計算機網(wǎng)絡安全教程Chapter（課堂PPT）

1、.1第二章 網(wǎng)絡安全協(xié)議基礎 .2內(nèi)容提要n本章介紹OSI七層網(wǎng)絡模型nTCP/IP協(xié)議簇。n重點介紹IP協(xié)議、TCP協(xié)議、UDP協(xié)議和ICMP協(xié)議。n介紹常用的網(wǎng)絡服務：文件傳輸服務、Telnet服務、電子郵件服務和、Web服務n介紹常用的網(wǎng)絡服務端口和常用的網(wǎng)絡命令的使用。.3OSI參考模型 nOSI參考模型是國際標準化組織參考模型是國際標準化組織ISO(International Standards Organization )制定的模型，把計算機與計算制定的模型，把計算機與計算機之間的通信分成七個互相連接的協(xié)議層，結(jié)構(gòu)如圖機之間的通信分成七個互相連接的協(xié)議層，結(jié)構(gòu)如圖2-1所所示。示。

2、.4OSI參考模型n很少有產(chǎn)品是完全的很少有產(chǎn)品是完全的OSI模式，然而模式，然而OSI參考模型為網(wǎng)絡的結(jié)構(gòu)提供了可行參考模型為網(wǎng)絡的結(jié)構(gòu)提供了可行的機制。的機制。nOSI模型將通信會話需要的各種進程劃模型將通信會話需要的各種進程劃分成分成7個相對獨立的層次。個相對獨立的層次。.51、物理層（Physical Layer）n最底層是物理層，這一層負責傳送比特流，它從第最底層是物理層，這一層負責傳送比特流，它從第二層數(shù)據(jù)鏈路層接收數(shù)據(jù)幀，并將幀的結(jié)構(gòu)和內(nèi)容二層數(shù)據(jù)鏈路層接收數(shù)據(jù)幀，并將幀的結(jié)構(gòu)和內(nèi)容串行發(fā)送，即每次發(fā)送一個比特。串行發(fā)送，即每次發(fā)送一個比特。n物理層只能看見物理層只能看見0和和1

3、，只與電信號技術(shù)和光信號，只與電信號技術(shù)和光信號技術(shù)的物理特征相關(guān)。這些特征包括用于傳輸信號技術(shù)的物理特征相關(guān)。這些特征包括用于傳輸信號電流的電壓、介質(zhì)類型以及阻抗特征。該層的傳輸電流的電壓、介質(zhì)類型以及阻抗特征。該層的傳輸介質(zhì)是同軸電纜、光纖、雙絞線等，有時該層被稱介質(zhì)是同軸電纜、光纖、雙絞線等，有時該層被稱為為OSI參考模型的第參考模型的第0層。層。n物理層可能受到的安全威脅是搭線竊聽和監(jiān)聽，可物理層可能受到的安全威脅是搭線竊聽和監(jiān)聽，可以利用數(shù)據(jù)加密、數(shù)據(jù)標簽加密，數(shù)據(jù)標簽，流量以利用數(shù)據(jù)加密、數(shù)據(jù)標簽加密，數(shù)據(jù)標簽，流量填充等方法保護物理層的安全。填充等方法保護物理層的安全。.62、數(shù)

4、據(jù)鏈路層（Data Link Layer）nOSI參考模型的第二層稱為數(shù)據(jù)鏈路層。與參考模型的第二層稱為數(shù)據(jù)鏈路層。與其他層一樣，它肩負兩個責任：發(fā)送和接收其他層一樣，它肩負兩個責任：發(fā)送和接收數(shù)據(jù)。數(shù)據(jù)。n還要提供數(shù)據(jù)有效傳輸?shù)亩说蕉诉B接。在發(fā)還要提供數(shù)據(jù)有效傳輸?shù)亩说蕉诉B接。在發(fā)送方，數(shù)據(jù)鏈路層負責將指令、數(shù)據(jù)等包裝送方，數(shù)據(jù)鏈路層負責將指令、數(shù)據(jù)等包裝到幀中，幀是該層的基本結(jié)構(gòu)。到幀中，幀是該層的基本結(jié)構(gòu)。n幀中包含足夠的信息，確保數(shù)據(jù)可以安全地幀中包含足夠的信息，確保數(shù)據(jù)可以安全地通過本地局域網(wǎng)到達目的地。通過本地局域網(wǎng)到達目的地。.73、網(wǎng)絡層（Network Layer）n網(wǎng)絡層（

5、網(wǎng)絡層（Network Layer）的主要功能是完成網(wǎng)絡中）的主要功能是完成網(wǎng)絡中主機間的報文傳輸。在廣域網(wǎng)中，這包括產(chǎn)生從源端主機間的報文傳輸。在廣域網(wǎng)中，這包括產(chǎn)生從源端到目的端的路由。到目的端的路由。n當報文不得不跨越兩個或多個網(wǎng)絡時，又會產(chǎn)生很多當報文不得不跨越兩個或多個網(wǎng)絡時，又會產(chǎn)生很多新問題。例如第二個網(wǎng)絡的尋址方法可能不同于第一新問題。例如第二個網(wǎng)絡的尋址方法可能不同于第一個網(wǎng)絡；第二個網(wǎng)絡也可能因為第一個網(wǎng)絡的報文太個網(wǎng)絡；第二個網(wǎng)絡也可能因為第一個網(wǎng)絡的報文太長而無法接收；兩個網(wǎng)絡使用的協(xié)議也可能不同等。長而無法接收；兩個網(wǎng)絡使用的協(xié)議也可能不同等。網(wǎng)絡層必須解決這些問題，

6、使異構(gòu)網(wǎng)絡能夠互連。網(wǎng)絡層必須解決這些問題，使異構(gòu)網(wǎng)絡能夠互連。n在單個局域網(wǎng)中，網(wǎng)絡層是冗余的，因為報文是直接在單個局域網(wǎng)中，網(wǎng)絡層是冗余的，因為報文是直接從一臺計算機傳送到另一臺計算機的。從一臺計算機傳送到另一臺計算機的。.84、傳輸層（Transport Layer）n傳輸層的主要功能是完成網(wǎng)絡中不同主機上的傳輸層的主要功能是完成網(wǎng)絡中不同主機上的用戶進程之間可靠的數(shù)據(jù)通信。用戶進程之間可靠的數(shù)據(jù)通信。n最好的傳輸連接是一條無差錯的、按順序傳送最好的傳輸連接是一條無差錯的、按順序傳送數(shù)據(jù)的管道，即傳輸層連接是真正端到端的。數(shù)據(jù)的管道，即傳輸層連接是真正端到端的。n由于絕大多數(shù)主機都支持多

7、用戶操作，因而機由于絕大多數(shù)主機都支持多用戶操作，因而機器上有多道程序，這意味著多條連接將進出于器上有多道程序，這意味著多條連接將進出于這些主機，因此需要以某種方式區(qū)別報文屬于這些主機，因此需要以某種方式區(qū)別報文屬于哪條連接。識別這些連接的信息可以放入傳輸哪條連接。識別這些連接的信息可以放入傳輸層的報文頭中。層的報文頭中。.95、會話層（Session Layer）n會話層允許不同機器上的用戶之間建立會話關(guān)系。會話層允許會話層允許不同機器上的用戶之間建立會話關(guān)系。會話層允許進行類似傳輸層的普通數(shù)據(jù)的傳送，在某些場合還提供了一些進行類似傳輸層的普通數(shù)據(jù)的傳送，在某些場合還提供了一些有用的增強型服

