網(wǎng)絡流量監(jiān)控-第2章 網(wǎng)絡基礎知識

1、北京郵電大學朱洪亮,網(wǎng)絡流量監(jiān)控概述,北京郵電大學信息安全中心,本章主要內容,北京郵電大學信息安全中心,OSI/RM,1.ISO創(chuàng)建了OSI(開放式系統(tǒng)互連)模型，并在1984年發(fā)布2.ISO/OSI模型將網(wǎng)絡通信劃分為七個層次3.層與層之間相互獨立而又相互依靠,北京郵電大學信息安全中心,OSI/RM,,北京郵電大學信息安全中心,OSI/RM,,,功能,提供電氣連接和信號標準,控制系統(tǒng)與另一端的系統(tǒng)之間的數(shù)據(jù)流,層次,應用層,表示

2、層,會話層,傳輸層,數(shù)據(jù)鏈路層,物理層,網(wǎng)絡層,決定數(shù)據(jù)傳輸?shù)奈锢硗ǖ?IP,路徑確定、傳輸質量控制 TCP、UDP,通信進程間安全性操作、名字識別、登錄等,最終數(shù)據(jù)反映形式。如字符、圖形、語音,網(wǎng)絡操作系統(tǒng)及應用程序,OSI/RM,,,北京郵電大學信息安全中心,本章主要內容,北京郵電大學信息安全中心,TCP/IP模型,TCP/IP是一組協(xié)議棧，它利用一組協(xié)議完成OSI所實現(xiàn)的功能，而不僅僅是兩個單獨的協(xié)議組成，

3、組合了100多個協(xié)議。這組協(xié)議利用已有的物理網(wǎng)絡互連起來，實現(xiàn)不同物理網(wǎng)絡的主機之間的通信。因特網(wǎng)采用的TCP/IP模型并不與OSI模型發(fā)生沖突，因為這兩種標準是并行開發(fā)的，它們是互相補充的。OSI模型和TCP/IP模型相比，認為OSI的結構更嚴謹，層次更加獨立，但現(xiàn)在似乎更喜歡使用TCP/IP模型，OSI模型是否放棄也難說。,北京郵電大學信息安全中心,TCP/IP模型,TCP/IP與OSI對應,協(xié)議層和相應PDU名稱,TCP/

4、IP協(xié)議棧主流協(xié)議,北京郵電大學信息安全中心,TCP/IP數(shù)據(jù)封裝,北京郵電大學信息安全中心,TCP/IP數(shù)據(jù)封裝,FrameHeader,IPHeader,TCP/UDP/ICMP Header,Data,Trailer,IPHeader,TCP / UDP/ICMPHeader,Data,UDPHeader,Data,TCPHeader,Data,Data,Application Layer：User Data,TCP

5、 or UDPor ICMP Layer,IPLayer,LowerLayer,,,ICMPHeader,Data,北京郵電大學信息安全中心,本章主要內容,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層,數(shù)據(jù)鏈路層使用的信道有兩種類型： 1、點對點信道。這種信道使用一對一的點對點通信方式。 2、廣播信道。這種信道使用一對多的廣播通信方式，因此過程比較復雜。廣播信道上連接的主機很多，因此必須使用專用的共享信道協(xié)議來協(xié)調這些主

6、機的數(shù)據(jù)發(fā)數(shù)據(jù)鏈路層的協(xié)議有許多種：SLIP、PPP、以太網(wǎng)等。有三個問題是共通的： 封裝成幀、透明傳輸、差錯控制,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層,封裝成幀,封裝成幀(framing)就是在一段數(shù)據(jù)的前后分別添加首部和尾部，然后就構成了一個幀。確定幀的界限。首部和尾部的一個重要作用就是進行幀定界。,幀結束,幀首部,IP 數(shù)據(jù)報,幀的數(shù)據(jù)部分,幀尾部,,,,,,,? MTU,數(shù)據(jù)鏈路層的幀長,,開始發(fā)送,,,幀

7、開始,數(shù)據(jù)鏈路層,透明傳輸,透明傳輸就是在傳輸過程中，對外界透明.數(shù)據(jù)直接通過系統(tǒng)中的互連功能模式而不進行RLP糾錯，如果進行了RLP糾錯即為非透明傳輸。所謂的透明傳輸，不管傳的是什么，所采用的設備只是起一個通道作用，把要傳輸?shù)膬热萃旰玫膫鞯綄Ψ剑⊥该鱾鬏數(shù)脑O備是個黑箱子，進來是什么出去也是什么,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層,差錯控制,在傳輸過程中可能會產生比特差錯：1 可能會變成 0 而 0 也可能變成 1。在一

8、段時間內，傳輸錯誤的比特占所傳輸比特總數(shù)的比率稱為誤碼率 BER (Bit Error Rate)。誤碼率與信噪比有很大的關系。為了保證數(shù)據(jù)傳輸?shù)目煽啃?，在計算機網(wǎng)絡傳輸數(shù)據(jù)時，必須采用各種差錯檢測措施。 在數(shù)據(jù)鏈路層傳送的幀中，廣泛使用了循環(huán)冗余檢驗 CRC 的檢錯技術。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,現(xiàn)在全世界使用得最多的數(shù)據(jù)鏈路層協(xié)議是點對點協(xié)議 PPP (Point-to-Point Protoc

