计算机网络技术 知识及应用第2章网络体系结构和TCPIP协议.ppt

控制位：共有6位，分别置1，表示有效；置0，表示无效 窗口大小：这个域指示发送方想要接受的数据字节数。 检验和：效验和是报文头和内容按1的补码和计算得到的16位数。 紧急指令：只有当URG标志置1时紧急指令才有效。紧急指令是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。 选项：选项可能在头的后面被发送，但是必须被完全并且是8位长度的倍数。 3．TCP的连接管理 TCP运输连接分3个阶段：建立联系、传送数据和释放连接。 TCP协议是一种面向连接的、可靠的传输层协议。面向连接是指一次正常的TCP传输需要通过在TCP客户端和TCP服务端建立特定的虚电路连接来完成，该过程通常被称为“三次握手”。 4．捕获数据包时观察到的信息 Sniffer可以实时监控主机、协议、应用程序、不同数据包类型等的分布情况。 Dashboard：可以实时统计每秒接收到的数据包的数量、出错数据包的数量、丢弃数据包的数量、广播数据包的数量、多播数据包的数量以及宽带的利用率等。 HostTable：可以查看通信量最大的前10位主机。 Matrix：通过连线，可以形象地看到不同主机之间的通信。 ApplicationResponseTime：可以了解到不同主机通信的最小、最大、平均响应时间方面的信息。 HistorySamples：可以看到历史数据抽样出来的统计值。 Protocoldistribution：可以实时观察数据流中不同协议的分布情况。 Switch：可以获取Cisco交换机的状态信息。 在捕获过程中，同样可以对想观察的信息定义过滤规则，操作方式类似捕获前的过滤规则。 5．捕获数据包后的分析工作 停止抓包后出现分析界面 专家是Sniffer提供的专家模式，系统自身根据捕获的数据包从链路层到应用层进行分类并进行诊断。其中Diagnoses提出非常有价值的诊断信息。 6．设置显示过滤器 选择Display→Define filter，可设置显示过滤器，方法和设置捕获过滤器类似。 7．Sniffer提供的工具应用 Sniffer除了提供数据包的捕获、解码及诊断外，还提供了一系列的工具，包括包发生器、Ping、Traceroute、DNSlookup、Finger、Whois等工具。 包发生器提供3种生成数据包的方式： 新构一个数据包，包头、包内容及包长由用户直接填写。 发送在Decode中所定位的数据包，同时可以在此数据包的基础上对数据包进行如前述的修改。 发送buffer中所有的数据包，实现数据流的重放。 2.3.1 TCP/IP协议基础 2.3.2 ARP协议 2.3.5 UDP协议 2.3.6 TCP协议 2.3.3 IP协议 2.3.4 ICMP协议 2.3 TCP/IP 协议 2.3.1 TCP/IP协议基础 1. TCP/IP的分层 TCP/IP由4层组成，这与OSI由7层组成不相同。这4层包括应用层（Application）、传输层（Transport）、网络层（Network）和链路层（Link），如图2-13所示。 网络协议通常分不同层次进行开发，每一次分别负责不同的通信功能。 2．TCP/IP协议族 在TCP/IP协议族中，有很多种协议 。 TCP和UDP是两种最为著名的运输层协议，二者都使用IP作为网络层协议。UDP为应用程序发送和接收数据报。一个数据报是指从发送方式传输接收方的一个信息单元，但是与TCP不同的是，UDP是不可靠的，它不能保证数据报能安全无误地到达最终目的地。 IP是网络层上的主要协议，同时被TCP和UCP使用。TCP和UCP的每组数据都通过端系统和每个中间路由器的IP层在互联网中进行传输。 ICMP是IP协议的附属协议。IP层用它来与其他主机或路由器交换错误报文和其他重要信息。 ARP（地址解析协议）和RARP（逆地址解析协议）是某些网络接口（如以太网和树子环网）使用的特殊协议，用来转换IP层和网络接口层使用的地址。 3．封装 当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当做一串比特流入网络。其中每一层对收到的数据都要增加一些首部信息（有时还要增加尾部信息），该过程如图2-15所示。TCP传给IP的数据单元称为TCP报文或TCP段（TCP Segment）; IP传给网络接口层的数据单元称为IP数据报（IP Datagram）；通过以太网传输的比特流称为帧（Frame）。 许多应用程序用TCP或UDP来传送数据，因此运输层协议在生成报文首部时要存入一个应用程序的标识符，以表明数据来源哪种应用程序。为此，TCP和UDP都用一个16bit的端口号来表示