8、務。允許用戶利用一次會話在遠端的分時系統(tǒng)有用的增強型服務。允許用戶利用一次會話在遠端的分時系統(tǒng)上登錄，或者在兩臺機器間傳遞文件。上登錄，或者在兩臺機器間傳遞文件。n會話層提供的服務之一是管理對話控制。會話層提供的服務之一是管理對話控制。n會話層允許信息同時雙向傳輸，或限制只能單向傳輸。如果屬會話層允許信息同時雙向傳輸，或限制只能單向傳輸。如果屬于后者，類似于物理信道上的半雙工模式，會話層將記錄此時于后者，類似于物理信道上的半雙工模式，會話層將記錄此時該輪到哪一方。該輪到哪一方。n一種與對話控制有關(guān)的服務是令牌管理（一種與對話控制有關(guān)的服務是令牌管理（Token Management）。有些協(xié)議

9、保證雙方不能同時進行同樣的操作，）。有些協(xié)議保證雙方不能同時進行同樣的操作，這一點很重要。為了管理這些活動，會話層提供了令牌，令牌這一點很重要。為了管理這些活動，會話層提供了令牌，令牌可以在會話雙方之間移動，只有持有令牌的一方可以執(zhí)行某種可以在會話雙方之間移動，只有持有令牌的一方可以執(zhí)行某種操作。操作。.106、表示層（Presentation Layer）n表示層完成某些特定的功能，這些功能不必由每個表示層完成某些特定的功能，這些功能不必由每個用戶自己來實現(xiàn)。用戶自己來實現(xiàn)。n值得一提的是，表示層以下各層只關(guān)心從源端機到值得一提的是，表示層以下各層只關(guān)心從源端機到目標機可靠地傳送比特，而表示

10、層關(guān)心的是所傳送目標機可靠地傳送比特，而表示層關(guān)心的是所傳送的信息的語法和語義。的信息的語法和語義。n表示層服務的一個典型例子是用一種一致選定的標表示層服務的一個典型例子是用一種一致選定的標準方法對數(shù)據(jù)進行編碼。準方法對數(shù)據(jù)進行編碼。n大多數(shù)用戶程序之間并非交換隨機的比特，而是交大多數(shù)用戶程序之間并非交換隨機的比特，而是交換諸如人名、日期、貨幣數(shù)量和發(fā)票之類的信息。換諸如人名、日期、貨幣數(shù)量和發(fā)票之類的信息。這些對象是用字符串、整型數(shù)、浮點數(shù)的形式，以這些對象是用字符串、整型數(shù)、浮點數(shù)的形式，以及由幾種簡單類型組成的數(shù)據(jù)結(jié)構(gòu)來表示。及由幾種簡單類型組成的數(shù)據(jù)結(jié)構(gòu)來表示。.117、應用層（App

11、lication Layer）n應用層包含大量人們普遍需要的協(xié)議。雖然，對應用層包含大量人們普遍需要的協(xié)議。雖然，對于需要通信的不同應用來說，應用層的協(xié)議都是于需要通信的不同應用來說，應用層的協(xié)議都是必須的。必須的。n例如，例如，PC（Personal Computer）機用戶使用仿）機用戶使用仿真終端軟件通過網(wǎng)絡仿真某個遠程主機的終端并真終端軟件通過網(wǎng)絡仿真某個遠程主機的終端并使用該遠程主機的資源。使用該遠程主機的資源。n這個仿真終端程序使用虛擬終端協(xié)議將鍵盤輸入這個仿真終端程序使用虛擬終端協(xié)議將鍵盤輸入的數(shù)據(jù)傳送到主機的操作系統(tǒng)，并接收顯示于屏的數(shù)據(jù)傳送到主機的操作系統(tǒng)，并接收顯示于屏幕的

12、數(shù)據(jù)。幕的數(shù)據(jù)。.12TCP/IP協(xié)議簇n 協(xié)議簇模型協(xié)議簇模型 n和其他網(wǎng)絡協(xié)議一樣，和其他網(wǎng)絡協(xié)議一樣，TCP/IP有自己的參考模型用于描述有自己的參考模型用于描述各層的功能。各層的功能。TCP/IP協(xié)議簇參考模型和協(xié)議簇參考模型和OSI參考模型的比參考模型的比較如圖較如圖2-2所示。所示。.13TCP/IP協(xié)議簇nTCP/IP參考模型實現(xiàn)了參考模型實現(xiàn)了OSI模型中的所模型中的所有功能。有功能。n不同之處是不同之處是TCP/IP協(xié)議模型將協(xié)議模型將OSI模型模型的部分層進行了合并。的部分層進行了合并。nOSI模型對層的劃分更精確，而模型對層的劃分更精確，而TCP/IP模型使用比較寬的層定

13、義。模型使用比較寬的層定義。.14解剖TCP/IP模型nTCP/IP協(xié)議簇包括四個功能層：應用層、傳輸層、協(xié)議簇包括四個功能層：應用層、傳輸層、網(wǎng)絡層及網(wǎng)絡接口層。網(wǎng)絡層及網(wǎng)絡接口層。n這四層概括了相對于這四層概括了相對于OSI參考模型中的七層。參考模型中的七層。n1、網(wǎng)絡接口層、網(wǎng)絡接口層n網(wǎng)絡接口層包括用于物理連接、傳輸?shù)乃泄δ?。網(wǎng)絡接口層包括用于物理連接、傳輸?shù)乃泄δ?。OSI模型模型把這一層功能分為兩層：物理層和數(shù)據(jù)鏈路層，把這一層功能分為兩層：物理層和數(shù)據(jù)鏈路層，TCP/IP參參考模型把兩層合在一起?？寄Ｐ桶褍蓪雍显谝黄稹2、網(wǎng)絡層（、網(wǎng)絡層（Internet層）層）n網(wǎng)絡層由在

14、兩個主機之間通信所必須的協(xié)議和過程組成。這網(wǎng)絡層由在兩個主機之間通信所必須的協(xié)議和過程組成。這意味著數(shù)據(jù)報文必須是可路由的。意味著數(shù)據(jù)報文必須是可路由的。.15解剖TCP/IP模型n3、傳輸層、傳輸層n這一層支持的功能包括：為了在網(wǎng)絡中傳輸對應用數(shù)據(jù)進行這一層支持的功能包括：為了在網(wǎng)絡中傳輸對應用數(shù)據(jù)進行分段，執(zhí)行數(shù)學檢查來保證所收數(shù)據(jù)的完整性，為多個應用分段，執(zhí)行數(shù)學檢查來保證所收數(shù)據(jù)的完整性，為多個應用同時傳輸數(shù)據(jù)多路復用數(shù)據(jù)流同時傳輸數(shù)據(jù)多路復用數(shù)據(jù)流(傳輸和接收傳輸和接收)。這意味著該層。這意味著該層能識別特殊應用，對亂序收到的數(shù)據(jù)進行重新排序。能識別特殊應用，對亂序收到的數(shù)據(jù)進行重新