9、ol)。用戶使用撥號電話線接入因特網(wǎng)時，一般都是使用 PPP 協(xié)議。 1992 年制訂了 PPP 協(xié)議。經過 1993 年和 1994 年的修訂，現(xiàn)在的 PPP 協(xié)議已成為因特網(wǎng)的正式標準[RFC 1661]。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,,,用戶,至因特網(wǎng),,已向因特網(wǎng)管理機構申請到一批 IP 地址,ISP,,,接入網(wǎng),,,,,PPP 協(xié)議,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,IET

10、F認為，在設計PPP協(xié)議時必須考慮以下多方面的需求：簡單：IETF把簡單作為首要的需求，數(shù)據(jù)鏈路層的協(xié)議非常簡單，接收方每收到一個幀，就進行CRC檢驗，正確則收下，不正確則丟棄封裝成幀 ：PPP協(xié)議必須規(guī)定特定的字符作為幀定界符透明性 ：PPP協(xié)議必須保證數(shù)據(jù)傳輸?shù)耐该餍远喾N網(wǎng)絡層協(xié)議 ：PPP協(xié)議必須能夠在同一條物理鏈路上同時支持多種網(wǎng)絡層協(xié)議（如IP和IPX等）的運行。多種類型鏈路 ：除了要支持多種網(wǎng)絡層的協(xié)議外，PPP還

11、必須能夠在多種類型的鏈路上運行。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,差錯檢測 ：PPP必須能夠對接收端收到的幀進行檢測，并立即丟棄有差錯的幀。檢測連接狀態(tài) ：PPP協(xié)議必須具有一種機制能夠及時自動檢測鏈路是否處于正常工作狀態(tài)。最大傳送單元 ：設置最大傳送單元是為了促進各種實現(xiàn)之間的互操作性網(wǎng)絡層地址協(xié)商 ：PPP協(xié)議必須提供一種機制使通信的兩個網(wǎng)絡層的實體能夠通過協(xié)商知道或能夠配置彼此的網(wǎng)絡層地址。數(shù)據(jù)壓縮協(xié)商

12、 ：PPP協(xié)議必須提供一種方法來協(xié)商使用數(shù)據(jù)壓縮算法,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,糾錯 ：可靠傳輸由TCP負責，PPP只進行檢錯。流量控制 ：在TCP/IP協(xié)議族中，端到端的流量控制由TCP負責序號 ：PPP不是可靠傳輸協(xié)議，因些不需要使用幀的序號多點線路 ：PPP不支持多點線路，只支持點對點半雙工或單工鏈路 ：PPP只支持全雙工,PPP 協(xié)議不需要的功能：,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議

13、,PPP 協(xié)議有三個組成部分 一個將 IP 數(shù)據(jù)報封裝到串行鏈路的方法。一個用來建立、配置和測試數(shù)據(jù)鏈路連接的鏈路控制協(xié)議 LCP (Link Control Protocol)。一組網(wǎng)絡控制協(xié)議 NCP (Network Control Protocol)。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,PPP 協(xié)議的幀格式,PPP 有一個 2 個字節(jié)的協(xié)議字段。當協(xié)議字段為 0x0021 時，PPP 幀的信息字段就

14、是IP 數(shù)據(jù)報。若為 0xC021, 則信息字段是 PPP 鏈路控制數(shù)據(jù)。若為 0x8021，則表示這是網(wǎng)絡控制數(shù)據(jù)。,IP 數(shù)據(jù)報,1,2,1,1,字節(jié),1,2,,,不超過 1500 字節(jié),,PPP 幀,先發(fā)送,,,,7E,,,FF,03,F,A,C,FCS,F,7E,,協(xié)議,信 息 部 分,,,首部,尾部,,,,,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,PPP 協(xié)議工作流程,當用戶撥號接入 ISP 時

15、，就建立了一條從用戶PC機到ISP的物理連接。這時，PC 機向ISP發(fā)送一系列的 LCP 分組（封裝成多個 PPP 幀），以便建立LCP連接。這些分組及其響應選擇一些 PPP 參數(shù)，并進行網(wǎng)絡層配置，NCP 給新接入的 PC機分配一個臨時的 IP 地址，使 PC 機成為因特網(wǎng)上的一個主機。通信完畢時，NCP 釋放網(wǎng)絡層連接，收回原來分配出去的 IP 地址。接著，LCP 釋放數(shù)據(jù)鏈路層連接。最后釋放的是物理層的連接。,北京郵電大學信

16、息安全中心,數(shù)據(jù)鏈路層-PPP協(xié)議,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,局域網(wǎng)具有的一些主要優(yōu)點：具有廣播功能，從一個站點可很方便地訪問全網(wǎng)。局域網(wǎng)上的主機可共享連接在局域網(wǎng)上的各種硬件和軟件資源。 便于系統(tǒng)的擴展和逐漸地演變，各設備的位置可靈活調整和改變。提高了系統(tǒng)的可靠性、可用性和生存性。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,局域網(wǎng)的拓撲,,,,,,,,,,,,,,,,,,,,,,,,,,匹配電

17、阻,,,集線器,,,干線耦合器,,,,,,,,,,,,總線網(wǎng),星形網(wǎng),樹形網(wǎng),環(huán)形網(wǎng),北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,局域網(wǎng)具有的一些主要優(yōu)點：,1、DIX Ethernet V2 是世界上第一個局域網(wǎng)產品（以太網(wǎng)）的規(guī)約。2、IEEE 的 802.3 標準。DIX Ethernet V2 標準與 IEEE 的 802.3 標準只有很小的差別，因此可以將 802.3 局域網(wǎng)簡稱為“以太網(wǎng)”。嚴格說來，“以太網(wǎng)”

