第一讲(网络基础知识回顾和网络基本命令)

网络协议分析技术主讲人：战扬计算机学院学院课程NetworkProtocol要求1.出勤（5周10次理论课，3次上机课）2.遵守课堂纪律（不要看手机）3.考试方式（笔试+平时）4.参考教材：《计算机网络》（谢希仁）《TCP-IP协议原理与应用》（清华大学出版社）《TCP-IP协议族(第4版)》》（清华大学出版社）5.授课方式（幻灯片+板书）本课程主要内容第1讲网络基础知识回顾第2讲网络应用程序模型第3讲网络通信初步*第4讲DNS及InetAddress类*第5讲多线程网络编程*第6讲虚拟终端Telnet

及其实现*第7讲文件传输FTP及其实现**第8讲基于UDP协议的开发*第9讲

TFTP协议本课程主要内容第10讲聊天系统编程第11讲端口扫描第12讲BOOTP和DHCP协议*第13讲超文本传输协议HTTP**第14讲网络游戏编程第15讲电子邮件*第16讲简单网络管理协议（SNMP）补充内容什么是计算机网络？什么是协议？什么是体系结构？OSI分几层？TCP/IP分几层？什么是RFC？第一讲网络基础知识回顾利用通信线路和设备，将分布在地理位置不同的，功能独立的多个计算机系统连接起来，以功能完善的网络软件（网络通信协议及网络操作系统等）实现网络中的资源共享和信息传递的系统，称为计算机网络。为进行网络中的数据交换而建立的规则、标准或约定称为网络协议。网络协议也可简称为协议。三要素：1.语法：即数据与控制信息的结构或格式；2.语义：即需要发出何种控制信息，完成何种动作以及做出何种响应。3.同步：即事件实现顺序的详细说明。计算机网络的各层及其协议的集合，称为网络的体系结构。OSI分为七层，其名字和功能分别如下：

1、物理层：定义了网络传输的电磁标准，Bit流的编码及网络的时间原则，如时分复用及频分复用。决定了网络连接类型（端到端或多端连接）及物理拓扑结构。说的通俗一些，这一层主要负责实际的信号传输。

2、数据链路层：在两个主机上建立数据链路连接，向物理层传输数据信号，并对信号进行处理，使之无差错并合理的传输。

3、网络层：主要负责路由选择，拥塞控制等功能。IP,ARP,RARP,ICMP,RIP,OSPF…4、传输层：向用户提供可靠的端到端服务，它屏蔽了下层的数据通信细节，让用户及应用程序不需要考虑实际的通信方法。TCP,UDP…

5、会话层：主要负责两个会话进程之间的通信，即两个会话层实体之间的信息交换，管理数据的交换。

6、表示层：处理通信信号的表示方法，进行不同的格式之间的翻译，并负责数据的加密解密，数据的压缩与恢复。

7、应用层：确定进程之间通信的性质以满足用户的需要,为用户所产生的服务请求提供服务。DNS,BOOTP,DHCP,FTP,tFTP,TELNET,SMTP,POP3,HTTP…在实际应用中，最重要的是TCP/IP(TransportControlProtocol/InternetProtocol)协议。TCP/IP协议是一个四层协议。RFC所有的因特网标准都是以RFC的形式在因特网上发表。RFC（RequestForComments）的意思就是“请求评论”。所有的RFC文档都可以从因特网上免费下载。面向大众，任何人都可以用电子邮件随时发表对某个文档的意见或者建议。但并非所有的RFC文档都是因特网标准，只有一小部分RFC文档最后才能变成因特网标准。RFC按收到时间的先后从小到大编上序号（即RFC****，这里的****是阿拉伯数字）。一个RFC文档更新后就使用一个新的编号，并在文档中指出原来老编号的RFC文档已成为陈旧的。例如：2003年11月公布了因特网正式协议标准RFC3600，此文档注明了：以前的文档RFC3300已变成陈旧的。但到了2004年7月，RFC3600文档又更新了，新文档的编号是RFC3700，此文档又注明：RFC3600已变为陈旧的。2008年5月公布了因特网正式协议标准RFC5000，此文档注明了：以前的文档RFC3700已变成陈旧的。制定因特网的正式标准要经过以下的四个阶段：1.因特网草案（此阶段还不是RFC文档）2.建议标准（此阶段开始就成为RFC文档）3.草案标准4.因特网标准练习题常用网络诊断应用程序ipconfig：列出使用该命令和主机上所有当前tcp/ip网络配置。ipconfig/all显示详细信息

（如：本地网卡中的物理地址（mac））ipconfig/release，那么所有接口的租用ip地址便重新交付给dhcp服务器（归还ip地址）。ipconfig/renew，那么本地计算机便设法与dhcp服务器取得联系，并租用一个ip地址。

请注意，大多数情况下网卡将被重新赋予和以前所赋予的相同的ip地址。ping：证实与一台远程主机的连接按照缺省设置，windows上运行的ping命令发送4个icmp（网间控制报文协议）回送请求，每个32字节数据，如果一切正常，你应能得到4个回送应答。ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。ping还能显示ttl（timetolive存在时间）值，你可以通过ttl值推算一下数据包已经通过了多少个路由器：源地点ttl起始值（就是比返回ttl略大的一个2的乘方数）-返回时ttl值。例如，返回ttl值为119，那么可以推算数据报离开源地址的ttl起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回ttl值为246，ttl起始值就是256，源地点到目标地点要通过10个路由器网段。正常情况下，当你使用ping命令来查找问题所在或检验网络运行情况时，你需要使用许多ping命令，如果所有都运行正确，你就可以相信基本的连通性和配置参数没有问题；如果某些ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：ping这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。

ping本机IP

这个命令被送到我们计算机所配置的IP地址，我们的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。ping局域网内其他IP这个命令应该离开我们的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码不正确或网卡配置错误或电缆系统有问题。Ping网关ip这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。Ping远程ip如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问internet（但不排除isp的dns会有问题）Ping某域名对这个域名执行ping命令，你的计算机必须先将域名转换成ip地址，通常是通过dns服务器.如果这里出现故障，则表示dns服务器的ip地址配置不正确或dns服务器有故障（对于拨号上网用户，某些isp已经不需要设置dns服务器了）。

