网络体系结构及协议基础

第2章

网络体系结构及协议基础学习目标l

了解OSI模型及安全体系l

了解TCP/IP网络模型及安全体系结构l

掌握常用的网络协议和网络命令l

掌握协议分析工具的使用方法2.1网络的体系结构2.1.1网络的层次结构分层就是系统分解的最好方法之一。层次结构的好处在于使每一层实现一种相对独立的功能，每一层向上一层提供服务，同时接受下一层提供的服务。每一层不必知道下面一层是如何实现的，只要知道下层通过层间接口提供的服务是什么，以及本层向上层提供什么样的服务，就能独立地设计，这就是常说的网络层次结构

2.1.2服务、接口和协议在某层上进行通信所使用的规则、标准或约定的集合就称为协议(Protocol)。各层协议按层次顺序排列而成的协议序列称为协议栈。协议主要由下列三个要素组成：(1)语义(Semantics)。涉及用于协调与差错处理的控制信息。(2)语法(Syntax)。涉及数据及控制信息的格式、编码及信号电平等。(3)定时(Timing)。涉及速度匹配和排序等。不同系统中的对等实体是没有直接通信能力的，它们间的通信必须通过其下各层的通信间接完成。第N层实体向第N+1层实体提供的在第N层上的通信能力称为第N层的服务。在接口处规定了下层向上层提供的服务，以及上下层实体请求或提供服务所使用的形式规范语句（服务原语）。