18、應當是指符合 DIX Ethernet V2 標準的局域網(wǎng),北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,數(shù)據(jù)鏈路層的兩個子層：,為了使數(shù)據(jù)鏈路層能更好地適應多種局域網(wǎng)標準，802 委員會將局域網(wǎng)的數(shù)據(jù)鏈路層拆成兩個子層：邏輯鏈路控制 LLC (Logical Link Control)子層媒體接入控制 MAC (Medium Access Control)子層。與接入到傳輸媒體有關的內容都放在 MAC子層，而 LLC 子層

19、則與傳輸媒體無關，不管采用何種協(xié)議的局域網(wǎng)對 LLC 子層來說都是透明的,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,數(shù)據(jù)鏈路層的兩個子層：,,,,,,,局 域 網(wǎng),,,,網(wǎng)絡層,物理層,站點 1,,,,網(wǎng)絡層,物理層,,數(shù)據(jù)鏈路層,站點 2,LLC 子層看不見下面的局域網(wǎng),北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,一般不考慮LLC子層,由于 TCP/IP 體系經常使用的局域網(wǎng)是 DIX Ethernet V2 而不是

20、 802.3 標準中的幾種局域網(wǎng)，因此現(xiàn)在 802 委員會制定的邏輯鏈路控制子層 LLC（即 802.2 標準）的作用已經不大了。很多廠商生產的適配器上就僅裝有 MAC 協(xié)議而沒有 LLC 協(xié)議。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,CSMA/CD協(xié)議 （載波監(jiān)聽多點接入/碰撞檢測）,CSMA/CD 表示 Carrier Sense Multiple Access with Collision Detecti

21、on。1、“多點接入”表示許多計算機以多點接入的方式連接在一根總線上。說明適用于總線型網(wǎng)絡2、“載波監(jiān)聽”是指每一個站在發(fā)送數(shù)據(jù)之前先要檢測一下總線上是否有其他計算機在發(fā)送數(shù)據(jù)，如果有，則暫時不要發(fā)送數(shù)據(jù)，以免發(fā)生碰撞。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,CSMA/CD重要特性,使用 CSMA/CD 協(xié)議的以太網(wǎng)不能進行全雙工通信而只能進行雙向交替通信（半雙工通信）。每個站在發(fā)送數(shù)據(jù)之后的一小段時間內，存在著

22、遭遇碰撞的可能性。 這種發(fā)送的不確定性使整個以太網(wǎng)的平均通信量遠小于以太網(wǎng)的最高數(shù)據(jù)率。 如果為全雙工方式（萬兆以太網(wǎng)只工作在全雙工方式），無爭用問題，不采用CSMA/CD協(xié)議,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,以太網(wǎng)的MAC地址,在局域網(wǎng)中，硬件地址又稱為物理地址，或 MAC 地址。802 標準所說的“地址”嚴格地講應當是每一個站的“名字”或標識符。 IEEE 的注冊管理機構 RA 負責向廠家分配地址字段

23、的前三個字節(jié)(即高位 24 位)。地址字段中的后三個字節(jié)(即低位 24 位)由廠家自行指派，稱為擴展標識符，必須保證生產出的適配器沒有重復地址這種 48 位地址稱為 MAC-48，它的通用名稱是EUI-48。實際上就是適配器地址或適配器標識符EUI-48,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-以太網(wǎng)協(xié)議,MAC幀格式,最常用的MAC幀格式就是以太網(wǎng)v2的格式,,,,以太網(wǎng) MAC 幀,物理層,MAC層,,,,1010101010101

24、0 10101010101010101011,,前同步碼,幀開始定界符,7 字節(jié),1 字節(jié),,,…,,8 字節(jié),,插入,IP層,,,,,,,,目的地址,源地址,類型,數(shù) 據(jù),FCS,6,6,2,4,字節(jié),46 ~ 1500,,,MAC 幀,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-ARP與RARP協(xié)議,因為硬件并不懂IP地址，通過物理網(wǎng)絡傳送幀時必須使用硬件的幀格式，即幀中的物理地址。在傳送幀之前，必須將下一跳

25、的IP地址轉換成硬件可以讀懂的相應硬件地址ARP （Address Resolution Protocol）用于將IP地址轉換成MAC地址RARP用于將MAC地址轉換為IP地址，多用于無盤工作站,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-ARP與RARP協(xié)議,ARP用于將一個已知的IP地址映射到MAC地址。方法：1）檢查ARP高速緩存表；2）若地址不包含在表中，就向網(wǎng)上發(fā)廣播來尋找。具有該IP地址的目的站用其MAC地址作為響應。

26、ARP只能用于具有廣播能力的網(wǎng)絡。,北京郵電大學信息安全中心,數(shù)據(jù)鏈路層-ARP與RARP協(xié)議,RARP用于將一個已知的MAC地址映射到IP地址。RARP要依賴于RARP服務器，該服務器中有一張MAC地址與IP地址的映射表。需要查找自己IP地址的站點向網(wǎng)上發(fā)送包含有其MAC地址的RARP廣播，RARP服務器收到后將該MAC地址翻譯成IP地址予以響應。RARP同樣只能用于具有廣播能力的網(wǎng)絡。,北京郵電大學信息安全中心,北京郵電大學

