網(wǎng)絡(luò)協(xié)議分析復(fù)習(xí)資料

1、應(yīng)用層有哪些協(xié)議？域名系統(tǒng)DNS；文件傳送協(xié)議FTP；遠程終端協(xié)議TELNET；簡單郵件傳送協(xié)議SMTP；超文本協(xié)議HTTP；簡單網(wǎng)絡(luò)管理協(xié)議SNMP；郵件讀取協(xié)議POP3和IMAP；動態(tài)主機協(xié)議DHCP；傳輸層有什么協(xié)議？用戶數(shù)據(jù)報協(xié)議UDP傳輸控制協(xié)議TCP傳輸層有什么功能特性，提供什么服務(wù)？傳輸層的任務(wù)就是負責(zé)向兩個主機中進程之間的通信提供通用的數(shù)據(jù)傳輸服務(wù)。應(yīng)用進 程利用該服務(wù)傳送應(yīng)用層報文。該服務(wù)可以包括以下功能：連接導(dǎo)向式通信：通常對于一個應(yīng)用進程來說，把連接解讀為數(shù)據(jù)流（英語：data stream）而非處理底層的無連接模型（如用戶數(shù)據(jù)報協(xié)議（UDP）與網(wǎng)際協(xié)議（IP）的數(shù)據(jù) 報

2、文模型）更加容易。相同次序交付：網(wǎng)絡(luò)層通常不保證數(shù)據(jù)包到達順序與發(fā)送順序相同，但這往往是一個可取 的特點。這通常是通過給報文段編號來完成的，接收者按次序?qū)⑺鼈儌鹘o應(yīng)用進程。這可能 會造成隊頭阻塞?？煽啃裕河捎诰W(wǎng)絡(luò)擁塞和錯誤，數(shù)據(jù)包可能在傳輸過程中丟失。通過檢錯碼，傳輸協(xié)議可 以檢查數(shù)據(jù)是否損壞，并通過向發(fā)送者傳ACK或NACK消息確認正確接收。自動重發(fā)請求方 案可用于重新傳輸丟失或損壞的數(shù)據(jù)。流量控制：有時必須控制兩個節(jié)點之間的數(shù)據(jù)傳輸速率以阻止快速的發(fā)送者傳輸超出 接收緩沖器所能承受的數(shù)據(jù)，造成緩沖區(qū)溢出。這也可以通過減少緩沖區(qū)不足來提高效率。擁塞避免：擁塞控制可以控制進入到電信網(wǎng)絡(luò)的流量。

3、多路復(fù)用：端口可以在單個節(jié)點上提供多個端點。例如，郵政地址的名稱是一種多路復(fù)用， 并區(qū)分同一位置的不同收件人。每個計算機應(yīng)用進程會監(jiān)聽它們自己的端口，這使得在同一 時間可以使用多個網(wǎng)絡(luò)服務(wù)。它是在TCP/IP模型中是傳輸層的一部分，但在OSI模型中屬于 會話層。TCP有哪些服務(wù)？提供面向連接的，可靠的數(shù)據(jù)傳輸服務(wù)。UDP有哪些服務(wù)？提供無連接的，盡最大努力的數(shù)據(jù)傳輸服務(wù)?？焖僦貍鳈C制這是數(shù)據(jù)丟包的情況下給出的一種修補機制。一般來說，重傳發(fā)生在超時之后，但是如果 發(fā)送端接受到3個以上的重復(fù)ACK的情況下，就應(yīng)該意識到，數(shù)據(jù)丟了，需要重新傳遞。 這個機制是不需要等到重傳定時器溢出的，所以叫做快速重

4、傳，它可以避免發(fā)送端因等待重 傳計時器的超時而空閑較長時間，以此增加網(wǎng)絡(luò)吞吐量。而重新傳遞以后，因為走的不是慢 啟動而是擁塞避免算法，所以這又叫做快速恢復(fù)算法。流程如下：當收到第3個重復(fù)的ACK時，將ssthresh設(shè)置為當前擁塞窗口 cwnd的一半。重傳丟失的報 文段。設(shè)置cwnd為ssthresh加上3倍的報文段大小。每次收到另一個重復(fù)的ACK時，cwnd 增加1個報文段大小并發(fā)送1個分組（如果新的cwnd允許發(fā)送）。當下一個確認新數(shù)據(jù)的 ACK到達時，設(shè)置cwnd為ssthresh （在第1步中設(shè)置的值）。這個ACK應(yīng)該是在進行重傳 后的一個往返時間內(nèi)對步驟1中重傳的確認。另外，這個AC

5、K也應(yīng)該是對丟失的分組和收 到的第1個重復(fù)的ACK之間的所有中間報文段的確認。這一步采用的是擁塞避免。ICMP 不會引起重新傳遞，TCP會堅持用自己的定時器，但是TCP會保留下ICMP的錯誤并且通知 用戶。超時重傳是TCP協(xié)議保證數(shù)據(jù)可靠性的一個重要機制，其原理是在發(fā)送一個數(shù)據(jù)以后就開啟 一個計時器，在一定時間內(nèi)如果沒有得到發(fā)送數(shù)據(jù)報的ACK報文，那么就重新發(fā)送數(shù)據(jù)， 直到發(fā)送成功為止。這是數(shù)據(jù)包丟失的情況下給出的一種修補機制。一般來說，重傳發(fā)生在 超時之后，但是如果發(fā)送端接收到3個以上的重復(fù)ACK，就應(yīng)該意識到，數(shù)據(jù)丟了，需要重 新傳遞。這個機制不需要等到重傳定時器溢出，所以叫做快速重傳。而

