（计算机软件与理论专业论文）internet网络数据采集与数据包分析的应用与研究.pdf

摘要 自2 0 世纪9 0 年代以来，以i n t e m e t 为代表的计算机网络技术突飞猛进。它被广泛用于经济、 文化、军事、教育等社会生活的各个方面。随着这一技术的不断向前发展，计算机网络安全技术 显得日益重要。如何保证网络的安全，不受外来的攻击，传输的信息不被窃取，这就需要有强大 的、可靠的网络安全工具来支持。 计算机之间进行通信时，交互的所有信息都封装在数据包中。因此，通过采集网络数据并对 其进行相应的分析，可以清楚地了解到进行通信的计算机的通信目的。分析采集到的数据包。可 以确定网络是否受到攻击入侵；其次，也可以使用采集到的数据包来分析网络应用程序可能出现 的问题的原因；此外通过网络数据采集和统计可以清楚的了解整个网络在各个时段内的网络负 载情况从而判断网络使用得是否合理。除了以上谈到的几个方面以外，数据包采集分析还有其 他很多用途 在研究i p v 4 网络的同时，我们还对 p v 6 协议进行了初步的研究并通过对数据报的分析，了解 了在不同网络环境下i p v 6 数据报的封装格式以及在网络中的传输路经目前，在同一子网范围内， 可以通过i p v 6 邻居发现协议自动配置主机的本地链路i p v 6 地址，并获取子网内其他主机的通信 地址，通过该地址可以实现子网内的主机问纯i p v 6 环境下的通信但由于现在整个因特网并不支 持i p v 6 协议因此6 数据报要在网间传输，必须通过基于双协议栈的i p v 4 隧道( t r a i n e d 技 术，将p v 6 数据报封装在p v 4 包头中，并通过指定的支持i p v 6 协议的路由在i n t e r n e t 中传送到 目的地，再由目的主机进行数据报解析获取i p v 6 数据报中的信息 在对上述问题研究的基础上，我们利用w m p c a p 实现了基于动态链表的数据采集系统和网络 流量自动监测系统 在数据采集系统中的关键问题在于，如何解决所捕获的网络数据包的采集保存问题。在网络 中，数据流量随时问变化而变化因此无法准确估计固定时间内的数据流量这样在应用程序中， 如果分配一段固定的内存大小，用于存放捕获的数据，可能会造成在通信量高峰期时，出现由于 分配的内存过小而出现内存溢出；在通信低谷时可能出现分配内存过大而造成浪费内存而在 数据存盘问题上，如果采用定时存盘，可能会造成在存放数据时影响数据包的捕获，从而造成数 据包的丢失就会在存盘时造成降低数据包的捕获数量为解决此问题，我们选择采用动态链表 存放捕获的数据，为每一个数据包分配一个节点，将数据包中关键信息存放在节点中。并在采集 结束时通过多线程进行数据存盘，为每一台主机的数据链表分配一个线程。这样能使各链表存盘 相互独立，一根链表在存盘时产生错误不会影响到其它的链表存储。最小程度的减少了存盘错 误引起的数据损失且在数据采集结束后存盘能最大限度的捕获到网络中的数据包，使应用程序 达到最佳性能。 在网络流量自动监测系统中，我们对网络数据流量随时问变化进行统计并通过折线图示表 示出来。利用图示显示的数据报流量随时间变化，我们能及时掌握网内不同时刻网络流重的变化， 了解到某一时段网络流量较大网络利用率较高：另一时段网络流量较小网络利用率较低。通 过对网络流量折线图的研究。我们就可以合理分配网络通信的使用量，使网络使用趋于平衡，可 以降低网络负荷减少网络阻塞的情况发生。 关键字：互联网，数据采集数据分析，动态链表，w i n p c a p ，l p v 6 ，数据包 中图分类号：t p 3 9 3 0 9 a b s t r a c t s i n c et h el a s t9 0 sc e n t r a y , t h et e c h n o o g yo fn t e m e th a sm a d ear a p i dd e v e l o p m e n t i th a sb e e n m a d eu s eo fi na l la s p e c t so fs o c i e t ys u c ha se c o n o m y , m i l i t a r y , e d u c a t i o na n ds oo n - a l o n gw i t ht h e p r o g r e s so f t h en e t w o r kt e c h n o l o g y , i ti sm o r ea n dm o r ei m p o r t a n tt h a tt h et e c h n o l o g yo f n e t w o r ks a f e t y b e c o m e s i no r d e rt om a k et h en e t w o r ks a f ea n dt h ed a t an o tb ef i l c h e d , t h es t r o n g ，r e l i a b l en e t w o r k i n g s a f et o o l sa g r e a tn e e d e d a sw ea l lk 