网络协议基础

网络协议基础陈凯(编写)国电信维护岗位认证教材（互联网安全维护专业）2目录第一章计算机网络协议概述第二章

常见网络协议第三章常用网络命令及网络协议分析1.1OSI参考模型OSI参考模型是国际标准化组织ISO(InternationalStandardsOrganization)制定的模型，把计算机与计算机之间的通信分成七个互相连接的协议层，结构如图所示3陈凯(编写)理层（PhysicalLayer）物理层处于最底层，负责传送比特流它从第二层数据链路层接收数据帧，并将帧的结构和内容串行发送，即每次发送一个比特只与电信号技术和光信号技术的物理特征相关,这些特征包括用于传输信号电流的电压、介质类型以及阻抗特征。该层的传输介质是同轴电缆、光纤、双绞线等物理层可能受到的安全威胁是搭线窃听和监听,可以利用数据加密、数据标签加密，数据标签，流量填充等方法保护物理层的安全4陈凯(编写)据链路层（DataLinkLayer）数据链路层处于OSI的第二层,负责：发送和接收数据；端到端连接,确保数据传送完整安全到达，需要具备：目标节点收到帧时，源节点必须收到一个响应目标节点发响应帧前，必须先验证内容完整性网络层（NetworkLayer）网络层（NetworkLayer）的主要功能完成网络中主机间的报文传输源端到目的端的路由（在广域网中）使异构网络互连（存在寻址、协议不同的网络中）该层缺乏任何检测/纠正本地传输差错的机制，从而依赖于数据链路层或传输层端到端的可靠传输服务。5陈凯(编写)输层（TransportLayer）传输层的主要功能：实现网络中不同主机上的用户进程之间可靠的数据通信。提供逻辑上的端到端的可靠连接会话层（SessionLayer）会话层允许不同机器上的用户之间建立会话关系。类似传输层的普通数据的传送在某些场合还提供了一些有用的增强型服务允许用户利用一次会话在远端的分时系统上登录会话层提供的服务之一是管理对话控制。会话层允许信息同时双向传输或限制只能单向传输（通过提供令牌管理服务）6陈凯(编写)示层（PresentationLayer）表示层关心的是所传送的信息的语法和语义。一个典型例子是用一种一致选定的标准方法对数据进行编码。表示层还涉及数据压缩、解压、加密和解密应用层（ApplicationLayer）应用层包含大量人们普遍需要的协议。对于需要通信的不同应用来说，应用层的协议都是必须的。应用层协议用户可以自主开发7陈凯(编写)CP/IP协议是网络中使用的基于软件的通信协议，包括传输控制协议（Transmission

Control

Protocol简称TCP）和网际协议（Internet

Protocol简称IP）。TCP/IP实际上是一组协议的代名词，它的内部包含许多其他的协议，组成了TCP/IP协议组。如图：8陈凯(编写)：186648662581.2TCP/IP

TCP/IP协议的体系结构用于internet，按分层方法制定，分为5层应用层主机到主机层或运输层互联网层网络接入层物理层9TCP/IP协议的五个层次

陈凯(编写)送数据:数据封装应用层表示层会话层传输层网络层

数据链路层

物理层dataTCP/UDPheader数据段IPheader数据包逻辑链路子层物理链路子层FCSLLCFCSMAC数据帧011000110101Bit在发送数据的时候，就是一个封装数据的过程.10陈凯(编写)据封装应用TCPIP以太网

驱动程序用户数据用户数据App头TCP头TCP头IP头TCP头IP头Eth头Eth尾应用数据(块)TCP分节IP分组以太网帧以太网电缆发送方App头App头App头用户数据用户数据用户数据11陈凯(编写)收数据:数据拆封011000110101dataFCSTCPIPLLCMAC在接收数据的时候，就是一个解封装数据的过成.应用层表示层会话层传输层网络层

