（计算机应用技术专业论文）基于校园网的安全监控系统的研究与实现.pdf

湖北工业大学硕士学位论文 摘要 随着互联网的飞速发展，人们的生活、工作和学习与互联网的联系越来越紧 密，它已成为人们实现资源共享和信息交流的最重要传播媒介，从单一的行业互 联网发展成为深入我国各行业的社会大众的互联网。它在如此众多领域得到了广 泛的应用，其功能日益强大但复杂性也随之提高。一方面给用户带来了方便，另 一方面使得维护和保证网络安全变得困难，网络安全方面的问题也越来越突出。 网络互连一般采用t c p i p 协议，而t c p i p 协议是一个工业标准的协议簇， 在该协议簇制订之初，没有过多考虑其安全性，所以协议中存在很多的安全漏洞， 致使网络极易受到黑客的攻击。 随着校园网的发展和普及，其安全性一直受到人们的重视，本文结合校 园网络的实际，试图建立一个针对校园局域网内的流量和攻击，进行实时监测的 模型，该原型系统具备了基本的入侵检测功能，在实验环境中作者对该系统进行 了测试，其具备较理想的监控能力，达到了预期且的。 本文首先分析了网络监听技术的现状，对共享网络的监听、防范、检测技术 进行了介绍，并介绍了网络安全的基础知识。其次，对t c p i p 协议簇进行了详细 的分析，并对当前流行的一些网络攻击手段从技术上和实际应用环境上进行了分 析，包括d o s 攻击，a r p 欺骗，d n s 欺骗的分析。再次，对数据包的捕获机制进行 了分析，对w i n d o w s 环境下的w i n p c a p 驱动开发包进行了详细的说明，并介绍了 相关函数。并且在此基础上，构建出一个具体的监控模型，实现对局域网内的a r p 欺骗监测，d n s 欺骑检测，网络流量监测，网络主杌访问情况监测以及阻止网络主 机对某些站点的访问。 关键词：网络监听，w n p c a p ，a r y 欺骗，d n s 欺骗 湖北工业大学硕士学位论文 a b s t r a c t a l o n gw i t ht h er a p i dd e v e l o p m e n to fi n t e r n e t o a fl i f c ，w o r ka n ds t u d ya r em u c h t i g h t e rw i t hi n l e r n c tt h a nb e f o r e i th a sb e c o m et h em o s ti m p o r t a n tt r a n s m i s s i o n m e d i m no fr e s o u i s h a r ea n di n f o r m a t i o ni n l e r c o m m u n i c a f i o n i th a sb e c o m et h e p c r v a s i v ei n t e m e to fp e o p l ei nd i f f e r e n ti n d u s t r i e so fo u rc o u n t r yf r o mt h eo n eo ft h e s i n g l ei n d u s t r y i th a sg o t t e ne x t e n s i v ea p p l i c a t i o n si ns om a n yf i e l d s ，a n dt h ef u n c t i o n s a r cs t r o n g e ra n ds t r o n g e ri ne v e r yd a yw h i l et h ec o m p l e x i t yi n c r e a s i n g o nt h eo n eh a n d , i tb r i n g sc o n v e n i e n c et ou s e r s ，o n 也eo t h e rh a n d ，i tm a k e si td i 伍c u l tt om a i n t a i na n d p r o v et h en e t w o r ks e c u r i t y a n dt h ep r o b l e m so ft h en e t w o r ks e c u r i t ya r em o r ea n d m o r ep r o m i n e n t t c p ，口i su s e di nt h en e t w o r ka tt h eb e g i n n i n g , b u tt h el i t t l es e c u r i t yo fi tw a s c o n s i d e r e d s i n c ei th a ss t ) m u c hs h o r t c o m i n g st h a ti su s e di nm a n ya t t a c k m e n tb y h a c k e r s w i t ht h ed e v e l o p m e n to fs c h o o ln e t w o r k , i t ss e c l l r i t yh a sb e e nt a k e ni n t oa c c o u n t