网络协议分析Chap 1——TCP/IP 概述1.用IP实现异构网络互联(IP能够屏蔽底层物理网络的差异,向上提供一致性)2.通用的协议分层思想:(1)第N层实体在实现自身定义的功能的时候,只能使用第N-1层提供的服务(2)N层向N+1层提供服务,该服务不仅包括N层本身所具备的功能,还包括由下层服务提供的功能总和(3)最底层只提供服务,是提供服务的基础;最高层只是用户,是使用服务的最高层,中间各层既是下一层的用户,又是上一层的服务提供者(4)仅在相邻层间有借口,且下层服务的实现细节对上层完全透明3.TCP/IP分层模型分层优势:简化问题,分而治之,有利于软件升级换代应用层、传输层、IP层、网络接口层、物理层分层缺点:效率低1.各层之间相互独立,都要对数据进行分别处理2.每层处理完毕都要加一个头结构,增加了通信数据量TCP/IP的分层原则:信宿机第n层收到的数据与信源机第n层发出的数据完全一致。
应用层:提供通用的应用程序,如电子邮件、文件传输等。
传输层:提供应用程序间端到端的通信①格式化信息流②提供可靠传输③识别不同应用程序IP层:负责点到点通信①处理TCP分层发送请求②为进入的数据报寻径③处理ICMP报文:流控、拥塞控制④组播服务网络接口层:接收IP数据报并通过选定的网络发送。
总结:TCP/IP模型是在1个硬件层上构建的4个软件层4.TCP/IP 中协议依赖关系CHAP 2 点到点PPP协议1.最大接收单元:用以向对方通告可以接受的最大报文长度;2.PPPoE定义了在以太网中使用PPP协议的规范,主要用于城域以太网以及个人用户基于以太网连接ADSL接入设备的场合CHAP 3 Internet地址及地址解析1.IP地址:网络号+主机号2.IP地址的寻路特点:(1)指明了主机所在的网络,标识了对象位置(2)标识了到达对象的路径,机先投递到对象所在网络,之后投递到相应的主机3.IP地址分类A类:0 —8位网络号首字节1—126B类:10 —16位网络号首字节128—191C类:110 —24位网络号首字节192—223D类:1110 —组播地址首字节224—239E类:11110 -- (保留未用)首字节240—247特殊IP地址:网络地址:主机号全0;广播地址:主机号全‘1’有限广播地址:32位全‘1’;回送地址:127.*.*.*,网络软件测试及本机进程间的通信。
4.从IP地址中提取网络部分,过程如下:(1)提取首比特位,为0则是A类地址,第一个字节是网络号(2)首位为1,则提取第二位,为0则是B类地址,前两个字节是网络号(3)第二位为1,则提取第三位,为0 则是C类地址,前三个字节是网络号5.ARP的基本思想是“询问”。
6.ARP步骤:(1)发送方发送一个ARP请求,该报文以广播方式发送,包含接收方的IP地址。
(2)网络上所有主机都会受到这个请求,比较请求中的接收方IP与自己的IP,若相同,则向发送方回应,回应中包含自己的物理地址,否则不作回应。
总结:广播请求,单播回应!话外:在TCP/IP协议中,每一个网络结点是用IP地址标识的,IP地址是一个逻辑地址。
而在以太网中数据包是靠48位MAC地址(物理地址)寻址的。
因此,必须建立IP地址与MAC地址之间的对应(映射)关系,ARP协议就是为完成这个工作而设计的。
7.ARP欺骗。
(P31)(1)嗅探器的原理:在共享网络环境下,所有数据通过物理广播方式投递,在网卡工作于混杂模式下不会进行地址检查而直接接收数据,主机可以修改网卡的工作模式嗅探网断内的所有通讯数据。
(被动攻击)(2)基于ARP欺骗的嗅探器:在同一网段中可以通过ARP询问知道网段内任意主机的IP地址和MAC地址映射关系。
在交换式网络环境下,一台主机H若想截获A、B主机间的通讯,可以首先向A发送一个ARP应答报文,里面包含IPb/MACh,A收到后会更新缓存保存该映射关系,H又向B主机发送ARP应答,包含映射关系IPa/MACh,B也跟新该映射,这样就A、B间的数据将都发往主机H。
从而通过ARP欺骗实现了嗅探。
8.反响地址解析协议RARP:ARP实现IP地址到物理地址的映射,RARP实现物理地址到IP地址的映射。
CHAP 4 互联网协议IP1、IP层特点(1)提供了一种无连接的传递机制。
(2)不保证数据报传输的可靠性。
(3)提供了尽最大努力的投递机制。
(4)点到点2、IP数据报的最大长度可达65535字节,远大于多数物理网络的MTU,故而需要数据分片。
3、寿命TTL:在数据投递过程中有可能因为中间路由器的路由表出现错误而导致数据报在网络中的永无休止的循环投递,为避免网络中大量存在这种数据报而导致的拥塞情况,用“寿命”来限制数据报在互联网中的存活时间。
数据报每经过一个路由器TTL减一,当TTL等于0时,数据报被丢弃。
4、分片重组:数据报分片重组地点是信宿机,中间路由器不对任何分片的数据报进行重组。
5、重组过程:(1)信宿机收到数据报根据片偏移量和MF位来判断是否是分片。
MF为0且片偏移量为0,则是完整数据报,否则是分片,需重组。
(2)根据标识字段判断哪些分片属于同一个原始数据报,根据片偏移量确定分片在原始数据报中的位置。
(3)在重组定时器超时时,仍未收到数据报的全部分片,则丢弃该数据报。
