如圖2-6所示所示。.23IPv4的IP地址分類 nIPv4地址在地址在1981年年9月實(shí)現(xiàn)標(biāo)準(zhǔn)化的?；镜脑聦?shí)現(xiàn)標(biāo)準(zhǔn)化的?；镜腎P地址地址是是8位一個(gè)單元的位一個(gè)單元的32位二進(jìn)制數(shù)。為了方便人們的使位二進(jìn)制數(shù)。為了方便人們的使用，對(duì)機(jī)器友好的二進(jìn)制地址轉(zhuǎn)變?yōu)槿藗兏煜さ氖茫瑢?duì)機(jī)器友好的二進(jìn)制地址轉(zhuǎn)變?yōu)槿藗兏煜さ氖M(jìn)制地址。進(jìn)制地址。nIP地址中的每一個(gè)地址中的每一

23、個(gè)8位組用位組用0255之間的一個(gè)十進(jìn)制之間的一個(gè)十進(jìn)制數(shù)表示。這些數(shù)之間用點(diǎn)數(shù)表示。這些數(shù)之間用點(diǎn)“.”隔開，因此，最小的隔開，因此，最小的IPv4地址值為地址值為，最大的地址值為，最大的地址值為55，然而這兩個(gè)值是保留的，沒(méi)有分，然而這兩個(gè)值是保留的，沒(méi)有分配給任何系統(tǒng)。配給任何系統(tǒng)。nIP地址分成五類：地址分成五類：A類地址、類地址、B類地址、類地址、C類地址、類地址、D類地址和類地址和E類地址。類地址。n每一個(gè)每一個(gè)IP地址包括兩部分：網(wǎng)絡(luò)地址和主機(jī)地址，上地址包括兩部分：網(wǎng)絡(luò)地址和主機(jī)地址，上面五類地址對(duì)所支持的網(wǎng)絡(luò)數(shù)和主機(jī)數(shù)有不同的組合。面五

24、類地址對(duì)所支持的網(wǎng)絡(luò)數(shù)和主機(jī)數(shù)有不同的組合。.241、A類地址n一個(gè)一個(gè)A類類IP地址僅使用第一個(gè)地址僅使用第一個(gè)8位組表示網(wǎng)絡(luò)地址。剩位組表示網(wǎng)絡(luò)地址。剩下的下的3個(gè)個(gè)8位組表示主機(jī)地址。位組表示主機(jī)地址。A類地址的第一個(gè)位總類地址的第一個(gè)位總為為0，這一點(diǎn)在數(shù)學(xué)上限制了，這一點(diǎn)在數(shù)學(xué)上限制了A類地址的范圍小于類地址的范圍小于127，因此理論上僅有因此理論上僅有127個(gè)可能的個(gè)可能的A類網(wǎng)絡(luò)，而類網(wǎng)絡(luò)，而地地址又沒(méi)有分配，所以實(shí)際上只有址又沒(méi)有分配，所以實(shí)際上只有126個(gè)個(gè)A類網(wǎng)。技術(shù)上類網(wǎng)。技術(shù)上講，講，也是一個(gè)也是一個(gè)A類地址，但是它已被保留作類地址，但是

25、它已被保留作閉環(huán)（閉環(huán)（Look Back）測(cè)試之用而不能分配給一個(gè)網(wǎng)絡(luò)。）測(cè)試之用而不能分配給一個(gè)網(wǎng)絡(luò)。nA類地址后面的類地址后面的24位表示可能的主機(jī)地址，位表示可能的主機(jī)地址，A類網(wǎng)絡(luò)地類網(wǎng)絡(luò)地址的范圍從址的范圍從到到。每一個(gè)。每一個(gè)A類地址能類地址能支持支持16,777,214個(gè)不同的主機(jī)地址，這個(gè)數(shù)是由個(gè)不同的主機(jī)地址，這個(gè)數(shù)是由2的的24次方再減去次方再減去2得到的。減得到的。減2是必要的，因?yàn)槭潜匾?，因?yàn)镮P把全把全0保留為表示網(wǎng)絡(luò)而全保留為表示網(wǎng)絡(luò)而全1表示網(wǎng)絡(luò)內(nèi)的廣播地址。表示網(wǎng)絡(luò)內(nèi)的廣播地址。.252、B類地址n設(shè)計(jì)設(shè)計(jì)B類地址的目的是支持

26、中到大型的網(wǎng)絡(luò)。類地址的目的是支持中到大型的網(wǎng)絡(luò)。B類網(wǎng)絡(luò)地址類網(wǎng)絡(luò)地址范圍從范圍從到到。B類地址蘊(yùn)含的數(shù)學(xué)邏類地址蘊(yùn)含的數(shù)學(xué)邏輯是相當(dāng)簡(jiǎn)單的。輯是相當(dāng)簡(jiǎn)單的。n一個(gè)一個(gè)B類類IP地址使用兩個(gè)地址使用兩個(gè)8位組表示網(wǎng)絡(luò)號(hào)，另外兩個(gè)位組表示網(wǎng)絡(luò)號(hào)，另外兩個(gè)8位位組表示主機(jī)號(hào)。組表示主機(jī)號(hào)。B類地址的第類地址的第1個(gè)個(gè)8位組的前兩位總是設(shè)置位組的前兩位總是設(shè)置為為1和和0，剩下的，剩下的6位既可以是位既可以是0也可以是也可以是1，這樣就限制其，這樣就限制其范圍小于等于范圍小于等于191，這里的，這里的191由由128+32+16+8+4 +2+1得到。得到。