n 正a u t h o rw a n tt oc o n s t r u c tam o d e l b yw h i c h n e t w o r ki r a 伍ca n ds o m ek i n d so f a t t a c k m e n tc a nb em o n i t o r e d t h em o d e lw a sl e s t e di nt h e1 a b a n dp r o v e dd e s i r a b l e 他t h e s i sh a sf i r s ta n a y z e do n eo fh a c k e r sa t t a c km e t h o d s - n e t w o r km o n i t o r i n g t e c h n o l o g ya n di t sc u r r e n ts t a t u s a n di n 仃o d u c e dt h em o n i t o r i n ga n dd e t e c t i o nm e t h o d o fs h a r e dn e t w o r ka n ds w i t c hn e t w o r k , a n dt h ee l e m e n t a r yk n o w l e d g eo fn e t w o r k s e c u r i t y n e x t , t h i s 也e s i sh a sc a r r i e do nt h ed e t a i la n a l y s i st ot h et c p 口p r o t o c o l c l u s t e ra n di n 仃o d u c e ss o m em e t h o d so fn e t a t t a c ka tp r e s e n t , i n l u c d ed o sa t t a c k , a r p s p o o f , d n ss p o o f f i n a l l y , t h i st h e s i sh a sc a r r i e do nt h ea n a l y s i st ot h ed a t ap a c k e t c a p t u r em e c h a n i s m ，i n t r o d u c e dw i n p c a pp a c k e tc a p t u r ea r c h i l e c t u r eu n d e rw i n d o w s e n v i r o n m e n ti nd e t a i la n dt h ec o r r e l a t i o nf u n c t i o n , a n db a s e do nt h i s ic o n s t r u c t e da c o n c r e t em o n i t o r i n gm o d e lt om o n i t o ra r ps p o o f , d n ss p o o fi nl o c a ln e t w o r k , a n d m o n i t o rt h en e t w o r kt r a 伍c ，a n dm o n i t o rt h ea c c e 站o fas p e c i f i cc o m p u t e rt on e t 。a n d s t o pa c c e 鹳t os o m ew e b e i t ef f n c c e s s a r y k e y w o r d s ：n e t w o r km o n i t o r i n g , w i n p c a p ，a r ps p o o f , d n ss p o o f 佩l l 童工爨火港 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作所取 得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或集体已经 发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在文中以明确方 式标明本声明的法律结果由本人承担。 学位论文作者签名：互诞绛日期：2 印7 年善月2 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留 并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授 权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采 用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名： 日期：2 砌7 年善月 王爻第 1 三日 峪日 狮 彦乍 签7 黝歹 教 ： 导 期 揩 日 湖北工业大学硕士学位论文 1 1 研究的背景和意义 第1 章引言 i n t e r n e t 自从诞生以来，就以不可思议的速度在发展，当前社会已经进入信 息时代，网络正在逐渐改变我们的生活。