《网络安全技术项目化教程》项目2ＴＣＰ／ ＩＰ协议分析

项目２ＴＣＰ／ＩＰ协议分析模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议任务１利用ＰａｃｋｅｔＴｒａｃｅｒ分析ＩＣＭＰ协议【任务描述】网络管理员一般都会使用ｐｉｎｇ测试网络连通性，但是很多网络管理员都不清楚ｐｉｎｇ使用的ＩＣＭＰ协议的原理，以及数据报头的具体含义。本任务利用ＰａｃｋｅｔＴｒａｃｅｒ完成图２－１所示的网络拓扑搭建并测试网络连通性，抓取ＰＣ０ｐｉｎｇＰＣ３的ＩＣＭＰ数据包进行分析。下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议【任务分析】ＩＣＭＰ协议原理及报文信息可以从理论方面学习知识点，为了加深对ＩＣＭＰ协议的理解，可以利用ＰａｃｋｅｔＴｒａｃｅｒ软件搭建好网络拓扑图，利用模拟环境抓取ｐｉｎｇ操作的ＩＣＭＰ协议数据包进行分析。【任务实施】①利用ＰａｃｋｅｔＴｒａｃｅｒ软件配置如图２－１所示的网络拓扑结构。②配置网络连通性，要求ＰＣ０和ＰＣ１在同一个网段，ＰＣ２和ＰＣ３在一个网段，如图２－２、如图２－3、如图２－4

、图２－５所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议③配置三层交换机和二层交换机保证网络互通，即四台主机可以互通，三层交换机的配置参考图２－６，测试结果如图２－７、如图２－8

、图２－９所示。④在模拟环境下抓取ＰＣ０ｐｉｎｇＰＣ３的ＩＣＭＰ数据报，首先在ＰａｃｋｅｔＴｒａｃｅｒ软件中选择模拟环境，并设置要抓取的协议类型ＩＣＭＰ，如图２－１０所示。⑤选择好要抓取的数据报类型ＩＣＭＰ后，单击自动捕获数据报按钮，如图２－１１框中所示。⑥对抓取的数据报进行分析，根据图２－１１中的ＩＣＭＰ协议部分，可以看到ＩＣＭＰ协议字段中，类型为８，表示的是ＩＣＭＰ的请求报文，代码为０。这是一个Ｗｉｎｄｏｗｓ系统下的ｐｉｎｇ命令ＥｃｈｏＲｅｑｕｅｓｔ报文，如图２－１２所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议⑦根据图２－１２中的ＩＣＭＰ协议部分，可以看到ＩＣＭＰ协议字段中，类型为０，表示的是ＩＣＭＰ的应答报文，代码为０。这是一个Ｗｉｎｄｏｗｓ系统下的ｐｉｎｇ命令ＥｃｈｏＲｅｐｌｙ应答报文，如图２－１３所示。【相关知识】１.ＩＣＭＰ协议概念ＩＣＭＰ（ＩｎｔｅｒｎｅｔＣｏｎｔｒｏｌＭｅｓｓａｇｅＰｒｏｔｏｃｏｌ）：网际控制报文协议。由于ＩＰ提供的尽力数据报通信服务和无连接服务，因此不能解决网络底层的数据报丢失、重复、延迟或乱序等问题。ＴＣＰ在ＩＰ基础上建立有连接服务来解决以上问题，但不能解决由于网络故障或其他网络原因无法传输数据报的问题。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议２.ＩＣＭＰ协议功能ＩＣＭＰ就像一个更高层的协议那样使用ＩＰ（ＩＣＭＰ消息被封装在ＩＰ数据报中）。然而，ＩＣＭＰ是ＩＰ的一个组成部分，并且所有ＩＰ模块都必须实现它。ＩＣＭＰ用来报告错误，是一个差错报告机制。它为遇到差错的路由器提供了向最初源站报告差错的办法，源站必须把差错交给一个应用程序或采取其他措施来纠正问题。ＩＣＭＰ不能用来报告ＩＣＭＰ消息的错误，这样就避免了无限循环。当ＩＣＭＰ查询消息时，通过发送ＩＣＭＰ来响应。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议若收到Ｅｃｈｏ消息，必须回应ＥｃｈｏＲｅｐｌｙ消息。Ｉｄｅｎｔｉｆｉｅｒ和ＳｅｑｕｅｎｃｅＮｕｍｂｅｒ可能被发送Ｅｃｈｏ的主机用来匹配返回的Ｅｃｈｏｒｅｐｌｙ消息。例如：Ｉｄｅｎｔｉｆｉｅｒ可能用于类似于ＴＣＰ或ＵＤＰ的ｐｏｒｔ来标示一个会话，而ＳｅｑｕｅｎｃｅＮｕｍｂｅｒ会在每次发送Ｅｃｈｏ请求后递增，收到Ｅｃｈｏ的主机或路由器返回同一个值与之匹配，整个过程如图２－１４所示。３.ＩＣＭＰ协议各类报文格式每个ＩＣＭＰ报文放在ＩＰ数据报的数据部分中通过互联网传递，而ＩＰ数据报本身放在二层帧的数据部分中通过物理网络传递。ＩＣＭＰ数据封装如图２－１５所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议利用模拟器掌握了ＩＣＭＰ协议工作原理和数据报格式，这里总结出ｐｉｎｇ命令的几种返回结果分析。（１）目标超时：“Ｒｅｑｕｅｓｔｔｉｍｅｄｏｕｔ.”（图２－１６）以上的返回结果表示超时，就是没有收到目标主机的回应应答。原因：可能是网络中的目标地址不存在或没开机，也有可能是对方禁止了ｐｉｎｇ的应答（禁止的方式很多，如配置了访问控制策略、安装了防火墙等）。缺省值是４０００ｍｓ，也就是４ｓ，可以用－ｗｔｉｍｅｏｕｔ修改这个时间，单位也是毫秒。