协议分析考试.docx

客户服务器模型：重复型(TCP),并发型(UDP)FTP服务器的TCP端口21(控制链路)，20（数据链路）telnet服务器的TCP端口23TFTP服务器的UDP端口69链路层三个目的：1.为IP模块发送和接收IP数据报2.为ARP模块发送ARP请求和接收ARP应答3.为RARP发送RARP请求和接收RARP应答PPP数据帧协议字段：0x 0021:信息字段是一个IP数据报0xc021：信息字段是链路控制数据0x8021：信息字段是网络控制字段PPP比SLIP优点：1. PPP支持在在单根穿行线路上运行多种协议，不只是IP协议2. 每一帧都有循环冗余检验3. 通信双发可以进行IP地址的动态协商（使用IP网络控制协议）4. 与CSLIP相似，对于TCP和IP报文首部进行压缩5. 链路控制协议可以对多个数据链路选项进行设置。路由表中的每一项都包含了：1）目的IP地址2）下一站路由器的IP地址3）标志4）为数据报的传输指定一个网络接口4.ARP过程：1）主机发送一份称作ARP请求的以太网数据帧给以太网上的每一个主机，请求帧中包含目的主机IP地址。 2）目的的主机收到这份广播报文后，识别出这是发送端在询问他的IP地址，于是发送一个ARP应答。 3）收到ARP应答后，系统的ARP缓存便会记录MAC-IP对应信息。 ARP功能：在32位的IP地址和采用不同网络技术的硬件地址之间提供动态映射。ARP高速缓存：每个主机上都有一个ARP高速缓存，存放着最近INTERNET地址到硬件之间 的映射记录，保证ARP高效运行。免费ARP：主机发送ARP查找自己的IP地址。（免费ARP）作用：1.一个主机可以通过它确定另一个主机是否设置了相同的IP。 2.如果发送免费ARP的主机正好改变了硬件地址，那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。5.RARP实现过程：从接口上读取唯一的硬件地址，然后发送一份RARP请求，请求某个主机响应该无盘系统的IP地址。ARP（单播）、RARP（广播）6.ICMP两大类：查询报文，差错报文不会导致产生ICMP差错报文：1） ICMP差错报文2） 目的地址是广播地址或多播地址的IP数据报3） 作为链路层广播的数据报4） 不是IP分片的那一片5） 源地址不是单个主机的数据报7.Ping程序：改程序发送一份ICMP回显请求报文给主机，并等待返回ICMP回显应答。IP记录路由选项：大多ping都提供R选项，已提供记录路由的功能。发送的IP数据报中设置RR选项，每个处理该数据报的路由器都把IP地址放入选项字段中。返回途中的路由器地址也被放入其中。当路由器在清单中记录IP地址时，应该记录出口路由。9.IP源站选路两种形式：严格的源路由选择，宽松的源路由选择。对于源站选路，必须在发送IP数据报前填充IP地址清单。IP搜索路由表步骤：1.搜索匹配的主机地址2.搜索匹配的网络地址3.搜索默认表项IP路由选择主要完成以下这些功能：1.搜索路由表，寻找能与目的IP地址完全匹配的表目2.搜索路由表，寻找能与目的网络号相匹配的表目3.搜索路由表，寻找标为“默认”的表目路由器标志：U：开路由可使用 G：该路由是到一个网关 H：该路由是到一个主机 D：该路由是由重定向报文创建的 M：该路由已被重定向报文修改ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台机器使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。发生ICMP重定向通常两种情况：1. 当路由器从某个接口收到数据还需要从相同接口转发该数据时。2. 当路由器从某个接口到发往远程网络的数据时发现源IP地址与下一跳属于同一网段时。10. 动态选路协议：内部网关协议IGP：每个自治系统可以选择该自治系统中各个路由器之间的选路协议。最常用的IGP是选路信息协议RIP，一种新的IGP是开放最短路径优先OSPF协议；外部网关协议EPG：分隔选路协议用于不同自治系统之间的路由器。边界网管协议BGP意在取代EGP。11. UDP首部四个字段：16位源端口号，16位目的端口号，16位UDP长度，16位UDP检验和。IP分片：可以发生在原始发送端主机上，也可以发送在中间路由器上。UDP和ARP之间的交互：请求6个ARP，丢弃前五个，只将最后一个报文发送给特定主机。（先进后出，后进先出）。UDP产生源站抑制差错：当一个系统（路由器或主机）接收数据报的速度比其处理速度快时，可能产生。12. 四种广播地址：受限的广播：55；指向网络的广播：地址是主机号全为1的地址；指向子网的广播：地址为主机号全为1且有特定子网号的地址；指向所有子网的广播：子网号及主机号全为1.IP多播提供两类服务：1.