1 3 0 w , a l lt h ei n f o r m a f i o ni se n c a p s u l a t e di nt h ep a c k e t sb e t w e e nt w oc o m p u t e r s c o n n n u n i c a t i n g s ow i t ht h ec a p t u r ea n da n a l y s i so f p a c k e t s ，w ec a ng e tt h ep u r p o s eo f c o m m u n i c a t i n g c o m p u t e r s c a nf i n do u tw h e t h e rt h en e t w o r ki sa t t a c k e da n dc a na n a l y z et h ef l o wo f t h en e t w o r k w i t l lt h ed e v e l o p m e n to fi n t e r a c t , i n t e m e tp r o t o e n ln e x tg e n e r a t i o n ( i p v 6 ) i sp a i da t t e n t i o nb y m o r ea n dm o p e o p l e a s 岫n e x tg e n e r a t i o no fi p v 4p r o t o c 0 1 1 t v 6n o to n l ys o l v e st h el a c ko fi p a d d r e s s e s ，b u ta l s oi m p r o v e st h ee f f i c i e n c yo f t r a n s m i s s i o n , t h em o d eo f r o u t e ，s a f e t ya n dm o t h t i e st h e f o r m a to fi p p a c k e t s ow em a k ep r i m a r yr e s e a r c ho r li p v 6p r o t o c 0 1 w 池t h e 蚰a b 瞄n go fm v 6 d a t a g r a m s w ef i n do u tt h e 惭d a t a g r a me n c a p s u l a t e df o r m a ta n dt r a n s m i t t i n gr o u t eb e t w e e nt w o d i f f e r a n ta n v i r o r a n e n t a ，口v 6p r o t o c o la n dd u a l - s t a c k n o w 。l o c a lh o s tw i t h 聃6p r o t o c o lc a nc o n f i g u r e l o c a l - l i n ki p v 6a d d r e s sa u t o m a t i c a l l ya n dg e to t h e rh o s t s i p v 6a d d r e s s e st h r o u g h tn e i g h b o rd i s c o v e r y f o ri pv e r s i o n6 s ot w oh o s t sc a nr e a l i z et h ec o m m u n i c a t i o n sj i lt h es a m el a nw i t ho n l yi p v 6p r o t o c 0 1 b u tn o wt h ew h o l ei n t e r a c td o e sn o ts u p p o r tp v 6p r o t o c o l ，t h e nf f t w oi t v 6h o s t sw a n tt oc o m m u n i c a t e ， t h e yh a v et or e a l i z ew i t hf i 。v 4t u n n e lt e c h n o l o g y i tm c m l s t h a tt h e 皿v 6d a t a g r a mm u s tb ea n c a p s u l a t e d i n t op v 4h e a d e r , a n dt r a n s m i t t e dt od e s t i n a t i o ni ns p e c i a li t v 4p a t h 。