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（２）正常通信：“Ｒｅｐｌｙｆｒｏｍ１０.４１.３.２：ｂｙｔｅｓ＝３２ｔｉｍｅ＜１ｍｓＴＴＬ＝１２８”（图２－１７）以上的返回结果表示与目标主机可以正常通信（至少ＩＣＭＰ协议的查询通信是可以的），目标主机回应了应答。从这个应答的时间看网络状态也很好，时间都小于１ｍｓ，也没有丢包现象（可以加－ｔ参加进一步测试网络状态）。另外，根据ＴＴＬ值可初步判断对方为Ｗｉｎｄｏｗｓ系统。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（３）目标ＴＴＬ超时：“Ｒｅｐｌｙｆｒｏｍ１９２.１６８.０.５：ＴＴＬｅｘｐｉｒｅｄｉｎｔｒａｎｓｉｔ.”（图２－１８）由于ｐｉｎｇ的目标地址是１０.１.１.２５４，但是返回应答是由１９２.１６８.０.５返回的，说明有问题。从“ＴＴＬｅｘｐｉｒｅｄｉｎｔｒａｎｓｉｔ.”可以判断，数据包在网络的传递过程中，ＴＴＬ值已经被减为０，可能原因是网络中存在环路。其实这个是地址为１９２.１６８.０.５的设备返回的ＩＣＭＰ差错报文，表示数据包传递给它后，ＴＴＬ值已经为１，再转发后变为０，所以把数据包丢弃了，并通过ＩＣＭＰ协议的差错报文通知给本机。另外，通过ｔｒａｃｅｒｔ目标可以进一步确认数据包在传递的网络路径中出现了环路。环路出现在１９２.１６８.０.５和１９２.１６８.０.１这两台设备之间。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（４）目标主机无法到达：“Ｄｅｓｔｉｎａｔｉｏｎｈｏｓｔｕｎｒｅａｃｈａｂｌｅ.”（图２－１９）由于本机ＩＰ为１０.４１.３.１，而所ｐｉｎｇ的目标地址是１９２.１６８.１.１，两者不在同一网段，返回这种结果的可能原因主要是本机没有配置默认网关。因为当一个主机去访问与自己不在同一网段的主机时，它首先要把数据包通过二层（目的ＭＡＣ为网关）封装送给自己的默认网关（一般为路由设备），再由默认网关转发这个数据包到目的地址。但是由于本机没有配置默认网关，结果就是本机不知道如何把数据包发送到目的网络的主机上去。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（５）中间设备应答目标主机不可达：“Ｒｅｐｌｙｆｒｏｍ２０６．１．１．１：Ｄｅｓｔｉｎａｔｉｏｎｈｏｓｔｕｎｒｅａｃｈ-ａｂｌｅ．”（图２－２０）（６）其他ｐｉｎｇ的返回结果①ＢａｄＩＰａｄｄｒｅｓｓ：这个信息表示可能没有连接到ＤＮＳ服务器，所以无法解析这个ＩＰ地址，也可能是ＩＰ地址不存在。②Ｓｏｕｒｃｅｑｕｅｎｃｈｒｅｃｅｉｖｅｄ：这个信息比较特殊，出现的概率很少。它表示对方或中途的服务器繁忙，无法回应。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议③Ｕｎｋｎｏｗｎｈｏｓｔ：不知名主机。这种出错信息的意思是，该远程主机的名字不能被域名服务器（ＤＮＳ）转换成ＩＰ地址。故障原因可能是域名服务器有故障，或者其名字不正确，或者网络管理员的系统与远程主机之间的通信线路有故障。④Ｎｏａｎｓｗｅｒ：无响应。这种故障说明本地系统有一条通向中心主机的路由，但却接收不到它发给该中心主机的任何信息。故障原因可能是下列之一：中心主机没有工作；本地或中心主机网络配置不正确；本地或中心的路由器没有工作；通信线路有故障；中心主机存在路由选择问题。⑤Ｐｉｎｇ１２７.０.０.１：１２７.０.０.１是本地循环地址。如果本地址无法ｐｉｎｇ通，则表明本地机ＴＣＰ／ＩＰ协议不能正常工作。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议⑥ｎｏｒｏｕｔｔｏｈｏｓｔ：网卡工作不正常。⑦ｔｒａｎｓｍｉｔｆａｉｌｅｄ，ｅｒｒｏｒｃｏｄｅ：１００４３网卡驱动不正常。⑧ｕｎｋｎｏｗｎｈｏｓｔｎａｍｅ：ＤＮＳ配置不正确。⑨ＮｅｇｏｔｉａｔｉｎｇＩＰＳｅｃｕｒｉｔｙ：两台设备中配置了ＩＰＳＥＣ安全策略，正在进行安全协商，这个往往是配置了针对ＩＣＭＰ协议的安全策略引起的。如果两个设备配置正确且安全机制一致，则只会在第一个ｐｉｎｇ的数据包返回中出现此应答。⑩重定向Ｒｅｄｉｒｅｃｔ（５）：改变路由的报文。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议４.ＩＣＭＰ的三种应用ＩＣＭＰ的三种应用分别是Ｐｉｎｇ、Ｔｒａｃｅｒｏｕｔｅ、ＭＴＵ测试。（１）Ｐｉｎｇ使用ＩＣＭＰ回送和应答消息来确定一台主机是否可达。Ｐｉｎｇ是应用层直接使用网络层ＩＣＭＰ的一个例子。（２）Ｔｒａｃｅｒｏｕｔｅ该程序用来确定通过网络的路由ＩＰ数据报。Ｔｒａｃｅｒｏｕｔｅ基于ＩＣＭＰ和ＵＤＰ。