传输层安全协议
随着计算机网络的普及与发展,网络为我们创造了一个可以实现信息共享的新环境。但是由于网络的开放性,如何在网络环境中保障信息的安全始终是人们关注的焦点。在网络出现的初期,网络主要分布在一些大型的研究机构、大学和公司。由于网
络使用环境的相对独立和封闭性,网络内部处于相对安全的环境,在网络内部传输信
息基本不需要太多的安全措施。随着网络技术的飞速发展,尤其是Internet的出现和
以此平台的电子商务的广泛应用,如何保证信息在Internet的安全传输,特别是敏感
信息的保密性、完整性已成为一个重要问题,也是当今网络安全技术研究的一个热点。
在许多实际应用中,网络由分布在不同站点的内部网络和站点之间的公共网络组成。每个站点配有一台网关设备,站点内网络的相对封闭性和单一性,站点内网络对
传输信息的安全保护要求不大。二站点之间网络属于公共网络,网络相对开发,使用
情况复杂,因此需要对站点间的公共网络传输的信息进行安全保护。
在网际层中,IPSec可以提供端到端的网络层安全传输,但是它无法处理位于同一端系统之中的不同的用户安全需求,因此需要在传输层和更高层提供网络安全传输服务,来满足这些要求。基于两个传输进程间的端到端安全服务,保证两个应用之间的
保密性和安全性,为应用层提供安全服务。Web浏览器是将HTTP和SSL相结合,因
为简单在电子商务也应用。
在传输层中使用的安全协议主要有以下几个:
1.SSL(安全套接字层协议)
SSL(Secure Socket Layer)是由Netscape设计的一种开放协议;它指定了一种在应用程序协议(例如http、telnet、NNTP、FTP)和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
SSL的主要目的是在两个通信应用程序之间提供私密信和可靠性。这个过程通过3个元素来完成:
l 握手协议。这个协议负责协商被用于客户机和服务器之间会话的加密参数。当一个SSL客户机和服务器第一次开始通信时,它们在一个协议版本上达成一致,选择加
密算法,选择相互认证,并使用公钥技术来生成共享密钥。
l 记录协议。这个协议用于交换应用层数据。应用程序消息被分割成可管理的数据块,还可以压缩,并应用一个MAC(消息认证代码);然后结果被加密并传输。接受方接受数据并对它解密,校验MAC,解压缩并重新组合它,并把结果提交给应用程序协议。
l 警告协议。这个协议用于指示在什么时候发生了错误或两个主机之间的会话在什么时候终止。
下面我们来看一个使用WEB客户机和服务器的范例。WEB客户机通过连接到一
个支持SSL的服务器,启动一次SSL会话。支持SSL的典型WEB服务器在一个与标
准HTTP请求(默认为端口80)不同的端口(默认为443)上接受SSL连接请求。当客户机连接到这个端口上时,它将启动一次建立SSL会话的握手。当握手完成之后,通信内
容被加密,并且执行消息完整性检查,知道SSL会话过期。SSL创建一个会话,在此
期间,握手必须只发生过一次。
SSL握手过程步骤:
步骤1:SSL客户机连接到SSL服务器,并要求服务器验证它自身的身份。
步骤2:服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证
书链,直到某个根证书权威机构(CA)。通过检查有效日期并确认证书包含有可信任CA 的数字签名,来验证证书。
步骤3:然后,服务器发出一个请求,对客户端的证书进行验证。但是,因为缺
乏公钥体系结构,当今的大多数服务器不进行客户端认证。
步骤4:协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客
户机提供它支持的所有算法列表,然后由服务器选择最强健的加密算法。
步骤5:客户机和服务器通过下列步骤生成会话密钥:
a. 客户机生成一个随机数,并使用服务器的公钥(从服务器的证书中获得)对它加密,发送到服务器上。
b. 服务器用更加随机的数据(从客户机的密钥可用时则使用客户机密钥;否则以明
文方式发送数据)响应。
c. 使用哈希函数,从随机数据生成密钥。
SSL协议的优点是它提供了连接安全,具有3个基本属性:
l 连接是私有的。在初始握手定义了一个密钥之后,将使用加密算法。对于数据加密使用了对称加密(例如DES和RC4)。
l 可以使用非对称加密或公钥加密(例如RSA和DSS)来验证对等实体的身份。
l 连接时可靠的。消息传输使用一个密钥的MAC,包括了消息完整性检查。其中
使用了安全哈希函数(例如SHA和MD5)来进行MAC计算。
对于SSL的接受程度仅仅限于HTTP内。它在其他协议中已被表明可以使用,但还没有被广泛应用。
注意:IETF正在定义一种新的协议,叫做“传输层安全”(Transport Layer Security,TLS)。它建立在Netscape所提出的SSL3.0协议规范基础上;对于用于传输层
安全性的标准协议,整个行业好像都正在朝着TLS的方向发展。但是,在TLS和
SSL3.0之间存在着显著的差别(主要是它们所支持的加密算法不同),这样,TLS1.0和SSL3.0不能互操作。
2.SSH(安全外壳协议)
SSH是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议。它提
供了对安全远程登录、安全文件传输和安全TCP/IP和X-Window系统通信量进行转发的支持。它可以自动加密、认证并压缩所传输的数据。正在进行的定义SSH协议的工
作确保SSH协议可以提供强健的安全性,防止密码分析和协议攻击,可以在没有全球
密钥管理或证书基础设施的情况下工作的非常好,并且在可用时可以使用自己已有的
证书基础设施(例如DNSSEC和X.509)。
SSH协议由3个主要组件组成:
l 传输层协议,它提供服务器认证、保密性和完整性,并具有完美的转发保密性。有时,它还可能提供压缩功能。
l 用户认证协议,它负责从服务器对客户机的身份认证。
l 连接协议,它把加密通道多路复用组成几个逻辑通道。
SSH传输层是一种安全的低层传输协议。它提供了强健的加密、加密主机认证和
完整性保护。SSH中的认证是基于主机的;这种协议不执行用户认证。可以在SSH的上层为用户认证设计一种高级协议。
这种协议被设计成相当简单而灵活,以允许参数协商并最小化来回传输的次数。
密钥交互方法、公钥算法、对称加密算法、消息认证算法以及哈希算法等都需要协商。
数据完整性是通过在每个包中包括一个消息认证代码(MAC)来保护的,这个MAC
是根据一个共享密钥、包序列号和包的内容计算得到的。
在UNIX、Windows和Macintosh系统上都可以找到SSH实现。它是一种广为接
受的协议,使用众所周知的建立良好的加密、完整性和公钥算法。
3.SOCKS协议
“套接字安全性”(socket security,SOCKS)是一种基于传输层的网络代理协议。它设计用于在TCP和UDP领域为客户机/服务器应用程序提供一个框架,以方便而安全的
