OSI参考模型一

1、OSI参考模型参考模型国际组织n在制定计算机网络标准方面，起着很大作用的两大国际组织是： 国际电报与电话咨询委员会 （Consultative Committee on InternationalTelegraph and Telephone，CCITT ）； 国际标准化组织 （International Standards Organization ，ISO）。nCCITT与ISO的工作领域是不同的： CCITT 主要是考虑通信标准的制定； ISO主要是考虑信息处理与网络体系结构。nOSI参考模型nTCP/IP参考模型nOSI 和TCP/IP的对比n协议栈OSI参考模型nOSI参考模型的必要

2、性nOSI参考模型的层次结构划分nOSI参考模型各层的功能nOSI参考模型七层协同工作n物理地址与逻辑地址的区别应用OSI参考模型的必要性各层间相互独立，某一层的变化不会影响其他层促进标准化工作使网络易于实现和维护分层结构的优点分层结构的优点n在分层结构中，低层服务为高层服务提供服n务，高层服务使用低层服务提供的服务。n分层结构中，对应的分层协同工作，以保证能够成功的完成通信。分层结构的原理分层结构的原理OSI中 的“开放”的含义n 在OSI中 的“开放”是指只要遵循OSI标准，一个系统就可以与位于世界上任何地方、同样遵循同一标准的其他任何系统进行通信.第7层应用层Application第6层

3、 表示层Presentation第5层 会话层Session第4层 传输层Transport第3层 网络层Network第2层 数据链路层Data Link第1层 物理层Physical实质实质CISCOCISCO把上三层统称为：应用层把上三层统称为：应用层 下四层统称为：数据流层下四层统称为：数据流层 OSI参考模型的层次结构划分OSI参考模型各层的功能n通过物理传输比特（bit）流n建立、维护和取消物理连接n主要考虑传输数据所占用的时间、方式、物理连接的建立和终结，接口插件的引脚规格 n建立通信链路和拆除通信链路的过程,这个建立收发数据的关系就叫数据链路.n主要功能：n1、通过对上层协议栈

4、进行标识通知对方数据所使用的协议类型 n2、同时使用接收系统的硬件地址或物理地址来寻址n3、将比特信息加以组织封装成数据帧（Frame）和数据链路的建立n两个子层n媒体访问控制（MAC）：负责在物理层通信n逻辑链路控制（LLC） ：负责逻辑地标识不同协议类型和封装传输n网卡、网桥和交换机n基于网络层地址进行不同网络系统间的路径选择n网络层地址（IP地址）n使用被路由协议（例：IP协议）把数据打包（Packet），添加逻辑地址n差错检验和可能的修复 n可能的数据流量控制n主要功能提供路由n路由器 n在不同物理节点上的应用程序间建立连接传输数据n将数据组织成数据段（Segment）（MTU）n连接

5、类型类型n面向连接(Connection-oriented) n无连接(Connectionless)n用一个寻址机制来标识一个特定的应用程序n传输层地址（即端口号）(房间号)n建立、管理和终止会话n系统的应用层送出的信息可被另一个系统的应用层所读取 n利用一种公用的信息表示格式翻译多种信息n数据表示、数据安全、数据压缩n应用层n网络服务与使用者应用程序间的一个接口OSI参考模型七层协同工作发送方数据的封装过程接收方数据的拆除过程物理地址与逻辑地址的区别n 物理地址：网络设备的真实的物理地址。网络的技术和标准不同，地 址编码也不同，以太网物理地址用48位的二进制编码，转化为十六进制为12位。例

6、如：00-10-5A-63-AA-98。物理地址也叫MAC地址。对于跨网络的数据传输，物理地址不能提供逻辑的标示手段。n 逻辑地址：数据需要跨越网段的时候，需要使用逻辑地址表示远程的目的地的逻辑位置。逻辑地址有很多种，IP地址是最常用的，IP地址用32位的二进制来表示，它可以在设备上灵活的更改删除。nTCP/IP概述nTCP/IP与OSI的对应nTCP/IP参考模型的各层nTCP数据分析nTCP/IP参考模型的各层TCP/IP概述nTCP/IP（Transmission Control Protocol/Internet Protocol）:诞生于上世纪七十年代，后来被集成于UNIX中，80年