它把一个ＴＴＬ为１的ＩＰ数据报发送给目的主机。第一个路由器把ＴＴＬ减小到０，丢弃该数据报并把ＩＣＭＰ超时消息返回给源主机。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（３）ＭＴＵ测试ＭＴＵ（ＭａｘＴｒａｎｓｍｉｓｓｉｏｎＵｎｉｔ）是网络最大传输单元（包长度），ＩＰ路由器必须对超过ＭＴＵ值的ＩＰ报进行分片，目的主机再完成重组处理，所以，确定源到目的路径ＭＴＵ对提高传输效率是非常必要的。５.ＩＣＭＰ协议安全性分析（１）ＰｉｎｇｏｆＤｅａｔｈ黑客利用操作系统规定的ＩＣＭＰ数据包最大尺寸不超过６４ＫＢ这一规定，向主机发起“ＰｉｎｇｏｆＤｅａｔｈ”（死亡之Ｐｉｎｇ）攻击。“ＰｉｎｇｏｆＤｅａｔｈ”攻击的原理是：如果ＩＣＭＰ数据包的尺寸超过６４ＫＢ，主机就会出现内存分配错误，导致ＴＣＰ／ＩＰ堆栈崩溃，致使主机死机。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（２）ＩＣＭＰ攻击导致拒绝服务（ＤｏＳ）攻击向目标主机长时间、连续、大量地发送ＩＣＭＰ数据包，也会最终使系统瘫痪。它的工作原理是利用发出ＩＣＭＰ数据包类型８的ｅｃｈｏ－ｒｅｑｕｅｓｔ给目的主机，对方收到后会发出中断请求给操作系统，请系统回送一个类型０的ｅｃｈｏ－ｒｅｐｌｙ。大量的ＩＣＭＰ数据包会形成“ＩＣＭＰ风暴”或称为“ＩＣＭＰ洪流”，使目标主机耗费大量的ＣＰＵ资源处理。这种攻击称为拒绝服务（ＤｏＳ）攻击，它有多种多样具体的实现方式。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（３）Ｓｍｕｒｆ攻击首先，攻击者会假冒目的主机（受害者）之名向路由器发出广播的ＩＣＭＰｅｃｈｏ－ｒｅｑｕｅｓｔ数据包。因为目的地是广播地址，路由器在收到之后会对该网段内的所有计算机发出此ＩＣＭＰ数据包，而所有的计算机在接收到此信息后，会对源主机（亦即被假冒的目标主机）送出ＩＣＭＰｅｃｈｏ－ｒｅｐｌｙ响应。这样，所有的ＩＣＭＰ数据包在极短的时间内涌入目标主机内，这不但造成网络拥塞，还会使目标主机由于无法反应如此多的系统中断而导致暂停服务。除此之外，如果一连串的ＩＣＭＰ广播数据包洪流（ｐａｃｋｅｔｆｌｏｏｄ）被送进目标网内，将会造成网络长时间的极度拥塞，使该网段上的计算机（包括路由器）都成为攻击的受害者。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议（４）基于重定向（ｒｅｄｉｒｅｃｔ）的路由欺骗技术攻击者可利用ＩＣＭＰ重定向报文破坏路由，并以此增强其窃听能力。除了路由器，主机必须服从ＩＣＭＰ重定向。如果一台机器向网络中的另一台机器发送了一个ＩＣＭＰ重定向消息，这就可能使其拥有一张无效的路由表。如果一台机器伪装成路由器截获所有到某些目标网络或全部目标网络的ＩＰ数据包，这样就形成了攻击和窃听。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议６.ＩＣＭＰ攻击防范措施虽然ＩＣＭＰ协议给黑客以可乘之机，但是ＩＣＭＰ攻击也并不可预防的。只要在网络管理中提前做好准备，就可以有效地避免ＩＣＭＰ的攻击。对于利用ＩＣＭＰ产生的拒绝服务攻击，可以采取下面的方法：在路由器或主机端拒绝所有的ＩＣＭＰ包（对于Ｓｍｕｆｆ攻击，可在路由器禁止ＩＰ广播）；在该网段，路由器对ＩＣＭＰ包进行带宽限制（或限制ＩＣＭＰ包的数量），控制其在一定的范围内。避免ＩＣＭＰ重定向欺骗的最简单方法是将主机配置成不处理ＩＣＭＰ重定向消息，另一种方法是路由器之间一定要经过安全认证。例如，检查ＩＣＭＰ重定向消息是否来自当前正在使用的路由器。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议任务２利用ＰａｃｋｅｔＴｒａｃｅｒ分析ＡＲＰ协议【任务描述】网络管理员一般都会使用ａｒｐ－ａ命令查看本机的ＡＲＰ缓存中ＩＰ地址和ＭＡＣ地址的对应关系，但是很多网络管理员并不清楚ＡＲＰ协议的原理，以及数据报头的具体含义。本任务利用ＰａｃｋｅｔＴｒａｃｅｒ完成图２－２１所示的网络拓扑搭建并测试网络连通性，抓取主机２ｐｉｎｇ主机４发送和接收的数据包，进行ＡＲＰ数据包分析。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议【任务分析】ＡＲＰ协议原理及报文信息可以从理论方面学习知识点，但为了加深对ＡＲＰ协议的理解学习，可以利用ＰａｃｋｅｔＴｒａｃｅｒ软件搭建好网络拓扑图，利用模拟环境抓取ＡＲＰ协议数据包进行分析。【任务实施】①利用ＰａｃｋｅｔＴｒａｃｅｒ软件配置图２－２１所示网络拓扑结构。②图２－２１中三层交换机３５６０－２４ｐｓ配置的参考命令如图２－２２和图２－２３所示。