ip協(xié)議范文第1篇
關(guān)鍵詞:TCP/IP協(xié)議網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層端口應(yīng)用層
中圖分類(lèi)號(hào):TP311.52 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9416(2012)03-0000-00
因特網(wǎng)是當(dāng)今世界上最大的信息網(wǎng)絡(luò),自80年代以來(lái),它的應(yīng)用已從軍事、科研與學(xué)術(shù)領(lǐng)域進(jìn)入商業(yè)、傳播和娛樂(lè)等領(lǐng)域,并于90年代成為發(fā)展最快的傳播媒介。信息傳輸和網(wǎng)絡(luò)互連是根據(jù)協(xié)議進(jìn)行的,而因特網(wǎng)使用的就是TCP/IP協(xié)議。TCP/IP協(xié)議是因特網(wǎng)最基本的協(xié)議,是因特網(wǎng)的基礎(chǔ)。TCP/IP的全稱(chēng)是Transmission Control Protocol/Internet Protocol的簡(jiǎn)寫(xiě),中文譯為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議。
1969年,因特網(wǎng)的前身阿帕網(wǎng)(ARPAnet),誕生之初僅連接了4臺(tái)計(jì)算機(jī),供科學(xué)家們進(jìn)行計(jì)算機(jī)聯(lián)網(wǎng)實(shí)驗(yàn)用。到70年代,ARPAnet已經(jīng)有了好幾十個(gè)計(jì)算機(jī)網(wǎng)絡(luò),但是每個(gè)網(wǎng)絡(luò)只能在網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)之間互聯(lián)通信,不同計(jì)算機(jī)網(wǎng)絡(luò)之間仍然不能互通。卡恩于1973 年提出開(kāi)放的網(wǎng)絡(luò)結(jié)構(gòu)的思想。所謂開(kāi)放的網(wǎng)絡(luò)結(jié)構(gòu),指的是任何類(lèi)型的網(wǎng)絡(luò)都可以通過(guò)“網(wǎng)絡(luò)互聯(lián)結(jié)構(gòu)”與其他網(wǎng)絡(luò)連接,這是因特網(wǎng)的核心技術(shù)思想。為了適應(yīng)開(kāi)放的網(wǎng)絡(luò)結(jié)構(gòu)環(huán)境的需要,瑟夫與卡恩共同開(kāi)發(fā)了TCP/IP協(xié)議,并于1974年正式提出。TCP/IP是實(shí)現(xiàn)不同網(wǎng)絡(luò)互聯(lián)的標(biāo)準(zhǔn),成功地解決了不同硬件平臺(tái)、不同網(wǎng)絡(luò)產(chǎn)品和不同操作系統(tǒng)之間的兼容性問(wèn)題。
TCP/IP協(xié)議定義了電子設(shè)備如何連入因特網(wǎng),以及數(shù)據(jù)如何在它們之間傳輸?shù)臉?biāo)準(zhǔn),它是因特網(wǎng)事實(shí)上的國(guó)際標(biāo)準(zhǔn)。協(xié)議采用了4層的層級(jí)結(jié)構(gòu),層次由低到高依次為:網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。每一層都調(diào)用它的下一層所提供的服務(wù)來(lái)完成自己的需求。
1、網(wǎng)絡(luò)接口層
網(wǎng)絡(luò)接口層(通信子網(wǎng))是數(shù)據(jù)包從一個(gè)設(shè)備的網(wǎng)絡(luò)層傳輸?shù)搅硗庖粋€(gè)設(shè)備的網(wǎng)絡(luò)層的方法。由于ARPNET的設(shè)計(jì)者注重的是網(wǎng)絡(luò)互聯(lián),允許網(wǎng)絡(luò)接口層采用已有的或是將來(lái)有的各種協(xié)議,所以這個(gè)層次中沒(méi)有提供專(zhuān)門(mén)的協(xié)議,因此網(wǎng)絡(luò)接口層實(shí)際上并不是因特網(wǎng)協(xié)議組中的一部分。實(shí)際上,TCP/IP協(xié)議可以通過(guò)網(wǎng)絡(luò)接口層連接到任何網(wǎng)絡(luò)上,例如X.25交換網(wǎng)或IEEE802局域網(wǎng)。[1]
2、網(wǎng)絡(luò)層
網(wǎng)絡(luò)層可以接收由網(wǎng)絡(luò)接口層發(fā)來(lái)的數(shù)據(jù)包,并把該數(shù)據(jù)包發(fā)送到傳輸層;也可以把從傳輸層接收來(lái)的數(shù)據(jù)包傳送到網(wǎng)絡(luò)接口層。網(wǎng)絡(luò)層的數(shù)據(jù)包是不可靠的,因?yàn)榫W(wǎng)絡(luò)層并沒(méi)有做任何事情來(lái)確認(rèn)數(shù)據(jù)包是按順序發(fā)送的或者沒(méi)有被破壞。數(shù)據(jù)包中含有發(fā)送它的主機(jī)的地址(源IP地址)和接收它的主機(jī)的地址(目IP的地址)。
網(wǎng)絡(luò)層的協(xié)議包括IP協(xié)議、ICMP協(xié)議、ARP協(xié)議、RARP協(xié)議等,其中IP協(xié)議是網(wǎng)絡(luò)層的核心協(xié)議,完成數(shù)據(jù)從從源網(wǎng)絡(luò)傳輸?shù)侥康木W(wǎng)絡(luò)的基本任務(wù)。IP協(xié)議定義了數(shù)據(jù)包在網(wǎng)際傳送時(shí)的格式,目前使用最多的是IPv4版本,這一版本中用32位定義IP地址,可供使用的地址數(shù)超過(guò)37.2億,但是仍然不能滿(mǎn)足現(xiàn)今全球網(wǎng)絡(luò)飛速發(fā)展的需求,因此IPv6版本應(yīng)運(yùn)而生。在IPv6版本中,IP地址共有128位,這樣的IP地址數(shù)是原IP地址數(shù)的296倍,目前來(lái)看,IPV6的IP地址是不可能用完的。[2]
3、傳輸層
傳輸層提供應(yīng)用進(jìn)程間的通信。兩個(gè)系統(tǒng)之間的應(yīng)用進(jìn)程的通信,是用每個(gè)信息中的如下四項(xiàng)進(jìn)行確認(rèn)的:源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)。其中源IP地址和目的IP地址已在網(wǎng)絡(luò)層的介紹中說(shuō)明。TCP/IP的端口號(hào)是一個(gè)軟件結(jié)構(gòu),用來(lái)標(biāo)識(shí)本地計(jì)算機(jī)應(yīng)用層中各個(gè)進(jìn)程在和運(yùn)輸層交互時(shí)的接口。在因特網(wǎng)不同的計(jì)算機(jī)中,相同的端口號(hào)是沒(méi)有關(guān)聯(lián)的。一個(gè)端口號(hào)對(duì)應(yīng)一個(gè)16比特的數(shù)。服務(wù)進(jìn)程通常使用一個(gè)固定的端口,例如,SMTP使用25、HTTP使用80。客戶(hù)進(jìn)程通常使用系統(tǒng)分配的一個(gè)隨機(jī)端口號(hào)。[2]
傳輸層協(xié)議主要是傳輸控制協(xié)議TCP(Transmission Control Protocol)和用戶(hù)數(shù)據(jù)報(bào)協(xié)議UDP(User Datagram protocol)。TCP協(xié)議是一種面向連接的、可靠的的傳輸機(jī)制。通信之前要建立連接,通訊完成時(shí)要拆除連接。它提供一種可靠的字節(jié)流保證數(shù)據(jù)完整、無(wú)損并且按順序到達(dá),TCP協(xié)議還能盡量連續(xù)不斷地測(cè)試網(wǎng)絡(luò)的負(fù)載并且控制發(fā)送數(shù)據(jù)的速度以避免網(wǎng)絡(luò)過(guò)載,對(duì)于一些需要高可靠性的應(yīng)用,可以選擇TCP協(xié)議。UDP是一種面向無(wú)連接的,不可靠的傳輸機(jī)制。不是它特別不可靠,而是它不檢查數(shù)據(jù)包是否已經(jīng)到達(dá)目的地,并且不保證它們按順序到達(dá)。UDP的典型應(yīng)用是如音頻和視頻等這樣的流媒體,對(duì)它們而言,按時(shí)到達(dá)比可靠性更重要,或者如DNS查找這樣的簡(jiǎn)單查詢(xún)/響應(yīng)應(yīng)用,否則建立可靠的連接所需的額外開(kāi)銷(xiāo)將是不成比例地大。
4、應(yīng)用層
應(yīng)用層是大多數(shù)與網(wǎng)絡(luò)相關(guān)的程序?yàn)榱送ㄟ^(guò)網(wǎng)絡(luò)與其他程序通信所使用的層。數(shù)據(jù)從與網(wǎng)絡(luò)相關(guān)的程序以這種應(yīng)用程序使用的格式編碼成標(biāo)準(zhǔn)協(xié)議的格式并進(jìn)行傳送。來(lái)自應(yīng)用程序的數(shù)據(jù)一旦被編碼成一個(gè)標(biāo)準(zhǔn)的應(yīng)用層協(xié)議,它將被傳送到TCP/IP協(xié)議的下一層。
應(yīng)用層一般提供面向用戶(hù)的服務(wù),如HTTP、FTP、SMTP、POP3。HTTP是超文本傳輸協(xié)議,用于瀏覽網(wǎng)頁(yè),F(xiàn)TP是文件傳輸協(xié)議,一般用于下載和上傳文件。SMTP是簡(jiǎn)單郵件傳輸協(xié)議,用來(lái)控制信件的發(fā)送、中轉(zhuǎn)。POP3是郵局協(xié)議第3版本,用于接收郵件。
TCP/IP有一個(gè)非常重要的特點(diǎn),就是開(kāi)放性,即TCP/IP的規(guī)范和Internet的技術(shù)都是公開(kāi)的。目的就是使任何廠家生產(chǎn)的計(jì)算機(jī)都能相互通信,使Internet成為一個(gè)開(kāi)放的系統(tǒng)。這正是后來(lái)Internet得到飛速發(fā)展的重要原因。
參考文獻(xiàn)
[1]萬(wàn)雅靜,黃巍,梁玉鳳.網(wǎng)絡(luò)基礎(chǔ)實(shí)用教程[C].北京:機(jī)械工業(yè)出版社,2011:14-16.
