网络协议分析期中_网络协议分析期末

网络协议分析期中由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“网络协议分析期末”。

网络协议分析

CHAPTER 1

为什么要进行网际互连?

1.没有一种单一的网络硬件技术可以满足所有的要求

2.用户期待一种通用的互连

网络互连的目的就是要隐藏底层网络硬件的细节，同时提供一般的服务通信。

网络互连的方式：应用级互连 网络级互连

TCP/IP分层模型

分层优势：简化问题，分而治之，有利于软件升级换代

应用层、传输层、IP层、网络接口层、物理层

分层缺点：效率低

1.各层之间相互独立，都要对数据进行分别处理

2.每层处理完毕都要加一个头结构，增加了通信数据量

TCP/IP的分层原则：信宿机第n层收到的数据与信源机第n层发出的数据完全一致。

1.应用层：提供通用的应用程序，如电子邮件、文件传输等。

2.传输层：提供应用程序间端到端的通信

① 格式化信息流 ② 提供可靠传输 ③ 识别不同应用程序

3.IP层：负责点到点通信

① 处理TCP分层发送请求

② 为进入的数据报寻径

③处理ICMP报文：流控、拥塞控制

④ 组播服务

4.网络接口层：接收IP数据报并通过选定的网络发送。

总结：TCP/IP模型是在1个硬件层上构建的4个软件层

CHAPTER 2

PPP 协议有三个组成部分：

一个将 IP 数据报封装到串行链路的方法。

链路控制协议 LCP(Link Control Protocol)。

网络控制协议 NCP(Network Control Protocol)。

认证协议：c023：PAPc223：CHAP

CHAP-Challenge-Handshake Authentication Protocol 发生时机：建立连接时和连接建立之后的任何时间

1.认证端发送“challenge”到对等端

2.对等端根据这个“challenge”和共享密钥，利用一个单向散列函数计算一个散列值并发回给认证端；

3.认证端把这个数字和自己计算出来的数据进行比较，如果匹配，则确认；否则否认；

4.在连接建立后，会随机地重复上述过程。

CHAPTER 3

Internet地址类型

A类： 0 —8位网络号首字节1—126

B类： 10 —16位网络号首字节128—191

C类： 110 —24位网络号首字节192—223

D类： 1110 —组播地址首字节224—239

E类： 11110--（保留未用）首字节240—247

特殊IP地址 :

网络地址：主机号全0；广播地址：主机号全‘1’

有限广播地址：32位全‘1’；回送地址：127.*.*.*，网络软件测试及本机进程间的通信。IP编址的缺陷：

①限制网络的平滑升级

②对主机的移动性支持不够

③ 限制多地址主机的可访问性

ARP地址转换协议基本步骤：（总结：广播请求，单播回应！）

步骤一：源端A广播包含目标B的IP地址IPb的ARP请求报文，请B回答自己的物理地址PAb；

步骤二：网络上的主机将IPb与自身的IP地址比较，若相同，则转步骤三，否则忽略； 步骤三：B将PAb封装在ARP应答报文中，之后发送给A；

步骤四：A从应答报文中提取IPb和PAb，从而获得IPb和PAb之间的映射关系。提高ARP的效率

①设置ARP cache，存放最近解析出来的IP/MAC对。

②请求解析时，把自己的IP/MAC地址也放在报文中。

③收到ARP请求的所有主机都缓存其中的IP/MAC。

④ 主机入网时，主动广播它的IP/MAC。

CHAPTER 4

1.IP层是通信子网的最高层，提供无连接的数据报传输机制。目的是屏蔽底层物理网络细节，向上提供一致性。

IP层的主要功能

(1)无连接数据报的投递（数据结构，静态特性）

(2)数据报寻径（选路，操作特性）

(3)差错与报文控制（管理特性）

2.IP层的特点

A.不可靠:分组可能丢失，乱序等，不做确认；

B.无连接:每个分组都独立对待；

C.尽力投递: 不随意放弃分组；

D.点到点。

问题1：如何组装分片？重新设置首部的某些字段

(1)如何标识同一个数据报的各个分片？修改分片标志

(2)如何标识同一个数据报分片的顺序？ 片偏移量字段

(3)如何标识同一个数据报分片的结束？ MF字段

IPv6使用路径MTU发现机制，路由器不再分片

3.分片攻击

(1)Tiny Fragment：发送极小分片，让TCP报头的端口号包含在第二个分片中，绕过防火墙或者IDS过滤系统。(nmap-f)

(2)Ping of Death：发送长度超过65535的IP报（封装了ICMP Echo Request包），目标主机重组分片时会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或者挂起。

