理解并取证：OSI开放式七层模型

第二章计算机网络基础任务2.4

理解计算机网络的体系结构

计算机网络的体系结构是指通过网络传输数据时，从数据通信源点到通信目标所经历的一种标准框架，该框架定义了网络数据的应用、表达、会话、传输（协议）、寻址，以及网络连接介质的电气属性等。一切用于组织计算机网络的硬件与软件都必须遵守该框架标准。所以，本章将以该框架标准作为核心进行描述，重点演示该框架的取证，以及常用网络协议的安装。任务2.4.1

理解OSI开放式七层模型

在计算机网络产生初期，每个设备厂商都有自己的网络结构体系标准，它们互相兼容会成为一个很困难的问题。为此，国际标准化组织(InternationalStandardOrganization，ISO)委员会在1979年建立了专门研究一种用于开放系统互连的体系结构(OpenSystemsInterconnection，OSI)，只要遵照这个标准体系结构，不同设备厂商的设备都可以相互连接起来。这个标准是网络历史上最重要的里程碑，因为这个标准才有了现在的Internet。OSI模型是一个框架式的模型，通过7个层次化的结构模型使不同系统之间的不同网络实现可靠的通信，帮助不同类型的主机实现数据传递。如图2.29所示为OSI七层模型。图2.29OSI七层模型任务2.4.1物理层（PhysicalLayer）：OSI模型的最低层或叫第一层。物理层产生并检测电压以便发送和接收携带数据的信号。物理层不提供纠错服务，但它能够依据数据传输的速率监测数据的出错率。主要定义了网络线缆的一些电气特性。比如：基于RJ45的连接器、双绞线、V35特性的线缆、集线器都属于物理层。数据链路层（DataLinkLayer）：处于OSI模型中的第二层，提供可靠的信息传输服务及差错控制，处于该层的数据以“帧”的形式体现。帧的构造如图2.30所示，上层数据被封装在帧体中，目的在于可靠地传输数据，在帧的结尾部分有一个CRC（循环冗余校验码），它是数据帧差错控制的一个关键值，其作用是，在数据链路层封装了上层数据后，会对整个数据帧进行CRC校验计算，并将计算机的值附加到数据帧中，然后传递该数据帧，当数据帧到达通信目标时，接收端主机会再次计算CRC的校验值，如果此次计算的值与帧体中附加的值是一样的，就表示数据在传输过程中没有损失，保持了完整性，也是差错控制的重要手段。从技术层面讲，CSMA/CD、二层交换技术都在该层工作；从硬件层面讲，网桥、二层交换机、MAC地址在该层工作。网络层（NetworkLayer）：处于OSI模型中的第三层，提供信源和信宿之间的信息传输服务、网络寻址服务、路由服务、地址翻译服务等。可以形象地理解该层的功能为生活中信件投递与接收过程中在信封上写上寄件人与收件人的地址，目的在于信件可以成功地从寄件人的手里发到收件人的地方。而网络中的数据传输也是这样的，需要为传输的数据标识信源和信宿的地址。IP地址、NAT技术就工作在该层，另外还有路由器、三层交换机等设备也都工作在网络层。任务2.4.1传输层（TransportLayer）：处于OSI模型中的第四层，是OSI模型中最关键的一层。传输层提供端到端的数据交换机制，传输层为OSI模型的高层数据提供可靠的传输服务，并且它会将较大的数据封装分割成小块的数据段，目的在于较大的数据封装在传输过程中容易造成很大的传输延时，如果发生传输失败，数据重传将占用很多的时间，而被分割成较小块的数据段后，可以在很大程度上降低传输延时，即便是重传数据段，所需要的传输延时也很小，这样可以提高传输的效率。被分割成的较小的数据段会在信宿处进行有序的重组，以还原成原始的数据。关于这一点，可参看2.4.2节“联动分析：OSI七层模型传输数据的过程”。TCP、UDP等传输协议都工作在该层。会话层（SessionLayer）：处于OSI模型中的第五层，为用户间建立或拆除会话，该层次的服务可使应用建立和维持会话，并能使会话获得同步。从技术应用层面讲，这个过程一般由通信系统透明完成，用户的可操作性很少。任务2.4.1表达层（PresentationLayer）：处于OSI模型中的第六层，面向应用系统提供信息表示方式，这使得不同表达方式的系统之间可以成功地进行通信。简而言之，就是为不同的通信系统制订一种相互都能理解的通信语言标准，这是因为不同的计算机体系结构使用的数据表示法不同，比如：IBM公司的计算机使用EBCDIC编码，而大部分PC使用的是ASCII码。在这种情况下，便需要表层来完成这种转换。除了制订表示方法以外，表达层还可以规定传输的数据是否需要被加密或者压缩。从技术应用层面讲，这个过程一般由通信系统透明完成，用户的可操作性很少。应用层（ApplicationLayer）：处于OSI模型中的第七层，也是最高层，该层为应用程序提供服务以保证通信，但并不是进行通信的应用程序本身。应用层直接和网络应用服务关联，这是与用户进行交互的一个过程。所谓的网络应用服务就是指HTTP、FTP、DNS等应用层协议。注意：OSI开放式七层模型相关的技术内容相当重要，它是贯穿整个网络技术专业的大动脉，但是由于理论性过强，较为抽象，所以初始理解OSI七层模型时，会有一定的难度，建议首先采取记忆OSI七层模型的定义与作用，然后联动分析OSI七层模型传输数据的过程，最后使用实验取证OSI七层模型的数据来加强对OSI七层模型的理解。任务2.4.2联动分析：OSI七层模型传输数据的过程