i n t e r n e t 一方面给我们带来极大的方便， 但是一方面也带来了很多问题。网上的信息难以控制，存在大量的不健康信息， 同时网络的安全问题日益严竣，例如网络上频繁的黑客活动以及沿网络传播的病 毒等等。为了解决这些问题。人们陆续发展了多种例如防火墙，入侵检测系统， 网络扫描器等网络安全防范工具。但在网络安全行业内流行着这样一条8 0 2 0 法 则：8 0 9 6 的安全威胁来自网络内部，所以尤其需要对内部网络的运行情况进行有效 的控制。 如何创造绿色的上网环境，阻挡有害信息，如何保护重要信息的收发安全， 如何实现对网上信息获取，实现对网络访问的有效控制，对计算机网络的用户进 行有效的管理，就成了一个非常现实而又迫切的问题。网络监听在安全领域引起 人们普遍注意是在9 4 年开始的，在那一年2 月间，相继发生了几次大的安全事件， 一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对 美国骨干互联网和军方网窃取了超过1 0 0 ，0 0 0 个有效的用户名和口令。上述事 件可能是互联网上最早期的大规模的网络监听事件了，它使早期网络监听从地下 走向了公开，并迅速的在大众中普及开来。 通过对网络信息的监测与分析，可记录网络中数据的流量，对网络信息给于 适当控制，并有助于分析网络的性能，监控网络各层的协议和服务，分析网内各 主机的处理能力，提高对网络的管理。网络信息监测的意义还体现在以下几点： 可用于调试网络应用程序，判断应用程序是否正确的发送或接收了数据包；可以 维护网络环境，杜绝不健康站点的不健康内容：可应用于安全防范，监视信息内 容、保障网络安全，截获情报、分析怀有敌意方的网站，在计算机网络上实施有 效的攻击与保护。 i n t e r n e t 基于t c p i p ，而t c p i p 是一个包交换协议，这意味着在共享媒体 上传输的数据对同网段上的机器是可见的。同时目前使用最广泛的以太网技术， 采用带冲突监测的载波侦听多路访问协议( c s m a c d ) 作为介质访问控制协议， c s m a 使用广播机制，所传输的数据包能被共享信道的所有主机接收，这是在以 湖北工业大学硕士学位论文 太网上实现数据监测的物理基础。但是，大量的通讯技术和协议的存在使这个工 作变得很困难，而目为了在高速网络上无遗漏的捕获数据，对性能也提出了较高 的要求。目前来说，主要有两种方法从网络上捕获数据：第一种是基于特定的硬 件；第二种是在普通p c 或工作站上用软件实现。后者是用计算机的网络适配器从 网络上获得数据帧，然后用软件进行大量的捕获处理。这种方式比第一种方式性 能差，但是它便宜，容易修改和升级，因此得到了广泛的应用。木文所讨论的正 是用软件实现的网络数据监测与分析。 1 2 网络监听的发展 当前网络监听主要用于局域网中，按照监听的环境不同，网络监听分为共享 式网络监听和交换式网络监听。前者相对来说发展较早也比较成熟了，它主要通 过将网卡设成混杂模式，同时辅以相应的捕获机制来达到监听的目的。其局限性 在于只能用于共享式网络。随着交换机成本和价格的大幅度降低，交换式网络的 比重正在逐渐加大。在交换式以太网中，网段被分割成端口，不同主机之间的相 互通信是通过交换机内部的不同端口间的存储转发来完成的。最常见的交换机在 网络层根据数据包的目标地址进行转发，而不是采用以太网集线器的广播方式。 由于交换式网络采用与共享式网络完全不同的数据传送方式，曾一度使得网络监 听完全失效。从理论上讲，一个主机无法再利用数据包的广播或网卡的混杂模式 对其他端口进行监听，因此原有的监听手段无法在交换式网络下实施。因此有必 要对交换环境下的监听技术进行研究。 1 3 网络监听的原理 1 3 1o s m a o d 工作原理 共享以太网所采用的技术通常称为载波侦听冲突检测( c s m a c dc a r r i e r s e n s em u l t i p l ea c c e s sw i t hc o l l i s i o nd e t e c t i o n ) 技术，是美国施乐公司( x e r o x ) 的p a l oa l t o 研究中心于1 9 7 5 年研制成功的。在此基础上，i e e e s 0 2 委员会的8 0 2 工作组于1 9 8 3 年指定了第一个i e e e 的以太网标准，其编号为8 0 2 3 。c s m a c d 全 称是载波监听多点接入碰撞检测。 “多点接入”说明这是总线型网络，多个计算机以多点接入的方式连在一跟 总线上。 “载波监听”是指网络中的每个站点在传输自己的数据时，首先监听信道是 2 湖北工业大学硕士学位论文 否空闲；如果空闲，就传输自己的数据，如果信道被占用，就等待信道空闲。 “碰撞检测”就是计算机边发送数据边检测信道上的信号电压大小。当多个 计算机同时发送数据时，就发生碰撞。这时，要停止发送数据，并随机等待一 段时间后再发送数据。l 州 c s l i a c d 被广泛用于局域网内的主机之间的通信。 共享以太网在工作时将数据帧发送给同一网段中的所有节点，由各个节点自 己决定接受或是丢弃数据帧。也就是说，网段中的所有节点共享整个网络传输介 质，每个节点在发送数据的时候，实际上是发送给了整个网段上所有处于监听状 态的节点。