【精品文档】网络工程师（软考）复习资料二

1、.：.；网络知识综合篇壹.网络根底知识一.计算机网络的分类1. 按照网络的分布范围分类a. 局域网LAN(Local Area Network)局域网是将小区域内的各种通讯设备互连在一同的网络，其分布范围局限在一个办公室、一幢大楼或一个校园内，用于衔接个人计算机、任务站和各类外围设备以实现资源共享和信息交换。它的特点是分布间隔 近(通常在1000m到2000m范围内)，传输速度高(普通为1Mbps到20Mbps)，衔接费用低，数据传输可靠，误码率低等。b. 广域网WAN(Wide Area Network)广域网也称远程网，它的联网设备分布范围广，普通从数公里到数百至数千公里。因此网络所涉及的

2、范围可以是市、地域、省、国家，乃至世界范围。由于它的这一特点使得单独建造一个广域网是极其昂贵和不现实的，所以，经常借用传统的公共传输(电报、)网来实现。此外，由于传输间隔 远，又依托传统的公共传输网，所以错误率较高。c. 城域网MAN(Metropolitan Area Network)城域网的分布范围介于局域网和广域网之间，其目的是在一个较大的地理区域内提供数据、声音和图像的传输。2.网络的交换方式分类a. 电路交换网电路交换方式是在用户开场通讯前，先恳求建立一条从发送端到接纳端的物理信道，并且在双方通讯期间一直占用该信道。此方式类似于传统的交换方式。b. 报文交换网报文交换方式是把要发送的

3、数据及目的地址包含在一个完好的报文内，报文的长度不受限制。报文交换采用存储-转发原理，每个中间节点要为途径的报文选择适当的途径，使其能最终到达目的端。此方式类似于古代的邮政通讯，邮件由途中的驿站逐个存储转发一样。c. 分组交换网分组交换方式是在通讯前，发送端先把要发送的数据划分为一个个等长的单位(即分组)，这些分组逐个由各中间节点采用存储-转发方式进展传输，最终到达目的端。由于分组长度有限，可以比报文更加方便的在中间节点机的内存中进展存储处置，其转发速度大大提高。除了以上二种分类方法外，还可按采用的传输媒体分为双绞线网、同轴电缆网、光纤网、无线网;按网络传输技术可分为广播式网络和点到点式网络;

4、按所采用的拓扑构造将计算机网络分为星形网、总线网、环形网、树形网和网形网;按信道的带宽分为窄带网和宽带网;按不同的用途分为科研网、教育网、商业网、企业网等。二.计算机网络的拓扑构造网络拓扑构造是指抛开网络电缆的物理衔接来讨论网络系统的衔接方式，是指网络电缆构成的几何外形，它能从逻辑上表示出网络效力器、任务站的网络配置和相互之间的衔接。网络拓扑构造按外形可分为：星型、环型、总线型、树型及总线/星型及网状拓扑构造。1.星型拓扑构造：星型规划是以中央结点为中心与各结点衔接而组成的，各结点与中央结点经过点与点方式衔接，中央结点执行集中式通讯控制战略，因此中央结点相当复杂，负担也重。以星型拓扑构造组网，

5、其中任何两个站点要进展通讯都要经过中央结点控制。中央结点主要功能有：*为需求通讯的设备建立物理衔接;*为两台设备通讯过程中维持这一通路;*在完成通讯或不胜利时,撤除通道。在文件效力器/任务站(File Servers/Workstation )局域网方式中，中心点为文件效力器，存放共享资源。由于这种拓扑构造，中心点与多台任务站相连,为便于集中连线，目前多采用集线器(HUB)。星型拓扑构造优点：网络构造简单,便于管理、集中控制, 组网容易，网络延迟时间短，误码率低。缺陷：网络共享才干较差，通讯线路利用率不高，中央节点负担过重，容易成为网络的瓶颈，一旦出现缺点那么全网瘫痪。2.环型拓扑构造环形网中

6、各结点经过环路接口连在一条首尾相连的闭合环形通讯线路中，环路上任何结点均可以恳求发送信息。恳求一旦被同意，便可以向环路发送信息。环形网中的数据可以是单向也可是双向传输。由于环线公用，一个结点发出的信息必需穿越环中一切的环路接口，信息流中目的地址与环上某结点地址相符时，信息被该结点的环路接口所接纳，而后信息继续流向下一环路接口，不断流回到发送该信息的环路接口结点为止。环形网的优点：信息在网络中沿固定方向流动，两个结点间仅有独一的通路，大大简化了途径选择的控制;某个结点发生缺点时，可以自动旁路，可靠性较高。缺陷：由于信息是串行穿过多个结点环路接口，当结点过多时，影响传输效率，使网络呼应时间变长;由

7、于环路封锁故扩展不方便。3.总线拓扑构造用一条称为总线的中央主电缆，将相互之间以线性方式衔接的工站衔接起来的规划方式，称为总线形拓扑。在总线构造中，一切网上微机都经过相应的硬件接口直接连在总线上， 任何一个结点的信息都可以沿着总线向两个方向传输分散，并且能被总线中任何一个结点所接纳。由于其信息向周围传播，类似于广播电台，故总线网络也被称为广播式网络。总线有一定的负载才干，因此，总线长度有一定限制，一条总线也只能衔接一定数量的结点。总线规划的特点：构造简单灵敏，非常便于扩展;可靠性高，网络呼应速度快;设备量少、价钱低、安装运用方便;共享资源才干强，非常便于广播式任务，即一个结点发送一切结点都可接

