TCPIP详解小组学习(9-16)

1、TCP/IP详解详解路由、多播、路由、多播、DNS、TFTP、BOOTPName：pengzhang Data：2011.04.12路由v选路v动态选路协议Hillstone Confidential路由-选路Hillstone Confidentialv U表明该路由可用。v G表明该路由是到一个网关。如果没有这个标志，说明目的地是直连的，而相应的Gateway应该直接给出Destination的地址。v H表明该路由是到一个主机，如果没有该标志，说明Destination是一个网络，换句话说Destination就应该写成一个网络号和子网号的组合，而不包括主机号(主机号码处为0)，例如 1

2、v D表明该路由是为重定向报文创建的v M该路由已经被重定向报文修改v注：refcnt（Reference count）列给出的是正在使用路由的活动进程个数 use显示的是通过该路由发送的分组数路由-选路Hillstone Confidential选路机制v搜索匹配的主机地址，Hv搜索匹配的网络地址，Gv搜索默认表项一般来说我们配置好一个网络接口的时候一个路由就被创建好了，也可以用route add命令手动添加路由表项路由-选路Hillstone Confidentialv主机产生的报文：返回差错、主机不可达或者网络不可达差错v转发报文：主机不可达差错ICMP主机或网络不

3、可达路由-选路v当IP数据报应该被发送到另一个路由器时，收到数据报的路由器（检测到它正在发送的接口与数据报到达的接口是相同的）就要发送ICMP重定向差错报文给IP数据报的发送端Hillstone ConfidentialICMP重定向续Hillstone Confidentialv重定向报文只能由路由器发出。v重定向报文为主机所用，而不是为路由器所用。路由-选路Hillstone ConfidentialICMP路由器发现报文v主机：在引导以后要广播或多播一份路由器请求报文，三秒一次，收到有效的通告报文后停止发送v路由器：随机广播或多播通告报文；监听来自主机的请求报文（十分钟一次，TTL三十分

4、钟）续v注：地址项长度始终为2；优先级越大越高Hillstone Confidential路由-动态选路协议Hillstone Confidentialv Internet是以一组自治系统(AS，Autonomous System)的方式组织的，每个自治系统通常由单个实体管理。常常将一个公司或大学校园定义为一个自治系统。NSFNET的Internet骨干网形成一个自治系统，这是因为骨干网中的所有路由器都在单个的管理控制之下。v 每个自治系统可以选择该自治系统中各个路由器之间的选路协议。这种协议我们称之为内部网关协议I G P（Interior Gateway Protocol）或域内选路协议（

5、intradomain routing protocol）。路由-动态选路协议Hillstone Confidentialv 最常用的IGP是选路信息协议RIP。一种新的IGP是开放最短路径优先OSPF(Open Shortest Path First)协议。它意在取代RIP。另一种1986年在原来NSFNET骨干网上使用的较早的IGP协议HELLO，现在已经不用了。v 外部网关协议EGP(Exterier Gateway Protocol)或域内选路协议的分隔选路协议用于不同自治系统之间的路由器。改进的EGP有着一个与它名称相同的协议： EGP 。新EGP是当前在NSFNET骨干网和一些连接

6、到骨干网的区域性网络上使用的是边界网关协议BGP（Border Gateway Protocol）。BGP意在取代EGP。路由-动态选路协议-RIPvRIP协议是V-D路由算法的一个实际应用的例子。RIP协议最初是由施乐公司的帕洛阿托研究中心PARC在70年代设计的，在此基础上，PARC和加州大学共同开发了routed程序，该程序使用RIP协议并与4BSD Unix系统一起推出。 v每隔3 0秒钟广播一次路由更新。vRIP使用的衡量不同路由的价值的度量值是“跳步数”，跳步数16意味着不可达。Hillstone Confidential路由-动态选路协议-RIPHillstone Confide

7、ntial路由-动态选路协议-RIPHillstone Confidential路由-动态选路协议-RIPv为什么路由数不能超过24个？Hillstone Confidential路由-动态选路协议-RIPv命令字段：1请求 2应答 5轮询 6轮询表项v版本字段：1或2v路由域：选路守护进程的标识符路由域：选路守护进程的标识符v选路标记：支持外部网关协议，携带自治系统号选路标记：支持外部网关协议，携带自治系统号v路由数：20 X 25 + 4 = 504 动态选路协议-RIPv更新定时器：更新报文每隔多少秒发送一次，缺省值是30秒。v失效定时器：经过多少时间之后某条路由将被认为是无效的，缺省值