由此可见，所有与网络连接的工作站都可以看到网络上传递的数据， 所以安全的角度来看，共享式以太网是攻击者的理想目标。 1 3 2 共享网络监听原理 在共享以太网中，同一个网段的所有网络接口都可以访问在物理媒体上传输 的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是 网卡的m a c 地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡 上的m a c 地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给 其生产的每个网卡一个地址。在正常的情况下，网络接口读入数据帧，进行检查， 如果是与自己硬件地址相匹配的数据帧或是发向所有机器的广播数据帧，则将数 据帧交给上层协议软件，否则丢弃该帧。但是，如果把网卡设置成混杂模式，监 听程序就会绕过正常工作的处理机制，直接访问网络底层。不论数据包的目的地 址是否是本机，都能截获并传递给上层进行处理。从这个意义上来说，共享局域 网内的信息是开放的州。 1 3 3 网络监听的防范 为了有效的抵制局域网内的非法监听，保护用户的数据安全。人们不断研究 出更多的防范监听的技术。 1 、网络分段 网络分段是指将网络划分为若干个i p 子网，子网问通过路由器、带有虚拟局 域网( v i a n ) 功能的三层交换机、网关或防火墙等设备进行连接，利用这些中间设 备的安全机制来控制各子网间的访问。把非法用户与网络资源相互隔离，从而达 到限制用户非法访问的目的。 2 、交换技术 湖北工业大学硕士学位论文 这是目前普遍使用的技术。 用交换机代替集线器，交换机是工作在数据链路层的，不同于集线器的广播 方式，交换机转发报文是一一对应的。因此，交换机代替集线器之后，数据包仅 在两个节点之间进行传送，从而可以有效防止共享网络监听。 3 、加密技术 在第二层，即数据链路层对数据进行加秘。 在不能有效阻止网络通信被监听的情况下，可以使监听者不能有效获得要监 听的信息。这就需要使用加密技术。加密技术应用比较广泛，比如有应用于唧 的s s l ，应用于e m a i l 的p g p 和s m i 姬，应用于远程登陆的s s h 等。 4 、划分v l a n v l a n 叫做虚拟局域网，它的作用是将物理上互连的网络在逻辑上划分为多个 互不相干的网络，这些网络之间是无法通讯的。运用v l a n 技术可以将局域网划分 成若干个逻辑子网，每个子网内的主机是可以相互信任的，可以防止大部分的恶 意监听。 1 4 基于交换网络的监听原理 1 4 1 交换网络的特点 不同于工作在第一层的h u b ，交换机是工作在二层，也就是说数据链路层的， 交换机在工作时维护着一张a r p 的数据库，在这个库中记录着交换机每个端口绑 定的m a c 地址，当有数据报发送到交换机上时，交换机会将数据报的目的m a c 地 址与自己维护的数据库内的端口对照，然后将数据报发送到相应的端口上，不同 于h u b 的报文广播方式，交换机转发的报文是一一对应的。对二层设备而言，仅 有两种情况会发送广播报文，一是数据报的目的m a c 地址不在交换机维护的数据 库中，此时报文向所有端口转发，二是报文本身就是广播报文。总体来说，交换 网络有以下三个特点： ( 1 ) 通过交换机连接网络。 ( 2 ) 由交换机构造一个“m a c 地址一端口”映射表 ( 3 ) 发送包的时候，只发到特定的端口上。 1 4 2 交换网络的监听技术 由于交换网络内数据传输是主机一一交换机或者交换机一主机的一对一的关 4 湖北工业大学硕士学位论文 系，在共享网络下的监听技术，已经在交换网络下失效。所以要实现交换网络下 的监听，必须要破坏这种一对一的对应关系。目前主要有以下几种手段： 1 、姒c 泛洪 交换机要想一对一的传输数据，就要负责建立两个节点间的“虚电路”，就 必须维护一个交换机端口与m a c 地址的映射表，这个映射表是放在交换机内存中。 m a c 泛洪是通过在局域网上发送大量随机的m a c 地址，以造成交换机的内存耗 尽，造成交换机的a r p 映射表的溢出。这时，交换机退化成普通的h u b ，交换 网络也退化成普通的共享网络，数据在网络内不再是一对一的传输，而是发往各 个端口，广播传输。此时，网络中任意一台机器网卡设置为混杂模式，监听者就 可以借机达到监听的目的。 2 、m a c 复制 m a c 复制实际上就是修改本地的m a c 地址，使其与欲监听主机的m a c 地址相同。 在交换机中维护着一个m a c p o r t 对的动态映射表，如果监听主机对自身的m a c 地 址加以改变并伪装成目标主机的m a c 地址，就可以迷惑交换机，将原本发往目标 主机的数据包发给监听主机。 大多数网卡允许重新组态化”r u n t i m e 执行时期”的m a c 地址，例如某些网络 卡则提供了直接于w i n d o w s 的控制台组态m a c 地址的功能。其次可以重新烧录新 的m a c 地址到网卡的e e p r 0 j i ( 电子式可抹写内存) 中，这将永远的更改网卡上的m a c 地址。 