8、纳。在总线两端衔接的器件称为端结器(末端阻抗匹配器、或终止器)。主要与总线进展阻抗匹配，最大限制吸收传送端部的能量，防止信号反射回总线产生不用要的干扰。总线形网络构造是目前运用最广泛的构造，也是最传统的一种主流网络构造，适宜于信息管理系统、办公自动化系统领域的运用。4.树型拓扑构造树形构造是总线型构造的扩展，它是在总线网上加上分支构成的，其传输介质可有多条分支，但不构成闭合回路，树形网是一种分层网，其构造可以对称，联络固定，具有一定容错才干，普通一个分支和结点的缺点不影响另一分支结点的任务，任何一个结点送出的信息都可以传遍整个传输介质，也是广播式网络。普通树形网上的链路相对具有一定的公用性，无

9、须对原网做任何改动就可以扩展任务站。5.总线/星型拓扑构造用一条或多条总线把多组设备衔接起来，相连的每组设备呈星型分布。采用这种拓扑构造，用户很容易配置和重新配置网络设备。总线采用同轴电缆，星型配置可采用双绞线。6.网状拓扑构造将多个子网或多个局域网衔接起来构成网际拓扑构造。在一个子网中,集线器、中继器将多个设备衔接起来，而桥接器、路由器及网关那么将子网衔接起来。根据组网硬件不同,主要有三种网际拓扑：a.网状网：在一个大的区域内，用无线电通讯连路衔接一个大型网络时，网状网是最好的拓扑构造。经过路由器与路由器相连，可让网络选择一条最快的途径传送数据。b.主干网：经过桥接器与路由器把不同的子网或L

10、AN衔接起来构成单个总线或环型拓扑构造，这种网通常采用光纤做主干线。c.星状相连网：利用一些叫做超级集线器的设备将网络衔接起来，由于星型构造的特点，网络中任一处的缺点都可容易查找并修复。应该指出,在实践组网中,为了符合不同的要求，拓扑构造不一定是单一的,往往都是几种构造的混用。三.OSI参考模型1, 物理层(physical layer)(1)主要作用:实现相邻节点之间比特数据流的透明传送,尽能够屏蔽详细传输介质和物理设备的差别.利用物理传输介质为数据链路层提供物理衔接(物理信道),为数据链路层提供比特流效力.物理层是一切网络的根底,主要关怀的问题有:用多少伏特电压表示1,多少伏特电压表示0;

11、 一个比特继续多少微秒;是单工,半双工还是全双工;最初的衔接如何建立和完成,通讯后衔接如何终止网络接插件有多少针以及各针的用途.信道的最大带宽;传输介质(例如,是有导线的还是无导线的等);传输方式:是基带传输还是频带传输,或者二者均可;多路复用技术(FDM,TDM和WDM波分多路复用Wave-length Division Multiplexing);等等.(2)物理层的主要功能:物理衔接的建立,维持和撤除.实体之间信息的按比特传输.实现四大特性的匹配(机械特性,电气特性,功能特性,规程特性)(3)物理层规范物理层规范主要义务就是要规定DCE设备和DTE设备的接口,包括接口的机械特性,电气特性

12、,功能特性和规程特性.DTE 是数据终端设备.数据电路端接设备DCE .DCE的作用就是在DTE和传输线路之间提供信号变换和编码的功能,并且担任建立,坚持和释放数据链路的衔接.DTE经过DCE与通讯传输线路相连,如下图.是美国电子工业协会EIA制定的著名物理层规范.物理或机械特性:规定了DTE和DCE之间的衔接器方式,包括衔接器外形,几何尺寸,引线数目和陈列方式等.电气特性:规定了DTE和DCE之间多条信号线的衔接方式,发送器和接纳器的电气参数及其他有关电路的特征.电气特性决议了传送速率和传输间隔 .功能特性:对接口各信号线的功能给出了确切的定义,阐明某些连线上出现的某一电平的电压表示的意义.

13、规程特性:规定了DTE和DCE之间各接口信号线实现数据传输的操作过程(顺序).物理层规范举例EIA RS-232C/V.24接口规范RS是Recommended Standard的缩写,即引荐规范.RS-232-C接口规范与国际电报咨询委员会CCITT的V.24规范兼容,是一种非常适用的异步串行通讯接口.RS-232-C 建议运用25针的D型衔接器DB-25,但是在微型计算机的RS-232C串行端口上,大多运用9针衔接器DB-9,如以下图所示.(4)常见物理层设备与组件物理传输中存在的主要问题第一大问题:信号衰减信号衰减限制了信号的传输间隔 信号衰减还经常会同时伴随着信号的变形采用信号放大和整

14、形的方法来处理信号衰减及其变形问题.第二大问题:噪声干扰噪声能够导致信号传输错误,即接纳端难以从混杂了较大噪声的信号中提取出正确的数据.减少噪声的措施,如抵消与屏蔽,良好的端接和接地技术等常见物理组件RJ-45插座RJ-45头DB-25 到 DB-9 的转换器常见物理层设备中继器(repeater)和集线器(hub)功能:衔接一样的LAN网段;对从入口输入的物理信号进展放大和整形,然后再从出口输出(转发).中继器具有典型的单进单出构造.集线器是多端口中继器.集线器常见的端口规格有4口,8口,16口和24口等.如以下图所示:2,数据链路层(Data link layer)(1)主要义务是担任相邻

