二計算機網(wǎng)絡(luò)安全(整理)

1、第2章 計算機網(wǎng)絡(luò)安全基礎(chǔ)內(nèi)容提要本章介紹 OSI 七層網(wǎng)絡(luò)模型TCP/IP 協(xié)議簇。重點介紹 IP 協(xié)議、TCP 協(xié)議、UDP 協(xié)議和 ICMP 協(xié)議。介紹常用的網(wǎng)絡(luò)服務(wù)：文件傳輸服務(wù)、Telnet 服務(wù)、電子郵件服務(wù)和、Web 服務(wù)介紹常用的網(wǎng)絡(luò)服務(wù)端口和常用的網(wǎng)絡(luò)命令的使用。一 . OSI 參考模型OSI 參考模型是國際標(biāo)準(zhǔn)化組織 ISO(International Standards Organization )制定的模 型，把計算機與計算機之間的通信分成七個互相連接的協(xié)議層，結(jié)構(gòu)如圖2-1 所示。1 1、物理層( Physical Layer 最底層是物理層，這一層負(fù)責(zé)傳送比特流，它

2、從第二層數(shù)據(jù)鏈路層接收數(shù)據(jù)幀，并 將幀的結(jié)構(gòu)和內(nèi)容串行發(fā)送，即每次發(fā)送一個比特。物理層只能看見 0 和 1，只與電信號技術(shù)和光信號技術(shù)的物理特征相關(guān)。這些特征 包括用于傳輸信號電流的電壓、介質(zhì)類型以及阻抗特征。該層的傳輸介質(zhì)是同軸電 纜、光纖、雙絞線等，有時該層被稱為 OSI 參考模型的第 0 層。 物理層可能受到的安全威脅是搭線竊聽和監(jiān)聽，可以利用數(shù)據(jù)加密、數(shù)據(jù)標(biāo)簽加 密，數(shù)據(jù)標(biāo)簽，流量填充等方法保護物理層的安全。2、數(shù)據(jù)鏈路層( Data Link Layer )OSI 參考模型的第二層稱為數(shù)據(jù)鏈路層。與其他層一樣，它肩負(fù)兩個責(zé)任：發(fā)送和 接收數(shù)據(jù)。還要提供數(shù)據(jù)有效傳輸?shù)亩说蕉诉B接。在發(fā)送

3、方，數(shù)據(jù)鏈路層負(fù)責(zé)將指令、數(shù)據(jù)等 包裝到幀中，幀是該層的基本結(jié)構(gòu)。幀中包含足夠的信息，確保數(shù)據(jù)可以安全地通過本地局域網(wǎng)到達目的地。3、網(wǎng)絡(luò)層( Network Layer )網(wǎng)絡(luò)層( Network Layer )的主要功能是完成網(wǎng)絡(luò)中主機間的報文傳輸。在廣域網(wǎng) 中，這包括產(chǎn)生從源端到目的端的路由。當(dāng)報文不得不跨越兩個或多個網(wǎng)絡(luò)時，又會產(chǎn)生很多新問題。例如第二個網(wǎng)絡(luò)的尋 址方法可能不同于第一個網(wǎng)絡(luò)；第二個網(wǎng)絡(luò)也可能因為第一個網(wǎng)絡(luò)的報文太長而無 法接收；兩個網(wǎng)絡(luò)使用的協(xié)議也可能不同等。網(wǎng)絡(luò)層必須解決這些問題，使異構(gòu)網(wǎng) 絡(luò)能夠互連。在單個局域網(wǎng)中，網(wǎng)絡(luò)層是冗余的，因為報文是直接從一臺計算機傳送到另