使用网络防火墙的服务。
SOCKS最初是由David和Michelle Koblas开发的;其代码在Internet上可以免费
得到。自那之后经历了几次主要的修改,但该软件仍然可以免费得到。SOCKS版本4
为基于TCP的客户机/服务器应用程序(包括telnet、FTP,以及流行的信息发现协议如http、WAIS和Gopher)提供了不安全的防火墙传输。SOCKS版本5在RFC1928中定义,它扩展了SOCKS版本4,包括了UDP;扩展了其框架,包括了对通用健壮的认证
方案的提供;并扩展了寻址方案,包括了域名和IPV6地址。
当前存在一种提议,就是创建一种机制,通过防火墙来管理IP多点传送的入口和出口。这是通过对已有的SOCKS版本5协议定义扩展来完成的,它提供单点传送TCP和UDP流量的用户级认证防火墙传输提供了一个框架。但是,因为SOCKS版本5中当前的UDP支持存在着可升级性问题以及其他缺陷(必须解决之后才能实现多点传送),这
些扩展分两部分定义。
l 基本级别UDP扩展。
l 多点传送UDP扩展。
SOCKS是通过在应用程序中用特殊版本替代标准网络系统调用来工作的(这是为什么SOCKS有时候也叫做应用程序级代理的原因)。这些新的系统调用在已知端口上(通
常为1080/TCP)打开到一个SOCKS代理服务器(由用户在应用程序中配置,或在系统
配置文件中指定)的连接。如果连接请求成功,则客户机进入一个使用认证方法的协商,用选定的方法认证,然后发送一个中继请求。SOCKS服务器评价该请求,并建立适当
的连接或拒绝它。当建立了与SOCKS服务器的连接之后,客户机应用程序把用户想要连接的机器名和端口号发送给服务器。由SOCKS服务器实际连接远程主机,然后透明地在客户机和远程主机之间来回移动数据。用户甚至都不知道SOCKS服务器位于该循环中。
使用SOCKS的困难在于,人们必须用SOCKS版本替代网络系统调用(这个过程通常称为对应用程序SOCKS化---SOCKS-ification或SOCKS-ifying)。幸运的是,大多数
常用的网络应用程序(例如telnet、FTP、finger和whois)都已经被SOCKS化,并且许
多厂商现把SOCKS支持包括在商业应用程序中.·散列表:
基本思想:散列表(又称“哈希表”),以查找码的值为自变量,通过一定的函数关系,计算出对应的函数值,并以它作为该结点的存储地址,对结点进行存储。查找时,再
根据查找码,用同一个函数计算出地址,去取出结点。
特点:在散列表中可对结点进行快速检索。
·散列函数:
选择标准:选择一个好的散列函数,对于使用散列表方法是很关键的。对于查找
码中的任一值,经散列函数交换,映像到地址集合中任一地址的概率是相等的,即所
得地址在整个地址区间中是随机的,称此类哈希函数是“均匀”的。“均匀”是衡量好的哈希函数的主要标准。
·碰撞的处理:
碰撞的定义:在散列法中,不同的关键码值可能对应到同一存储地址,即k1!=k2,但h(k1)=h(k2)现象,称作碰撞(或冲突)。
处理方法:
(1)开放地址法(线性探测法):就是当碰撞发生时形成一个探测序列,沿着这个序
列逐个地址探测,直到找到一个开放的地址(即未被占用的单元)、将发生碰撞的关键
码值存入该地址中。最简单的探测序列为线性探测序列,即若发生碰撞的地址为d,
则探测的地址序列为:
d+1,d+2,...,m-1,0,1,...,d-1
其中,m是散列表存储区域大小。
(2)拉链法:就是给散列列表每个结点增加一个link字段,当碰撞发生时利用link
字段拉链,建立链接方式的同义词于表。每个同义词子表的第一个元素都在散列表基
本区域中、同义词其他元素,采用建立溢出区的方法,即另开辟一片存储区间作为溢
出区,用于存放各同义词表的其他元素。
传输层是TCP/IP模型中的核心层次,提供面可靠地向连接的TCP协议和不可靠面向无连接的UDP协议,为信息互联提供了基础。传输层的安全协议弥补了网际层安全的协议如IPSec等协议的不足,同时也为高层应用层的进程和安全协议如S-HTTP、HTTPS等协议提供了有力的保障。
南华大学计算机学院 实验报告 课程名称计算机网络原理 姓名周宝 学号 20144330103 专业物联网 任课教师谭邦 日期 2016年5月21日 成绩 南华大学
实验五、传输层协议分析 5.1. 实验目的 理解TCP报文首部格式和字段的作用,TCP连接的建立和释放过程,TCP数据传输中编号与确认的作用。 5.2 实验内容 应用TCP应用程序传输文件,截取TCP报文,分析TCP报文首部信息,TCP连接的建立过程,TCP数据的编号和确认机制。 5.3 实验原理 TCP协议是传输控制协议的简称,工作在网络层协议之上,是面向连接的,可靠的,端到端的传输层协议。 1.TCP的报文格式 TCP报文段分为头部和数据两部分,如图1: 图1 TCP报文段的总体结构 TCP报文段首部又分为固定部分和选项部分,固定部分为20B,如图2所示,这些字段的组合实现了TCP的所有功能。 图2 TCP报文段的首部 TCP采用传输输连接的方式传送TCP报文,传输连接包括连接建立、数据传输和连接释放三个阶段。 2.TCP连接的建立 TCP连接建立采用“3次握手”方式。 首先,主机A的TCP向主机B的TCP发出连接请求报文段,其首部中的同步位SYN应置1,同时选择一个序号X,表明在后面传送数据时的第一个数据字节的序号是X+1,如图3所示:
主动打开被动打开连接请求 确认 确认 图3 TCP连接建立的3次握手过程 然后,主机B的TCP收到连接请求报文段后,若同意,则发回确认。在确认报文段中应将SYN和ACK都置1,确认号应为X+1,同时也为自己选择一个序号Y。 最后,主机A的TCP收到B的确认后,要向B发回确认,其ACK置1,确认号为Y+1,而自己的序号为X+1。TCP的标准规定,SYN置1的报文段都要消耗掉一个序号。 同时,运行客户进程的主机A的TCP通知上层应用进程,连接已经建立。当主机A向B发送第一个数据报文段时,其序号仍为X+1,因为前一个确认报文段并不消耗序号。 当运行服务器进程的主机B的TCP收到主机A的确认后,也通知其上层应用进程,连接已经建立。 另外,在TCP连接建立的过程中,还利用TCP报文段首部的选项字段进行双方最大报文段长度MSS协商,确定报文段的数据字段的最大长度。双方都将自己能够支持的MSS写入选项字段,比较之后,取较小的值赋给MSS,并应用于数据传送阶段。 3. TCP数据的传送 为了保证TCP传输的可靠性,TCP采用面向字节的方式,将报文段的数据部分进行编号,每个字节对应一个序号。并在连接建立时,双方商定初始序号。在报文段首部中,序号字段和数据部分长度可以确定发送方传送数据的每一个字节的序号,确认号字段则表示接收方希望下次收到的数据的第一个字节的序号,即表示这个序号之前的数据字节均已收到。这样既做到了可靠传输,又做到了全双工通信。 当然,数据传送阶段有许多复杂的问题和情况,如流量控制、拥塞控制、重传机制等,本次实验不探究。 4.TCP连接的释放 在数据传输结束后,通信的双方都可以发出释放连接的请求。TCP连接的释放采用“4次握手”。如图