15、节点之间的可靠传输,经过加强物理层传输原始比特的功能,使之网络层表现为一条无错线路,数据链路层的传输单元为帧.主要关怀:成帧与拆帧.以帧(frame)为单位(产生帧,识别帧的边境);过失控制;(流量控制(防止高速的发送方的数据将低速的接纳方淹没).广播式网络在数据链路层还要处置:如何控制对共享信道的访问等等.(2)主要设备:交换机 网桥3, 网络层(Network layer)(1)网络层的义务就是要选择适宜的路由,使发送站传输层所传下来的数据可以正确无误地按地址送到目的站.网络层的传输单元被称为分组(或称包).执行途径选择算法,使分组在通讯子网中有一条最正确途径;拥塞控制.防止子网中同时出现

16、过多的分组而相互阻塞通路,构成瓶颈;记帐功能;异种网络互联.(2)主要设备:路由器: 三层交换机4, 传输层(Transport layer)(中心层)主要义务:担任端到端节点间数据传输和控制功能 .传输层是OSI中承上启下层,下三层面向网络通讯,确保信息准确传输;上三层面向用户主机,为用户提供各种效力.传输层不涉及中间转发节点,即与运用的网络无关.主要功能:弥补网络层效力质量的缺乏,为会话层提供端-端的可靠数据传输效力.包括两端主机之间的流量控制.5, 会话层( Session layer)主要目的是组织和同步在两个通讯的会话用户之间的对话,并管理数据的交换.会话层的功能是在两个节点间建立,

17、维护和释放面向用户的衔接.会话衔接的建立是在传输衔接的根底上进展的.6, 表示层(Presentation layer)主要用于处置在两个通讯系统中交换信息的表示方式.它包括数据格式变换,数据加密与解密,数据紧缩与恢复等功能.7, 运用层(Application layer)运用层是OSI的最高层,它为OSI模型以外的运用程序提供效力.运用层中包含大量的,人们普遍需求的协议.如网络虚拟终端(VT,Virtual Terminal,文件 传输,电子邮件,目录效力,远程数据库访问等.常用设备:网关网关是一种充任转换重担的计算机系统或设备.在运用不同的通讯协议,数据格式或言语,甚至体系构造完全不同的

18、两种系统之间,网关是一个翻译器.与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以顺应目的系统的需求.同时,网关也可以提供过滤和平安功能.大多数网关运转在OSI 7层协议的顶层-运用层.四.TCP/IP参考模型1,TCP/IP分为四层TCP/IP模型是Internet现实上规范.一致的网络地址分配方案,使得整个TCP/IP设备在网络中都具有独一的IP地址.规范化的高层协议,可以提供多种可靠的用户效力.TCP/IP独立于特定的网络硬件,可以运转在局域网,广域网,更适用于互联网.2, OSI参考模型与TCP/IP参考模型应该指出,TCP/IP是OSI模型之前的产物,所以两者间不存在严厉的

19、对应关系.3,互联网层(Internet layer)(网际层)(1)互联网层涉及协议:互联网络协议,即IP协议(Internet Protocol),规定互联网层数据分组格式.因特网控制音讯协议(ICMP):提供网络控制和音讯传送功能.地址解释协议(ARP):提供IP地址和网卡MAC地址转换功能.反向地址转换协议(RARP):mac IP(2)互联网层主要功能:处置传输层发送恳求;处置接纳的IP分组.根据目的IP地址转发该IP分组,或者当目的主机就是本主机时,将IP分组上交给其传输层.处置互联的途径,流量控制和拥塞问题.由于IP分组独立地传送到目的主机,所以一个报文的不同分组能够经过不同的途

20、径.4,传输层(Transport layer):(1)功能:使源端和目的端主机对等实体进展会话.(2)运用的协议:传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Data Protocol).TCP是一个面向衔接的协议,使从源机器发出的字节流无过失地发往目的机器.UDP是一个无衔接协议.它不检查所收到的分组的次序,也不对这些分组进展排序,而是交给运用层完成.5,运用层(Application layer)它包含一切高层协议.例如,虚拟终端协议TELNET(远程登录),文件传输协议FTP,电子邮件协议SMTP(简单邮件传输协议)

21、,域名系统效力DNS,网络新闻传输协议NNTP,超文本传输协议HTTP等.TIPS:网络体系构造是一种分层构造分层的目的是把复杂的网络互联问题划分为假设干个较小的,单一的问题,在不同层上予以处理协议是通讯双方对等层的会话规那么上层经过下层的效力来与对方的对等层会话层和协议就构成了网络体系构造OSI/RM是一种官方的国际规范TCP/IP是一种现实上的国际规范贰.局域网和城域网一.CSMA/CD1. CSMA/CD(带冲突检测的载波监听多路访问控制)CSMA/CD是一种常用争用的方法来决议对媒体访问权的协议，这种争用协议只适用于逻辑上属于总线拓扑构造的网络。在总线网络中，每个站点都能独立地决议帧的

22、发送，假设两个或多个站同时发送帧，就会产生冲突，导致所发送的帧都出错。因此，一个用户发送信息胜利与否，在很大程度上取决于监测总线能否空闲的算法，以及当两个不同节点同时发送的分组发生冲突后所运用的中断传输的方法。总线争用技术可分为载波监听多路访问CSMA和具有冲突检测的载波监听多路访问CSMA/CD两大类。2. 载波监听多路访问CSMA载波监听多路访问CSMA的技术，也称做无听后说LBT(Listem Before Talk)。要传输数据的站点首先对媒体上有无载波进展监听，以确定能否有别的站点在传输数据。假设媒体空闲，该站点便可传输数据;否那么，该站点将避让一段时间后再做尝试。这就需求有一种退避