4、一臺計 算機的。4、傳輸層( Transport Layer ) 傳輸層的主要功能是完成網(wǎng)絡(luò)中不同主機上的用戶進程之間可靠的數(shù)據(jù)通信。 最好的傳輸連接是一條無差錯的、按順序傳送數(shù)據(jù)的管道，即傳輸層連接是真正端 到端的。由于絕大多數(shù)主機都支持多用戶操作， 因而機器上有多道程序， 這意味著多條連接 將進出于這些主機，因此需要以某種方式區(qū)別報文屬于哪條連接。識別這些連接的信息可以放入傳輸層的報文頭中。5、會話層( Session Layer) 會話層允許不同機器上的用戶之間建立會話關(guān)系。會話層允許進行類似傳輸層的 普通數(shù)據(jù)的傳送，在某些場合還提供了一些有用的增強型服務(wù)。允許用戶利用一 次會話在遠(yuǎn)端的

5、分時系統(tǒng)上登錄，或者在兩臺機器間傳遞文件。 會話層提供的服務(wù)之一是管理對話控制。會話層允許信息同時雙向傳輸，或限制只能單向傳輸。如果屬于后者，類似于物 理信道上的半雙工模式，會話層將記錄此時該輪到哪一方。一種與對話控制有關(guān)的服務(wù)是令牌管理( Token Management )。有些協(xié)議保證雙 方不能同時進行同樣的操作，這一點很重要。為了管理這些活動，會話層提供了 令牌，令牌可以在會話雙方之間移動，只有持有令牌的一方可以執(zhí)行某種操作。6、表示層( Presentation Layer ) 表示層完成某些特定的功能，這些功能不必由每個用戶自己來實現(xiàn)。值得一提的是，表示層以下各層只關(guān)心從源端機到目

6、標(biāo)機可靠地傳送比特，而表示 層關(guān)心的是所傳送的信息的語法和語義。表示層服務(wù)的一個典型例子是用一種一致選定的標(biāo)準(zhǔn)方法對數(shù)據(jù)進行編碼。 大多數(shù)用戶程序之間并非交換隨機的比特，而是交換諸如人名、日期、貨幣數(shù)量和 發(fā)票之類的信息。這些對象是用字符串、整型數(shù)、浮點數(shù)的形式，以及由幾種簡單 類型組成的數(shù)據(jù)結(jié)構(gòu)來表示。7、應(yīng)用層( Application Layer ) 應(yīng)用層包含大量人們普遍需要的協(xié)議。雖然，對于需要通信的不同應(yīng)用來說，應(yīng)用 層的協(xié)議都是必須的。例如，PC ( Personal Computer)機用戶使用仿真終端軟件通過網(wǎng)絡(luò)仿真某個遠(yuǎn)程主 機的終端并使用該遠(yuǎn)程主機的資源。這個仿真終端程序

7、使用虛擬終端協(xié)議將鍵盤輸入的數(shù)據(jù)傳送到主機的操作系統(tǒng)，并 接收顯示于屏幕的數(shù)據(jù)。TCP/IP 協(xié)議簇二. TCP/IP 協(xié)議簇TCP/IP 協(xié)議簇模型 和其他網(wǎng)絡(luò)協(xié)議一樣， TCP/IP 有自己的參考模型用于描述各層的功能。TCP/IP 協(xié)議簇參考模型和 OSI 參考模型的比較如圖 2-2 所示。TCP/IP 參考模型實現(xiàn)了 OSI 模型中的所有功能。 不同之處是 TCP/IP 協(xié)議模型將 OSI 模型的部分層進行了合并。 OSI 模型對層的劃分更精確，而 TCP/IP 模型使用比較寬的層定義。3.解剖 TCP/IP 模型TCP/IP 協(xié)議簇包括四個功能層：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層及網(wǎng)絡(luò)接口層。

8、 這四層概括了相對于 OSI 參考模型中的七層。1、 網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層包括用于物理連接、傳輸?shù)乃泄δ堋?OSI 模型把這一層功能 分為兩層：物理層和數(shù)據(jù)鏈路層， TCP/IP 參考模型把兩層合在一起。2、 網(wǎng)絡(luò)層( Internet 層)網(wǎng)絡(luò)層由在兩個主機之間通信所必須的協(xié)議和過程組成。這意味著數(shù)據(jù)報 文必須是可路由的。3、傳輸層這一層支持的功能包括：為了在網(wǎng)絡(luò)中傳輸對應(yīng)用數(shù)據(jù)進行分段，執(zhí)行數(shù) 學(xué)檢查來保證所收數(shù)據(jù)的完整性，為多個應(yīng)用同時傳輸數(shù)據(jù)多路復(fù)用數(shù)據(jù) 流（傳輸和接收）。這意味著該層能識別特殊應(yīng)用，對亂序收到的數(shù)據(jù)進行重 新排序。當(dāng)前的主機到主機層包括兩個協(xié)議實體：傳輸控制協(xié)議（T