[2]劉兵,左愛(ài)群.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)與Internet應(yīng)用(第三版)[C].北京:中國(guó)水利水電出版社,2006:91-92.
ip協(xié)議范文第2篇
【關(guān)鍵詞】 TCP/IP協(xié)議 Internet 應(yīng)用層 傳輸層 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 網(wǎng)絡(luò)
TCP/IP協(xié)議是Internet各種協(xié)議中最基本的協(xié)議,也是最重要和最著名的兩個(gè)協(xié)議,即傳輸控制協(xié)議TCP(Transmission Control Protocol)和網(wǎng)際協(xié)議IP(InternetProtocol),簡(jiǎn)單的說(shuō),就是主要由底層的lP協(xié)議和TCP協(xié)議組成。因此,我們經(jīng)常提到的TCP/IP并不一定是指TCP和lP這兩個(gè)協(xié)議,而往往是指Internet所使用的體系結(jié)構(gòu)或是指整個(gè)的TCP/IP協(xié)議族。
一、TCP/IP參考模型
TCP/IP協(xié)議將Internet分為五個(gè)層次,也稱(chēng)為互聯(lián)分層網(wǎng)模型或互聯(lián)網(wǎng)分層參考模型。這五個(gè)層次分別是應(yīng)用層(第五層)、傳輸層(第四層)、網(wǎng)絡(luò)層(第三層)、數(shù)據(jù)鏈路層(第二層)、物理層(第一層)。模型如下圖所示:
由于TCP/IP協(xié)議在設(shè)計(jì)時(shí)考慮到要與具體的物理傳輸媒體無(wú)關(guān),因此在TCP/IP的標(biāo)準(zhǔn)中并沒(méi)有對(duì)數(shù)據(jù)鏈路層和物理層做出規(guī)定,而只是將最低的一層取名為網(wǎng)絡(luò)接口層。這樣,如果不考慮沒(méi)有多少內(nèi)容的網(wǎng)絡(luò)接口層,那么TCP/IP體系實(shí)際上就只有三個(gè)層次:應(yīng)用層、傳輸層和網(wǎng)絡(luò)層。
1、物理層:對(duì)應(yīng)于網(wǎng)絡(luò)的基本硬件,是Internet的物理構(gòu)成,例如,PC機(jī)、互聯(lián)網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備等。物理層的任務(wù)就是透明的傳送比特流。在物理層上所傳送數(shù)據(jù)的單位是比特。傳遞信息所利用的一些物理媒體,如雙絞線、同軸電纜、光纜等,并不在物理層之內(nèi)而在物理層的下面。
2、數(shù)據(jù)鏈路層:定義了將數(shù)據(jù)組成正確的幀的規(guī)范和在網(wǎng)絡(luò)中傳輸幀的規(guī)范。幀:是指一串?dāng)?shù)據(jù),是數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)幕締挝弧?shù)據(jù)鏈路層的任務(wù)是在兩個(gè)相鄰結(jié)點(diǎn)間的線路上無(wú)差錯(cuò)地傳送以幀(frame)為單位的數(shù)據(jù)。每一幀包括數(shù)據(jù)和必要的控制信息。在傳送數(shù)據(jù)時(shí),若接收結(jié)點(diǎn)檢測(cè)到所收到的數(shù)據(jù)中有差錯(cuò),就要通知發(fā)送方重發(fā)這一幀直到這一幀準(zhǔn)確無(wú)誤的到達(dá)接收結(jié)點(diǎn)為止。在每一幀所包含的控制信息中,由同步信息、地址信息、差錯(cuò)控制、以及流量控制信息等。
3、網(wǎng)絡(luò)層:定義了在Internet中傳輸?shù)摹靶畔钡母袷剑约皬囊粋€(gè)源,通過(guò)一個(gè)或多個(gè)路由器到達(dá)最終目標(biāo)的“信息包”轉(zhuǎn)發(fā)機(jī)制。這里要強(qiáng)調(diào)指出,網(wǎng)絡(luò)層中“網(wǎng)絡(luò)”二字,已不是我們通常談到的網(wǎng)絡(luò)的概念,而是在計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)中的專(zhuān)用名詞。
4、傳輸層:為兩個(gè)用戶(hù)進(jìn)程之間、管理和拆除可靠而又有效的端到端的鏈接。這一層曾有幾個(gè)譯名,如傳送層、傳輸層或轉(zhuǎn)送層。現(xiàn)在比較一致的意見(jiàn)是譯為運(yùn)輸層。在運(yùn)輸層,信息的傳送單位是報(bào)文。當(dāng)報(bào)文較長(zhǎng)時(shí),先要把它分割成若干個(gè)分組,然后再交給下一層(網(wǎng)絡(luò)層)進(jìn)行傳輸。
傳輸層的任務(wù)是根據(jù)下面的通信子網(wǎng)的特性最佳的利用網(wǎng)絡(luò)資源,并以可靠和經(jīng)濟(jì)的方式,為兩端主機(jī)(也就是源站和目的站)的進(jìn)程之間,建立一條運(yùn)輸連接,以透明地傳送報(bào)文。或者說(shuō),運(yùn)輸層向上一層進(jìn)行的通信的兩個(gè)進(jìn)程之間提供一個(gè)可靠的端到端的服務(wù),使它們看不見(jiàn)運(yùn)輸層以下的數(shù)據(jù)通信的細(xì)節(jié)。在通信子網(wǎng)內(nèi)的各個(gè)交換結(jié)點(diǎn)以及連接各通信子網(wǎng)的路由器,都沒(méi)有運(yùn)輸層。運(yùn)輸層只能存在于通信子網(wǎng)外面的主機(jī)之中。運(yùn)輸層以上的各層就不再關(guān)心信息傳輸?shù)膯?wèn)題了。正因?yàn)槿绱耍\(yùn)輸層就成為計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)中非常重要的一層。
5、應(yīng)用層:定義了應(yīng)用程序使用Internet的規(guī)范。應(yīng)用層是原理體系結(jié)構(gòu)中的最高層,應(yīng)用層確定進(jìn)程之間通信的性質(zhì)以滿(mǎn)足用戶(hù)的需要(這反應(yīng)在用戶(hù)所產(chǎn)生的服務(wù)請(qǐng)求)。應(yīng)用層不僅要提供應(yīng)用進(jìn)程所需要的信息交換和遠(yuǎn)地操作,而且還要作為互相作用的應(yīng)用進(jìn)程的用戶(hù)(useragent),來(lái)完成一些為進(jìn)行語(yǔ)義上有意義的信息交換所必須的功能。應(yīng)用層直接為用戶(hù)的應(yīng)用提供服務(wù)。需要注意的是,應(yīng)用層協(xié)議不是解決用戶(hù)各種具體應(yīng)用的協(xié)議。
二、TCP/IP主要協(xié)議
TCP/IP是一組通信協(xié)議的帶名詞,是由一系列協(xié)議組成的協(xié)議簇。它本身至兩個(gè)協(xié)議集:TCP-傳輸控制協(xié)議,IP――互聯(lián)網(wǎng)協(xié)議。網(wǎng)絡(luò)層、傳輸層、應(yīng)用層中使用的TCP、lP主要協(xié)議有:
2.1、網(wǎng)絡(luò)層
TCP/IP網(wǎng)絡(luò)層包括以下協(xié)議:
IP(網(wǎng)間協(xié)議)――定義一套在網(wǎng)絡(luò)中通訊的規(guī)則。IP包括地址信息和一些控制信息。IP有兩個(gè)主要任務(wù):在網(wǎng)絡(luò)中提供無(wú)連接的、盡力而為的數(shù)據(jù)報(bào)傳送,以及提供數(shù)據(jù)報(bào)分片和重組以支持具有不同最大傳輸單元(MTU)的數(shù)據(jù)連路。IPv4是當(dāng)前網(wǎng)絡(luò)中使用的版本;IPv6是新的協(xié)議版本。
ARP(地址解析協(xié)議)――允許主機(jī)動(dòng)態(tài)的發(fā)現(xiàn)對(duì)應(yīng)于特定IP網(wǎng)絡(luò)層地址的MAC(傳輸媒體訪問(wèn)控制)地址。給定網(wǎng)絡(luò)中的兩個(gè)設(shè)備,若要通信,它們必須要知道對(duì)方設(shè)備的物理地址。
RARP(逆地址解析協(xié)議)――用于將MAC地址以射到lP地址。未知其IP地址的無(wú)盤(pán)工作站在啟動(dòng)時(shí)可使用RARP,它在邏輯上是ARP的逆過(guò)程。RARP依賴(lài)于具有MAC地址到lP地址映射表項(xiàng)的RARP服務(wù)器。
ICMP(網(wǎng)際控制報(bào)文協(xié)議)――用以將錯(cuò)誤以及其他有關(guān)lP分組處理的信息報(bào)告給源站。
2.2 傳輸層
TCP/IP傳輸層中定義了一下兩個(gè)傳輸層協(xié)議:
TCP(傳輸控制協(xié)議)――提供IP網(wǎng)絡(luò)中面向鏈接的、端到端的可靠數(shù)據(jù)傳輸。
TCP使用三次握手機(jī)制建立連接。三次握手通過(guò)允許各方對(duì)初始序列號(hào)達(dá)成一致來(lái)使得連接兩端同步。此機(jī)制也保證了各方已準(zhǔn)備好數(shù)據(jù)發(fā)送/接收,并且知道對(duì)方也已準(zhǔn)備好。使用此機(jī)制保證會(huì)話建立期間和會(huì)話終止后不會(huì)傳輸或重傳分組。
UDP(數(shù)據(jù)報(bào)協(xié)議)――作為IP和上層進(jìn)程接口的無(wú)連接協(xié)議。與TCP不同,UDP并未給IP加入可靠性、流量控制或差錯(cuò)恢復(fù)等功能。由于UDP的簡(jiǎn)單性,UDP頭比TCP包含更少的字節(jié),同時(shí)消耗更少的網(wǎng)絡(luò)開(kāi)銷(xiāo)。
TCP和UDP使用協(xié)議端口號(hào)來(lái)相互區(qū)分運(yùn)行在同一設(shè)備上的多個(gè)應(yīng)用。端口號(hào)是TCP和UDP段的一部分,用來(lái)識(shí)別數(shù)據(jù)段屬于哪個(gè)應(yīng)用。眾所周知的或標(biāo)準(zhǔn)的端口號(hào)被分配給各種應(yīng)用,以使得TCP/JP協(xié)議的不同實(shí)現(xiàn)可以互操作。這些眾所周知的端口號(hào)的例子包括一下幾種:
①FTP(傳輸協(xié)議)TCP端口20(數(shù)據(jù))和端口21(控制)。②Telnet TCP端口23。③TFTP(普通文件傳輸協(xié)議)UDP端口69。
2.3 應(yīng)用層
在TCP/IP協(xié)議中,對(duì)應(yīng)OSI模型的上面三層并成一層,稱(chēng)為應(yīng)用層。這里由許多應(yīng)用層協(xié)議,它們代表多種應(yīng)用,主要包括一下幾種:①FTP(文件傳輸協(xié)議)和TFTP(普通文件傳輸協(xié)議)用于傳輸大量數(shù)據(jù)。②SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)用于網(wǎng)絡(luò)管理,報(bào)告網(wǎng)絡(luò)異常,并設(shè)置網(wǎng)絡(luò)閾值。③SMTP(簡(jiǎn)單郵件傳輸協(xié)議)提供電子郵件服務(wù)。④DNS(域名系統(tǒng))講網(wǎng)絡(luò)節(jié)點(diǎn)名轉(zhuǎn)換成網(wǎng)絡(luò)地址。
三、lP協(xié)議和TCP協(xié)議所提供的服務(wù)分析
3.1 lP協(xié)議服務(wù)分析
3.1.1 不可靠的投遞服務(wù)
lP協(xié)議提供不可靠的、盡力的、無(wú)連接的數(shù)據(jù)投遞服務(wù),它無(wú)法保證數(shù)據(jù)報(bào)投遞的結(jié)果。在傳輸?shù)倪^(guò)程中,數(shù)據(jù)報(bào)可能會(huì)丟失、重發(fā)、延遲和亂序等,但是IP服務(wù)的本身卻不關(guān)心這些結(jié)果,也不講這些結(jié)果通知收發(fā)雙方。