23、算法来决议避让的时间，常用的退避算法有非坚持、1-坚持、P-坚持三种。a、非坚持算法算法规那么为：假设媒本是空闲的，那么可以立刻发送。假设媒体是忙的，那么等待一个由概率分布决议的随机重发延迟后，再反复前一步骤。采用随机的重发延迟时间可以减少冲突发生的能够性。非坚持算法的缺陷是：即使有几个着眼点为都有数据要发送，但由于大家都在延迟等待过程中，致使媒体仍能够处于空闲形状，运用率降低。b、1-坚持算法算法规那么：假设媒体空闲的，那么可以立刻发送。假设媒体是忙的，那么继续监听，直至检测到媒体是空闲，立刻发送。假设有冲突(在一段时间内未收到一定的回复)，那么等待一随机量的时间，反复步骤。这种算法的优点是

24、：只需媒体空闲，站点就立刻可发送，防止了媒体利用率的损失;其缺陷是：假假设有两个或两个以上的站点有数据要发送，冲突就不可防止。c、P-坚持算法算法规那么：监听总线，假设媒体是空闲的，那么以P的概率发送，而以(1-P)的概率延迟一个时间单位。一个时间单位通常等于最大传播时延的2倍。延迟一个时间单位后，再反复步骤。假设媒体是忙的，继续监听直至媒体空闲并反复步骤。P-坚持算法是一种既能像非坚持算法那样减少冲突，又能像1-坚持算法那样减少媒体空闲时间的折中方案。问题在于如何选择P的有值，这要思索到防止重负载下系统处于的不稳定形状。假设媒体是忙时，有N个站有数据等待发送，一旦当前的发送完成时，将要试图传

25、输的站的总期望数为NP。假设选择P过大，使NP1，阐明有多个站点试图发送，冲突就不可防止。最坏的情况是，随着冲突概率的不断增大，而使吞吐量降低到零。所以必需选择适当P值使NPMTU时，需对数据报分段。对应每个物理网络的封装，都有一个RFC文档与之对应。例：RFC894 IP over Ethernet networksRFC1188 IP over FDDI networksRFC1932 IP over ATMIP路由IP数据报的传输能够需求跨越多个子网，子网之间的数据报传输由路由器实现。IP路由算法描画如下：IP模块根据IP数据报中的收方IP地址确定能否为本网投递;(1)本网投递：(收发方

26、的IP地址具有一样的IP网络标识Netid)(2)跨网投递：(收发方的IP地址具有不同的IP网络标识Netid)新型IP协议(IPv6)(1)IPv4的局限性随着网络的扩展和网络运用效力的增多，IPv4内在的弊端逐渐明显。1.32位的IP地址空间将无法满足因特网迅速增长的要求。2.不定长的数据报头域处置影响了路由器的性能提高。3.单调的效力类型处置。4.缺乏平安性要求的思索。5.负载的分段/组装功能影响了路由器处置的效率。(2)新型IP协议的主要特点IPv6是因特网的新一代通讯协议，在包容IPv4的一切功能的根底上，添加了一些更为优秀的功能，其主要特点如下：1.扩展地址和路由的才干2.简化了I

27、P报头的格式3.支持扩展选项的才干4.支持对数据确实认和加密5.支持对数据确实认和加密6.支持自动配置7.支持源路由8.定义效力质量的才干9.IPv4的平滑过渡和晋级4.TCP协议IP协议提供不可靠、无衔接和尽力投递的效力，构成了因特网数据传输的根底;TCP协议(传输控制协议-Transmission Control Protocol)在IP协议提供的效力根底上，TCP协议软件添加了确认-重发、滑动窗口和复用/解复用等机制，提供面向衔接的、可靠的、流投递效力。TCP协议的特性TCP协议在IP协议软件提供的效力的根底上，支持面向衔接的、可靠的、面向流的投递效力。TCP端口和衔接TCP模块以IP模

28、块为传输根底，同时又可面向多种运用程序提供传输效力。为了可以区分出对应的运用程序，引入了TCP端口的概念。TCP端口与一个16位的整数值相对应，该整数值也被称为TCP端口号。需求效力的运用进程与某个端口号进展联接(Binding)，这样TCP模块就可以经过该TCP端口与运用进程通讯。由于IP地址只对应到因特网中的某台主机，而TCP端口号可对应到主机上的某个运用进程，因此，TCP模块采用IP地址和端口号的对偶来标识TCP衔接的端点。一条TCP衔接本质上对应了一对TCP端点。TCP/UDP运用程序端口号分配端口号本质上也是操作系统标识运用程序的一种方法，其取值可由用户定义或者系统分配。TCP端口号

29、采用了动态和静态相结合的分配方法，对于一些常用的运用效力(尤其是TCP/IP协议集提供的运用效力)，运用固定的端口号;例如：电子邮件(SMTP)的端口号为25，文件传输(FTP)的端口号为21等。对于其它的运用效力，尤其是用户自行开发的运用效力，端口号采用动态分配方法，由用户指定操作系统分配。TCP/IP商定：01023为保管端口号,规范运用效力运用;1024以上是自在端口号，用户运用效力运用。Unix系统中的/etc/services 文件,Windows 98系统中/windows/setvices文件：列出了系统提供的效力以及各效力的端口号等信息。TCP窗口机制TCP的特点之一是提供体积