如果只理解OSI七层模型的概念，而不是根据OSI模型的框架来掌握数据在网络中的传递过程，就不能完全掌握OSI七层模型的工作原理。所以在了解OSI七层模型的定义后，需要来联动分析OSI七层模型传输数据的过程，如图2.31所示。将通过两台计算机与网络中间件（交换机和路由器）组成的网络实例，描述数据在网络中传输的过程，以及对于OSI七层模型中各个层次的具体工作。图2.31OSI七层模型传输数据的过程背景分析说明：主机A和主机B通过两台交换机和一台路由器组成了一个简单的网络，并且主机A与主机B之间能正常地完成数据通信。那当主机A向主机B发送数据时，根据OSI七层模型的标准，将完成如下所述的传输行为。任务2.4.2网络数据传输的封装行为：1、当主机A发送数据给主机B时，首先数据需经过网络操作系统或者网络软件所提供的网络服务接口，进入应用层，并将相关的应用层标识为原始数据封装应用层的报头，表示该数据是已完成应用层的封装数据，然后传递给表达层。2、表达层接收到应用层传来的封装后，并不关心应用层的数据格式，而是将应用层传来的数据（其中包括应用层报头与原始数据）看成一个整体，使用表达层报头封装数据，然后传递给会话层。3、会话层将表达层传来的数据看成一个整体（其中包括表达层报头与原始数据），使用会话层报头封装数据，然后传递给传输层。4、当传输层收到会话层传来的数据封装后，传输层会使用各种技术来确保数据能可靠地传输到主机B，并且它会将较大的数据封装分割成小块的数据段，目的在于大的数据封装在传输的过程中容易造成很大的传输延时，如果发生传输失败，数据重传将占用很多的时间，而被分割成较小块的数据段后，可以在很大程度上降低传输延时，即便是重传数据分段，所需要的传输延时也很小，这样可以提高传输的效率。被分割成的较小的数据段会在信宿（主机B）处进行有序的重组，以还原成原始的数据。提示：现在的目标是传输层如何判断是否需要将大的数据包分割成小的数据段，以及完成分割后，在信宿（主机B）上如何将分割成的较小数据段进行重组，而不会在重组时发生错误。任务2.4.2传输层如何判断是否需要将大的数据包分割成小的数据段以数据是否大于MTU（最大传输单元）作为判断是否需要将大的数据包分割成小的数据段的依据，如果大于MTU值就需要对数据分段，如果小于或者等于MTU值就不对数据分段。MTU（MaximumTransmissionUnit，最大传输单元）在介质及相关条件满足的情况下，一次传输所能承载的最大数据包大小（以字节为单位）。比如：以太网的MTU值是1500，如果要传输1800大小的数据，传输层就要完成分段，将1800大小的数据分为两次传输，一次传输1500；一次传输300。任务2.4.2这个问题产生在这样一种背景下，在信源（主机A）处被分割成的较小的数据段，可能经过不同的网络路径来进行传输，它们到达信宿（主机B）时可能会因为不同路径的传输延时，造成有些数据段先到达，而有些数据段后到达，那么信宿（主机B）如何知道它们的重组顺序呢？另外一个值得提出的问题是，网络路径上传输的数据种类不止一种，可能会存在多种数据，那么它们被分割后，信宿（主机B）如何从众多数据中识别出某一种特定的数据段，而不至于将多种数据段搞混淆？使用“序列号（SequenceNumber）”确定分段数据的顺序，以确保重组数据段时不至于出现顺序混乱。使用“标识值（identity）”区分不同类型的数据段，相同类型的数据段应该具备相同的标识值，不同类型的数据段的标识值是不同的，所以许多不同类型的数据段到达信宿（主机B）后不会被混淆。关于序列号具体的体现，本书4.3.1节“理解TCP/IP协议的工作原理”中有详细说明与取证实验。在信宿（主机B）上如何将分割成的较小数据段进行重组，而不会在重组时发生错误提示：传输层是OSI七层的核心，建议重点理解与深入分析！任务2.4.25、数据在传输层进行分段，并经过相应的传输技术处理。网络层将接收的传输层数据分段，分别封装源IP地址和目标IP地址，作用在于明确所传递数据的源网络位置和目标网络位置。关于具体如何实施寻址的过程、如何路由的过程，请参看本书第6章“理解并实施路由技术”。6、将从网络层接收的数据封装成数据帧，上层数据被封装在帧体中，目的在于可靠地传输数据，然后进行CRC值的计算。关于CRC值的作用，在“理解OSI开放式七层模型”中有描述，这里不再重复描述。7、通过数模转换技术，将数据转换成可被传递的电气信号。 提示：上述的7个步骤为数据在网络上传递过程中的封装过程，在该过程中，学习者应理解两个重要观点：一、在封装过程中，下层为上层提供进一步的服务；二、上层的原始数据和报头对下层的封装而言都只是数据。 信宿（主机B）接收数据的过程正好与信源（主机A）发送数据的过程相反，其过程如图2.31所示。它需要去除主机A封装内容，从而获取实际的数据，那么在去除封装的过程中，需掌握这样几个关键知识点：信宿（主机B）在去除封装的过程中，必须由底层向高层一层层地去除封装，原因在于下一层是为上一层提供服务的。换而言之，主机A封装过程相当于给数据加密，而主机B去除封装相当于给数据解密。但是每一层都有自己独立的密码，解密时只有保证下一层解密后，才能被紧邻的上一层所识别。这个过程与数据封装的过程完全相反。网络数据传输的去封装行为任务3.4.3演示：取证OSI七层模型传输数据的原理过程