3.1.2 無(wú)連接的投遞服務(wù)
每個(gè)數(shù)據(jù)報(bào)獨(dú)立處理和傳輸,因此,由一臺(tái)主機(jī)發(fā)出的數(shù)據(jù)報(bào)序列。可能取不同的路徑,甚至其中的一部分?jǐn)?shù)據(jù)報(bào)會(huì)在傳輸過(guò)程中丟失。
3.1.3 盡力的投遞服務(wù)
lP協(xié)議軟件決不簡(jiǎn)單的丟棄數(shù)據(jù)報(bào),只要有一線希望,就向前投遞;盡力投遞的另一種體現(xiàn)方法是lP協(xié)議軟件執(zhí)行數(shù)據(jù)報(bào)的分段,以適應(yīng)具體的傳輸網(wǎng)絡(luò),數(shù)據(jù)報(bào)的合段則由最終節(jié)點(diǎn)的lP模塊來(lái)完成。
3.2 TCP協(xié)議服務(wù)分析
3.2.1 面向流的投遞服務(wù)
TCP協(xié)議在IP協(xié)議軟件提供的服務(wù)基礎(chǔ)啊上,支持面向鏈接的、可靠的、面向流的投遞服務(wù)。應(yīng)用程序之間傳輸?shù)臄?shù)據(jù)可被視為無(wú)結(jié)構(gòu)的字節(jié)流(或位留),流投遞服務(wù)保證收發(fā)的字節(jié)順序完全一致。
3.2.2 面向鏈接的投遞服務(wù)
流傳輸之前,TCP收發(fā)模塊之間需建立鏈接(類(lèi)似虛電路),其后的TCP報(bào)文在此連接基礎(chǔ)上傳輸。TCP連接報(bào)文通過(guò)lP數(shù)據(jù)報(bào)進(jìn)行傳輸,由于IP數(shù)據(jù)報(bào)的傳輸導(dǎo)致ARP地址映射表產(chǎn)生,從而保證了后繼的TCP報(bào)文可以具有相同的路徑。
3.2.3 可靠地投遞服務(wù)
發(fā)送方TCP模塊在形成TCP報(bào)文的同時(shí),形成一個(gè)所謂的“累計(jì)核對(duì)”。“累計(jì)核對(duì)”類(lèi)似校驗(yàn)和,并隨同TCP報(bào)文一起傳輸。接收方TCP模塊根據(jù)該校驗(yàn)和判斷傳輸?shù)恼_性。如果傳輸不正確,接收方簡(jiǎn)單的丟棄該TCP報(bào)文,否則進(jìn)行應(yīng)答。發(fā)送方如果在規(guī)定的時(shí)間內(nèi)未能獲得應(yīng)答報(bào)文,講自動(dòng)進(jìn)行重傳操作。
四、結(jié)束語(yǔ)
ip協(xié)議范文第3篇
【關(guān)鍵詞】TCP/IP協(xié)議;通信報(bào)文;路由尋址;通信流程
1 概述
隨著信息科學(xué)技術(shù)和通信技術(shù)的不斷快速發(fā)展,基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)通信應(yīng)用在社會(huì)各個(gè)領(lǐng)域中的應(yīng)用越來(lái)越廣泛,使得互聯(lián)網(wǎng)通信應(yīng)用成為現(xiàn)代人日常生產(chǎn)生生活不可或缺的一部分,通過(guò)互聯(lián)網(wǎng)絡(luò)通信,網(wǎng)絡(luò)用戶(hù)之間可以實(shí)現(xiàn)數(shù)據(jù)傳輸、信息共享,從而極大地提高了人們的生活質(zhì)量。然而,互聯(lián)網(wǎng)絡(luò)中的數(shù)據(jù)傳輸過(guò)程,并不是雜亂無(wú)章的隨機(jī)傳送,而是在計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議的基礎(chǔ)上,雙方都按照協(xié)議的內(nèi)容和機(jī)制,來(lái)發(fā)送數(shù)據(jù)信息和讀取分析數(shù)據(jù)信息,進(jìn)而實(shí)現(xiàn)互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)傳輸和信息共享的功能,TCP/IP協(xié)議就是互聯(lián)網(wǎng)絡(luò)中重要的通信協(xié)議,它的存在奠定了整個(gè)互聯(lián)網(wǎng)絡(luò)通信的基礎(chǔ),所以對(duì)于TCP/IP通信協(xié)議的學(xué)習(xí)對(duì)于理解互聯(lián)網(wǎng)通信機(jī)制來(lái)輔助互聯(lián)網(wǎng)學(xué)習(xí)和工作具有很大的幫助。
2 計(jì)算機(jī)網(wǎng)絡(luò)的TCP/IP通信協(xié)議
TCP/IP協(xié)議是“Transmission Control Protocol / Internet Protocol”的簡(jiǎn)寫(xiě),是Internet網(wǎng)絡(luò)基本的協(xié)議,它為計(jì)算機(jī)通訊的數(shù)據(jù)打包傳輸以及網(wǎng)絡(luò)尋址提供了標(biāo)準(zhǔn)的方法。由于TCP/IP協(xié)議的優(yōu)越性,使得越來(lái)越多的通信設(shè)備支持TCP/IP協(xié)議,使互聯(lián)網(wǎng)絡(luò)逐步走向規(guī)范化,最終TCP/IP協(xié)議成為了當(dāng)前網(wǎng)絡(luò)通信協(xié)議標(biāo)準(zhǔn)中最基本的網(wǎng)絡(luò)通信協(xié)議、Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。
2.1 計(jì)算機(jī)網(wǎng)絡(luò)TCP/IP協(xié)議
針對(duì)計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)的通信協(xié)議,國(guó)際標(biāo)準(zhǔn)組織ISO創(chuàng)立了七層OSI網(wǎng)絡(luò)模型,自上而下,分別為應(yīng)用層、表示層、會(huì)話層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層。而TCP/IP協(xié)議則是應(yīng)用在傳輸層和網(wǎng)絡(luò)層的數(shù)據(jù)傳輸控制協(xié)議,來(lái)規(guī)定網(wǎng)絡(luò)設(shè)備接入互聯(lián)網(wǎng)絡(luò)以及設(shè)備間數(shù)據(jù)通信的標(biāo)準(zhǔn)。在通信設(shè)備經(jīng)過(guò)互聯(lián)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸時(shí),通信設(shè)備數(shù)據(jù)發(fā)送端,發(fā)送TCP/IP通信報(bào)文,此時(shí)TCP/IP協(xié)議攜帶著通信設(shè)備發(fā)送端的傳輸數(shù)據(jù)內(nèi)容以及目標(biāo)通信設(shè)備的地址標(biāo)示在互聯(lián)網(wǎng)絡(luò)中進(jìn)行尋址,從而正確地傳送到目標(biāo)通信設(shè)備。當(dāng)目標(biāo)通信設(shè)備接收到TCP/IP通信報(bào)文后,按照協(xié)議內(nèi)容,去除通信標(biāo)示,來(lái)獲取傳輸數(shù)據(jù)內(nèi)容,并加以校驗(yàn),如果經(jīng)校驗(yàn)后發(fā)生差錯(cuò),目標(biāo)通信設(shè)備會(huì)發(fā)出TCP/IP信息重發(fā)報(bào)文,讓發(fā)送通信設(shè)備再次將TCP/IP通信報(bào)文發(fā)展目標(biāo)通信設(shè)備,去掉通信標(biāo)示來(lái)獲取傳輸數(shù)據(jù)信息。
2.2 TCP/IP通信協(xié)議報(bào)文格式
在互聯(lián)網(wǎng)絡(luò)中,基于TCP/IP通信協(xié)議傳輸?shù)臄?shù)據(jù)內(nèi)容都是以通信報(bào)文的形式在互聯(lián)網(wǎng)絡(luò)內(nèi)部進(jìn)行傳輸,通信報(bào)文實(shí)質(zhì)上就是一串二進(jìn)制字符串,而字符串內(nèi)不同位置的二進(jìn)制字符標(biāo)示不同的含義。從TCP/IP通信協(xié)議的主要報(bào)文格式可以看出,IP協(xié)議是基于TCP協(xié)議至上的,TCP協(xié)議報(bào)文時(shí)作為IP通信報(bào)文的數(shù)據(jù)部分來(lái)進(jìn)行傳輸?shù)摹?shí)際上,互聯(lián)網(wǎng)內(nèi)傳輸?shù)耐ㄐ抛址€有其他的通信協(xié)議,TCP/IP通信報(bào)文也是作為其外層協(xié)議的通信數(shù)據(jù)部分嵌入到通信報(bào)文中在互聯(lián)網(wǎng)內(nèi)進(jìn)行傳輸。
在IP協(xié)議首部,包含了一些關(guān)于IP協(xié)議的標(biāo)示、通信地址等信息,主要包括數(shù)據(jù)字符串總長(zhǎng)度的信息、通信標(biāo)示號(hào)、源IP地址和目標(biāo)IP地址等信息,當(dāng)IP通信報(bào)文經(jīng)過(guò)路由尋址時(shí),會(huì)根據(jù)首部?jī)?nèi)記錄的目標(biāo)IP地址來(lái)選擇傳輸方向,最終根據(jù)目標(biāo)IP地址傳輸至目標(biāo)通信設(shè)備。此外,IP通信報(bào)文首部還包含其他信息,比如IP協(xié)議版本號(hào)、首部長(zhǎng)度、校驗(yàn)信息、該IP通信報(bào)文生存時(shí)間(即該報(bào)文經(jīng)過(guò)多少個(gè)路由后自動(dòng)取消傳輸)等與IP通信報(bào)文相關(guān)的信息,以確保IP報(bào)文傳輸?shù)恼_性和安全性。TCP協(xié)議通信報(bào)文是作為IP通信報(bào)文數(shù)據(jù)內(nèi)容存在的,TCP協(xié)議也分為T(mén)CP報(bào)文首部和TCP通信數(shù)據(jù)。TCP通信報(bào)文首部主要包括了源端口號(hào)和目標(biāo)端口號(hào)等信息,當(dāng)TCP/IP通信報(bào)文經(jīng)過(guò)互聯(lián)網(wǎng)絡(luò)到達(dá)目標(biāo)通過(guò)新設(shè)備后,通信設(shè)備會(huì)根據(jù)TCP報(bào)文首部的目的端口號(hào)選擇設(shè)備端口號(hào)來(lái)接受該數(shù)據(jù)信息,進(jìn)而實(shí)現(xiàn)互聯(lián)網(wǎng)絡(luò)的數(shù)據(jù)傳輸。
2.3 TCP/IP協(xié)議通信過(guò)程
互聯(lián)網(wǎng)絡(luò)的通信設(shè)備基于TCP/IP協(xié)議建立通信過(guò)程,也是根據(jù)TCP/IP協(xié)議來(lái)實(shí)現(xiàn)的。當(dāng)源通信設(shè)備想向目標(biāo)設(shè)備發(fā)送數(shù)據(jù)時(shí),首先會(huì)發(fā)送一個(gè)TCP/IP通信報(bào)文來(lái)確認(rèn)連接,該通信報(bào)文在互聯(lián)網(wǎng)絡(luò)中經(jīng)過(guò)尋找傳輸后找到目標(biāo)設(shè)備,目標(biāo)設(shè)備也會(huì)向源通信設(shè)備發(fā)送一個(gè)TCP/IP報(bào)文以確認(rèn)建立通信連接,此時(shí),源通信設(shè)備就會(huì)將通信數(shù)據(jù)以TCP/IP通信報(bào)文的形式進(jìn)行數(shù)據(jù)打包,然后向目標(biāo)數(shù)據(jù)進(jìn)行傳輸,在收到數(shù)據(jù)后,目標(biāo)設(shè)備同樣會(huì)發(fā)送TCP/IP報(bào)文以確認(rèn)收到信息。當(dāng)然,TCP/IP通信數(shù)據(jù)長(zhǎng)度是一定的,當(dāng)通信數(shù)據(jù)超過(guò)報(bào)文長(zhǎng)度時(shí),源通信設(shè)備會(huì)將其分段發(fā)送,而目標(biāo)設(shè)備則會(huì)根據(jù)IP報(bào)文首部的標(biāo)識(shí)號(hào)進(jìn)行數(shù)據(jù)重組來(lái)重現(xiàn)傳輸數(shù)據(jù)信息,進(jìn)而完成互聯(lián)網(wǎng)絡(luò)通信設(shè)備數(shù)據(jù)傳輸。