30、可变的滑动窗口机制，支持端到端的流量控制。TCP的窗口以字节为单位进展调整，以顺应接纳方的处置才干。处置过程如下：(1)TCP衔接阶段，双方协商窗口尺寸，同时接纳方预留数据缓存区;(2)发送方根据协商的结果，发送符合窗口尺寸的数据字节流，并等待对方确实认;(3)发送方根据确认信息，改动窗口的尺寸，添加或者减少发送未得到确认的字节流中的字节数。调整过程包括：假设出现发送拥塞，发送窗口减少为原来的一半，同时将超时重传的时间间隔扩展一倍。TCP的窗口机制和确认保证了数据传输的可靠性和流量控制。5.UDP协议UDP(用户数据报协议-User Datagram Protocol)是TCP/IP协议集中等

31、同于TCP的通讯协议。(1)UDP与TCP的差别：UDP直接利用IP协议进展UDP数据报的传输，因此UDP提供的是无衔接、不可靠的数据报投递效力。(2)UDP的运用场所：UDP常用于数据量较少的数据传输，例如：域名系统中域名地址/IP地址的映射恳求和应对(Named)，Ping 、BOOTP、TFTP等运用。(3)运用UDP协议的益处：在少量数据的传输时，运用UDP协议传输信息流，可以减少TCP衔接的过程，提高任务效率。(4)UDP协议的缺乏：当运用UDP协议传输信息流时，用户运用程序必需担任处理数据报排序，过失确认等问题。在多媒体运用中，常用TCP支持数据传输，UDP支持音频/视频传输。6.

32、因特网报文控制协议a、因特网报文控制协议(ICMP-Internet Control Protocol)产生的缘由：IP协议尽力传送并不表示数据报一定可以投递到目的地，IP协议本身没有内在的机制获取过失信息并进展相应的控制，而基于网络的过失能够性很多，如：通讯线路出错、网关或主机出错、信宿主机不可到达、数据报生存期(TTL时间)到、系统拥塞等等。为了可以反映数据报的投递，因特网中添加了ICMP协议。b、ICMP协议的作用：主要用于网络设备和结点之间的控制和过失报告报文的传输。从因特网的角度看，因特网是由收发数据报的主机和中转数据报的路由器组成。鉴于IP网络本身的不可靠性，ICMP的目的仅仅是向

33、源发主机告知网络环境中出现的问题。ICMP主要支持路由器将数据报传输的结果信息反响回源发主机。c.ICMP 报文的传输当路由器发现某份IP数据报由于某种缘由无法继续转发和投递时，那么构成ICMP报文，并从该IP数据报中截取源发主机的IP地址，构成新的IP数据报，转发给源发主机，以报告过失的发生及其缘由。携带ICMP报文的IP数据报在反响传输过程中不具有任何优先级，与正常的IP数据报一样进展转发。假设携带ICMP报文的IP数据报在传输过程中出现缺点，转发该IP数据报的路由器将不再产生任何新的过失报文。以下图表示了ICMP报文的构成和还回。d.ICMP报文的类型ICMP协议主要支持IP数据报的传输

34、过失结果，ICMP依然利用IP协议传送ICMP报文。产生ICMP报文的路由器担任将其封装到新的IP数据报中，并提交因特网前往至原IP数据报的源发主机。ICMP报文分为ICMP报文头部和ICMP报文体部两个部分。类型字段：表示过失的类型;代码字段：表示过失的缘由;校验和：表示整个ICMP报文的校验结果。ICMP数据：过失缘由及阐明。ICMP报文类型主要有：(1)目的地不可达报文 (2)源抑制(用于拥塞控制)(3)重定向 (4)超时(TTL)报告(5)参数错 (6)回应恳求(7)回应应对 (8)时戳恳求(9)时戳应对ICMP运用目前，曾经利用ICMP报文开发了许多网络诊断工具软件。(1)Ping软

35、件：借助于ICMP回应恳求/应对报文测试宿主机的可达性。(2)跟踪IP数据报发送的路由: 利用路由器对IP数据报中的生存期值作减1处置，一旦生存期值为0 就丢弃该IP数据报，并前往主机不可达的ICMP报文的特点。源发端针对指定的宿结点，构成一系列收方结点无法处置的IP数据报。这些数据报除生存期值递增外，其它内容完全一样。这些数据报根据生存期的取值逐个发往网络，第一个数据报的生存期为1;路由器对生存期值减一后，丢弃该IP数据报，并前往主机不可达ICMP报文;源发端继续发送生存期为2，3，4，的数据报，由于主机和路由器中对路由信息的缓存才干，IP数据报将沿着原途径向宿结点前进。假设整个途径中包括了

36、N个路由器，那么经过前往N个主机不可达报文和一个端口不可达报文的信息，了解IP数据报的整个路由。(3)测试整个途径的最大MTU:利用因数据报不允许分段，而转发网络的MTU(最大传输单元)较小时会产生主机不可达报文的特点。这种测试对于源宿端具有频繁的大量数据传输时，具有较高的适用价值。由于数据报长度越小，数据报传输的有效率越低;而传输较大的数据报时，路由器势必进展分段，既损耗了路由器的资源，更能够呵斥因某个数据分段丧失，而导致宿主机在组装分段数据报时超时，丢弃整个数据报，呵斥带宽的浪费。测试途径MTU的方法类似路由跟踪。源发端发送一定长度、且不允许分段的IP数据报，并根据路由器前往的主机不可达I