③二层交换机参考配置如图２－２４所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议④配置完主机ＩＰ地址及三层、二层交换机命令后进行结果测试，要求所有主机互通，如图２－２５和图２－２６所示。⑤网络连通性测试成功后，进入模拟状态。设置分析协议类型，单击“ＥｄｉｔＦｉｌｔｅｒｓ”，选择ＩＣＭＰ、ＡＲＰ协议。启动分析执行ｐｉｎｇ测试命令，抓取主机２到主机４的ＡＲＰ数据报进行分析，如图２－２７所示。⑥查看ＡＲＰ协议数据报文，主机２发送给主机４的ＡＲＰ查询请求报文如图２－２８所示。⑦查看ＡＲＰ协议数据报文，主机２发送给主机４的ＡＲＰ查询应答报文如图２－２９所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议【相关知识】１.ＡＲＰ协议简介ＡＲＰ（ＡｄｄｒｅｓｓＲｅｓｏｌｕｔｉｏｎＰｒｏｔｏｃｏｌ）把基于ＴＣＰ／ＩＰ软件使用的ＩＰ地址解析成局域网硬件使用的媒体访问控制（ＭＡＣ）地址。ＡＲＰ是一个广播协议———网络上的每一台机器都能收到请求。每一台机器都检查请求的ＩＰ和自己的地址，符合要求的主机回答请求。①源主机Ａ与目的主机Ｂ位于同一物理网段，如图２－３０所示。②源主机Ａ与目的主机Ｂ位于不同物理网段，如图２－３１所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议ＡＲＰ地址解析和数据包在网络间的传递如图２－３２所示。①跨路由器后，主机Ａ不可能知道主机Ｂ的ＭＡＣ地址；②数据包传送过程中，不仅仅是主机Ａ，所经过的路由器都要进行地址解析；③数据包传送过程中，源、目的ＩＰ地址始终不变，而源、目的ＭＡＣ地址逐段变化。２.ＡＲＰ常用命令①查看的命令为“ａｒｐ－ａ”，如图２－３３所示。②静态绑定的命令“ａｒｐ－ｓｉｐｍａｃ”，如图２－３４所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议③表项清除命令为“ａｒｐ－ｄ”，如图２－３５所示。３.ＡＲＰ的报头结构（表２－１１）硬件类型字段指明了发送方想知道的硬件接口类型，以太网的值为１；协议类型字段指明了发送方提供的高层协议类型，ＩＰ为０８００（１６进制）；硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度，这样ＡＲＰ报文就可以在任意硬件和任意协议的网络中使用；操作类型用来表示这个报文的类型，ＡＲＰ请求为１，ＡＲＰ响应为２，ＲＡＲＰ请求为３，ＲＡＲＰ响应为４；上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议发送方的硬件地址（０～３字节）：源主机硬件地址的前３字节；发送方的硬件地址（４～５字节）：源主机硬件地址的后３字节；发送方的ＩＰ地址（０～１字节）：源主机硬件地址的前２字节；发送方的ＩＰ地址（２～３字节）：源主机硬件地址的后２字节；目标的硬件地址（０～１字节）：目的主机硬件地址的前２字节；目标的硬件地址（２～５字节）：目的主机硬件地址的后４字节；目标的ＩＰ地址（０～３字节）：目的主机的ＩＰ地址。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议４.ＡＲＰ的工作原理首先，每台主机都会在自己的ＡＲＰ缓冲区（ＡＲＰＣａｃｈｅ）中建立一个ＡＲＰ列表，以表示ＩＰ地址和ＭＡＣ地址的对应关系。源主机收到这个ＡＲＰ响应数据包后，将得到的目的主机的ＩＰ地址和ＭＡＣ地址添加到自己的ＡＲＰ列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ＡＲＰ响应数据包，表示ＡＲＰ查询失败。同网段的ＡＲＰ请求与应答过程如图２－３６所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议对于跨网段的通信，ＡＲＰ会查询网关的ＭＡＣ封装数据包后发给网关，由网关再转发到目标主机。当然，这个过程中可能会经历多次ＡＲＰ查询与应答，具体次数根据源主机到目标主机经过的网段而定，其过程如图２－３７所示。任务３利用ＰａｃｋｅｔＴｒａｃｅｒ分析ＩＰ协议【任务描述】如果想了解ＴＣＰ／ＩＰ协议中ＩＰ协议报头结构和具体含义，可以通过抓取网络中的数据包进行分析，那么应该用什么工具和命令实现呢？上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议【任务分析】测试网络连通性的ｐｉｎｇ命令主要利用网络层ＩＣＭＰ协议，ＩＣＭＰ协议数据包是封装在ＩＰ协议数据报里面的，所以，利用ｐｉｎｇ抓取到数据报，就可以抓取到ＩＰ数据报文进行分析。【任务实施】①在配置完成的ＰＴ文件中进行ｐｉｎｇ命令测试，在ＩＰ地址为１９２.１６８.２０１.１的主机上ｐｉｎｇＩＰ地址为１９２.１６８.２０１.