3 總結(jié)
TCP/IP網(wǎng)絡(luò)協(xié)議是當(dāng)前互聯(lián)網(wǎng)絡(luò)最基本的通信協(xié)議。根據(jù)TCP/IP網(wǎng)絡(luò)協(xié)議,連接在互聯(lián)網(wǎng)內(nèi)的通信設(shè)備可以根據(jù)TCP/IP通信報(bào)文格式的內(nèi)容將傳輸數(shù)據(jù)打包在TCP/IP通信報(bào)文內(nèi),并以其規(guī)定的通信流程進(jìn)行數(shù)據(jù)傳輸,從而實(shí)現(xiàn)互聯(lián)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)高效安全的傳輸。
參考文獻(xiàn):
[1]楊紹文.談?dòng)?jì)算機(jī)網(wǎng)絡(luò)的TCP/IP協(xié)議[J].科技信息.2011(02)
[2]查東輝.試論計(jì)算機(jī)網(wǎng)絡(luò)通信協(xié)議[J].電腦知識(shí)與技術(shù).2013(14)
[3]楊嬌娟.淺談TCP/IP協(xié)議[J].數(shù)字技術(shù)與應(yīng)用.2012(03)
[4]李龍光,何伊斐.TCP/IP協(xié)議的安全性淺析[J].江西廣播電視大學(xué)學(xué)報(bào).2011(02)
ip協(xié)議范文第4篇
1HDLC的幀結(jié)構(gòu)
首先回顧一下HDLC基本的幀結(jié)構(gòu)形式。HDLC是面向比特的鏈路控制規(guī)程,其鏈路監(jiān)控功能通過(guò)一定的比特組合所表示的命令和響應(yīng)來(lái)實(shí)現(xiàn),這些監(jiān)控比特和信息比特一起以幀的形式傳送。每幀的起始和結(jié)束以"7E"(01111110)做標(biāo)志,兩個(gè)"7E"之間為數(shù)據(jù)段(包括地址數(shù)據(jù)、控制數(shù)據(jù)、信息數(shù)據(jù))和幀校驗(yàn)序列。幀校驗(yàn)采用CRC算法,對(duì)除了插入的"零"以外的所有數(shù)據(jù)進(jìn)行校驗(yàn)。為了避免將數(shù)據(jù)中的"7E"誤為標(biāo)志,在發(fā)送端和接收端要相應(yīng)地對(duì)數(shù)據(jù)流和幀校驗(yàn)序列進(jìn)行"插零"及"刪零"操作。
2原理框圖
基于FPGA的HDLC協(xié)議的實(shí)現(xiàn)原理框圖如圖1所示。該框圖包括3個(gè)部分:對(duì)外接口部分、HDLC發(fā)送部分、HDLC接收部分。以下對(duì)3個(gè)部分的實(shí)現(xiàn)分別進(jìn)行論述。
2.1對(duì)外接口模塊對(duì)外接口部分主要實(shí)現(xiàn)HDLC對(duì)外的數(shù)據(jù)交換。包括CPU接口、發(fā)送FIFO、發(fā)送接口、接收FIFO以及接收接口。本設(shè)計(jì)是以總線的形式實(shí)現(xiàn)HDLC與外部CPU的通信。當(dāng)需要發(fā)送數(shù)據(jù)時(shí),外部CPU通過(guò)總線將待發(fā)數(shù)據(jù)寫(xiě)入FIFO(FIFO的IP核在各開(kāi)發(fā)軟件中都是免費(fèi)提供的,在程序中只需直接調(diào)用即可,故在此不再詳細(xì)描述)。之中。發(fā)送數(shù)據(jù)準(zhǔn)備就緒標(biāo)志(TX_DAT_OK);接收數(shù)據(jù)時(shí),當(dāng)對(duì)外接口模塊接收到數(shù)據(jù)有效信號(hào)時(shí),根據(jù)接收模塊發(fā)來(lái)的寫(xiě)信號(hào)(WR_MEM)將數(shù)據(jù)寫(xiě)入接收FIFO中。接收完一幀數(shù)時(shí)向CPU發(fā)送中斷信號(hào)(INT),通知CPU讀取數(shù)據(jù)。
2.2HDLC發(fā)送模塊HDLC發(fā)送部分主要實(shí)現(xiàn)HDLC發(fā)送功能。當(dāng)接收到數(shù)據(jù)準(zhǔn)備就緒標(biāo)志(TX_DAT_OK)后,向?qū)ν饨涌谀K發(fā)送讀使能(RD_MEM_EN)和讀信號(hào)(RD_MEM),通過(guò)局部總線將待發(fā)數(shù)據(jù)存入發(fā)送緩沖區(qū),在T_CLK的控制下將數(shù)據(jù)從HDLC_TXD管腳發(fā)出。數(shù)據(jù)發(fā)送模塊采用狀態(tài)機(jī)來(lái)完成發(fā)送各個(gè)階段的切換。狀態(tài)切換流程圖如圖2所示。State0狀態(tài)是發(fā)送的起始狀態(tài)也是空閑狀態(tài)。當(dāng)沒(méi)有數(shù)據(jù)要發(fā)送時(shí)(TX_DAT_OK=0),程序以7E填充發(fā)送;當(dāng)程序檢測(cè)到有新數(shù)據(jù)時(shí)(TX_DAT_OK=1),程序檢測(cè)7E是否發(fā)送結(jié)束如果沒(méi)結(jié)束則繼續(xù)發(fā)送7E,如果7E發(fā)送結(jié)束則狀態(tài)在下一周期切換為State1。State1狀態(tài)主要完成接收并發(fā)送數(shù)據(jù)功能,在第二個(gè)CLK周期先將讀使能和讀信號(hào)拉高,在第三個(gè)CLK周期再將其拉低,在第五個(gè)CLK周期開(kāi)始讀數(shù)。在并行的數(shù)據(jù)發(fā)送PROCESS中根據(jù)CLK周期和發(fā)送計(jì)數(shù)器,將接收到的數(shù)據(jù)通過(guò)移位進(jìn)行發(fā)送同時(shí)對(duì)連續(xù)‘1’的個(gè)數(shù)和發(fā)送個(gè)數(shù)進(jìn)行計(jì)數(shù)。當(dāng)連續(xù)‘1’的個(gè)數(shù)為5時(shí)在下一個(gè)周期插入發(fā)送‘0’,將連續(xù)‘1’的計(jì)數(shù)器清零,發(fā)送個(gè)數(shù)不變。在發(fā)送數(shù)據(jù)的同時(shí)進(jìn)行CRC校驗(yàn)的計(jì)算。幀校驗(yàn)序列字段使用CRC-16,對(duì)兩個(gè)標(biāo)志字段之間的整個(gè)幀的內(nèi)容進(jìn)行校驗(yàn)。CRC的生成多項(xiàng)式為X16+X12+X5+1,對(duì)在校錯(cuò)范圍內(nèi)的錯(cuò)碼進(jìn)行校驗(yàn)。標(biāo)志位和按透明規(guī)則插入的所有‘0’不在校驗(yàn)的范圍內(nèi)。程序設(shè)計(jì)中的CRC校驗(yàn)算法的原理框圖如圖3所示。State3狀態(tài)主要完成發(fā)送字尾,發(fā)送完成后直接轉(zhuǎn)入state0。
2.3HDLC接收模塊接收模塊接收到一個(gè)非“7E”字節(jié)時(shí),即判定為地址數(shù)據(jù),直到再次接收到“7E”即判定為接收到了一個(gè)完整的一幀數(shù)。當(dāng)接收到一個(gè)非“7E”數(shù)據(jù)后就通過(guò)內(nèi)部數(shù)據(jù)總線(DAT_OUT_BUS)傳送給接口模塊,接口模塊根據(jù)FRAME_LENGTH和DAT_VALIDITY來(lái)判斷數(shù)據(jù)幀的長(zhǎng)度和有效性。接收數(shù)據(jù)個(gè)階段的狀態(tài)切換流程如圖4所示。在State0狀態(tài)程序判斷接收到的數(shù)據(jù)是否為7E,如果為7E,則表明已收到了幀頭,狀態(tài)切換到State1。在State1狀態(tài)程序接收到的下一個(gè)數(shù)不是7E則表明收到了地址數(shù)據(jù),將狀態(tài)機(jī)切換到State2。在State2狀態(tài)判斷是否收到字尾,如果不是字尾則將接收的數(shù)據(jù)存入接收緩沖區(qū)同時(shí)啟動(dòng)寫(xiě)數(shù)據(jù),將接收到的數(shù)據(jù)通過(guò)總線寫(xiě)入接收f(shuō)ifo。在收數(shù)的過(guò)程中同時(shí)進(jìn)行刪除‘0’的操作,即當(dāng)收到連續(xù)5個(gè)1時(shí)將下一個(gè)‘0’主動(dòng)刪除。當(dāng)收到字尾時(shí)對(duì)地址數(shù)據(jù)、控制數(shù)據(jù)和信息數(shù)據(jù)
3仿真與應(yīng)用
的CRC校驗(yàn)結(jié)果與最后兩個(gè)字節(jié)進(jìn)行比對(duì)形成數(shù)據(jù)有效標(biāo)志(DAT_VALIDITY)。根據(jù)上述設(shè)計(jì),在QuartusII9.0上對(duì)發(fā)送數(shù)據(jù)和接收數(shù)據(jù)進(jìn)行了仿真如圖5、6所示。從仿真波形可以看出發(fā)送模塊能夠?qū)IFO中的數(shù)按照設(shè)計(jì)的波形輸出到HTXD管腳;接收模塊能夠正確的將HRXD管腳的波形數(shù)據(jù)解出來(lái)并存入接收緩沖區(qū)中,接收完成后給接口模塊發(fā)出END標(biāo)志。根據(jù)上述設(shè)計(jì)方法,已成功地在可編程邏輯芯片上實(shí)現(xiàn)。FPGA芯片選用的是Altera公司的Cyclone系列FPGA:EP1C6T144。
4結(jié)束語(yǔ)
上述詳細(xì)介紹了一種基于FPGA的HDLC協(xié)議IP核的方案及設(shè)計(jì)實(shí)現(xiàn)方法。根據(jù)本文介紹的實(shí)現(xiàn)方法設(shè)計(jì)出的HDLC接口板已應(yīng)用于某雷達(dá)天線的同步引導(dǎo)數(shù)據(jù)的收發(fā)通信鏈路中,成功實(shí)現(xiàn)了雙向數(shù)據(jù)通信。應(yīng)用結(jié)果表明該方法具有簡(jiǎn)單實(shí)用、性能可靠以及成本低等特點(diǎn)。能夠廣泛應(yīng)用于HDLC協(xié)議應(yīng)用場(chǎng)合。
ip協(xié)議范文第5篇
關(guān)鍵詞: 嗅探器;IP 漏洞;TCP 劫持;拒絕服務(wù)攻擊
中圖分類(lèi)號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2008)16-21230-04
TCP/IP Protocol Loophole Analysis and Prevention
WANG Xian-feng
(The Department of the Information Engineering of Lu'an Vocational and Technical College,Lu'an 237158,China)
Abstract:his paper is TCP/ IP's application to secure area.It analyzes several problems about a few of critical parts within,TCP/IP in details,discloses its security leakage and gives some constructive solutions in order to pave a basis on the further research.