27、n最后的最后的16位（位（2個(gè)個(gè)8位組）標(biāo)識(shí)可能的主機(jī)地址。每一個(gè)位組）標(biāo)識(shí)可能的主機(jī)地址。每一個(gè)B類地址能支持類地址能支持64,534個(gè)惟一的主機(jī)地址，這個(gè)數(shù)由個(gè)惟一的主機(jī)地址，這個(gè)數(shù)由2的的16次方減次方減2得到，得到，B類網(wǎng)絡(luò)有類網(wǎng)絡(luò)有16,382個(gè)。個(gè)。.263、C類地址nC類地址用于支持大量的小型網(wǎng)絡(luò)。這類地址可以認(rèn)為與類地址用于支持大量的小型網(wǎng)絡(luò)。這類地址可以認(rèn)為與A類地類地址正好相反。址正好相反。A類地址使用第一個(gè)類地址使用第一個(gè)8位組表示網(wǎng)絡(luò)號(hào)，剩下的位組表示網(wǎng)絡(luò)號(hào)，剩下的3個(gè)個(gè)表示主機(jī)號(hào)，而表示主機(jī)號(hào)，而C類地址使用三個(gè)類地址使用三個(gè)8位組表示網(wǎng)絡(luò)地址，僅用一位組表示網(wǎng)絡(luò)地址

28、，僅用一個(gè)個(gè)8位組表示主機(jī)號(hào)。位組表示主機(jī)號(hào)。nC類地址的前類地址的前3位數(shù)為位數(shù)為110，前兩位和為，前兩位和為192(128+64)，這形成，這形成了了C類地址空間的下界。第三位等于十進(jìn)制數(shù)類地址空間的下界。第三位等于十進(jìn)制數(shù)32，這一位為，這一位為0限限制了地址空間的上界。不能使用第三位限制了此制了地址空間的上界。不能使用第三位限制了此8位組的最大值位組的最大值為為255-32等于等于223。因此。因此C類網(wǎng)絡(luò)地址范圍從類網(wǎng)絡(luò)地址范圍從至至。n最后一個(gè)最后一個(gè)8位組用于主機(jī)尋址。每一個(gè)位組用于主機(jī)尋址。每一個(gè)C類地址理論上可支持最類地址理論上可

29、支持最大大2 5 6個(gè)主機(jī)地址個(gè)主機(jī)地址(0255)，但是僅有，但是僅有254個(gè)可用，因?yàn)閭€(gè)可用，因?yàn)?和和255不是有效的主機(jī)地址?？梢杂胁皇怯行У闹鳈C(jī)地址?？梢杂?,097,150個(gè)不同的個(gè)不同的C類網(wǎng)絡(luò)類網(wǎng)絡(luò)地址。地址。n在在IP地址中，地址中，0和和255是保留的主機(jī)地址。是保留的主機(jī)地址。IP地址中所有的主機(jī)地址中所有的主機(jī)地址為地址為0用于標(biāo)識(shí)局域網(wǎng)。同樣，全為用于標(biāo)識(shí)局域網(wǎng)。同樣，全為1表示在此網(wǎng)段中的廣播表示在此網(wǎng)段中的廣播地址。地址。.274、D類地址nD類地址用于在類地址用于在IP網(wǎng)絡(luò)中的組播（網(wǎng)絡(luò)中的組播（Multicasting）。）。D類組播類組播地址機(jī)制僅有有限的用

30、處。一個(gè)組播地址是一個(gè)惟一的網(wǎng)絡(luò)地址機(jī)制僅有有限的用處。一個(gè)組播地址是一個(gè)惟一的網(wǎng)絡(luò)地址。它能指導(dǎo)報(bào)文到達(dá)預(yù)定義的地址。它能指導(dǎo)報(bào)文到達(dá)預(yù)定義的IP地址組。地址組。n因此，一臺(tái)機(jī)器可以把數(shù)據(jù)流同時(shí)發(fā)送到多個(gè)接收端，這比因此，一臺(tái)機(jī)器可以把數(shù)據(jù)流同時(shí)發(fā)送到多個(gè)接收端，這比為每個(gè)接收端創(chuàng)建一個(gè)不同的流有效得多。組播長(zhǎng)期以來(lái)被為每個(gè)接收端創(chuàng)建一個(gè)不同的流有效得多。組播長(zhǎng)期以來(lái)被認(rèn)為是認(rèn)為是IP網(wǎng)絡(luò)最理想的特性，因?yàn)樗行У販p小了網(wǎng)絡(luò)流量。網(wǎng)絡(luò)最理想的特性，因?yàn)樗行У販p小了網(wǎng)絡(luò)流量。nD類地址空間，和其他地址空間一樣，有其數(shù)學(xué)限制，類地址空間，和其他地址空間一樣，有其數(shù)學(xué)限制，D類地類地址的前址的前

31、4位恒為位恒為1110，預(yù)置前，預(yù)置前3位為位為1意味著意味著D類地址開始于類地址開始于128+64+32等于等于224。第。第4位為位為0意味著意味著D類地址的最大值類地址的最大值為為128+64+32+8+4+2+1為為239，因此，因此D類地址空間的范類地址空間的范圍從圍從到到239.255.2 55.254。.285、E類地址nE類地址雖被定義為保留研究之用。因此類地址雖被定義為保留研究之用。因此Internet上沒(méi)有可用的上沒(méi)有可用的E類地址。類地址。nE類地址的前類地址的前4位為位為1，因此有效的地址，因此有效的地址范圍從范圍從至至255.255