7、代被推广，成为Internet的通信协议。nTCP/IP是以OSI参考模型为框架开发，是一种分层协议nTCP/IP不是一个单一的协议，而是一组协议的集合，称为TCP/IP协议族，其中每种协议负责网络传输中的一部分服务。TCP/IP与OSI的对应第1层：网络接口层(Network Interface)n网络接口层对应OSI物理层和数据链路层并实现与它们相同的功能，其中包括LAN和WAN的技术细节。这一层也称为主机到网络层(Host-to-Network)。该层定义了许多网络标准：以太网、FDDI、ATM和令牌环网。第2层：互联网络层(internet)n 互联网络层的目的是运送数据包，将数据从任

8、何在相连的网络上送到目的地，而不在乎走的是哪个路径或网络。管理这层的特定协议称为互联网络协议(IP)。最佳的路径选定和数据包交换都发生在这层。第3层：传输层(Transport)n传输层负责处理有关服务质量等事项，如可靠度、流量控制和错误校正。该层可以提供不同服务质量、不同可靠性保证的传输服务，并且协议发送端和目标端的传输速度差异。这一层也称为主机到主机层(Host-to-Host)。 4 4层：应用层层：应用层(Application)(Application)应用层包括会话层和表示层的功能，用来建立应用层来处理高层协议、有关表达、编码和会话控制。TCP/IP将所有应用程序相关的内容都归为一

9、层，并保证为下层适当的将数据封装成数据包TCP工作原理n1、TCP数据结构n源端口、目的端口：16位长。标识出远端和本地的端口号。 n顺序号：32位长。表明了发送的数据报的顺序。 n确认号：32位长。希望收到的下一个数据报的序列号。 nTCP头长：4位长。表明TCP头中包含多少个32位字。 n接下来的6位未用： nSYN：用于建立连接,让连接双方同步序列号 nACK：ACK位置1表明确认号是合法的。如果ACK为0，那么数据报不包含确认信息，确认字段被省略。 nRST：用于复位由于主机崩溃或其它原因而出现的错误的连接。还可以用于拒绝非法的数据报或拒绝连接请求。 nPSH：表示是带有PUSH标志的

10、数据。接收方因此请求数据报一到便可送往应用程序而不必等到缓冲区装满时才传送。 nFIN：用于释放连接。 nURG: 紧急的数据段,需要加快处理，优先处理该数据。n合法组合：1、all 2、SYN ACK FIN n违法： ACK FIN 及缺少SYN的任意组合2、TCP数据结构分析（1）3、TCP数据结构分析（2）n窗口大小：16位长。窗口大小字段表示在确认了字节之后还可以发送多少个字节。 n校验和：16位长。是为了确保高可靠性而设置的。它校验头部、数据和伪TCP头部之和。 n可选项：0个或多个32位字。包括最大TCP载荷，窗口比例、选择重发数据报等选项。 n最大TCP载荷：允许每台主机设定其

11、能够接受的最大的TCP载荷能力。在建立连接期间，双方均声明其最大载荷能力，并选取其中较小的作为标准。如果一台主机未使用该选项，那么其载荷能力缺省设置为536字节。 n窗口比例：允许发送方和接收方商定一个合适的窗口比例因子。这一因子使滑动窗口最大能够达到232字节。 n选择重发数据报：这个选项允许接收方请求发送指定的一个或多个数据报。 4、TCP三次握手Three-way Handshaken在TCP中建立连接采用三次握手的方法。为了建立连接，其中一方，如服务器，通过执行LISTEN和ACCEPT原语被动地等待一个到达的连接请求。n另一方，如客户方，执行CONNECT原语，同时要指明它想连接到的

12、IP地址和端口号，设置它能够接受的TCP数据报的最大值，以及一些可选的用户数据。CONNECT原语发送一个SYN=1，ACK=0的数据报到目的端，并等待对方响应。 Netstat a第一步是请求端（客户端）发送一个包含SYN即同步（Synchronize）标志的TCP报文，SYN同步报文会指明客户端使用的端口以及TCP连接的初始序号； 第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgement）。 第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接