8、为180秒。当路由器经过1 80秒（6个更新周期）后仍然没有收到关于某条路由的更新报文，那么路由器将这条路由在路由表中标记为无效路由。v删除定时器：要将一条路由从路由表中删除必须经过的时间，缺省值是270秒。Hillstone Confidential路由-动态选路协议-RIPv思考：如何实现慢收敛？Hillstone Confidential路由-动态选路协议-RIPv 水平分割：当路由器从某个网络接口发送RIP路由更新报文时，其中不能包含从该接口获得的路由信息v 毒性逆转法：某路径崩溃后，最早广播此路径的路由器将原路由继续保存在若干更新报文中，但是指明其距离为无限大。v 触发更新技术：即一

9、旦路由器检测到网络故障，立即发送路由更新报文，而不必等待下一个更新周期。 。Hillstone Confidential路由-动态选路协议-RIPvRIP1是一个有类路由协议，即所有的更新包中不含子网掩码，不支持VLSM， RIP2是一个无类的路由协议。vRIP1是发送更新使用的是广播包，RIP2默认使用的是组播，也支持广播vRIP2支持明文或者是 MD5验证vRIP1没有手工汇总的功能，RIP2可以在关闭自动汇总的前提下，进行手工汇总Hillstone ConfidentialRIP1&RIP2路由-动态选路协议-RIPvRIP1没有子网的概念v收敛速度慢v交换信息

10、量大，带宽负担重v跳数15，限制了网络规模Hillstone ConfidentialRIP的问题路由-动态选路协议-OSPFv OSPF：(Open Shortest Path First开放式最短路径优先) 目前Internet广域网和Intranet企业网采用最多、应用最广泛的路由协议之一,链路状态协议，直接使用IP，Protocol（89）。v 在一个链路状态协议中，路由器并不与其邻站交换距离信息。它采用的是每个路由器主动地测试与其邻站相连链路的状态，将这些信息发送给它的其他邻站，而邻站将这些信息在自治系统中传播出去。每个路由器接收这些链路状态信息，并建立起完整的路由表。Hillsto

11、ne Confidential路由-动态选路协议-OSPF报文类型报文类型（1）Hello报文：周期发送，用来建立和维持邻居关系。（2）数据库描述（database description）：描述拓扑数据库内容，当邻居关系确定时发送。（3）链路状态请求LSR（Link State Request）：请求邻居发送链路状态报文。当一个路由器发现它的拓扑数据库部分内容过时，发送该类报文。（4）链路状态更新LSU（Link State Update）：链路状态更新用于发送链路状态通告LSA（Link State Advertisement），同时也是对链路状态请求LSR的响应。（5）链路状态确认LSA

12、ck（Link State cknowledgment）：用于确保链路状态报文可靠地扩散。Hillstone Confidential路由-动态选路协议-OSPFHillstone Confidential路由-动态选路协议Hillstone ConfidentialRIP&OSPFRIPOSPF受物理跳数的限制 不受物理跳数的限制 不支持 VLSM支持VLSM 收敛较慢 收敛较快平面网络多层次网络支持路由验证 负载分担 路由-动态选路协议v参考资料：vhttp:/ 英文ppt介绍RIP OSPF BGP CIDRvhttp:/ 路由算法介绍vhttp:/ 路由及路由算法介绍Hills

13、tone Confidential多播v多播简介vIGMP协议v二层组播协议Hillstone Confidential多播-简介v 广播广播(unicast):主机针对某一个网络上的所有主机发送数据包。这个网络可能是网络，可能是子网，还可能是所有的子网。如果是网络，例如A类网址的广播就是 netid.255.255.255，子网id.subnetid.255；如果是所有的子网（B类IP）则是则是 id.255.255。广播所用的MAC地址FF-FF-FF-FF-FF-FF。网络内所有的主机都会收到这个广播数据，网卡只要把 MAC地址为FF-FF-FF-FF-FF-FF的数据交给内核就可以了。