9、CP）和用戶數(shù)據(jù)報協(xié)議（UDP）。4、應(yīng)用層應(yīng)用層協(xié)議提供遠(yuǎn)程訪問和資源共享。應(yīng)用包括Telnet 服務(wù)、FTP 服務(wù)、SMTP 服務(wù)和 HTTP 服務(wù)等，很多其他應(yīng)用程序駐留并運行在此層，并且 依賴于底層的功能。該層是最難保護的一層。.TCP/IP 組的四層、OSI 參考模型和常用協(xié)議的對應(yīng)關(guān)系如圖2-3 所示。4網(wǎng)絡(luò)協(xié)議 IPIP 協(xié)議已經(jīng)成為世界上最重要的網(wǎng)際協(xié)議。IP 的功能定義在由 IP 頭結(jié)構(gòu)的數(shù)據(jù)中。IP 是網(wǎng)絡(luò)層上的主要協(xié)議，同時被 TCP 協(xié)議和 UDP協(xié)議使用。TCP/IP 的整個數(shù)據(jù)報在數(shù)據(jù)鏈路層的結(jié)構(gòu)如表2-1 所示。表 2-1 TCP/IP 數(shù)據(jù)報的結(jié)構(gòu)以太網(wǎng)數(shù)據(jù)包

10、頭IP 頭TCP/UDP/ICMP/IGMP 頭數(shù)據(jù)5.IP 頭的結(jié)構(gòu)可以看出一條完整數(shù)據(jù)報由四部分組成 第三部分是該數(shù)據(jù)報采用的協(xié)議 第四部分是數(shù)據(jù)報傳遞的數(shù)據(jù)內(nèi)容 其中 IP 頭的結(jié)構(gòu)如表 2-2 所示。版本（4 位）頭長度（4 位）服務(wù)類型（8 位）封包總長度（16 位）封包標(biāo)識（16 位）標(biāo)志（3 位）片斷偏移地址（13 位）存活時間（8 位）協(xié)議（8 位）校驗和（16 位）來源 IP 地址（32 位）目的 IP 地址（32 位）選項（可選）填充（可選）數(shù)據(jù)IP 頭結(jié)構(gòu)在所有協(xié)議中都是固定的，對表2-2 說明如下：（1）字節(jié)和數(shù)字的存儲順序是從右到左，依次是從低位到高位，而網(wǎng)絡(luò)存儲順序

11、 是從左到右，依次從低位到高位。（2）版本：占第一個字節(jié)的高四位。頭長度：占第一個字節(jié)的低四位。（3） 服務(wù)類型：前 3 位為優(yōu)先字段權(quán)，現(xiàn)在已經(jīng)被忽略。接著4 位用來表示最小 延遲、最大吞吐量、最高可靠性和最小費用。（4）封包總長度：整個 IP 報的長度，單位為字節(jié)。（5）存活時間：就是封包的生存時間。通常用通過的路由器的個數(shù)來衡量，比如初始值設(shè)置為 32，則每通過一個路由器處理就會被減一，當(dāng)這個值為0 的時候就設(shè)計 B類地址的目的是支持中到大型的網(wǎng)絡(luò)。B 類網(wǎng)絡(luò)地址范圍從會丟掉這個包，并用 ICMP 消息通知源主機。（6）協(xié)議：定義了數(shù)據(jù)的協(xié)議，分別為：TCP 、UDP 、 ICMP 和

