㈠ 什麼是TCPIP協議
Transmission Control Protocol/Internet Protocol的簡寫,中譯名為傳輸控制協議/網際網路互聯協議,又名網路通訊協議,是Internet最基本的協議、Internet國際互聯網路的基礎,由網路層的IP協議和傳輸層的TCP協議組成。TCP/IP 定義了電子設備如何連入網際網路,以及數據如何在它們之間傳輸的標准。協議採用了4層的層級結構,每一層都呼叫它的下一層所提供的協議來完成自己的需求。通俗而言:TCP負責發現傳輸的問題,一有問題就發出信號,要求重新傳輸,直到所有數據安全正確地傳輸到目的地。而IP是給網際網路的每一台聯網設備規定一個地址。
㈡ 遇到5大安全問題應怎麼 解決
在本文中,筆者重點解析了TCP/IP協議棧面臨的五大網路安全問題,也介紹到企業網路安全管理人員在面臨問題時所能採取的應對措施。 1. IP欺騙 IP Spoof即IP 電子欺騙,可以理解為一台主機設備冒充另外一台主機的IP地址與其他設備通信,從而達到某種目的技術。早在1985年,貝爾實驗室的一名工程師Robbert Morris在他的一篇文章“A weakness in the 4.2bsd UNIX TCP/IP software”中提出了IP Spoof的概念,有興趣的讀者可參見原文:/~emv/tubed/archives/Morris_weakness_in_ TCPIP.txt 。 但要注意:單碼空純憑借IP Spoof技術不可能很好地完成一次完整的攻擊,因為現有IP Spoof技術是屬於一種“盲人”式的入侵手段。 一般來說,IP欺騙攻擊有6個步驟: (1)首先使被信任主機的網路暫時癱瘓,以免對攻擊造成干擾; (2)然後連接到目標機的某個埠來猜測ISN基值和增加規律; (3)接下來把源地址偽裝成被信任主機,發送帶有SYN標志的數據段請求連接; (4)然後等待目衡頌標機發送SYN+ACK包給已經癱瘓的主機; (5)最後再次偽裝成被信任主機向目標機發送的ACK,此時發送的數據段帶有預測的目標機的ISN+1; (6)連接建立,發送命令請求。 下面是它的兩個關鍵步驟: (1)使被信任主機失去工作能力 為了偽裝成被信任主機而不露餡,需要使其完全失去工作能力。由於攻擊者將要代替真正的被信任主機,他必須確保真正的被信任主機不能收到任何有效的網路數據,否則將會被揭穿。有許多方法可以達到這個目的(如SYN洪水攻擊、Land等攻擊)。 (2)序列號取樣和猜測 對目標主機進行攻擊,必須知道目標主機的數據包序列號。通常如何進行預測呢?往往先與被攻擊主機的一個埠(如25埠)建立起正常連接。通常,這個過程被重復N次,並將目標主機最後所發送的ISN存儲起來。然後還需要估計他的主機與被信任主機之間的往返時間,這個時間是通過多次統計平均計算出來的。如果往返連接增加64,000,則現就可以估計出ISN的大小是128,000乘以往返時間的一半,如果此時目標主機剛剛建立過一個連接,那麼再加上64,00。一旦估計出ISN的大小,就開始著手進行攻擊,當然你的虛假TCP數據包進入目標主機時,如果剛才估計的序列號是准確的,進入的數據將被放置在目標機的緩沖區中。 但是在實際攻擊過程中往往沒這么幸運,如果估計的序列號小於正確值,那麼將被放棄。而如果估計的序列號大於正確值,並且在緩沖區的大小之內,那麼該數據被認為是一個未來的數據,TCP模塊將等待其他缺少的數據。如果估計序列號大於期待的數字且不在緩沖區之內,TCP將會放棄它並返回一個期望獲得的數據序列號。偽裝成被信任的主機IP後,此時該主機仍然處在癱瘓狀態,然後向目標主機的被攻擊埠(如25)發送連接請求。目標主機立刻對連接請求作出反應,發更新SYN+ACK確認包給被信任主機,因為此時被信任主機仍然處於癱瘓狀態,它當然無法收到這個包,緊接著攻擊者向目標主機發送ACK數據包,該數據包使用前面估計的序列號加1。如果攻擊者估計正確的話,目標主機將會接收該ACK。連接就正式建立起了,可以開始數據傳輸了。 對於來自網路外部的欺騙,防範的方法很簡單,只需要在區域網的對外路由器上加一個限制設置就可以實現了,在路由器的設置裡面禁止運行聲稱來自於網路內部的信息包。 對於來自區域網外部的IP欺騙攻擊的防範則可以使用防火牆進行防範,但是對於來自內部的攻擊通過設置防火牆則起不到什麼作用,這個時候應該注意內部網的路由器是否支持內部介面。如果路由器支持內部網路子網的兩個介面,則必須提高警惕,因為遲攔瞎它很容易受到IP欺騙。 通過對信息包的監控來檢查IP欺騙攻擊將是非常有效的方法,使用netlog等信息包檢查工具對信息的源地址和目的地址進行驗證,如果發現了信息包來自兩個以上的不同地址,則說明系統有可能受到了IP欺騙攻擊,防火牆外面正有黑客試圖入侵系統。 2. SYN Flooding SYN Flooding是最為有效和流行的一種DoS攻擊形式。它利用TCP三次握手協議的缺陷,向目標主機發送大量的偽造源地址的SYN連接請求,消耗目標主機的資源,從而不能夠為正常用戶提供服務。 在TCP會話初期,有所謂的“三次握手”過程:對每次發送的數據量是怎樣跟蹤進行協商使數據段的發送和接收同步,根據所接收到的數據量而確定的數據確認數及數據發送、接收完畢後何時撤消聯系,並建立虛連接。