网络协议分析

Chap 1——TCP/IP 概述

1.用IP实现异构网络互联（IP能够屏蔽底层物理网络的差异，向上提供一致性）

2.通用的协议分层思想：

（1）第N层实体在实现自身定义的功能的时候，只能使用第N-1层提供的服务

（2）N层向N+1层提供服务，该服务不仅包括N层本身所具备的功能，还包括由下层服务提供的功能总和

（3）最底层只提供服务，是提供服务的基础；最高层只是用户，是使用服务的最高层，中间各层既是下一层的用户，又是上一层的服务提供者

（4）仅在相邻层间有借口，且下层服务的实现细节对上层完全透明

3.TCP/IP分层模型

分层优势：简化问题，分而治之，有利于软件升级换代

应用层、传输层、IP层、网络接口层、物理层

分层缺点：效率低

1.各层之间相互独立，都要对数据进行分别处理

2.每层处理完毕都要加一个头结构，增加了通信数据量

TCP/IP的分层原则：信宿机第n层收到的数据与信源机第n层发出的数据完全一致。

应用层：提供通用的应用程序，如电子邮件、文件传输等。

传输层：提供应用程序间端到端的通信

①格式化信息流②提供可靠传输③识别不同应用程序

IP层：负责点到点通信

①处理TCP分层发送请求

②为进入的数据报寻径

③处理ICMP报文：流控、拥塞控制

④组播服务

网络接口层：接收IP数据报并通过选定的网络发送。

总结：TCP/IP模型是在1个硬件层上构建的4个软件层

4.TCP/IP 中协议依赖关系

CHAP 2 点到点PPP协议

1.最大接收单元：用以向对方通告可以接受的最大报文长度；

2.PPPoE定义了在以太网中使用PPP协议的规范，主要用于城域以太网以及个人用户基于以太网连接ADSL接入设备的场合

CHAP 3 Internet地址及地址解析

1.IP地址：网络号+主机号

2.IP地址的寻路特点：

（1）指明了主机所在的网络，标识了对象位置

（2）标识了到达对象的路径，机先投递到对象所在网络，之后投递到相应的主机

3.IP地址分类

A类：0 —8位网络号首字节1—126

B类：10 —16位网络号首字节128—191

C类：110 —24位网络号首字节192—223

D类：1110 —组播地址首字节224—239

E类：11110 -- （保留未用）首字节240—247

特殊IP地址:

网络地址：主机号全0；广播地址：主机号全‘1’

有限广播地址：32位全‘1’；回送地址：127.*.*.*，网络软件测试及本机进程间的通信。

4.从IP地址中提取网络部分，过程如下：

（1）提取首比特位，为0则是A类地址，第一个字节是网络号

（2）首位为1，则提取第二位，为0则是B类地址，前两个字节是网络号

（3）第二位为1，则提取第三位，为0 则是C类地址，前三个字节是网络号

5.ARP的基本思想是“询问”。

6.ARP步骤：

（1）发送方发送一个ARP请求，该报文以广播方式发送，包含接收方的IP地址。

（2）网络上所有主机都会受到这个请求，比较请求中的接收方IP与自己的IP，若相同，则向发送方回应，回应中包含自己的物理地址，否则不作回应。

总结：广播请求，单播回应！

话外：在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。

7.ARP欺骗。（P31）

（1）嗅探器的原理：在共享网络环境下，所有数据通过物理广播方式投递，在网卡工作于混杂模式下不会进行地址检查而直接接收数据，主机可以修改网卡的工作模式嗅探网断内的所有通讯数据。（被动攻击）

（2）基于ARP欺骗的嗅探器：在同一网段中可以通过ARP询问知道网段内任意主机的IP地址和MAC地址映射关系。在交换式网络环境下，一台主机H若想截获A、B主机间的通讯，可以首先向A发送一个ARP应答报文，里面包含IPb/MACh，A收到后会更新

缓存保存该映射关系，H又向B主机发送ARP应答，包含映射关系IPa/MACh，B也跟新该映射，这样就A、B间的数据将都发往主机H。从而通过ARP欺骗实现了嗅探。

8.反响地址解析协议RARP：ARP实现IP地址到物理地址的映射，RARP实现物理地址到IP地址的映射。

CHAP 4 互联网协议IP

1、IP层特点

（1）提供了一种无连接的传递机制。

（2）不保证数据报传输的可靠性。

（3）提供了尽最大努力的投递机制。

（4）点到点

2、IP数据报的最大长度可达65535字节，远大于多数物理网络的ＭＴＵ，故而需要数据分片。

3、寿命TTL：在数据投递过程中有可能因为中间路由器的路由表出现错误而导致数据报在网络中的永无休止的循环投递，为避免网络中大量存在这种数据报而导致的拥塞情况，用“寿命”来限制数据报在互联网中的存活时间。

数据报每经过一个路由器TTL减一，当TTL等于0时，数据报被丢弃。

4、分片重组：数据报分片重组地点是信宿机，中间路由器不对任何分片的数据报进行重组。

5、重组过程：

（1）信宿机收到数据报根据片偏移量和MF位来判断是否是分片。MF为0且片偏移量为0，则是完整数据报，否则是分片，需重组。

（2）根据标识字段判断哪些分片属于同一个原始数据报，根据片偏移量确定分片在原始数据报中的位置。

（3）在重组定时器超时时，仍未收到数据报的全部分片，则丢弃该数据报。

6、分片攻击

(1) Tiny Fragment：发送极小分片，让TCP报头的端口号包含在第二个分片中，绕过防火墙或者IDS过滤系统。(nmap -f)

(2) Ping of Death：发送长度超过65535的IP报（封装了ICMP Echo Request包），目标主机重组分片时会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或者挂起。

(3) teardrop：第二个IP分片偏移量小于第一个分片结束的位置，出现重叠。

实现Ping of Death：

MF=0（最后一片），报文长度为49，偏移量为0x1FFE

重组后长度为0x1FFE * 8 + （49-20）= 65549

CHAP 5 Internet控制报文协议ICMP

1、ICMP协议解决控制问题、实现报错机制、帮助维护Internet的投递秩序。

2、源站抑制报文：拥塞控制和流量控制