12、IGMP 。定義為： define PROTOCOL_TCP 0 x06 define PROTOCOL_UDP 0 x11 define PROTOCOL_ICMP 0 x06 define PROTOCOL_IGMP 0 x06（ 7）檢驗和：校驗的首先將該字段設(shè)置為0，然后將 IP 頭的每 16 位進行二進制取反求和，將結(jié)果保存在校驗和字段。（8）來源 IP 地址：將 IP 地址看作是 32 位數(shù)值則需要將網(wǎng)絡(luò)字節(jié)順序轉(zhuǎn)化位主機 字節(jié)順序。轉(zhuǎn)化的方法是：將每 4 個字節(jié)首尾互換，將 2、3 字節(jié)互換。（ 9）目的 IP 地址：轉(zhuǎn)換方法和來源 IP 地址一樣。在網(wǎng)絡(luò)協(xié)議中， IP 是面向非

13、連接的，所謂的非連接就是傳遞數(shù)據(jù)的時候，不檢測 網(wǎng)絡(luò)是否連通。所以是不可靠的數(shù)據(jù)報協(xié)議， IP 協(xié)議主要負(fù)責(zé)在主機之間尋址和 選擇數(shù)據(jù)包路由。6. 抓取 Ping 指令發(fā)送的數(shù)據(jù)包按照第一章 Sniffer 的設(shè)置抓取 Ping 指令發(fā)送的數(shù)據(jù)包，命令執(zhí)行如圖 2-4 所示。其實 IP 報頭的所有屬性都在報頭中顯示出來，可以看出實際抓取的數(shù)據(jù)報和理論 上的數(shù)據(jù)報一致，分析如圖 2-6 所示。7. IPv4 的 IP 地址分類IPv4 地址在 1981 年 9 月實現(xiàn)標(biāo)準(zhǔn)化的?；镜?IP 地址是 8 位一個單元的 32 位二 進制數(shù)。為了方便人們的使用，對機器友好的二進制地址轉(zhuǎn)變?yōu)槿藗兏煜さ?/p>

14、十進 制地址。IP 地址中的每一個 8 位組用 0255 之間的一個十進制數(shù)表示。這些數(shù)之間用點“隔開，因此，最小的 IPv4 地址值為 ，最大的地址值為 55，然 而這兩個值是保留的，沒有分配給任何系統(tǒng)。IP 地址分成五類： A 類地址、 B 類地址、 C 類地址、 D 類地址和 E 類地址。 每一個 IP 地址包括兩部分：網(wǎng)絡(luò)地址和主機地址，上面五類地址對所支持的網(wǎng)絡(luò) 數(shù)和主機數(shù)有不同的組合。1、 A 類地址一個 A 類 IP 地址僅使用第一個 8 位組表示網(wǎng)絡(luò)地址。剩下的 3 個 8 位組表示主機 地址。 A類地址的第一個位總為0，這一點在數(shù)學(xué)上限

15、制了A 類地址的范圍小于127，因此理論上僅有 127 個可能的 A 類網(wǎng)絡(luò)，而 地址又沒有分配，所以實 際上只有 126 個 A 類網(wǎng)。技術(shù)上講， 也是一個 A 類地址，但是它已被保 留作閉環(huán)（ LookBack ）測試之用而不能分配給一個網(wǎng)絡(luò)。A 類地址后面的 24 位表示可能的主機地址， A 類網(wǎng)絡(luò)地址的范圍從 到 。每一個 A 類地址能支持 16,777,214 個不同的主機地址，這個數(shù)是由 2 的 24 次方再減去 2 得到的。減 2 是必要的，因為 IP 把全 0 保留為表示網(wǎng)絡(luò)而全 1 表 示網(wǎng)絡(luò)內(nèi)的廣播地址。