為了提供可靠的傳送,TCP在發送新的數據之前,以特定的順序將數據包進行編號,並需要等待這些包傳送給目標機之後的確認消息。TCP總是用來發送大批量的數據。當應用程序在收到數據後要做出確認時也要用到TCP。由於TCP要時刻跟蹤,這需要額外開銷,使得TCP的格式有些顯得復雜。 TCP三次握手的步驟如下: (1)設主機A要與主機B通信,要建立一個TCP連接。首先,主機B(在這兒是伺服器),必須先運行一個伺服器進程,發出一個“被動找開”命令給TCP。之後伺服器進程便不斷探測埠,看是否有客戶進程有連接請求。並處於“聽”狀態。客戶端主機A的應用進程,向其TCP發“主動打開”命令,指明要與某個IP地址的某個埠建立TCP連接。第一次主機A的TCP便向主機B的TCP發出連接請求報文。TCP報文中指明了要連接的IP地址(隱含TP數據報指明)和埠號,設置能夠接受的TCP數據段最大值,以及一些用戶數據,SYN=1,ACK=0。這稱為“第一次握手”。 (2)主機A的連接請求到達主機B後,主機B的TCP查看是否有進程在偵聽該埠,如沒有,就發送一個RST=1的應答,拒絕連接,否則將到達TCP數據段留給“偵聽”進程。“偵聽”進程將發回一個應答TCP報文段,其中SYN=1,ACK=1,確認序號ACKSEQ=X+1,同時自己選一個發送序號SEQ=Y。這是“第二次握手”。 (3)主機A收到主機B的確認報文後,再向主機B發出一個確認TCP報文段,其中SYN=1,ACK=1,SEQ=X+1,ACKSEQ=Y+1,這就完成了“第三次握手”。 在SYN Flooding攻擊中,黑客機器向受害主機發送大量偽造源地址的TCP SYN報文,受害主機分配必要的資源,然後向源地址返回SYN+ACK包,並等待源端返回ACK包,如圖1所示。由於源地址是偽造的,所以源端永遠都不會返回ACK報文,受害主機繼續發送SYN+ACK包,並將半連接放入埠的積壓隊列中,雖然一般的主機都有超時機制和默認的重傳次數,但是由於埠的半連接隊列的長度是有限的,如果不斷地向受害主機發送大量的TCP SYN報文,半連接隊列就會很快填滿,伺服器拒絕新的連接,將導致該埠無法響應其他機器進行的連接請求,最終使受害主機的資源耗盡。 圖1 SYN Flooding攻擊示意圖 目前在防禦SYN Flooding攻擊方面有2種比較有效的技術。 (1)SYN-cookie技術 一般情況下,當伺服器收到一個TCP SYN報文後,馬上為該連接請求分配緩沖區,然後返回一個SYN+ACK報文,這時形成一個半連接。SYN Flooding正是利用了這一點,發送大量的偽造源地址的SYN連接請求,而不完成連接。這樣就大量地消耗伺服器的資源。 SYN-cookie技術針對標准TCP連接建立過程資源分配上的這一缺陷,改變了資源分配的策略。當伺服器收到一個SYN報文後,不立即分配緩沖區,而是利用連接的信息生成一個cookie,並將這個cookie作為將要返回的SYN+ACK報文的初始序列號。當客戶端返回一個ACK報文時,根據包頭信息計算cookie,與返回的確認序列號(初始的序列號+1)的前24位進行對比,如果相同,則是一個正常連接,然後,分配資源,建立連接。 該技術的巧妙之點在於避免了在連接信息未完全到達前進行資源分配,使SYN Flooding攻擊的資源消耗失效。實現的關鍵之處在於cookie的計算。cookie的計算應該做到包含本次連接的狀態信息,使攻擊者不能偽造cookie。cookie的計算過程如下。 ① 伺服器收到一個SYN包後,計算一個消息摘要mac: mac = MAC(A,k) MAC是密碼學中的一個消息認證碼函數,也就是滿足某種安全性質的帶密鑰的hash函數,它能夠提供cookie計算中需要的安全性。A為客戶和伺服器雙方的IP地址和埠號以及參數t的串聯組合:A = SOURCE_IP SOURCE_PORT DST_IP DST_PORT t;K為伺服器獨有的密鑰;時間參數t為32比特長的時間計數器,每64秒加1; ② 生成cookie: cookie = mac(0:24):表示取mac值的第0到24比特位; ③ 設置將要返回的SYN+ACK報文的初始序列號,設置過程如下: · 高24位用cookie代替; · 接下來的3比特位用客戶要求的最大報文長度MMS代替; · 最後5比特位為t mod 32。 客戶端收到來自伺服器SYN+ACK報文後,返回一個ACK報文,這個ACK報文將帶一個cookie(確認號為伺服器發送過來的SYN ACK報文的初始序列號加1,所以不影響高24位),在伺服器端重新計算cookie,與確認號的前24位比較,如果相同,則說明未被修改,連接合法,然後,伺服器完成連接的建立過程。 SYN-cookie技術由於在連接建立過程中不需要在伺服器端保存任何信息,實現了無狀態的三次握手,從而有效地防禦了SYN Flooding攻擊。但是該方法也存在一些弱點。由於cookie的計算只涉及了包頭的部分信息,在連接建立過程中不在伺服器端保存任何信息,所以失去了協議的許多功能,比如超時重傳。此外,由於計算cookie有一定的運算量,增加了連接建立的延遲時間,因此,SYN-cookie技術不能作為高性能伺服器的防禦手段。通常採用動態資源分配機制,即分配了一定的資源後再採用cookie技術,Linux系統中的SYN-cookie就是這樣實現的。