15、排序。n當前的主機到主機層包括兩個協(xié)議實體：傳輸控制協(xié)議當前的主機到主機層包括兩個協(xié)議實體：傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報協(xié)議和用戶數(shù)據(jù)報協(xié)議(UDP)。n4、應用層、應用層n應用層協(xié)議提供遠程訪問和資源共享。應用包括應用層協(xié)議提供遠程訪問和資源共享。應用包括Telnet服務、服務、FTP服務、服務、SMTP服務和服務和HTTP服務等，很多其他應用程序服務等，很多其他應用程序駐留并運行在此層，并且依賴于底層的功能。該層是最難保駐留并運行在此層，并且依賴于底層的功能。該層是最難保護的一層。護的一層。.16解剖TCP/IP模型nTCP/IP組的四層、組的四層、OSI參考模型和常用協(xié)議的對應關(guān)系

16、如參考模型和常用協(xié)議的對應關(guān)系如圖圖2-3所示。所示。.17網(wǎng)絡協(xié)議IP nIP協(xié)議已經(jīng)成為世界上最重要的網(wǎng)際協(xié)議。協(xié)議已經(jīng)成為世界上最重要的網(wǎng)際協(xié)議。nIP的功能定義在由的功能定義在由IP頭結(jié)構(gòu)的數(shù)據(jù)中。頭結(jié)構(gòu)的數(shù)據(jù)中。IP是網(wǎng)絡層上的主要協(xié)是網(wǎng)絡層上的主要協(xié)議，同時被議，同時被TCP協(xié)議和協(xié)議和UDP協(xié)議使用。協(xié)議使用。nTCP/IP的整個數(shù)據(jù)報在數(shù)據(jù)鏈路層的結(jié)構(gòu)如表的整個數(shù)據(jù)報在數(shù)據(jù)鏈路層的結(jié)構(gòu)如表2-1所示。所示。n表表2-1 TCP/IP數(shù)據(jù)報的結(jié)構(gòu)數(shù)據(jù)報的結(jié)構(gòu)以太網(wǎng)數(shù)據(jù)包頭以太網(wǎng)數(shù)據(jù)包頭IP頭頭TCP/UDP/ICMP/IGMP頭頭數(shù)據(jù)數(shù)據(jù).18IP頭的結(jié)構(gòu)n可以看出一條完整數(shù)據(jù)報

17、由四部分組成可以看出一條完整數(shù)據(jù)報由四部分組成n第三部分是該數(shù)據(jù)報采用的協(xié)議第三部分是該數(shù)據(jù)報采用的協(xié)議n第四部分是數(shù)據(jù)報傳遞的數(shù)據(jù)內(nèi)容第四部分是數(shù)據(jù)報傳遞的數(shù)據(jù)內(nèi)容n其中其中IP頭的結(jié)構(gòu)如表頭的結(jié)構(gòu)如表2-2所示。所示。版本（版本（4位）位）頭長度（頭長度（4位）位）服務類型（服務類型（8位）位）封包總長度（封包總長度（16位）位）封包標識（封包標識（16位）位）標志（標志（3位）位）片斷偏移地址（片斷偏移地址（13位）位）存活時間（存活時間（8位）位）協(xié)議（協(xié)議（8位）位）校驗和（校驗和（16位）位）來源來源IP地址（地址（32位）位）目的目的IP地址（地址（32位）位）選項（可選）選項（

18、可選）填充（可選）數(shù)據(jù)數(shù)據(jù).19IP頭的結(jié)構(gòu)nIP頭結(jié)構(gòu)在所有協(xié)議中都是固定的，對表頭結(jié)構(gòu)在所有協(xié)議中都是固定的，對表2-2說明如下：說明如下：n（1）字節(jié)和數(shù)字的存儲順序是從右到左，依次是從低位到高位，而網(wǎng)絡存儲順序是從）字節(jié)和數(shù)字的存儲順序是從右到左，依次是從低位到高位，而網(wǎng)絡存儲順序是從左到右，依次從低位到高位。左到右，依次從低位到高位。n（2）版本：占第一個字節(jié)的高四位。頭長度：占第一個字節(jié)的低四位。）版本：占第一個字節(jié)的高四位。頭長度：占第一個字節(jié)的低四位。n（3）服務類型：前）服務類型：前3位為優(yōu)先字段權(quán)，現(xiàn)在已經(jīng)被忽略。接著位為優(yōu)先字段權(quán)，現(xiàn)在已經(jīng)被忽略。接著4位用來表示最小延遲

19、、位用來表示最小延遲、最大吞吐量、最高可靠性和最小費用。最大吞吐量、最高可靠性和最小費用。n（4）封包總長度：整個）封包總長度：整個IP報的長度，單位為字節(jié)。報的長度，單位為字節(jié)。n（5）存活時間：就是封包的生存時間。通常用通過的路由器的個數(shù)來衡量，比如初始）存活時間：就是封包的生存時間。通常用通過的路由器的個數(shù)來衡量，比如初始值設置為值設置為32，則每通過一個路由器處理就會被減一，當這個值為，則每通過一個路由器處理就會被減一，當這個值為0的時候就會丟掉這個的時候就會丟掉這個包，并用包，并用ICMP消息通知源主機。消息通知源主機。n（6）協(xié)議：定義了數(shù)據(jù)的協(xié)議，分別為：）協(xié)議：定義了數(shù)據(jù)的協(xié)議

20、，分別為：TCP、UDP、ICMP和和IGMP。如。如TCP定義為：定義為：ndefine PROTOCOL_TCP 0 x06n（7）檢驗和：校驗的首先將該字段設置為）檢驗和：校驗的首先將該字段設置為0，然后將，然后將IP頭的每頭的每16位進行二進制取反求位進行二進制取反求和，將結(jié)果保存在校驗和字段。和，將結(jié)果保存在校驗和字段。n（8）來源）來源IP地址：將地址：將IP地址看作是地址看作是32位數(shù)值則需要將網(wǎng)絡字節(jié)順序轉(zhuǎn)化位主機字節(jié)順位數(shù)值則需要將網(wǎng)絡字節(jié)順序轉(zhuǎn)化位主機字節(jié)順序。轉(zhuǎn)化的方法是：將每序。轉(zhuǎn)化的方法是：將每4個字節(jié)首尾互換，將個字節(jié)首尾互換，將2、3字節(jié)互換。字節(jié)互換。n（9）目