第 4 章传输层协议练习 1.TCP/IP参考模型的(传输层)主要为网络应用程序完成端到端的数据传输服务,即进 程到进程的数据传输服务。 2.传输层把应用程序交付的数据组成传输层数据报,然后交给(网络层)去完成网络传输。 3.传输层不关心报文是怎样通过网络传输的。(正确) 4.网络通信的最终对象是(网络应用程序进程)进程。程序进程在需要通信时,要通过某 种方式和对方程序进程进行通信。 5.在计算机网络中,为了使网络应用程序之间能够顺利地通信,通信的一方通常需要处于 (守候)状态,等待另一访通信请求的到来。这种一个应用程序被动地等待,另一个应用程序通过请求启动通信过程的通信模式称作(客户/服务器模式)交互模式。 6.在设计网络应用程序时,都是将应用程序设计成两部分,即(客户程序和服务器程序)。 安装有服务器程序的计算机称作(服务器),安装有客户程序的计算机称作(客户机/客户端),客户/服务器交互模式一般简写为(C / S)模式。 7.应用程序工作时,服务器一般处于(守候)状态,监视客户端的请求;若客户端发出服 务请求,服务器收到请求后执行操作,并将结果回送到客户端。 8.在Internet中,许多应用程序的客户端可以使用(浏览器)程序代替。只需要开发Web 应用程序安装在服务器上,而客户端使用浏览器(Browser)就可以和服务器通信。这种以浏览器作为客户端的网络应用程序通信模式称作(浏览器/服务器)交互模式,简称(B / S)模式。 9.根据数据传输服务的需求,TCP/IP协议传输层提供两种类型的传输协议:(面向连接的 传输控制协议/TCP)和(非连接的用户数据报协议/UDP)。两种传输层协议分别提供(连接型)传输服务和(非连接型)传输服务。 10.传输层的(连接型)传输服务类似于数据交换中的电路交换方式,需要通信双方在传输 数据之前首先建立起(连接),即交换握手信号,证明双方都在场。 11.(传输控制协议TCP)是TCP/IP协议传输层中面向连接的传输服务协议。 12.连接型传输服务在(传输数据)之前需要建立起通信进程之间的连接。在TCP协议中建 立连接过程是(比较麻烦)。首先发出建立连接请求,(服务器)收到建立连接请求后回答同意建立连接的应答报文,(客户端)收到应答报文之后还要(确认)报文,双方才能建立通信连接。这样做的主要原因是传输层报文需要通过下层网络传输,而传输层对下层网络没有足够的信任,需要自己完成(连接差错控制)。 13.在连接型传输服务中,由于通信双方建立了连接,能够保证数据正确有序地传输,应用 程序可以利用建立的连接发送连续的数据流,即支持数据流的传输。在数据传输过程中可以进行(差错控制)、(流量控制),可以提供端到端的(可靠性)数据传输服务。 14.连接型传输服务适用于(传输可靠性)要求较高的应用程序。 15.连接型传输服务虽然可以提供可靠的传输层数据传输服务,但在传输少量信息时的通信 (效率)却不尽如人意。从提高通信(通信效率)出发,TCP/IP协议的传输层设计了(面向非连接的用户数据报协议UDP)。 16.非连接型传输服务的通信过程由于通信双方没有建立连接,报文可能会丢失,所以非连 接型传输服务的(可靠性)较差。 17.对于(非连接型)传输服务,由于通信进程间没有建立连接,只是发送数据时才占用网 络资源,所以占用网络资源少。 18.非连接型传输服务传输控制简单,通信效率高,它适用于发信息较少、对传输可靠性要 求不高或为了节省网络资源的应用程序。(正确)
沈阳工程学院 学生实验报告 实验室名称:信息学院网络实验室 实验课程名称:计算机网络 实验项目名称:实验三传输层TCP协议的分析 班级:姓名:学号: 实验日期:2015 年11月24日实验台编号:指导教师:批阅教师(签字):成绩:
一.实验目的 ●掌握传输层TCP协议分析方法,了解传输层TCP协议内容 二.实验内容 ●捕获传输层TCP协议数据 ●并分析传输协议原理 三.实验前的准备 ●了解传输层TCP协议的数据单元格式 ●了解传输层TCP协议规程 ●熟悉至少一种网络抓包软件的使用方法。 四.实验要求及实验软硬件环境 【基本要求】 ●按实验内容进行知识准备 ●按照预订实验步骤操作,并记录实验结果 ●分析实验记录,并得出结论 ●完成此项实验,完成实验报告。 【实验组织方式】 ●个人实验 【实验条件】 ●微机与网络环境。 五.实验步骤 1.建立网络模型: 2.连接以后进行三次握手建立连接,传输数据和释放连接,并且截下各个部分所捕获的数据 3.利用PC0向SERVERO获取数据,捕捉在由PCO传向SERVERO的TCP协议报文以及反向的TCP协议报文。 4.分析捕捉的TCP协议报文的格式。
六.实验结果记录 1.由PCO向SERVERO的TCP协议报文。 图2 PCO向SERVERO的TCP协议报文。 2. 由SERVERO向PCO的TCP协议报文。
图3 SERVERO向PCO的TCP协议报文
七.结果分析 通过分析在试验结果的TCP协议报文的知道了TCP协议报文的格式,TCP 协议报文由TCP首部和数据部分组成。并且TCP首部报文的前二十字节是固定的,如图4所示。 图4 TCP前20字节的固定报文 1.分析上图的TCP协议的报文得到如下结论: 源端口号( 16位):它(连同源主机 IP地址)标识源主机的一个应用进程。图片中的来源端口地址为 80。 目的端口号( 16位):它(连同目的主机 IP地址)标识目的主机的一个应用进程。这两个值加上 IP报头中的源主机 IP地址和目的主机 IP地址唯一确定一个 TCP连接。图片中的目的端口为1025。 顺序号( 32位):用来标识从 TCP源端向 TCP目的端发送的数据字节流,它表示在这个报文段中的第一个数据字节的顺序号。如果将字节流看作在两个应用程序间的单向流动,则 TCP用顺序号对每个字节进行计数。序号是 32bit的无符号数,序号到达 2 32- 1后又从 0开始。当建立一个新的连接时, SYN标志变 1,顺序号字段包含由这个主机选择的该连接的初始顺序号 ISN( Initial Sequence Number)。图片中的序号为0。 确认号( 32位):包含发送确认的一端所期望收到的下一个顺序号。因此,确认序号应当是上次已成功收到数据字节顺序号加 1。只有 ACK标志为 1时确认序号字段才有效。 TCP为应用层提供全双工服务,这意味数据能在两个方向上独立地进行传输。因此,连接的每一端必须保持每个方向上的传输数据顺序号。上图的确认号为1。 TCP报头长度( 4位):给出报头中 32bit字的数目,它实际上指明数据
