《网络协议分析》复习要点1、以太网的帧长有什么限制？最小64b，最大1500bMTU值是什么意思？MTU指定了网络中可传输数据包的最大尺寸,在我们常用的以太网中,MTU值最大1500字节。

超过此大小的数据包就会将多余的部分拆分再单独传输。

以太网的MTU值是多少？MTU值最大1500字节以太网中最短帧是多少？64成因？标准（10Mbps）以太网采用中继器时，连接的最大长度是2500米，最多经过4个中继器，因此规定对10Mbps以太网的最小发送时间是51.2微秒，这段时间能传输的数据是512位，512位=64字节。

以太网如何实现高效率？硬件：先听后说，随机数解决冲突软件：无超时机制，只校验不确认，帧头的简单性什么是透明传输？透明传输是指不管所传数据是什么样的比特组合，都应当能够在链路上传送。

HDLC采用什么透明传输方法？零比特填充法2、ARP的功能？将IP地址解析为物理地址ARP工作的过程?(1)主机A首先查看自己的ARP表，找到了对应的MAC地址，则主机A直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机B。

（2）如果主机A在ARP表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。

ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址，目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。

由于ARP 请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。

(3)主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时进行如下处理：将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。

之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。

(4)主机A收到ARP响应报文后，将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发,同时将IP数据包进行封装后发送出去。

ARP表的维护使用函数arptimer()，定时删除，动态获取。

ARP表的特点？一次查询，多次使用，定时删除，动态获取。

ARP请求报文和ARP回应报文的格式（特别是MAC地址、IP地址）。

•硬件类型：占两字节，表示ARP报文可以在哪种类型的网络上传输，值为1时表示为以太网地址。

•上层协议类型：占两字节，表示硬件地址要映射的协议地址类型，映射IP地址时的值为0x0800。

•MAC地址长度：占一字节，标识MAC地址长度，以字节为单位，此处为6。

•IP协议地址长度：占一字节，标识IP得知长度，以字节为单位，此处为4。

•操作类型：占2字节，指定本次ARP报文类型。

1标识ARP请求报文，2标识ARP应答报文。

•源MAC地址：占6字节，标识发送设备的硬件地址。

•源IP地址：占4字节，标识发送方设备的IP地址。

•目的MAC地址：占6字节，表示接收方设备的硬件地址，在请求报文中该字段值全为0，即00-00-00-00-00-00，表示任意地址，因为现在不知道这个MAC地址。

•目的IP地址：占4字节，表示接受方的IP地址。

ARP报文不是直接在网络层上发送的，它还是需要向下传输到数据链路层，ARP报文前面加了一个以太网帧头。

ARP有什么安全问题？ARP报文处理算法无条件的将一个看似合法的记录加入到缓冲区中，这种做法是十分危险的，网络攻击者可以构造看似合法的ARP请求报文，进行ARP 欺骗攻击。

广播查询的广播，单播查询的单播是否都是必要的？不是必要的，其实可以使用单播的方式把数据包发送给所有端口，也可以达到目的。

同样的，单播查询可以改成利用广播的方式令目标检测接收。

广播（broadcasting）是多点投递的最普遍的形式，它向每一个目的站投递一个分组的拷贝。

单播（unicasting）是指只有一个目的地的数据报传递。

3、IP的功能？它为互联网上的每一个网络和每一台主机分配一个逻辑地址，以此来屏蔽物理地址的差异。

路由和安装数据包。

IP地址：IP地址是IP协议提供的一种统一的地址格式。

是一个32位的二进制数，通常被分割为4个“8位二进制数”（也就是4个字节）。

IP地址通常用“点分十进制”表示成（a.b.c.d）的形式。

网络地址、是互联网上的节点在网络中具有的逻辑地址，可对节点进行寻址掩码。

是一串二进制代码对目标字段进行位与运算，屏蔽当前的输入位。

IP数据报首部格式、IP数据报是指IP层端到端的传输单元（在分片之前和重新组装之后）。

长度占4位各字段意义版本：指IP协议的版本。

IP协议版本号为4(即IPv4)，IP协议版本号为6(即IPv6)。

首部长度：指首部的长度，最大十进制数值是15。

在TCP/IP的标准中，各种数据格式常以32位（4字节）为单位进行描述，就达到最大值60个字节。

最常用的首部长度就是20个字节，是固定首部的长度。

区分服务：用来获得更好的服务总长度：首部和数据之和的长度标识当数据报由于长度超过网络的MTU而必须分片时，这个标识字段的值就会被复制到所有的数据报片的标识字段中。