還有一個問題是,當我們避免了SYN Flooding攻擊的同時,也提供了另一種拒絕服務攻擊方式,攻擊者發送大量的ACK報文,使伺服器忙於計算驗證。盡管如此,在預防SYN Flooding攻擊方面,SYN-cookie技術仍然是一種有效的技術。 (2)地址狀態監控的解決方法 地址狀態監控的解決方法是利用監控工具對網路中的有關TCP連接的數據包進行監控,並對監聽到的數據包進行處理。處理的主要依據是連接請求的源地址。 每個源地址都有一個狀態與之對應,總共有四種狀態: · 初態:任何源地址剛開始的狀態; · NEW狀態:第一次出現或出現多次也不能斷定存在的源地址的狀態; · GOOD狀態:斷定存在的源地址所處的狀態; · BAD狀態:源地址不存在或不可達時所處的狀態。 具體的動作和狀態轉換根據TCP頭中的位碼值決定。 ① 監聽到SYN包,如果源地址是第一次出現,則置該源地址的狀態為NEW狀態;如果是NEW狀態或BAD狀態;則將該包的RST位置1然後重新發出去,如果是GOOD狀態不作任何處理。 ② 監聽到ACK或RST包,如果源地址的狀態為NEW狀態,則轉為GOOD狀態;如果是GOOD狀態則不變;如果是BAD狀態則轉為NEW狀態;如果是BAD狀態則轉為NEW狀態。 ③ 監聽到從伺服器來的SYN ACK報文(目的地址為addr),表明伺服器已經為從addr發來的連接請求建立了一個半連接,為防止建立的半連接過多,向伺服器發送一個ACK包,建立連接,同時,開始計時,如果超時,還未收到ACK報文,證明addr不可達,如果此時addr的狀態為GOOD則轉為NEW狀態;如果addr的狀態為NEW狀態則轉為BAD狀態;如果為addr的狀態為BAD狀態則不變。 地址狀態的轉換圖如圖2所示。 圖2 地址狀態轉換圖 下面分析一下基於地址狀態監控的方法如何能夠防禦SYN Flooding攻擊。 對於一個偽造源地址的SYN報文,若源地址第一次出現,則源地址的狀態為NEW狀態,當監聽到伺服器的SYN+ACK報文,表明伺服器已經為該源地址的連接請求建立了半連接。此時,監控程序代源地址發送一個ACK報文完成連接。這樣,半連接隊列中的半連接數不是很多。計時器開始計時,由於源地址是偽造的,所以不會收到ACK報文,超時後,監控程序發送RST數據包,伺服器釋放該連接,該源地址的狀態轉為BAD狀態。之後,對於每一個來自該源地址的SYN報文,監控程序都會主動發送一個RST報文。 對於一個合法的SYN報文,若源地址第一次出現,則源地址的狀態為NEW狀態,伺服器響應請求,發送SYN+ACK報文,監控程序發送ACK報文,連接建立完畢。之後,來自客戶端的ACK很快會到達,該源地址的狀態轉為GOOD狀態。伺服器可以很好地處理重復到達的ACK包。 3. ACK Flooding ACK Flooding攻擊是在TCP連接建立之後,所有的數據傳輸TCP報文都是帶有ACK標志位的,主機在接收到一個帶有ACK標志位的數據包的時候,需要檢查該數據包所表示的連接四元組是否存在,如果存在則檢查該數據包所表示的狀態是否合法,然後再向應用層傳遞該數據包。如果在檢查中發現該數據包不合法,例如該數據包所指向的目的埠在本機並未開放,則主機操作系統協議棧會回應RST包告訴對方此埠不存在。 這里,伺服器要做兩個動作:查表、回應ACK/RST。這種攻擊方式顯然沒有SYN Flooding給伺服器帶來的沖擊大,因此攻擊者一定要用大流量ACK小包沖擊才會對伺服器造成影響。按照我們對TCP協議的理解,隨機源IP的ACK小包應該會被Server很快丟棄,因為在伺服器的TCP堆棧中沒有這些ACK包的狀態信息。但是實際上通過測試,發現有一些TCP服務會對ACK Flooding比較敏感,比如說JSP Server,在數量並不多的ACK小包的打擊下,JSP Server就很難處理正常的連接請求。對於Apache或者IIS來說,10kbps的ACK Flooding不會構成危脅,但是更高數量的ACK Flooding會造成伺服器網卡中斷頻率過高,負載過重而停止響應。可以肯定的是,ACK Flooding不但可以危害路由器等網路設備,而且對伺服器上的應用有不小的影響。 如果沒有開放埠,伺服器將直接丟棄,這將會耗費伺服器的CPU資源。如果埠開放,伺服器回應RST。 利用對稱性判斷來分析出是否有攻擊存在。所謂對稱性判斷,就是收包異常大於發包,因為攻擊者通常會採用大量ACK包,並且為了提高攻擊速度,一般採用內容基本一致的小包發送。這可以作為判斷是否發生ACK Flooding的依據,但是目前已知情況來看,很少有單純使用ACK Flooding攻擊,通常都會和其他攻擊方法混合使用,因此,很容易產生誤判。 一些防火牆應對的方法是:建立一個hash表,用來存放TCP連接“狀態”,相對於主機的TCP協議棧實現來說,狀態檢查的過程相對簡化。例如,不作sequence number的檢查,不作包亂序的處理,只是統計一定時間內是否有ACK包在該“連接”(即四元組)上通過,從而“大致”確定該“連接”是否是“活動的”。 4. UDP Flooding UDP Flooding是日漸猖厥的流量型DoS攻擊,原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS伺服器,或Radius認證伺服器、流媒體視頻伺服器。