32、.255.255。.29子網(wǎng)掩碼n子網(wǎng)掩碼是用來(lái)判斷任意兩臺(tái)計(jì)算機(jī)的子網(wǎng)掩碼是用來(lái)判斷任意兩臺(tái)計(jì)算機(jī)的IP地址是否地址是否屬于同一子網(wǎng)絡(luò)的根據(jù)。屬于同一子網(wǎng)絡(luò)的根據(jù)。n最為簡(jiǎn)單的理解就是兩臺(tái)計(jì)算機(jī)各自的最為簡(jiǎn)單的理解就是兩臺(tái)計(jì)算機(jī)各自的IP地址與子地址與子網(wǎng)掩碼進(jìn)行二進(jìn)制網(wǎng)掩碼進(jìn)行二進(jìn)制“與與”（AND）運(yùn)算后，如果得）運(yùn)算后，如果得出的結(jié)果是相同的，則說(shuō)明這兩臺(tái)計(jì)算機(jī)是處于同出的結(jié)果是相同的，則說(shuō)明這兩臺(tái)計(jì)算機(jī)是處于同一個(gè)子網(wǎng)絡(luò)上的，可以進(jìn)行直接的通訊。一個(gè)子網(wǎng)絡(luò)上的，可以進(jìn)行直接的通訊。n計(jì)算機(jī)計(jì)算機(jī)A的的IP地址為地址為，子網(wǎng)掩碼為，子網(wǎng)掩碼為255.255.255

33、.0，將轉(zhuǎn)化為二進(jìn)制進(jìn)行，將轉(zhuǎn)化為二進(jìn)制進(jìn)行“與與”運(yùn)運(yùn)算，運(yùn)算過(guò)程如表算，運(yùn)算過(guò)程如表2-3所示。所示。.30子網(wǎng)掩碼n計(jì)算機(jī)計(jì)算機(jī)A的的IP地址為地址為，子網(wǎng)掩碼為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進(jìn)制進(jìn)行將轉(zhuǎn)化為二進(jìn)制進(jìn)行“與與”運(yùn)算，運(yùn)算過(guò)程如表運(yùn)算，運(yùn)算過(guò)程如表2-3所示。所示。IP地址地址11010000.10101000.00000000.00000001子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位地址與子網(wǎng)掩碼按位“與與”運(yùn)運(yùn)算算11000000.10101000.000000

34、00.00000000運(yùn)算的結(jié)果轉(zhuǎn)化為十進(jìn)制運(yùn)算的結(jié)果轉(zhuǎn)化為十進(jìn)制.31子網(wǎng)掩碼n計(jì)算機(jī)B的IP地址為54，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進(jìn)制進(jìn)行“與”運(yùn)算。運(yùn)算過(guò)程如表2-4所示。IP地址地址11010000.10101000.00000000.11111110子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位地址與子網(wǎng)掩碼按位“與與”運(yùn)算運(yùn)算11000000.10101000.00000000.00000000運(yùn)算的結(jié)果轉(zhuǎn)化為十進(jìn)制運(yùn)算的結(jié)果轉(zhuǎn)化為十進(jìn)制192.168.0

35、.0.32子網(wǎng)掩碼n計(jì)算機(jī)C的IP地址為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進(jìn)制進(jìn)行“與”運(yùn)算。運(yùn)算過(guò)程如表2-5所示。IP地址地址11010000.10101000.00000000. 00000100子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼地址與子網(wǎng)掩碼按位按位“與與”運(yùn)算運(yùn)算11000000.10101000.00000000.00000000運(yùn)算的結(jié)果轉(zhuǎn)化為運(yùn)算的結(jié)果轉(zhuǎn)化為十進(jìn)制十進(jìn)制.33傳輸控制協(xié)議協(xié)議TCP nTCP是傳輸層協(xié)議，提供可靠的應(yīng)用數(shù)是傳輸層協(xié)議，

36、提供可靠的應(yīng)用數(shù)據(jù)傳輸。據(jù)傳輸。nTCP在兩個(gè)或多個(gè)主機(jī)之間建立面向連在兩個(gè)或多個(gè)主機(jī)之間建立面向連接的通信。接的通信。nTCP支持多數(shù)據(jù)流操作，提供錯(cuò)誤控制，支持多數(shù)據(jù)流操作，提供錯(cuò)誤控制，甚至完成對(duì)亂序到達(dá)的報(bào)文進(jìn)行重新排甚至完成對(duì)亂序到達(dá)的報(bào)文進(jìn)行重新排序。序。.34TCP協(xié)議的頭結(jié)構(gòu) n和和IP一樣，一樣，TCP的功能受限于其頭中攜帶的信息。的功能受限于其頭中攜帶的信息。因此理解因此理解TCP的機(jī)制和功能需要了解的機(jī)制和功能需要了解TCP頭中的頭中的內(nèi)容，表內(nèi)容，表2-6顯示了顯示了TCP頭結(jié)構(gòu)。頭結(jié)構(gòu)。來(lái)源端口（來(lái)源端口（2字節(jié)）字節(jié)）目的端口（目的端口（2字節(jié)）字節(jié)）序號(hào)（序號(hào)（4

37、字節(jié)）字節(jié)）確認(rèn)序號(hào)（確認(rèn)序號(hào)（4字節(jié)）字節(jié)）頭長(zhǎng)度（頭長(zhǎng)度（4位）位）保留（保留（6位）位）URGACKPSHRSTSYNPIN窗口大小（窗口大?。?字節(jié)）字節(jié)）校驗(yàn)和（校驗(yàn)和（16位）位）緊急指針（緊急指針（16位）位）選項(xiàng)（可選）選項(xiàng)（可選）數(shù)據(jù)數(shù)據(jù).35TCP協(xié)議的頭結(jié)構(gòu)nTCP協(xié)議的頭結(jié)構(gòu)都是固定的，對(duì)表協(xié)議的頭結(jié)構(gòu)都是固定的，對(duì)表2-6說(shuō)明如下：說(shuō)明如下：n（1）TCP源端口（源端口（Source Port）：）：16位的源端口包含初始化通信的端口號(hào)。源端口和位的源端口包含初始化通信的端口號(hào)。源端口和IP地地址的作用是標(biāo)識(shí)報(bào)文的返回地址。址的作用是標(biāo)識(shí)報(bào)文的返回地址。n（2）TCP