37、CMP报文，逐渐缩短测试IP数据报的长度。三.Internet运用1.FTP-文件传输协议(File Transfer Protocol)FTP实现计算机之间的文件传输。运用FTP时，用户无需关怀对应计算机的位置，以及运用的文件系统。FTP运用TCP衔接和TCP端口;在进展通讯时，FTP需求建立两个TCP衔接，一个用于控制信息(如命令和呼应，TCP端口号缺省值为21)，另一个是数据信息(端口号缺省值为20)的传输。运用FTP命令时，要求用户在两台计算机上都具有本人的(或者可用的)帐号。1)命令格式： ftp -dgintvhost-dgintv：FTP命令选项host：主机名或者主机对应的IP

38、地址例：ftp 972)FTP任务原理(1)FTP效力器运转FTPd守护进程，等待用户的FTP恳求。(2)用户运转FTP命令,恳求FTP效力器为其效力。例：FTP 97(3)FTPd守护进程收到用户的FTP恳求后，派生出子进程FTP与用户进程FTP交互，建立文件传输控制衔接，运用TCP端口21。(4)用户输入FTP子命令，效力器接纳子命令，假设命令正确，双方各派生一个数据传输进程FTP-DATA,建立数据衔接，运用TCP端口20,进展数据传输。(5)本次子命令的数据传输完，撤除数据衔接，终了FTP-DATA进程。(6)用户继续输入FTP子命令，反复(4)、(5)的过程，直至用户输入quit命令

39、，双方撤除控制衔接，终了文件传输，终了FTP进程2.WWW效力阅读器与WEB效力器任务过程举例 用户经过“阅读器访问因特网上的WEB效力器，阅读器和效力器之间的信息交换运用超文本传输协议(-HyperText Transfer Protocol)。例：用户访问主页Httpsina/welcome.htm ，阅读器与效力器的信息交互过程如下：(1) 阅读器向DNS获取web效力器sina的IP地址：x.x.x.x(2) 阅读器与IP地址为x.x.x.x 的效力器进展TCP衔接，端口为80;(3) 阅读器执行HTTP协议，发送GET /welcome.htm 命令,恳求读取该文件;(4) sina

40、效力器前往/welcome.htm 文件到客户端;(5) 释放TCP衔接;(6) 阅读器解释/welcome.htm 文件内容，并显示该文件表示的页面。附:一.TCP/IP效力1、TCP/IP运用效力原理TCP/IP运用效力采用客户机/效力器任务方式，效力器端启动守护进程，等待客户端的恳求;效力器对应客户端的恳求，派生子进程与客户进程进展数据通讯，提供效力。(1)效力器(HostA)首先要启动运用程序效力进程(守护进程Server)，等待客户端的恳求。(2)当效力进程Server接纳到客户端HostB的恳求时，派生一个子进程(Child1)与HostB进展交互，实现数据通讯，同时守护进程Ser

41、ver继续等待客户端的恳求。(3)当效力进程Server接纳到客户端HostC的恳求时，派生一个子进程(Child2)与HostC进展交互，实现数据通讯，同时守护进程Server继续等待客户端的恳求。二 .TCP/IP运用编程接口(API)为了支持用户开发面向运用的通讯程序，大部分系统都提供了一组基于TCP或者UDP的运用程序编程接口(API)，该接口通常以一组函数的方式出现，称为套接字(Socket)。TCP/IP运用程序之间的通讯经过Socket进展。效力器拥有全局公认的Socket,任何客户端都可以向它发出衔接恳求和信息恳求。客户端向操作系统随机恳求一个Socket，系统为之分配一个So

42、cket号。肆.网络平安随着人类社会生活对Internet需求的日益增长，网络平安逐渐成为Internet及各项网络效力和运用进一步开展的关键问题，特别是1993年以后Internet开场商用化，经过Internet进展的各种电子商务业务日益增多，加之Internet/Intranet技术日趋成熟，很多组织和企业都建立了本人的内部网络并将之与Internet联通。上述上电子商务运用和企业网络中的商业均成为攻击者的目的。据统计，目前网络攻击手段有数千种之多，使网络平安问题变得极其严峻，据美国商业杂志公布的一项调查报告称，黑客攻击和病毒等平安问题在2000年呵斥了上万亿美圆的经济损失，在全球范围内

43、每数秒钟就发生一同网络攻击事件。一. 网络常见的攻击类型1. 后门攻击BO、SATANZ、Portal of DOOM、Silencer、NetBus、Netspy、GirlFriend、冰河等。2. 回绝效力攻击SYN Flood、UDP Flood、winnuke、Kiss of Death、Wingate DoS、Land、concon、ARP Spool等。3. 分布式回绝效力攻击Tfn2k、trinoo、stachel、mstream等。4. 扫描攻击ISS扫描、Nessus扫描、nmap扫描、Superscan扫描、whisker扫描、Webtrends扫描、L3retriever

44、扫描、ipe-syn-scan扫描等。5. Web-cgi攻击Test-cgi、handler、count.cgi、phf、PHP、Webgais、Websendmail、Webdist等。6. Web-IIS攻击：NewDSN等。7. Web-FrontPage攻击：Fpcount等。8. Web-ColdFusion攻击：Openfile等。9. 缓冲区溢出攻击包括IMAP、Named、Qpop、FTP、mountd、Telnet等效力程序的缓冲区溢出攻击。10. RPC攻击包括对sadmind、ttdbserver、nisd、amd等RPC攻击。11. ICMP攻击主要包括利用大量ICM