1 4 3 小结 本章详细叙述了网络监听的发展，随着网络设备不断和更新，网络新技术不 断的涌现，以及人们对数据安全的认识的提高，网络监听技术也得到了不断的发 展。旧的监听技术不断的被淘汰，新的技术又会不断的涌现。就目前来说，因 为在局域网内采用了二层交换机设备，所以以往的基于总线共享的监听技术已经 无用武之地，取而代之的是新的基于交换设备的监听技术。从本质上讲，监听只 是一种技术手段，其用途才是关键。 水能载舟，亦能覆舟，在未来一段时期内， 监听和反监听之间的技术对抗将会大大促进网络技术的发展。 本文将a r p 欺骗技术用于网络监控中，提出一种用于局域网监控的模型，拟 解决局域网在管理上的不足。 湖北工业大学硕士学位论文 第2 章网络信息安全简述 网络在设计之初，是为了方便人们对信息的共享的传递，所以在设计方面， 多考虑其使用性，而对其安全性则考虑不周。网络上的信息传递使用的是t c p i p 协议簇，t c p i p 是一个包含了多种协议的协议集合。其中有一些协议虽然在信息 的传输上非常高效，但在安全上却存在了很多漏洞。网上的不良用户会使用这些 漏洞对网络进行攻击，对用户的信息进行窃取，所以，有必要对网络的安全知识 有一个整体的了解。 2 1 网络协议简述 计算机网络是现代通信技术与计算机相结合的产物，它的最终目的是实现不 同主机之间的通信。在计算机网络中，为了实现不同主机之间的通信而制定的各 种规则就叫做网络协议，通信双方只要遵循这些协议，就可以正常通信。网络协 议是由开放系统互联参考模型( 即o s i 参考模型) 和t c p i p 协议组成的。 国际标准化组织制定的开放式系统( 0 s i ) 参考模型，采用了结构描述方法，即 分层描述的方法，将整个网络的通信功能划分为七个层次，在每个协议层中完成 一系列的特定功能。每一层都向上一层提供明确的服务，同时将本层服务的实现 封装起来，一个在相邻层之间完善的接口定义了下层对上层所提供的服务以及如 何访问这些服务。两台网络主机之问进行通信时，发送方将数据从应用层向下传 递到物理层，每一层协议模块为下一层进行数据封装，数据流经网络，到达接收 方，接着再由下而上通过协议栈传递，并与接收方应用程序进行通信。o s i 参考模 型只是一个概念模型，它并没有对计算机设备或网络做出具体定义，它更不是一 个网络协议，但它可以作为开发网络协议的一个标准框架。o s i 的参考模型如图 2 1 所示。 6 湖北工业大学硕士学位论文 磁磁彖缱协议麟单元 秉铀乐钷 图2 10 s i 的参考模型 报立 戤 擞 觳 毋组 幢 瞄 t c p i p 协议模型也采用分层的结构，每一层都包含了可以实现的协议组件。 t c p t p 协议己经成为计算机网络体系结构事实上的标准，有人也称它为工业标准。 i n t e r n e t 就是基于t c p i p 协议的。t c p i p 协议的概念层次模型如图2 2 所示。 t c p i p 从下到上，分为数据链路层，网络层( i p ) ，传输层( t c p ，u d p ) ，应用层 ( h t t p ，p o p 3 等) 。以下对其数据包协议内容和数据包格式进行简单的介绍。h 阳 氍乏性屡次 通过层同自对象 一特定于同结帕帧 圈2 工t c f i f 概念层次模型 7 湖北工业大学硕士学位论文 t c p i p 参考模型的具体协议情况见图2 3 ，其中每一层负责不同的功能如下： 1 ) n s 应用层t e l n e tf t ps m t p 羹它冉设 传输层 t c pu d p i p 络互联屡 i a r pr a r p i 绪接口层 ec h e r n e tt o k e nr in g其它协议 2 1 1 链路层协议 图2 3t c p i p 参考模型的具体协议 在t c p i p 协议族中，链路层主要完成三个目的方面的功能 ( 1 ) 为i p 模块发送和接受i p 数据报： ( 2 ) 为a r p 模块发送a r p 请求和接收a r p 应答： ( 3 ) 为r a r p 发送r a r p 请求和接收r a r p 应答。 t c p i p 支持多种不同的链路层协议，这取决于网络所使用的硬件，如以太网、 令牌环网、f d d i ( 光纤分布式数据接口) 及r s - 2 3 2 串行线路等。 以太网是有d e c ，i n t e l 和x e r o x 在1 9 8 2 年联合公布的一个标准。它是当今 t c p i p 采用的主要的局域网技术。它采用一种称作c s 姒c d 的媒体接入方式， 其意思是带冲突检测的载波侦听多路接入( c a r r i e rs e n s e ，m u l t i p l ea c c e s s w i t h c o l l i s i o nd e t e c t i o n ) 。这就为网络监控系统提供了采集整个冲突域内所有 主机产生的网络数据报的可能性。实际上所有的以太网s n i f f e r 软件都是基于这 种原理。 以太网i p 数据报的封装是在r f c8 9 4 h o r i n g1 9 8 4 中定义的，i e e e8 0 2 网 络的i p 数据报封装是在r f c1 0 4 2 p o s t e la n dr e y n o l d s1 9 8 8 中定义的。