38、目的端口（目的端口（Destination Port）：）：16位的目的端口域定義傳輸?shù)哪康?。這個(gè)端口指位的目的端口域定義傳輸?shù)哪康摹＿@個(gè)端口指明報(bào)文接收計(jì)算機(jī)上的應(yīng)用程序地址接口。明報(bào)文接收計(jì)算機(jī)上的應(yīng)用程序地址接口。n（3）序列號(hào)（）序列號(hào)（Sequence Number）：）：TCP連線發(fā)送方向接收方的封包順序號(hào)。連線發(fā)送方向接收方的封包順序號(hào)。n（4）確認(rèn)序號(hào)（）確認(rèn)序號(hào)（Acknowledge Number）：接收方回發(fā)的應(yīng)答順序號(hào)。）：接收方回發(fā)的應(yīng)答順序號(hào)。n（5）頭長(zhǎng)度（）頭長(zhǎng)度（Header Length）：表示）：表示TCP頭的雙四字節(jié)數(shù)，如果轉(zhuǎn)化為字節(jié)個(gè)數(shù)需要乘以頭的雙四

39、字節(jié)數(shù)，如果轉(zhuǎn)化為字節(jié)個(gè)數(shù)需要乘以4。n（6）URG：是否使用緊急指針，：是否使用緊急指針，0為不使用，為不使用，1為使用。為使用。n（7）ACK：請(qǐng)求：請(qǐng)求/應(yīng)答狀態(tài)。應(yīng)答狀態(tài)。0為請(qǐng)求，為請(qǐng)求，1為應(yīng)答。為應(yīng)答。n（8）PSH：以最快的速度傳輸數(shù)據(jù)。：以最快的速度傳輸數(shù)據(jù)。n（9）RST：連線復(fù)位，首先斷開連接，然后重建。：連線復(fù)位，首先斷開連接，然后重建。n（10）SYN：同步連線序號(hào)，用來(lái)建立連線。：同步連線序號(hào)，用來(lái)建立連線。n（11）FIN：結(jié)束連線。如果：結(jié)束連線。如果FIN為為0是結(jié)束連線請(qǐng)求，是結(jié)束連線請(qǐng)求，F(xiàn)IN為為1表示結(jié)束連線。表示結(jié)束連線。n（12）窗口大小（）窗口大

40、小（Window）：目的機(jī)使用）：目的機(jī)使用16位的域告訴源主機(jī)，它想收到的每個(gè)位的域告訴源主機(jī)，它想收到的每個(gè)TCP數(shù)據(jù)數(shù)據(jù)段大小。段大小。n（13）校驗(yàn)和（）校驗(yàn)和（Check Sum）：這個(gè)校驗(yàn)和和）：這個(gè)校驗(yàn)和和IP的校驗(yàn)和有所不同，不僅對(duì)頭數(shù)據(jù)進(jìn)行校驗(yàn)的校驗(yàn)和有所不同，不僅對(duì)頭數(shù)據(jù)進(jìn)行校驗(yàn)還對(duì)封包內(nèi)容校驗(yàn)。還對(duì)封包內(nèi)容校驗(yàn)。n（14）緊急指針（）緊急指針（Urgent Pointer）：當(dāng)）：當(dāng)URG為為1的時(shí)候才有效。的時(shí)候才有效。TCP的緊急方式是發(fā)送緊的緊急方式是發(fā)送緊急數(shù)據(jù)的一種方式。急數(shù)據(jù)的一種方式。.36一次完整的FTP會(huì)話 n首先開啟目標(biāo)主機(jī)的首先開啟目標(biāo)主機(jī)的FTP服

41、務(wù)，如圖服務(wù)，如圖2-7所示。所示。 .37一次完整的FTP會(huì)話n啟動(dòng)啟動(dòng)Sniffer，然后在主機(jī)的，然后在主機(jī)的DOS命令行下利用命令行下利用FTP指指令連接目標(biāo)主機(jī)上的令連接目標(biāo)主機(jī)上的FTP服務(wù)器，連接過(guò)程如圖服務(wù)器，連接過(guò)程如圖2-8所所示。示。.38一次完整的FTP會(huì)話.39一次完整的FTP會(huì)話n登錄登錄FTP的過(guò)程是一次典型的的過(guò)程是一次典型的TCP連接，因?yàn)檫B接，因?yàn)镕TP服務(wù)使用服務(wù)使用的是的是TCP協(xié)議。分析協(xié)議。分析TCP報(bào)頭的結(jié)構(gòu)如圖報(bào)頭的結(jié)構(gòu)如圖2-10所示。所示。.40傳輸控制協(xié)議（TCP）的特點(diǎn)n傳輸控制協(xié)議（傳輸控制協(xié)議（TCP）的特點(diǎn)是：提供可靠的、）的特點(diǎn)是