协议分析-协议解码详解 一、协议简介 ,全称,中文名叫因特网协议,它工作在的网络层,它负责将数据传输到正确的目的地,同时也负责路由。无论传输层使用何种协议,都要依赖来发送和接受数据。 提供一种无连接的传输机制,这就意味着在网络传输的每个数据报都作为独立的单元来对待。并不维护服务器和客户端之间的连接细节。 不能保证数据传输的可靠性。然而,这些并不意味着分组将被毫无规则的忽略,而是仅在网络出现故障时才会发生数据丢失。 下面我们来介绍一下数据报的格式、 数据报格式,如图, (图数据报的格式) ●版本:用于传输数据的版本,大小为位; ●头部长度:用于规定报头长度; ●服务类型:用于设置数据传输的优先权或者优先级,其大小为位; ●总长度:指出数据报的总长,数据报总长报头长度数据长度,大小为位; ●标识:用于标识所有的分段,大小为位; ●分段标志:确定一个数据报是否可以分段,同时也指出当前分段后面是否还有更多分段, 大小为位; ●分段偏移量:由目标计算机用于查找分段在整个数据报中的位置,大小位位; ●生存时间:设置数据报可以经过的最多路由器数。长度为位; ●协议:指定用于创建数据字段中的数据的上层协议,大小为位; ●校验和:检查所传输数据的完整性,大小为位; ●源地址:源地址,字段长度为位; ●目标地址:目标地址,字段长度为位;
●选项:不上一个必须的字段,字段长度具体取决于所选择的选项; ●数据:包含网络中传输的数据,数据报还包括上层协议的报头信息; 二、解码详解 使用科来网络分析系统捕获数据包,其详细解码如图, (图科来网络分析系统中数据包的详细解码) 图为科来网络分析系统中数据包的详细解码,下面我们来分别说明数据包的解码信息:版本:,表示当前网络中为; 头部长度:,表示报头长度为字节; 服务类型:,表示当前数据包中没有使用服务类型字段; 总长度:,表示该数据报总长为字节; 标识:表示该数据报的标识为(进制); 分段标志:第二位为,表示该数据报不能被分段,
第5章传输层协议与传输层软件编程方法(练习) 【例1】以下关于应用进程、传输层接口与套接字的描述中,错误的是()。 A)应用进程是在应用程序开发者控制下工作的,它不依赖于主机操作系统 B)传输层的TCP或UDP协议是在主机操作系统控制下工作的 C)一个IP地址与一个进程标识叫做一个“套接字”或“套接字地址” D)套接字也叫做应用程序编程接口(API) 设计该例题的目的是加深读者对应用进程、传输层接口与套接字的理解。 【例2】以下关于网络环境中应用进程标识的描述中,错误的是()。 A)IANA定义的端口号有:熟知端口号、注册端口号和临时端口号 B)客户程序使用的临时端口号的数值范围在49 152~65 535 C)服务器程序分配的熟知端口号值的范围在0~1023 D)所有的传输层协议都使用了统一的熟知端口号和临时端口号 设计该例题的目的是加深读者对网络环境中应用进程标识的理解。 【例3】以下关于TCP与UDP协议特点的比较中,错误的是()。 A)TCP面向连接,UDP无连接 B)TCP基于字节流,UDP基于报文 C)TCP提供可靠的报文传输,UDP提供的是尽力而为地交付 D)TCP传输速率高于UDP传输速率 设计该例题的目的是加深读者对TCP与UDP协议特点的理解。 【例4】假设IJDP报头的十六进制数为06 32 00 45 00 1C E2 17。求: 1)源端口号与目的端口号。 2)用户数据长度。 3)这个数据报是客户端发出还是服务器端发出的? 4)使用UDP协议的服务器是哪种类型? 设计该例题的目的是检查读者对UDP协议报头结构,以及UDP协议熟知端口号的理解。 【例5】以下关于UDP协议适用范围的描述中,错误的是()。 A)系统对性能的要求高于对数据安全性的要求 B)需要“简短快捷”的数据交换 C)需要多播和广播的应用 D)适用于实时语音与视频传输的传输层协议
第6章传输层协议 学习目标 理解传输层功能及主要协议; 理解端口的概念; 掌握TCP协议和UDP协议的异同; 了解TCP连接的建立过程及可靠性机制。 6.1 传输层概述 6.1.1 传输层及其功能 我们通常将OSI模型中的下面三层称为面向通信子网的层,而将传输层及以上的各层称为面向资源子网或主机的层。只有资源子网中的端设备才会具有传输层,通信子网中的设备至多只具备OSI下面三层的功能即通信功能。 6.1 传输层概述 6.1.1 传输层及其功能 传输层是OSI参考模型的第4层,它提供了端到端(end-to-end)的信息传递。传输层的最终目标是向其用户(应用层的进程)提供有效、可靠的服务。 具体来说,传输层具有以下功能和特点: (1)传输层只在两端(发送端和接收端)存在,因此传输层的功能和实现与当前使用的网络无关,传输层也不管理或干涉数据在网络中传输的路径和过程。 (2)传输层负责操作系统的进程和通信子网之间的接口,即通过传输层将操作系统的不同进程在通信子网中传输的数据加以区分,从而保证在接收端接收的数据能正确的发送到各进程。 (3)传输层提供端到端的错误恢复与流量控制,能对网络层出现的丢包、乱序或重复等问题作出反应。 (4)提供数据分段功能,从而便于丢包重传并较少网络阻塞的概率。当上层的协议数据包的长度超过传输层所能承载的最大数据传输单元时,要提供必要的分段功能,在接收方的对等层还要提供合并分段的功能。 6.1 传输层概述 6.1.2 传输层端口 传输层端口是逻辑意义上的端口,它是网络通信进程的一种标识。属于一种抽象的软件结构,包括一些数据结构和I/O(输入输出)缓冲区。 端口在传输层的作用有点类似IP地址在网络层作用或MAC地址在数据链路层的作用,只不过IP地址和MAC地址标识的是主机,而端口标识的是网络进程。 由于同一时刻一台主机上会有大量的网络进程在运行,所以需要有大量的端口号来标识不同的需要访问网络进程。 每个端口都有一个端口标识,一般称为端口号,其长度为16Bit,也就是说在一个IP上可以定义216=65536个端口,其端口号范围从0到65535。由于TCP/IP 传输层的TCP和UDP两个协议是两个完全独立的软件模块,因此各自的端口号也相互独立,即各自可独立拥有216个端口。 每个IP上的65536个端口又被分为两部分:静态端口和动态端口。 静态端口的范围是0-1023 ,又称固定端口。它们一般位于应用层协议的服务器端;动态端口的范围是1024-65535,又称随机端口。它们一般位于应用层协议的客户端。 5 6.1 传输层概述
沈阳工程学院 学生实验报告 课程名称:计算机网络 实验题目:传输层协议的简单应用 班级学号姓名 地点指导教师 实验日期: 年月日
一、实验目的 掌握套接字编程方法。 二、实验环境 F605机房Cisco Packet Tracer软件。 三、实验内容与要求 任务1:编写程序实现单客户聊天室 步骤1. 阅读下面的关于TCP编程的Java知识 TCP通信使用Scoket套接字实现。套接字代表计算机之间网络连接的对象,它提供了很多方法实现计算机之间的网络通信。下面介绍使用Scoket套接字实现网络通信的步骤。 ⑴创建服务器端套接字 服务器端套接字是ServerSocket类的实例对象,用于实现服务器程序,ServerSocket类监视指定的端口,并建立客户端到服务器端套接字的连接,也就是负责客户端的呼叫任务。 ServerSocket类有很多常用构造方法,下面只介绍一种。注意,服务器端所有的构造方法均需要处理IOExceptipon异常。 例如: try{ ServerSocket ss=new ServerSocket(1880); //监听端口号为1880的端口,ss为服务器端套接字的对象 }catch(IOException e) {//在此编写脚本处理输入输出异常