6、分片攻击(1) Tiny Fragment:发送极小分片,让TCP报头的端口号包含在第二个分片中,绕过防火墙或者IDS过滤系统。
(nmap -f)(2) Ping of Death:发送长度超过65535的IP报(封装了ICMP Echo Request包),目标主机重组分片时会造成事先分配的65535字节缓冲区溢出,系统通常会崩溃或者挂起。
(3) teardrop:第二个IP分片偏移量小于第一个分片结束的位置,出现重叠。
实现Ping of Death:MF=0(最后一片),报文长度为49,偏移量为0x1FFE重组后长度为0x1FFE * 8 + (49-20)= 65549CHAP 5 Internet控制报文协议ICMP1、ICMP协议解决控制问题、实现报错机制、帮助维护Internet的投递秩序。
2、源站抑制报文:拥塞控制和流量控制路由器发生拥塞必须采用某种机制通知发送数据报的源端减慢发送速度,这就是拥塞控制。
为解决拥塞问题,ICMP提供了源站抑制报文,告知源站降低数据报发送的速率。
3、Traceroute原理。
(1)发送IP数据报,TTL = 1,则到达第一个路由器后TTL = 0,该路由器向源端发送ICMP超时报文,该报文封装在IP数据报中,源端收到该报文后提取IP首部的IP地址字段,则记录了第一个路由器。
(2)TTL值以1为单位递增,直到获取源端到目的端的所有路由器的IP地址,停止发送IP数据报,获得完整路由。
CHAP 6 用户数据报协议UDP1、传输层(在应用层与IP之间起承上启下的作用)满足三个要求。
(1)、传输层要提供比IP层质量更高的服务。
(2)、传输层要提供识别应用层进程的机制。
(3)、传输层要针对不同尺寸的应用层数据进行恰当的处理。
2、端口号:有效解决了应用的标识问题,对应一个应用、一或多个进程、一个缓冲区。
话外:为每个协议按用户可能要求的服务种类设置一些抽象的访问目的点,用一个16bit 的正整数标识。
3、简述UDP的必要性。
UDP提供不可靠的数据传输,但相比TCP,UDP不需要连接和重传机制,所以通信效率更高。
在网络通讯中,比如视频点播,语音通话等应用,对效率和实时性的的要求更高,不适用面向连接的TCP,适用无连接的UDP。
4、C/S模型使用UDP传送数据前,源端需获得目的应用的端口号,通过C/S模式获取端口号。
工作模式:服务器先启动,绑定某个特定端口,并在该端口上监听服务请求。
客户端主动请求服务器的服务,服务器收到服务请求后就会立即处理。
服务器和客户端是一对多的关系。
CHAP 7 传输控制协议TCP1、TCP特点:面向连接的、端到端的、提供高可靠性的传输层协议(1)面向数据流;(2)虚电路连接;(3)有缓冲的传输;(4)无结构的数据流;(5)全双工连接。
2、TCP在传输数据前要先建立连接三次握手:REQUEST:发送方发送SYN,seq=xACCEPT:接收方接收SYN,发送SYN seq=y,ACK x+1CONFIRM:发送方接收SYN+ACK,发送ACK y+1;接收方接收ACK报文3、SYN洪泛攻击三次握手过程中不发送最后一个确认构造大量半开连接耗尽服务器资源(DoS)4、TCP确认机制的特点①TCP的确认指明的是期望接收的下一个报文段的序号,而不是已经接收到的报文段序号②累计确认优点:(1)在变长段传输方式下不会产生二义性(2)即使确认信息丢失也不会导致重传缺点:发送方不能收到所有成功传输的报文段确认消息,只能知道已收到数据流中的某一位置信息,有时会对重传超时定时器的设置产生影响。
③捎带确认5、糊涂窗口综合征(SWS):接收方的小窗口通告造成发送方发送一系列小的报文段,严重浪费网络带宽接收方避免SWS策略:1)避免小窗口通告。
接收方在零窗口通告之后,要等到缓冲区可用空间达到总空间的一半或达到一个MSS后才发送新的窗口通告2)推迟确认(最多500ms),窗口大小不到避免SWS策略所需的尺寸时,不确认。
优点是降低通信量提高吞吐率,缺点是延迟太大时,造成报文重传。
同时,为了使发送方正确估计RTT,至少每隔一个报文段要进行正常的确认。
发送方避免SWS策略:避免发送小报文段。
基本思想是当一个连接上的已经传输的数据还未被确认时,发送方的数据进入输出缓冲区,等到填满一个能够达到最大长度的报文段之后再发送数据。
使用Nagle算法自适应机制来推迟传输,将数据组块形成较长的大报文段。
6、TCP拥塞控制技术(慢启动和拥塞避免算法被TCP发送端用来控制正在向网络发送的数据量。
)TCP采用了一种主动控制机制。
1. 拥塞控制技术:①拥塞窗口cwnd②加速递减技术③慢启动技术①拥塞窗口cwnd每个连接都有一个拥塞窗口,该窗口大小以字节为单位,但是增加和减少以MSS 为单位;初始大小:1个MSS;临界值:64KB②慢启动技术指数递增:每次成功发送1个MSS长度的报文段,则发送方拥塞窗口加倍;线性递增:增长到临界值后,每次增加1个MSS发送窗口= min (接收方窗口通告,cwnd)③加速递减技术指数级递减:出现超时重传时,将临界值设为当前拥塞窗口的1/2,拥塞窗口恢复为1个MSS大小;指数退避:对保留在发送窗口中的报文段,将重传时限加倍。
7、带外数据:源站不能按字节流的顺序而需要立即发给接收方并及时处理的数据(普通数据流中的紧急数据)。
URG位为1。