２的主机，测试网络连通性。②测试成功后进入模拟分析状态，在Ｚ＿ＰＣ１上ｐｉｎｇ计算机Ｚ＿ＰＣ２。测试正常后，完成后续步骤。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议③设置分析协议类型，并启动分析，单击“ＥｄｉｔＡＬＣＦｉｌｔｅｒｓ”，选择ＩＣＭＰ协议，其封装在ＩＰ协议中，如图２－３８所示。④执行ｐｉｎｇ测试命令“ＰＣ＞ｐｉｎｇ１９２.１６８.２０１.２”。⑤查看ＩＰ协议数据报文，如图２－３９所示，详细解释如图２－４０所示。⑥数据包通过对多台三层设备（路由器）传输过程中的变化分析，在笔记本电脑Ｗ＿ＸＹＺ（２０２.１.１.２）上ｐｉｎｇＷ＿ＣＡ（２０６.１.１.２），如图２－４１所示。切换到分析状态下，如图２－４２所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议数据包到达第一台路由器Ｗ＿Ｒ５时，入栈时的报文封装如图２－４３所示。数据包从路由器Ｗ＿Ｒ５转发到下一台路由器时的封装、出栈时的报文封装如图２－４４所示。【相关知识】１.ＴＣＰ／ＩＰ协议ＴＣＰ／ＩＰ是一组通信协议的代名词，是由一系列协议组成的协议簇。它本身指两个协议集：ＴＣＰ（传输控制协议）和ＩＰ（互联网络协议），如图２－４５所示。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议２.ＩＰ协议概念ＩＰ协议规定了数据传输时的基本单元和格式。如果比作货物运输，ＩＰ协议规定了货物打包时的包装箱尺寸和包装的程序。除了这些以外，ＩＰ协议还定义了数据包的递交办法和路由选择。同样用货物运输做比喻，ＩＰ协议规定了货物的运输方法和运输路线。ＩＰ协议主要负责在主机之间寻址和选择数据包的路由。ＩＰ协议不含错误恢复的编码，属于不可靠的协议。ＩＰ协议用于将多个包交换网络连接起来，它在源地址和目的地址之间传送数据包；它还提供对数据大小的重新组装功能，以适应不同网络对包大小的要求。上一页下一页返回模块２－１基于ＰａｃｋｅｔＴｒａｃｅｒ分析ＴＣＰ／ＩＰ协议３.ＩＰ数据报头格式互联网把它的基本传输单元称为数据报。与物理网络帧类似，数据报分为首部和数据区。首部包含了源地址和目的地址，以及一个标识数据内容的类型字段。网络中数据封装与解封过程如图２－４６所示。ＩＰ报文结构为：ＩＰ协议头＋载荷，其中对ＩＰ协议头的分析是分析报文结构的主要内容之一，ＩＰ协议头的结构如图２－４７所示。于是图２－４８既是Ｓｎｉｆｆｅｒ对ＩＰ协议首部解码分析的结构，和ＩＰ首部各个字段相对应，同时也给出了各个字段所表示含义的英文解释。上一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议任务１ＳｎｉｆｆｅｒＰｒｏ软件安装与配置【任务描述】当一个网络出现故障时，就需要由网络管理员查找故障并及时进行修复。但一般的局域网都有几十台到几百台计算机，以及多个服务器、交换机、路由器等设备，管理员的工作量非常大，而且排除故障也非常麻烦。但通过网络协议分析工具，就可以帮助网络管理员方便地找出问题所在。下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【任务分析】Ｓｎｉｆｆｅｒ工具是一个功能很强的底层抓包工具，作为一名网络管理人员，应学会熟练使用本工具进行网络数据的分析，发现异常数据及时处理，不断提高网络数据分析能力和处理能力，同时也能防范黑客利用Ｓｎｉｆｆｅｒ嗅探网络的重要信息，如用户名、密码等。因此，首先需要掌握Ｓｎｉｆｆｅｒ软件的正确安装与配置。①准备好协议分析的软件ＳｎｉｆｆｅｒＰｒｏ；②规划好ＳｎｉｆｆｅｒＰｒｏ分析软件的安装部署（图２－５２）。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【任务实施】①准备ＳｎｉｆｆｅｒＰｒｏ的软件安装包，到ＮｅｔｗｏｒｋＡｓｓｏｃｉａｔｅｓ的官网下载ＳｎｉｆｆｅｒＰｒｏ网络分析软件，下载完成后即可双击软件包进行安装。②软件安装过程，运行ＳｎｉｆｆｅｒＰｒｏ软件进行安装时，出现初始安装界面，如图２－５３所示，之后就出现安装向导，如图２－５４所示。③在安装向导中单击“Ｎｅｘｔ”按钮，选择遵守协议条款，单击“Ｙｅｓ”按钮，如图２－５５所示。进入设置安装路径对话框，可以按照自己的习惯选择所需要的安装路径，如图２－５６所示。选择完毕后再单击“Ｎｅｘｔ”按钮，在立即安装的对话框中选择“Ｉｎｓｔａｌｌ”按钮后开始正式安装。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议④填写个人信息，包括姓名、商业、电子邮件等，填写完成后单击“下一步”按钮。填写个人联系方式，包括地址、城市、国家、邮编、电话等，填写完成后单击“下一步”按钮。