⑵创建客户端套接字 客户端端套接字是Socket类的实例对象,用于实现客户端程序。 Socket类常用构造方法很多,下面只介绍一种。同样,客户端所有的构造方法均需要处理IOExceptipon异常。 try{ Socket mysocket=new Socket("http://192.168.0.78",1880); //建立于IP地址为192.168.0.78,端口号为1880的服务器的连接 }catch(IOException e) {//在此编写脚本处理输入输出异常 } 当客户端套接字连接建立后,一条服务器与客户端的通信线路就建立起来了。 ⑶服务器端接受客户端请求 在服务器端利用其accept()方法接收客户端的套接字连接请求。 例如,上面创建的服务器端套接字ss接受客户端请求,代码如下: try{ mysocket =ss.accept();//ss为上面创建的服务器套接字对象,accept()接收 }catch(IOException e) {//在此编写脚本处理输入输出异常
网络数据包协议分析 一、实验目的 1.学习网络协议分析工具Ethereal的使用方法; 2.截获数据并对它们观察,分析其中2中协议(arp&tcp)数据包包头各数据位的含义, 了解协议的运行机制。 二、实验步骤 1.安装并打开Ethereal软件; 2.利用”运行cmd”打开命令提示符,输入“ping”确认网络连接是否完成; 3.点击capture->options选择网卡(默认有线); 4.点击capture开始抓包; 5.打开浏览器,访问一个网站,这样才可以抓到tcp的数据包; 6.点击stop停止抓包。 三、实验结果分析 1.Arp---address resolution protocol,地址解析协议的缩写,就是主机在发送帧前将目 标IP地址(32位)转换成目标MAC地址(48位)的过程。它属于链路层的协议。
ARP协议数据包包头数据位分析: 1.第一栏显示帧信息。 Frame 280 (60 bytes on wire,60 bytes capture)是指该数据包含有60个字节,ethereal软件截获了60个字节。点击打开,里面包括了到达时间、相对前一个包的时间延迟、传输时间、帧号280、包长度(60字节)和捕获到的长度(60字节)。 2.第二栏显示以太网信息。 源MAC地址是f4:6d:04:3a:62:33,目的MAC地址是ff:ff:ff:ff:ff:ff。 3.第三栏显示因特网协议信息。 它包括了硬件类型:以太网;协议类型是IP协议和发送方的IP地址与MAC地址,也包括了目的IP地址和MAC地址。 2.tcp—transition control protocol,传输控制协议的缩写。是一种面向连接(连接导向) 的、可靠的、基于字节流的传输层通信协议。
Serial RapidIO协议解析 1.物理层特性 1.1Two transmitters(short run and long run) and a single receiver are specified for each of three baudrates, 1.25, 2.50, and 3.125 GBaud. 1.2The short run transmitter should be used mainly for chip-to-chip connections on either the same printed circuit board or across a single connector. 1.3The long run transmitter specifications use larger voltage swings that are capable of driving signals across backplanes. This allows a user to drive signals across two connectors and a backplane. 1.4The most common equalization techniques that can be used ?Pre-emphasis on the transmitter ? A passive high pass filter network placed at the receiver. This is often referred to as passive equalization. ?The use of active circuits in the receiver. This is often referred to as adaptive equalization. 2.信号定义 Signal pin descriptions for a RapidIO 1x/4x LP-Serial port. The interface is defined either as a single- or four-lane, full duplex, point-to-point interface using differential signaling. A single-lane implementation consists of 4 wires and a four-lane implementation consists of 16 wires.