a n dd e s t i n a t eh e s tw i t hm v 6 p r o t o c o la n a l y z e st h e s cd a t a g r a mt og e tt h e n f o r m a d o n b a s e do nt h e s ea s p e c t sr e s e a r c h e do n ，w ea c 4 t l i e v et h es y s t e mo fd a t a g r a mc o l l e c t i o nb a s e do n d y n a m i cc h a i na n dt h es y s t e mo f a u t o m a t i cs t a t i s t c i n gd a t a g r a mf l u x i t i st h em o s ti m p o r t a n tt h a th o wt os a v et h ec o l l e c t e dd a t a g r a mi i lt h es y s t e mo fd a t a g r a m c o l l e c t i o n i nt h en e t w o r k , t h ef l u xc h a n g e sw i t hl i m e , t h e nt h ee x a c tf l u xi no n ed mc a n n o tb e e s t i m a t e d s oi nt h es y s t e m , i f af i x e dm e m o r yi st h s t r i b u m dt op u tt h ed a t a g r a m , i tw i l lh a p p e nt h a tt h e m e m o r yi st o os m a l lt oi n s t a l lt h ed a t a g r a ma n di n d u c et h eo v e r f l o wo f m e m o r yw h n e t w o r ki sb u s y o nt h ec o d 咖 y , t h em e m o r yw i l lb ew a s t e dw h e nn od a t a g r a mt r a n s m i to nn e t w o r k t oa v o i dt h i ss t a t u s 。 w e u s e d y 衄r a i c c t m m t os t o r e t h e d a t s g r a m , o n e d a t a g r s r n p u t i n t o o n e n b 如w h e n c o u e c t i o n i s f i n i s h e d , w eu s em n l t i p l y - t h r e a dt e c h n o l o g yt os a t h ed a t ei n t of i l e s i tm e a i i sd i f f e r e n th o s t sd a t a g r a mc a nb e s a v ei no n et h r e a d n i sc a na v o i dt h ei n f l u e n c eb c t w e c nd i f f e r e n th o s t sd a t a g r a ma n da l s oc m a k c s y s t e mc a p t u r et h em a x i m u md a t a g r a m i nt h es y s t e mo fa u t o m a t i cs t a f i s t i c i n gd a t a g r a mf l u x ，w ec a ns t a t i s t i c st h ea m o u n to fc o l l e c t i n g d a t a g r a m a n de x p r e s s b y f i g u r e s o w e c a n k n o w t h e v a r i e t y o f n e t w o r k f l u xa n d m a k e u s e o f n e t w o r k i n r e a s o n , a v o i dt h eb l o c ko f n e t w o r k , k e y w o r d ：i n t e r a c t ，i p v 4 ，c o l l e c t i n gd a t a g r a m ，a n a l y z ed a t a g r a m ，d y n a m i cc h a i n ，w i n p c a p ， 印v 6 ， 4 第一章基于o s i 架构的以太局域网 l - 1 局域网简介 早期的计算机通信系统是通过一条通信信道将两台计算机连接起来，并被这两台计算机独占 使用这种网络称为点对点( p o i n t - t o - p o i n t ) 网络或网格( m e s h ) 网络。但随着计算机睡络技术的 不断发展。联网的计算机不断增多，这种点对点( p o i n t - t o - p o i n t ) 的连接方式变得不再适用。在 2 0 世纪6 0 年代末7 0 年代初，计算机网络研究人员为替代昂贵的专用点对点连接技术。