100kbps的UDP Flooding經常將線路上的骨幹設備例如防火牆打癱,造成整個網段的癱瘓。由於UDP協議是一種無連接的服務,在UDP Flooding攻擊中,攻擊者可發送大量偽造源IP地址的小UDP包。但是,由於UDP協議是無連接性的,所以只要開了一個UDP的埠提供相關服務的話,那麼就可針對相關的服務進行攻擊。 正常應用情況下,UDP包雙向流量會基本相等,而且大小和內容都是隨機的,變化很大。出現UDP Flooding的情況下,針對同一目標IP的UDP包在一側大量出現,並且內容和大小都比較固定。 UDP協議與TCP 協議不同,是無連接狀態的協議,並且UDP應用協議五花八門,差異極大,因此針對UDP Flooding的防護非常困難。其防護要根據具體情況對待。 · 判斷包大小:如果是大包攻擊則使用防止UDP碎片方法。根據攻擊包大小設定包碎片重組大小,通常不小於1500。在極端情況下,可以考慮丟棄所有UDP碎片。 · 攻擊埠為業務埠:根據該業務UDP最大包的長度設置檢測UDP最大包以過濾異常流量。 · 攻擊埠為非業務埠:一個是丟棄所有UDP包,可能會誤傷正常業務;另一個是建立UDP連接規則,要求所有去往該埠的UDP包,必須首先與TCP埠建立TCP連接。不過這種方法需要很專業的防火牆或其他防護設備支持。 在網路的關鍵之處使用防火牆對來源不明的有害數據進行過濾,可以有效減輕UDP Flooding攻擊。此外,在用戶的網路中還應採取如下的措施。 · 禁用或過濾監控和響應服務。 · 禁用或過濾其他的 UDP 服務。 · 如果用戶必須提供一些 UDP 服務的外部訪問,那麼需要使用代理機制來保護那種服務,保證它不會被濫用。 · 對用戶的網路進行監控以了解哪些系統在使用這些服務,並對濫用的跡象進行監控。 · 對於一些小型的伺服器,可以直接用防火牆添加規則的方法屏蔽掉。 5. Connection Flooding Connection Flooding是典型的並且非常的有效的利用小流量沖擊大帶寬網路服務的攻擊方式,這種攻擊方式目前已經越來越猖獗。這種攻擊的原理是利用真實的IP地址向伺服器發起大量的連接,並且建立連接之後很長時間不釋放,佔用伺服器的資源,造成伺服器上殘余連接(WAIT狀態)過多,效率降低,甚至資源耗盡,無法響應其他客戶所發起的連接。 其中一種攻擊方法是每秒鍾向伺服器發起大量的連接請求,這類似於固定源IP的SYN Flooding攻擊,不同的是採用了真實的源IP地址。通常這可以在防火牆上限制每個源IP地址每秒鍾的連接數來達到防護目的。但現在已有工具採用慢速連接的方式,也即幾秒鍾才和伺服器建立一個連接,連接建立成功之後並不釋放並定時發送垃圾數據包給伺服器使連接得以長時間保持。這樣一個IP地址就可以和伺服器建立成百上千的連接,而伺服器可以承受的連接數是有限的,這就達到了拒絕服務的效果。 另外,蠕蟲大規模爆發的時候,由於蠕蟲代碼比較簡單,傳播過程中會出現大量源IP地址相同的包,對於 TCP 蠕蟲,則表現為大范圍掃描行為。這是在判斷Connection Flooding時需要注意的。 該攻擊的一般表現形式是:在受攻擊的伺服器上使用netstat –an命令來查看,會發現大量連接狀態來自少數的幾個源。如果統計的話,可以看到連接數對比平時出現異常。並且增長到某一閾值之後開始波動,說明此時可能已經接近性能極限。因此,對這種攻擊的判斷原則為:在流量上體現並不大,甚至可能會很小;出現大量的ESTABLISH狀態;新建的ESTABLISH狀態總數有波動。 防範該攻擊主要有如下方法。 · 主動清除殘余連接。 · 對惡意連接的IP進行封禁。 · 限制每個源IP的連接數。 · 可以對特定的URL進行防護。 · 反查Proxy後面發起HTTP Get Flood的源。
㈢ 什麼是tcpiptcpip各有什麼作用
TCP/IP的通訊協議
這部分簡要介紹一下TCP/IP的內部結構,為討論與互聯網有關的安全問題打下基礎。TCP/IP協議組之所以流行,部分原因是因為它可以用在各種各樣的信道和底層協議(例如T1和X.25、乙太網以及RS-232串列介面)之上。確切地說,TCP/IP協議是一組包括TCP協議和IP協議,UDP(User Datagram Protocol)協議、ICMP(Internet Control Message Protocol)協議和其他一些協議的協議組。
TCP/IP整體構架概述
TCP/IP協議並不完全脊燃茄符合OSI的七層參考模型。傳統的開放式系統互連參考模型,是一種通信協議的7層抽象的參考模型,其中每一層執行某一特定任務。該模型的目的是使各種硬體在相同的層次上相互通信。這7層是:物理層、數據鏈路層、網路層、傳輸層、話路層、表示層和應用層。而TCP/IP通訊協議採用了4層的層級結構,每一層都呼叫它的下一層所提供的網路來完成自己的需求。這4層分別為:
應用層:應用程序間溝通的層,如簡單電子郵件傳輸(SMTP)、文件傳輸協議(FTP)、網路遠程訪問協議(Telnet)等。
傳輸層:在此層中,它提供了節點間的數據傳送服務,如傳輸控制協議(TCP)、用戶數據報協議(UDP)等,TCP和UDP給數據包加入傳輸數據並把它傳輸到下一層中,這一層負責傳送數據,並且確定數據已被送達並接收。
互連網路層:負責提供基本的數據封包傳送功能,讓每一塊數據包都能夠到達目的主機(但不檢查是否被正確接收),如網際協議(IP)。