(3)teardrop：第二个IP分片偏移量小于第一个分片结束的位置，出现重叠。

实现Ping of Death：

MF=0（最后一片），报文长度为49，偏移量为0x1FFE

重组后长度为0x1FFE * 8 +（49-20）= 65549

4.间接选路和间接投递：信源和信宿不在同一物理网络上或者信宿不在当前路由器直连的网络上。

IP要解决的问题：间接选路

5.选路方式：表驱动：每个主机和路由器都有一张路由表，指明去往某信宿应该走哪条路径。选路时，查询路由表。

6.IP软件对数据报的处理

主机：主机不转发数据报。是自己的：交上层；不是自己的：丢弃。

路由器：若是自己的，交上层；若是邻网，直接投递；其它的转发。（TTL –1，重新计算校验和）

重要说明：IP协议不涉及选路技术细节，只描述原理和规则，具体选路技术指路由表的建立与刷新，由专门的路由协议完成CHAPTER 5

1.路由器通告报文的使用时机：

(1.对路由器恳求报文的回应

(2.路由器定期（通常为10分钟，而一条路由的生命期通常为30分钟）向相邻网络中各主机发通告报文，告诉（组播或有限广播）各主机可使用的路由器。

作用：

(1.主机可以不必配置默认网关。

(2.使用软状态技术，防止主机保持一个无效路由。

2.ICMP差错报告的特点

（1）只向源站提供报告，本身一般不处理差错。

（2）差错报文作为一般数据传输。

（3）数据报出错时，放弃数据报。

3.拥塞处理步骤：

(1.网关发现拥塞，按一定策略向某些源站发出源站抑站报文；

(2.源站收到源抑制报文后，按一定速率降低发往某信宿的数据报的速率；

(3.在一定时间间隔内若无源抑制报文到达，则源站认为拥塞解除，逐渐提高发送速率。

4.路径MTU发现

要点：利用数据报的分片标志。

当路由器收到一份需分片的数据报，但在IP首部中又设置了不分片（DF）标志，则路由器向源端发ICMP不可达报文。

CHAPTER 6

1.传输层要提供端到端的进程通信，但是不能把进程作为通信的最终目的地，所以用协议的端口作为最终目的地。

端口：用一个16bit的正整数标识，称为端口号

端口的数据管理：每一端口有一缓冲区来存放进出该端口的数据队列

2.UDP的特点

① 无连接 ② 不可靠 ③ 传输效率高 ④ 适用于传输量比较少的情况

CHAPTER 7

1.可靠性：

①防丢失：确认与重传；带重传的肯定确认技术

① 接收方收到数据后向源站发确认（ACK）；

② 设置定时器，源站在限定时间内未收到ACK，则重发。

②防重复：报文段序号；可捎带的累计确认技术

①为每一分组赋予序号。

② 确认时也指明确认哪个分组。

③序号同时保证了分组间的正确顺序。

2.传输效率、流量控制：滑动窗口机制；

3.拥塞控制：加速递减与慢启动技术；

4.建立连接：三次握手协议；

5.关闭连接：改进的三次握手协议。

6.SYN洪泛攻击

三次握手过程中不发送最后一个确认

构造大量半开连接

耗尽服务器资源（DoS）

7.TCP确认机制的特点

① TCP的确认指明的是期望接收的下一个报文段的序号，而不是已经接收到的报文段序号

② 累计确认

③ 捎带确认

8.RTT：往返时间，报文段发出到收到确认信息间的时间段。

9.TCP的滑动窗口技术

(1)数据流的各字节被编上序号。

(2)TCP的滑动窗口按字节操作而不是按报文段或分组操作。

(3)TCP窗口大小为字节数。最大为65535字节。

(4)通信双方都设有发送和接收缓冲区（相当于发送窗口和接收窗口）。默认大小各系统有差异，如4096、8192、16384等。发送缓冲区大小为默认窗口大小。

(5)TCP连接两端各有两个窗口（发送窗口和接收窗口）

10.TCP端到端流量控制-窗口大小可变技术

时机：目的主机缓冲区变小而不能接收源主机更多的数据时，就要进行流量控制。TCP技术：可随时改变窗口大小。目的主机在确认时，还向源主机告知目的主机接收缓冲区的大小。

说明：接收方使用0窗口通告来停止所有的传输。此时，除了紧急数据和窗口试探报文外，不发其它数据。窗口试探报文：防止非0窗口通告丢失或造成死锁

11.坚持定时器

1.死锁的发生

确认仅包含非0的窗口通告信息，丢失则导致双方死锁

2.避免策略：

接收到0窗口通告后，开始设置坚持定时器

指数退避

12.糊涂窗口综合症SWS ：接收方的小窗口通告造成发送方发送一系列小的报文段，严重浪费网络带宽。启发式的避免策略

13.TCP拥塞控制技术

TCP采用了一种主动控制机制。

1.拥塞控制技术：

① 拥塞窗口cwnd

② 加速递减技术

③ 慢启动技术

① 拥塞窗口cwnd

每个连接都有一个拥塞窗口，该窗口大小以字节为单位，但是增加和减少以MSS为单位；

初始大小：1个MSS；

临界值：64KB

② 慢启动技术

指数递增：每次成功发送1个MSS长度的报文段，则发送方拥塞窗口加倍；

线性递增：增长到临界值后，每次增加1个MSS

发送窗口 = min(接收方窗口通告，cwnd)

③ 加速递减技术

指数级递减：出现超时重传时，将临界值设为当前拥塞窗口的1/2，拥塞窗口恢复为1个MSS大小；

指数退避：对保留在发送窗口中的报文段，将重传时限加倍。

14.带外数据：源站不能按字节流的顺序而需要立即发给接收方并及时处理的数据(普通数据流中的紧急数据)。

15.TCP端口扫描

TCP实现的基本规则：若SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。

① 全连接扫描

扫描主机用三次握手与目的机指定端口建立正规连接。

实现方式：connect()函数调用，若端口打开则连接成功，否则失败。

优点：实现简单

缺点：很容易被发现，目前通常被禁止

CHAPTER 8

要解决的问题：

1.IP地址不足，特别是B类地址不足

2.网络数目增长过快造成路由表急剧膨胀

主要解决方案：

1.子网编址2.超网编址和CIDR3.NAT

1.子网编址（Subnet Addreing, Subnet Routing, Subnetting）

IP地址不足的原因：主机号浪费严重，而网络号又严重缺乏

解决思路：从IP地址的主机部分“借”位，并把它们用在网络部分

IP地址主机号进一步划分为：子网号 + 主机号

2.超网编址和CIDR

问题的起因：若某单位有800台主机，分配一个C类地址不够，分配一个B类地址浪费过大或得不到B类地址.解决思路：集合多个小的，变成一个大的（与子网编址正好相反）

方法：分配一块连续的C类地址来代替B类地址(块的大小是2的幂次)

3.CIRD的含义 4.