2.2OSI模型及其安全体系

1．OSI-RM的层次结构

2．OSI-RM的数据格式

2.2.2OSI模型的安全服务

1．认证

2．访问控制

3．数据机密性

4．数据完整性5．抗否认

2.2.3OSI模型的安全机制

1．加密机制

2．数字签名机制

3．访问控制机制

4．数据完整性机制5．鉴别交换机制

6．通信流量填充机制

7．路由选择控制机制

8．公证机制

2.3TCP/IP模型及其安全体系1．TCP/IP参考模型的层次结构

2.3.2TCP/IP的安全体系1．链路层安全

2．网络层安全3．传输层保护的网络

4．

应用层安全性

2.4常用网网络协协议和和服务务2.4.1常用网网络协协议1．IP协议2．TCP协议3．UDP协议4．ICMP协议IP头头的结结构版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）片断偏移地址（13位）存活时间（8位）协议（8位）校验和（16位）来源IP地址（32位）目的IP地址（32位）选项（可选）填充（可选）数据IPv4的的IP地址址分类类IPv4地地址在在1981年9月实实现标标准化化的。。基本本的IP地地址是是8位位一个个单元元的32位位二进进制数数。为为了方方便人人们的的使用用，对对机器器友好好的二二进制制地址址转变变为人人们更更熟悉悉的十十进制制地址址。IP地地址中中的每每一个个8位位组用用0～～255之之间的的一个个十进进制数数表示示。这这些数数之间间用点点“.”隔隔开，，因此此，最最小的的IPv4地址址值为为，，最大大的地地址值值为55，然然而这这两个个值是是保留留的，，没有有分配配给任任何系系统。。IP地地址分分成五五类：：A类类地址址、B类地地址、、C类类地址址、D类地地址和和E类类地址址。每一个个IP地址址包括括两部部分：：网络络地址址和主主机地地址，，上面面五类类地址址对所所支持持的网网络数数和主主机数数有不不同的的组合合。1、A类地地址一个A类IP地地址仅仅使用用第一一个8位组组表示示网络络地址址。剩剩下的的3个个8位位组表表示主主机地地址。。A类类地址址的第第一个个位总总为0，这这一点点在数数学上上限制制了A类地地址的的范围围小于于127，，因此此理论论上仅仅有127个可可能的的A类类网络络，而而地地址又又没有有分配配，所所以实实际上上只有有126个个A类类网。。技术术上讲讲，也是是一个个A类类地址址，但但是它它已被被保留留作闭闭环（（LookBack））测试试之用用而不不能分分配给给一个个网络络。A类地地址后后面的的24位表表示可可能的的主机机地址址，A类网网络地地址的的范围围从到。每每一个个A类类地址址能支支持16,777,214个个不同同的主主机地地址，，这个个数是是由2的24次次方再再减去去2得得到的的。减减2是是必要要的，，因为为IP把全全0保保留为为表示示网络络而全全1表表示网网络内内的广广播地地址。。2、B类地地址设计B类地地址的的目的的是支支持中中到大大型的的网络络。B类网网络地地址范范围从从到到。。B类类地址址蕴含含的数数学逻逻辑是是相当当简单单的。。一个B类IP地地址使使用两两个8位组组表示示网络络号，，另外外两个个8位位组表表示主主机号号。B类地地址的的第1个8位组组的前前两位位总是是设置置为1和0，剩剩下的的6位位既可可以是是0也也可以以是1，这这样就就限制制其范范围小小于等等于191，这这里的的191由由128+32+16+8+4+2+1得到到。最后的的16位（（2个个8位位组））标识识可能能的主主机地地址。。每一一个B类地地址能能支持持64,534个惟惟一的的主机机地址址，这这个数数由2的16次次方减减2得得到，，B类类网络络有16,382个个。3、C类地地址C类地地址用用于支支持大大量的的小型型网络络。这这类地地址可可以认认为与与A类类地址址正好好相反反。A类地地址使使用第第一个个8位位组表表示网网络号号，剩剩下的的3个个表示示主机机号，，而C类地地址使使用三三个8位组组表示示网络络地址址，仅仅用一一个8位组组表示示主机机号。。C类地地址的的前3位数数为110，前前两位位和为为192(128+64)，，这形形成了了C类类地址址空间间的下下界。。第三三位等等于十十进制制数32，，这一一位为为0限限制了了地址址空间间的上上界。。不能能使用用第三三位限限制了了此8位组组的最最大值值为255-32等等于223。因因此C类网网络地地址范范围从从至至。。最后一一个8位组组用于于主机机寻址址。每每一个个C类类地址址理论论上可可支持持最大大256个个主机机地址址(0～255)，，但是是仅有有254个个可用用，因因为0和255不是是有效效的主主机地地址。。可以以有2,097,150个不不同的的C类类网络络地址址。在IP地址址中，，0和和255是是保留留的主主机地地址。。IP地址址中所所有的的主机机地址址为0用于于标识识局域域网。。同样样，全全为1表示示在此此网段段中的的广播播地址址。