Key words: Sniffer;IP Leakage;TCP Hijacking;Denial of Service attacks
Internet/ Intranet 是基于TCP/IP 協(xié)議簇的計(jì)算機(jī)網(wǎng)絡(luò)。盡管TCP/IP 技術(shù)獲得了巨大的成功,但也越來(lái)越暴露出它在安全上的不足之處,這是由于TCP/ IP 協(xié)議簇在設(shè)計(jì)初期基本沒(méi)有考慮到安全性問(wèn)題而只是用于科學(xué)研究。但隨著應(yīng)用的普及,它不僅用于一些要求安全性很高的軍事領(lǐng)域,也應(yīng)用于商業(yè)領(lǐng)域,因而對(duì)其安全性的要求也越來(lái)越高。下面從TCP/IP協(xié)議簇本身逐層來(lái)看它的安全漏洞。
1 TCP/IP 協(xié)議組的基本原理
TCP/IP分為4個(gè)層次,分別是應(yīng)用層、傳輸層、網(wǎng)際層和物理網(wǎng)絡(luò)接口層,如下圖所示。
其中物理網(wǎng)絡(luò)接口層相當(dāng)于OSI的物理層和數(shù)據(jù)鏈路層;網(wǎng)際層與OSI 的網(wǎng)絡(luò)層相對(duì),但由于它考慮到了網(wǎng)際網(wǎng)環(huán)境,因而具有更強(qiáng)的網(wǎng)際環(huán)境通信能力,在網(wǎng)際層包含有四個(gè)重要的協(xié)議,它們是IP、ICMP、ARP、RARP;傳輸層與OSI 的傳輸層相對(duì)應(yīng),包含TCP 和UDP 兩個(gè)協(xié)議;應(yīng)用層相對(duì)于OSI的會(huì)話層、表示層和應(yīng)用層功能,主要定義了FTP、TELNET、及E-MAIL 等應(yīng)用服務(wù)。下面我們簡(jiǎn)要分析中間兩層的有關(guān)協(xié)議。
2 鏈路層存在的安全漏洞
在以太網(wǎng)中,信道是共享的,數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱(chēng)為“幀”的單位傳輸?shù)摹H绻钟蚓W(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的,那么數(shù)字信號(hào)在電纜上傳輸信號(hào)就能夠到達(dá)線路上的每一臺(tái)主機(jī)。當(dāng)使用集線器的時(shí)候,發(fā)送出去的信號(hào)到達(dá)集線器,由集線器再發(fā)向連接在集線器上的每一條線路,這樣在物理線路上傳輸?shù)臄?shù)字信號(hào)也就能到達(dá)連接在集線器上的每個(gè)主機(jī)了。也就是說(shuō)任何主機(jī)發(fā)送的每一個(gè)以太幀都會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí),根據(jù)CSMA/ CD 協(xié)議,正常狀態(tài)下網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)進(jìn)行檢查,如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址,那么就會(huì)將數(shù)據(jù)幀交給IP 層軟件。當(dāng)數(shù)據(jù)幀不屬于自己時(shí),就把它忽略掉。如果稍做設(shè)置或修改,使主機(jī)工作在監(jiān)聽(tīng)模式下的話就可以使以太網(wǎng)卡接受不屬于它的數(shù)據(jù)幀。或者采用虛擬設(shè)備開(kāi)發(fā)技術(shù),動(dòng)態(tài)加載虛擬網(wǎng)絡(luò)設(shè)備(VxD 或WDM) 驅(qū)動(dòng)模塊,駐留內(nèi)存,實(shí)施偵聽(tīng)使網(wǎng)卡捕獲任何經(jīng)過(guò)它的數(shù)據(jù)。從而達(dá)到非法竊取他人信息(如密碼、口令等) 的目的。這類(lèi)軟件被稱(chēng)為嗅探器(Sniffer),如NeXRay,Sniffit,IPMan 等。解決該漏洞的對(duì)策是:改用交換式網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),在交換式以太網(wǎng)中,數(shù)據(jù)只會(huì)被發(fā)往目的地址的網(wǎng)卡,其它網(wǎng)卡接收不到數(shù)據(jù)包。但交換機(jī)的成本比較高。或者采用加密傳輸數(shù)據(jù),使對(duì)方無(wú)法正確還原竊取的數(shù)據(jù)。同時(shí)可以安裝檢測(cè)軟件,查看是否有Sniffer 在網(wǎng)絡(luò)中運(yùn)行,做到防范于未然。
3 ICMP漏洞
ICMP是“Internet Control Message Protocol”(Internet控制消息協(xié)議)的縮寫(xiě)。它是TCP/IP協(xié)議族的一個(gè)子協(xié)議,用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶(hù)數(shù)據(jù),但是對(duì)于用戶(hù)數(shù)據(jù)的傳遞起著重要的作用。我們?cè)诰W(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議,只不過(guò)我們覺(jué)察不到而已。比如我們經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的Ping命令,這個(gè)“Ping”的過(guò)程實(shí)際上就是ICMP協(xié)議工作的過(guò)程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的Tracert命令也是基于ICMP協(xié)議的。
ICMP協(xié)議對(duì)于網(wǎng)絡(luò)安全具有極其重要的意義。ICMP協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī). 例如,在1999年8月海信集團(tuán)“懸賞”50萬(wàn)元人民幣測(cè)試防火墻的過(guò)程中,其防火墻遭受到的ICMP攻擊達(dá)334050次之多,占整個(gè)攻擊總數(shù)的90%以上!可見(jiàn),ICMP的重要性絕不可以忽視!
比如,可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過(guò)64KB這一規(guī)定,向主機(jī)發(fā)起“Ping of Death”(死亡之Ping)攻擊。“Ping of Death” 攻擊的原理是:如果ICMP數(shù)據(jù)包的尺寸超過(guò)64KB上限時(shí),主機(jī)就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤,導(dǎo)致TCP/IP堆棧崩潰,致使主機(jī)死機(jī)。此外,向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包,也會(huì)最終使系統(tǒng)癱瘓。大量的ICMP數(shù)據(jù)包會(huì)形成“ICMP風(fēng)暴”,使得目標(biāo)主機(jī)耗費(fèi)大量的CPU資源處理,疲于奔命。
雖然ICMP協(xié)議給黑客以可乘之機(jī),但是ICMP攻擊也并非無(wú)藥可醫(yī)。只要在日常網(wǎng)絡(luò)管理中未雨綢繆,提前做好準(zhǔn)備,就可以有效地避免ICMP攻擊造成的損失。
對(duì)于“Ping of Death”攻擊,可以采取兩種方法進(jìn)行防范:第一種方法是在路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行帶寬限制,將ICMP占用的帶寬控制在一定的范圍內(nèi),這樣即使有ICMP攻擊,它所占用的帶寬也是非常有限的,對(duì)整個(gè)網(wǎng)絡(luò)的影響非常少;第二種方法就是在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則,最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。
設(shè)置ICMP數(shù)據(jù)包處理規(guī)則的方法也有兩種,一種是在操作系統(tǒng)上設(shè)置包過(guò)濾,另一種是在主機(jī)上安裝防火墻。
4 IP漏洞
IP 協(xié)議運(yùn)行于網(wǎng)絡(luò)層。在TCP/ IP 協(xié)議中, IP 地址是用來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)志,但是節(jié)點(diǎn)的IP 地址又不是固定的,是一個(gè)公共數(shù)據(jù),因此攻擊者可以直接修改節(jié)點(diǎn)的IP 地址,冒充某個(gè)可信節(jié)點(diǎn)的IP 地址攻擊,或者編程(如Raw Socket) ,實(shí)現(xiàn)對(duì)IP 地址的偽裝。
4.1 TCP 劫持
也許對(duì)連接于Internet的服務(wù)器的最大威脅是TCP劫持入侵(即我們所知的主功嗅探),盡管順序號(hào)預(yù)測(cè)法入侵和TCP劫持法有許多相似之處,但TCP劫持之不同在于黑客將強(qiáng)迫網(wǎng)絡(luò)接受其IP地址為一個(gè)可信網(wǎng)址來(lái)獲得訪問(wèn),而不是不停地猜IP地址直至正確。TCP劫持法的基本思想是,黑客控制了一臺(tái)連接于入侵目標(biāo)網(wǎng)的計(jì)算機(jī),然后從網(wǎng)上斷開(kāi)以讓網(wǎng)絡(luò)服務(wù)器誤以為黑客是實(shí)際的客戶(hù)端。下圖顯示了一個(gè)黑客怎樣操作一個(gè)TCP劫持入侵。
成功地劫持了可信任計(jì)算機(jī)之后,黑客將用自己的IP地址更換入侵目標(biāo)機(jī)的每一個(gè)包的IP地址,并模仿其順序號(hào)。安全專(zhuān)家稱(chēng)順序號(hào)偽裝為“IP模仿”,黑客用IP模仿在自己機(jī)器上模擬一個(gè)可信系統(tǒng)的IP地址,黑客模仿了目標(biāo)計(jì)算機(jī)之后,便用靈巧的順序號(hào)模仿法成為一個(gè)服務(wù)器的目標(biāo)。
黑客實(shí)施一個(gè)TCP劫持入侵后更易于實(shí)施一個(gè)IP模仿入侵,而且TCP劫持讓黑客通過(guò)一個(gè)一次性口令請(qǐng)求響應(yīng)系統(tǒng)(如共享口令系統(tǒng)),再讓一個(gè)擁有更高安全性的主機(jī)妥協(xié)。通過(guò)口令系統(tǒng)也讓黑客穿過(guò)一個(gè)操作系統(tǒng)而不是黑客自己的系統(tǒng)。
最后,TCP劫持入侵比IP模仿更具危害性,因?yàn)楹诳鸵话阍诔晒Φ腡CP劫持入侵后比成功的IP模仿入侵后有更大的訪問(wèn)能力。黑客因?yàn)榻厝〉氖钦谶M(jìn)行中的事務(wù)而有更大訪問(wèn)權(quán)限,而不是模擬成一臺(tái)計(jì)算機(jī)再發(fā)起一個(gè)事務(wù)。
4.2 源路由選擇欺騙
