TCP相关知识.docVIP

TCP/IP相关知识 TCP/IP模型于1974年被提出，其初衷是设计一套以无缝方式实现各种网络之间互连的技术标准，该标准的制定于20世纪80年代后期完成。TCP/IP参考模型是一个抽象的分层模型，该模型中，所有的TCP/IP网络协议都被归类到4个抽象的“层”中。每一抽象层建立在低一层提供的服务基础上，并且为高一层服务。整个TCP/IP栈则负责解决数据如何通过许许多多的点对点通道畅通。 TCP/IP模型共有4层，从低到高依次为链路层、网络层、传输层和应用层。应用层的协议主要有FTP、SMTP、Telnet、DNS、HTTP、NNTP(Network News Transport Protocol）等。传输层协议有TCP和UDP。网络层的协议有IP、ICMP、ARP和RARP。数据链路层的协议有Ethernet、Token Bus、Token Ring、FDDI和WLAN等。 1、IP协议 IP是TCP/IP模型的心脏，也是网络层中最重要的协议。IP主要负责把数据从源地址传送到目的地址。IP曾接收由更低层（如链路层以太网设备驱动???序）发来的数据包，并把该数据包发送到更高层--TCP曾或UDP层；相应地，IP层也把TCP或UDP层接收来的数据包传送到更低层。IP数据包是不可靠的，因为IP并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。 Internet上每一台主机都有自己唯一的IP地址，数据包在网络上传输时必须包含IP地址，接收方在收到数据时就能够根据数据包中的IP地址来查找唯一的发送方。攻击者为了打到隐藏自己的目的，隐藏IP地址是第一步，方法主要有以下几种:利用被侵入的主机作为跳板，盗用他人帐号上网，通过代理网关实施攻击，伪造IP地址，利用TCP漏洞进行会话劫持等，通过收费的VPN代理进行连接隐藏。 在攻击中需隐藏的除IP地址外还有连接隐藏、进程隐藏、文件隐藏、监控信息消除等。 2、TCP协议 在TCP/IP中，TCP提供可靠的链接服务，是面向链接的端到端的可靠协议。TCP是网络传输的基础，网络上的大部分数据传输都踩哟个了这个协议。每个勇于传送TCP的通道都有个端口标记，因为这个标记是由每个TCP终端确定的，因此可能并不是唯一，为了保护这个数值的唯一性，需要使用IP地址和端口号的组合来达到唯一标识的目的，我们称这个组合为套接字（socket)。关于TCP的RFC文档有RFC793、RFC791、RFC1700等。 TCP采用三次握手的方式建立一个连接。 第一次握手：建立连接时，服务器在TCP某个端口监听（listen()函数），客户端发送SYN(连接请求方设置的初始序列号，初始一次连接）包（SYN=j）到服务器（调用connect（）函数），并进入SYN_SEND状态，等待服务器确认。 第二次握手：服务器收到SYN包（accept()函数），必须确认客户端的SYN(ack=j=1),同时自己也发送一个SYN包（SYN=k),即SYN+ACK包，此时服务器从LISTEN状态进入SYN_RECV状态。 第三次握手：客户端收到服务器的SYN+ACK包（connect函数调用返回），向服务器发送确认包ACK（ack=k+1),此包发送完毕后，客户端进入ESTABLISHED状态，服务器收到此包后进入ESTABLISHED状态，完成第三次握手。 TCP可被黑客用来做很多攻击，主要有扫描、拒绝服务攻击和利用协议的部分字段建立网络隐蔽通道等。 3、UDP协议 UDP协议提供了一种不可靠传输的服务，它的实现相对于TCP极为简单。它主要勇于可靠性高的局域网和对可靠性要求不高的通信中。次协议提供了向另一用户程序发送信息的最简便的协议机制，协议是面向操作的，未提供提交和复制保护。建立在UDP协议上的应用程序有NFS、SNMP、DNS等，次协议最主要的用途是用于网际名称服务器和小文件传输。 UDP协议也可以被黑客用来作为UDP扫描和探测，但扫描却十分不可靠。 4、ICMP协议 ICMP协议用用非常广泛。ICMP协议的数据被封装在IP包中，被用于报告在传输报文的过程中发生的各种情况，包括目标不存在、传送路径不正确等信息。也可以通过ICMP测试主机之间的连接是否中断，甚至可以利用ICMP控制特定主机的报文传输量，并提供许多网络管理和状态信息。 5、ARP协议 ARP（地址解析协议）和RARP（逆向地址解析协议）是一起存在的一对协议。IP数据包通过以太网发送，但以太网设备并不识别32位IP地址：它们是依靠数据链路层的48位以太网地址（MAC地址Media Access Control存储在网卡的