42、：提供可靠的、面向連接的數(shù)據(jù)報(bào)傳遞服務(wù)。面向連接的數(shù)據(jù)報(bào)傳遞服務(wù)。n傳輸控制協(xié)議可以做到如下的六點(diǎn)：傳輸控制協(xié)議可以做到如下的六點(diǎn)：n1、確保、確保IP數(shù)據(jù)報(bào)的成功傳遞。數(shù)據(jù)報(bào)的成功傳遞。n2、對(duì)程序發(fā)送的大塊數(shù)據(jù)進(jìn)行分段和重組。、對(duì)程序發(fā)送的大塊數(shù)據(jù)進(jìn)行分段和重組。n3、確保正確排序以及按順序傳遞分段的數(shù)據(jù)。、確保正確排序以及按順序傳遞分段的數(shù)據(jù)。n4、通過(guò)計(jì)算校驗(yàn)和，進(jìn)行傳輸數(shù)據(jù)的完整性檢查。、通過(guò)計(jì)算校驗(yàn)和，進(jìn)行傳輸數(shù)據(jù)的完整性檢查。n5、根據(jù)數(shù)據(jù)是否接收成功發(fā)送消息。通過(guò)有選擇的確、根據(jù)數(shù)據(jù)是否接收成功發(fā)送消息。通過(guò)有選擇的確認(rèn)，也對(duì)沒(méi)有收到的數(shù)據(jù)發(fā)送確認(rèn)。認(rèn)，也對(duì)沒(méi)有收到的數(shù)據(jù)發(fā)送確

43、認(rèn)。n6、為必須使用可靠的基于會(huì)話的數(shù)據(jù)傳輸?shù)某绦蛱峁?、為必須使用可靠的基于?huì)話的數(shù)據(jù)傳輸?shù)某绦蛱峁┲С郑鐢?shù)據(jù)庫(kù)服務(wù)和電子郵件服務(wù)。支持，如數(shù)據(jù)庫(kù)服務(wù)和電子郵件服務(wù)。.41TCP協(xié)議的工作原理 nTCP提供兩個(gè)網(wǎng)絡(luò)主機(jī)之間的點(diǎn)對(duì)點(diǎn)通訊。提供兩個(gè)網(wǎng)絡(luò)主機(jī)之間的點(diǎn)對(duì)點(diǎn)通訊。TCP從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。n首先將字節(jié)分成段，然后對(duì)段進(jìn)行編號(hào)和排序以首先將字節(jié)分成段，然后對(duì)段進(jìn)行編號(hào)和排序以便傳輸。在兩個(gè)便傳輸。在兩個(gè)TCP主機(jī)之間交換數(shù)據(jù)之前，必主機(jī)之間交換數(shù)據(jù)之前，必須先相互建立會(huì)話。須先相互建立會(huì)話。TCP會(huì)話通過(guò)三次握手的完會(huì)話通過(guò)三次握手

44、的完成初始化。這個(gè)過(guò)程使序號(hào)同步，并提供在兩個(gè)成初始化。這個(gè)過(guò)程使序號(hào)同步，并提供在兩個(gè)主機(jī)之間建立虛擬連接所需的控制信息。主機(jī)之間建立虛擬連接所需的控制信息。nTCP在建立連接的時(shí)候需要三次確認(rèn)，俗稱在建立連接的時(shí)候需要三次確認(rèn)，俗稱“三三次握手次握手”，在斷開連接的時(shí)候需要四次確認(rèn)，俗，在斷開連接的時(shí)候需要四次確認(rèn)，俗稱稱“四次揮手四次揮手”。.42TCP協(xié)議的三次“握手” .43TCP協(xié)議的三次“握手”n這個(gè)過(guò)程在這個(gè)過(guò)程在FTP的會(huì)話過(guò)程中也明顯的顯示出的會(huì)話過(guò)程中也明顯的顯示出來(lái)，如圖來(lái)，如圖2-12所示。所示。.44第一次“握手” n首先分析建立首先分析建立“握手握手”第一個(gè)過(guò)程包

45、的第一個(gè)過(guò)程包的結(jié)構(gòu)，如圖結(jié)構(gòu)，如圖2-13所示。所示。.45第二次“握手” nSYN為為1，開始建立請(qǐng)求連接，需要對(duì)方計(jì)算機(jī)確認(rèn)，對(duì)方，開始建立請(qǐng)求連接，需要對(duì)方計(jì)算機(jī)確認(rèn)，對(duì)方計(jì)算機(jī)確認(rèn)返回的數(shù)據(jù)包如圖計(jì)算機(jī)確認(rèn)返回的數(shù)據(jù)包如圖2-14所示。所示。 .46第三次“握手” n對(duì)方計(jì)算機(jī)返回的數(shù)據(jù)包中對(duì)方計(jì)算機(jī)返回的數(shù)據(jù)包中ACK為為1并且并且SYN為為1，說(shuō)明同，說(shuō)明同意連接。意連接。n這個(gè)時(shí)候需要源計(jì)算機(jī)的確認(rèn)就可以建立連接了。確認(rèn)數(shù)這個(gè)時(shí)候需要源計(jì)算機(jī)的確認(rèn)就可以建立連接了。確認(rèn)數(shù)據(jù)包的結(jié)構(gòu)如圖據(jù)包的結(jié)構(gòu)如圖2-15所示。所示。 .47TCP協(xié)議的四次“揮手” n需要斷開連接的時(shí)候，需要

46、斷開連接的時(shí)候，TCP也需要互相確認(rèn)才可以斷也需要互相確認(rèn)才可以斷開連接，四次交互過(guò)程如圖開連接，四次交互過(guò)程如圖2-16所示。所示。.48第一次“揮手” n第一次交互過(guò)程的數(shù)據(jù)報(bào)結(jié)構(gòu)如圖第一次交互過(guò)程的數(shù)據(jù)報(bào)結(jié)構(gòu)如圖2-17所示。所示。.49第二次“揮手” n第一次交互中，首先發(fā)送一個(gè)第一次交互中，首先發(fā)送一個(gè)FIN=1的請(qǐng)求，要求斷開，的請(qǐng)求，要求斷開，目標(biāo)主機(jī)在得到請(qǐng)求后發(fā)送目標(biāo)主機(jī)在得到請(qǐng)求后發(fā)送ACK=1進(jìn)行確認(rèn)，如圖進(jìn)行確認(rèn)，如圖2-18所所示。示。 .50第三次“揮手” n在確認(rèn)信息發(fā)出后，就發(fā)送了一個(gè)FIN=1的包，與源主機(jī)斷開，如圖2-19所示。 .51第四次“揮手” n隨后