开发出一 种被称为局域网( l o c a l a m a n e t w o r k ，i a n ) 的计算机通信方式这种技术依赖于共享网络，它 的设计与远距离网络有着根本的区别每个局域网由一条许多计算机连接在其上的单一共享介质 ( 通常是电缆) 组成，计算机轮流使用介质发送分组( p a c k e t ) 。 目前，已经发明了许多局域网技术。我们将具有相同拓扑结构或一般形状的网络分为同一种 类型当今流行的大多数局域网由电子与电气工程师学会( e e ) 的i e e e 8 0 2 委员会定义某些 i e e e 8 0 2 规范已被美国国家标准协会( a n s i ) 和国际标准话组织( i s o ) 采纳，分别作为 a n s i i e e e 8 0 2 和i s 0 8 8 0 2 标准颁布以下是最常用的三种局域网拓扑结构： 1 星形拓扑 如果所有的计算机都连接到一个中枢节点上，则网络就采用了星形拓扑( s t a r t o p o l o g y ) 结构。 因为星形结构的网络类似于车轮的轮辐，所以星形网络的中枢节点常常被称为网络集线器 ( h u b ) 。典型的集线器是一个从发送的计算机接收数据。然后转发给适当的目的节点的电子设备。 2 环形拓扑 采用环形拓扑( r i n gt o p o l o g y ) 的网络把计算机连接成一个封闭的环一条电缆连接第一台 计算机与第二台计算机。另一条电缆连接第二台计算机和第三台，以此类推，直到一条电缆连接 最后一台计算机与第一台。 3 总线形拓扑 采用总线形拓扑( b u st o p o l o g y ) 的网络通常由连接计算机的一根长的电缆组成连接在总线 上的任何计算机都可以向电缆发送信号，而所有的计算机都能接收到这个信号 由于所有连接在电缆上的计算机都能检测到电子信号，所以每台计算机都能发送数据给其他 计算机。当然连接在总线网络上的计算机必须协调以确保任一时刻只有一台计算机发送信号， 否则就会出现混乱 综上，根据网络的一般形状可以将网络分成许多种。用于局域网的主要拓扑结构是星形、环 形和总线形每种拓扑结构都有其优点和缺点。 i 2i e e e 8 0 2 3 标准( c s m a c d ) 局域网 i e e e 8 0 2 3 的媒体访问控制协议基于带有冲突监测的载波侦听多路访问( c s m a c d ) ( d o u g l a s ，2 0 0 2 ) 方法i e e e 8 0 2 3 网络的所有站共享同一传输媒体 由于历史的原因，i e e e 8 0 2 3 网络被口语化为“以太网( e t h e n a c t ) ”1 9 7 0 年x e r o x p a l o a l t o 研 究中心的r o b e r t m e t c a l f e 发明了一种3 m b p s 的c s m a c d 网络，当时称为试验以太网十年之后 d e c 、i n t e l 和x e r o x ( d i x ) 联合发布了一个1 0 m b p sd i x 以太网的正式规范。最终，正e e 的l a n 标准化委员会( i e e e 8 0 2 ) 关注到以太网，并在1 9 8 5 年发布了第一个i e e e 8 0 2 3 规范。今天，所有的 以太网设备都遵守i e e e s 0 2 3 标准。此后，i e e e 还制定了几个扩展标准。例如，1 9 9 5 年发布的 i e e e 8 0 2 3 u 补充规范定义了一个1 0 0 m b p s 版本，称为快速以太网。两年之后提出的i e e e 80 2 3 x 补充规范，引入了全双工模式，分别将传输速率从l o m b p s 、1 0 0 m b p s ：打日倍至u 2 0 m b p s ( 每个方向上 5 1 0 m b p s ) 和2 0 0 m b p s 。在1 9 9 8 年，作为i e e e 8 0 2 3 z t b 充又发布了第一个千兆位( g i g a b i t ) 以太网 建议规范。它定义了具有半双工模式1 0 0 0 m b p s 和全双工模式2 0 0 0 m b p s ( 每个方向上1 0 0 0 m b p s ) 的以太网。 以太网中不存在集中的控制器来告诉每台计算机如何轮流使用共享电缆。相反，连接到以太 网上的所有计算机都参与一个叫做载波侦听多路访问( c a r d e r s e n s e m u l 卸l c a c c e s s ，c s m a ) 的 分布式协调方案。但c s m a 不能防止所有可能的冲突。为了确保没有其他的计算机在同一时刻发 送数据，以太网标准要求发送节点监听电缆上的信号，如果电缆上的信号与节点正在发送的信号 不同就说明冲突发生了。只要检测到冲突，发送节点就立即停止发送。在传输过程中监听电缆 的方法在技术上称作冲突检测( c o l l i s i o nd e t e c t ，c d ) ，这种以太网机制则被称为带有冲突检测 的载波侦听多路访问( c s m a c d ) ( d o u g l a s ，2 0 0 2 ) i 媒体访问方法 媒体访问方法取决于以太网操作是半双工还是全双工模式。 