数据链路层

物理层逻辑链路子层物理链路子层数据段数据包数据帧Bit12陈凯(编写)用数据（块）数据解封应用TCPIP以太网

驱动程序用户数据用户数据App头TCP头IP分组Eth头Eth尾以太网帧以太网电缆接收方IP头TCP分节IP分组TCP分节应用数据(块)13陈凯(编写)整的数据包传输过程演示应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层链路层物理层网络层链路层物理层网络层链路层物理层链路层物理层Data电脑交换机路由器电脑交换机路由器14陈凯(编写)：1866486625815目录第一章计算机网络协议概述第二章常见网络协议第三章常用网络命令及网络协议分析陈凯(编写)：186648662582.1网络协议结构图PPPFrameRelayHDLCETHERNETARPCableDIRVERICMPIPEIGRPIGMPTCPUDPOSPFPINGTraceBGPTelnetFTPSMTPApplicationLayerTransportLayerNetworkLayerDataLinkLayerPhysicalLayerDNSTFTPSNMPRIP16陈凯(编写)件传输：FTP、TFTP邮件服务：SMTP、POP3网络管理：SNMP、Telnet、Ping、Tracert网络服务：HTTP、DNS、WINS2.2应用层协议应用层协议文件传输协议（FTP）：在设备之间移动文件简单网管协议（SNMP）：报告网络异常情况和设置网络临界值。远程登录(Telnet)：作为终端彷真协议网络文件系统（NFS），外部数据描述（XDR）和远程过程调用（RPC）：一起工作来提供远程网络资源的透明访问。简单邮件传输协议（SMTP）:提供电子邮件服务。主域名称系统（DNS）：将网络节点名称翻译成网络地址17陈凯(编写)：1866486625818DNS协议

DNS是域名系统(DomainNameSystem)的缩写，是一种组织域层次结构的计算机和网络服务命名系统。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与此名称相关的IP地址信息。发收数据时，计算机之间通信使用的是IP地址。所以必须将域名映射成IP地址——该过程叫做域名解析；解析方式有两种：递归查询迭代查询递归查询：名字服务器不向申请者返回下一个可用名字服务器的地址，而是直接请求下一个服务器得到答案，整个解析过程由系统一次完成迭代查询：如果当前名字服务器没有要查询的IP地址，向申请者返回下一个可用的名字服务器的地址，由查询者继续请求下一个名字服务器陈凯(编写)：1866486625819超文本传输协议HTTPHTTP是目前Internet上运行最多的协议，它具有简捷、快速的特点，适用于分布式和合作式超媒体信息系统，自1990年起，HTTP已经被应用于WWW全球信息服务系统HTTP协议是基于请求／响应范式的协议。一个客户机与服务器建立连接后，发送一个请求给服务器，请求的内容为统一资源标识符（URI）、协议版本号和MIME信息，包括请求修饰符、客户机信息等内容。服务器接到请求后，给予相应的响应信息，其格式为一个状态行包括协议版本号、一个成功或错误的代码，后边是MIME信息包括服务器信息、实体信息和可能的内容。HTTP协议支持的服务不限于WWW，还可以是其它服务，因而HTTP协议允许用户在统一的界面下，采用不同的协议访问不同的服务，如FTP、Archie、SMTP、NNTP等。陈凯(编写)：1866486625820DHCP协议DHCP(DynamicHostConfigureProtocol)

动态主机配置协议(DHCP)是往网络中每台设备分配独一无二IP地址的动态方式。之所以使用DHCP，常见理由有：

(1)降低花费在IP地址管理方面的时间和规划。 (2)降低分配IP地址的错误率。 (3)为使用户在无须更改TCP／IP配置的情况下随意移动工作站和打印机。 (4)为使IP地址对移动用户透明