21、的）目的IP地址：轉(zhuǎn)換方法和來源地址：轉(zhuǎn)換方法和來源IP地址一樣。地址一樣。n在網(wǎng)絡協(xié)議中，在網(wǎng)絡協(xié)議中，IP是面向非連接的，所謂的非連接就是傳遞數(shù)據(jù)的時候，不檢測網(wǎng)絡是是面向非連接的，所謂的非連接就是傳遞數(shù)據(jù)的時候，不檢測網(wǎng)絡是否連通。所以是不可靠的數(shù)據(jù)報協(xié)議，否連通。所以是不可靠的數(shù)據(jù)報協(xié)議，IP協(xié)議主要負責在主機之間尋址和選擇數(shù)據(jù)包路協(xié)議主要負責在主機之間尋址和選擇數(shù)據(jù)包路由。由。 .20抓取Ping指令發(fā)送的數(shù)據(jù)包n按照第一章按照第一章Sniffer的設置抓取的設置抓取Ping指令發(fā)送的數(shù)據(jù)包，指令發(fā)送的數(shù)據(jù)包，命令執(zhí)行如圖命令執(zhí)行如圖2-4所示。所示。 .21抓取Ping指令發(fā)送的數(shù)

22、據(jù)包.22抓取Ping指令發(fā)送的數(shù)據(jù)包n其實其實IP報頭的所有屬性都在報頭中顯示出來，可以看出報頭的所有屬性都在報頭中顯示出來，可以看出實際抓取的數(shù)據(jù)報和理論上的數(shù)據(jù)報一致，分析如圖實際抓取的數(shù)據(jù)報和理論上的數(shù)據(jù)報一致，分析如圖2-6所示所示。.23IPv4的IP地址分類 nIPv4地址在地址在1981年年9月實現(xiàn)標準化的?；镜脑聦崿F(xiàn)標準化的?；镜腎P地址地址是是8位一個單元的位一個單元的32位二進制數(shù)。為了方便人們的使位二進制數(shù)。為了方便人們的使用，對機器友好的二進制地址轉(zhuǎn)變?yōu)槿藗兏煜さ氖?，對機器友好的二進制地址轉(zhuǎn)變?yōu)槿藗兏煜さ氖M制地址。進制地址。nIP地址中的每一個地址中的每一

23、個8位組用位組用0255之間的一個十進制之間的一個十進制數(shù)表示。這些數(shù)之間用點數(shù)表示。這些數(shù)之間用點“.”隔開，因此，最小的隔開，因此，最小的IPv4地址值為地址值為，最大的地址值為，最大的地址值為55，然而這兩個值是保留的，沒有分，然而這兩個值是保留的，沒有分配給任何系統(tǒng)。配給任何系統(tǒng)。nIP地址分成五類：地址分成五類：A類地址、類地址、B類地址、類地址、C類地址、類地址、D類地址和類地址和E類地址。類地址。n每一個每一個IP地址包括兩部分：網(wǎng)絡地址和主機地址，上地址包括兩部分：網(wǎng)絡地址和主機地址，上面五類地址對所支持的網(wǎng)絡數(shù)和主機數(shù)有不同的組合。面五

24、類地址對所支持的網(wǎng)絡數(shù)和主機數(shù)有不同的組合。.241、A類地址n一個一個A類類IP地址僅使用第一個地址僅使用第一個8位組表示網(wǎng)絡地址。剩位組表示網(wǎng)絡地址。剩下的下的3個個8位組表示主機地址。位組表示主機地址。A類地址的第一個位總類地址的第一個位總為為0，這一點在數(shù)學上限制了，這一點在數(shù)學上限制了A類地址的范圍小于類地址的范圍小于127，因此理論上僅有因此理論上僅有127個可能的個可能的A類網(wǎng)絡，而類網(wǎng)絡，而地地址又沒有分配，所以實際上只有址又沒有分配，所以實際上只有126個個A類網(wǎng)。技術(shù)上類網(wǎng)。技術(shù)上講，講，也是一個也是一個A類地址，但是它已被保留作類地址，但是

25、它已被保留作閉環(huán)（閉環(huán)（Look Back）測試之用而不能分配給一個網(wǎng)絡。）測試之用而不能分配給一個網(wǎng)絡。nA類地址后面的類地址后面的24位表示可能的主機地址，位表示可能的主機地址，A類網(wǎng)絡地類網(wǎng)絡地址的范圍從址的范圍從到到。每一個。每一個A類地址能類地址能支持支持16,777,214個不同的主機地址，這個數(shù)是由個不同的主機地址，這個數(shù)是由2的的24次方再減去次方再減去2得到的。減得到的。減2是必要的，因為是必要的，因為IP把全把全0保留為表示網(wǎng)絡而全保留為表示網(wǎng)絡而全1表示網(wǎng)絡內(nèi)的廣播地址。表示網(wǎng)絡內(nèi)的廣播地址。.252、B類地址n設計設計B類地址的目的是支持

26、中到大型的網(wǎng)絡。類地址的目的是支持中到大型的網(wǎng)絡。B類網(wǎng)絡地址類網(wǎng)絡地址范圍從范圍從到到。B類地址蘊含的數(shù)學邏類地址蘊含的數(shù)學邏輯是相當簡單的。輯是相當簡單的。n一個一個B類類IP地址使用兩個地址使用兩個8位組表示網(wǎng)絡號，另外兩個位組表示網(wǎng)絡號，另外兩個8位位組表示主機號。組表示主機號。B類地址的第類地址的第1個個8位組的前兩位總是設置位組的前兩位總是設置為為1和和0，剩下的，剩下的6位既可以是位既可以是0也可以是也可以是1，這樣就限制其，這樣就限制其范圍小于等于范圍小于等于191，這里的，這里的191由由128+32+16+8+4 +2+1得到。得到。

27、n最后的最后的16位（位（2個個8位組）標識可能的主機地址。每一個位組）標識可能的主機地址。每一個B類地址能支持類地址能支持64,534個惟一的主機地址，這個數(shù)由個惟一的主機地址，這個數(shù)由2的的16次方減次方減2得到，得到，B類網(wǎng)絡有類網(wǎng)絡有16,382個。個。.263、C類地址nC類地址用于支持大量的小型網(wǎng)絡。這類地址可以認為與類地址用于支持大量的小型網(wǎng)絡。這類地址可以認為與A類地類地址正好相反。址正好相反。A類地址使用第一個類地址使用第一個8位組表示網(wǎng)絡號，剩下的位組表示網(wǎng)絡號，剩下的3個個表示主機號，而表示主機號，而C類地址使用三個類地址使用三個8位組表示網(wǎng)絡地址，僅用一位組表示網(wǎng)絡地址

28、，僅用一個個8位組表示主機號。位組表示主機號。nC類地址的前類地址的前3位數(shù)為位數(shù)為110，前兩位和為，前兩位和為192(128+64)，這形成，這形成了了C類地址空間的下界。第三位等于十進制數(shù)類地址空間的下界。第三位等于十進制數(shù)32，這一位為，這一位為0限限制了地址空間的上界。不能使用第三位限制了此制了地址空間的上界。不能使用第三位限制了此8位組的最大值位組的最大值為為255-32等于等于223。因此。因此C類網(wǎng)絡地址范圍從類網(wǎng)絡地址范圍從至至。n最后一個最后一個8位組用于主機尋址。每一個位組用于主機尋址。每一個C類地址理論上可支持最類地址理論上可