TCP/ IP 協(xié)議中,為測(cè)試目的,IP數(shù)據(jù)包設(shè)置了一個(gè)選項(xiàng)―――IP Source Routing,該選項(xiàng)可以直接指明到達(dá)節(jié)點(diǎn)的路由。攻擊者可以冒充某個(gè)可信節(jié)點(diǎn)的IP 地址,構(gòu)造一條通往某個(gè)服務(wù)器的直接路徑和返回的路徑,利用可信用戶(hù)作為同往服務(wù)器的路由中的最后一站,對(duì)其進(jìn)行攻擊。在TCP/IP協(xié)議的兩個(gè)傳輸層協(xié)議TCP 和UDP中,由于UDP 是面向非連接的,不需初始化的連接過(guò)程,所以UDP 更容易被欺騙。
4.3 非同步入侵
TCP 連接需要同步數(shù)據(jù)包交換,實(shí)際上,如果由于某種原因包的順序號(hào)不是接收機(jī)所期望的,接收機(jī)將遺棄它,而去等待正確順序號(hào)的數(shù)據(jù)包。黑客可以探明TCP協(xié)議對(duì)順序號(hào)的要求以截取連接。在這種情況下,黑客或騙取或迫使雙方終止TCP 連接并進(jìn)入一個(gè)非同步狀態(tài),以使雙方再也不能直接交換數(shù)據(jù)。黑客再用第三方主機(jī)(另一個(gè)連接于物理媒介并運(yùn)行TCP 包的計(jì)算機(jī))來(lái)截獲實(shí)際中的數(shù)據(jù)包,經(jīng)過(guò)竄改或偽造,第三方產(chǎn)生的數(shù)據(jù)包就可以模仿連接中的系統(tǒng)本應(yīng)交換的數(shù)據(jù)包,從而以假亂真了。其過(guò)程如下圖所示。
過(guò)程圖在非同步狀態(tài)下,客戶(hù)端A 向服務(wù)器發(fā)送的數(shù)據(jù)包其序列號(hào)不是服務(wù)器所期望的,服務(wù)器便將其拋棄。而黑客主機(jī)C拷貝(截獲) 服務(wù)器丟棄的包,修改其中的數(shù)據(jù),并配以正確的序列號(hào),以A 的名義發(fā)送出去,服務(wù)器便會(huì)接收。當(dāng)然從服務(wù)器B到客戶(hù)端A也存在同樣的情況。從而黑客便相當(dāng)于在客戶(hù)和服務(wù)器之間充當(dāng)?shù)慕巧瑏?lái)往于客戶(hù)和服務(wù)器之間的數(shù)據(jù)都要經(jīng)過(guò)它。
4.4 Land 攻擊
land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊。結(jié)果通常使存在漏洞的機(jī)器崩潰。在Land攻擊中,一個(gè)特別打造的SYN包中的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址,這時(shí)將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN一ACK消息,結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接,每一個(gè)這樣的連接都將保留直到超時(shí)掉。對(duì)Land攻擊反應(yīng)不同,許多UNIX實(shí)現(xiàn)將崩潰,而 Windows NT 會(huì)變的極其緩慢(大約持續(xù)五分鐘)。
4.5 SYN 洪水攻擊
拒絕服務(wù)攻擊的一種,使用TCP SYN 報(bào)文段淹沒(méi)服務(wù)器。利用TCP建立連接的三個(gè)步驟的缺點(diǎn)和服務(wù)器
端口允許的連接數(shù)量的限制,竊取不可達(dá)IP 地址作為源IP地址,使得服務(wù)器得不到ACK而使連接處于半開(kāi)狀態(tài),從而阻止服務(wù)器響應(yīng)別的連接請(qǐng)求。盡管半開(kāi)的連接會(huì)因?yàn)檫^(guò)期而關(guān)閉,但只要攻擊系統(tǒng)發(fā)送的SpoofedSYN 請(qǐng)求的速度比過(guò)期的快就可達(dá)到攻擊的目的。此方法是一種重要的攻擊ISP ( Internet Service Provider) 方法,這種攻擊并不會(huì)損壞服務(wù),而是削弱服務(wù)器的功能。
4.6 防范措施
(1)對(duì)于來(lái)自網(wǎng)絡(luò)外部的欺騙來(lái)說(shuō),可以在局部網(wǎng)絡(luò)的對(duì)外路由器上加一個(gè)限制,做到只要在路由器里面設(shè)置不允許聲稱(chēng)來(lái)自于內(nèi)部網(wǎng)絡(luò)中的機(jī)器的數(shù)據(jù)包通過(guò)就行了。當(dāng)然也應(yīng)該禁止(過(guò)濾) 帶有不同于內(nèi)部資源地址的內(nèi)部數(shù)據(jù)包通過(guò)路由器到別的網(wǎng)上去,以防止內(nèi)部員工對(duì)別的站點(diǎn)進(jìn)行IP 欺騙。
(2)當(dāng)實(shí)施欺騙的主機(jī)在同一網(wǎng)絡(luò)內(nèi)時(shí),不容易防范。可以運(yùn)用某些入侵檢測(cè)軟件或是審計(jì)工具來(lái)查看和分析自己的系統(tǒng)是否受到了攻擊。
(3)對(duì)IP 包進(jìn)行加密,加密后的部分作為包體,然后再附上一個(gè)IP 頭構(gòu)成一個(gè)新的IP 包。
(4)提高序列號(hào)的更新速率,或是增強(qiáng)初始序列號(hào)的隨機(jī)性,使攻擊者無(wú)法猜測(cè)出正確的序列號(hào)。
(5)對(duì)于源路由選項(xiàng)欺騙,因該禁止帶有源路由的IP包進(jìn)入內(nèi)部網(wǎng)。
(6)對(duì)于Land 攻擊,可以通過(guò)配置路由器或防火墻將外部接口上到達(dá)的含有內(nèi)部源地址的數(shù)據(jù)包過(guò)濾掉。
(7)對(duì)于SYN 的洪水攻擊,可以給內(nèi)核加一個(gè)補(bǔ)丁程序或使用一些工具對(duì)內(nèi)核進(jìn)行配置。一般的做法是,使允許的半開(kāi)連接的數(shù)量增加,允許連接處于半開(kāi)狀態(tài)的時(shí)間縮短。但這些并不能從根本上解決問(wèn)題。實(shí)際上在系統(tǒng)內(nèi)存中有一個(gè)專(zhuān)門(mén)的隊(duì)列包含所有的半開(kāi)連接,這個(gè)隊(duì)列的大小是有限的,因此只要有意使服務(wù)器建立過(guò)多的半開(kāi)連接就可以使服務(wù)器的這個(gè)隊(duì)列溢出,從而無(wú)法響應(yīng)其它客戶(hù)的連接請(qǐng)求。
5 ARP欺騙
Arp是一種將IP轉(zhuǎn)化成以IP對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議,或者說(shuō)ARP協(xié)議是一種將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議,它靠維持在內(nèi)存中保存的一張表來(lái)使IP得以在網(wǎng)絡(luò)上被目標(biāo)機(jī)器應(yīng)答。ARP就是IP地址與物理之間的轉(zhuǎn)換,當(dāng)你在傳送數(shù)據(jù)時(shí),IP包里就有源IP地址、源MAC地址、目標(biāo)IP地址,如果在ARP表中有相對(duì)應(yīng)的MAC地址,那么它就直接訪問(wèn),反之,它就要廣播出去,對(duì)方的IP地址和你發(fā)出的目標(biāo)IP地址相同,那么對(duì)方就會(huì)發(fā)一個(gè)MAC地址給源主機(jī)。而ARP欺騙就在此處開(kāi)始,侵略者若接聽(tīng)到你發(fā)送的IP地址,那么,它就可以仿冒目標(biāo)主機(jī)的IP地址,然后返回自己主機(jī)的MAC地址給源主機(jī)。因?yàn)樵粗鳈C(jī)發(fā)送的IP包沒(méi)有包括目標(biāo)主機(jī)的MAC地址,而ARP表里面又沒(méi)有目標(biāo)IP地址和目標(biāo)MAC地址的對(duì)應(yīng)表。所以,容易產(chǎn)生ARP欺騙。例如:我們假設(shè)有三臺(tái)主機(jī)A,B,C位于同一個(gè)交換式局域網(wǎng)中,監(jiān)聽(tīng)者處于主機(jī)A,而主機(jī)B,C正在通信。現(xiàn)在A希望能嗅探到B->C的數(shù)據(jù), 于是A就可以偽裝成C對(duì)B做ARP欺騙――向B發(fā)送偽造的ARP應(yīng)答包,應(yīng)答包中IP地址為C的IP地址而MAC地址為A的MAC地址。 這個(gè)應(yīng)答包會(huì)刷新B的ARP緩存,讓B認(rèn)為A就是C,說(shuō)詳細(xì)點(diǎn),就是讓B認(rèn)為C的IP地址映射到的MAC地址為主機(jī)A的MAC地址。 這樣,B想要發(fā)送給C的數(shù)據(jù)實(shí)際上卻發(fā)送給了A,就達(dá)到了嗅探的目的。我們?cè)谛崽降綌?shù)據(jù)后,還必須將此數(shù)據(jù)轉(zhuǎn)發(fā)給C, 這樣就可以保證B,C的通信不被中斷。克服此問(wèn)題的方法是:讓硬件地址常駐內(nèi)存,并可以用ARP 命令手工加入(特權(quán)用戶(hù)才可以那樣做);也可以通過(guò)RARP服務(wù)器來(lái)檢查客戶(hù)的ARP 欺騙。因?yàn)镽ARP 服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和IP 的相關(guān)信息。
6 路由欺騙
路由協(xié)議(RIP) 用來(lái)在局域網(wǎng)中動(dòng)態(tài)路由信息,但是各節(jié)點(diǎn)對(duì)接收到的信息是不檢查它的真實(shí)性的(TCP/ IP 協(xié)議沒(méi)有提供這個(gè)功能),因此攻擊者可以在網(wǎng)上假的路由信息,利用ICMP 的重定向信息欺騙路由器或主機(jī),偽造路由表,錯(cuò)誤引導(dǎo)非本地的數(shù)據(jù)報(bào)。另外,各個(gè)路由器都會(huì)定期向其相鄰的路由器廣播路由信息,如果使用RIP 特權(quán)的主機(jī)的520 端口廣播非法路由信息,也可以達(dá)到路由欺騙的目的。解決這些問(wèn)題的辦法是:通過(guò)設(shè)置主機(jī)忽略重定向信息可以防止路由欺騙;禁止路由器被動(dòng)使用RIP和限制被動(dòng)使用RIP的范圍。
7 結(jié)束語(yǔ)
通過(guò)對(duì)TCP/IP 協(xié)議的分析,我們不難發(fā)現(xiàn)其在設(shè)計(jì)和實(shí)現(xiàn)上存在的種種缺陷,這是由于TCP/IP協(xié)議在設(shè)計(jì)初期只是用于科學(xué)研究,而未考慮到當(dāng)今會(huì)如此廣泛地被應(yīng)用。黑客或黑客工具往往利用這些漏洞,對(duì)網(wǎng)絡(luò)進(jìn)行破壞。了解這些漏洞并熟悉相應(yīng)的對(duì)策,做到知己知彼,我們才能構(gòu)建一個(gè)安全穩(wěn)固的網(wǎng)絡(luò)。
參考文獻(xiàn):
[1] 張小斌,嚴(yán)望佳.黑客分析與防范技術(shù)[M].北京:清華大學(xué)出版社,2005.
[2] 閆宏生.計(jì)算機(jī)網(wǎng)絡(luò)安全與防護(hù)[M].北京: 電子工業(yè)出版社,2007.
[3] (美)科默,林瑤,等.譯.用TCP/IP進(jìn)行網(wǎng)際互連.第1卷.原理、協(xié)議與結(jié)構(gòu)(第五版) [M].北京:電子工業(yè)出版社,2007.