47、源主機(jī)返回一條ACK=1的信息，這樣一次完整的TCP會(huì)話就結(jié)束了。如圖2-20所示。.52用戶數(shù)據(jù)報(bào)協(xié)議UDP nUDP為應(yīng)用程序提供發(fā)送和接收數(shù)據(jù)報(bào)為應(yīng)用程序提供發(fā)送和接收數(shù)據(jù)報(bào)的功能。的功能。n某些程序（比如騰訊的某些程序（比如騰訊的OICQ）使用的是）使用的是UDP協(xié)議，協(xié)議，UDP協(xié)議在協(xié)議在TCP/IP主機(jī)之主機(jī)之間建立快速、輕便、不可靠的數(shù)據(jù)傳輸間建立快速、輕便、不可靠的數(shù)據(jù)傳輸通道。通道。 .53UDP和TCP的區(qū)別 nUDP提供的是非連接的數(shù)據(jù)報(bào)服務(wù)，意味著提供的是非連接的數(shù)據(jù)報(bào)服務(wù)，意味著UDP無(wú)法無(wú)法保證任何數(shù)據(jù)報(bào)的傳遞和驗(yàn)證。保證任何數(shù)據(jù)報(bào)的傳遞和驗(yàn)證。nUDP的結(jié)構(gòu)如圖

48、的結(jié)構(gòu)如圖2-21所示。所示。 .54UDP和TCP傳遞數(shù)據(jù)的差異nUDP和和TCP傳遞數(shù)據(jù)的差異類似于電話和傳遞數(shù)據(jù)的差異類似于電話和明信片之間的差異。明信片之間的差異。nTCP就像電話，必須先驗(yàn)證目標(biāo)是否可以訪問(wèn)后才就像電話，必須先驗(yàn)證目標(biāo)是否可以訪問(wèn)后才開始通訊。開始通訊。nUDP就像明信片，信息量很小而且每次傳遞成功的就像明信片，信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功?？赡苄院芨?，但是不能完全保證傳遞成功。nUDP通常由每次傳輸少量數(shù)據(jù)或有實(shí)時(shí)需通常由每次傳輸少量數(shù)據(jù)或有實(shí)時(shí)需要的程序使用。要的程序使用。n在這些情況下，在這些情況下，UDP 的低開銷比的低開銷

49、比TCP 更適更適合。合。UDP 與與TCP 提供的服務(wù)和功能直接對(duì)提供的服務(wù)和功能直接對(duì)比比 .55UDP和TCP傳遞數(shù)據(jù)的比較 UDP協(xié)議協(xié)議TCP協(xié)議協(xié)議無(wú)連接的服務(wù)；在主機(jī)之間不建立會(huì)無(wú)連接的服務(wù)；在主機(jī)之間不建立會(huì)話。話。面向連接的服務(wù)；在主機(jī)之間建立會(huì)話。面向連接的服務(wù)；在主機(jī)之間建立會(huì)話。UDP不能確保或承認(rèn)數(shù)據(jù)傳遞或序列不能確?；虺姓J(rèn)數(shù)據(jù)傳遞或序列化數(shù)據(jù)?；瘮?shù)據(jù)。TCP 通過(guò)確認(rèn)和按順序傳遞數(shù)據(jù)來(lái)確保數(shù)據(jù)通過(guò)確認(rèn)和按順序傳遞數(shù)據(jù)來(lái)確保數(shù)據(jù)的傳遞。的傳遞。使用使用 UDP 的程序負(fù)責(zé)提供傳輸數(shù)據(jù)所的程序負(fù)責(zé)提供傳輸數(shù)據(jù)所需的可靠性。需的可靠性。使用使用 TCP 的程序能確?？煽康?/p>

50、數(shù)據(jù)傳輸。的程序能確?？煽康臄?shù)據(jù)傳輸。UDP快速，具有低開銷要求，并支持快速，具有低開銷要求，并支持點(diǎn)對(duì)點(diǎn)和一點(diǎn)對(duì)多點(diǎn)的通訊。點(diǎn)對(duì)點(diǎn)和一點(diǎn)對(duì)多點(diǎn)的通訊。TCP 比較慢，有更高的開銷要求，而且只支比較慢，有更高的開銷要求，而且只支持點(diǎn)對(duì)點(diǎn)通訊。持點(diǎn)對(duì)點(diǎn)通訊。UDP 和和 TCP 都使用端口標(biāo)識(shí)每個(gè)都使用端口標(biāo)識(shí)每個(gè) TCP/IP 程序的通訊。程序的通訊。.56 UDP協(xié)議的頭結(jié)構(gòu) nUDP的頭結(jié)構(gòu)比較簡(jiǎn)單，如表2-8所示。 源端口（源端口（2字節(jié)）字節(jié)）目的端口（目的端口（2字節(jié)）字節(jié)）封報(bào)長(zhǎng)度（封報(bào)長(zhǎng)度（2字節(jié)）字節(jié)）校驗(yàn)和（校驗(yàn)和（2字節(jié)）字節(jié)）數(shù)據(jù)數(shù)據(jù).57UDP的頭結(jié)構(gòu) n（1）源端口（