需要注意的是，在填写各项目时，要注意格式，字母与数字要区分开，如图２－５７和图２－５８所示。⑤接下来会询问安装者是如何了解该软件的，正确选择后，最后的序列号要正确填写，如图２－５９所示。⑥通过网络注册的提示如图２－６０所示。如果没有连接网络，则会出现下面的界面，即无法连接，如图２－６１所示，暂时不注册并不妨碍软件的使用。⑦单击“完成”按钮，完成ＳｎｉｆｆｅｒＰｒｏ软件的安装，如图２－６２所示。选择立即重新启动计算机，如图２－６３所示。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议⑧安装完成后进行汉化，单击ＳｎｉｆｆｅｒＰｒｏ软件汉化包进行汉化，如图２－６４和图２－６５所示。⑨选择汉化补丁安装路径进行安装，如图２－６６和图２－６７所示。⑩安装完成后的界面如图２－６８所示。启动ＳｎｉｆｆｅｒＰｒｏ软件，在主窗口的工具栏上点选捕获设置（ＤｅｆｉｎｅＦｉｌｔｅｒ）按钮，可以对要捕获的协议数据设置捕获过滤条件，如图２－６９所示。默认情况下捕获所有从指定网卡接收的全部协议数据，捕获到数据后，停止查看按钮会由灰色的不可用状态变为彩色的可用状态。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【相关知识】１.ＳｎｉｆｆｅｒＰｒｏ简介Ｓｎｉｆｆｅｒ软件是ＮＡＩ公司推出的功能强大的协议分析软件，其功能强大，用于解决网络问题。与Ｎｅｔｘｒａｙ比较，Ｓｎｉｆｆｅｒ支持的协议更丰富，例如，ＰＰＰＯＥ协议等在Ｎｅｔｘｒａｙ上并不支持，但在Ｓｎｉｆｆｅｒ上能够进行快速解码分析。Ｎｅｔｘｒａｙ不能在Ｗｉｎｄｏｗｓ２０００和ＷｉｎｄｏｗｓＸＰ上正常运行，ＳｎｉｆｆｅｒＰｒｏ４.６可以运行在各种Ｗｉｎｄｏｗｓ平台上。Ｓｎｉｆｆｅｒ软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它相对于Ｎｅｔｘｒａｙ的一个缺点。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议２.网络监听原理以太网协议的工作方式为将要发送的数据帧发往物理连接在一起的所有主机。在帧头中包含着应该接收数据包的主机的地址。数据帧到达一台主机的网络接口时，在正常情况下，网络接口读入数据帧，并检查数据帧帧头中的地址字段，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，则将数据帧交给上层协议软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议３.ＳｎｉｆｆｅｒＰｒｏ主要功能介绍①Ｄａｓｈｂｏａｒｄ（网络流量表）。单击图２－７０中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Ｕｔｉｌｉｚａｔｉｏｎ），第二个表显示的是网络的每秒钟通过的包数量（Ｐａｃｋｅｔｓ），第三个表显示的是网络的每秒错误率（Ｅｒｒｏｒｓ）。通过这三个表可以直观地观察到网络的使用情况，ＳｅｔＴｈｒｅｓｈｏｌｄｓ显示的是根据网络要求设置的上限。选择图２－７０中②所指的选项将显示如图２－７１所示的更为详细的网络相关数据的曲线图。每个子项的含义无须多言，下面介绍测试网络速度中的几个常用单位。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议②Ｈｏｓｔｔａｂｌｅ（主机列表）。如图２－７２所示，单击图２－７２中①所指的图标，出现图中显示的界面，选择图中②所指的ＩＰ选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看１９２.１６８.１.１０２这台机器的上网情况，只需如图中③所示单击该地址，出现图２－７３所示界面。③Ｄｅｔａｉｌ（协议列表）。单击图２－７４所示的“Ｄｅｔａｉｌ”图标，图中显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了哪些协议。注意，此时是在图２－７２的界面上单击的，如果在图２－７３的界面上单击，显示的是那台机器的情况。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议④Ｂａｒ（流量列表）。单击图２－７５所示的“Ｂａｒ”图标，图中显示的是整个网络中的机器所用带宽前１０名的情况。显示方式是柱状图。图２－７６显示的内容与图２－７５相同，只是显示方式是饼图。⑤单击图２－７７中箭头所指的图标，出现全网的连接示意图。将鼠标放到线上可以看出连接情况。鼠标右击，可在弹出的菜单中选择放大（ｚｏｏｍ）此图。⑥在“Ａｄｖａｎｃｅ”页面下，可以编辑协议的捕获条件，如图２－７８所示。