27、信息安全中心,數(shù)據(jù)鏈路層設備,Hub集線器，采用廣播方式轉發(fā)MAC幀，因此在任一端口處均可監(jiān)聽全網(wǎng)流量數(shù)據(jù)交換機 特點不是以廣播方式轉發(fā)MAC幀利用MAC地址表，存儲交換機各端口和MAC地址的對應關系，轉發(fā)數(shù)據(jù)包時根據(jù)目標MAC檢查決定從哪個端口發(fā)出去；如果目的MAC不在地址表中，會采用廣播MAC地址表依賴自學習機制建立完善，根據(jù)源MAC對應關系來存儲 網(wǎng)橋可看成只有兩個端口的二層交換機，為了隔離兩個獨立的以太網(wǎng)，兩網(wǎng)之

28、間通信需通過網(wǎng)橋。目前已不再用！,北京郵電大學信息安全中心,本章主要內容,網(wǎng)絡層,網(wǎng)絡層主要協(xié)議：IP協(xié)議、ICMP協(xié)議、IGMP協(xié)議等IP（Internet Protocol）是核心協(xié)議，具有對IP地址的管理功能；子網(wǎng)劃分；為數(shù)據(jù)包路由選擇等功能IP協(xié)議的主要任務是把來自TCP或者UDP協(xié)議執(zhí)行軟件裝配的消息裝配成數(shù)據(jù)包(datagram)，負責安排數(shù)據(jù)包的傳送路徑以及在接收端把數(shù)據(jù)包還原成原來的消息段。,北京郵電大學信息安全

29、中心,網(wǎng)絡層-IP協(xié)議,IP報文格式,服務類型：引導IP如何處理數(shù)據(jù)包，延遲、吞吐量、可靠性等標識域：引導IP如何還原出原來的消息標志域：控制IP包的分塊偏移域：MF為1時，分塊的位置信息,北京郵電大學信息安全中心,網(wǎng)絡層-IP協(xié)議,IP地址,北京郵電大學信息安全中心,網(wǎng)絡層-IP協(xié)議,一個數(shù)字形式的IP地址由32 bits組成，用4 Bytes表示，每個字節(jié)用10進制表示，字節(jié)之間用“.”隔開，即點分十進制表示法,IP地址由“網(wǎng)

30、絡號”+“主機號”組成一個人的身份證號碼：3 4 0 1 25801012233,,,地區(qū)代碼,個人標識代碼,一個主機的IP地址：192.168.0. 10,,網(wǎng)絡號,,主機號,北京郵電大學信息安全中心,網(wǎng)絡層-IP協(xié)議,,,,,,,北京郵電大學信息安全中心,網(wǎng)絡層-IP協(xié)議,子網(wǎng)劃分,面臨問題： IP地址資源的嚴重匱乏 路由表規(guī)模的急速增長解決辦法：從主機號部分拿出幾位作為子網(wǎng)號前提：網(wǎng)絡規(guī)模較小，IP地址空間沒有全

31、部利用,北京郵電大學信息安全中心,網(wǎng)絡層-IP協(xié)議,子網(wǎng)劃分,北京郵電大學信息安全中心,網(wǎng)絡層-IP協(xié)議,子網(wǎng)掩碼,子網(wǎng)劃分后，如何識別不同的子網(wǎng)？解決：采用子網(wǎng)掩碼來分離網(wǎng)絡號和主機號。子網(wǎng)掩碼格式：32比特，網(wǎng)絡號(包括子網(wǎng)號)部分全為“1”，主機號部分全為“0”。子網(wǎng)掩碼∧ IP地址，結果就是該 IP地址的網(wǎng)絡號。,北京郵電大學信息安全中心,網(wǎng)絡層-ICMP協(xié)議,ICMP-Internet Control Message P

32、rotocol ICMP用于在IP主機、路由器之間傳遞控制消息,北京郵電大學信息安全中心,網(wǎng)絡層-ICMP協(xié)議,北京郵電大學信息安全中心,網(wǎng)絡層-ICMP協(xié)議,類型：3,代碼:0-15,檢驗和,未使用（全0）,收到的IP數(shù)據(jù)報的一部分，包括IP首部和數(shù)據(jù)報數(shù)據(jù)的前8個字節(jié),源端抑制：,類型：4,代碼:0,檢驗和,未使用（全0）,收到的IP數(shù)據(jù)報的一部分，包括IP首部和數(shù)據(jù)報數(shù)據(jù)的前8個字節(jié),超時：,類型:11,代碼:0或1,

33、檢驗和,未使用（全0）,收到的IP數(shù)據(jù)報的一部分，包括IP首部和數(shù)據(jù)報數(shù)據(jù)的前8個字節(jié),目的端不可達：,北京郵電大學信息安全中心,網(wǎng)絡層-ICMP協(xié)議,實例—Tracert命令,北京郵電大學信息安全中心,,北京郵電大學信息安全中心,網(wǎng)絡層設備,路由器根據(jù)目的IP地址進行轉發(fā)，利用路由表存儲IP地址和路由器端口的對照表可通過RIP、OSPF、EIGRP等路由協(xié)議交換路由信息三層交換機三層路由，二層轉發(fā)；首次三層路由，隨后二層交換

