（计算机软件与理论专业论文）带入侵检测的linux个人防火墙的研究与实现.pdf

摘要 当越来越多的公司及政府部将其核心业务向互联网转移的时候，网络安全作为一个无 法同避的问题呈现在人们面前。传统上，公司及政府部门一般采用防火墙作为其安全防线， 而随着攻击者知识的日趋成熟，攻击二i ：具与手法的日趋复杂多样，单纯的防火墙策略已经无 法满足对安全高度敏感的部门的需要。致命的原因就是防火墙不是“智能”的。防火墙只能 做到允许或者阻止某地址向某地址的特定端口，但是对于针对开放端口的攻击，防火墙就鞭 长莫及了。其次，防火墙完全不能阻止来自内部的袭击。而通过调查发现，5 0 的攻击都来 自于内部，对于公司及政府部门内部心怀不满的员工来说，防火墙形同虚设。再者，由于性 能的限制，防火墙通常不能提供实时的入侵检测能力，对于现在层出不穷的攻击技术来说， 这显然是致命的弱点。第四，防火墙对于病毒也束手无策。因此，以为在i n t e m e t 入口处部 署防火墙系统就足够安全的想法是不切实际的。 网络的防卫必须采用一种纵深、多样的手段。在这种环境下，入侵检测系统成为了安全 市场上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥 其关键作用。入侵检测意味着检测未经许可的访问和对一个系统或网络的攻击，它既能发现 并且处理外部攻击，又能发现并处理来自内部的攻击，在发现入侵后，会及时做出响应，包 括切断网络连接、记录事件和告警等。在个人防火墙中将防火墙与入侵检测技术结合起来， 将更好的为用户提供安全保护。 带入侵检测的l i n u x 个人防火墙的研究与实现即以此背景立题开发研究。 本文对防火墙技术以及入侵检测技术进行了概述，重点讨论了l i n u x 下的防火墙及入侵 检测技术，包括其基本原理、体系结构、网络数据包的拦截、检测引擎如何对网络数据包进 行检测，防火墙与入侵检测的联动。结合桌面操作系统用户的需求，利用这两项技术开发了 l i n u x 桌面系统的个人防火墙。 本文研究的关键技术、创新点和所做的工作如下： n e t f i l t e r 是l i n u x 内核实现数据包过滤臌据包处理n a t 等的功能框架，本文讨论 了在此框架上如何实现防火墙，以及如何将入侵检测的功能融合进防火墙中。 使用i p t a b l e s 及n e t f i l t e r 可进行数据包过滤，但在现实中由于其配置较复杂，i p t a b l e s 经常被束之高阁。本文将介绍i p t a b l e s 防火墙规则以及通过工具配置规则，以帮助 用户高效的使用防火墙。 对进出网络的数据包进行实时监控，当检测到攻击信息时及时通知用户。攻击信 息会显示在各列表中，同时还能将这些信息导出保存以作为证据提交给用户的 i s p 。 检测引擎是入侵检测实现的核心，准确性和快速性是衡量其性能的重要指标，前 者主要取决于对入侵行为特征码提炼的精确性和规则撰写的简洁实用性，后者主 要取决于引擎的组织结构，是否能够快速地进行规则匹配。到目前为止共有3 0 6 6 个可用的规则，并且还在不断加入更多规则，同时提供规则描述语言，这种语言 灵活而强大，以便用户可以添加自己的检测规则。 入侵检测中所用到的检测分析方法属于误用检测( m i s u s ed e t e c t i o n ) ，该方法对已 知攻击的特征模式进行匹配，包括进行协议分析，以及对一系列数据包解释分析 特征。 入侵检测能够进行协议分析，内容的搜索匹配。现在能够分析的协议有t c p 、u d p 、 i c m p 、i p 和a r p 。能够检测多种方式的攻击和探测，例如：缓冲区溢出、秘密端 口扫描、c g i 攻击、s m b 探测、探测操作系统指纹特征的企图等等。 对于t c p 攻击，如果攻击者使用一个程序每次发送只有一个字节的t c p 包，完全 d 可以绕过i d s 检测方法，可以对t c p 包进行重组然后进行匹配，使得具备了对付 上面这种攻击的能力。 入侵检测构件支持各种形式的插件、扩充和定制。目前有三类插件：预处理插件、 检测插件和输出插件，它们包括数据库日志输出插件、破碎数据包检测插件、端 口扫描检测插件、h t f p u r i n o r m a l i z a t i o n 插件、x m l 插件等。 整个应用程序实现了对g n o m e s e s s i o n 及国际化的支持。 该软件的目标就是为l i n u x 桌面用户提供一个简洁实用，操作简便界面友善的个人防火 墙。具备通用防火墙的常规功能，并且力求做到尽可能低的占用系统资源，不妨碍用户正常 操作和系统的正常行为，保护用户安全使用网络资源，抵御各种网络攻击和入侵，如d d o s 攻击、木马注入或m 扫描攻击，并在发生攻击或入侵行为时，准确及时的报警并自动采取 相应的措施。 本论文的软件已在共刨l i n u x 2 0 0 5 桌面操作系统中使用。 