最常使 用的封装格式是r f c8 9 4 定义的格式。h 刀如图2 3 所示。 砸壅e 逦强二二二 二二 圈 6 2“154 图2 4 以太网数据祯的封装 当一台主机把以太网数据帧发送到位于同一局域两上的另一台主机时，是根 据4 8b i t 的以太网m a c 地址来确定目的接口的。设备驱动程序从不检查i p 数据 报中的目的i p 地址的。这就要求系统有实现i p 地址到m a c 地址的转换的功能， 即a r p ( 地址解析) 协议。地址解析为i p 地址到对应的硬件地址之间提供动态映射。 3 湖北工业大学硕士学位论文 即将3 2 位i p 地址解析成4 8 位硬件地址。r a r p 是备那些没有磁盘驱动器的系统使 用( 一般是无盘工作站或x 终端) 。 如图2 3 所示，这种帧封装格式采用4 8 比特的目的地址和源地址，也称为硬 件地址。类型字段定义了后续数据的类型，长度为2 个字节。0 8 0 0 表示i p 数据报， 0 8 0 6 表示a r p 请求应答，0 8 3 5 表示r a r p 请求应答。类型字段之后是数据长度， 该字段在4 6 - 1 5 0 0 之间。如果不足，则必须在不足的空间插入填充字节，以满足 字段长度要求。c r c 字段用于该帧后续字节差错的循环冗余码校验。 以太网对数据帧的长度有一个限制，其最大值为1 5 0 0 字节，链路层的这个特 性被称为加叫，最大传输单元。如果i p 层要传输的数据报长度比m t u 大，那么就 要在i p ，层进行分片，使得每一片都比删小。 2 1 2 网络层协议 i p 协议是t c p i p 协议族中最为核心的协议，所有的t c p ，u d p ，i c 船及i g 船 数据都以i p 数据分组的格式传输。i p 协议提供不可靠、无连接的数据报传输服务， 也不提供流量控制和差错控制功能。不可靠( u r n e l i a b l e ) 的意思它不能保证i p 数 据报能成功地到达目的地。i p 仅提供最好的传输服务，如果发生某种错误时，i p 有一个简单的错误处理算法：丢弃该数据报，然后发送i c 聍消息报给信源端。任 何要求的可靠性必须由上层来提供( 如t c p ) 。 无连接( c o n n e c t i o n l e s s ) 的意思时i p 并不维护任何关于后续数据报的状态信 息。每个数据报的处理时相互独立的。这也说明，i p 数据报可以不按照发送顺序 接收，因为每个i p 数据报都是独立的进行路由，顺序发送的两个数据报有可能是 后发先至。 i p 数据分组的格式如图2 4 所示。如果不包含选项字段的话，普通的i p 首部 长为2 0 个字节。嘲 0471 5 3 1 版本号l 首部长度j 服务类型总长度( 字节数) 标识 标志位片位移 生存时间( r r l )l 协议首部校验和 源i p 地址 目的i p 地址 选项( 可选) 数据 图2 5 口数据报格式 i p 首部各字段的含义是： 版本号指i p 协议的版本，有两种版本，i p v 4 和i p v 6 。目前被使用最广泛的 9 湖北工业大学硕士学位论文 依然是i p v 4 。 首部长度指i p 首部的占4 字节的数目，包括选项字段，以字节为单位。由于 它是一个4b i t 字段，所以i p 首部最长只能有6 0 个字节。多数情况下都是普通 的i p 数据分组，长度是5 。 服务类型字段包括一个3b i t 优先权，4b i t 的t o s 子字段和1b i t 未用位( 置 0 ) 。4b i t 的t o s 各位的含义分别是：最小时延、最大吞吐量、最高可靠性和最小 费用。4b i t 中最多只能置位1b i t 为l 。如果全为0 ，则是一般服务。 总长度字段是指整个i p 数据报的字节数。利用总长度和i p 报头长度的差就 可以知道i p 数据报中的数据内容的长度。 标识字段占1 6 b i t ，在系统中表示一个计数器，用来产生数据报的标识。通常 发送方每发送一份报文它的值就会加1 ，而不管这个报文是u d p 递交的，还是t c p 递交的。在数据的接收方，利用这个标识来使分片后各数据报片能最后组装成原 来的数据报。 标志位字段占3 位，第一位保留( 必须为0 ) ，第二位为不可分片位d f ，d f = o ， 表示允许i p 分片；d f l l ，表示不允许分片；第三位肝，表示后续是否还有分片。 妤= l ，表示此i p 报后面还有分片；心司，表示此i p 报已是最后一个分片。 片偏移字段占1 3b i t ，以8 个字节为1 个单位，标明当前分组片在初始i p 分 组中的位置。也就是说，每个分片的长度一定是8 字节的整数倍。 分片可以发生在原始发送端主机上，也可以发生在中问路由器上。是否进行 分片由待发送接口的m t u 决定。如果m t u 大于i p 数据分组长度则不分片，反之则 分片。分片与组装过程均由i p 层完成，对t c p 和u d p 透明。己经分片的数据分组 可能被再次分片。 生存时间域字段占8b i t ，表示允许数据报在网络中生存的寿命，可以用时间 单位如秒来设置，实际使用情况下，设置为数据报可以经过的最多路由器数。1 v r l 初始值由源主机设置，一旦经过一个路由器，t t l 值减1 ，当t t l 值等于o 时，该 i p 分组被丢弃，从而保证i p 分组不会被无休止的传输。 