向多个目的地址传送数据；2.客户对服务器的请求多播组地址到以太网的映射：将以太网多播地址中的23bit与IP地址组号对应，通常将多播组号中的低位23bit映射到以太网地址的低位23bit实现，多播组号中最高5bit在映射中被忽略，32个不同的多播组号被映射为一个以太网地址。问题：映射地址不唯一解决：设备驱动程序或IP层对数据报进行过滤ICMP:用于支持主机和路由器进行多播的Internet组管理协议，让一个物理网络上的所有系统知道主机当前躲在的多播组。ICMP记录规则：1. 当一个进程加入一个组时，主机发送一个IGMP报告2. 进程离开一个组时，主机不发送IGMP报告3. 多播路由器定时发送IGMP查询来了解是否还有任何主机包含属于多播组的进程4. 主机通过发送IGMP报告来相应一个IGMP查询DNS功能：提供主机名字和IP地址之间的转换及有关电子邮件的选路信息DNS结构：主机名，三级域名，二级域名，顶级域名。DNS报文格式：12字节长的首部和4个长度可变的字段组成。DNS压缩方式：当一个域名中的标识符是压缩的，他的单计数字节中的最高的两位被置为11，剩下的14bit说明实际域名所在位置相对DNS起始表示字段的偏移。Gethostbyname（3）：接收主机名字返回IP地址。Gethostbyaddr（3）：接收IP地址寻找主机名字。主机名到IP地址的映射有两种方式：1. 静态映射：每台设备上都配置主机到IP地址的映射，各设备独立维护自己的映射表，而且只供本设备使用。2. 动态映射：建立一套域名解析系统，只在专门的DNS服务器上配置主机到IP地址的映射，网络上需要使用主机名通信的设备，首先要到DNS服务器查询主机对应的IP地址。DNS使用TCP或UDP的53端口。DNS一般情况下使用UDP通信，但是有两种情况例外：1. 当客户端发出DNS查询请求，从服务器收到的响应报文中的比特被置为1时，此时以为着有服务器响应长度超过512字节，而仅返回前512字节，在遇到这种情况下，客户端会使用TCP重新发起原来的DNS查询请求，它将运行返回响应超过512字节。2. DNS的主辅名字服务器在同步时使用TCP协议，辅名字服务器一般每3小时向主名字服务器发起查询，看主服务器是否有新的纪录变化，如有变动，将执行一次区域传送，区域传送使用TCP协议。3.TCP首部6个标志比特：LRG：紧急指针有效ACK：确认序号有效PSH：接收方应该尽快将这个报文段交给应用层RST：重新连接SYN：同步序号用来发起一个链接FIN：发送端完成发送任务TCP和UDP的不同1. UDP是一种无连接的传输协议，TCP协议是一种有链接的传输协议2. TCP保证传输的正确性，UDP可能丢包，TCP保证数据顺序，UDP不保证3. 对系统资源的要求TCP较多，UDP少4. TCP传输存在一定的延时，UDP响应速度稍微快一些。慢启动方法：当TCP开始在一个网络中传输数据或发现数据丢失并开始重发时，首先慢慢的对网路实际容量进行试探，避免由于发送了过量的数据而导致阻塞。TCP管理四个不同的定时器：1） 重传定时器：希望接受另一端的确认2） 坚持定时器：使窗口大小信息保持不断流动3） 保活定时器：可检测到一个空闲连接的另一端何时崩溃或启动4） 2MSL定时器：测量一个连接处于TIME_WAIT状态的时间拥塞避免算法：该算法假定由于分组受到损坏引起的丢失是非常少的（远小于1 %），因此分组丢失就意味着在源主机和目的主机之间的某处网络上发生了拥塞。有两种分组丢失的指示：发生超时和接收到重复的确认ICMP差错：源站抑制、主机不可达、网络不可达ICMP差错处理： 一个接收到的源站抑制引起拥塞窗口cwnd被置为1个报文段大小来发起慢启动，但是慢启动门限ssthrest没有变化，所以窗口将打开直至它或者开放了所有的通路（受窗口大小和往返时间的限制）或者发生了拥塞。 一个接收到的主机不可达或网络不可达实际上都被忽略，因为这两个差错都被认为是短暂现象。时间戳选项：使发送方在每个报文段中放置一个时间戳值，接收方在确认中返回这个数值，从而允许发送方为每一个收到ACK计算RTT三次握手：1.客户端发送一个SYN指明客户打算连接的服务器端口，以及初始序号ISN 2.服务器发回包含服务器的初始序号的SYN报文作为应答，同时将确认序号设置为客户的ISN加1并发送确认包ACK以对客户的SYN报文进行确认。3.客户必须将确认序号设置为服务器的ISN加1发送确认包ACK以对服务器的SYN报文进行确认。四次挥手：客户端调用close执行主动关闭，发送一个FIN分节，表示数据发送完毕；服务器端收到FIN后执行被动关闭，发送ACK确认；一段时间后，服务器关闭连接，发送一个FIN；客户端收到FIN后，发送ACK报文，进入TIME_WAIT状态。TCP超时重传：在发送某一个数据以后就开启一个计时器，在