论文工作期问，作者已在微机发展、网络安全技术与应用等学术刊物上发表论 文2 篇 关键词：l i n u x 、防火墙、检测引擎、入侵检测、误用检测、i p t a b l e s 、n e t f i l t e r 中图分类号：t p 3 1 1 5 2 s u m m a r y w h e nm o r ea n dm o r ec o m p a n i e sa n dg o v c m m e n td e p a r t m e n t sa p p l i e si t sc o r es e r v i c eo nt h e i n t e r a c t ，t h en e t w o r ks e c u r i t yq u e s t i o n p r e s e n t si nf r o n to ft h ep e o p l e i nt h et r a d i t i o n ，t h e c o m p a n ya n dt h eg o v e r n m e n td e p a r t m e n tg e n e r a l l yu s e st h ef i r e w a l lc a r r i e so nt h eg u a r d ，b u tt o a t t a c k st h ek n o w l e d g ea l o n gw i t ht h ea g g r e s s o rg r a d u a l l yg r a s p s ，a t t a c k st h et o o la n dt h e t e c h n i q u em o r ea n dm o r ec o m p l e xi sa l s od i v e r s e ，t h ep u r ef i r e w a l ls t r a t e g ya l r e a d yw a su n a b l et o s a t i s f yt ot h es a f eh i g h l ys e n s i t i v ed e p a r t m e n t sn e e d n em o s ti m p o r t a n tr e a s o ni st h ef l r e w a l li s n o t ”t h ei n t e l l i g e n c e ”t h ef n e w a l lo n l yc a na c h i e v et h ep e r m i s s i o no rp r e v e n ts o m ea d d r e s st o s o m ea d d r e s ss p e c i f i cp o r t ，b u tr e g a r d i n ga i m e da to p e n st h ep o r tt h ea t t a c k ，t h ef i r e w a l li s h e l p l e s s n e x t ，t h ef i r e w a l lc o m p l e t e l yc a n n o tp r e v e n tf r o mt h ei n t e m a la t t a c k b u tt h r 0 1 【g ht h e i n v e s t i g a t i o nd i s c o v e r y , 5 0 a t t a c ka l lc o m e sf r o mt ot h ei n t e r i o r , f e e l sd i s c o n t e n t e dr e g a r d i n gt h e c o m p a n ya n dt h eg o v e m m e n td e p a r t m e n ti n t e r i o rt h es t a f f , t h ef n e w a l ls h a p ew i t hi sn o m i n a l f u r t h e r m o r e ，a sar e s u l to f t h ep 材f o m 强n c el i m i t ，t h ef i r e w a nu s u a l l yc a n n o tp r o v i d et h er e a l - t i m e i n t r u s i o nd e t e c t i o na b i l i t y , s a y sr e g a r d i n gt h en o wm o r ea n dm o r ed i v e r s ea t t a c kt e c h n o l o g y , a n d t h i so b v i o u s l yi st h ef a t a lw e a k n e s s f o u r t h ，t h ef i r e w a l la l s oi sa tal o s sr e g a r d i n gt h ev i r e s t h e r e f o r e ，t h i n k si nt h ei n t e r a c te n t r a n c ed e p l o y m e n tf i r e w a l ls y s t e mw i l lr e s u l t i ne n o u 【g h