網路介面層:對實際的網路媒體的管理,定義如何使用實際網路(如Ethernet、Serial Line等)來傳送數據。
TCP/IP中的協議
以下簡單介紹TCP/IP中的協議都具備什麼樣的功能,都是如何工作的:
1. IP
網際協議IP是TCP/IP的心臟,也是網路層中最重要的協議。
IP層接收由更低層(網路介面層例如乙太網設備驅動程序)發來的數據包,並把該數據包發送到更高層---TCP或UDP層;相反,IP層也把從TCP或UDP層接收來的數據包傳送到更低層。IP數據包是不可靠的,因為IP並沒有做任何事情來確認數據包是按順序發送的或者沒有被破壞。IP數據包中含有發送它的主機的地址(源地址)和接收它的主機的地址(目的地址)。
高層的TCP和UDP服務在接收數據包時,通常假設包中的源地址是有效的。也可以這樣說,IP地址形成了許多服務的認證基礎,這些服務相信數據包是從一個有效的主機發送來的。IP確認包含一個選項,叫作IP source routing,可以用來指定一條源地址和目的地址之間的直接路徑。對於一些TCP和UDP的服務來說,使用了該選項的IP包好象是從路徑上的最後一個系統傳遞過來的,而不是來自於它的真實地點。這個選項是為了測試而存在的,說明了它可以被用來欺騙系統來進行平常是被禁止的連接。那麼,許多依靠IP源地址做確認的服務將產生問題並且會被非法入侵。
2. TCP
如果IP數據包中有已經封好的TCP數據包,那麼IP將把它們向『上』傳送到TCP層。TCP將包排序並進行錯誤檢查,同時實現虛電路間的連接。TCP數據包中包括序號和確認,所以未按照順序收到的包可以被排序,而損壞的包可以被重傳。
TCP將它的信息送到更高層的應用程序,例如Telnet的服務程序和客戶程序。應用程序輪流將信息送段兆回TCP層,TCP層便將它們向下傳送到IP層,設備驅動程序和物櫻察理介質,最後到接收方。
面向連接的服務(例如Telnet、FTP、rlogin、X Windows和SMTP)需要高度的可靠性,所以它們使用了TCP。DNS在某些情況下使用TCP(發送和接收域名資料庫),但使用UDP傳送有關單個主機的信息。
3.UDP
UDP與TCP位於同一層,但對於數據包的順序錯誤或重發。因此,UDP不被應用於那些使用虛電路的面向連接的服務,UDP主要用於那些面向查詢---應答的服務,例如NFS。相對於FTP或Telnet,這些服務需要交換的信息量較小。使用UDP的服務包括NTP(網落時間協議)和DNS(DNS也使用TCP)。
欺騙UDP包比欺騙TCP包更容易,因為UDP沒有建立初始化連接(也可以稱為握手)(因為在兩個系統間沒有虛電路),也就是說,與UDP相關的服務面臨著更大的危險。
4.ICMP
ICMP與IP位於同一層,它被用來傳送IP的的控制信息。它主要是用來提供有關通向目的地址的路徑信息。ICMP的『Redirect』信息通知主機通向其他系統的更准確的路徑,而『Unreachable』信息則指出路徑有問題。另外,如果路徑不可用了,ICMP可以使TCP連接『體面地』終止。PING是最常用的基於ICMP的服務。
5. TCP和UDP的埠結構
TCP和UDP服務通常有一個客戶/伺服器的關系,例如,一個Telnet服務進程開始在系統上處於空閑狀態,等待著連接。用戶使用Telnet客戶程序與服務進程建立一個連接。客戶程序向服務進程寫入信息,服務進程讀出信息並發出響應,客戶程序讀出響應並向用戶報告。因而,這個連接是雙工的,可以用來進行讀寫。
兩個系統間的多重Telnet連接是如何相互確認並協調一致呢?TCP或UDP連接唯一地使用每個信息中的如下四項進行確認:
源IP地址 發送包的IP地址。
目的IP地址 接收包的IP地址。
源埠 源系統上的連接的埠。
目的埠 目的系統上的連接的埠。
埠是一個軟體結構,被客戶程序或服務進程用來發送和接收信息。一個埠對應一個16比特的數。服務進程通常使用一個固定的埠,例如,SMTP使用25、Xwindows使用6000。這些埠號是『廣為人知』的,因為在建立與特定的主機或服務的連接時,需要這些地址和目的地址進行通訊。
㈣ tcpip協議詳解 tcpip協議具體包括哪些內容
1、應用層:
向用戶提供一組常用的應用程序,比如電子郵備櫻灶件、文件傳輸訪問、遠程登錄等。遠程登錄TELNET使用TELNET協議提供在網路其它主機上注冊的介面。TELNET會話提供了基於字元的虛擬終端。文件傳輸訪問FTP使用FTP協議來提供網路內機器間的文件拷貝功能。
2、傳輸層:
提供應用程序間的通信。其功能包括:一、格式化信息流;二、提供可靠傳輸。為實現後者,傳輸層協議規定接收端必須發回確認,並且假如分組丟失,必須重新發送。
3、網頌明絡層:
負責相鄰計算機之間的通信。其功能包括三方面。
(1)處理來自傳輸層的分組發送請求,收到請求後,將分組裝入IP數據報,填充報頭,選擇去往信宿機的路徑,然後將數據報發往適當的網路介面。
(2)處理輸入數據報:首先檢查其合法性,然後進行尋徑--假如該數據報已到達信宿機,則去掉報頭,將剩下部分交給適當的傳輸協議;假如該數據報尚未到達信宿,則轉發該數據報。
(3)處理路徑、流控、擁塞等問題。
4、網路介面層:
這是TCP/IP軟體的最低層,負責接收IP數據報並通過網路發送之,或者從網路上接收物理幀,抽出IP數據報,交給仿扮IP層。