在半双工操作下，两个或多个站竞争使用物理媒体。一次仅允许一个站发送数据在传输前， 每个站首先监听传输媒体以便确定媒体是否惟空或忙( 载波侦听) 。如果媒体忙，站就继续监听。 如果媒体空闲，则站立即发送数据。如果多个站试图在同一时间发送便会产生冲突因此，每个 站要监视自己的传输才能检测到可能的冲突。检测到冲突后，站发送一简短的冲突加强信号， 确保所有站都意识到冲突的发生。为了避免所有站同时重传它们的帧，所有冲突检测站要运行一 个截断二进制指数后退( t r u n c a t e db i n a r ye x p o n e n t i a lb a c k o f f ) 算法，计算各自的重传延迟称为 后退延迟( b a c k o f f d e l a y ) 。 在全双工操作下，恰好有两个站共享物理媒体。假设媒体具备同时双向传输而不受干扰的能 力，就不可能出现竞争因此不需要c s m a c d 算法 2 传输媒体 i e e e 8 0 2 _ 3 标准定义了几种传输媒体和电缆拓扑在i e e e 8 0 2 3 中，媒体规范由三字段类型标 识( 注意最后一部分并不总以下列方式用在所有媒体规范的标识中) ： 表1 1 显示了定义的媒体类型和在i e e e 8 0 2 3 网络中无需任何信号中继设备( 中继器) 的最 大配置。 3 最大有效荷载 最大帧长为1 5 1 8 个字节。不包括前导码( 7 字节) 和帧始界符( 1 字节) 最大有效荷载长度 取决于地址大小采用2 字节地址，可发送的数据可达1 5 0 8 个字节：采用6 字节地址可发送的 数据最高达1 5 0 0 字节对于1 0 0 m b p s 或更低速率的的传输媒体，最小帧长为6 4 个字节。 以半双工方式速率大于1 0 0 m b p s 运行的媒体，需要的最小帧长为5 1 2 个字节较小的帧用非 数据位填充这些非数据位作为扩展字段附加在原始帧上对于原始标准作这种修改是必需的， 因为只有这样才能适应千兆位网络所需的物理距离( 距离定义了信号传播的时间) 和维持发送器 在发送最小帧的同时检测出冲突的能力 同样。对于操作速率高于l o o m b p s 的半双工模式，一种实现是选择发送突发的数帧而不放弃 控制。最大突发长度为8 1 9 2 个字节在发送包括任何扩展的第一个帧后，后续帧的发送不再需要 扩展字段发送器用非数据位填充帧闻的空隙，以便指示接收者这是突发模式 目前，i e e e 8 0 2 3 以太网是被使用的最为广泛的局域网技术。此外。还有令牌环( i e e e 8 0 2 5 ) 、 f d d i 网络、a t m 技术等其他一些局域网技术 1 3 0 s 1 分层模型协议 通过通信信道和设备互连起来的多个不同地理位置的计算机系统，要使其能协同工作实现信 6 息交换和资源共享。它们之间必须具有共同的语言交流什么、怎么交流及何时交流，都必须遵 循某种互相都能接受的规则。这种位进行计算集网络中的数据交换而建立的规则、标准或约定的 集合。就被称作为网络协议( p r o t o c 0 1 ) 协议总是指某一层协议，准确地说。它是对同等实体之 间的通信制定的有关通信规则约定的集合。 计算机网络系统是一个十分复杂的系统将一个复杂系统分解为若干个容易处理的子系统， 然后“分而治之”，这种结构化设计方法是工程设计中常见的手段分层就是系统分解的最好方法 之一层次结构的好处在于使每一层实现一种相对独立的功能。分层结构还有利于交流、理解和 标准化。 所谓网络的体系结构( a r c h i t e c t u r e ) 就是计算机网络各层次及其协议的集合。层次结构一般 以垂直分层模型来表示为在世界范围内形成统一的标准，国际标准化组织( i n t e r n a t i o n a l o r g a n i z a t i o nf o rs t a n d a r d i z a t i o n ，i s o ) 制定了标准化开放式计算机网络层次结构模型开放系 统互连( o p e ns y s t e mi n t e r c o n n e c t i o n ) 基本参考模型，又称i s o s0 s i 参考模型“开放”这个词 表示能使任何两个遵守参考模型和有关标准的系统进行互连。 o s l 包括了体系结构、服务定义和协议规范三级抽象。o s l 的体系结构定义了一个七层模型 用以进行进程问的通信，并作为一个框架来协调各层标准的制定；o s i 的服务定义描述了各层所 提供的服务，以及层与层之间的抽象接口和交互用的服务原语；o s i 各层的协议规范，精确地定 义了应当发送何种控制信息及何种过程来解释该控制信息需要强调的是o s i 参考模型并非具 体实现的描述，它只是一个为制定标准机而提供的概念性框架。