上面的小节通过对OSI七层模型的定义，联动分析了OSI七层模型传输数据的过程，数据通过网络传输时的封装与去封装过程。本小节的核心意义在于通过取证网络上传输的数据帧来证明OSI七层模型的结构与数据封的过程。演示目标：通过实验取证OSI七层模型传输数据的原理过程。演示环境：如图2.32所示为取证OSI七层模型传输数据的环境，执行该取证思路的步骤是，首先在图2.32所示的演示环境中，构建一台DNS服务器或者任意一个被OSI模型的应用层所包括的网络应用服务，然后通过网络协议分析器捕获访问该应用服务的即时数据帧，对照OSI模型的各层来参考其每层的数据，并理解封装的过程。（在本章中，服务器的构建可由教师引导执行，因为学员在此时应不具备构建服务功能的技术能力。）图2.32取证OSI七层模型传输数据实验环境演示工具：任意两台安装有Windows操作系统的计算机、网络协议分析器软件。演示前的提示：教师应做好应用服务器的构建，并在其中的一台计算机上安装协议分析器。这两个技术知识点，学员暂时不用掌握，关于网络协议分析的安装与使用，可参考随书教学光盘中的“网络协议分析器的安装与使用”。任务3.4.3演示步骤：1、由教师完成应用服务的搭建，在该实训环境中使用DNS服务作为应用层的体现，然后安装Sniffer_Pro或者Wireshark网络协议分析器，最后启动协议分析器，开始捕获网络链路上实时通信的数据。注意：必须在计算机A与计算机B进行正式通信前就启动网络数据捕获功能。提示：教师应简单为学员介绍网络协议分析器的功能与作用，但是此时不需要让学员去学会网络协议分析器的实际操作，因为在该部分的教学中，只需要教师去取证数据，呈现给学员，再结合OSI模型的理论进行观察即可。同时学员在此处不用深入研究DNS服务器的构建，