ip協(xié)議范文第6篇
IPSec是IETF(Internet Engineering Task Force,Internet工程任務(wù)組)的IPSec小組建立的一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務(wù),其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問(wèn)控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。IPSec(IP Security)產(chǎn)生于IPv6的制定之中,用于提供IP層的安全性。由于所有支持TCP/IP協(xié)議的主機(jī)進(jìn)行通信時(shí),都要經(jīng)過(guò)IP層的處理,所以提供了IP層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于IPv4的應(yīng)用仍然很廣泛,所以后來(lái)在IPSec的制定中也增添了對(duì)IPv4的支持。最初的一組有關(guān)IPSec標(biāo)準(zhǔn)由IETF在1995年制定,但由于其中存在一些未解決的問(wèn)題,從1997年開(kāi)始IETF又開(kāi)展了新一輪的IPSec的制定工作,截至1998年11月份主要協(xié)議已經(jīng)基本制定完成。不過(guò)這組新的協(xié)議仍然存在一些問(wèn)題,預(yù)計(jì)在不久的將來(lái)IETF又會(huì)進(jìn)行下一輪IPSec的修訂工作。IPSec提供了兩種安全機(jī)制:認(rèn)證(采用ipsec的AH)和加密(采用ipsec的ESP)。? 認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份,以及數(shù)據(jù)在傳輸過(guò)程中是否遭篡改。? 加密機(jī)制通過(guò)對(duì)數(shù)據(jù)進(jìn)行編碼來(lái)保證數(shù)據(jù)的機(jī)密性,以防數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)。AH(Authentication Header)和ESP(Encapsulating Security Payload,封裝安全負(fù)載)都可以提供認(rèn)證服務(wù),不過(guò),AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。IPSec主要功能為加密和認(rèn)證,為了進(jìn)行加密和認(rèn)證,IPSec還需要有密鑰的管理和交換的功能,以便為加密和認(rèn)證提供所需要的密鑰并對(duì)密鑰的使用進(jìn)行管理。以上三方面的工作分別由AH,ESP和IKE(Internet Key Exchange,Internet 密鑰交換)三個(gè)協(xié)議規(guī)定。為了介紹這三個(gè)協(xié)議,需要先引人一個(gè)非常重要的術(shù)語(yǔ)SA(Security Association安全關(guān)聯(lián))。所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護(hù)。要實(shí)現(xiàn)AH和ESP,都必須提供對(duì)SA的支持。通信雙方如果要用IPSec建立一條安全的傳輸通路,需要事先協(xié)商好將要采用的安全策略,包括使用的加密算法、密鑰、密鑰的生存期等。當(dāng)雙方協(xié)商好使用的安全策略后,我們就說(shuō)雙方建立了一個(gè)SA。SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個(gè)簡(jiǎn)單連接,可以由AH或ESP提供。當(dāng)給定了一個(gè)SA,就確定了IPSec要執(zhí)行的處理,如加密,認(rèn)證等。SA可以進(jìn)行兩種方式的組合,分別為傳輸臨近和嵌套隧道。IPSec的工作原理類(lèi)似于包過(guò)濾防火墻,可以看作是對(duì)包過(guò)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí),包過(guò)濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí),包過(guò)濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。這里的處理工作只有兩種:丟棄或轉(zhuǎn)發(fā)。IPSec通過(guò)查詢(xún)SPD(Security Po1icy Database安全策略數(shù)據(jù)庫(kù))決定對(duì)接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于包過(guò)濾防火墻的是,對(duì)IP數(shù)據(jù)包的處理方法除了丟棄,直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外,還有一種,即進(jìn)行IPSec處理。正是這新增添的處理方法提供了比包過(guò)濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。包過(guò)濾防火墻只能控制來(lái)自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)包的通過(guò),可以拒絕來(lái)自某個(gè)外部站點(diǎn)的IP數(shù)據(jù)包訪問(wèn)內(nèi)部某些站點(diǎn),也可以拒絕某個(gè)內(nèi)部站點(diǎn)對(duì)某些外部網(wǎng)站的訪問(wèn)。但是包過(guò)濾防火墻不能保證自?xún)?nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取,也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過(guò)篡改。只有在對(duì)IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后,才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性、真實(shí)性、完整性,通過(guò)Internet進(jìn)行安全的通信才成為可能。IPSec既可以只對(duì)IP數(shù)據(jù)包進(jìn)行加密,或只進(jìn)行認(rèn)證,也可以同時(shí)實(shí)施二者。但無(wú)論是進(jìn)行加密還是進(jìn)行認(rèn)證,IPSec都有兩種工作模式,一種是隧道模式,另一種是傳輸模式。
ip協(xié)議范文第7篇
關(guān)鍵詞=TCP/IP協(xié)議;網(wǎng)絡(luò)安全;防范
1 引言
隨著信息技術(shù)的迅猛發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛地應(yīng)用到名個(gè)領(lǐng)域。Internet,Intranet是基于TCP/IP協(xié)議簇的計(jì)算機(jī)網(wǎng)絡(luò)。TCP/IP協(xié)議簇在設(shè)計(jì)初期只是用于科學(xué)研究領(lǐng)域,因而沒(méi)有考慮安全性問(wèn)題。但隨著Internet應(yīng)用迅猛發(fā)展和應(yīng)用的普及,它不僅用于安全性要求很高的軍事領(lǐng)域,也應(yīng)用于商業(yè)及金融等領(lǐng)域,因而對(duì)其安全性的要求也越來(lái)越高。對(duì)TCP/IP協(xié)議及其安全性進(jìn)行分析和研究就顯得尤為重要。
2 TCP/IP的工作原理
TCP/JP協(xié)議是一組包括TCP協(xié)議和P協(xié)議、UDP協(xié)議、ICMF協(xié)議和其他協(xié)議的協(xié)議組。TCP/IP協(xié)議共分為4層,即應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層。其中應(yīng)用層向用戶(hù)提供訪問(wèn)internet的一些高層協(xié)議,使用最為廣泛的有TELNET、FTP、SMTP、DNS等。傳輸層提供應(yīng)用程序端到端的通信服務(wù)。網(wǎng)絡(luò)層負(fù)責(zé)相鄰主機(jī)之間的通信。數(shù)據(jù)鏈路層是TCP/IP協(xié)議組的最低一層,主要負(fù)責(zé)數(shù)據(jù)幀的發(fā)送和接收。其工作原理是:源主機(jī)應(yīng)用層將一串應(yīng)用數(shù)據(jù)流傳送給傳輸層,傳輸層將其截成分組,并加上TCP報(bào)頭形成TCP段送交網(wǎng)絡(luò)層,網(wǎng)絡(luò)層給TCP段加上包括源主機(jī)和目的主機(jī)IP地址的IP報(bào)頭,生成一個(gè)IP數(shù)據(jù)包,并送交數(shù)據(jù)鏈路層;數(shù)據(jù)鏈路層在其MAC幀的數(shù)據(jù)部分裝上IP數(shù)據(jù)包,再加上源主機(jī)和目的主機(jī)的MAC地址和幀頭,并根據(jù)其目的MAC地址,將MAC幀發(fā)往目的主機(jī)或IP路由器。目的主機(jī)的數(shù)據(jù)鏈路層將MAC幀的幀頭去掉,將IP數(shù)據(jù)包送交網(wǎng)絡(luò)層:網(wǎng)絡(luò)層檢查IP報(bào)頭,如果報(bào)頭中校驗(yàn)和與計(jì)算結(jié)果不一致,則丟棄該IP數(shù)據(jù)包。如果一致則去掉IP報(bào)頭,將TCP段送交傳輸層;傳輸層檢查順序號(hào),判斷是否是正確的TCP分組,然后檢查T(mén)CP報(bào)頭數(shù)據(jù),若正確,則向源主機(jī)發(fā)確認(rèn)信息,若不正確則丟包,向源主機(jī)要求重發(fā)信息,傳輸層去掉TCP報(bào)頭,將排好順序的分組組成應(yīng)用數(shù)據(jù)流送給應(yīng)用程序。這樣目的主機(jī)接收到的字節(jié)流,就像是直接來(lái)自源主機(jī)一樣。
3 TCP/IP各層的安全性分析
3.1 數(shù)據(jù)鏈路層
數(shù)據(jù)鏈路層是TCP/IP協(xié)議的最底層。它主要實(shí)現(xiàn)對(duì)上層數(shù)據(jù)(IP或ARP)進(jìn)行物理幀的封裝與拆封以及硬件尋址、管理等功能。在以太網(wǎng)中,由于信道是共享的,數(shù)據(jù)以“幀”為單位在網(wǎng)絡(luò)上傳輸,因此,任何主機(jī)發(fā)送的每一個(gè)以太幀都會(huì)到達(dá)與其處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí),根據(jù)CSMA/CD協(xié)議,正常狀態(tài)下,網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)進(jìn)行檢查,如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址,那么就會(huì)將數(shù)據(jù)幀交給IP層軟件。當(dāng)數(shù)據(jù)幀不屬于自己時(shí),就把它忽略掉。然而,目前網(wǎng)絡(luò)上存在一些被稱(chēng)為嗅探器(sniffer)的軟件,如NeXRay、Sniffit、IPMan等。攻擊方稍作設(shè)置或修改,使網(wǎng)卡工作在監(jiān)聽(tīng)模式下,則可達(dá)到非法竊取他人信息(如用戶(hù)賬戶(hù)、口令等)的目的。防范對(duì)策:(1)裝檢測(cè)軟件,查看是否有Sniffer在網(wǎng)絡(luò)中運(yùn)行,做到防范于未然。(2)對(duì)數(shù)據(jù)進(jìn)行加密傳輸,使對(duì)方無(wú)法正確還原竊取的數(shù)據(jù),并且對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行壓縮,以提高傳輸速度。(3)改用交換式的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),使數(shù)據(jù)只發(fā)往目的地址的網(wǎng)卡,其他網(wǎng)卡接收不到數(shù)據(jù)包。這種方法的缺點(diǎn)是交換機(jī)成本太高。
3.2 網(wǎng)絡(luò)層
3.2.1 IP欺騙
在TCP/IP協(xié)議中,IP地址是用來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)志。IP協(xié)議根據(jù)IP頭中的目的地址來(lái)發(fā)送IP數(shù)據(jù)包。在IP路由IP包時(shí),對(duì)IP頭中提供的源地址不做任何檢查,并且認(rèn)為IP頭中的源地址即為發(fā)送該包的機(jī)器的IP地址。這樣,攻擊者可以直接修改節(jié)點(diǎn)的IP地址,冒充某個(gè)可信節(jié)點(diǎn)的IP地址攻擊或者編程(如RawSocket),實(shí)現(xiàn)對(duì)IP地址的偽裝,即所謂IP欺騙。攻擊者可以采用IP欺騙的方法來(lái)繞過(guò)網(wǎng)絡(luò)防火墻。另外對(duì)一些以IP地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用,攻擊者很容易使用IP欺騙的方法獲得特權(quán),從而給被攻擊者造成嚴(yán)重的損失。防范對(duì)策:(1)拋棄基于地址的信任策略。(2)采用加密技術(shù),在通信時(shí)要求加密傳輸和驗(yàn)證。(3)進(jìn)行包過(guò)濾。如果網(wǎng)絡(luò)是通過(guò)路由器接入Internet的,那么可以利用路由器來(lái)進(jìn)行包過(guò)濾。確認(rèn)只有內(nèi)部IAN可以使用信任關(guān)系,而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)要慎重處理。路由器可以過(guò)濾掉所有來(lái)自于外部而希望與內(nèi)部建立連接的請(qǐng)求。