13、完成。 然后才开始通信的第二步：数据处理。TCP是面向连接的，所谓面向连接，就是当计算机双方通信时必需先建立连接，然后数据传送，最后拆除连接三个过程 TCP三次握手说明服服务务器器客客户户端端以FTP服务为例C端由1038端口向S端21端口发起一个带有SYN标志的连接请求，初始序列号SEQ1791872318。从21端口向FTP客户端的1038端口返回一个同时带有SYN标志和ACK标志的应答包，ACK应答序列号SESYN请求序列号SEQ3880988084。 向FTP服务器返回一个包含ACK标志的应答包，应答序列号SEQ38809880841。 SYN Flood攻击

14、 假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况

15、还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。什么是协议栈n在网络中，为了完成通信，必须使用多层上的多种协议。这些协议按照层次顺序组合在一起，构成了协议栈(Protocol Stack)，也称为协议族(Protocol Suite)。常用的协议栈 TCP/IP、IPX/

16、SPX、AppleTalkn1、数据链路层n 不是TCP/IP协议的一部分，但它是TCP/IP赖以存在的各种通信网和TCP/IP之间的接口，这些通信网包括多种广域网如ATM、X.25公用数据网，以及各种局域网，如Ethernet、IEEE的各种标准局域网等。IP层提供了专门的功能，解决与各种网络物理地址的转换。 2、网络层n网络层含中有四个重要的协议：互连网协议IP、互连网控制报文协议ICMP、地址转换协议ARP和反向地址转换协议RARP。n1、互连网控制报文协议ICMP （ Internet Control Message Protocol” Internet控制消息协议）：从IP互连网协议

17、的功能，可以知道IP提供的是一种不可靠的无连接报文分组传送服务。若路由器或主机故障使网络阻塞，就需要通知发送主机采取相应措施。为了使互连网能报告差错，或提供有关意外情况的信息，在IP层加入了一类特殊用途的报文机制，即互连网控制报文协议ICMP。n nICMP的重要性n ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64

18、KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。n此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。n防止方法1、路由器建立访问控制列表或限制带宽n 2、防火墙 3、IP安全策略n3.地址转换协议ARP ：在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互连网地址是在国际范围标识主机的一种逻辑地址。为了让报文在物理网上传送，必须知道彼此的物理地址。这样就存在把互连网地址变换为物理地址的地址转换问题。以以太网(Ethernet)环

19、境为例，为了正确地向目的站传送报文，必须把目的站的32位IP地址转换成48位以太网目的地址DA。这就需要在网络层有一组服务将IP地址转换为相应物理网络地址，这组协议即是ARP。4.反向地址转换协议RARP：反向地址转换协议用于一种特殊情况，如果站点初始化以后，只有自己的物理地址而没有IP地址，则它可以通过RARP协议，发出广播请求，征求自己的IP地址，而RARP服务器则负责回答。这样，无IP地址的站点可以通过RARP协议取得自己的IP地址，这个地址在下一次系统重新开始以前都有效，不用连续广播请求3、TCP/IP 的运输层n TCP/IP 在这一层提供了两个主要的协议：传输控制协议(TCP)和用

20、户数据协议(UDP)，另外还有一些别的协议，例如用于传送数字化语音的NVP协议。 n1.传输控制协议 TCP提供的是一种可靠的数据流服务。当传送受差错干扰的数据，或基础网络故障，或网络负荷太重而使网际基本传输系统(无连接报文递交系统)不能正常工作时，就需要通过其它协议来保证通信的可靠。TCP就是这样的协议，它对应于OSI模型的运输层，它在IP协议的基础上，提供端到端的面向连接的可靠传输。TCP连接的建立采用三次握手的过程，整个过程由发送方请求建立连接、接收方确认、发送方再发送一则关于确认的确认三个过程组成。 n2.用户数据报协议 UDPn用户数据报协议UDP是对IP协议组的扩充，它增加了一种机制，发送方使用这种机制可以区分一台计算机上的多个接收者。每个UDP报文除了包含某用户进程发送数据外，还有报文目的端口的编号和报文源端口的编号，从而使UDP的这种扩充，使得在两个用户进程之间的递送数据报成为可能。nUDP是依靠IP协议来传送报