s e c u t i t yi d e ai si m p r a c t i c a l t h en e t w o r kd e f e n s em u s tu s eo n ek i n dt h o r o u g h l y , d i v e r s em e t h o d ，u n d e rt h i sk i n do f e n v i r o n m e n t ，t h ei n t r u s i o nd e t e c t i o ns y s t e mb e c a m ei ns e c u r i t ym a r k e tn e wh o ts p o n o to n l y m o r ea n dm o r er e c e i v e dp e o p l e sa t t e n t i o n ，m o r e o v e ra l r e a d ys t a r t e di ne a c hk i n do fd i f f e r e n t e n v i r o n m e n tt op l a yi t sk e yr o l e t h ei n t r u s i o nd e t e c t i o nm e a n sd e t e c tw i t h o u tt h ep e r m i s s i o nv i s i t e n dt oo n es y s t e mo rt h en e t w o r ka r t s e k ，i tb o t hc a l ld i s c o v e ra n dp r o c e s se x t e r i o ra t t a c k ，a n dc a n d i s c o v e ra n dp r o c e s sf r o mt h ei n t e r n a la t t a c ka r e rt h ed i s c o v e r yi n t r u s i o n , c a np r o m p t l ym a k et h e r e s p o n s e ，i n c l u d e ss h u t so f ft h en e t w o r kc o n n e c t i o n ，t h er e c o r d i n ge v e n ta n dt h ew a r n i n ga n ds o o n u n i f i e si ni n d i v i d u a lf i r e w a l lt h ef i r e w a l la n dt h ei n t r u s i o nd e t e c t i o nt e c h n o l o g y , w h a tw i l lb e e v e nb e t t e rw i l lb et h eu s e rp r o v i d e st h es a f ep r o t e c t i o n ”r e s e a r c ha n dr e a l i z a t i o no fi n t r u s i o nd e t e c t i o ni n d i v i d u a lf i r e w a l lo nl i n u xo p e r a t i o n s y s t e m n a m e l ys t a n d st h et o p i cd e v e l o p m e n tr e s e a r c hb yt h i sb a c k g r o u n d t i l i sa r t i c l ec a r r i e do nt h eo u t l i n et ot h ef u m w a l lt e c h n e l e g ya sw e l la st h ei n l r u s i o nd e t e c t i o n t e c h n o l o g y , d i s c u s s e df i r e w a l la n dt h ei n t r u s i o nd e t e c t i o nt e c h n o l o g yo nl i n u xo p e r a t i o ns y s t e m w i t he m p h a s i s ，i n c l u d e di t sb a s i cp r i n c i p l e ，t h es y s t e ms t r u c t u r e ，t h en e t w o r kd a t ap a c k a g eo f i n t e r c e p t i o n ，h o wd e t e c t i o ne n g i n ec a r r i e so nt h ed e t e c tt ot h en e t w o r kd a t ap a c k a g e ，t h ef l r e w a l l a n dt h ei n t r u s i o nd e t e c t i o nl i n