在o s i 中，只有各种协议是可以 实现的，网络中的设备只有与o s i 和有关协议相一致时才能互连 如图1 1 所示，o s i 七层模型从下到上分别为物理层( p h y s i c a ll a y e r p h ) 、数据链路层( d a t a l i n kl a y e r ，d l ) 、网络层( n e t w o r kl a y e r ，n ) 、运输层( t r a n s p o r tl a y e r ，t ) 、会话层( s e s s i o n l a y e r ，s ) 、表示层( p r e s e n t a t i o n l a y e r ，p ) 和应用层( a p p l i c a t i o nl a y e r ，a ) ( d o u g l a s ，2 0 0 2 ) 。 困1 1i s o s o s i 参考模型 整个开放系统环境由作为信源和信宿的端开放系统及若干中继开放系统通过物理媒体连接构 成这里的端开放系统和中继开放系统，都是国际标准0 s 1 7 4 9 8 中的使用术语通俗地说他们 变相当于资源子网中的主机和通信子网中的节点机( i m p ) 只有在主机中才可能需要包含所有七 层的功能，而在通信子网中的i m p 一般只需要最低三层甚至只要景低两层的功能就可以了。 o s i 七层模型的各层功能主要是： 1 物理层：定义了为建立、维护和拆除物理链路所需的机械的、电气的、功能的和规程的特 性，其作用是使原始的数据比特流能在物理媒体上传输具体涉及接插件的规格、“0 ”“1 一信号 的电平表示、收发双方的协调等内容 2 数据链路层：比特流被组织成数据链路协议数据单元( 通常称为帧) 并以其为单位进行 传输帧中包含地址、控制、数据及校验码等信息。数据链路层的主要作用是通过校验、确认和 反馈重发等手段，将不可靠的物理链路改造成对网络层来说无差别的数据链路。数据链路层还要 协调收发双方的数据传输速率，即进行流量控制，以防止接收方因来不及处理发送方来的高速数 7 据而导致缓冲器溢出及线路阻塞 3 网络层：数据以网络协议数据单元( 分组) 为单位进行传输。网络层关心的是通信子网的 运行控制，主要解决如何使数据分组跨越通信子网从源传送到目的地的问题，这就需要在通信子 网中进行路由选择。另外为避免通信子网中出现过多的分组而造成网络阻塞需要对流入的分 组数量进行控制。当分组要跨越多个通信子网才能到达目的地时，还要解决网际互连的问题。 4 运输层：是第一个端到端，即主机到主机的层次。运输层提供的端到端的透明数据运输服 务，使高层用户不必关心通信子网的存在，由此用统一的运输原语书写的高层软件便可以运行于 任何通信子网上运输层还耍处理端到端的差错控制和流量控制问题。 5 。会话层：是进程进程的层次其主要功能是组织和同步不同的主机上各种进程阃的通信 ( 也称为对话) 会话层负责在两个会话层实体之间进行对话连接的建立和拆除在半双工情况下， 会话层提供一种数据权标来控制某一方何时有权发送数据。会话层还提供在数据流中插入同步点 的机制。使得数据传输因网络故障而中断后，可以不必从头开始而仅重传最近一个同步点以后的 数据 6 表示层：为上层用户提供共同的数据或信息的语法表示变换。为了让采用不同编码方法的 计算机在通信中能相互理解数据的内容，可以采用抽象的标准方法来定义数据结构，并采用标准 的编码表示形式。表示层管理这些抽象的数据结构并将计算机内部的表示形式转换成网络通信 中采用的标准表示形式。数据压缩和加密也是表示层可提供的表示变换功能。 7 应用层：是开放系统互连环境的最高层不同的应用层为特定类型的网络应用提供访问 o s i 环境的手段。网络环境下不同主机间的文件传送访问和管理( p t a m ) 、传送标准电子邮件的 文电处理系统( m h s ) 、使不同类型的终端和主机通过网络交互访问的虚拟终端( v t ) 协议等都 属于应用层的范畴 由此可见，分层是一个非常有用而且有效的理论它简化了协议的设计和测试分层使一层 中的协议软件所做的改变丝毫不会影响另一层协议软件因此，可以独立设计、执行和测试每层 的发送和接收软件而不会影响其他层。 1 4 以太网上的数据交换 按照o s l 分层模型的设计，在进行数据交换时每一层只处理该层对应的数据。即目标计算 机上第n 层软件必须接收发送端计算机上第n 层软件发送的信息 层次结构模型中数据的实际传送过程如图1 2 所示图中发送进程送给接收进程的数据，实 际上是经过发送方各层从上到下传递到物理媒体；通过物理媒体传输到接收方后再经过从下到 上各层的传递，最后到达接收进程 图1 2 数据的实际传输过程 。 在发送方从上到下逐层传递的过程中。每层都要加上适当的控制信息，即图中的h 7 、h 6 、 h 1 统称为报头，这个在数据上加入报头或将数据包在里面的过程被称为封装( e n c a p s u l a t i o n ) 到最低层成为由“0 ”或“l ”组成的数据比特流，然后再转换为电信号载物理媒体上传输至接收 8 方。接收方在向上传递时过程正好相反，要逐层剥去发送方相应层加上的控制信息a 因接收方的 某一层不会收到底下各层的控制信息，而高层的控制信息对于它来说又只是透明的数据，所以它 只阅读和除去本层的控制信息，并进行相应的协议操作。发送方和接受方的对等实体看到的信息 是相同的，就好像这些信息通过虚通信直接给了对方一样。 在偶然情况下发送端计算机的层会将一个数据信元( 包括前一层的报头) 分开为多个部分， 更小的数据信元，并且每个更小的数据信元用较低协议层的新报头进行封装。