29、支持最大大2 5 6個主機地址個主機地址(0255)，但是僅有，但是僅有254個可用，因為個可用，因為0和和255不是有效的主機地址?？梢杂胁皇怯行У闹鳈C地址?？梢杂?,097,150個不同的個不同的C類網(wǎng)絡類網(wǎng)絡地址。地址。n在在IP地址中，地址中，0和和255是保留的主機地址。是保留的主機地址。IP地址中所有的主機地址中所有的主機地址為地址為0用于標識局域網(wǎng)。同樣，全為用于標識局域網(wǎng)。同樣，全為1表示在此網(wǎng)段中的廣播表示在此網(wǎng)段中的廣播地址。地址。.274、D類地址nD類地址用于在類地址用于在IP網(wǎng)絡中的組播（網(wǎng)絡中的組播（Multicasting）。）。D類組播類組播地址機制僅有有限的用

30、處。一個組播地址是一個惟一的網(wǎng)絡地址機制僅有有限的用處。一個組播地址是一個惟一的網(wǎng)絡地址。它能指導報文到達預定義的地址。它能指導報文到達預定義的IP地址組。地址組。n因此，一臺機器可以把數(shù)據(jù)流同時發(fā)送到多個接收端，這比因此，一臺機器可以把數(shù)據(jù)流同時發(fā)送到多個接收端，這比為每個接收端創(chuàng)建一個不同的流有效得多。組播長期以來被為每個接收端創(chuàng)建一個不同的流有效得多。組播長期以來被認為是認為是IP網(wǎng)絡最理想的特性，因為它有效地減小了網(wǎng)絡流量。網(wǎng)絡最理想的特性，因為它有效地減小了網(wǎng)絡流量。nD類地址空間，和其他地址空間一樣，有其數(shù)學限制，類地址空間，和其他地址空間一樣，有其數(shù)學限制，D類地類地址的前址的前

31、4位恒為位恒為1110，預置前，預置前3位為位為1意味著意味著D類地址開始于類地址開始于128+64+32等于等于224。第。第4位為位為0意味著意味著D類地址的最大值類地址的最大值為為128+64+32+8+4+2+1為為239，因此，因此D類地址空間的范類地址空間的范圍從圍從到到239.255.2 55.254。.285、E類地址nE類地址雖被定義為保留研究之用。因此類地址雖被定義為保留研究之用。因此Internet上沒有可用的上沒有可用的E類地址。類地址。nE類地址的前類地址的前4位為位為1，因此有效的地址，因此有效的地址范圍從范圍從至至255.255

32、.255.255。.29子網(wǎng)掩碼n子網(wǎng)掩碼是用來判斷任意兩臺計算機的子網(wǎng)掩碼是用來判斷任意兩臺計算機的IP地址是否地址是否屬于同一子網(wǎng)絡的根據(jù)。屬于同一子網(wǎng)絡的根據(jù)。n最為簡單的理解就是兩臺計算機各自的最為簡單的理解就是兩臺計算機各自的IP地址與子地址與子網(wǎng)掩碼進行二進制網(wǎng)掩碼進行二進制“與與”（AND）運算后，如果得）運算后，如果得出的結(jié)果是相同的，則說明這兩臺計算機是處于同出的結(jié)果是相同的，則說明這兩臺計算機是處于同一個子網(wǎng)絡上的，可以進行直接的通訊。一個子網(wǎng)絡上的，可以進行直接的通訊。n計算機計算機A的的IP地址為地址為，子網(wǎng)掩碼為，子網(wǎng)掩碼為255.255.255

33、.0，將轉(zhuǎn)化為二進制進行，將轉(zhuǎn)化為二進制進行“與與”運運算，運算過程如表算，運算過程如表2-3所示。所示。.30子網(wǎng)掩碼n計算機計算機A的的IP地址為地址為，子網(wǎng)掩碼為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行將轉(zhuǎn)化為二進制進行“與與”運算，運算過程如表運算，運算過程如表2-3所示。所示。IP地址地址11010000.10101000.00000000.00000001子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位地址與子網(wǎng)掩碼按位“與與”運運算算11000000.10101000.000000

34、00.00000000運算的結(jié)果轉(zhuǎn)化為十進制運算的結(jié)果轉(zhuǎn)化為十進制.31子網(wǎng)掩碼n計算機B的IP地址為54，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行“與”運算。運算過程如表2-4所示。IP地址地址11010000.10101000.00000000.11111110子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼按位地址與子網(wǎng)掩碼按位“與與”運算運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為十進制運算的結(jié)果轉(zhuǎn)化為十進制192.168.0

35、.0.32子網(wǎng)掩碼n計算機C的IP地址為，子網(wǎng)掩碼為，將轉(zhuǎn)化為二進制進行“與”運算。運算過程如表2-5所示。IP地址地址11010000.10101000.00000000. 00000100子網(wǎng)掩碼子網(wǎng)掩碼11111111.11111111.11111111.00000000IP地址與子網(wǎng)掩碼地址與子網(wǎng)掩碼按位按位“與與”運算運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為運算的結(jié)果轉(zhuǎn)化為十進制十進制.33傳輸控制協(xié)議協(xié)議TCP nTCP是傳輸層協(xié)議，提供可靠的應用數(shù)是傳輸層協(xié)議，

36、提供可靠的應用數(shù)據(jù)傳輸。據(jù)傳輸。nTCP在兩個或多個主機之間建立面向連在兩個或多個主機之間建立面向連接的通信。接的通信。nTCP支持多數(shù)據(jù)流操作，提供錯誤控制，支持多數(shù)據(jù)流操作，提供錯誤控制，甚至完成對亂序到達的報文進行重新排甚至完成對亂序到達的報文進行重新排序。序。.34TCP協(xié)議的頭結(jié)構(gòu) n和和IP一樣，一樣，TCP的功能受限于其頭中攜帶的信息。的功能受限于其頭中攜帶的信息。因此理解因此理解TCP的機制和功能需要了解的機制和功能需要了解TCP頭中的頭中的內(nèi)容，表內(nèi)容，表2-6顯示了顯示了TCP頭結(jié)構(gòu)。頭結(jié)構(gòu)。來源端口（來源端口（2字節(jié)）字節(jié)）目的端口（目的端口（2字節(jié)）字節(jié)）序號（序號（4

37、字節(jié)）字節(jié)）確認序號（確認序號（4字節(jié)）字節(jié)）頭長度（頭長度（4位）位）保留（保留（6位）位）URGACKPSHRSTSYNPIN窗口大?。ù翱诖笮。?字節(jié)）字節(jié)）校驗和（校驗和（16位）位）緊急指針（緊急指針（16位）位）選項（可選）選項（可選）數(shù)據(jù)數(shù)據(jù).35TCP協(xié)議的頭結(jié)構(gòu)nTCP協(xié)議的頭結(jié)構(gòu)都是固定的，對表協(xié)議的頭結(jié)構(gòu)都是固定的，對表2-6說明如下：說明如下：n（1）TCP源端口（源端口（Source Port）：）：16位的源端口包含初始化通信的端口號。源端口和位的源端口包含初始化通信的端口號。源端口和IP地地址的作用是標識報文的返回地址。址的作用是標識報文的返回地址。n（2）TCP