k a g e a c c o r d i n gt ot h ed e s k t o po p e r a t i n gs y s t e mu s e r sd e m a n d ， u s e dt h e s et w ot e c h n o l o g i e sd e v e l o p st h el i n u xd e s k t o ps y s t e mi n d i v i d u a lf n e w a l l t l l i sa r t i c l es t u d i e st h ee s s e n t i a lt e c h n o l o g y , i n n o v a t i o na n dd o e sw o r ka sf o l l o w s ： n e t f i l t e ri sl i n u xk e m e lf u n c t i o n a lf r a r n e w o r kt or e a l i z ed a t ap a c k a g ef i l t e r s d a t a p a c k a g ep r o c e s s e s n a te t c ，t h i s a r t i c l ed i s c u s s e sr e a l i z e st h ef n e w a l lo nt h i s 丘m e w o r k ，a sw e l la sh o ww i l li n t r u s i o nd e t e c t i o nf u s e si nt h ef i r e w a l l u s e si p t a b l e sa n dn e t f i l t e rm a yc a r r yo nt h ed a t ap a c k a g ef i l t e r s b u ti nr e a l i t y b e c a u s ei t sc o n f i g u r a t i o ni sm o r ec o m p l e x i p t a b l e si sf r e q u e n t l yp u ta s i d e t i l i sa r t i c l e w i l li n t r o d u c et h ei p t a b l e sf i r e w a l lr u l ea sw e l la st h r o u g ht h et o o lc o n f i g u r er u l e ，w i l l h e l pt h eu s e rh i g h l ye f f e c t i v eu s ef i m w a l l c a r r i e so nt h er e a l t i m em o n i t o r i n gt on e t w o r kd a t ap a c k a g e w h e nd e t e c tt h ea t t a c k 6 i n f o r m a t i o np r o m p tn o t i c et ou s e r 1 1 l ea t t a c ki n f o r m a t i o nw i l lb ed i s p l a yo nl i s t ， s i m u l t a n e o u s l ya l s oc a ne x p o r ti n f o r m a t i o nt os a v ea n ds u b m i t s “t h ee v i d e n c ef o r u s e r si s p d e t e c t i o ne n g i n ei si n t r u s i o nd e t e c t i o nr e a l i z a t i o nt h ec o r e t h ea c c u r a c ya n dt h e r a p i d i t yi sw e i g h si t sp e r f o r m a n c et h ei m p o r t a n tt a r g e t ，f o r m e rm a i n l yi sd e c i d e dt o i n v a d e st h es u c c i n c tu s a b i l i t yw h i c ht h eb e h a v i o rc h a r a c t e r i s t i cc o d er e f i n e m e n tt h e a c c u r a c ya n dt h er u l ec o m p o s e s ，l a t t e rm a i n l yi sd e c i d e db yt h ee n g i n eo r g a n i z a t i o n a l s t r u c t t t r e ，w h e t h e rc a nf a s tc a r r yo nt h er o l em a t c h u pt on o wp o o