Understanding control characters in JESD204B Here's a closer examination of the control characters that are employed in the JESD204 interface. By Jonathan Harris Product Applications Engineer Analog Devices Inc. The shift to JESD204B as the digital interface of choice for high speed data converters is well underway. The JESD204 interface was released in its original form, JESD204, in 2006 revised to JESD204A in 2008, and in August 20011 revised once more to the current JESD204B. The interface brings efficiency and offers several advantages over preceding technologies like LVDS. Designs employing JESD204B enjoy the benefits of a faster interface to keep pace with the faster sampling rates of converters. There is a reduction in package pin count which leads to smaller packages and less trace routes. The standard applies to both analogue-to-digital converters (A/D) as well as digital-to-analogue converters (D/A), and is primarily intended as a common interface to field programmable gate arrays (FPGAs) – for example the Xilinx Kintex or Vertex platforms – but it may also be used with ASICs. JESD204B differs from its predecessors in up-front complexity due to the new terms and parameters that it introduces. In this article, we'll take a closer examination of the control characters that are used in the JESD204 interface. Understanding the control characters helps provide a better understanding of how a link is synchronised and aligned. This helps designers to understand how to debug link issues that may arise when prototyping a design with the JESD204 interface. Each of the control characters performs a different function and helps maintain the alignment of data on the link as well as synchronisation and error monitoring. If an expected character is missed or an unexpected character is received, the receiver knows that an error exists. How it works is that the JESD204B words get mapped into valid 8b/10b encoded words and are set up in frames and multi-frames with specific rules. In the process, the 8b/10b encoding provides some benefits for the serial data link by using control characters that provide the ability to perform various lane alignment functions. There are five main control characters utilised in the 8b/10b encoding that allow for various functions in the JESD204B data stream. These characters are /K/, /F/, /A/, /R/, and /Q/ control characters. What a bunch of characters! The /K/ = /K28.5/ control character is used in the code group synchronisation process via the synchronisation interface (by asserting !SYNC). Once the receiver issues a synchronisation request, the transmitter begins emitting /K/ = /K28.5/ characters. The receiver synchronises and will wait for at least four consecutive /K/ = /K28.5/ characters. The receiver then deactivates its synchronisation request. This process is done according to the subclass of operation. For subclass 0 (no deterministic latency), the receiver deactivates the synchronisation request on any frame boundary after four consecutive /K/ = /K28.5/ characters have been received. For subclass 1 and 2 (deterministic latency with SYSREF or !SYNC, respectively), the receiver deactivates the synchronisation request on any local multi-frame clock boundary after four consecutive /K/ = /K28.5/ characters have been received. Figure 1: /K/ control character streaming.