51、）源端口（Source Port）：）：16位的源端口域包位的源端口域包含初始化通信的端口號(hào)。源端口和含初始化通信的端口號(hào)。源端口和IP地址的作用是標(biāo)地址的作用是標(biāo)識(shí)報(bào)文的返回地址。識(shí)報(bào)文的返回地址。n（2）目的端口（）目的端口（Destination Port）：）：6位的目的端位的目的端口域定義傳輸?shù)哪康?。這個(gè)端口指明報(bào)文接收計(jì)算機(jī)口域定義傳輸?shù)哪康?。這個(gè)端口指明報(bào)文接收計(jì)算機(jī)上的應(yīng)用程序地址接口。上的應(yīng)用程序地址接口。n（3）封包長(zhǎng)度（）封包長(zhǎng)度（Length）：）：UDP頭和數(shù)據(jù)的總長(zhǎng)度。頭和數(shù)據(jù)的總長(zhǎng)度。n（4）校驗(yàn)和（）校驗(yàn)和（Check Sum）：和）：和TCP和校驗(yàn)和一樣，和校

52、驗(yàn)和一樣，不僅對(duì)頭數(shù)據(jù)進(jìn)行校驗(yàn)，還對(duì)包的內(nèi)容進(jìn)行校驗(yàn)。不僅對(duì)頭數(shù)據(jù)進(jìn)行校驗(yàn)，還對(duì)包的內(nèi)容進(jìn)行校驗(yàn)。.58UDP數(shù)據(jù)報(bào)分析 n常用的網(wǎng)絡(luò)服務(wù)中，常用的網(wǎng)絡(luò)服務(wù)中，DNS使用使用UDP協(xié)議。協(xié)議。DNS是域名系統(tǒng)是域名系統(tǒng) (Domain Name System)的縮寫的縮寫n當(dāng)用戶在應(yīng)用程序中輸入當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時(shí)，名稱時(shí)，DNS服服務(wù)可以將此名稱解析為與此名稱相關(guān)的務(wù)可以將此名稱解析為與此名稱相關(guān)的IP地址。地址。.59設(shè)置DNS解析n需要在主機(jī)上設(shè)置需要在主機(jī)上設(shè)置DNS解析的主機(jī)，將主機(jī)的解析的主機(jī)，將主機(jī)的DNS的解析的解析指向虛擬機(jī)，如圖指向虛擬機(jī)，如圖2-22所示。所

53、示。.60設(shè)置DNS解析n雖然虛擬機(jī)并沒(méi)有設(shè)置雖然虛擬機(jī)并沒(méi)有設(shè)置DNS解析，但是只要訪問(wèn)解析，但是只要訪問(wèn)DNS都可以抓到都可以抓到UDP數(shù)據(jù)數(shù)據(jù)報(bào)。設(shè)置完畢后，在主機(jī)的報(bào)。設(shè)置完畢后，在主機(jī)的DOS界面中輸入命令界面中輸入命令nslookup，如圖，如圖2-23所所示。示。.61UDP報(bào)頭n查看查看Sniffer抓取的數(shù)據(jù)報(bào)，可以看到抓取的數(shù)據(jù)報(bào)，可以看到UDP報(bào)頭，如圖報(bào)頭，如圖2-24所示。所示。.62UDP報(bào)頭的分析n對(duì)對(duì)UDP報(bào)頭的分析如圖報(bào)頭的分析如圖2-25所示所示。.63互聯(lián)網(wǎng)控制消息協(xié)議ICMP n通過(guò)通過(guò)ICMP協(xié)議，主機(jī)和路由器可以報(bào)告錯(cuò)誤協(xié)議，主機(jī)和路由器可以報(bào)告錯(cuò)誤

54、并交換相關(guān)的狀態(tài)信息。在下列情況中，通常并交換相關(guān)的狀態(tài)信息。在下列情況中，通常自動(dòng)發(fā)送自動(dòng)發(fā)送ICMP消息：消息：nIP數(shù)據(jù)報(bào)無(wú)法訪問(wèn)目標(biāo)。數(shù)據(jù)報(bào)無(wú)法訪問(wèn)目標(biāo)。nIP路由器（網(wǎng)關(guān)）無(wú)法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)路由器（網(wǎng)關(guān)）無(wú)法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)。報(bào)。nIP路由器將發(fā)送主機(jī)重定向?yàn)槭褂酶玫牡竭_(dá)目標(biāo)路由器將發(fā)送主機(jī)重定向?yàn)槭褂酶玫牡竭_(dá)目標(biāo)的路。的路。nICMP協(xié)議的結(jié)構(gòu)如圖協(xié)議的結(jié)構(gòu)如圖2-26所示。所示。.64ICMP協(xié)議的結(jié)構(gòu) .65ICMP協(xié)議的頭結(jié)構(gòu) nICMP頭結(jié)構(gòu)比較簡(jiǎn)單，如表頭結(jié)構(gòu)比較簡(jiǎn)單，如表2-9所示。所示。類型（類型（8位）位） 代碼（代碼（8位）位）校驗(yàn)和（校驗(yàn)

55、和（8位）位）類型或者代碼類型或者代碼.66ICMP數(shù)據(jù)報(bào)分析 n使用使用Ping命令發(fā)送命令發(fā)送ICMP回應(yīng)請(qǐng)求消息，使用回應(yīng)請(qǐng)求消息，使用Ping命令，可命令，可以檢測(cè)網(wǎng)絡(luò)或主機(jī)通訊故障并解決常見的以檢測(cè)網(wǎng)絡(luò)或主機(jī)通訊故障并解決常見的TCP/IP連接問(wèn)題。連接問(wèn)題。分析分析Ping指令的數(shù)據(jù)報(bào)，如圖指令的數(shù)據(jù)報(bào)，如圖2-27所示。所示。 .67FTP服務(wù) nFTP的缺省端口是的缺省端口是20（用于數(shù)據(jù)傳輸）和（用于數(shù)據(jù)傳輸）和21（用于命令傳輸）。（用于命令傳輸）。n在在TCP/IP中中FTP是非常獨(dú)特的，因?yàn)槊钍欠浅＊?dú)特的，因?yàn)槊詈蛿?shù)據(jù)能夠同時(shí)傳輸，而數(shù)據(jù)傳輸是實(shí)時(shí)的，和數(shù)據(jù)能夠同時(shí)