这个过程帮助控制 数据流井写地址给网络上的数据包大小限制随着数据逐渐达到模型的底层，它逐渐变小，而且 在大小和内容上越来越统一当目的端计算机接收到数据时，接收节点上的对应层将在把数据传 送到下一个层之前，重新装配数据字段。随着数据逐渐在目的地的模型上向上移动，它像一个游 戏一样逐渐将分段拼装到一起。 o s i 七层模型与通信协议的对照如图1 3 所示。 l 应用层l + + ih t r pl h t m l lm p e gl p o p l x 4 0 0 l r 。1 _ 1r 。1 l 表达层l + + i i s o8 8 2 2 3 4 5 l i 垂塑星l + + i望q ! ! ! 塑l 匪固口 亘二 回 口亟口h 臣亟五正 垂 画巫亟函画司 臣圃一臣西区亟工亟蔓叵匾卫 臣圃一匦巫丕蔓垂巫巨亟巫亟亘叵匝固 图1 3o s i - v _ , 层模型与通信协议的对照田 这种分层封装交换数据的方式，明确了各层任务，使数据交换的效率得到提高。减少错误的 蹙罐，让数据交换能快速通畅的讲行 1 5r f c 8 9 4 定义的以太帧 在t c p i p 世界中，从上层传递来的数据报在数据链路层被进行最后一次封装。通常使用术语 帧( f r a m e ) 指代特殊类型网络对包的定义以太网p 数据报的封装是在r f c 8 9 4 ( h o m i g ，1 9 8 4 ) 中定义的，i e e e 8 0 2 网络的口数据报封装是在r f c l 0 4 2 ( p o s t e la n dr e y n o l d s ，1 9 8 8 ) 中定义的。主 机需求r f c 要求每台i n t e r n e t _ 主机都与一个1 0 m b s 的以太网电缆相连接： 1 必须能发送和接收采用r f c 8 9 4 ( 以太网) 封装格式的分组 2 应该能接收与r f c 8 9 4 混合的r f c l 0 4 2 ( i e e e 8 0 2 ) 封装格式的分组。 3 也许能够发送采用r f c l 0 4 2 格式封装的分组如果主机能同时发送两种类型的分组数据。 那么发送的分组必须是可以设置的，而且默认条件下必须是r f c 8 9 4 分组 r f c 8 9 4 是最常用的封装格式。图1 4 显示了r f c 8 9 4 以太网帧的封装格式。图中每个方框下面 的数字是它们的字节长度 9 圈1 4 以太网的封装格式( r f c 8 9 4 ) 以太帧格式采用4 8 b i t ( 6 字节) 的目的地址和源地址这就是我们所说的硬件地址( m a c 地 址) a r p 和r a r p 协议对3 2 b i t 的m 地址和4 8 b i t 的硬件地址进行映射。 接下来的2 个字节是以太网的类型字段，它定义了后续数据的类型。例如：o x 0 8 0 0 表示后续数 据为口数据报，0 x 0 8 0 6 表示后续数据为a r p 数据报，0 x 8 6 d d 表示后续数据为i p v 6 数据报该字段 所表示后续数据类型详见r f c l 3 4 0 ( p o s t e la n d r e y n o l d s 。1 9 9 2 ) 。 类型字段之后就是数据以太帧规定数据长度在4 6 - , 1 5 0 0 个字节范围内。以太网要求数据区最 少要有4 6 字节。为保证这一点。必须在不足的空间插入填充( p a d ) 字节。 c r c 字段用于帧内后续字节差错的循环冗余码检验( 校验和) ( 它也被称为f c s 或帧检验序 列) 综上所述目前绝大多数局域网的组建都采用e e 8 0 2 3 标准( c s m a c d ) 局域网技术以 太帧是数据链路层最常见的数据封装格式。下文所讨论的数据包都是封装在r l c 8 9 4 定义的以太帧 内的数据包。 1 0 叵 2 1t c p b p 协议族 第二章t c p b p 协议 i n t e m e t 上大量的数据在不同型号、不同操作系统的计算机之间传输都是通过t c p 仰协议进 行的t c p 佃协议保证了这些数以百万计的信息正常传输，而几乎没有疏漏。它是一个稳定的、 构造优良的、富有竞争性的协议它起源于2 0 世纪6 0 年代末美国政府资助的一个分组交换网络研 究项目，到9 0 年代已发展成为计算机之间最常应用的组网形式t c p 佃被称作“全球互联网”或 “因特网( h 岫m 毗) ”的基础。 t c p 佃是两个独立且紧密结合的协议，负责管理和引导数据报文在b l t e m e l 匕的传输。二者使 用专门的报文头定义每个报文的内容。t c p 负责和远程主机的连接而p 负责寻址，使报文被送 到其该去的地方 2 1 1t c m p 协议族的优点 t c p 艘使跨平台，或称为异构的网络互联成为可能此外，它还有很好的平台无关性它可 以使数据在不同操作平台之间进行交换这意味着网络和客户端可以是w i n d o w s 、u n 、m a c m t o s l l 或任何其他的平台或上述平台的组合。