16、2、 B 類地址 到 。 B 類地址蘊含的數(shù)學(xué)邏輯是相當(dāng)簡單的。一個 B 類 IP 地址使用兩個 8 位組表示網(wǎng)絡(luò)號，另外兩個 8 位組表 示主機號。 B 類地址的第 1 個 8 位組的前兩位總是設(shè)置為1 和 0，剩下的 6 位既可以是 0 也可 以是 1，這樣 就限 制其范 圍小于 等于 191，這里的 191 由 128+32+16+8+4 +2+1得到。最后的 16 位（2 個 8 位組）標(biāo)識可能的主機地址。每一個 B 類地址 能支持64,534 個惟一的主機地址，這個數(shù)由 2 的 16 次方減 2 得到， B 類網(wǎng)絡(luò)有 16,382 個。3、 C

17、 類地址C 類地址用于支持大量的小型網(wǎng)絡(luò)。這類地址可以認(rèn)為與A 類地址正好相反。A 類地址使用第一個 8 位組表示網(wǎng)絡(luò)號，剩下的 3 個表示主機號，而 C 類地址使用三個 8 位組表示網(wǎng)絡(luò)地址，僅用一個 8 位組表示主機號。C 類地址的前 3 位數(shù)為 110，前兩位和為 192（128+64），這形成了 C 類地址空間的下界。第三位等于十進制數(shù)32，這一位為 0 限制了地址空間的上界。不能使用第三位限制了此 8 位組的最大值為 255-32 等于 223。因此 C 類網(wǎng)絡(luò) 地址范圍從 至 。最后一個 8 位組用于主機尋址。每一個C 類地址理論上可支

18、持最大2 5 6 個主機地址（0255），但是僅有 254 個可用，因為 0 和 255 不是有效的主機地 址。可以有 2,097,150 個不同的 C 類網(wǎng)絡(luò)地址。在 IP 地址中， 0 和 255 是保留的主機地址。 IP 地址中所有的主機 地址為 0用于標(biāo)識局域網(wǎng)。同樣，全為 1 表示在此網(wǎng)段中的廣播地址。4、 D 類地址D 類地址用于在 IP 網(wǎng)絡(luò)中的組播（Multicasting ）。D 類組播地址機 制僅有有限的用處。一個組播地址是一個惟一的網(wǎng)絡(luò)地址。它能指導(dǎo)報文到達預(yù)定 義的 IP 地址組。因此，一臺機器可以把數(shù)據(jù)流同時發(fā)送到多個接收端，這比為每個 接收端創(chuàng)建一個不同的流有效得多

19、。組播長期以來被認(rèn)為是IP 網(wǎng)絡(luò)最理想的特性，因為它有效地減小了網(wǎng)絡(luò)流量。D 類地址空間，和其他地址空間一樣，有其數(shù)學(xué)限制，D 類地址的前 4 位恒為 1110，預(yù)置前 3 位為 1 意味著 D 類地址開始于 128+64+32 等于 224。第 4 位為 0 意味著 D 類地址的最大值為 128+64+32+8+4+2+1 為 239,因此 D 類地址空 間的范圍從 到 239.255.2 55.254。5、 E 類地址E 類地址雖被定義為保留研究之用。因此 Internet 上沒有可用的 E 類地址。E 類地址的前 4 位為 1 ，因此有效的地址范圍從

20、 至558.子網(wǎng)掩碼1、子網(wǎng)掩碼是用來判斷任意兩臺計算機的IP 地址是否屬于同一子網(wǎng)絡(luò)的根據(jù)。最為簡單的理解就是兩臺計算機各自的IP 地址與子網(wǎng)掩碼進行二進制 “與”（ AND ）運算后，如果得出的結(jié)果是相同的，則說明這兩臺計算機是處于同一個 子網(wǎng)絡(luò)上的，可以進行直接的通訊。計算機 A 的 IP 地址為 ，子網(wǎng)掩碼為 ，將轉(zhuǎn)化為二進制進行 與”運算，運算過程如表 2-3 所示。2、計算機 A 的 IP 地址為 ，子網(wǎng)掩碼為 ，將轉(zhuǎn)化為二進 制進行 與”運算，運算過程如表 2