56、傳輸，而數(shù)據(jù)傳輸是實(shí)時(shí)的，其他協(xié)議不具有這個(gè)特性。其他協(xié)議不具有這個(gè)特性。nFTP客戶端可以是命令界面的也可以是圖形客戶端可以是命令界面的也可以是圖形界面的。命令界面的如圖界面的。命令界面的如圖2-28所示。所示。.68命令行等錄FTP服務(wù)器 .69圖形界面登錄FTP服務(wù)器 n也可以在瀏覽器中輸入也可以在瀏覽器中輸入“ftp:/主機(jī)主機(jī)IP地地址址”，利用圖形界面連接，利用圖形界面連接FTP服務(wù)器，如圖服務(wù)器，如圖2-29所示。所示。.70更改登錄用戶信息n登錄登錄FTP可以更改登錄用戶信息，選擇菜單可以更改登錄用戶信息，選擇菜單“文件文件”下的菜單項(xiàng)下的菜單項(xiàng)“登錄登錄”，出現(xiàn)用戶名，出現(xiàn)用

57、戶名輸入對(duì)話框，如圖輸入對(duì)話框，如圖2-30所示。所示。.71 Telnet服務(wù) nTelnet是是TELecommunications NETwork的縮寫，其名字具有雙重含義，的縮寫，其名字具有雙重含義，既指應(yīng)用也是指協(xié)議自身。既指應(yīng)用也是指協(xié)議自身。nTelnet給用戶提供了一種通過(guò)網(wǎng)絡(luò)登錄給用戶提供了一種通過(guò)網(wǎng)絡(luò)登錄遠(yuǎn)程服務(wù)器的方式。遠(yuǎn)程服務(wù)器的方式。nTelnet通過(guò)端口通過(guò)端口23工作。工作。.72開啟Telnet服務(wù)nTelnet要求有一個(gè)要求有一個(gè)Telnet服務(wù)器，此服務(wù)器駐留在主機(jī)上，服務(wù)器，此服務(wù)器駐留在主機(jī)上，等待著遠(yuǎn)端機(jī)器的授權(quán)登錄。要使用等待著遠(yuǎn)端機(jī)器的授權(quán)登錄。要

58、使用Telnet服務(wù)首先需要在服務(wù)首先需要在虛擬機(jī)上開啟虛擬機(jī)上開啟Telnet服務(wù)，選擇進(jìn)入服務(wù)，選擇進(jìn)入Telnet服務(wù)管理器，服務(wù)管理器，如圖如圖2-31所示。所示。.73開啟Telnet服務(wù)n在在Telnet服務(wù)管理器中選擇服務(wù)管理器中選擇4，啟動(dòng)，啟動(dòng)Telnet服務(wù)器，如圖服務(wù)器，如圖2-32所示。所示。.74連接Telnet服務(wù)器n虛擬機(jī)上的虛擬機(jī)上的Telnet服務(wù)器就啟動(dòng)了，然后在主機(jī)的服務(wù)器就啟動(dòng)了，然后在主機(jī)的DOS窗口中連接虛擬機(jī)的窗口中連接虛擬機(jī)的Telnet服務(wù)器，如圖服務(wù)器，如圖2-33所所示。示。.75Email服務(wù)n目前目前Email服務(wù)用的兩個(gè)主要的協(xié)議是：

59、簡(jiǎn)服務(wù)用的兩個(gè)主要的協(xié)議是：簡(jiǎn)單郵件傳輸協(xié)議單郵件傳輸協(xié)議SMTP（Simple Mail Transfer Protocol）和郵局協(xié)議）和郵局協(xié)議POP3（Post Office Protocol）。）。nSMTP默認(rèn)占用默認(rèn)占用25端口，用來(lái)發(fā)送郵件，端口，用來(lái)發(fā)送郵件，POP3占用占用110端口，用來(lái)接收郵件。端口，用來(lái)接收郵件。n在在Windows平臺(tái)下，主要利用平臺(tái)下，主要利用Microsoft Exchange Server作為電子郵件服務(wù)器。作為電子郵件服務(wù)器。.76Web服務(wù)nWeb服務(wù)是目前最常用的服務(wù)，使用服務(wù)是目前最常用的服務(wù)，使用HTTP協(xié)議，默認(rèn)協(xié)議，默認(rèn)Web服務(wù)

60、占用服務(wù)占用80端口端口n在在Windows平臺(tái)下一般使用平臺(tái)下一般使用IIS（Internet Information Server）作為）作為Web服務(wù)器。服務(wù)器。.77常用的網(wǎng)絡(luò)服務(wù)端口 n常用服務(wù)端口列表 端口端口協(xié)議協(xié)議服務(wù)服務(wù)21TCPFTP服務(wù)服務(wù)25TCPSMTP服務(wù)服務(wù)53 TCP/UDPDNS服務(wù)服務(wù)80TCPWeb服務(wù)服務(wù)135TCPRPC服務(wù)服務(wù)137UDPNetBIOS域名服務(wù)域名服務(wù)138UDPNetBIOS數(shù)據(jù)報(bào)服務(wù)數(shù)據(jù)報(bào)服務(wù)139TCPNetBIOS會(huì)話服務(wù)會(huì)話服務(wù)443TCP基于基于SSL的的HTTP服務(wù)服務(wù)445TCP/UDPMicrosoft SMB服務(wù)服