l e d3 0 6 6s e r v i c e a b l e r u l e s ，a n da l s ou n c e a s i n g l yi sj o i n i n gm o r er u l e s ，s i m u l t a n e o u s l yp r o v i d e st h er u l e d e s c r i p t i o nl a n g u a g e ，t h i sl a n g u a g ei sf l e x i b l ea n di sf o r m i d a b l e ，i no r d e rt ot h eu s e r m a y i n c r e a s eo n e s e l f t h ee x a m i n a t i o nr u l e thei n t r u s i o nd e t e c t i o nu s e sd e t e c ta n a l y s i sm e t h o db e l o n g sm i s u s ed e t e c t i o n ，t h i s m e t h o dc a r r i e so nt h em a t c ht ot h ek n o w na t t a c kc h a r a c t e r i s t i cp a t t e r n ，i n c l u d i n g a n a l y z ep r o t o c o l ，a sw e l la st oa n a l y z ec h a r a c t e r i s t i ca b o u tas e r i e so f d a t ap a c k a g e s t h ei n t r u s i o nd e t e c t i o nc a nc a r r yo np r o t o c o la n a l y s i s t h ec o n t e n ts e a r c ho rm a t c h n o wc a na n a l y z et h ep r o t o c o lh a st c p , u d p , i c m p , i pa n da r p c a nd e t e c tt h em a n y k i n d so fa t t a c ka n de x p l o r e ，f o re x a m p l e ：b u f f e ro v e r f l o w , s e c r e tp o r ts c a n n i n g ，c g i a t t a c k ，s m be x p l o r e ，d e t e c to p e r a t i n gs y s t e mf i n g e r p r i n tc h a r a c t e r i s t i ca t t e m p ta n ds o o n r e g a r d i n gt c pa t t a c k i ft h ea g g r e s s o ru s e so n ep r o c e d u r ee a c ht i m et r a n s m i t st c p p a c k a g eo n l yh a s o n eb y t e ，d e f i n i t e l ym a yb y p a s st h ei d sd e t e c tm e t h o d , c a n r e o r g a n i z et h et c pp a c k a g et h e nc a r r i e so nt h em a t c h ，c a u s e dt oh a v ec o p e sw i t ha b o v e t h i sk i n do f a t t a c ka b i l i t y t h ei n t r u s i o nd e t e c t i o nc o m p o n e n ts u p p o r t se a c hk i n do ff o r mp l u g i n s e x p a n s i o n a n dc u s t o m i z a t i o n a tp r e s e n th a st h r e ek i n do fp l u g i n s ：p r e p r o c e s sp l u g i m ，d e t e c t p t u 画n sa n do u t p u tp l u g i n a , i 砸l u d 如g 也ed a t a b a s el o g o u t p u t p h i g t m , f l l e b r o k e n d a t a p a c k a g eo fd e t e c tp l u g i n a ，t h ep o r ts c a n n i n gd e t e c tp l u g i m ，h t t pu r in o r m a l i z a t i o n p l u