㈤ TCP/IP網路體系結構中,各層內分別有什麼協議,每一種協議的作用是什麼
一、TCP/IP網路體系結構中,常見的介面層協議有:
Ethernet 802.3、Token Ring 802.5、X.25、Frame relay、HDLC、PPP ATM等。
1.網路層
網路層包括:IP(Internet Protocol)協議、ICMP(Internet Control Message Protocol) 、控制報文協議、ARP(Address Resolution Protocol)地址轉換協議、RARP(Reverse ARP)反向地址轉換協議。
2.傳輸層
傳輸層協議主要是:傳輸控制協議TCP(Transmission Control Protocol)和用戶數據報協議UDP(User Datagram protocol)。
3.應用層
應用層協議主要包括如下幾個:FTP、TELNET、DNS、SMTP、RIP、NFS、HTTP。
二、TCP/IP網路體系結構中,每一種協議的作用有:
TCP/IP協議不依賴於任何特定的計算機硬體或操作系統,提供開放的協議標准,即使不考慮Internet,TCP/IP協議也獲得了廣泛的支持。所以TCP/IP協議成為一種聯合各種硬體和軟體的實用系統。
2.TCP/IP協議並不依賴於特定的網路傳輸硬體,所以TCP/IP協議能夠集成各種各樣的網路。用戶能夠使用乙太網(Ethernet)、令牌環網(Token Ring Network)、撥號線路(Dial-up line)、X.25網以及所有的網路傳輸硬體。
3.統一的網路地址分配方案,使得整個TCP/IP設備在網中都具有惟一的地址
4.標准化的高層協議,可以提供多種可靠的用戶服務。
㈥ TCP和IP協議的主要功能是什麼
主要功能:TCP/IP提供點對點的鏈接機制,將數據應該如何封裝、定址、傳輸、路輪衡由以及在目的地如何接收,都加以標准化。
通俗而言:TCP負責發現傳輸的問題,一有問題就發出信號,要求重新傳輸,直到所有數據安全正確地傳輸到目的地。而IP是給網際網路的每一台電腦規定一個地址,並解決如何發現和找到這個地址。
主要特點:
1、TCP/IP協議不依賴於任何特定的計算機硬體或操作系統,提桐如供開放的協議標准,即使不考慮Internet,TCP/IP協議也獲得了廣泛的支持。所以TCP/IP協議成為一種聯合各種硬體和軟體的實用系統。
2、TCP/IP協議並不依賴於特定的網路傳輸硬體,所以TCP/IP協議能夠集成各種各樣的網路。用戶能夠使用乙太網(Ethernet)、令牌環網(Token Ring Network)、撥號線路(Dial-up line)、X.25網以及所有的網路傳輸硬體。
3、統一的網路地址分配方案,使得整個TCP/IP設備在網中都具有唯一的地址。
4、標准化的高層協議,可以提供多種可靠的用戶服務。
(6)tcpip協議有哪些網路安全擴展閱讀:
主要缺點
第一,它在服務、介面與協議的區別上就不是很清楚。一個好的軟體工程應該將功能與實現方法區分開來,TCP/IP恰恰沒有很好地做到這點,就使得TCP/IP參考模型對於使用新的技術的指導意義是不夠的。TCP/IP參考模型不適合於其他非TCP/IP協議簇。
第二,主機-網路層本身並不是實際的一層,它定義了網路層與數據鏈路層的介面。物理層與數據鏈路層的劃分是必要和合理的,一個好的參考模型應該將它局桐啟們區分開,而TCP/IP參考模型卻沒有做到這點。
㈦ 網路通訊協議有哪幾種
1、TCP/IP協議
TCP/IP(Transmission Control Protocol/Internet Protocol,傳輸控制協議/網際協議) 協議具有很強的靈活性,支持任意規模的網路,幾乎可連接所有伺服器和工作站。
在使用TCP/IP協議時需要進行復雜的設置,每個結點至少需要一個「IP地址」、一個「子網掩碼」、一個「默認網關」、一個「主機名」,對於一些初學者來說使用不太方便。
2、IPX/SPX及其兼容協議
IPX/SPX(Internetwork Packet Exchange/Sequences Packet Exchange,網際包交換/順序包交換)是Novell公司的通信協議集。IPX/SPX具有強大的路由功能,適合於大型網路使用。
當用戶端接入NetWare伺服器時,IPX/SPX及其兼容協議是最好的選擇。但在非Novell網路環境中,IPX/SPX一般不使用。
3、NetBEUI協議
NetBEUI(NetBios Enhanced User Interface , NetBios增強用戶介面)協議是一種短小精悍、通信效率高的廣播型協議,安裝後不需要進行設置,特別適合於在「網路鄰居」傳送數據。
(7)tcpip協議有哪些網路安全擴展閱讀:
協議的使用建議
1、根據網路條件選擇:
如網路存在多個網段或要通過路由器相連時,就不能使用不具備路由和跨網段操作功能的NetBEUI協議,而必須選擇IPX/SPX或TCP/IP等協議。
2、盡量減少協議種類:
一個網路中盡量只選擇一種通信協議,協議越多,佔用計算機的內存資源就越多,影響了計算機的運行速度,不利於網路的管理。
3、注意協議的版本:
每個協議都有其發展和完善的過程,因而出現了不同的版本,每個版本的協議都有它最為合適的網路環境。在滿足網路功能要求的前提下,應盡量選擇高版本的通信協議。