DHCP是由Internet任务组开发的，以期代替BOOTP。不像BOOTP，DHCP不需要网络管理员在服务器上维护IP和MAC地址表。然而，DHCP需要网络管理员负责在运行DHCP的服务器(比如Windows2003、NetWare、UNIX/Linux)上安装和配置DHCP服务等IP地址管理任务。陈凯(编写)：1866486625821TELNET协议Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器Telnet通过端口23工作。陈凯(编写)：1866486625822SMTP协议SMTP属于TCP/IP协议集中的应用层协议，端口号为25SMTP规定邮件信息的格式：邮件头部+邮件主体目前Email服务用的两个主要的协议是：简单邮件传输协议SMTP（SimpleMailTransferProtocol）和邮局协议POP3（PostOfficeProtocol）。SMTP默认占用25端口，用来发送邮件，POP3占用110端口，用来接收邮件。在Windows平台下，主要利用MicrosoftExchangeServer作为电子邮件服务器。陈凯(编写)：1866486625823FTPFTP上传下载FTP的缺省端口是20（用于数据传输）和21（用于命令传输）,在TCP/IP中FTP命令和数据能够同时传输，而数据传输是实时的FTP客户端可以是命令界面的也可以是图形界面的。陈凯(编写)：1866486625824SNMP24陈凯(编写)单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（applicationlayerprotocol）、数据库模型（databaseschema），和一组资料物件。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组（IETF，InternetEngineeringTaskForce）定义的internet协议簇的一部分。SNMP的基本功能是：取得，设置和接收代理发送的意外信息。取得指的是基站发送请求，代理根据这个请求回送相应的数据，设置是基站设置管理对象(也就是代理)的值，接收代理发送的意外信息是指代理可以在基站未请求的状态下向基站报告发生的意外情况。SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。在分立的管理站中，管理者进程对位于管理站中心的MIB的访问进行控制，并提供网络管理员接口。管理者进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议(如，Ethernet,FDDI,X.25)之上实现。SNMP协议的发展:v1v2v32.3.1TCP协议TCP提供两个网络主机之间的点对点通讯TCP从程序中接收数据并将数据处理成字节流首先将字节分成段，然后对段进行编号和排序以便传输在两个TCP主机之间交换数据之前，必须先相互建立会话TCP会话通过三次握手的完成初始化：这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。TCP在建立连接的时候需要三次确认，俗称“三次握手”，在断开连接的时候需要四次确认，俗称“四次挥手”。25陈凯(编写)CP协议的三次“握手”26陈凯(编写)CP协议的四次“挥手”需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图所示。27陈凯(编写)：186648662582.3.2用户数据报协议UDPUDP为应用程序提供发送和接收数据报的功能。某些程序使用的是UDP协议，UDP协议在TCP/IP主机之间建立快速、轻便、不可靠的数据传输通道。28陈凯(编写)DP和TCP的区别UDP提供的是非连接的数据报服务，意味着UDP无法保证任何数据报的传递和验证。UDP的结构如图所示。29陈凯(编写)：186648662582.3.3*UDP和TCP传递数据的差异UDP和TCP传递数据的差异类似于电话和明信片之间的差异。TCP就像电话，必须先验证目标是否可以访问后才开始通讯。UDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。UDP通常由每次传输少量数据或有实时需要的程序使用。在这些情况下，UDP的低开销比TCP更适合。UDP与TCP提供的服务和功能直接对比30陈凯(编写)UDP和TCP传递数据的比较UDP协议TCP协议无连接的服务；在主机之间不建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列化数据。TCP通过确认和按顺序传递数据来确保数据的传递。使用UDP的程序负责提供传输数据所需的可靠性。使用TCP的程序能确保可靠的数据传输。UDP快速，具有低开销要求(8B)，并支持点对点和一点对多点的通讯。TCP比较慢，有更高的开销要求(20B)，而且只支持点对点通讯。UDP和TCP都使用端口标识每个TCP/IP程序的通讯。31陈凯(编写)：18664866258322.4.1IP协议1、IP协议IP是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、ICMP、IGMP数据都是以IP数据包格式传送的。IP层还实现了Internet中的路由功能。一般来说，一台机器的IP地址和网络接口是相对应的，但有些情况下，一个接口可以有两个或多个IP地址。Internet上每台计算机都至少拥有一个IP地址。一般来说，一台机器的IP地址和网络接口是相对应的，但有些情况下，一个接口可以有两个或多个IP地址。如何为网络接口设置多个IP地址？陈凯(编写)P地址D类地址：高端前四个二进制位为1110，称作多播地址，用于多点传送(multicast)。D类地址的第一字节范围：224—239。E类保留地址：高端前四位为1111，目前仍未使用的地址，用于将来的扩展之用。E类地址的第一字节范围：240—254。IP地址类型主要有五种：A、B、C、D、E，一般A类、Ｂ类、Ｃ类地址更常用，每类地址都是由32位（4个字节）组成。