⑦Ｓｎｉｆｆｅｒ软件提供了强大的分析能力和解码功能，对于捕获的报文，提供了一个Ｅｘｐｅｒｔ专家分析系统进行分析，还有解码选项及图形和表格的统计信息，如图２－７９所示。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析，诊断结果可以通过查看在线帮助获得。图２－８０中显示出在网络中ＷＩＮＳ查询失败的次数及ＴＣＰ重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析，可以通过用鼠标双击此条记录查看详细统计信息，且对于每一项，都可以通过查看帮助来了解其产生的原因。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议任务２使用ＳｎｉｆｆｅｒＰｒｏ分析ＩＣＭＰ协议【任务描述】前面的任务中，使用在模拟环境下抓取ＩＣＭＰ协议数据包进行分析，这种数据包不是真实网络环境下的数据包，本任务利用Ｓｎｉｆｆｅｒ软件抓取真实环境下ＩＣＭＰ协议数据包，并进行分析。【任务分析】本次任务需在小组合作的基础上完成。每个小组由两位成员组成，相互ｐｉｎｇ对方主机，通过Ｓｎｉｆｆｅｒ工具截取通信数据包，并分析数据包。小组情况表见表２－１２。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【任务实施】①通过ｉｐｃｏｎｆｉｇ命令获取本机ＩＰ地址，并填写上面的小组情况表。②定义过滤器。运行Ｓｎｉｆｆｅｒ软件，进入系统，单击“捕获”，选择“定义过滤器”，在“定义过滤器”窗口，分别单击“地址”和“高级”选项卡进行设置。按图２－８１所示设置地址选项卡，“高级”选项卡设置为“ＩＰ”→“ＩＣＭＰ”。③在Ｓｎｉｆｆｅｒ中单击“捕获”命令开始抓包。从本机ｐｉｎｇ小组另一位成员的计算机，如图２－８２所示。使用Ｓｎｉｆｆｅｒ截取ｐｉｎｇ过程中的通信数据，如图２－８３所示。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议④对抓取到的数据包进行分析，ＩＣＭＰ请求报文如图２－８４所示，类型是８，代表是ＩＣＭＰ的请求报文，代码是０，校验和是１Ｆ５Ｃ，随机序列号是１１２６４。图２－８５所示类型是０，代表是ＩＣＭＰ应答报文，代码是０，校验和是２７５Ｃ，随机序列号１１２６４。⑤分析Ｓｎｉｆｆｅｒ截取的由于第③步操作而从本机发送到目的机的数据帧中的ＩＰ数据报，填写表２－１３。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【相关知识】１.什么是数据包包（ｐａｃｋｅｔ）是ＴＣＰ／ＩＰ协议通信传输中的数据单位，一般也称为“数据包”。ＴＣＰ／ＩＰ协议是工作在ＯＳＩ模型第三层（网络层）、第四层（传输层）上的，而帧是工作在第二层（数据链路层）。上一层的内容由下一层的内容来传输，所以，在局域网中，“包”是包含在“帧”里的。数据包主要由“目的ＩＰ地址”“源ＩＰ地址”“净载数据”等部分构成。数据包的结构与平常写信非常类，目的ＩＰ地址说明这个数据包是要发给谁的，相当于收信人地址；源ＩＰ地址说明这个数据包是发自哪里的，相当于发信人地址；净载数据相当于信件的内容。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议２.网络嗅探器Ｓｎｉｆｆｅｒ的原理①网卡有几种接收数据帧的状态：ｕｎｉｃａｓｔ（接收目的地址是本级硬件地址的数据帧），ｂｒｏａｄｃａｓｔ（接收所有类型为广播报文的数据帧），ｍｕｌｔｉｃａｓｔ（接收特定的组播报文），ｐｒｏｍｉｓ-ｃｕｏｕｓ（目的硬件地址不检查，全部接收）。②以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的ＭＡＣ地址来寻找目的主机的。③每个网络接口都有一个互不相同的硬件地址（ＭＡＣ地址），同时，每个网段有一个在此网段中广播数据包的广播地址。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议④一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收。⑤通过Ｓｎｉｆｆｅｒ工具，将网络接口设置为“混杂”模式，可以监听此网络中传输的所有数据帧，从而可以截获数据帧，进而实现实时分析数据帧的内容。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议任务３使用ＳｎｉｆｆｅｒＰｒｏ分析ＦＴＰ协议【任务描述】本任务通过自己搭建ＦＴＰ服务器，利用Ｓｎｉｆｆｅｒ捕获一次完整的ＦＴＰ通信过程，对捕获到的数据包进行分析，理解ＴＣＰ连接的三次握手过程，以及ＴＣＰ连接中断的四次握手过程，同时，通过分析捕获数据得到ＦＴＰ服务器用户名和密码，了解黑客是如何利用该工具进行网络监听的。