g i n s ，t h ex m lp l u g i n sa n ds oo n t h ee n t i r ea p p l i c a t i o nr e a l i z e dg n o m e s e s s i o na n dt h ei n t e r n a t i o n a l i z a t i o n s u p p o r t t h i ss o r w a r eg o a li sp r o v i d e so n es u c c i n c f l yi sp r a c t i c a l o p e r a t i o ns i m p l ea n dg u if r i e n d l y i n d i v i d u a lf l r e w a l lg i v e st h el i n u xd e s k t o pn s e r h t h eg e n e r a lf n e w a l lc o n v e n t i o n a lf u n c t i o n , a n d f a ra sp o s s i b l ef e wt a k e st h es y s t e mr e s o u r c e s ，d o e sn o th i n d e rt h eu s e rn o r m a lo p e r a t i o n a n dt h es y s t e mn o r m a lb e h a v i o r , p r o t e c t st h eu s e rs a f e t yh a n d l i n gn e t w o r kr e s o b r e e s ，r e s i s t se a c h b n do fn a t w o r ka t t a c ka n dt h ei n t r u s i o n ，l i k et h ed d o sa t t a c k ，t h et r o j a nh o r s eo rt h ei p s c a n n i n ga t t a c k ，a n di nw h e nh a st h ea t t a c ko rt h ei n t r u s i o nb e h a v i o r , i sa c c u r a t ep r o m p tr e p o r t st o t h ep o l i c ea n da u t o m a t i c a l l yt a k e sc o r r e s p o n d i n gm e a s u r e t h i ss o r w a r eh a su s e di nc o - c r e a t el i n u x2 0 0 5d e s k t o po s k e y s ：l i n u x 、f i r e w a l l 、d e t e c t i o ne n g i n e 、i n t r u s i o nd e t e c t i o n 、m i s u s ed e t e c t i o n 、i p t a b l a s 、 n e t f i l t e r 7 第一章l i n u x 网络系统 l i n u x 和网络几乎就是同义语，l i n u x 就是i n t c m e t 和w w w 的产物。l i n u x 的开发 者使用网络和w e b 进行信息交换，而l i n u x 本身义_ i = j 于各种组织的网络支持。众所周知 ，t c p i p 协议是i n t e r a c t 的标准协议，同时也是事实上的t 业标准。l i n u x 的网络实现支 持b s d 套接字，支持完整的t c p i p 协议。 1 1 t c p i p 协议 t c p i p 协议是i n t e m e t 网的基本协议，它实际由许多协议组成，并以协议组的形式存 在，其中的主要协议有：传输控制协议( t c p ) 、用户数据包协议( u d p ) 、网际协议( p ) 、 网际信报控制协议( i c m p ) 和地址解析协议c a r p ) 等。 直接连接到i n t c m e t 网上的主机必须具有唯一的地址，这一地址称为“口地址”。i p 地 址由4 个数字组成。中间用句点隔开，每个数字的取值范围一般在0 2 5 5 之间，例如： 1 9 2 1 1 1 。在i n t e m e t 上，主机的口地址分为五类，分别是a 、b 、c 、d 和e 五类。主 机的唯一i p 地址一般从a 、b 或c 类地址中派生；d 类地址用来将计算机组织成一个功 能组；而e 类地址是试验性的，当前不可用。另外，一些特殊的口地址被保留用于特殊目 的，例如，1 2 7 0 0 1 就是用来特指本地主机的回环地址。 和主机m 地址相关的概念还有子网掩码，t c p f i p 软件利用子网掩码判断数据传输的 目标主机是否和源主机处于同一子网中。