4、協議的一致性:
如果要讓兩台實現互聯的計算機間進行對話,它們使用的通信協議必須相同。否則,中間需要一個「翻譯」進行不同協議的轉換,不僅影響了網路通信速率,同時也不利於網路的安全、穩定運行。
㈧ TCPIP協議簇具體的協議有哪些
TCP/IP(傳輸控制協議/網間協議)是一種網路通信協議,它規范了網路上的所有通信設備,尤其是一個主機與另一個主機之間的數據往來格式以及傳送方式。TCP/IP是INTERNET的基礎協議,也是一種電腦數據打包和定址的標准方法。在數據傳送中,可以形象地理解為有兩個信封,TCP和IP就像是信封,要傳遞的信息被劃分成若干段,每一段塞入一個TCP信封,缺態並在該信封面上記錄有分段號的信息,再將TCP信封塞入IP大派坦信封,發送上網。在接受端,一個TCP軟體包收集信封,抽出數據,按發送前的順序塵扮桐還原,並加以校驗,若發現差錯,TCP將會要求重發。因此,TCP/IP在INTERNET中幾乎可以無差錯地傳送數據。在任何一個物理網路中,各站點都有一個機器可識別的地址,該地址叫做物理地址.物理地址有兩個
㈨ TCP/IP網際層中的主要協議有哪些
2.1應用層協議
2.1.1POP3協議
POP3是Post Office Protocol 3的簡稱,即郵局協議的第3個版本,它規定怎樣將個人計算機連接到Internet的郵件伺服器和下載電子郵件的電子協議。它是網際網路電子郵件的第一個離線協議標准,POP3允許用戶從伺服器上把郵件存儲到本地主機(即自己的計算機)上,同時刪除保存在郵件伺服器上的郵件,而POP3伺服器則是遵循POP3協議的接收郵件伺服器,用來接收電子郵件的。
2.1.2FTP協議
文件傳輸協議(File Transfer Protocol,FTP)是用於在網路上進行文件傳輸的一套標准協議,它工作在 OSI 模型的第七層, TCP 模型的第四層, 即應用層, 使用 TCP 傳輸而不是 UDP, 客戶在和伺服器建立連接前要經過一個「三次握手」的過程, 保證客戶與伺服器之間的連接是可靠的, 而且是面向連接, 為數據傳輸提供可靠保證。
2.1.3HTTP協議
HTTP 協議一般指 HTTP(超文本傳輸協議)。超文本傳輸協議(英語:HyperText Transfer Protocol,縮寫:HTTP)是一種用於分布式、協作式和超媒體信息系統的應用層協議,是網際網路上應用最為廣泛的一種網路傳輸協議,所有的 WWW 文件都必須遵守這個標准。HTTP是一個基於TCP/IP通信協議來傳遞數據(HTML 文件, 圖片文件, 查詢結果等)。
2.1.4TeInet協議
Telnet協議是 TCP/IP協議 族中的一員,是Internet遠程登錄服務的標准協議和主要方式。 它為用戶提供了在本地計算機上完成遠程 主機 工作的能力。 在 終端 使用者的電腦上使用telnet程序,用它連接到 伺服器 。
2.1.5SMTP協議
SMTP 的全稱是「Simple Mail Transfer Protocol」,即簡單郵件傳輸協議。它是一組用於從源地址到目的地址傳輸郵件的規范,通過它來控制郵件的中轉方式。SMTP 協議屬於 TCP/IP 協議簇,它幫助每台計算機在發送或中轉信件時找到下一個目的地。SMTP 伺服器就是遵循 SMTP 協議的發送郵件伺服器。SMTP 認證,簡單地說就是要求必須在提供了賬戶名和密碼之後才可以登錄 SMTP 伺服器,這就使得那些垃圾郵件的散播者無可乘之機。增加 SMTP 認證的目的是為了使用戶避免受到垃圾郵件的侵擾。
2.1.6Samba協議
Samba是在Linux和UNIX系統上實現SMB協議的一個免費軟體,由伺服器及客戶端程序構成。SMB(Server Messages Block,信息服務塊)是一種在區域網上共享文件和列印機的一種通信協議,它為區域網內的不同計算機之間提供文件及列印機等資源的共享服務。SMB協議是客戶機/伺服器型協議,客戶機通過該協議可以訪問伺服器上的共享文件系統、列印機及其他資源。通過設置「NetBIOS over TCP/IP」使得Samba不但能與區域網絡主機分享資源,還能與全世界的電腦分享資源。
2.1.7CIFS協議
CIFS 是一個新提出的協議,它使程序可以訪問遠程Internet計算機上的文件並要求此計算機提供服務。CIFS 使用客戶/伺服器模式。客戶程序請求遠在伺服器上的伺服器程序為它提供服務。伺服器獲得請求並返回響應。CIFS是公共的或開放的SMB協議版本,並由Microsoft使用。SMB協議在區域網上用於伺服器文件訪問和列印的協議。像SMB協議一樣,CIFS在高層運行,而不像TCP/IP協議那樣運行在底層。CIFS可以看做是應用程序協議如文件傳輸協議和超文本傳輸協議的一個實現。
2.1.8DHCP協議
DHCP(動態主機配置協議)是一個區域網的網路協議。指的是由伺服器控制一段IP地址范圍,客戶機登錄伺服器時就可以自動獲得伺服器分配的IP地址和子網掩碼。默認情況下,DHCP作為Windows Server的一個服務組件不會被系統自動安裝,還需要管理員手動安裝並進行必要的配置。
2.1.9TFTP協議
TFTP(Trivial File Transfer Protocol,簡單文件傳輸協議)是TCP/IP協議族中的一個用來在客戶機與伺服器之間進行簡單文件傳輸的協議,提供不復雜、開銷不大的文件傳輸服務。埠號為69。