38、目的端口（目的端口（Destination Port）：）：16位的目的端口域定義傳輸?shù)哪康?。這個端口指位的目的端口域定義傳輸?shù)哪康?。這個端口指明報文接收計算機上的應用程序地址接口。明報文接收計算機上的應用程序地址接口。n（3）序列號（）序列號（Sequence Number）：）：TCP連線發(fā)送方向接收方的封包順序號。連線發(fā)送方向接收方的封包順序號。n（4）確認序號（）確認序號（Acknowledge Number）：接收方回發(fā)的應答順序號。）：接收方回發(fā)的應答順序號。n（5）頭長度（）頭長度（Header Length）：表示）：表示TCP頭的雙四字節(jié)數(shù)，如果轉(zhuǎn)化為字節(jié)個數(shù)需要乘以頭的雙四

39、字節(jié)數(shù)，如果轉(zhuǎn)化為字節(jié)個數(shù)需要乘以4。n（6）URG：是否使用緊急指針，：是否使用緊急指針，0為不使用，為不使用，1為使用。為使用。n（7）ACK：請求：請求/應答狀態(tài)。應答狀態(tài)。0為請求，為請求，1為應答。為應答。n（8）PSH：以最快的速度傳輸數(shù)據(jù)。：以最快的速度傳輸數(shù)據(jù)。n（9）RST：連線復位，首先斷開連接，然后重建。：連線復位，首先斷開連接，然后重建。n（10）SYN：同步連線序號，用來建立連線。：同步連線序號，用來建立連線。n（11）FIN：結(jié)束連線。如果：結(jié)束連線。如果FIN為為0是結(jié)束連線請求，是結(jié)束連線請求，F(xiàn)IN為為1表示結(jié)束連線。表示結(jié)束連線。n（12）窗口大?。ǎ┐翱诖?/p>

40、?。╓indow）：目的機使用）：目的機使用16位的域告訴源主機，它想收到的每個位的域告訴源主機，它想收到的每個TCP數(shù)據(jù)數(shù)據(jù)段大小。段大小。n（13）校驗和（）校驗和（Check Sum）：這個校驗和和）：這個校驗和和IP的校驗和有所不同，不僅對頭數(shù)據(jù)進行校驗的校驗和有所不同，不僅對頭數(shù)據(jù)進行校驗還對封包內(nèi)容校驗。還對封包內(nèi)容校驗。n（14）緊急指針（）緊急指針（Urgent Pointer）：當）：當URG為為1的時候才有效。的時候才有效。TCP的緊急方式是發(fā)送緊的緊急方式是發(fā)送緊急數(shù)據(jù)的一種方式。急數(shù)據(jù)的一種方式。.36一次完整的FTP會話 n首先開啟目標主機的首先開啟目標主機的FTP服

41、務，如圖服務，如圖2-7所示。所示。 .37一次完整的FTP會話n啟動啟動Sniffer，然后在主機的，然后在主機的DOS命令行下利用命令行下利用FTP指指令連接目標主機上的令連接目標主機上的FTP服務器，連接過程如圖服務器，連接過程如圖2-8所所示。示。.38一次完整的FTP會話.39一次完整的FTP會話n登錄登錄FTP的過程是一次典型的的過程是一次典型的TCP連接，因為連接，因為FTP服務使用服務使用的是的是TCP協(xié)議。分析協(xié)議。分析TCP報頭的結(jié)構(gòu)如圖報頭的結(jié)構(gòu)如圖2-10所示。所示。.40傳輸控制協(xié)議（TCP）的特點n傳輸控制協(xié)議（傳輸控制協(xié)議（TCP）的特點是：提供可靠的、）的特點是

42、：提供可靠的、面向連接的數(shù)據(jù)報傳遞服務。面向連接的數(shù)據(jù)報傳遞服務。n傳輸控制協(xié)議可以做到如下的六點：傳輸控制協(xié)議可以做到如下的六點：n1、確保、確保IP數(shù)據(jù)報的成功傳遞。數(shù)據(jù)報的成功傳遞。n2、對程序發(fā)送的大塊數(shù)據(jù)進行分段和重組。、對程序發(fā)送的大塊數(shù)據(jù)進行分段和重組。n3、確保正確排序以及按順序傳遞分段的數(shù)據(jù)。、確保正確排序以及按順序傳遞分段的數(shù)據(jù)。n4、通過計算校驗和，進行傳輸數(shù)據(jù)的完整性檢查。、通過計算校驗和，進行傳輸數(shù)據(jù)的完整性檢查。n5、根據(jù)數(shù)據(jù)是否接收成功發(fā)送消息。通過有選擇的確、根據(jù)數(shù)據(jù)是否接收成功發(fā)送消息。通過有選擇的確認，也對沒有收到的數(shù)據(jù)發(fā)送確認。認，也對沒有收到的數(shù)據(jù)發(fā)送確

43、認。n6、為必須使用可靠的基于會話的數(shù)據(jù)傳輸?shù)某绦蛱峁?、為必須使用可靠的基于會話的?shù)據(jù)傳輸?shù)某绦蛱峁┲С?，如?shù)據(jù)庫服務和電子郵件服務。支持，如數(shù)據(jù)庫服務和電子郵件服務。.41TCP協(xié)議的工作原理 nTCP提供兩個網(wǎng)絡主機之間的點對點通訊。提供兩個網(wǎng)絡主機之間的點對點通訊。TCP從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。n首先將字節(jié)分成段，然后對段進行編號和排序以首先將字節(jié)分成段，然后對段進行編號和排序以便傳輸。在兩個便傳輸。在兩個TCP主機之間交換數(shù)據(jù)之前，必主機之間交換數(shù)據(jù)之前，必須先相互建立會話。須先相互建立會話。TCP會話通過三次握手的完會話通過三次握手

44、的完成初始化。這個過程使序號同步，并提供在兩個成初始化。這個過程使序號同步，并提供在兩個主機之間建立虛擬連接所需的控制信息。主機之間建立虛擬連接所需的控制信息。nTCP在建立連接的時候需要三次確認，俗稱在建立連接的時候需要三次確認，俗稱“三三次握手次握手”，在斷開連接的時候需要四次確認，俗，在斷開連接的時候需要四次確認，俗稱稱“四次揮手四次揮手”。.42TCP協(xié)議的三次“握手” .43TCP協(xié)議的三次“握手”n這個過程在這個過程在FTP的會話過程中也明顯的顯示出的會話過程中也明顯的顯示出來，如圖來，如圖2-12所示。所示。.44第一次“握手” n首先分析建立首先分析建立“握手握手”第一個過程包

45、的第一個過程包的結(jié)構(gòu)，如圖結(jié)構(gòu)，如圖2-13所示。所示。.45第二次“握手” nSYN為為1，開始建立請求連接，需要對方計算機確認，對方，開始建立請求連接，需要對方計算機確認，對方計算機確認返回的數(shù)據(jù)包如圖計算機確認返回的數(shù)據(jù)包如圖2-14所示。所示。 .46第三次“握手” n對方計算機返回的數(shù)據(jù)包中對方計算機返回的數(shù)據(jù)包中ACK為為1并且并且SYN為為1，說明同，說明同意連接。意連接。n這個時候需要源計算機的確認就可以建立連接了。確認數(shù)這個時候需要源計算機的確認就可以建立連接了。確認數(shù)據(jù)包的結(jié)構(gòu)如圖據(jù)包的結(jié)構(gòu)如圖2-15所示。所示。 .47TCP協(xié)議的四次“揮手” n需要斷開連接的時候，需要