4、D类地地址D类地地址用用于在在IP网络络中的的组播播（Multicasting））。D类组组播地地址机机制仅仅有有有限的的用处处。一一个组组播地地址是是一个个惟一一的网网络地地址。。它能能指导导报文文到达达预定定义的的IP地址址组。。因此，，一台台机器器可以以把数数据流流同时时发送送到多多个接接收端端，这这比为为每个个接收收端创创建一一个不不同的的流有有效得得多。。组播播长期期以来来被认认为是是IP网络络最理理想的的特性性，因因为它它有效效地减减小了了网络络流量量。D类地地址空空间，，和其其他地地址空空间一一样，，有其其数学学限制制，D类地地址的的前4位恒恒为1110，，预置置前3位为为1意意味着着D类类地址址开始始于128+64+32等于于224。。第4位为为0意意味着着D类类地址址的最最大值值为128+64+32+8+4+2+1为239，因因此D类地地址空空间的的范围围从到54。。5、E类地地址E类地地址虽虽被定定义为为保留留研究究之用用。因因此Internet上上没有有可用用的E类地地址。。E类地地址的的前4位为为1，，因此此有效效的地地址范范围从从至至55。。子网掩掩码子网掩掩码是是用来来判断断任意意两台台计算算机的的IP地址址是否否属于于同一一子网网络的的根据据。最为为简简单单的的理理解解就就是是两两台台计计算算机机各各自自的的IP地地址址与与子子网网掩掩码码进进行行二二进进制制““与与””（（AND））运运算算后后，，如如果果得得出出的的结结果果是是相相同同的的，，则则说说明明这这两两台台计计算算机机是是处处于于同同一一个个子子网网络络上上的的，，可可以以进进行行直直接接的的通通讯讯。。计算算机机A的的IP地地址址为为，，子子网网掩掩码码为为，，将将转转化化为为二二进进制制进进行行““与与””运运算算，，运运算算过过程程如如表表2-3所所示示。。子网网掩掩码码计算算机机A的的IP地地址址为为，，子子网网掩掩码码为为，，将将转转化化为为二二进进制制进进行行““与与””运运算算，，运运算算过过程程如如表表2-3所所示示。IP地址11010000.10101000.00000000.00000001子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制子网网掩掩码码计算算机机B的的IP地地址址为为54，，子子网网掩掩码码为为，，将将转转化化为为二二进进制制进进行行““与与””运运算算。。运运算算过过程程如如表表2-4所所示示。。IP地址11010000.10101000.00000000.11111110子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制子网网掩掩码码计算算机机C的的IP地地址址为为，，子子网网掩掩码码为为，，将将转转化化为为二二进进制制进进行行““与与””运运算算。。运运算算过过程程如如表表2-5所所示示。。IP地址11010000.10101000.00000000.00000100子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制2．TCP协议议TCP是是传传输输层层协协议议，，提提供供可可靠靠的的应应用用数数据据传传输输。。TCP在在两两个个或或多多个个主主机机之之间间建建立立面面向向连连接接的的通通信信。。TCP支支持持多多数数据据流流操操作作，，提提供供错错误误控控制制，，甚甚至至完完成成对对乱乱序序到到达达的的报报文文进进行行重重新新排排序序。。TCP协协议议的的头头结结构构和IP一一样样，，TCP的的功功能能受受限限于于其其头头中中携携带带的的信信息息。。因因此此理理解解TCP的的机机制制和和功功能能需需要要了了解解TCP头头中中的的内内容容，，表表2-6显显示示了了TCP头头结结构构。。来源端口（2字节）目的端口（2字节）序号（4字节）确认序号（4字节）头长度（4位）保留（6位）URGACKPSHRSTSYNPIN窗口大小（2字节）校验和（16位）紧急指针（16位）选项（可选）数据TCP协协议议的的工工作作原原理理TCP提提供供两两个个网网络络主主机机之之间间的的点点对对点点通通讯讯。。TCP从从程程序序中中接接收收数数据据并并将将数数据据处处理理成成字字节节流流。。首先先将将字字节节分分成成段段，，然然后后对对段段进进行行编编号号和和排排序序以以便便传传输输。。在在两两个个TCP主主机机之之间间交交换换数数据据之之前前，，必必须须先先相相互互建建立立会会话话。。TCP会会话话通通过过三三次次握握手手的的完完成成初初始始化化。。这这个个过过程程使使序序号号同同步步，，并并提提供供在在两两个个主主机机之之间间建建立立虚虚拟拟连连接接所所需需的的控控制制信信息息。。TCP在在建建立立连连接接的的时时候候需需要要三三次次确确认认，，俗俗称称““三三次次握握手手””，，在在断断开开连连接接的的时时候候需需要要四四次次确确认认，，俗俗称称““四四次次挥挥手手””。。