14、v 受限的广播：55v 指向网络的广播：主机号全为1v 指向子网的广播：主机号全为1且有确定子网号v 指向所有子网的广播：子网号和主机号全Hillstone Confidential多播-简介v 多播多播(multicast):可以说广播是多播的特例，多播就是给一组特定的主机（多播组）发送数据，这样，数据的播发范围会小一些，多播的 MAC地址是最高字节的低位为一，例 如01-00-00-00-00-00。多播组的地址是D类IP，规定是-55。v 服务：向多个目的提供服务；客户对服务器的请求v ：该子网内的所

15、有系统组v ：该子网内的所有路由器组v ：用作网络时间协议NTPv ：RIP2v ：用作SGI公司的dogfight应用Hillstone Confidential多播-简介Hillstone Confidentialv多播地址到以太网地址转换vI P多播相对应的以太网地址范围从01 : 00: 5e : 00 : 00 : 00到01 : 00 : 5e : 7f : ff : ff。多播-IGMPHillstone ConfidentialvInternet 组管理协议（IGMP）是因特网协议家族中的一个组播协议，运行

16、于主机和与主机直接相连的组播路由器之间，主机通过此协议告诉本地路由器希望加入并接受某个特定组播组的信息，同时路由器通过此协议周期性地查询局域网内某个已知组的成员是否处于活动状态（即该网段是否仍有属于某个组播组的成员），实现所连网络组成员关系的收集与维护。IGMP 具有三种版本，即 IGMP v1（RFC1112）、IGMPv2（RFC2236） 和 IGMPv3（RFC3376）：多播-IGMPHillstone ConfidentialvIGMPv1： 主机可以加入组播组。没有离开信息（leave messages）。路由器使用基于超时的机制去发现其成员不关注的组。 vIGMPv2： 该协议

17、包含了离开信息，允许迅速向路由协议报告组成员终止情况，这对高带宽组播组或易变型组播组成员而言是非常重要的。vIGMPv3： 与以上两种协议相比，该协议的主要改动为：允许主机指定它要接收通信流量的主机对象。来自网络中其它主机的流量是被隔离的。IGMPv3 也支持主机阻止那些来自于非要求的主机发送的网络数据包。多播-IGMPHillstone Confidentialv 版本字段（4bits）：表示IGMP协议的版本号,在GMPv1中置为1。v 类型字段（4bits）：表示报文的类型。在 IGMPv1 中, 该字段只有两个值: 取值为 1, 即表示该报文为成员关系查询( Membership Qu

18、ery，60秒查询一次) ,主要是路由器使用;取值为 2, 即表示该报文为成员关系报告( Membership Report) , 主要是主机使用。v 校验和字段（16bits）：用于数据报文的校验，检验和的计算和ICMP协议相同。v 组地址字段：当用于成员关系查询时,本字段置为0,并被主机忽略;当用于成员关系报告时,本字段包含组播组地址。多播-IGMPHillstone Confidentialv 类型字段（8bits）：v 1.0 x11: 成员关系查询v 与v1 不同,v2 的查询分为两种类型: 通用查询( General Query) , 组地址字段置为全 0, 对所有的组进行组成员查

19、询;特定组查询( Group-specific Query) , 针对特定组进行组成员查询,组地址字段置为特定组的地址。v 2.0 x12: IGMPv1 成员关系报告( 为了向后兼容 v1)v 3.0 x16: IGMPv2 成员关系报告v 4.0 x17: 离开组多播-IGMPHillstone Confidentialv最大响应时间字段（8bits）：只有在成员关系查询报文中有效, 主机必须在最大响应时间到达之前发出成员关系报告报文。通过该值,路由器可以调节组成员的离开延迟。以1/10秒为单位，缺省等于10秒。v校验和字段（16bits）：与 v1 中的一样。v组地址地段（32bits）