46、斷開連接的時候，TCP也需要互相確認才可以斷也需要互相確認才可以斷開連接，四次交互過程如圖開連接，四次交互過程如圖2-16所示。所示。.48第一次“揮手” n第一次交互過程的數(shù)據(jù)報結(jié)構(gòu)如圖第一次交互過程的數(shù)據(jù)報結(jié)構(gòu)如圖2-17所示。所示。.49第二次“揮手” n第一次交互中，首先發(fā)送一個第一次交互中，首先發(fā)送一個FIN=1的請求，要求斷開，的請求，要求斷開，目標主機在得到請求后發(fā)送目標主機在得到請求后發(fā)送ACK=1進行確認，如圖進行確認，如圖2-18所所示。示。 .50第三次“揮手” n在確認信息發(fā)出后，就發(fā)送了一個FIN=1的包，與源主機斷開，如圖2-19所示。 .51第四次“揮手” n隨后

47、源主機返回一條ACK=1的信息，這樣一次完整的TCP會話就結(jié)束了。如圖2-20所示。.52用戶數(shù)據(jù)報協(xié)議UDP nUDP為應用程序提供發(fā)送和接收數(shù)據(jù)報為應用程序提供發(fā)送和接收數(shù)據(jù)報的功能。的功能。n某些程序（比如騰訊的某些程序（比如騰訊的OICQ）使用的是）使用的是UDP協(xié)議，協(xié)議，UDP協(xié)議在協(xié)議在TCP/IP主機之主機之間建立快速、輕便、不可靠的數(shù)據(jù)傳輸間建立快速、輕便、不可靠的數(shù)據(jù)傳輸通道。通道。 .53UDP和TCP的區(qū)別 nUDP提供的是非連接的數(shù)據(jù)報服務，意味著提供的是非連接的數(shù)據(jù)報服務，意味著UDP無法無法保證任何數(shù)據(jù)報的傳遞和驗證。保證任何數(shù)據(jù)報的傳遞和驗證。nUDP的結(jié)構(gòu)如圖

48、的結(jié)構(gòu)如圖2-21所示。所示。 .54UDP和TCP傳遞數(shù)據(jù)的差異nUDP和和TCP傳遞數(shù)據(jù)的差異類似于電話和傳遞數(shù)據(jù)的差異類似于電話和明信片之間的差異。明信片之間的差異。nTCP就像電話，必須先驗證目標是否可以訪問后才就像電話，必須先驗證目標是否可以訪問后才開始通訊。開始通訊。nUDP就像明信片，信息量很小而且每次傳遞成功的就像明信片，信息量很小而且每次傳遞成功的可能性很高，但是不能完全保證傳遞成功?？赡苄院芨?，但是不能完全保證傳遞成功。nUDP通常由每次傳輸少量數(shù)據(jù)或有實時需通常由每次傳輸少量數(shù)據(jù)或有實時需要的程序使用。要的程序使用。n在這些情況下，在這些情況下，UDP 的低開銷比的低開銷

49、比TCP 更適更適合。合。UDP 與與TCP 提供的服務和功能直接對提供的服務和功能直接對比比 .55UDP和TCP傳遞數(shù)據(jù)的比較 UDP協(xié)議協(xié)議TCP協(xié)議協(xié)議無連接的服務；在主機之間不建立會無連接的服務；在主機之間不建立會話。話。面向連接的服務；在主機之間建立會話。面向連接的服務；在主機之間建立會話。UDP不能確?；虺姓J數(shù)據(jù)傳遞或序列不能確?；虺姓J數(shù)據(jù)傳遞或序列化數(shù)據(jù)?；瘮?shù)據(jù)。TCP 通過確認和按順序傳遞數(shù)據(jù)來確保數(shù)據(jù)通過確認和按順序傳遞數(shù)據(jù)來確保數(shù)據(jù)的傳遞。的傳遞。使用使用 UDP 的程序負責提供傳輸數(shù)據(jù)所的程序負責提供傳輸數(shù)據(jù)所需的可靠性。需的可靠性。使用使用 TCP 的程序能確保可靠的

50、數(shù)據(jù)傳輸。的程序能確保可靠的數(shù)據(jù)傳輸。UDP快速，具有低開銷要求，并支持快速，具有低開銷要求，并支持點對點和一點對多點的通訊。點對點和一點對多點的通訊。TCP 比較慢，有更高的開銷要求，而且只支比較慢，有更高的開銷要求，而且只支持點對點通訊。持點對點通訊。UDP 和和 TCP 都使用端口標識每個都使用端口標識每個 TCP/IP 程序的通訊。程序的通訊。.56 UDP協(xié)議的頭結(jié)構(gòu) nUDP的頭結(jié)構(gòu)比較簡單，如表2-8所示。 源端口（源端口（2字節(jié)）字節(jié)）目的端口（目的端口（2字節(jié)）字節(jié)）封報長度（封報長度（2字節(jié)）字節(jié)）校驗和（校驗和（2字節(jié)）字節(jié)）數(shù)據(jù)數(shù)據(jù).57UDP的頭結(jié)構(gòu) n（1）源端口（

51、）源端口（Source Port）：）：16位的源端口域包位的源端口域包含初始化通信的端口號。源端口和含初始化通信的端口號。源端口和IP地址的作用是標地址的作用是標識報文的返回地址。識報文的返回地址。n（2）目的端口（）目的端口（Destination Port）：）：6位的目的端位的目的端口域定義傳輸?shù)哪康?。這個端口指明報文接收計算機口域定義傳輸?shù)哪康?。這個端口指明報文接收計算機上的應用程序地址接口。上的應用程序地址接口。n（3）封包長度（）封包長度（Length）：）：UDP頭和數(shù)據(jù)的總長度。頭和數(shù)據(jù)的總長度。n（4）校驗和（）校驗和（Check Sum）：和）：和TCP和校驗和一樣，和校

52、驗和一樣，不僅對頭數(shù)據(jù)進行校驗，還對包的內(nèi)容進行校驗。不僅對頭數(shù)據(jù)進行校驗，還對包的內(nèi)容進行校驗。.58UDP數(shù)據(jù)報分析 n常用的網(wǎng)絡服務中，常用的網(wǎng)絡服務中，DNS使用使用UDP協(xié)議。協(xié)議。DNS是域名系統(tǒng)是域名系統(tǒng) (Domain Name System)的縮寫的縮寫n當用戶在應用程序中輸入當用戶在應用程序中輸入DNS名稱時，名稱時，DNS服服務可以將此名稱解析為與此名稱相關(guān)的務可以將此名稱解析為與此名稱相關(guān)的IP地址。地址。.59設置DNS解析n需要在主機上設置需要在主機上設置DNS解析的主機，將主機的解析的主機，將主機的DNS的解析的解析指向虛擬機，如圖指向虛擬機，如圖2-22所示。所