21、-3 所示。P 地址11010000.10101000.00000000.00000001子網(wǎng)掩碼11111111.11111111.11111111.00000000P 地址與子網(wǎng)掩碼按位 與”運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為十進制3.計算機 B 的 IP 地址為 54，子網(wǎng)掩碼為 ，將轉(zhuǎn)化為二 進制進行 與”運算。運算過程如表2-4所示。P 地址11010000.10101000.00000000.11111110子網(wǎng)掩碼11111111.11111111.111

22、11111.00000000P 地址與子網(wǎng)掩碼按位與”運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為十進制4.計算機 C 的 IP 地址為 ，子網(wǎng)掩碼為 ，將轉(zhuǎn)化為二進制進 行與”運算。運算過程如表2-5所示P 地址11010000.10101000.00000000. 00000100子網(wǎng)掩碼11111111.11111111.11111111.00000000P 地址與子網(wǎng)掩碼按位與”運算11000000.10101000.00000000.00000000運算的結(jié)果轉(zhuǎn)化為十進

23、制9.傳輸控制協(xié)議協(xié)議 TCP1.TCP 是傳輸層協(xié)議，提供可靠的應(yīng)用數(shù)據(jù)傳輸。TCP 在兩個或多個主機之間建立面向連接的通信。TCP 支持多數(shù)據(jù)流操作，提供錯誤控制，甚至完成對亂序到達的報文進行重新排 序。2. TCP 協(xié)議的頭結(jié)構(gòu)和 IP 一樣，TCP 的功能受限于其頭中攜帶的信息。因此理解TCP 的機制和功能需要了解TCP 頭中的內(nèi)容，表 2-6 顯示了 TCP 頭結(jié)構(gòu)。來源端口（ 2 字節(jié)）目的端口（ 2 字節(jié)）序號（4 字節(jié)）確認(rèn)序號（4 字節(jié)）頭長度（4 位）保留（6 位）URGACKPSHRSTSYNPIN窗口大?。? 字節(jié)）校驗和（16 位）緊急指針（16

24、 位）選項（可選）數(shù)據(jù)3TCP 協(xié)議的頭結(jié)構(gòu)TCP 協(xié)議的頭結(jié)構(gòu)都是固定的，對表 2-6 說明如下：(1)TCP 源端口( Source Port)： 16 位的源端口包含初始化通信的端口號。源端口和 IP 地址的作用是標(biāo)識報文的返回地址。(2)TCP 目的端口( Destination Port)： 16 位的目的端口域定義傳輸?shù)哪康?。這 個端口指明報文接收計算機上的應(yīng)用程序地址接口。(3)序列號( Sequence Number)： TCP 連線發(fā)送方向接收方的封包順序號。(4)確認(rèn)序號( Acknowledge Number )：接收方回發(fā)的應(yīng)答順序號。(5)頭長度( Header Le

25、ngth )：表示 TCP 頭的雙四字節(jié)數(shù)，如果轉(zhuǎn)化為字節(jié)個數(shù) 需要乘以 4。(6)URG :是否使用緊急指針，0 為不使用，1 為使用。(7)ACK ：請求 /應(yīng)答狀態(tài)。 0 為請求， 1 為應(yīng)答。(8)PSH:以最快的速度傳輸數(shù)據(jù)。( 9 ) RST :連線復(fù)位，首先斷開連接，然后重建。(10) SYN :同步連線序號，用來建立連線。(11)FIN :結(jié)束連線。如果 FIN 為 0 是結(jié)束連線請求，F(xiàn)IN 為 1 表示結(jié)束連線。(12) 窗口大小( Window) :目的機使用 16 位的域告訴源主機，它想收到的每個TCP 數(shù)據(jù)段大小。(13) 校驗和(Check Sum):這個校驗和和