20、：与 v1 中的基本一样, 当采用特定组查询时, 该字段存放要查询的组播组的地址。多播-IGMPv3-Hillstone Confidentialv S字段（1bit）：置为 1 时, 其他路由器不对该报文进行处理。v QRV 字段（3bits）：查询路由器的健壮值( Queriers Robustness Variable) ,该值影响计时器和重试次数的取值。v QQIC 字段（8bits）：查询路由器的查询间隔码( Queriers Query Interval Code) , 该值影响查询路由器的查询间隔时间, 非查询路由器按照此值更新自己的缺省值。v 源地址数目字段（16bits）：该

21、值代表在这个报文中包含了多少个源地址多播-IGMPv3-Hillstone Confidentialv 类型字段（8bits）：置为 0 x22,表示该报文为 IGMPv3 报告报文。v 组记录数目字段（16bits）：表示此报文中包含的组记录数目。v 组记录字段：包含若干个组记录,每个组记录长度不固定。多播-IGMPv3-Hillstone Confidentialv 组记录类型字段（8bits）:v 辅助数据长度字段（8bits）：v 源地址数目字段（8bits）：表示该记录中包含了多少个组播源地址v 组地址字段（32bits）：与源地址共同表示源特定组播。v 源地址字段：每个长度为 32

22、bits。标志源地址, 数目由源地址数目字段表示。v 辅助数据字段：为将来的应用预留, 在 IGMPv3 中并不需要。多播-IGMPv3-Hillstone Confidential组记录类型字段（组记录类型字段（8bits）v MODE_IS_INCLUDE：表示该主机的过滤模式为 INCLUDE,也就是说,后面列出的地址都是主机想要接收的组播源地址。v MODE_IS_EXCLUDE。表示该主机的过滤模式为 EXCLUDE,也就是说,后面列出的地址都是主机想要拒绝的组播源地址。v CHANGE_TO_INCLUDE_MODE。表示该主机的过滤模式从 EXCLUDE切换为 INCLUDE模式

23、。v CHANGE_TO_EXCLUDE_MODE。表示该主机的过滤模式从 INCLUDE切换为 EXCLUDE模式。v ALLOW_NEW_SOURCES。表示该主机中新增的想要接收的源地址。v BLOCK_OLD_SOURCES。表示从该主机中删除的不想接收的源地址。多播-二层组播协议Hillstone ConfidentialvIGMP Snoopingv vIGMP ProxyvCGMP/GMRP多播Hillstone Confidentialv参考资料v http:/ 详细介绍ICMP协议及实现v http:/ ICMP介绍v 0hsftppengzhangtcp

24、ip华为IGMP.ppt华为IGMP.ppt 华为IGMP培训PPTDNS-简介Hillstone ConfidentialvDNS（Domain Name System）DNS-简介Hillstone ConfidentialDNS-简介Hillstone ConfidentialvID 请求客户端设置的16位标示vQR 请求（0）还是应答（1）vOPCODE 设置查询的种类， 0 标准查询 (QUERY) 1反向查询 (IQUERY) vAA 授权应答(Authoritative Answer) vTC 截断(TrunCation) vRD 期望递归(Recursion Desired)

25、vRA 支持递归(Recursion Available)DNS-简介Hillstone ConfidentialvRCODE 应答码(Response code) 0 没有错误。 1报文格式错误(Format error) 2服务器失败(Server failure) 3名字错误(Name Error) 4没有实现(Not Implemented) 5拒绝(Refused)vQDCOUNT 问题记录数，ANCOUNT 回答记录数，NSCOUNT 授权记录数，ARCOUNT 附加记录数。DNS-简介Hillstone ConfidentialDNS-简介Hillstone Confidenti

26、alDNS-简介Hillstone Confidential用用UDP还是还是TCPvDNS服务器支持TCP和UDP两种协议的查询方式，而且端口都是53。而大多数的查询都是UDP查询的，一般需要TCP查询的有两种情况：v1、当查询数据多大以至于产生了数据截断(TC标志为1)，这时，需要利用TCP的分片能力来进行数据传输（看TCP的相关章节）。v2、当主（master）服务器和辅（slave）服务器之间通信，辅服务器要拿到主服务器的zone信息的时候。DNS-简介Hillstone Confidentialv思考：DNS攻击有哪些？DNS-简介Hillstone Confidentialv利用D