53、示。.60設置DNS解析n雖然虛擬機并沒有設置雖然虛擬機并沒有設置DNS解析，但是只要訪問解析，但是只要訪問DNS都可以抓到都可以抓到UDP數(shù)據(jù)數(shù)據(jù)報。設置完畢后，在主機的報。設置完畢后，在主機的DOS界面中輸入命令界面中輸入命令nslookup，如圖，如圖2-23所所示。示。.61UDP報頭n查看查看Sniffer抓取的數(shù)據(jù)報，可以看到抓取的數(shù)據(jù)報，可以看到UDP報頭，如圖報頭，如圖2-24所示。所示。.62UDP報頭的分析n對對UDP報頭的分析如圖報頭的分析如圖2-25所示所示。.63互聯(lián)網(wǎng)控制消息協(xié)議ICMP n通過通過ICMP協(xié)議，主機和路由器可以報告錯誤協(xié)議，主機和路由器可以報告錯誤

54、并交換相關(guān)的狀態(tài)信息。在下列情況中，通常并交換相關(guān)的狀態(tài)信息。在下列情況中，通常自動發(fā)送自動發(fā)送ICMP消息：消息：nIP數(shù)據(jù)報無法訪問目標。數(shù)據(jù)報無法訪問目標。nIP路由器（網(wǎng)關(guān)）無法按當前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)路由器（網(wǎng)關(guān)）無法按當前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)報。報。nIP路由器將發(fā)送主機重定向為使用更好的到達目標路由器將發(fā)送主機重定向為使用更好的到達目標的路。的路。nICMP協(xié)議的結(jié)構(gòu)如圖協(xié)議的結(jié)構(gòu)如圖2-26所示。所示。.64ICMP協(xié)議的結(jié)構(gòu) .65ICMP協(xié)議的頭結(jié)構(gòu) nICMP頭結(jié)構(gòu)比較簡單，如表頭結(jié)構(gòu)比較簡單，如表2-9所示。所示。類型（類型（8位）位） 代碼（代碼（8位）位）校驗和（校驗

55、和（8位）位）類型或者代碼類型或者代碼.66ICMP數(shù)據(jù)報分析 n使用使用Ping命令發(fā)送命令發(fā)送ICMP回應請求消息，使用回應請求消息，使用Ping命令，可命令，可以檢測網(wǎng)絡或主機通訊故障并解決常見的以檢測網(wǎng)絡或主機通訊故障并解決常見的TCP/IP連接問題。連接問題。分析分析Ping指令的數(shù)據(jù)報，如圖指令的數(shù)據(jù)報，如圖2-27所示。所示。 .67FTP服務 nFTP的缺省端口是的缺省端口是20（用于數(shù)據(jù)傳輸）和（用于數(shù)據(jù)傳輸）和21（用于命令傳輸）。（用于命令傳輸）。n在在TCP/IP中中FTP是非常獨特的，因為命令是非常獨特的，因為命令和數(shù)據(jù)能夠同時傳輸，而數(shù)據(jù)傳輸是實時的，和數(shù)據(jù)能夠同時

56、傳輸，而數(shù)據(jù)傳輸是實時的，其他協(xié)議不具有這個特性。其他協(xié)議不具有這個特性。nFTP客戶端可以是命令界面的也可以是圖形客戶端可以是命令界面的也可以是圖形界面的。命令界面的如圖界面的。命令界面的如圖2-28所示。所示。.68命令行等錄FTP服務器 .69圖形界面登錄FTP服務器 n也可以在瀏覽器中輸入也可以在瀏覽器中輸入“ftp:/主機主機IP地地址址”，利用圖形界面連接，利用圖形界面連接FTP服務器，如圖服務器，如圖2-29所示。所示。.70更改登錄用戶信息n登錄登錄FTP可以更改登錄用戶信息，選擇菜單可以更改登錄用戶信息，選擇菜單“文件文件”下的菜單項下的菜單項“登錄登錄”，出現(xiàn)用戶名，出現(xiàn)用

57、戶名輸入對話框，如圖輸入對話框，如圖2-30所示。所示。.71 Telnet服務 nTelnet是是TELecommunications NETwork的縮寫，其名字具有雙重含義，的縮寫，其名字具有雙重含義，既指應用也是指協(xié)議自身。既指應用也是指協(xié)議自身。nTelnet給用戶提供了一種通過網(wǎng)絡登錄給用戶提供了一種通過網(wǎng)絡登錄遠程服務器的方式。遠程服務器的方式。nTelnet通過端口通過端口23工作。工作。.72開啟Telnet服務nTelnet要求有一個要求有一個Telnet服務器，此服務器駐留在主機上，服務器，此服務器駐留在主機上，等待著遠端機器的授權(quán)登錄。要使用等待著遠端機器的授權(quán)登錄。要

58、使用Telnet服務首先需要在服務首先需要在虛擬機上開啟虛擬機上開啟Telnet服務，選擇進入服務，選擇進入Telnet服務管理器，服務管理器，如圖如圖2-31所示。所示。.73開啟Telnet服務n在在Telnet服務管理器中選擇服務管理器中選擇4，啟動，啟動Telnet服務器，如圖服務器，如圖2-32所示。所示。.74連接Telnet服務器n虛擬機上的虛擬機上的Telnet服務器就啟動了，然后在主機的服務器就啟動了，然后在主機的DOS窗口中連接虛擬機的窗口中連接虛擬機的Telnet服務器，如圖服務器，如圖2-33所所示。示。.75Email服務n目前目前Email服務用的兩個主要的協(xié)議是：

59、簡服務用的兩個主要的協(xié)議是：簡單郵件傳輸協(xié)議單郵件傳輸協(xié)議SMTP（Simple Mail Transfer Protocol）和郵局協(xié)議）和郵局協(xié)議POP3（Post Office Protocol）。）。nSMTP默認占用默認占用25端口，用來發(fā)送郵件，端口，用來發(fā)送郵件，POP3占用占用110端口，用來接收郵件。端口，用來接收郵件。n在在Windows平臺下，主要利用平臺下，主要利用Microsoft Exchange Server作為電子郵件服務器。作為電子郵件服務器。.76Web服務nWeb服務是目前最常用的服務，使用服務是目前最常用的服務，使用HTTP協(xié)議，默認協(xié)議，默認Web服務

60、占用服務占用80端口端口n在在Windows平臺下一般使用平臺下一般使用IIS（Internet Information Server）作為）作為Web服務器。服務器。.77常用的網(wǎng)絡服務端口 n常用服務端口列表 端口端口協(xié)議協(xié)議服務服務21TCPFTP服務服務25TCPSMTP服務服務53 TCP/UDPDNS服務服務80TCPWeb服務服務135TCPRPC服務服務137UDPNetBIOS域名服務域名服務138UDPNetBIOS數(shù)據(jù)報服務數(shù)據(jù)報服務139TCPNetBIOS會話服務會話服務443TCP基于基于SSL的的HTTP服務服務445TCP/UDPMicrosoft SMB服務服