6、快速重傳以后，因為 走的不是慢啟動而是擁塞避免算法，所以這又叫做快速恢復(fù)算法?？焖僦貍骱涂焖倩謴?fù)旨在：快速恢復(fù)丟失的數(shù)據(jù)包。沒有快速重傳和快速恢復(fù)，TCP將會使用定時器來要求傳輸暫停。在暫停這段時間內(nèi)，沒有 新的數(shù)據(jù)包被發(fā)送。7、延遲確認機制與Nagle算法：8.SYN flood attack 解決辦法？從防御角度來說，有幾種簡單的解決方法：第一種是縮短SYN Timeout時間：由于SYN Flood攻擊的效果取決于服務(wù)器上保持的SYN半連接數(shù)，這個值=SYN攻擊的頻度x SYN Timeout，所以通過縮短從接收到SYN報文到確定這個報文無效并丟棄該連接的時間， 例如設(shè)置為20秒以下（過

7、低的SYN Timeout設(shè)置可能會影響客戶的正常訪問），可以成倍 的降低服務(wù)器的負荷。第二種方法是設(shè)置SYN Cookie：就是給每一個請求連接的IP地址分配一個Cookie，如果短時間內(nèi)連續(xù)受到某個IP的重復(fù)SYN 報文，就認定是受到了攻擊，以后從這個IP地址來的包會被丟棄。可是上述的兩種方法只 能對付比較原始的SYN Flood攻擊，縮短SYN Timeout時間僅在對方攻擊頻度不高的情況下 生效，SYN Cookie更依賴于對方使用真實的IP地址，如果攻擊者以數(shù)萬/秒的速度發(fā)送SYN 報文，同時利用隨機改寫IP報文中的源地址，以上的方法將毫無用武之地。例如SOCK_RAW 返回的套接字

8、通過適當?shù)脑O(shè)置可以自己完全控制IP頭的內(nèi)容從而實現(xiàn)IP欺騙。9.擁塞表現(xiàn)形式？指在分組交換網(wǎng)絡(luò)中傳送分組的數(shù)目太多時，由于存儲轉(zhuǎn)發(fā)節(jié)點的資源有限而造成網(wǎng)絡(luò)傳 輸性能下降的情況。當網(wǎng)絡(luò)發(fā)生擁塞時，一般會出現(xiàn)數(shù)據(jù)丟失，時延增加，吞吐量下降，嚴 重時甚至?xí)?dǎo)致“擁塞崩潰”（congestion collapse）。通常情況下，當網(wǎng)絡(luò)中負載過度增加 致使網(wǎng)絡(luò)性能下降時，就會發(fā)生網(wǎng)絡(luò)擁塞。10.擁塞控制解決辦法？TCP Tahoe： Tahoe算法是TCP的早期版本，它的核心思想是：讓cwnd以指數(shù)增長方式 迅速逼近可用信道容量，然后慢慢接近均衡。Tahoe包括3個基本的擁塞控制算法：慢啟動、 擁塞避免

9、、快速重傳。我們可以看到，Tahoe不存在快速恢復(fù)算法。這也是它的不足之處。 在收到3個重復(fù)ACK或者在超時的情況下，Tahoe置cwnd為1，然后進入慢啟動階段。 這一方面會引起網(wǎng)絡(luò)的激烈震蕩，另一方面大大降低了網(wǎng)絡(luò)的利用率。而Renoe在快重傳之后采用快恢復(fù)算法而不是采用慢開始算法，這就解決了上述問題。11.IP層有哪些功能，有哪些協(xié)議（越全面越好）IP層提供路由和尋址的功能，使兩終端系統(tǒng)能夠互連且決定最佳路徑，并具有一定的擁 塞控制和流量控制的能力。網(wǎng)際協(xié)議IP，地址解析協(xié)議ARP，網(wǎng)際控制報文協(xié)議ICMP，逆地址解析協(xié)議RARP。tansrote 機制程序利用增加存活時間（TTL）值來

10、實現(xiàn)其功能的。每當數(shù)據(jù)包經(jīng)過一個路由器，其存活時 間就會減1。當其存活時間是0時，主機便取消數(shù)據(jù)包，并傳送一個ICMP TTL數(shù)據(jù)包給原 數(shù)據(jù)包的發(fā)出者。程序發(fā)出的首3個數(shù)據(jù)包TTL值是1，之后3個是2,如此類推，它便得到一連串數(shù)據(jù)包路 徑。注意IP不保證每個數(shù)據(jù)包走的路徑都一樣。比較鏈路狀態(tài)算法和距離矢量算法距離矢量路由協(xié)議，更新的是“路由條目”。一條核心的鏈路如果發(fā)生變化，這個時候網(wǎng) 絡(luò)需通告多條涉及到的路由條目！距離矢量路由協(xié)議發(fā)送周期性更新、完整路由表更新。鏈路狀態(tài)路由協(xié)議，更新的是“拓撲”。每臺路由器上都有完全相同的拓撲，他們各自 分別進行SPF算法，計算出路由條目！相對于距離矢量路