27、NS服务器进行DDOS攻击vDNS缓存感染vDNS信息劫持vARP欺骗v本机劫持DNS-简介Hillstone ConfidentialStoneOS中中DNS功能功能vPROXY：接口下开启，转发查询vBLOCK UNBLOCK：设备报文vREGISTER:Address bookv参考资料：http:/ dns域名解析TFTP-UDPHillstone Confidentialv端口号表示发送进程和接收进程。端口号表示发送进程和接收进程。v长度长度UDP数据报的长度为多少字节数据报的长度为多少字节v校验和校验和防止防止UDP数据报在传输中出错数据报在传输中出错源端口 (16)目的端口 (1

28、6)长度 (16)数据(可变长)1位位 0 1516 31校验和 (16)8字节字节TFTP-UDPHillstone ConfidentialTFTP-UDP-计算检验和Hillstone Confidential10011001 00010011 153.1900001000 01101000 8.10410101011 00000011 171.300001110 00001011 14.1100000000 00010001 0 和 1700000000 00001111 1500000100 00111111 108700000000 00001101 1300000000 0000

29、1111 1500000000 00000000 0（检验和）01010100 01000101 数据01010011 01010100 数据01001001 01001110 数据01000111 00000000 数据和 0（填充）10010110 11101101 求和得出的结果01101001 00010010 检验和 04112 字节伪首部8 字节UDP 首部7 字节数据填充二进制求和求反码全 0 17 15 1087 13 15 全 0数据 数据 数据 数据数据 数据 数据 全 0TFTP-UDPHillstone Confidential最

30、大UDP数据报长度v理论上，IP数据报的最大长度是65535字节，这是由IP首部16比特总长度字段所限制的。v去除20字节的IP首部和8个字节的UDP首部， UDP数据报中用户数据的最长长度为65507字节。TFTP-简介Hillstone ConfidentialvTFTP（Trivial File Transfer Protocol,简单文件传输协议）是TCP/IP协议族中的一个用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。端口号为69。它只能从文件服务器上获得或写入文件，不能列出目录，不进行认证，它传输8位数据。传输中有三种模式：netascii，这

31、是8位的ASCII码形式，另一种是octet，这是8位源数据类型；最后一种mail已经不再支持，它将返回的数据直接返回给用户而不是保存为文件。TFTP-简介Hillstone ConfidentialvTFTP连接过程：参见抓包TFTP-简介Hillstone Confidentialv参考资料v /doc/rfc1350/?include_text=1 TFTP FRC 1350 v http:/ TFTP介绍 v http:/ v http:/ UDP协议介绍BOOTPHillstone Confidentialv“操作码”字段为1表示请

32、求，为2表示应答。硬件类型字段为1表示10 Mb/s的以太网，和A R P请求或应答中同名字段表示的含义相同。以太网，硬件地址长度字段为6字节。v“跳数”字段由客户设置为0，但也能被一个代理服务器设置“v“事务标识”字段是一个由客户设置并由服务器返回的32 bit整数。客户用它对请求和应答进行匹配。对每个请求，客户应该将该字段设置为一个随机数。客户开始进行引导时，将“秒数”字段设置为一个时间值。服务器能够看到这个时间值，备用服务器在等待时间超过这个时间值后才会响应客户的请求，这意味着主服务器没有启动。BOOTPHillstone Confidentialv 如果该客户已经知道自身的IP地址，它

33、将写入“客户IP地址”字段。否则，它将该字段设置为0。对于后面这种情况，服务器用该客户的IP地址写入“你的IP地址”字段。“服务器IP地址”字段则由服务器填写。如果使用了某个代理服务器，则该代理服务器就填写“网关IP地址”字段。v 客户必须设置它的“客户硬件地址”字段。尽管这个值与以太网数据帧头中的值相同，UDP数据报中也设置这个字段，但任何接收这个数据报的用户进程能很容易地获得它（例如一个BOOTP 服务器）。一个进程通过查看UDP数据报来确定以太网帧首部中的该字段通常是很困难的（或者说是不可能的）。v “服务器主机名”字段是一个空值终止串，由服务器填写。服务器还将在“引导文件名字段”填入包括用于系统引导的文件名及其所在位置的路径全名。v “特定厂商区域”字段用于对BOOTP进行不同的扩展。BOOTPHillst