传输层协议及其应用 实验目的 1掌握传输层端口的作用 2了解UDP协议的报文格式 3 理解UDP协议的工作原理 1. 了解TCP协议的报文格式 2. 理解TCP连接建立和释放的过程 3. 理解TCP数据传输中编号与确认的过程 4. 理解TCP重传机制 实验内容 1. 通过使用UDP工具,来学习传输层端口的作用。 1. 通过使用UDP工具,来学习UDP单播通信的过程。 2. 通过使用UDP工具,来学习UDP广播通信的过程。 1. 通过使用TCP工具,来学习TCP连接建立和释放的过程。 2. 通过使用TCP工具,来学习TCP重传机制。 练习一通信端口的作用 实验原理 在网络技术中,端口(Port)大致有两种意思:一是物理意义上的端口,比如,ADSL Modem、集线器、交换机、路由器用于连接其他网络设备的接口,如RJ-45端口、SC端口等等。二是逻辑意义上的端口,一般是指TCP/IP协议中的端口,端口号的范围从0到65535,比如用于浏览网页服务的80端口,用于FTP服务的21端口等等。我们这里将要介绍的就是逻辑意义上的端口。 逻辑意义上的端口有多种分类标准,下面将介绍两种常见的分类: 1. 按端口号分布划分 (1) 知名端口(Well-Known Ports) 知名端口即众所周知的端口号,范围从0到1023,这些端口号一般固定分配给一些服务。比如21端口分配给FTP服务,25端口分配给SMTP(简单邮件传输协议)服务,80端口分配给HTTP服务,135端口分配给RPC(远程过程调用)服务等等。 (2) 动态端口(Dynamic Ports) 动态端口的范围从1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。比如1024端口就是分配给第一个向系统发出申请的程序。在关闭程序进程后,就会释放所占用的端口号。不过,动态端口也常常被病毒木
我们常在局域网内用飞鸽进行沟通、文件传输。有天突发奇想,要是我能冒充某给人给另外一个人发送飞鸽消息,该多有趣?有了想法,就该去实现,不然就是空想了。。不过还真空想了段时间,但最后还是写出了个小程序,和大家分享下。 要想冒充他人,首先得了解下飞鸽协议(见/question/41558223.html)。由于我们大多数人用的都是飞秋,所以就直接分析飞秋了。 飞秋协议实际上飞鸽协议的扩展,比飞鸽稍微复杂点。首先看个简单的例子,我们以编程的方式,自己给自己发条消息。看代码和截图: Python代码 1.>>> import socket 2.>>> udp=socket.socket(socket.AF_INET,socket.SOCK_DGRAM) 3.>>> udp.connect(('localhost',2425)) 4.>>> udp.send('1:100:flyingzl:flyingzl:32:纵我不往,子宁不嗣音?~~') 5.51 6.>>>
简单说明下代码: 飞鸽运行时,会监听UDP和TCP的2425端口,所以我们首先要和本地建立UDP连接,TCP连接一般用来发送文件等。 1:100:flyingzl:flyingzl:32:纵我不往,子宁不嗣音?~~是飞鸽的协议字符串, 1表示版本号,100标识包号,flyingzl表示用户名,第二个flyingzl表示主机名,32表示发送消息,后面的表示要发送的消息内容。 这是飞鸽的协议,后面我们会看到飞鸽和飞秋又有所不同。
我们可以通过socket连机其他人的飞秋并给他们发送消息,但是通过socket发送出去的数据包会默认带上我们自己的ip地址和mac地址,怎么样才能修改这些数据包呢? 有办法,windows上不是有wincap么,linux上不是有libnet么,它们都有python扩展,叫做sendpkt,直接调用就好了。关于怎么使用,可以看之前我的帖子/topic/600032#1696365 通过调用sendpkt,我们可以自己构造以太网数据包,自己定义源ip地址和源mac地址,这样就神不知鬼不觉地欺骗他人。。 现在的问题是:怎么构建以太网数据包。 由于飞秋发送消息是采用UDP协议,所以我们只需要构建一个UDP数据包,然后加上我们的内容就可以了。构建以太网数据包可以采用dpkt,非常方便。 现在,我们用wireshark来分析飞秋的协议。。打开个飞鸽,点击刷新,就能看到wireshark捕获的数据包:
实验五、传输层协议分析 5.1. 实验目的 理解TCP报文首部格式和字段的作用,TCP连接的建立和释放过程,TCP数据传输中编号与确认的作用。 5.2 实验内容 应用TCP应用程序传输文件,截取TCP报文,分析TCP报文首部信息,TCP连接的建立过程,TCP数据的编号和确认机制。 5.3 实验原理 TCP协议是传输控制协议的简称,工作在网络层协议之上,是面向连接的,可靠的,端到端的传输层协议。 1.TCP的报文格式 TCP报文段分为头部和数据两部分,如图1: 图1 TCP报文段的总体结构 TCP报文段首部又分为固定部分和选项部分,固定部分为20B,如图2所示,这些字段的组合实现了TCP的所有功能。 图2 TCP报文段的首部 TCP采用传输输连接的方式传送TCP报文,传输连接包括连接建立、数据传输和连接释放三个阶段。 2.TCP连接的建立 TCP连接建立采用“3次握手”方式。 首先,主机A的TCP向主机B的TCP发出连接请求报文段,其首部中的同步位SYN应置1,同时选择一个序号X,表明在后面传送数据时的第一个数据字节的序号是X+1,如图3所示:
主动打开被动打开连接请求 确认 确认 图3 TCP连接建立的3次握手过程 然后,主机B的TCP收到连接请求报文段后,若同意,则发回确认。在确认报文段中应将SYN和ACK都置1,确认号应为X+1,同时也为自己选择一个序号Y。 最后,主机A的TCP收到B的确认后,要向B发回确认,其ACK置1,确认号为Y+1,而自己的序号为X+1。TCP的标准规定,SYN置1的报文段都要消耗掉一个序号。 同时,运行客户进程的主机A的TCP通知上层应用进程,连接已经建立。当主机A向B发送第一个数据报文段时,其序号仍为X+1,因为前一个确认报文段并不消耗序号。 当运行服务器进程的主机B的TCP收到主机A的确认后,也通知其上层应用进程,连接已经建立。 另外,在TCP连接建立的过程中,还利用TCP报文段首部的选项字段进行双方最大报文段长度MSS协商,确定报文段的数据字段的最大长度。双方都将自己能够支持的MSS写入选项字段,比较之后,取较小的值赋给MSS,并应用于数据传送阶段。 3. TCP数据的传送 为了保证TCP传输的可靠性,TCP采用面向字节的方式,将报文段的数据部分进行编号,每个字节对应一个序号。并在连接建立时,双方商定初始序号。在报文段首部中,序号字段和数据部分长度可以确定发送方传送数据的每一个字节的序号,确认号字段则表示接收方希望下次收到的数据的第一个字节的序号,即表示这个序号之前的数据字节均已收到。这样既做到了可靠传输,又做到了全双工通信。 当然,数据传送阶段有许多复杂的问题和情况,如流量控制、拥塞控制、重传机制等,本次实验不探究。 4.TCP连接的释放 在数据传输结束后,通信的双方都可以发出释放连接的请求。TCP连接的释放采用“4次握手”。如图