34、轉發(fā)決定不僅取決于MAC地址表，也取決于內部的一個路由表，這個路由表可以通過手工配置或ARP協(xié)議得到。 VLAN（虛擬局域網(wǎng)）局域網(wǎng)主機邏輯分組，每一個VLAN有一個ID，同組成員可相互廣播，不同組間隔離不同VLAN直接的通信需要在第三層實現(xiàn)，依靠IP路由協(xié)議基于交換機端口、基于MAC地址、基于IP地址劃分的VLAN等實現(xiàn)VLAN需要設備支持。802.1Q定義了VLAN幀格式，在源MAC地址后加4字節(jié)tag字段，含0x810

35、0類型標識和VID等信息,北京郵電大學信息安全中心,本章主要內容,傳輸層,傳輸層為應用層上的應用提供兩類截然不同的服務：第一類服務叫做可靠的面向連接服務(connection-oriented service)，確保正確無誤地把消息從源端傳送到目的地，使用的協(xié)議主要是TCP(Transmission Control Protocol)協(xié)議。第二類服務是不可靠的無連接服務(unreliable, connectionless serv

36、ice)，使用的協(xié)議主要是用戶數(shù)據(jù)包協(xié)議UDP(User Datagram Protocol)。一般來說，應用層協(xié)議運行在操作系統(tǒng)之上，而傳輸層協(xié)議集成在操作系統(tǒng)之中。因此，當設計網(wǎng)絡應用時，設計人員必需要指定其中的一種網(wǎng)絡傳輸協(xié)議，網(wǎng)絡多媒體應用通常使用UDP協(xié)議。,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,TCP是傳輸層上的協(xié)議，該協(xié)議定義在RFC 793，RFC 1122，RFC 1323和RFC 2001文件中。TCP

37、是面向連接的和全雙工的協(xié)議，全雙工(full duplex)的意思是，如果在主機A和主機B之間有連接，A可向B傳送數(shù)據(jù)，而B也可向A傳送數(shù)據(jù)。TCP為應用層和網(wǎng)絡層上的IP提供許多服務，其中3個最重要的服務是：可靠傳輸、流程控制、擁塞控制適用場景：對傳輸質量要求較高，以及傳輸大量數(shù)據(jù)的通信；點對點通信,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,可靠傳輸：為應用層提供可靠的面向連接服務，確保發(fā)送端發(fā)出的消息能夠被接收端正確無誤

38、地接收到。接收端的應用程序確信從TCP接收緩存中讀出的數(shù)據(jù)是否正確是通過檢查傳送的序列號、確認和出錯重傳等措施給予保證的。流程控制：連接雙方的主機都給TCP連接分配了一定數(shù)量的緩存。每當進行一次TCP連接時，接收方主機只允許發(fā)送端主機發(fā)送的數(shù)據(jù)不大于緩存空間的大小。擁擠控制：TCP保證每次TCP連接不過分加重路由器的負擔。當網(wǎng)絡上的鏈路出現(xiàn)擁擠時，經過這個鏈路的TCP連接將自身調節(jié)以減緩擁擠。,北京郵電大學信息安全中心,傳輸層-

39、TCP協(xié)議,TCP報文格式,端口號：16位域識別本機和遠程TCP服務順序號和確認號：用于可靠傳輸,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,端口號,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,TCP連接-三次握手,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,斷開TCP連接,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,滑動窗口,北京郵電大學信息安全中心,傳輸層-TCP協(xié)議,確認重傳,當主機A發(fā)送一個包含數(shù)據(jù)的消息段時，它啟動一

40、個定時器后就等待主機B對這個消息段的響應。如果在等待時間之內沒有接收到確認消息段，主機A就重發(fā)包含數(shù)據(jù)的消息段,北京郵電大學信息安全中心,傳輸層-UDP協(xié)議,UDP是一個無連接協(xié)議，傳輸數(shù)據(jù)之前源端和終端不建立連接。在接收端，UDP把每個消息段放在隊列中，應用程序每次從隊列中讀一個消息段。UDP信息包的標題很短，只有8個字節(jié)，相對于TCP的20個字節(jié)信息包的額外開銷很小。傳送速度和吞吐量不受擁擠控制算法的調節(jié)，只受應用軟件生成數(shù)

41、據(jù)的速率、傳輸帶寬、源端和終端主機性能的限制。適用場景：發(fā)送小尺寸數(shù)據(jù)（如：對DNS服務器進行IP地址查詢時，若進行連接之后再進行數(shù)據(jù)傳輸就會降低效率，這時就使用UDP。）；接收到數(shù)據(jù)，給出應答較困難的網(wǎng)絡中使用UDP；廣播式通信中,北京郵電大學信息安全中心,傳輸層-UDP協(xié)議,UDP報文格式,用戶數(shù)據(jù)包的長度：包括UDP報文頭部和數(shù)據(jù)長度和Checksum：用于檢查傳輸中是否出現(xiàn)錯誤,北京郵電大學信息安全中心,北京郵電大學信息安全

42、中心,本章主要內容,網(wǎng)絡應用與協(xié)議,應用層主要服務類型,北京郵電大學信息安全中心,應用層協(xié)議-DNS協(xié)議,DNS產生原因32比特的IP地址難于記憶，應該使用符號地址，比如用www.bupt.edu.cn表示211.68.69.254。但是，網(wǎng)絡本身是使用IP地址的，因此需要一個完成二者之間相互轉換的機制。當網(wǎng)絡規(guī)模比較小時，例如ARPANET，每臺主機只需查找一個文件（UNIX的host），該文件中列出了主機與IP地址的對應關系。