2.1.10SNMP協議
簡單網路管理協議(SNMP) 是專門設計用於在 IP 網路管理網路節點(伺服器、工作站、路由器、交換機及HUBS等)的一種標准協議,它是一種應用層協議。
2.1.11DNS協議
域名系統(英文:Domain Name System,縮寫:DNS)是互聯網的一項服務。它作為將域名和IP地址相互映射的一個分布式資料庫,能夠使人更方便地訪問互聯網。DNS使用UDP埠53。當前,對於每一級域名長度的限制是63個字元,域名總長度則不能超過253個字元。
2.2傳輸層協議
2.2.1TCP協議
傳輸控制協議(TCP,Transmission Control Protocol)是一種面向連接的、可靠的、基於位元組流的傳輸層通信協議,由IETF的RFC 793 定義。TCP旨在適應支持多網路應用的分層協議層次結構。 連接到不同但互連的計算機通信網路的主計算機中的成對進程之間依靠TCP提供可靠的通信服務。TCP假設它可以從較低級別的協議獲得簡單的,可能不可靠的數據報服務。 原則上,TCP應該能夠在從硬線連接到分組交換或電路交換網路的各種通信系統之上操作。
2.2.2UDP協議
協議集支持一個無連接的傳輸協議,該協議稱為用戶數據報協議(UDP,User Datagram Protocol)。UDP 為應用程序提供了一種無需建立連接就可以發送封裝的 IP 數據包的方法。RFC 768 [1] 描述了 UDP。Internet 的傳輸層有兩個主要協議,互為補充。無連接的是 UDP,它除了給應用程序發送數據包功能並允許它們在所需的層次上架構自己的協議之外,幾乎沒有做什麼特別的事情。面向連接的是 TCP,該協議幾乎做了所有的事情。
2.3網路層協議
2.3.1IP協議
IP是Internet Protocol(網際互連協議)的縮寫,是TCP/IP體系中的網路層協議。設計IP的目的是提高網路的可擴展性:一是解決互聯網問題,實現大規模、異構網路的互聯互通;二是分割頂層網路應用和底層網路技術之間的耦合關系,以利於兩者的獨立發展。根據端到端的設計原則,IP只為主機提供一種無連接、不可靠的、盡力而為的數據包傳輸服務。
2.3.2ICMP協議
ICMP(Internet Control Message Protocol)Internet控制報文協議。它是TCP/IP協議簇的一個子協議,用於在IP主機、路由器之間傳遞控制消息。控制消息是指網路通不通、主機是否可達、路由是否可用等網路本身的消息。這些控制消息雖然並不傳輸用戶數據,但是對於用戶數據的傳遞起著重要的作用。
2.3.3IGMP協議
Internet 組管理協議稱為IGMP協議(Internet Group Management Protocol),是網際網路協議家族中的一個組播協議。該協議運行在主機和組播路由器之間。IGMP協議共有三個版本,即IGMPv1、v2 和v3。
2.3.4ARP協議
地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到區域網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網路中各個主機互相信任的基礎上的,區域網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。
2.3.5RARP協議
反向地址轉換協議(RARP:Reverse Address Resolution Protocol) 反向地址轉換協議(RARP)允許區域網的物理機器從網關伺服器的 ARP 表或者緩存上請求其 IP 地址。網路管理員在區域網網關路由器里創建一個表以映射物理地址(MAC)和與其對應的 IP 地址。當設置一台新的機器時,其 RARP 客戶機程序需要向路由器上的 RARP 伺服器請求相應的 IP 地址。假設在路由表中已經設置了一個記錄,RARP 伺服器將會返回 IP 地址給機器,此機器就會存儲起來以便日後使用。 RARP 可以使用於乙太網、光纖分布式數據介面及令牌環 LAN
㈩ TCP/IP協議特點
TCP/IP協議能夠迅速發展起來並成為事實上的標准,是它恰好適應了世界范圍內數據通信的需要。它有以下特點:
(1)協議標準是完全開放的,並且獨立於特定的計算機硬體與操作系統。
(2)獨立於網路硬體系統,可以運行在廣域網,更適合於互聯網。
(3)網路地址統一分配,網路中每一設備和終端都具有一個唯一地址。
(4)高層協議標准化,可以提供多種多樣可靠網路服務。
(10)tcpip協議有哪些網路安全擴展閱讀:
TCP/IP模型和協議的缺點:
(1)該模型沒有明顯地區分服務、介面和協議的概念。因此,對於使用新技術來設計新網路,TCP/IP模型不是一個太好的模板。
(2)TCP/IP模型完全不是通用的,並且不適合描述除TCP/IP模型之外的任何協議棧。
(3)鏈路層並不是通常意義上的一層。它是一個介面,處於網路層和數據鏈路層之間。介面和層間的區別是很重要的。
(4)TCP/IP模型不區分物理層和數據鏈路層。這兩層完全不同,物理層必須處理銅纜、光纖和無線通信的傳輸特徵;而數據鏈路層的工作是確定幀的開始和結束,並且按照所需的可靠程度把幀從一端發送到另一端。