26、IP 的校驗和有所不同，不僅對頭數(shù)據(jù) 進行校驗還對封包內(nèi)容校驗。(14)緊急指針(Urge nt Poi nter):當(dāng) URG 為 1 的時候才有效。TCP 的緊急方式 是發(fā)送緊急數(shù)據(jù)的一種方式。10. TCP 協(xié)議的工作原理TCP 提供兩個網(wǎng)絡(luò)主機之間的點對點通訊。TCP 從程序中接收數(shù)據(jù)并將數(shù)據(jù)處理成字節(jié)流。首先將字節(jié)分成段，然后對段進行編號和排序以便傳輸。在兩個TCP 主機之間交換數(shù)據(jù)之前，必須先相互建立會話。 TCP 會話通過三次握手的完成初始化。這個過 程使序號同步，并提供在兩個主機之間建立虛擬連接所需的控制信息。TCP 在建立連接的時候需要三次確認(rèn)，俗稱 “三次握手”，在斷開連接

27、的時候需要四 次確認(rèn)，俗稱“四次揮手”。11TCP 協(xié)議的三次“握手”12. TCP 協(xié)議的三次 握手”這個過程在 FTP 的會話過程中也明顯的顯示出來，如圖2-12 所示。1.第一次“握手”首先分析建立“握手”第一個過程包的結(jié)構(gòu)，如圖 2-13 所示。2第二次握手”SYN 為 1 ，開始建立請求連接，需要對方計算機確認(rèn)， 對方計算機確認(rèn)返回的數(shù)據(jù) 包如圖 2-14所示。3 第三次握手”對方計算機返回的數(shù)據(jù)包中 ACK 為 1 并且 SYN 為 1，說明同意連接。這個時候需要源計算機的確認(rèn)就可以建立連接了。確認(rèn)數(shù)據(jù)包的結(jié)構(gòu)如圖2-15 所示。4.TCP 協(xié)議的四次揮手”需要斷開連接的時候，TC

28、P 也需要互相確認(rèn)才可以斷開連接，四次交互過程如圖2-16 所示1第一次揮手”第一次交互過程的數(shù)據(jù)報結(jié)構(gòu)如圖2-17 所示。2第二次揮手”第一次交互中，首先發(fā)送一個FIN=1 的請求，要求斷開，目標(biāo)主機在得到請求后發(fā)送ACK=1 進行確認(rèn)，如圖 2-18 所示。3 .第三次揮手”在確認(rèn)信息發(fā)出后，就發(fā)送了一個FIN=1 的包，與源主機斷開，如圖2-19 所示。4第四次揮手”隨后源主機返回一條 ACK=1 的信息，這樣一次完整的TCP 會話就結(jié)束了。如圖 2-20 所示。13.用戶數(shù)據(jù)報協(xié)議 UDP1。UDP 為應(yīng)用程序提供發(fā)送和接收數(shù)據(jù)報的功能。某些程序（比如騰訊的 OICQ ）使用的是 UD

29、P 協(xié)議，UDP 協(xié)議在 TCP/IP 主機之間 建立快速、輕便、不可靠的數(shù)據(jù)傳輸通道。2 . UDP 和 TCP 的區(qū)別UDP 提供的是非連接的數(shù)據(jù)報服務(wù)，意味著 UDP 無法保證任何數(shù)據(jù)報的傳遞和驗 證。UDP 的結(jié)構(gòu)如圖 2-21 所示。3. UDP 和 TCP 傳遞數(shù)據(jù)的差異UDP 和 TCP 傳遞數(shù)據(jù)的差異類似于電話和明信片之間的差異。TCP 就像電話，必須先驗證目標(biāo)是否可以訪問后才開始通訊。UDP 就像明信片，信息量很小而且每次傳遞成功的可能性很高，但 是不能完全保證傳遞成功。UDP 通常由每次傳輸少量數(shù)據(jù)或有實時需要的程序使用。在這些情況下，UDP 的低開銷比 TCP 更適合。U

