因特网与TCPIP安全.ppt

因特网与TCP/IP安全 5.1 TCP/IP协议栈 5.2 互联网地址 5.3 协议封装 5.4 IP协议 5.1 TCP/IP协议栈 因特网(Internet)依赖于一组称为TCP/IP的协议组。TCP/IP是一组通信协议集的缩写，它包含了一组互补和合作的协议。所有这些协议共同工作，以便在因特网上传输信息。 我们知道，ISO/OSI模型将网络表示为一个垂直的模块(或分层)协议栈，每层完成特定的功能。TCP/IP协议栈只是许多支持ISO/OSI分层模型的协议栈的一种。TCP/IP通常被认为是一个四层协议系统，如图5-1所示。 ISO/OSI参考模型将网络设计划分成七个功能层，但此模型只起到一个指导作用——它本身并不是一个规范。例如，TCP/IP网络只使用ISO/OSI模型的五层。图5-2显示了一个简单的五层网络模型，其中每层都采用了TCP/IP协议。网络层和相应的协议层组成了该模型，数据通过此模型在应用程序和网络硬件之间进行传递。 图5-2中，有箭头的线表示不同的网络软件和硬件之间可能的通信信道。例如，为了和传输层通信，应用程序必须与用户数据报协议(UDP)或传输控制协议(TCP)模块对话；为了和网络层通信，应用程序必须与互联网控制报文协议(ICMP)或者互联网协议(IP)模块对话。但是，不管数据通过什么路径从应用层到网络层，数据都必须经过IP模块才能到达网络硬件。 在TCP/IP协议体系结构中，每层负责不同的网络通信功能： (1) 链路层，有时也称作数据链路层或网络接口层，通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆(或其它任何传输媒介)的物理接口细节以及数据帧(Frame)的组装。 (2) 网络层，有时也称作互联网层，处理分组(Packet)在网络中的活动，例如分组的选路。在TCP/IP协议族中，网络层协议包括IP 协议、ICMP协议以及IGMP协议(因特网组管理协议)。 (3) 传输层主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中，有两个互不相同的传输协议：TCP(传输控制协议)和UDP(用户数据报协议)。TCP 为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的数据分成合适的小块(段：Segment)交给下面的网络层、确认接收到的分组报文、设置发送的最后确认分组的超时时钟等。由于传输层提供了高可靠性的端到端的通信，因此应用层可以忽略所有这些细节。 另一方面，UDP则为应用层提供一种非常简单的服务。它只是把称作数据报(Datagram)的分组从一台主机发送到另一台主机，但并不保证该数据报能到达另一端。任何必要的可靠性必须由应用层自己负责提供。这两种传输层协议在不同的应用程序中分别有不同的用途，这一点将在后面看到。 (4) 应用层负责处理特定的应用程序细节。几乎各种不同的TCP/IP实现都会提供下面这些通用的应用程序： ① Telnet(远程登录) ② FTP(文件传输协议) ③ SMTP(简单邮件传输协议) ④ SNMP(简单网络管理协议) 5.2 互 联 网 地 址 互联网上的每个接口必须有一个惟一的互联网地址(也称作IP地址)，长32比特。互联网地址并不采用平面形式的地址空间，如1、2、3等，它具有一定的层次结构。五类不同的互联网地址格式如图5-3所示。 这些32位的地址通常写成四个十进制的数，其中每个整数对应一个字节。这种表示方法称作“点分十进制表示法”(Dotted Decimal Notation)。例如，作者的系统就是一个B 类地址，它表示为：3。 区分各类地址的最简单方法是看它的第一个十进制整数。图5-4列出了各类地址的起止范围，其中第一个十进制整数用加黑字体表示。 需要注意的是，多接口主机(例如路由器)具有多个IP 地址，其中每个接口都对应一个IP 地址。 5.3 协 议 封 装 当应用程序用TCP/IP传送数据时，数据被送入协议栈中，然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些头部信息(有时还要增加尾部信息)，该过程如图5-5所示。TCP传给IP的数据单元称作TCP报文段或简称为TCP段(TCP