11、由，一條核心鏈路的變化，只需發(fā) 送一條鏈路通告，只需要告知其它路由器本鏈路發(fā)生變化。其它路由器會根據(jù)鏈路狀態(tài)， 改變自已的拓撲數(shù)據(jù)庫，重新計算路由條目。計算udp校驗和課本195流量控制如果發(fā)送方吧數(shù)據(jù)發(fā)送太快，接收方就可能來不及接收，這就會造成數(shù)據(jù)丟失。所謂流 量控制就是讓發(fā)送方的發(fā)送速率不要過快，要讓接收方來得及接收。而利用滑動窗口機制就 可以很方便地在TCP連接上實現(xiàn)對發(fā)送方的流量控制。PDU在分層網(wǎng)絡(luò)結(jié)構(gòu)，例如在開放式系統(tǒng)互聯(lián)（OSI）模型中，在傳輸系統(tǒng)的每一層都將建立協(xié)議 數(shù)據(jù)單元（PDU）。網(wǎng)絡(luò)層的PDU是數(shù)據(jù)包（packet），傳輸層的PDU是數(shù)據(jù)段（segment）， 其他更高

12、層次的PDU是報文（message）o PDU包含來自上層的信息，以及當前層的實體附 加的信息。然后，這個PDU被傳送到下一較低的層。物理層實際以一種編幀的位流形式傳 輸這些PDU，但是由協(xié)議棧的較高層建造這些PDUo接收系統(tǒng)自下而上傳送這些分組通過協(xié) 議棧，并在協(xié)議棧的每一層分離出PDU中的相關(guān)信息。重要的一點是，每一層附加到PDU 上的信息，是指定給另一個系統(tǒng)的同等層的。這就是對等層如何進行一次通信會話協(xié)調(diào)的。 通過從傳輸層段剝離報頭，執(zhí)行協(xié)議數(shù)據(jù)檢測以確定作為傳輸層段的部分數(shù)據(jù)的協(xié)議段的數(shù) 據(jù)，以及執(zhí)行標志驗證和剝離，從而處理數(shù)據(jù)段。還提供用于處理數(shù)據(jù)段的技術(shù)，其中接收 到協(xié)議數(shù)據(jù)單元的

13、報頭部分。利用所接收的報頭部分來確定將儲存在應(yīng)用空間中的數(shù)據(jù)的字 節(jié)數(shù)。而且，利用所接收的報頭部分來確定下一個協(xié)議數(shù)據(jù)單元的下一個報頭部分。然后， 發(fā)出窺視命令以獲得下一個報頭部分。另外提供用于利用所儲存的部分循環(huán)冗余校驗摘要和 剩余數(shù)據(jù)來執(zhí)行循環(huán)冗余校驗的技術(shù)。DNS遞歸查詢遞歸查詢是域名服務(wù)器將代替提出請求的客戶機（下級DNS服務(wù)器）進行域名查詢，若 域名服務(wù)器不能直接回答，則域名服務(wù)器會在域各樹中的各分支的上下進行遞歸查詢，最終 將返回查詢結(jié)果給客戶機，在域名服務(wù)器查詢期間，客戶機將完全處于等待狀態(tài)。當收到DNS工作站的查詢請求后，DNS服務(wù)器在自己的緩存或區(qū)域數(shù)據(jù)庫中查找，如找到 則返

14、回結(jié)果，如找不到，返回錯誤結(jié)果。即DNS服務(wù)器只會向DNS工作站返回兩種信息： 要么是在該DNS服務(wù)器上查找到的結(jié)果，要么是查詢失敗。該DNS工作站自行向該DNS服 務(wù)器詢問?！斑f歸”的意思是有來有往，并且來、往的次數(shù)是一致的。一般由DNS工作站 提出的查詢請求便屬于遞歸查詢。Piggy backing在計算機通信中，當一個數(shù)據(jù)幀到達的時候，接收方并不是立即發(fā)送一個單 獨的控制幀，而是抑制一下自己并且開始等待，直到網(wǎng)絡(luò)層傳遞給它下一個分組。然后，確 認信息被附在往外發(fā)送的數(shù)據(jù)幀上（使用幀頭中的ack域）。實際上，確認報文搭了下一個 外發(fā)數(shù)據(jù)幀的便車。這種“將確認暫時延遲以便可以鉤到下一個外發(fā)數(shù)據(jù)幀”的技術(shù)稱為捎 帶確認（piggybacking）。當主機收到遠程主機的TCP數(shù)據(jù)包之后，通常不馬上發(fā)送ACK數(shù)據(jù)包，而是等上一個短暫 的時間，如果這段時間里面主機還有發(fā)送到遠程主機的TCP