网络协议分析（TCPIP）：第2章 点到点协议PPP

第2章点到点协议PPP

内容：PPP，LCP，IPCP，PAP，CHAP要求：1.掌握PPP的流程及报文格式2.掌握LCP的流程3.了解NCP的功能4.掌握PAP的流程和报文格式5.掌握CHAP的流程和报文格式12.1PPP帧协议数据FCSF7EAFFC03F7E2包含帧类型及序号：信息帧、监督帧和无编号帧帧校验和，检测差错2.2PPP链路操作Dead：初态和终态，表明物理层尚未准备好；DeadUPOPENEDSUCCESS/NONEFAILCLOSINGDOWNFAIL图1PPP链路状态转换图EstablishEstablish：使用LCP建立和配置链路；AuthenticateAuthentication：身份认证阶段；NetworkNetwork：使用相应的NCP配置网络层协议；TerminateTerminate：终止链路。32.3LCP

配置、维护和终止PPP链路，LCP报文类型：报文格式类型ID长度数据4链路建立与配置：(1)Configure-Request：发起方发送的第一个报文；

P1P2Configure-Request图2LCP链路建立报文交换图Configure-NakConfigure-Ack(2)Configure-Ack：如果Confiure-Request中的每个选项都能被接收端识别，而且都被接受；(3)Configure-Nak：如果每个选项都能识别，但是只有部分能接受；Configure-Reject(4)Configure-Reject：如果Confiure-Request有部分选项不能被识别，或者不能被接受。2.3LCP

5链路配置报文类型ID长度选项Options选项字段：包含0个或多个要协商的选项，同时协商；（1）认证协议：c023：PAPc223：CHAP

61(Configure-Request)11315001(MRU)4CHAP3(认证协议）5MD5协议数据FCSF7EAFFC03F7E链路配置报文7（2）Magic-Number：防止链路回路类型长度Magic-NumberMagic-Number检测步骤：P1：接收到P2的Configure-Request报文（包含MN1），自己最近发的一个Configure-Request（包含MN2），若MN1≠MN2，则不是looped-back；否则P1向P2发送Configure-Nak报文（包含MN3,且MN1≠MN3）；P2：接收到P1的Configure-Nak报文（包含MN3），自己最近发的一个Configure-Nak（包含MN4），若MN3≠MN4，则不是looped-back；否则P2向P1发送Configure-Request报文（包含MN5,且MN5≠MN3）；链路配置报文8Terminate-Request&Terminate-AckTerminate-RequestTerminate-AckP1P2图3LCP链路终止报文交换图Terminate-RequestTerminate-Request链路终止报文9功能：错误报告和检测比如：Code-Reject发送时机：LCP报文类型字段无法识别相应举措：放弃链路类型ID长度拒绝报文Protocol-Reject：无法识别协议字段Echo-Request\Echo-Reply：链路质量与性能测试链路维护报文102.4NCP-IPCP

用途：配置，激活或者禁止一个PPP链路两端对等实体上的IP协议模块;IPCP选项协商：类型（3）长度（4）IP地址（202.196）IP地址（48.10）IP-Address选项：用途：协商对等端使用的IP地址；过程：与LCP类似；协商方式：发起协商端在Configure-Request报文中指定；若未指定，则由接收端指派，并附加在Configure-Nak报文中返回给发送端；11发生时机：仅在建立连接的阶段发生；认证方式：一端发送明文口令至对等端，由对方认证；封装：PPP帧的数据字段；类型ID长度数据2.5PAP-PasswordAuthenticationProtocol12P1P2图4PAP认证过程报文交换图Authenticate-Request……Authenticate-Request1.Authenticate-Request

Authenticate-AckAuthenticate-Nak2.Authenticate-AckAuthenticate-Nak

2.5PAP-PasswordAuthenticationProtocol13特性：无法防止重放(playback)、穷举(repeatedtrial)等攻击。2.6CHAP-Challenge-HandshakeAuthenticationProtocol发生时机：建立连接时和连接建立之后的任何时间AuthenticatorPeer图5CHAP认证过程报文交换图Challenge1.认证端发送“challenge”到对等端

ResponseA1=Hash(c,s)2.对等端根据这个“challenge”和共享密钥，利用一个单向散列函数计算一个散列值并发回给认证端；FailureSuccessA2=Hash(c,s)A1=A2A1≠A23.认证端把这个数字和自己计算出来的数据进行比较，如果匹配，则确认；否则否认；ChallengeResponseFailureSuccess……A2=Hash(c,s)A1=A2A1≠A2A1=Hash(c,s)4.在连接建立后，会随机地重复上述过程。142.7PPPoE（PPPoverEthernet）以太网连接ADSL设备如何接入Internet？以太网：高带宽PPP：基于用户的认证、控制等以太网+PPP=PPPoEPPPoE协议的两个阶段：发现PPP会话152.7PPPoE