33陈凯(编写)：1866486625834子网和子网掩码

A类和B类网络拥有数以千计或数以百万计的主机，这是不切合实际的，因为一个网络一般不会有这么多主机。子网(subnet)的目的就是把A类和B类地址进一步细化。例如，一个B类网络的子网化如下：为了把子网号与主机号分开，引入了子网掩码。子网掩码使用与IP地址相同的编址格式，子网掩码为1的部分对应于IP地址的网络与子网部分，子网掩码为0的部分对应于IP地址的主机号部分。将子网掩码和IP地址作“与”操作后，IP地址的主机号部分将被抛弃，剩余的是网络地址和子网地址。将子网掩码按位取“反”后与IP地址做“与”操作后得的结果即为主机号。如果两个主机处于同一个子网中，它们可以直接进行通讯。陈凯(编写)：1866486625835私用IP地址:按照IETFRFC1918规定，被公司或组织在其自有的网络中为非公开目的而使用的地址就是私用地址。类别起始地址终止地址子网掩码A类55B类55（或）C类55（或）IP地址

陈凯(编写)：1866486625836IPANDMACIP地址和MAC地址的关系IP地址是网络层的概念，而MAC地址是数据链路层的概念。IP地址在网络层上对不同的硬件地址类型进行了统一，从而提供网络互联的可能；而硬件地址在真正的数据传输中要用到。当应用程序把数据从源主机发送到目标主机时，只需指定目标IP地址，不需关心目标的硬件类型。在数据包的传输过程中，目标IP地址不变，而硬件地址随着所经过的网段不同而不断变化。陈凯(编写)：1866486625837协议包结构IP首部：IP首部包含了完成IP功能所需的控制信息4位版本4位首部长8位服务类型16位总长度16位标识3位标志13位片偏移8位生存期（TTL）8位协议类型16位首部校验和32位源IP地址32位目标IP地址选项（如果有）数据部分陈凯(编写)：18664866258382.4.2地址解析协议ARP作用当一台主机把以太数据帧发送到位于同一局域网上的另一台主机时，是根据48位的以太地址来确定目的接口的。设备驱动程序不检查IP数据包中的目的IP地址。ARP协议为IP地址到对应的硬件地址之间提供动态的映射。协议的工作过程ARP发送一个称作ARP请求的以太数据帧给以太网上的每个主机，ARP请求数据帧中包含目的主机的IP地址。目的主机的链路层收到这份广播报文后，识别出这是发送端在询问它的硬件地址，于是发送一个ARP应答，应答中包含了IP地址对应的硬件地址。而其他主机对这个广播请求不做任何反应。发送端收到应答后，就可以根据硬件地址传送IP层数据包了。发送端同时将IP地址与硬件地址的映射放到缓存中暂存。在之后的查询中，如果缓存中有表项，则直接使用缓存中的值，而不需再次发送ARP广播。缓存中的表项一般都要设置超时机制，超时后，将从表中删除。陈凯(编写)：1866486625839ARP的分组格式：以太网目的地址以太网源地址帧类型硬件类型协议类型硬件地址长度协议地址长度操作码发送端硬件地址发送端IP地址目的硬件地址目标IP地址662221126464|---以太首部---|------------28字节ARP请求/应答----------------|

ARP协议的使用：陈凯(编写)：1866486625840逆地址解析协议RARPRARP负责完成从硬件地址到IP地址的映射。网络上每个系统都具有唯一的硬件地址。无盘工作站的RARP实现过程是：从网络接口卡上读取唯一的硬件地址，然后发送一个RARP请求，请求某个主机响应该无盘系统的IP地址。当无盘系统从RARP应答中收到它的IP地址后，它将发送TFTP请求来读取引导映象以引导系统。RARP分组的格式与ARP类似，但帧类型为0x8035。操作码字段，3表示RARP请求、4表示RARP应答。陈凯(编写)：18664866258412.4.3Internet控制报文协议ICMPICMP经常被认为是IP层的一部分，它传递差错报文以及其他需要注意的信息。ICMP报文经常被IP层或更高层协议（TCP、UDP）使用一些ICMP报文把差错报文返回给用户进程。陈凯(编写)：1866486625842ICMP报文8位类型8位代码16位校验和（不同类型和代码有不同的内容）“类型”字段可以有15种不同的值，以描述特定类型的ICMP报文。某些报文还使用“代码”字段进一步描述不同的条件。ICMP报文格式：：ICMP差错报文：报文包含IP首部以及产生ICMP差错报文的IP数据报数据的前8个字节，接收ICMP差错报文的模块就会把它与某个特定的协议和用户进程联系起来。ICMP查询报文：用于对网络情况进行查询和诊断。陈凯(编写)：1866486625843目录第一章计算机网络协议概述第二章常见网络协议第三章常用网络命令及网络协议分析陈凯(编写)：1866486625844ipconfig1.使用ipconfig/all查看配置