协议字段占8b i t ，表示此i p 数据报携带的数据使用何种协议，以便目的主 机的i p 层知道应将数据部分上交给哪个处理过程。协议字段由t c p i p 中央权威 管理机构统一分配，比如，运输层协议是t c p ，则该字段为6 ；运输层协议是u d p ， 则该字段为1 7 。 首部校验和字段占1 6b i t ，用于检验i p 首部在传输过程中是否被改变。发送 方将除了校验和字段的首部数据每1 6 位对1 求补，所有结果累加，并将和的补放 入头部检验和字段中。接受方对整个首部进行计算，如果累加计算结果为0 ，则说 1 0 湖北工业大学硕士学位论文 明首部正确，可以进一步处理，否则丢弃该数据分组。 源地址字段长3 2b i t ，是发送端主机的i p 地址。目的地址字段同样长3 2b i t ， 表示最终目的主机的i p 地址。 选项字段是为了后续版本引进新信息时可提供扩展能力。如果没有扩展选项， 则i p 首部长度为2 0 字节，首部字段值为5 。在i p 首部后的数据就是运输层首部 和用户数据 2 1 3 运输层协议 1 、t c p 协议格式“町 重点介绍t c p 协议，关于u d p 协议可参考其他资科。 t c p i p 协议中，在运输层上有两个互不相同的协议：一种是面向连接的协议， t c p ( 传输控制协议) ：一种是无连接的协议，u d p ( 用户数据报协议) 。 t c p 是实现端到端的连接，进行系统问高可靠性通信的协议，是面向连接的协 议。t c p 连接是以发起点的端口号为起点，终止于接收端的端口号，连接的数据传 送是双向的，建立和释放连接的过程采用三次握手协议。t c p 为了实现i p 数据包 的高可靠性的传输，要进行数据包错误和丢失的检测，如果发现数据包错误或丢 失，就自动进行重发。t c p 还具有数据包的顺序号管理和流量控制功能。 t c p 包格式如下：呻1 081 62 43 1 源端口目的端口 序号 确认号 数据 uaprs f 偏移 保留 r c ssyi 窗口 gk h tnn 校验和紧急指针 选项( 长度可变)填充 数据部分 图2 6t c p 数据包格式 源端口和目的端口各占2 个字节。端口是运输层与应用层的服务接口，运输 层的复用和分用功能都要通过端口才能实现。源端口代表了发送端的应用层程序， 目的端口代表了接收端的应用层程序。t c p 使用以下格式来表示一个t c p 的实际连 接：( 源i p ：源端口目的i p ：目的端口) 序号字段占4 字节，用以保证数据的可靠传输。t c p 把在一个t c p 连接中传送 的数据流中的每一个字节都编上一个序号。整个数据的起始序号在连接建立时设 湖北工业大学硕士学位论文 置，首部中的序号字段的值表示的是本报文段所发送的数据的第一个字节在传送 的整个数据流中的序号。 确认序号字段也是一个4 字节的无符号数，它包含发送确认的一端所期望收 到的下一个序号。因此，确认序号是上次已成功收到数据字节序号加1 ，只有a c k 标志为1 时确认序号字段才有效。发送a c k 字段无需任何代价，因为确认号字段 和a c k 标志一样，总是t c p 首部的一部分。因此，一旦一个t c p 连接建立起来， 这个字段总是被设置，a c k 标志也总是被设置为1 。t c p 为应用层提供全双工服 务。这意味着数据能在两个方向上独立的进行传输。因此，连接的每一端必须保 持每个方向上的传输数据序号。t c p 是一个没有选择确认或否认的滑动窗口协议。 t c p 首都中的确认序号表示收方已经成功接收到的字节，但不包含确认序号所指的 字节。( 因为确认序号表示下一个希望接收的数据序号) 数据偏移占4 b i t ，它指出t c p 报文段的数据起始处距离t c p 报文段的起始处 有多远。这实际上是t c p 报文段首部的长度。由于首部长度不固定( 因首部中还 有长度不确定的选项字段) ，因为数据偏移字段是必需的。数据偏移以3 2 b i t 即4 字节为单位，所以t c p 首部最大长度是6 0 字节。如没有选项字段，则t c p 首部 的长度为2 0 。 标识字段分为6 个标志比特，置l 时有效。其含义是：u r g ，指示紧急指针有 效，用于发送紧急数据；a c k ，指示确认序号有效；p s h ，指示接收数据应立刻上 送商层；r s t ，重置连接或异常终止连接；s 1 f n ，同步序号用来发起一个连接；f i n ， 发送端完成发送任务，连接可以释放。 t c p 的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节 数，起始于确认序号字段指明的值，这个值是接收端正期望收的字节。窗口大小 是一个1 6b i t 字段，最大为6 5 5 3 5 个字节。新的窗口刻度选项允许这个值按比例 变化以提供更大的窗口。 检验和覆盖整个t c p 报文段，包括t c p 首部和t c p 数据。这是一个强制性的 字段，一定是由发送端计算和存储，并由接收端进行验证。 紧急指针字段占2 个字节，只有u r g 标志被置l 时才有效，其值与序号字段 中的值相加表示紧急数据的最后一个字节的序号。