43、當網(wǎng)絡規(guī)模很大時，上述方法就不適用了，因此產生了域名系統(tǒng)DNS（Domain Name System）。,北京郵電大學信息安全中心,應用層協(xié)議-DNS協(xié)議,域名系統(tǒng)是一個典型的客戶/服務器交互系統(tǒng)；域名系統(tǒng)是一個多層次的、基于域的命名系統(tǒng)，并使用分布式數(shù)據(jù)庫實現(xiàn)這種命名機制；當應用程序需要進行域名解析時（從符號名到IP地址），它成為域名系統(tǒng)的一個客戶。它向本地域名服務器發(fā)出請求（調用resolver），請求以UDP包格式發(fā)出，域

44、名服務器找到對應的IP地址后，給出響應。當本地域名服務器無法完成域名解析，它臨時變成其上級域名服務器的客戶，遞歸解析，直到該域名解析完成。DNS本質上是一個由很多名稱服務器主機構成的層次結構的分布式數(shù)據(jù)庫系統(tǒng)，允許客戶主機和名稱服務器主機通信以使用域名轉換服務。名稱服務器主機通常是運行Berkeley Internet Name Domain(簡稱BIND)軟件的Unix主機。DNS協(xié)議運行在UDP之上，使用端口號53。,北京郵電大學

45、信息安全中心,應用層協(xié)議-DNS協(xié)議,DNS域名結構因特網(wǎng)采用了層次樹狀結構的命名方法，任何一個連接在因特網(wǎng)上的主機或路由器，都有一個惟一的層次結構名字。即域名域名的結構由若干個分量組成，各分量之間用點隔開： ….三級域名.二級域名.頂級域名。例如www.bupt.edu.cn.域名是大小寫無關的，“edu”和“EDU”相同。域名最長255個字符，每部分最長63個字符。,北京郵電大學信息安全中心,應用層協(xié)議-DNS協(xié)議,DNS

46、域名空間結構,北京郵電大學信息安全中心,應用層協(xié)議-DNS協(xié)議,頂級國際域名類型,北京郵電大學信息安全中心,應用層協(xié)議-DNS協(xié)議,DNS查詢機制,北京郵電大學信息安全中心,應用層協(xié)議-HTTP協(xié)議,1989年～1991年在歐洲粒子物理研究所(Conseil Européen pour la Recherche Nucléaire，the European Laboratory for Particle Physic

47、s，CERN)由Tim Berners-Lee構思了萬維網(wǎng)(Web)，它的4個核心部分是HTML，HTTP，Web服務器和Web瀏覽器。超文本傳輸協(xié)議(Hypertext Transfer Protocol，HTTP)是應用層協(xié)議，它定義Web頁面如何從Web服務器傳送到Web瀏覽器。直到1997年，幾乎所有Web瀏覽器和Web服務器都使用HTTP/1.0，該協(xié)議定義在RFC 1945中。從1998年開始Web瀏覽器和Web服務器開

48、始執(zhí)行HTTP/1.1，該協(xié)議定義在RFC 2068中。,北京郵電大學信息安全中心,應用層協(xié)議-HTTP協(xié)議,HTTP執(zhí)行過程,使用TCP協(xié)議傳輸與TCP的連接一旦建立，Web瀏覽器就發(fā)送一個HTTP請求消息到這個連接上，服務器接收到請求之后就給Web瀏覽器回送一個HTTP響應消息，在服務器發(fā)送響應信息之后就斷開TCP連接。,北京郵電大學信息安全中心,應用層協(xié)議-HTTP協(xié)議,HTTP請求消息,HTTP協(xié)議(RFC 1945和RFC

49、2068)定義了兩種消息格式： HTTP請求消息(HTTP Request Message)格式 HTTP響應消息(HTTP Response Message)格式。HTTP消息請求格式如圖所示,北京郵電大學信息安全中心,應用層協(xié)議-HTTP協(xié)議,HTTP響應消息,HTTP協(xié)議響應消息格式如圖：,北京郵電大學信息安全中心,應用層協(xié)議-HTTP協(xié)議,HTTP/1.1與HTTP/1.0HTTP1.1向后兼容HTTP/1.0協(xié)議HT

50、TP/1.0和HTTP/1.1都有非持續(xù)連接(non-persistent connection)和持續(xù)連接(persistent connection)功能。非持續(xù)連接是指啟動一次TCP連接服務機就向客戶機傳送一個對象，而持續(xù)連接是指服務機可在相同的TCP連接上向客戶機發(fā)送多個對象。HTTP/1.0的默認設置是非持續(xù)連接，而HTTP/1.1的默認設置是持續(xù)連接。效率低體現(xiàn)在：每次TCP需建立和斷開；對每次連接需分配發(fā)送和接收緩存；

51、對大對象TCP低速啟動算法限制傳輸速度。,北京郵電大學信息安全中心,應用層協(xié)議-電子郵件協(xié)議,SMTP與POP協(xié)議電子郵件系統(tǒng)：由和用戶進行交換的接口MUA（報文用戶媒介）、進行郵件（信息）發(fā)送的MTA（報文傳遞媒介）以及信息形式構成,北京郵電大學信息安全中心,,應用層協(xié)議-電子郵件協(xié)議,SMTP與POP協(xié)議POP的基本功能是鑒別用戶的登錄名和口令，把用戶的郵件從服務器傳送到客戶機的郵件軟件（郵件解釋程序）?，F(xiàn)在使用的版本為POP