相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。

标志标志字段中的最低位记为MF(1)MF=1即表示后面“还有分片”的数据报。

(2)MF=0即表示这已是若干数据报片中的最后一个。

片偏移较长的分钟再分片后，某片在原分组中的相对位置。

生存时间数据报在网络中的寿命协议指出此数据报携带的数据是使用何种协议，让目的主机的IP层知道应将数据部分上交给哪个处理过程。

首部检验和只检验数据报的首部哪些字段在经过每一个路由器时会发生变化，生存时间（TTL）、首部校验和。

每经过一路由器，TTL值减一；首部校验和是根据首部生成的，TTL字段变化，首部校验和随之也要变化。

IP数据报分片和重组。

把一个数据报为了适合网络传输而分成多个数据报的过程称为分片，被分片后的各个IP数据报可能经过不同的路径到达目标主机。

当分了片的IP数据报到达最终目标主机时，目标主机对各分片进行组装，恢复成源主机发送时的IP数据报，这个过程叫做IP数据报的重组。

TCP分段和IP分片的不同？IP分片产生的原因是网络层的MTU；TCP分段产生原因是MSS （最大报文段）. IP分片由网络层完成，也在网络层进行重组；TCP分段是在传输层完成，并在传输层进行重组. //透明性（MSS<=MTU）IP分片的数据报来说，即使只丢失一片数据也要重新传整个数据报（既然有重传，说明运输层使用的是具有重传功能的协议，如TCP协议）。

这是因为IP层本身没有超时重传机制------由更高层（比如TCP）来负责超时和重传。

当来自TCP报文段的某一段（在IP数据报的某一片中）丢失后，TCP在超时后会重发整个TCP报文段。

从IP的相关数据结构和IP工作流程中分析IP的高效率怎么体现？1）在校验上，只针对报头2）在封装上，报头只用20个字节+选项，轻装上阵3）使用路由表，一次生成多次使用，便于查找作为网络互连，IP和网桥处理帧的不同。

网桥：强行转换帧结构。

IP：先拆掉再重新封装成目的主机可接受帧结构4、ICMP的功能？在主机与路由器之间传递控制信息ICMP差错报告报文的分类和功能。

共有五种差错报告报文：1.目的不可达。

（找不到或不能交付）2.源站抑制。

（缓冲区溢出）3.时间超过。

（TTL=0 ，分片不能重组或时间超过报文的应用）4.参数问题。

5.改变路由5、Ping工具的功能，验证与一台或多台远程计算机的连接。

Ping 工具主要用于检测网络的连通性Ping的思想：向特定的目的主机发送 ICMP（Internet Control Message Protocol 因特网报文控制协议）Echo 请求报文，测试目的站是否可达及了解其有关状态TracertRout的功能，实现的基本思想？跟踪数据包到达目的地址的每一跳信息，原理：先发送TTL 为 1 的回应数据包，并随后的每次发送过程将TTL 递增1，直到目标响应或TTL 达到最大值，从而确定路由。

常用tracert 命令确定数据包在网络上的停止位置，也可用于检查网络中是否存在环路UDP的功能？面向非连接、传输不可靠、用于传输少量数据(数据包模式)、速度快TCP功能？tcp协议的主要功能是把传输的数据流，分割成适度长短的报文段，通过最大传送单元对最大传输段大小的显示，该限制需要在计算机的数据链路层中实现，把TCP 的数据包上传给IP层，然后再把数据包传送给TCP层。

TCP连接和释放。

连接：三次握手第一次握手：建立连接时，客户端发送syn包到服务器，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的SYN，同时自己也发送一个SYN包（seq=k）；第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1），此包发送完毕，客户端和服务器进入ESTABLISHED（TCP连接成功）状态，完成三次握手。

释放：四次挥手（客户到服务器2服务器到客户2）（1）客户端A发送一个FIN，用来关闭客户A到服务器B的数据传送（2）服务器B收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。

和SYN 一样，一个FIN将占用一个序号。

（3）服务器B关闭与客户端A的连接，发送一个FIN给客户端A。

（4）客户端A发回ACK报文确认，并将确认序号设置为收到序号加1TCP连接中产生的安全问题。

TCP连接的建立和断开涉及多个报文，多个状态之间的转换。

很可能会让攻击者以此展开拒绝服务攻击。

可能会被导致IP欺骗。

给应用层协议带来隐患。

TCP中存在的差错控制。

检验和、确认以及超时。

IP欺骗的过程。

（1）使被信任主机的网络暂时瘫痪，以免对攻击造成干扰。

（2）连接到目标机的某个端口来猜测ISN基值和增加规律。

（3）把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接。

（4）等待目标机发送SYN+ACK包给已经瘫痪的主机。

（5）再次伪装成被信任主机向目标主机发送ACK，此时发送的数据段带有预测的目的主机的ISN+1。

（6）连接建立，发送命令请求。

6、RIP协议的功能。

RIP协议是一种动态路由选择协议，用于自治系统内的路由信息的传递RIP路由更新过程。

（默认30秒）1.没有网络的路由表项就添加.2.有且来源端口相同就无条件信任更新.3.有来源端口不同就比较它们的度量值，将度量值较小的一个作为自己的路由表项；4. 来源端口相同度量值一样就保留选路和转发的主要差异。

选路：是根据路由表查找到达目标网络的最佳路由表项，转发:是根据最佳路由中的出口及下一跳IP转发数据包的过程。

选路：1、选择最长掩码原则2、管理距离（由协议来决定）3.度量值最小（就是跳数小的）路由功能以路由表为核心的好处。