第5篇传输层协议原理 第23章 TCP基本原理 1. 在如图所示的TCP 连接的建立过程中,SYN 中的Z 部分应该填入________。 A. a B. b C. a+1 D. b+1 Answer: D * TCP的三次握手中,ack(确认)总是在seq(序列号)的基础上加1。 2. 以下哪个选项描述的参数可以唯一确定一条TCP 连接? A. 源端口号,源IP 地址 B. 目的端口号,目的IP 地址 C. 源端口号,目的端口号 D. 源MAC 地址,目的MAC 地址 E. 以上都不对 Answer: E * TCP是传输层的协议,它是建立可靠地端到端的连接,它的确定通常情况下是没法确定的,因为应用层会发送什么数据,TCP就会根据其运行的协议来建立连接而还没有确定到某一个参数可以看出它是一条TCP连接。因此选E。 3. TCP 协议通过______来区分不同的连接。 A. 端口号 B. 端口号和IP 地址 C. 端口号和MAC 地址 D. IP 地址和MAC 地址 Answer: B * TCP协议是通过端口号和IP地址来区分不同的连接的,你应用层发什么数据,TCP来检查你运行的是什么协议,根据协议的端口号和IP地址来区分,最后发送出去。 4. UDP 协议和TCP 协议头部的共同字段有______。 A. 源IP 地址 B. 流量控制 C. 校验和 D. 序列号 E. 目的端口 F. 源端口 Answer: CEF TCP和UDP共有字段是校验和、源端口、目的端口。 5. UDP 协议和TCP 协议头部的共同字段有______。 A. 源端口 B. 目的端口 C. 流量控制 D. 源IP 地址 E. 校验和 F. 序列号 Answer: ABE TCP和UDP共有字段是校验和、源端口、目的端口。 6. 在如图所示的TCP 连接的建立过程中,SYN 中的X 部分应该填入________。
【练习与思考】 1、如果要列出本机当前建立的连接,可以使用的命令是(C ) stat -s stat -o stat -a stat -r 2、TCP 的主要功能是( B ) A .进行数据分组 B .保证可靠传输 C .确定数据传输路径 D .提高传输速度 3、TCP报文段中序号字段指的是(A )的序号。 A 数据部分第一个字节 B 数据部分最后一个字节 C 报文首部第一个字节 D 报文最后一个字节 4、TCP报文中确认序号指的是( B )。 A 已经收到的最后一个数据序号 B 期望收到的第一个字节序号 C 出现错误的数据序号 D 请求重传的数据序号 5、TCP的确认是对接收到的数据中(A)表示确认 A 最高序号 B 第一个序号 C 第二个序号 D 倒数第二个序号 6、TCP发送一段数据报,其序号是35~150,如果正确到达,接收方对其确认的序号为(D )。 A 36 B 150 C 35 D 151 填空题 7、TCP报文的首部最小长度是(20字节) 8、TCP报文段中给源端口分配了( 2 )字节的长度 9、TCP报文段中序号字段为( 4 )字节 10、TCP报文段中的数据偏移实际指明的是(首部长度) 11、TCP报文段中,如果要使当前数据报传送到接收方后,立即被上传应用层,可将(急迫比特PSH )置1。 12、TCP协议对每一个要发送(字节)编了一个号 判断题: 13、TCP报文段中的确认序号只有在ACK=1时才有效(T ) 14、TCP报文段中的PSH字段置1时,表明该报文段需要尽快传输( F ) 15、TCP报文段校验时也需要像UDP协议那样增加一个伪首部(T ) 16、TCP协议是按报文段进行编号的( F ) 17、
1. 数据转发过程 题目 1.(单选)定义数据表示的标准及完成数据加密、解密、压缩、解压缩的功能是在TCP/IP模型的( )完成。 A.数据链路层 B.网络层 C.传输层 D.应用层 2.(多选)下面哪些是属于可路由协议?(请选择2个答案) A.IP B.OSPF C.RIP D.IPv6 3.(多选)传输层有哪些功能?(请选择4个答案) A.分段上层数据 B.建立端到端连接 C.将数据从一端主机传送到另一端主机 D.保证数据按序、可靠、正确传输 E.寻址 4.(单选)在OSI七层模型中,当数据接受者不能处理更多数据时,哪一层发出停止信息给发送者? A.物理层 B.传输层 C.会话层 D.表示层 5.(多选)下面哪些设备实现了OSI参考模型全部层次的功能?(请选择2个答案) A.路由器 B.Email服务器 C.三层交换机 D.网管服务器 6.(多选)LLC头包括三个部分,分别是(请选择3个答案)
A.SSAP B.DSAP C.Address D.Control 7.(多选)下面哪些是属于数据链路层MAC子层的功能?(请选择3个答案) A.定义MAC地址 B.提供与上层协议通信的接口 C.差错纠正 D.流控 8.(多选)下列所描述的协议哪些属于OSI参考模型表示层协议?(请选择3个答案) A.ASCII、EBCDIC B.IP、ARP C.MAC、LLC D.MPEG、MIDI E.RPC, NFS、SQL F.PICT、MPEG 9.(多选)在TCP/IP参考模型中,哪些应用层协议是运行在TCP之上的? (请选择3个答案) A.HTTP B.TFTP C.FTP D.SMTP E.SNMP 10.(单选)TCP报文头最多60个字节,如果没有Option字段,TCP报文头的长度是( )字节。 A.8 B.20 C.30 D.40 11.(单选)TCP会为应用程序分配一个源端口号。TCP报文头中的源端口号占用( )个字节。 A.1 B.2 C.4