45、P Redirect包修正系统路由表的攻击和运用ICMP协议实施的回绝效力攻击。12. SMTP攻击(邮件攻击) Debug等，以及利用SMTP协议实现HELO、RCPT TO、VRFY等缓冲区破绽实施攻击。13. 前奏攻击：SourceRoute等。14. 病毒攻击：Happy 99、爱虫病毒、WinimDa等。15. 口令攻击：telnet口令攻击、FTP口令攻击。其他：IE5&ACCESS97等。二. 数据加密技术电子商务平安规范可分为平安、认证两方面的规范。1平安规范当前电子商务的平安规范包括加密算法、报文摘要算法、平安通讯协议等方面的规范。(1)加密算法根本加密算法有两种：对称密钥加

46、密、非对称密钥加密，用于保证电子商务中数据的严密性、完好性、真实性和非抵赖效力。对称密钥加密对称密钥加密也叫/公用密钥加密(Secret Key Encryption)，即发送和接纳数据的双方必需运用一样的/对称的密钥对明文进展加密和解密运算。最著名的对称密钥加密规范是数据加密规范(DataEncryptionStandard，简称DES)。目前已有一些比DES算法更平安的对称密钥加密算法，如：IDEA算法，RC2、RC4算法，Skipjack算法等。非对称密钥加密非对称密钥加密也叫公开密钥加密(Public Key Encryption)，由美国斯坦福大学赫尔曼教授于1977年提出。它主要指

47、每个人都有一对独一对应的密钥：公开密钥和私有密钥，公钥对外公开，私钥由个人保管;用其中一把密钥来加密，就只能用另一把密钥来解密。商户可以公开其公钥，而保管其私钥;客户可以用商家的公钥对发送的信息进展加密，平安地传送到商户，然后由商户用本人的私钥进展解密。公开密钥加密技术处理了密钥的发布和管理问题，是目前商业密码的中心。运用公开密钥技术，进展数据通讯的双方可以平安地确认对方身份和公开密钥，提供通讯的可鉴别性。由此，公开密钥体制的建立是开展电子商务的前提。非对称加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。(2)报文摘要算法报文摘要算法(Message Digest

48、 Algorithms)即采用单向HASH算法将需求加密的明文进展摘要，而产生的具有固定长度的单向散列(HASH)值。其中，散列函数(HashFunctions)是将一个不同长度的报文转换成一个数字串(即报文摘要)的公式，该函数不需求密钥，公式决议了报文摘要的长度。报文摘要和非对称加密一同，提供数字签名的方法。报文摘要算法主要有平安散列规范、MD2系列规范。(3)加密通讯协议(SSL)平安套接层协议(Secure Socket Layer)是一种维护WEB通讯的工业规范，主要目的是提供INTERNET上的平安通讯效力，是基于强公钥加密技术以及RSA的公用密钥序列密码，可以对信誉卡和个人信息、电

49、子商务提供较强的加密维护。SSL在建立衔接过程上采用公开密钥，在会话过程中运用专有密钥。SSL的缺陷是只能保证传输过程的平安，无法知道在传输过程中能否遭到窃听，黑客可以此破译SSL的加密数据，破坏和盗窃WEB信息。新的SSL协议被命名为TLS(Transport Layer Security)，平安可靠性可有所提高，但仍不能消除原有技术上的根本缺陷。2认证规范(1)数字签名数字签名(Digital Signature)是公开密钥加密技术的一种运用，是指用发送方的私有密钥加密报文摘要，然后将其与原始的信息附加在一同，合称为数字签名。其运用方式是：报文的发送方从报文文本中生成一个128位或160位

50、的单向散列值(或报文摘要)，并用本人的私有密钥对这个散列值进展加密，构成发送方的数字签名;然后，将这个数字签名作为报文的附件和报文一同发送给报文的接纳方;报文的接纳方首先从接纳到的原始报文中计算出128位的散列值(或报文摘要)，接着再用发送方的公开密钥来对报文附加的数字签名进展解密;假设这两个散列值一样，那么接纳方就能确认该数字签名是发送方的。经过数字签名可以实现对原始报文的鉴别与验证，保证报文的完好性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法，普遍用于银行、电子贸易等，以处理伪造、抵赖、冒充、篡改等问题。(2)数字证书“数字证书是一个经证书认证中心(CA)数字签名

51、的、包含证书恳求者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务平安体系的中心，用途是利用公共密钥加密系统来维护与验证公众的密钥。CA对恳求者所提供的信息进展验证，然后经过向电子商务各参与方签发数字证书，来确认各方的身份，保证网上支付的平安性。证书的格式遵照X.509规范。X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息。实体信息包括实体称号、公用密钥、公用密钥运算法和可选的独一主体id。目前，X.509规范已在编排公共密钥格式方面被广泛接受，已用于许多网络平安运用程序，其中包括IP平安(Ipsec)、平安套接层(SSL)、

52、平安电子买卖(SET)、平安多媒体INTERNET邮件扩展(S/MIME)等。(3)密钥管理机制(PKI)密钥管理是数据加密技术中的重要一环，密钥管理的目的是确严密钥的平安性(真实性和有效性)。三. 防火墙技术虽然近年来各种网络平安技术在不断涌现，但到目前为止防火墙仍是网络系统平安维护中最常用的技术。据公安部计算机信息平安产质量量监视检验中心对2000年所检测的网络平安产品的统计，在数量方面，防火墙产品占第一位，其次为网络平安扫描和入侵检测产品。防火墙系统是一种网络平安部件，它可以是硬件，也可以是软件，也能够是硬件和软件的结合，这种平安部件处于被维护网络和其它网络的边境，接纳进出被维护网络的数