t c p 佃还有好的破坏恢复机制，它能在网络被入侵或被攻 击而遭到破坏时，它的剩余部分仍能完成工作：能够在不中断现有服务的情况下加入网络；高效 的错误率处理，它有一种机制保证在报文信息使用一个路由丢失时，能够通过另一个路由到达目 的地：低数据开销t ( 聊印如此高效依赖于它的低开销。性能是任何网络的关键。在速度和简单 性方面没有其他协议可以与t c p 佃媲美 2 1 2t c p ，m 协议族的分层 网络协议通常分不同层次进行开发，每一层分别负责不同的通信功能一个协议族，是一组 不同层次上的多个协议的组合t c p 仰通常被认为是一个四层协议系统，如图2 1 所示 每一层负责不同的功能： 1 链路层：有时也称作数据链路层或网络接口层，通常包括操作系统中的设备驱动程序和 计算机中对应的网络接口卡。他们一起处理与电缆( 或其他任何传输媒介) 的物理接口 细节 2 网络层：有时也称作互联网层，处理分组在网络中的活动例如分组的选路。在t c p p 协议族中，网络层协议包括口协议( 网际协议) 。i c m p 协议( k t e m e t 互联网控制报文协 议) ，以及i g m p 协议( h l t e m e t 组管理协议) 3 运输层；主要为两台计算机上的应用程序提供端到端的通信。在t c p ，p 协议族中，有两 个互不相同的传输协议：t c p ( 传输控制协议) u d p ( 用户数据报协议) t c p 为两台主 机提供高可靠性的数据通信它所做的工作包括把应用程序交给它的数据分成合适的小 块交给下面的网络层，确认收到的分组。设置发送最后确认分组的超时时钟等。由于运 输层提供了高可靠性的端到端通信，因此应用层可以忽略所有这些细节。而另一方面， u d p l 0 为应用程序提供一种非常简单的服务它只是把称作数据报的分组从一台主机发 送到另一台主机，但并不保证该数据报能达到另一端。任何必需的可靠性必须由应用层 来提供。 4 应用层：负责处理特定的应用程序细节几乎各种不同的t c p 胛实现都会提供以下这些 通用的应用程序：t e l m t 远程登录；f t p 文件传输协议：s m t p 简单邮件传送协议：s n m p 简单网络管理协议。 圉2 1t c p ，m t i 强的四个层次 应用层 运输层 睡络层 链路层 2 1 3t c p f i p 协议组件 虽然一般标识为“t c p 册”，但实质上在m 协议组件内有好几个不同的协议包括： 口：网际层协议： t c p ：可靠的主机到主机层协议( 传输控制协议) 。 u d p ：尽力转发的主机到主机层协议( 用户数据报协议) 。 i c m p ：在p 网络内为控制、测试、管理功能而设计得多层协议( e t 互联网控制报文协议) 等等 2 2i f 协议及i p 数据报格式 2 2 1 嗣际协议( i n t e 删p r o t o c o l ，口) 口协议，郾两际协议硫e r n e tp r o t 耐，诤) 。是目前世界上最重要的弼际协议，仔的功能由 口头结构中的数据定义邛头结构及其功能是由一系列i 唧文档和t f 创建时公开发表的一系 列文档定义p 协议是t c p ，口协议族中最为核心的协议所有的t c p 、u d p 、i c m p 及i g m p 数据都 是以毋数据报格式传输目前，广泛使用的p 协议是版本4 ，但随着网络技术的不断发展，新一代 p 协议( m v 6 ) 已经基本制定完成 为使网络有一个统一的表现形式。保证所有主机使用统一的地址，口协议定义了独立于底层 物理地址( m a c 地址) 的编址模式。p 协议为每台主机分配一个唯一的3 2 位网际协议地址，通常 称之为点分十进制p 地址用于进行网络中两台主机问的相互通信。 此外，p 协议中还含有使一些重要的网络功能成为可能的所有必要信息。包括： t 寻址和路由 p 协议最明显的一个功能是能使报文送到特定目的地连接源和目的地网络中的路由器和交 换机使用目的婵地址确定经过网络的最优路径p 报文还包括源机器地址。源地址的出现是因为 目的机可能会和源机通信。 2 分段和重组 有时应用数据的一段不能完全包括在一个毋报文中：他们必须分段成两个或更多的报文。当 分段发生时，p 必须能重组报文( 不管有多少个报文要到达其目的地) 。源主机与目的主机都要 遵守完全相同的分段数据过程。否则，重组为了报文转发而分成多个段的过程将是不可能的数 据恢复到源主机上的相同格式时，传输数据就被成功重组了。p 投中的分段标志标识分段的数据 片。 3 损坏报文补偿 1 2 口还能检测和补偿在传输过程中遇到破坏或丢失的报文。当报文不可能转发或不可用时，路 由器必须通知源主机口头中包含的原主机p 地址使通知源主机成为可能。虽然p 不包括重传机制， 但通知源主机可能会导致重传，因此通知源主机起着重要作用。 2 2 2i p 数据报格式 邛数据报的格式如图2 2 所示普通的口首部长为2 0 个字节，除非含有选项字节。 o1 51 63 l 4t 2 版* 1 4 位首长度k 位服务类型( t o s ) 1 6 位总长度( 字节数) 1 6 位标识3 位标志1 3 位片偏移 8 位生存时间( t t l )8 位协议1 6 位首部检验和 3 2 位源i p 地址 3 2 位目的i p 地址 选项