使用带/all选项的ipconfig命令时，将给出所有接口的详细配置报告，包括任何已配置的串行端口。使用ipconfig/all，可以将命令输出重定向到某个文件，并将输出粘贴到其他文档中。也可以用该输出确认网络上每台计算机的TCP/IP配置，或者进一步调查TCP/IP网络问题。陈凯(编写)：1866486625845ipconfig2.使用ipconfig/renew刷新配置 解决TCP/IP网络问题时，先检查遇到问题的计算机上的TCP/IP配置。如果计算机启用DHCP并使用DHCP服务器获得配置，请使用ipconfig/renew命令开始刷新租约。 使用ipconfig/renew时，使用DHCP的计算机上的所有网卡(除了那些手动配置的适配器)都尽量连接到DHCP服务器，更新现有配置或者获得新配置。 也可以使用带/release选项的ipconfig命令立即释放主机的当前DHCP配置。陈凯(编写)：1866486625846ping

Ping命令有助于验证IP级的连通性。发现和解决问题时，可以使用Ping向目标主机名或IP地址发送ICMP回应请求。需要验证主机能否连接到TCP/IP网络和网络资源时，请使用Ping。也可以使用Ping隔离网络硬件问题和不兼容配置。ping命令的格式如下图

陈凯(编写)：1866486625847pingping命令常用参数

(1)-t校验与指定计算机的连接，直到用户中断。 (2)-a将地址解析为计算机名。 (3)-ncount发送由count指定数量的echo报文，默认值为4。 (4)-llength发送包含由length指定数据长度的echo报文。默认值为64字节，最大值为8192字节。陈凯(编写)：1866486625848ping使用ping命令测试主机连通性步骤

(1)Ping环回地址验证是否在本地计算机上安装TCP/IP以及配置是否正确 (2)Ping本地计算机的IP地址验证是否正确地添加到网络 (3)Ping默认网关的IP地址验证默认网关是否运行以及能否与本地网络上的本地主机通讯 (4)Ping远程主机的IP地址验证能否通过路由器通讯陈凯(编写)：1866486625849arp

使用arp命令可以解决硬件地址问题。“地址解析协议(ARP)”允许主机查找同一物理网络上的主机的媒体访问控制地址，如果给出后者的IP地址。为使ARP更加有效，每个计算机缓存IP到媒体访问控制地址映射消除重复的ARP广播请求。 可以使用arp命令查看和修改本地计算机上的ARP表项。arp命令对于查看ARP缓存和解决地址解析问题非常有用，如下图：陈凯(编写)：1866486625850nbtstat

TCP/IP上的NetBIOS(NetBT)将NetBIOS名称解析成IP地址。TCP/IP为NetBIOS名称解析提供了很多选项，包括本地缓存搜索、WINS服务器查询、广播、DNS服务器查询以及Lmhosts和主机文件搜索。 nbtstat是解决NetBIOS名称解析问题的有用工具。可以使用nbtstat命令删除或更正预加载的项目。

nbtstat-n显示由服务器或重定向器之类的程序在系统上本地注册的名称。 nbtstat-c显示NetBIOS名称缓存，包含其他计算机的名称对地址映射。 nbtstat-R清除名称缓存，然后从Lmhosts文件重新加载。 nbtstat-RR释放在WINS服务器上注册的NetBIOS名称，然后刷新它们的注册。 nbtstat-aname对name指定的计算机执行NetBIOS适配器状态命令。适配器状态命令将返回计算机的本地NetBIOS名称表，以及适配器的媒体访问控制地址。 nbtstat-S列出当前的NetBIOS会话及其状态(包括统计)。陈凯(编写)：1866486625851netstat

可以使用netstat命令显示协议统计信息和当前的TCP/IP网络连接。

netstat–a:显示所有连接和监听端口。 netstat–b:显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。 netstat–e:显示以太网统计信息。此选项可以与-s选项组合使用。 netstat–n:以数字形式显示地址和端口号。 netstat–o:显示与每个连接相关的所属进程ID。陈凯(编写)：1866486625852netstat

netstat–pproto:显示proto指定的协议的连接；proto可以是下列协议之一:TCP、UDP、TCPv6或UDPv6。如果与-s选项一起使用以显示按协议统计信息，proto可以是下列协议之一：IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。