53、据流，并根据防火墙所配置的访问控制战略进展过滤或作出其它操作，防火墙系统不仅可以维护网络资源不受外部的侵入，而且还可以拦截从被维护网络向外传送有价值的信息。防火墙系统可以用于内部网络与Internet之间的隔离，也可用于内部网络不同网段的隔离，后者通常称为Intranet防火墙。目前的防火墙系统根据其实现的方式大致可分为两种，即包过滤防火墙和运用层网关。包过滤防火墙的主要功能是接纳被维护网络和外部网络之间的数据包，根据防火墙的访问控制战略对数据包进展过滤，只准许授权的数据包通行。防火墙管理员在配置防火墙时根据平安控制战略建立包过滤的准那么，也可以在建立防火墙之后，根据平安战略的变化对这些准那么

54、进展相应的修正、添加或者删除。每条包过滤的准那么包括两个部分：执行动作和选择准那么，执行动作包括回绝和准许，分别表示回绝或者允许数据包通行;选择准那么包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准那么之后，防火墙在接纳到一个数据包之后，就根据所建立的准那么，决议丢弃或者继续传送该数据包。这样就经过包过滤实现了防火墙的平安访问控制战略。运用层网关位于TCP/IP协议的运用层，实现对用户身份的验证，接纳被维护网络和外部之间的数据流并对之进展检查。在防火墙技术中，运用层网关通常由代理效力器来实现。经过代理效力器访问Internet网络效力的内部网络用户时，在访问Int

55、ernet之前首先应登录到代理效力器，代理效力器对该用户进展身份验证检查，决议其能否允许访问Internet，假设验证经过，用户就可以登录到Internet上的远程效力器。同样，从Internet到内部网络的数据流也由代理效力器代为接纳，在检查之后再发送到相应的用户。由于代理效力器任务于Internet运用层，因此对不同的Internet效力应有相应的代理效力器，常见的代理效力器有Web、Ftp、Telnet代理等。除代理效力器外，Socks效力器也是一种运用层网关，经过定制客户端软件的方法来提供代理效力。防火墙经过上述方法，实现内部网络的访问控制及其它平安战略，从而降低内部网络的平安风险，维

56、护内部网络的平安。但防火墙本身的特点，使其无法防止某些平安风险，例如网络内部的攻击，内部网络与Internet的直接衔接等。由于防火墙处于被维护网络和外部的交界，网络内部的攻击并不经过防火墙，因此防火墙对这种攻击无能为力;而网络内部和外部的直接衔接，如内部用户直接拨号衔接到外部网络，也能越过防火墙而使防火墙失效。四. 网络入侵检测技术网络入侵检测技术也叫网络实时监控技术，它经过硬件或软件对网络上的数据流进展实时检查，并与系统中的入侵特征数据库进展比较，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反响，如切断网络衔接，或通知防火墙系统对访问控制战略进展调整，将入侵的数据包过滤掉等。网络入

57、侵检测技术的特点是利用网络监控软件或者硬件对网络流量进展监控并分析，及时发现网络攻击的迹象并做出反响。入侵检测部件可以直接部署于受监控网络的广播网段，或者直接接纳受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象，网络入侵检测部件应可以分析网络上运用的各种网络协议，识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是经过网络入侵特征库来实现的，这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新，提高入侵检测部件对网络攻击行为的识别才干。利用网络入侵检测技术可以实现网络平安检测和实时攻击识别，但它只能作为网络平安的一个重要的平安组件，网络系统的实践平安实现应

58、该结合运用防火墙等技术来组成一个完好的网络平安处理方案，其缘由在于网络入侵检测技术虽然也能对网络攻击进展识别并做出反响，但其偏重点还是在于发现，而不能替代防火墙系统执行整个网络的访问控制战略。防火墙系统可以将一些预期的网络攻击阻挠于网络外面，而网络入侵检测技术除了减小网络系统的平安风险之外，还能对一些非预期的攻击进展识别并做出反响，切断攻击衔接或通知防火墙系统修正控制准那么，将下一次的类似攻击阻挠于网络外部。因此经过网络平安检测技术和防火墙系统结合，可以实现了一个完好的网络平安处理方案。附:一.CA中心的平安运用-数字证书颁发CA (Certificate Authority)CA技术是平安认

59、证技术的一种它基于公开密钥体系经过平安证书来实现 平安证书采用国际规范的X.509证书格式主要包括 证书的版本号 发证CA的身份信息 持证用户的身份信息 持证用户的公钥CA中心所发放的数字平安证书可以运用于公众网络上的商务活动和行政作业活动，包括支付型和非支付型电子商务活动，其运用范围涉及需求身份认证及数据平安的各个行业，包括传统的商业、制造业、流通业的网上买卖，以及公共事业、金融效力业、工商税务海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。它主要运用于网上购物、企业与企业的电子贸易、平安电子邮件、网上证券买卖、网上银行等方面。二. 密钥的管理内容1.一个好的密钥管理系统应该做到

60、(1)密钥难以被窃取;(2)在一定条件下窃取了密钥也没有用，密钥有运用范围和时间的限制;(3)密钥的分配和改换过程对用户透明，用户不一定要亲身掌管密钥.a. 管理方式层次化的密钥管理方式，用于数据加密的任务密钥需求动态产生;任务密钥由上层的加密密钥进展维护，最上层的密钥称为主密钥，是整个密钥管理系统的中心;多层密钥体制大大加强了密码系统的可靠性，由于用得最多的任务密钥经常改换，而高层密钥用的较少，使得破译者的难度增大。b. 密钥的生成密钥的生成与所运用的算法有关。假设生成的密钥强度不一致，那么称该算法构成的是非线性密钥空间，否那么称为是线性密钥空间。c. 分配、传送密钥的分配是指产生并使运用者