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【任务分析】在真实主机上利用Ｓｅｒｖｅｒ－Ｕ建立一台ＦＴＰ服务器，采用桥接方式实现主机和虚拟机通信。在虚拟机上建立一台ＦＴＰ客户端，在其上安装Ｓｎｉｆｆｅｒ软件，任务实施拓扑图如图２－８６所示。【任务实施】①在ＷｉｎｄｏｗｓＳｅｒｖｅｒ２００８服务器上配置ＦＴＰ服务器，在客户端访问ＦＴＰ服务器，如图２－８７所示。设置ＦＴＰ服务器不允许匿名登录，如图２－８８所示，取消允许匿名连接前面的勾，使用用户名和密码访问ＦＴＰ服务器。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议②定义过滤器。在ＦＴＰ客户端上运行Ｓｎｉｆｆｅｒ软件，进入系统，单击“捕获”，选择“定义过滤器”。在“定义过滤器”窗口分别单击“地址”和“高级”选项卡进行设置，如图２－８９所示设置地址选项卡，“高级”选项卡设置为“ＩＰ”→“ＴＣＰ”→“ＦＴＰ”。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议③选择“Ａｄｖａｎｃｅｄ”选项，选择“ＩＰ”“ＴＣＰ”“ＦＴＰ”，将“ＰａｃｋｅｔＳｉｚｅ”设置为“ＩｎＢｅｔｗｅｅｎ６３～７１”，“ＰａｃｋｅｔＴｙｐｅ”设置为“Ｎｏｒｍａｌ”，如图２－９０所示。如图２－９１所示，选择“ＤａｔａＰａｔｔｅｒｎ”项，单击箭头所指的“ＡｄｄＰａｔｔｅｒｎ”按钮，出现图２－９２所示界面。按图设置Ｏｆｆｓｅｔ为“２Ｆ”，方格内填入“１８”，“Ｎａｍｅ”可任意起。确定后单击“ＡｄｄＮＯＴ”按钮，如图２－９３所示。再单击“ＡｄｄＰａｔｔｅｒｎ”按钮增加第二条规则，按图２－９４所示设置好规则，确定后如图２－９５所示。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议④捕获ＦＴＰ命令数据包。首先，在Ｓｎｉｆｆｅｒ中单击“捕获”命令开始抓包。然后在ＦＴＰ客户端上进入ＤＯＳ提示符下，输入“ＦＴＰＩＰ地址（ｆｔｐ服务器的地址）”命令，输入ＦＴＰ用户名和口令，登录ＦＴＰ服务器，如图２－９６所示。然后下载文件，最后输入“Ｇｏｏｄｂｙｅ！”命令退出ＦＴＰ程序，完成整个ＦＴＰ命令的操作过程，如图２－９７所示。最后单击Ｓｎｉｆｆｅｒ中的“停止捕捉”，选择“解码”选项，完成ＦＴＰ命令操作过程数据包的捕获，并显示在屏幕上，如图２－９８所示。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议⑤ＴＣＰ的连接建立过程如图２－９９所示。第１行表示：ＦＴＰ客户端１９２.１６８.２０.２００从１０５８端口向ＦＴＰ服务器１９２.１６８.２０.９９的１００端口发起一个带有ＳＹＮ标志的连接请求，初始序列号ＳＥＱ＝３７８４５８７７３２。第２行表示：ＦＴＰ服务器１９２.１６８.２０.９９从１００端口向ＦＴＰ客户端１９２.１６８.２０.２００的１０５８端口返回一个同时带有ＳＹＮ标志和ＡＣＫ标志的应答包，ＡＣＫ应答序列号ＳＥＱ＝３７８４５８７７３２＋１，ＳＹＮ请求序列号ＳＥＱ＝３１８２４９８９３９。第３行表示：ＦＴＰ客户端１９２.１６８.２０.２００再向ＦＴＰ服务器１９２.１６８.２０.９９返回一个包含ＡＣＫ标志的应答包，应答序列号ＳＥＱ＝３１８２４９８９３９＋１。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议至此，ＦＴＰ客户端和ＦＴＰ服务器之间就建立了一个安全、可靠的ＴＣＰ连接。ＴＣＰ连接建立的三次握手过程示意图如图２－１００所示。⑥ＴＣＰ连接结束过程如图２－１０１所示。至此，ＦＴＰ客户端与ＦＴＰ服务器之间的一个ＴＣＰ连接就结束了。ＴＣＰ连接结束的四次过程示意图如图２－１０２所示。⑦分析得到ＦＴＰ登录的用户名和密码，都是ｕｓｅｒ，如图２－１０３所示。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议【相关知识】１.ＴＣＰ协议ＴＣＰ是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（ＴｒａｎｓｐｏｒｔＬａｙｅｒ）通信协议。与ＵＤＰ不同的是，ＴＣＰ提供了一种面向连接的、可靠的字节流服务。面向连接比较好理解，就是双方在通信前需要预先建立一条连接，这犹如实际生活中的打电话。出于可靠性考虑，ＴＣＰ协议中制定了诸多规则来保障通信链路的可靠性，总结起来，主要有以下几点：①应用数据分割成ＴＣＰ认为最适合发送的数据块。②具有重传机制功能。设置定时器，等待确认包。③对首部和数据进行校验。上一页下一页返回模块２－２基于ＳｎｉｆｆｅｒＰｒｏ分析ＴＣＰ／ＩＰ协议④ＴＣＰ对收到的数据进行排序，然后交给应用层。⑤ＴＣＰ的接收端丢弃重复的数据。⑥ＴＣＰ还提供流量控制（通过每