TCP协协议议的的三三次次““握握手手””TCP协协议议的的四四次次““挥挥手手””需要要断断开开连连接接的的时时候候，，TCP也也需需要要互互相相确确认认才才可可以以断断开开连连接接，，四四次次交交互互过过程程如如图图所所示示。。3.用用户户数数据据报报协协议议UDPUDP为为应应用用程程序序提提供供发发送送和和接接收收数数据据报报的的功功能能。。某些些程程序序（（比比如如腾腾讯讯的的OICQ））使使用用的的是是UDP协协议议，，UDP协协议议在在TCP/IP主主机机之之间间建建立立快快速速、、轻轻便便、、不不可可靠靠的的数数据据传传输输通通道道。。UDP和和TCP的的区区别别UDP提提供供的的是是非非连连接接的的数数据据报报服服务务，，意意味味着着UDP无无法法保保证证任任何何数数据据报报的的传传递递和和验验证证。。UDP的的结结构构如如图图所所示示。。UDP和和TCP传传递递数数据据的的差差异异UDP和和TCP传传递递数数据据的的差差异异类类似似于于电电话话和和明明信信片片之之间间的的差差异异。。TCP就就像像电电话话，，必必须须先先验验证证目目标标是是否否可可以以访访问问后后才才开开始始通通讯讯。。UDP就就像像明明信信片片，，信信息息量量很很小小而而且且每每次次传传递递成成功功的的可可能能性性很很高高，，但但是是不不能能完完全全保保证证传传递递成成功功。。UDP通通常常由由每每次次传传输输少少量量数数据据或或有有实实时时需需要要的的程程序序使使用用。。在这这些些情情况况下下，，UDP的的低低开开销销比比TCP更更适适合合。。UDP与与TCP提提供供的的服服务务和和功功能能直直接接对对比比UDP和和TCP传传递递数数据据的的比比较较UDP协议TCP协议无连接的服务；在主机之间不建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列化数据。TCP通过确认和按顺序传递数据来确保数据的传递。使用UDP的程序负责提供传输数据所需的可靠性。使用TCP的程序能确保可靠的数据传输。UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。TCP比较慢，有更高的开销要求，而且只支持点对点通讯。UDP和TCP都使用端口标识每个TCP/IP程序的通讯。UDP协协议的头头结构UDP的的头结构构比较简简单，如如表所示示。源端口（2字节）目的端口（2字节）封报长度（2字节）校验和（2字节）数据4.ICMP协协议的结结构ICMP协议的的头结构构ICMP头结构构比较简简单，如如表所示示。类型（8位）代码（8位）校验和（8位）类型或者代码ICMP数据报报分析使用Ping命命令发送送ICMP回应应请求消消息，使使用Ping命命令，可可以检测测网络或或主机通通讯故障障并解决决常见的的TCP/IP连接问问题。分分析Ping指指令的数数据报，，如图2-27所示。。2.4.2常用网络络服务1.FTP服服务1.FTP服务务FTP的的缺省端端口是20（用用于数据据传输））和21（用于于命令传传输）。。在TCP/IP中FTP是非非常独特特的，因因为命令令和数据据能够同同时传输输，而数数据传输输是实时时的，其其他协议议不具有有这个特特性。FTP客客户端可可以是命命令界面面的也可可以是图图形界面面的。命命令界面面的如图图2-28所示示。命令行等等录FTP服务务器2.Telnet服服务Telnet是是TELecommunicationsNETwork的的缩写，，其名字字具有双双重含义义，既指指应用也也是指协协议自身身。Telnet给给用户提提供了一一种通过过网络登登录远程程服务器器的方式式。Telnet通通过端口口23工工作。开启Telnet服务务Telnet要要求有一一个Telnet服务务器，此此服务器器驻留在在主机上上，等待待着远端端机器的的授权登登录。要要使用Telnet服服务首先先需要在在虚拟机机上开启启Telnet服务，，选择进进入Telnet服务务管理器器，如图图所示。。开启Telnet服务务在Telnet服务管管理器中中选择4，启动动Telnet服务器器，如图图2-32所示示。3.Email服务目前Email服务用用的两个个主要的的协议是是：简单单邮件传传输协议议SMTP（SimpleMailTransferProtocol）和和邮局协协议POP3（（PostOfficeProtocol））。SMTP默认占占用25端口，，用来发发送邮件件，POP3占占用110端口口，用来来接收邮邮件。在Windows平台台下，主主要利用用MicrosoftExchangeServer作为为电子邮邮件服务务器。4.Web服务务Web服服务是目目前最常常用的服服务，使使用HTTP协协议，默默认Web服务务占用80端口口在Windows平台台下一般般使用IIS（（InternetInformationServer）作为为Web服务器器。5.常用用的网络络服务端端口常用服务务端口列列表端口协议服务21TCPFTP服务25TCPSMTP服务53TCP/UDPDNS服务80