顺便说一句：你也可以利用该命令实现域名对ip地址的转换功能。常用选项pingip-t——连续对ip地址执行ping命令，直到被用户以ctrl+c中断。pingip-l2000——指定ping命令中的数据长度为2000字节，而不是缺省的32字节。pingip-n——执行特定次数的ping命令。arp：用于确定本机对应IP地址的网卡物理地址。此外，使用arp命令，也可以用人工方式输入静态的网卡物理/IP地址对。按照缺省设置,ARP高速缓存中的项目是动态的,每当发送一个指定地点的数据报且高速缓存中不存在当前项目时,ARP便会自动添加该项目。一旦高速缓存的项目被输入，它们就已经开始走向失效状态。例如，在WindowsNT网络中，如果输入项目后不进一步使用，物理/IP地址对就会在2至10分钟内失效。常用命令选项：arp-a或arp-g:用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的，-g是UNIX平台上用来显示ARP高速缓存中所有项目的选项，而Windows用的是arp-a（-a可被视为all，即全部的意思）。arp-aIP--如果你有多个网卡，那么使用arp-a加上接口的IP地址，就可以只显示与该接口相关的ARP缓存项目。arp-sIP物理地址--你可以向ARP高速缓存中人工输入一个静态项目。该项目在计算机引导过程中将保持有效状态，或者在出现错误时，人工配置的物理地址将自动更新该项目。arp-dIP--使用本命令能够人工删除一个静态项目。Route：操纵网络路由表。大多数主机一般都是驻留在只连接一台路由器的网段上。由于只有一台路由器，因此不存在使用哪一台路由器将数据报发送到远程计算机上去的问题，该路由器的IP地址可作为该网段上所有计算机的缺省网关来输入。但是，当网络上拥有两个或多个路由器时，我们就不一定想只依赖缺省网关了。实际上我们可能想让我们的某些远程IP地址通过某个特定的路由器来传递，而其他的远程IP则通过另一个路由器来传递。在这种情况下，我们需要相应的路由信息，这些信息储存在路由表中，每个主机和每个路由器都配有自己独一无二的路由表。大多数路由器使用专门的路由协议来交换和动态更新路由器之间的路由表。但在有些情况下，必须人工将项目添加到路由器和主机上的路由表中。Route就是用来显示、人工添加和修改路由表项目的。routeprint

本命令用于显示路由表中的当前项目，在单路由器网段上的输出；add使用本命令，可以将路由项目添加给路由表。例如，如果要设定一个到目的网络3的路由，其间要经过5个路由器网段，首先要经过本地网络上的一个路由器ip为，子网掩码为24，那么应该输入以下命令：routeadd3mask24metric5IF2如果未给出IF，它将尝试查找给定网关的最佳接口change使用本命令来修改数据的传输路由。

不过，不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器，它采用一条包含3个网段的路径：routeadd3mask2450metric3delete使用本命令可以从路由表中删除路由。例如：routedelete3tracert：跟踪本地主机与目标主机之间的连接。

tracert的使用只需要在tracert后面跟一个IP地址或URL，tracert会进行相应的域名转换。tracert最常见的用法：

tracertIPaddress[-d]该命令返回到达IP地址所经过的路由器列表。通过使用-d选项，将更快地显示路由器路径。Tracert命令和ping命令都是应用了ICMP协议。原理见谢希仁教材。netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。netstat常用选项:netstat-s本选项能够按照各个协议分别显示其统计数据。IPStatistics

ICMPStatistics

TCPStatistics

ActiveOpens=597

PassiveOpens=135

FailedConnectionAttempts=107

ResetConnections=91

CurrentConnections=8

SegmentsReceived=106770

SegmentsSent=118431

SegmentsRetransmitted=461

UDPStatistics

DatagramsReceived=4157136

NoPorts=351928

ReceiveErrors=2

DatagramsSent=13809netstat-e本选项用于显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些统计数据既有发送的数据报数量，也有接收的数据报数量。这个选项可以用来统计一些基本的网络流量。C:\>netstat-e

InterfaceStatisticsReceivedSent

Bytes399583794047224622

Unicastpackets120099131015

Non-unicastpackets75795443823

Discards00

Errors00

Unknownprotocols363054211

netstat-r本选项可以显示关于路由表的信息，类似于routeprint命令看到的信息。除了显示有效路由外，还显示当前有效的连接。netstat-n显示所有已建立的有效连接。

netstat-a显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接。C:\>netstat-a

ActiveConnections

ProtoLocalAddressForeignAddressState

TCPCORP1:15720:nbsessionESTABLISHED

TCPCORP1:15890:nbsessionESTABLISHED

TCPCORP1:160645:nbsessionESTABLISHED

TCPCORP1:163213:nbsessionESTABLISHED

UDPCORP1:snmp*:*

UDPCORP1:nbname*:*

UDPCORP1:nbdata