例如，某主机的i p 地址为1 9 2 1 1 1 ，而子网掩 码为2 5 5 2 5 5 2 5 5 0 ，如果目标主机的i p 地址为1 9 2 1 1 4 ，则说明目标主机和源主机处于 同一子网中，而如果目标主机的口地址为1 9 2 1 2 1 ，则说明不在同一子网中。上述判断 通过利用子网掩码计算两台主机所在的子网地址而实现。主机m 地址和子网掩码的二进制 与运算的结果称为“子网地址”，例如，主机i p 地址1 9 2 1 1 1 和子网掩码2 5 5 2 5 5 2 5 5 0 的 二进制与运算的结果为1 9 2 1 1 0 ，即该主机所在子网的地址为1 9 2 1 1 0 ，对地址为 1 9 2 1 1 4 的主机来说，可计算该主机所在子网地址为1 9 2 1 1 0 ，于是说明目标主机和源主 机处于同一子网中。而1 9 2 1 2 1 却不在同一子网中。 因为数字式的i p 地址非常难于记忆，因而通常利用主机域名标识主机，例如， b b s t s i n g h u a e d u c 1 1 是清华大学b b s 服务器的域名，其m 地址为2 0 2 1 1 2 5 8 2 0 0 。但在利 用域名标识主机的同时，也需要能够将域名转换为i p 地址的机制，这种机制称为“域名解 析”。在一般的t c p i p 主机中，这一名称可通过静态的h o s t s 文件指定，也可通过d n s ( 分布式名称服务器) 服务器获得。在l i n u x 中，e t c h o s t s 文件指定静态的主机名称 ，而e t c r e s o l v c o n f 文件指定d n s 服务器的p 地址。 每当连接到其他计算机进行数据传输时，该计算机的p 地址就用于数据的传递。数据 被划分为小的m 数据包发送，该数据包的前面是目标和源主机的p 地址，然后是数据本 身，最后是数据的校验和以及其他有用的信息。利用校验和信息，目标主机可以判断数据的 传输是否正确。由于数据包的物理传输介质不同，因此，针对不同的物理传输介质，i p 数 据包还要进一步划分为小的数据包或报文进行传输。这种情况下，目标主机还要将小的报文 重新装配成大的数据包，以便进行后续处理。 一般而言，逻辑上处于同一子网的两台主机处于同一局域网中，如果目标主机和源主机 处于同一子网，就可通过某种机制获得目标主机的网卡物理地址，从而利用局域网技术实现 数据传输。从主机的i p 地址获得物理地址的机制称为“地址解析”，在t c p i p 协议中， 地址解析可由专门的协议( 地址解析协议) 完成。如果目标主机和源主机不在同一子网中， 这时的数据传输就要通过其他计算机完成，如果目标主机和源主机跨越大的地理距离，则可 能要通过许多计算机的参与才能实现数据的传输。跨越不同子网的数据传输通过网关或路由 器实现。当t c p i p 软件发现数据传输的目标主机处于其他子网时，它首先将数据发送到网 荚，然后由网茂选抒适当的路径传输，直到数据到达目标主机为j r 。l i n u x 维护一个路由表 ，每个目标i p 地址均对应一个路由表项。利j = i j 路由表项，l i n u x 可将每个跨子网的口数 据包发送到一个适当的主机( 路由器) 。系统中的路由表实际是动态的，并随着应用程序的 网络使用情况和网络拓扑结构的变化而变化。 协议 网络 网同同同 阿阿 门 圈圈圈田 应用层 传输层 网际层 网络 接口层 图1 1t c p i p 协议层次结构 如前所述，t c p i p 实际是以协议族的形式存在的，图1 1 是t c p a p 协议层次结构。 从图中可看出。t c p i p 映射为四层的结构化模型。这一模型也称为网际协议族( i n t e m e t p r o t o c o ls u i t ) ，可划分为网络接口、网际、传输和应用四层。 网络接1 2 层( n e t w o r k i n t e r f a c el a y e r ) 负责和网络的寅接通讯。它必须理解正在使用的 网络结构，诸如令牌环和以太网等，并且还要提供允许网际层与之通讯的接口。网际层负责 和网络接口层之间的直接通讯。 网际层( i m c m e t l a y e r ) 主要完成利用网际协议( 口) 的路由和数据包传递。传输层上 的所有协议均要使用p 发送数据。网际协议定义如下规则：如何寻址和定向数据包；如何 处理数据包的分段和重新组装；如何提供安全性信息；及如何识别正在使用的服务类型等。 但是，i p 不是基于连接的协议，因此它不能保证在线路中传输的数据不会丢失、破坏、 重复或颠倒次序。这由网络模型中的高层，即传输层或应用层负责。网际层中还有一些协议 ：网际控制消息协议( i c m p ) ，网际组管理协议( i g m p ) 以及地址解析协议( a r p ) 等。 传输层( t r a n s p o r tl a y e r ) 负责提供应甩程序之间韵遇讯。这种通讯可以是基于连接的 ，也可以是非基于连接的。这两种连接类型的主要差别在于是否跟踪数据以及是否确保数据 发送到目标等。传输控制协议( t r a n s m i s s i o nc o n t r o lp r o t o c o l ，t c p ) 是基于连接的协议，能 提供可靠的数据传输：而用户数据包协议( u s e rd a m g r a mp r o t o c o l ，u d p ) 是非基于连接的 协议，不能确保数据的正确传输。 