30、DP 與 TCP 提供的服務(wù)和功能直接 對比4UDP 和 TCP 傳遞數(shù)據(jù)的比較UDP 協(xié)議TCP 通過確認(rèn)和按順序傳遞數(shù)據(jù)來確 保數(shù)據(jù)的傳遞。TCP 協(xié)議無連接的服務(wù)；在主機之間不建立會話。面向連接的服務(wù)；在主機之間建立會話。UDP 不能確?；虺姓J(rèn)數(shù)據(jù)傳遞或序列化數(shù)據(jù)。使用 UDP 的程序負(fù)責(zé)提供傳輸 數(shù)據(jù)所需的可靠性。使用 TCP 的程序能確?？煽康臄?shù)據(jù) 傳輸。UDP 快速，具有低開銷要求， 并支持點對點和一點對多點的通 訊。TCP 比較慢，有更高的開銷要求，而 且只支持點對點通訊。UDP 和 TCP 都使用端口標(biāo)識每個 TCP/IP 程序的通訊。5. UDP 協(xié)議的頭結(jié)構(gòu)UDP 的頭結(jié)構(gòu)

31、比較簡單，如表2-8 所示。源端口( 2 字節(jié))目的端口( 2 字節(jié))封報長度(2 字節(jié))校驗和(2 字節(jié))數(shù)據(jù)6.UDP 的頭結(jié)構(gòu)(1)源端口( Source Port) : 16 位的源端口域包含初始化通信的端口號。源端口 和 IP 地址的作用是標(biāo)識報文的返回地址。(2) 目的端口( Dest in ati on Port)： 6 位的目的端口域定義傳輸?shù)哪康摹＿@個端口 指明報文接收計算機上的應(yīng)用程序地址接口。(3) 封包長度(Length)： UDP 頭和數(shù)據(jù)的總長度。(4) 校驗和(Check Sum):和 TCP 和校驗和一樣，不僅對頭數(shù)據(jù)進行校驗，還 對包的內(nèi)容進行校驗。7.UDP

32、 數(shù)據(jù)報分析常用的網(wǎng)絡(luò)服務(wù)中， DNS 使用 UDP 協(xié)議。DNS 是域名系統(tǒng)(Domain Name System) 的縮寫當(dāng)用戶在應(yīng)用程序中輸入DNS 名稱時，DNS 服務(wù)可以將此名稱解讀為與此名稱相關(guān)的 IP 地址。14.Email 服務(wù)目前 Email 服務(wù)用的兩個主要的協(xié)議是：簡單郵件傳輸協(xié)議SMTP (Simple MailTransfer Protocol)和郵局協(xié)議 POP3 ( Post Office Protocol )。SMTP 默認(rèn)占用 25 端口，用來發(fā)送郵件，POP3 占用 110 端口，用來接收郵件。在 Windows 平臺下，主要利用 Microsoft Exc

33、hange Server 作為電子郵件服務(wù)器。15. Web 服務(wù)Web 服務(wù)是目前最常用的服務(wù)，使用HTTP 協(xié)議，默認(rèn) Web 服務(wù)占用 80 端口在 Win dows 平臺下一般使用 IIS (I nternet In formation Server )作為 Web 服務(wù)器。16常用的網(wǎng)絡(luò)服務(wù)端口常用服務(wù)端口列表端口協(xié)議服務(wù)21TCPFTP 服務(wù)25CPSMTP 服務(wù)53FCP/UDPDNS 服務(wù)30CPWeb 服務(wù)135CPRPC 服務(wù)137UDPNetBIOS 域名服務(wù)138UDPNetBIOS 數(shù)據(jù)報服務(wù)139TCPNetBIOS 會話服務(wù)443TCP基于 SSL 的 HTTP 服務(wù)445TCP/UDPMicrosoft SMB 服務(wù)3389CPWindows 終端服務(wù)17常用的網(wǎng)絡(luò)命令常用的網(wǎng)絡(luò)命令有：判斷主機是否連通的 ping 指令查看 IP 地址配置情況的 ipconfig 指令 查看網(wǎng)絡(luò)連接狀態(tài)的 netstat 指令 進行網(wǎng)絡(luò)操作的 net 指令進行定時器操作的 at 指令。1 Pi ngping 指令通過發(fā)送 ICMP 包來驗證與另一臺 TCP/IP 計算機的 IP 級連接。應(yīng)答消息的接收情況將和往返過程的次數(shù)一起顯示出來。ping 指令用于檢測網(wǎng)絡(luò)的連