52、3。POP協(xié)議工作在110號端口。SMTP協(xié)議是簡單郵件傳輸協(xié)議，郵件發(fā)送協(xié)議，工作在25號端口。,北京郵電大學信息安全中心,應用層協(xié)議-VoIP協(xié)議,VoIP介紹VoIP簡而言之就是將模擬聲音信號(Voice)數(shù)字化，以數(shù)據(jù)封包(Data Packet)的形式在 IP 數(shù)據(jù)網(wǎng)絡 (IP Network)上做實時傳遞?；驹硎牵和ㄟ^語音的壓縮算法對語音數(shù)據(jù)編碼進行壓縮處理，然后把這些語音數(shù)據(jù)按TCP/IP標準進行打包，經過&#

53、160;IP 網(wǎng)絡把數(shù)據(jù)包送至接收地，再把這些語音數(shù)據(jù)包串起來，經過解壓處理后，恢復成原來的語音信號，從而達到由互聯(lián)網(wǎng)傳送語音的目的。語音->模數(shù)轉換->壓縮->分包傳輸->解壓縮->數(shù)模轉換->語音常用控制協(xié)議：H.323，SIP、MGCP、H.248等,北京郵電大學信息安全中心,NGN框架下的協(xié)議應用實例,ISUP,SIGTRAN,H.248,RTP,SIP,SIP,H.323,NGN框架下的協(xié)

54、議應用實例,呼叫控制協(xié)議棧示意圖,典型的NGN控制協(xié)議棧,H.323協(xié)議棧,H.323,IP,UDP,RTP,RTCP,TCP/UDP,TCP,UDP,UDP,TCP,AudioCodecsG.711G.723.1G.729..,VideoCodecsH.261H.263H.264..,V.150,T.120,TCP/UDP,T.38,H.225.0CallSignaling,H.245,H.225.0RAS,

55、Terminal Control and Management,DataApplications,Media Control,Multimedia Applications, User Interface,,應用層協(xié)議-P2P協(xié)議,P2P介紹對等網(wǎng)絡是一種網(wǎng)絡模型，更是一種思想，在這種網(wǎng)絡中各個節(jié)點是對等的，具有相同的責任和能力并協(xié)同完成任務。與C/S模式相對應體系結構包括：集中式、分布式、混合式,北京郵電大學信息安全中心,,,北

56、京郵電大學信息安全中心,應用層協(xié)議-P2P協(xié)議,P2P網(wǎng)絡應用 文件共享類BitTorrent、Gnutella、eDonkey、Maze、迅雷等 即時通訊類Skype等 流媒體類PPlive、PPStream、QQLive、CoolStreaming等 協(xié)同處理類SETI@home、Groove、Magi、NET My Service等分布式存儲類Farsite、Ocean Store類數(shù)據(jù)存儲等........

57、.............,北京郵電大學信息安全中心,應用層協(xié)議-P2P協(xié)議,BT協(xié)議數(shù)據(jù)實例,北京郵電大學信息安全中心,應用層協(xié)議-RADIUS協(xié)議,簡介 特點遠程用戶撥號認證系統(tǒng)，目前最廣泛使用的標準認證協(xié)議，應用于AAAC/S結構，認證機制靈活，可采用PAP、CHAP、UNIX登錄認證等多種方式 工作原理用戶接入NAS（網(wǎng)絡接入服務器），NAS向RADIUS服務器提交用戶的用戶名、密碼等信息，密碼通過MD5加密，使用共享

58、密鑰服務器進行驗證，必要時可要求進一步認證。如果合法允許繼續(xù)使用網(wǎng)絡；否則拒絕用戶訪問 底層協(xié)議通過UDP傳輸，1812端口負責認證、1813端口負責計費工作,其他網(wǎng)絡監(jiān)控相關或影響,北京郵電大學信息安全中心,北京郵電大學信息安全中心,,,,,,物理層,數(shù)據(jù)鏈路層,網(wǎng)絡層,傳輸層,應用層,PPTP/L2TP/L2F,IPSEC,SSL/TLS/SSH/SOCKS,S/MIME/SET/SHTTP/PGP,通信安全協(xié)議層次,其他-V

59、PN技術,,定義虛擬專用網(wǎng)（Virtual Private Network） 是將物理分布在不同地點的網(wǎng)絡通過公用骨干網(wǎng)，尤其是Internet連接而成的邏輯上的虛擬子網(wǎng)。為了保障信息的安全，VPN技術采用了鑒別、訪問控制、保密性、完整性等措施，以防止信息被泄露、篡改和復制。虛擬（V，Virtural）是針對傳統(tǒng)的企業(yè)“專用網(wǎng)絡”而言的。傳統(tǒng)的專用網(wǎng)絡往往需要建立自己的物理專用線路，使用昂貴的長途撥號以及長途專線服務；而VPN

60、則是利用公共網(wǎng)絡資源和設備建立一個邏輯上的專用通道，盡管沒有自己的專用線路，但是這個邏輯上的專用通道卻可以提供和專用網(wǎng)絡同樣的功能。換言之，VPN雖然不是物理上真正的專用網(wǎng)絡，但卻能夠實現(xiàn)物理專用網(wǎng)絡的功能。,,定義專用（P，Private） 表示VPN是被特定企業(yè)或用戶私有的，并不是任何公共網(wǎng)絡上的用戶都能夠使用已經建立的VPN通道，而是只有經過授權的用戶才可以使用。在該通道內傳輸?shù)臄?shù)據(jù)經過了加密和認證，使得通信內容既不能被第三者