以太阿帧 图1 2 t c p 数据包的传输 i n t e r a c t 协议组的应用层( a p p l i c a t i o nl a y e r ) 作为应用程序和网络组件之间的接口而存 9 在，其中存在人域的协议，包括简单网络管理协议( s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ，s n m p ) 、文件传输协议( f i l e t r a n s f e r p r o t o c o l ，f t p ) 、简单邮件传输协议( s i m p l e m a i l t r a n s f e rp r o t o c o l ，s m t p ) 等。 图1 2 给出了t c p 数据包的在网际协议组中的传输情况。t c p 利用口数据包传输它 自己的数据包，这时。i p 数据包中的数据是t c p 数据包本身。u d p 也利用i p 数据包进 行数据的传输，在这种情况下，接收方的i p 层必须能够知道接收到的i p 数据包要发送给 传输层中的哪个协议。为此，每个i p 数据包头中包含一个字节，专门用作协议标识符。接 收方的i p 层利用这一标识符决定将数据包发送给传输层的哪一个协议处理。和上面的情况 类似，同一台主机上利用同一协议进行通讯的应用程序可能有许多，因此，也需要一种机制 来标识应由哪一个应用程序处理同一种数据包。为此，应用程序利用t c p m 协议进行通讯 时，不仅要指定目标i p 地址，还要指定应用程序的“端口”地址。端口可唯一标识应用程 序，标准的网络应用程序使用标准的端口地址，例如w e b 服务器的标准端口为8 0 。在网 络接口中，i p 地址和端口地址合称为“套接宇”。 i p 协议层可利用许多不同的物理介质传输i p 数据包，图1 2 中，i p 数据包迸一步包 装在以太网数据帧中传输。除以太网外，口数据包还可以在令牌环网等其他物理介质上传 输。以太网数据帧头中包含了数据帧的目标以太网地址，以太网地址实际就是以太网卡的硬 件地址或物理地址，一般由6 位整数组成，如0 0 a 0 0 c 一1 3 一c c 一7 8 。以太网卡的物理地址 是唯一的，一些特殊的物理地址保留用于广播等目的。因为以太网数据帧和i p 数据包一样 ，可以传输不同的协议数据，因此，数据帧中也包含一个标识协议的整数。 在以太网中，数据的传输是通过物理地址或硬件地址实现的，而i p 地址实际只是一种 概念性的逻辑地址，因此，在类似以太网这样的网络中，必须采用地址解析协议( a r p ) 将 i p 地址翻译为实际的硬件地址。a r p 负责为i p 所请求的任意一个本地i p 地址找出其本 地物理地址。a r p 使用本地广播来寻找主机的物理地址，并在内存的高速缓冲区中维护最 近所映射的物理地址。如果目标口地址是本地地址，a r p 可发送一个本地广播请求获取 目标i p 主机的物理地址，并将物理地址返回给i p 。如果m 发现目标口地址处于远程子 网中，则数据包必须发送到路由器，这时。a r p 可替i p 找到路由器的物理地址。 1 2l i n u x 中的t c p i p 网络层次结构 图1 3 描述了l i n u x 的网络软件结构，和t c p i p 协议的结构类似，l i n u x 以分层的 软件结构实施t c p 月p 协议族。 b s d 套接字由一般性的套接字管理软件i n e t 套接字层支持。i n e t 套接字管理着基 于i p 的t c p 或u d p 协议端。如前所述，t c p 是基于连接的协议，而u d p 是非基于 连接的协议。在传输u d p 数据包时，l i n u x 不需要关心数据包是否安全到达目的端。但 对t c p 数据包来说，l i n u x 需要对数据包进行编号，数据包的源端和目的端需要协调工作 ，以便保证数据包不会丢失，或以错误的顺序发送。m 层包含的代码实施了i n t e m e t 协议 。m 层需处理数据包的报文头信息，并且必须将传入的数据包发送到t c p 或u d p 两者 中正确的一层处理。在m 层之下是l i n u x 的网络设备层，其中包括以太网设备或p p p 设 备等。和l i n u x 系统中的其他设备不同，网络设备并不总代表实际的物理设备，例如，回 环设备就是一个纯软件设备，而且，网络设备并不能通过l i n u x 的a d m o d 命令建立，而 是只有在底层软件发现并初始化这些设备之后才会出现在d e e 目录下。a r p 协议提供 地址解析功能，因此它处于p 层和网络设备层之间。 1 0 网络应用程序 图1 3i a n u x 网络层次结构 1 3 网络系统 1 3 1 目标 l i n u x 网络系统提供了计算机之间的网络连接，以及套接字通信模型。l i n u x 总共提供了 两种类型的套接字实现：b s d 套接字和i n e t 套接字。b s d 套接字是使用i n e t 套接宇实现的。 l i n u x 网络系统提供了两种传输协议，它们的通信模型和服务质量是不同的。这两