t c p 的紧急方式是发送端向另一 端发送紧急数据的一种方式，在t e l n e t ，r l o g i n 和f t p 中都有此应用 最常见的可选项字段是最长报文大小，又称为m s s ( m a x i m u ms e g m e n ts i z e ) 。 每个连接方通常都在通信的第一个报文段中指明这个选项。它指明本端所能接收 的最大长度的报文段。 此外，需要注意的是t c p 报文段的数据部分是可选的，也即一个t c p 报文段 2 湖北工业大学硕士学位论文 可以仅有t c p 首部，而没有数据。 2 、t c p 的连接的建立 t c p 是面向连接的协议，所谓面向连接是指通信的双方在发送数据包之前要 “建立连接”，结束通信前要“释放连接”。 为了建立一个连接： ( 1 ) 请求端( 通常称为客户) 首先发送一个请求报文段，其首都中的同步比特 s y n 应置i ，同时选择一个序号x ，表明在后面传送数据时的第一个数据字节的序 号是x 。 ( 2 ) 服务器收到连接请求报文段后，如同意，则发回确认。在确认报文段中， 应将s y n 置为l ，确认号应为x + l ，同时也为自己选择一个序号y 。 ( 3 ) 客户收到服务器的确认报文后，再向服务器给出确认，其确认号为y + l 。 这三个报文段完成连接的建立。这个过程也称为三次握手。连接的建立过程 见图2 6 月点i 的事件 发i 豁1 f fs 的 接收s y n + c k 报文段 发送镪洳s 伊私 同络报文丹点2 的事件 接啦晤州报文段 发送s 尉s e q - ：y c 趾+ l 接收糨报文段 国2 7t c p 三次握手的报文序列 发送第一个s | f n 的一端将执行主动打开( a c t i v eo p e n ) 。接收这个s y n 并发 回下一个s y n 的另一端执行被动打开( p a s s i v eo p e n ) 。当一端为建立连接而发送 它的s y n 时，它为连接选择一个初始序号i s n 。i s n 随时间而变化，因此每个连接 都将具有不同的i s n 。系统中采用系统的时钟计数器作为初始的i s n ，由于系统 时钟是一个3 2 比特的计数器，每2 m s 加1 ，这样选择序号就可以防止在网络中被 延迟的分组在以后又被传送，雨导致某个连接的一方对它作错误的解释。同时， 由于序号字段有3 2 b i t 长，可对4 g b ( 即4 千兆字节) 的数据进行编号，这样就可 保证当序号重复使用时，旧的序号的数据早已在网络中消失。 3 、t c p 关闭连接 建立一个连接需要三次握手，而终止一个连接要经过4 次握手。关闭连接需 湖北工业大学硕士学位论文 要几个步骤： ( 1 ) 首先进行关闭的一方( 即主动关闭方) ，发送第一个f i n ，执行主动关闭， 而另一方( 被动关闭方) 收到这个f i n ，执行被动关闭。 ( 2 ) 当服务器收到这个f i n ，它发回一个a c k ，确认序号为收到的序号加1 。和 s y n 一样，一个f i n 将占用一个序号。同时t c p 服务器还向应用程序传送一个文件 结束符。 ( 3 ) 接着这个服务器程序就关闭它的连接，导致它的t c p 端发送一个f i n 。 ( 4 ) 客户必须发回一个确认，并将确认序号设置为收到序号加l 。 图2 7 显示了终止一个连接的典型握手顺序。在这个图中，发送f i n 将导致 应用程序关闭它们的连接，这些f i n 的a c k 是由t c p 软件自动产生的。 网点l 的事件 ( 应用程序关闭连接) 发送f i n $ e q m x 接收 鼹报文段 接收f i n + a c x 报文段 发送l ! i c h + 1 2 1 4 应用层协议 罔绍擐史瞳直2 的事件 接收f i 孵臣文殴 发送a c n + l t 通妇波用程序) ( e j 钉程序关闭连接) 发i 羞f i n6 e q - - 7a c k p l 图2 8t c p 连接释放过程中的四次握手 应用层是计算机网络体系结构中的项层，也是唯一面向用户的一层，为用户 提供常用功能的应用程序，并实现网络服务的各种功能。几乎各种不同的t c p i p 实现都会提供下面这些通用的应用程序：提供远程登录的t e l n e t 服务、发送和转 发电子邮件的s m t p 协议、接受电子邮件的p o p 3 协议、提供w e b 服务的h t t p 协议、 提供文件传输服务的f t p 协议等。 网络应用程序的实现结构主要有两种，对称的对等模式和非对称的客户服务 器模式( 即c s 模式) 。在对等模式中，应用进程的地位和作用平等，如视频会议 等。而在c s 模式中，服务器提供服务，被动的等待通信请求：；户端主动启动通 信，请求服务。目前，几乎所有的网络应用都基于c s 模式运行的。客户机和服 1 4 湖北工业大学硕士学位论文 务器分别指参与一次通信的两个应用实体，客户机会向服务器发出指令并要求它 给予响应，而服务器则会根据客户机的要求完成工作并将结果返回。服务器软件 一般分为两个部分：一部分用于接受请求并创建新的线程或进程；另一部分用于 处理实际的通信过程。 最常见的互联网上的网络服务主要有：s i t p 应用、p o p 3 应用、h t t p 应用和 f t p 应用等。 h t t p 协议 h t t p 协议是目前互联网上应