61、修改，又無法被第三者破解，從而保證了傳輸內容的完整性和機密性。因此，只有特定的企業(yè)和用戶群體才能夠利用該通道進行安全的通信。網(wǎng)絡（N，Network）表示這是一種專門的組網(wǎng)技術和服務，企業(yè)為了建立和使用VPN必須購買和配備相應的網(wǎng)絡設備。,其他-VPN技術,,分類按業(yè)務類型劃分 （Access，Intranet和Extranet）Access VPN（遠程訪問VPN） ：適用于企業(yè)內部人員流動頻繁或遠程辦公的情況，出差員工或者

62、在家辦公的員工利用當?shù)豂SP就可以和企業(yè)的VPN網(wǎng)關建立私有的隧道連接—對應于傳統(tǒng)的遠程訪問內部網(wǎng)絡。在傳統(tǒng)方式中，在企業(yè)網(wǎng)絡內部需要架設一個撥號服務器作為RAS（Remote Access Server），用戶通過撥號到該RAS來訪問企業(yè)內部網(wǎng)?！狝ccess VPN通過撥入當?shù)氐腎SP進入Internet再連接企業(yè)的VPN網(wǎng)關，在用戶和VPN網(wǎng)關之間建立一個安全的“隧道”，通過該隧道安全地訪問遠程的內部網(wǎng)，撥入方式包括

63、撥號、ISDN、數(shù)字用戶線路(xDSL)等,其他-VPN技術,Intranet VPN（企業(yè)內部VPN）：如果要進行企業(yè)內部異地分支機構的互聯(lián)，可以使用Intranet VPN方式，這是所謂的網(wǎng)關對網(wǎng)關VPN，它對應于傳統(tǒng)的Intranet解決方案— 在異地兩個網(wǎng)絡的網(wǎng)關之間建立了一個加密的VPN隧道，兩端的內部網(wǎng)絡可以通過該VPN隧道安全地進行通信，就好像和本地網(wǎng)絡通信一樣?！?Intranet VPN利用公共網(wǎng)絡（如Intern

64、et）的基礎設施，連接企業(yè)總部、遠程辦事處和分支機構。企業(yè)擁有與專用網(wǎng)絡相同的策略，包括安全、服務質量(QoS)、可管理性和可靠性。,其他-VPN技術,Extranet VPN（企業(yè)內部VPN）：如果一個企業(yè)希望將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內部網(wǎng)，可以使用Extranet VPN，它對應于傳統(tǒng)的Extranet解決方案— Extranet VPN其實也是一種網(wǎng)關對網(wǎng)關的VPN，與Intranet VPN不同的是，它需要

65、在不同企業(yè)的內部網(wǎng)絡之間組建，需要有不同協(xié)議和設備之間的配合和不同的安全配置。,其他-VPN技術,,發(fā)起主體劃分客戶發(fā)起，也稱基于客戶的VPN 服務器發(fā)起，也稱客戶透明方式或基于網(wǎng)絡的VPN按隧道協(xié)議層次劃分二層隧道協(xié)議：L2F/L2TP、PPTP 三層隧道協(xié)議：GRE、IPSec介于二、三層間的隧道協(xié)議：MPLS基于Socket V5的VPN按實現(xiàn)方式劃分硬件實現(xiàn)軟件實現(xiàn),其他-VPN技術,優(yōu)點降低成本 利

66、用了現(xiàn)有的Internet或其他公共網(wǎng)絡的基礎設施為用戶創(chuàng)建安全隧道，不需要使用專門的線路，如DDN和PSTN，這樣就節(jié)省了專門線路的租金。如果是采用遠程撥號進入內部網(wǎng)絡，訪問內部資源，還需要支付長途話費；而采用VPN技術，只需撥入當?shù)氐腎SP就可以安全地接入內部網(wǎng)絡，這樣也節(jié)省了線路話費。易于擴展如果采用專線連接，實施起來比較困難，在分部增多、內部網(wǎng)絡結點越來越多時，網(wǎng)絡結構趨于復雜，費用昂貴。如果采用VPN，只是在結點處架設VP

67、N設備，就可以利用Internet建立安全連接，如果有新的內部網(wǎng)絡想加入安全連接，只需添加一臺VPN設備，改變相關配置即可。安全特性 VPN技術利用可靠的加密認證技術，在內部網(wǎng)絡之間建立隧道，能夠保證通信數(shù)據(jù)的機密性和完整性，保證信息不被泄漏或暴露給未授權的實體，保證信息不被未授權的實體改變、刪除或替代,其他-VPN技術,關鍵技術隧道技術 定義：實質上是一種封裝，將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實現(xiàn)協(xié)議

68、X對公用傳輸網(wǎng)絡(采用協(xié)議Y)的透明性。隧道協(xié)議內包括以下三種協(xié)議 ---乘客協(xié)議（Passenger Protocol） ---封裝協(xié)議（Encapsulating Protocol） ---運載協(xié)議（Carrier Protocol）隧道協(xié)議例子分類依據(jù)：被封裝的數(shù)據(jù)在OSI/RM的層次。如二層隧道：PPTP、L2TP；三層隧道：IPSEC,其他-