3.2.2 ICMP漏洞
ICMP運(yùn)行于網(wǎng)絡(luò)層,它被用來(lái)傳送IP的控制信息,如網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。常用的Ping命令就是使用ICMP協(xié)議,Ping程序是通過(guò)發(fā)送一個(gè)ICMP Echo請(qǐng)求消息和接收一個(gè)響應(yīng)的ICMP回應(yīng)來(lái)測(cè)試主機(jī)的連通性。幾乎所有的基于TCP/IP的機(jī)器都會(huì)對(duì)ICMP Echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一個(gè)敵意主機(jī)同時(shí)運(yùn)行很多個(gè)Ping命令,向一個(gè)服務(wù)器發(fā)送超過(guò)其處理能力的ICMP Echo請(qǐng)求時(shí),就可以淹沒(méi)該服務(wù)器使其拒絕其它服務(wù)。即向主機(jī)發(fā)起“Ping of Death”(死亡之Ping)攻擊。死亡之Ping是較為原始的拒絕服務(wù)攻擊手段。解決方法較成熟:(1)可給操作系統(tǒng)打上補(bǔ)丁(patch)。(2)在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則,最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。(3)利用防火墻來(lái)阻止Ping。但同時(shí)會(huì)阻擋一些合法應(yīng)用。可只阻止被分段的Ping。使得在大多數(shù)系統(tǒng)上只允許一般合法的64Byte的Ping通過(guò),這樣就能擋住那些長(zhǎng)度大于MTU(Maximum TransmiSsIon Unit)的ICMP數(shù)據(jù)包,從而防止此類(lèi)攻擊。
3.3 傳輸層
TCP是基于連接的。為了在主機(jī)A和B之間傳遞TCP數(shù)據(jù),必須通三次握手機(jī)制建立連接。其連接過(guò)程如下:AB:A向B發(fā)SYN,初始序列號(hào)為ISNI;BA:B向A發(fā)SYN,初始序列號(hào)為ISN2,同時(shí)對(duì)ISNI確認(rèn);AB:A向B發(fā)對(duì)ISN2的確認(rèn)。建立連接以后,主要采用滑動(dòng)窗口機(jī)制來(lái)驗(yàn)證對(duì)方發(fā)送的數(shù)據(jù),如果對(duì)方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi),則丟棄此數(shù)據(jù),這種發(fā)送序號(hào)不在對(duì)方接收窗口的狀態(tài)稱(chēng)為非同步狀態(tài)。由于TCP協(xié)議并不對(duì)數(shù)據(jù)包進(jìn)行加密和認(rèn)證,確認(rèn)數(shù)據(jù)包的主要根據(jù)就是判斷序列號(hào)是否正確。這樣一來(lái),當(dāng)通信雙方進(jìn)入非同步狀態(tài)后,攻擊者可以偽造發(fā)送序號(hào)在有效接收窗口內(nèi)的報(bào)文,也可以截獲報(bào)文,篡改內(nèi)容后,再修改發(fā)送序號(hào),而接收方會(huì)認(rèn)為數(shù)據(jù)是有效數(shù)據(jù),即進(jìn)行TCP會(huì)話劫持。目前存在一些軟件可以進(jìn)行TCP會(huì)話劫持,如Hunt等。防范對(duì)策:(1)在傳輸層對(duì)數(shù)據(jù)進(jìn)行加密。(2)使用安全協(xié)議,對(duì)通信和會(huì)話加密,如使用SSI代替telnet和ftp。(3)運(yùn)用某些入侵檢測(cè)軟件(IDS)或者審計(jì)工具,來(lái)查看和分析自己的系統(tǒng)是否受到了攻擊。
3.4 應(yīng)用層
在應(yīng)用層常見(jiàn)的攻擊手段是DNS欺騙。攻擊者偽造機(jī)器名稱(chēng)和網(wǎng)絡(luò)的信息,當(dāng)主機(jī)需要將一個(gè)域名轉(zhuǎn)化為IP地址時(shí),它會(huì)向某DNS服務(wù)器發(fā)送一個(gè)查詢(xún)請(qǐng)求。同樣,在將IP地址轉(zhuǎn)化為域名時(shí),可發(fā)送一個(gè)反查詢(xún)請(qǐng)求。如果服務(wù)器在進(jìn)行DNS查詢(xún)時(shí)人為地給出攻擊者自己的應(yīng)答信息,就產(chǎn)生了DNS欺騙。由于網(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器,一個(gè)被破壞的DNS服務(wù)器就可以將客戶(hù)引導(dǎo)到非法的服務(wù)器,從而就可以使某個(gè)地址產(chǎn)生欺騙。防范對(duì)策:(1)直接用IP訪問(wèn)重要的服務(wù),從而避開(kāi)DNS欺騙攻擊。(2)加密所有對(duì)外的數(shù)據(jù)流。在服務(wù)器端,盡量使用SSH等有加密支持的協(xié)議;在客戶(hù)端,應(yīng)用PGP等軟件加密發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。
4 結(jié)束語(yǔ)
ip協(xié)議范文第8篇
(一)TCP/IP協(xié)議族分層
每一層有著具體的功能。鏈路層有時(shí)也被稱(chēng)為網(wǎng)絡(luò)接口層,主要包括操作系統(tǒng)中相關(guān)的設(shè)備驅(qū)動(dòng)程序與計(jì)算機(jī)硬件中相對(duì)應(yīng)的網(wǎng)絡(luò)接口卡,共同對(duì)與電纜(或其他任何傳輸媒介)的物理接口細(xì)節(jié)進(jìn)行處理。網(wǎng)絡(luò)層主要是對(duì)分組在網(wǎng)絡(luò)中的活動(dòng)進(jìn)行處理,在TCP/IP協(xié)議族中主要包括了IP協(xié)議、ICMP協(xié)議以及IGMP協(xié)議。傳輸層的主要功能是為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議族中主要有兩種互不相同的傳輸協(xié)議:TCP協(xié)議與UDP協(xié)議。在應(yīng)用層主要是對(duì)應(yīng)用程序的的細(xì)節(jié)進(jìn)行處理。
(二)TCP/IP協(xié)議主要工作流程
TCP/IP協(xié)議主要工作流程如下(以文件傳輸為例):
(1)源主機(jī)應(yīng)用層將相關(guān)數(shù)據(jù)流傳送給傳輸層。
(2)傳輸層將數(shù)據(jù)流進(jìn)行分組,并加上TCP包頭傳送給網(wǎng)絡(luò)層。
(3)在網(wǎng)絡(luò)層加上包括源、目的主機(jī)IP地址的IP報(bào)頭,生成IP數(shù)據(jù)包,并將生成的IP數(shù)據(jù)包傳送至鏈路層。
(4)在鏈路層將MAC幀的數(shù)據(jù)部分裝入IP數(shù)據(jù)包,然后將源、目的主機(jī)的MAC地址和幀頭加上,并根據(jù)目的主機(jī)的MAC地址,將完整的MAC幀發(fā)往目的主機(jī)或者IP路由器。
(5)MAC幀到達(dá)目的主機(jī)后,在鏈路層將MAC幀的幀頭去掉,并將去掉MAC幀頭的IP數(shù)據(jù)包傳送至網(wǎng)絡(luò)層。
(6)網(wǎng)絡(luò)層對(duì)IP報(bào)頭進(jìn)行檢查,如果校驗(yàn)與計(jì)算結(jié)果不同,則將該IP數(shù)據(jù)包丟棄,如果結(jié)果一致就去掉IP報(bào)頭,將TCP段傳送至傳輸層。
(7)傳輸層對(duì)順序號(hào)進(jìn)行檢查,判斷是否是正確的TCP分組,然后再對(duì)TCP報(bào)頭數(shù)據(jù)進(jìn)行檢查。如果正確就源主機(jī)發(fā)出確認(rèn)信息,如果不正確或者是出現(xiàn)丟包,就想源主機(jī)發(fā)出重發(fā)要求。
(8)在目的主機(jī)的傳輸層將TCP報(bào)頭去掉后根據(jù)順序?qū)Ψ纸M進(jìn)行組裝,然后將組裝好的數(shù)據(jù)流傳送給應(yīng)用程序。這樣目的主機(jī)接收到的來(lái)自于源主機(jī)的數(shù)據(jù)量,就像直接接收來(lái)自源主機(jī)的數(shù)據(jù)一樣。
二、TCP/IP協(xié)議的安全性
TCP/IP協(xié)議在設(shè)計(jì)之初沒(méi)有對(duì)安全問(wèn)題考慮很多,但是在安全性方面仍然有著其自身的優(yōu)勢(shì)。
(一)TCP/IP協(xié)議的安全性
首先,TCP協(xié)議是面向連接的協(xié)議,指的是在進(jìn)行通信前,通信雙方需要建立起連接才能夠進(jìn)行通信,在通信結(jié)束后終止連接。當(dāng)目的主機(jī)接收到由源主機(jī)發(fā)來(lái)的IP數(shù)據(jù)包后,會(huì)通過(guò)TCP協(xié)議向源主機(jī)發(fā)送確認(rèn)消息。同時(shí)在TCP協(xié)議中有一個(gè)重傳記時(shí)器(RTO),源主機(jī)從IP包發(fā)送時(shí)開(kāi)始計(jì)時(shí),如果在超時(shí)前接收到了確認(rèn)信號(hào),計(jì)時(shí)器歸零;如果計(jì)時(shí)超時(shí),則表示IP包已丟失,源主機(jī)重傳。利用這個(gè)計(jì)時(shí)器能夠保證數(shù)據(jù)傳輸?shù)耐暾裕襎CP協(xié)議能夠根據(jù)不同的情況來(lái)規(guī)定計(jì)時(shí)時(shí)長(zhǎng)。TCP協(xié)議為應(yīng)用層提供了面向連接的服務(wù),從而保證了網(wǎng)絡(luò)上所傳送的數(shù)據(jù)包被完整、正確、可靠地接收。
其次,利用IP協(xié)議進(jìn)行信息傳送,就像信息的明信片傳送,對(duì)于運(yùn)營(yíng)商設(shè)備、協(xié)議乃至網(wǎng)絡(luò)拓?fù)鋵?duì)用戶(hù)均屬開(kāi)放可見(jiàn)。這也就是說(shuō),安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。但是這種透明性也是容易被利用的一種安全漏洞。
(二)TCP/IP協(xié)議存在的安全問(wèn)題
TCP/IP協(xié)議所存在的安全性問(wèn)題主要體現(xiàn)在以下的幾方面。TCP/IP協(xié)議是建立在可信環(huán)境之下的,在考慮網(wǎng)絡(luò)互聯(lián)時(shí)缺乏對(duì)安全方面的考慮。TCP/IP協(xié)議是建立在三次握手的基礎(chǔ)上的,三次握手本就存在一定的不安全因素。TCP/IP這種基于地址的協(xié)議本身就會(huì)泄露口令,并會(huì)經(jīng)常運(yùn)行一些無(wú)關(guān)程序。同時(shí)互聯(lián)網(wǎng)技術(shù)對(duì)底層網(wǎng)絡(luò)的硬件細(xì)節(jié)進(jìn)行了屏蔽,使得不同種類(lèi)的網(wǎng)絡(luò)能夠進(jìn)行互相通信。這就給“黑客”攻擊網(wǎng)絡(luò)提供了更多的機(jī)會(huì)。因?yàn)楹芏喑绦蚨夹枰肨CP協(xié)議來(lái)來(lái)作為傳輸層協(xié)議,因此TCP協(xié)議的安全性問(wèn)題會(huì)為網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果。同時(shí)TCP/IP協(xié)議是完全公開(kāi)的,這就使得攻擊者利用遠(yuǎn)程訪問(wèn)就能夠的手,同時(shí)所連接的主機(jī)基于互相信任的原則也容易處于各種威脅之下。
三、利用TCP/IP協(xié)議保護(hù)信息安全
雖然TCP/IP協(xié)議存在著較為嚴(yán)重的安全隱患,但是能夠利用協(xié)議本身來(lái)實(shí)現(xiàn)信息隱藏,從而達(dá)到保護(hù)信息安全的目的。對(duì)TCP/IP協(xié)議頭數(shù)據(jù)格式進(jìn)行分析,能夠發(fā)現(xiàn)在這兩個(gè)頭結(jié)構(gòu)中存在多個(gè)沒(méi)有用于正常的數(shù)據(jù)傳送或者是數(shù)據(jù)包的發(fā)送的區(qū)域,或者是有一些可選項(xiàng)。利用這些區(qū)域可以對(duì)數(shù)據(jù)進(jìn)行保存和傳送從而達(dá)到保護(hù)信息安全的目的。當(dāng)源主機(jī)與目的主機(jī)建立起TCP連接后,源主機(jī)就可以對(duì)要發(fā)送的數(shù)據(jù)進(jìn)行編碼轉(zhuǎn)換,根據(jù)一定的算法將需要隱藏的數(shù)據(jù)為撞到IP標(biāo)識(shí)域內(nèi)。而在目的主機(jī)在接收到數(shù)據(jù)包后,首相將IP數(shù)據(jù)包的包體去掉只留下IP包頭,通過(guò)對(duì)IP數(shù)據(jù)的頭結(jié)構(gòu)進(jìn)行解析,將所隱藏的數(shù)據(jù)分離出來(lái),然后利用編碼算法對(duì)數(shù)據(jù)進(jìn)行還原。利用時(shí)間戳實(shí)現(xiàn)信息隱藏。時(shí)間戮是一個(gè)單調(diào)遞增的值,從TCP/IP協(xié)議中可知,當(dāng)一個(gè)數(shù)據(jù)分組穿過(guò)互聯(lián)網(wǎng)時(shí),時(shí)間戳選修會(huì)使得各個(gè)系統(tǒng)將它但錢(qián)的時(shí)間標(biāo)記在數(shù)據(jù)分組的相關(guān)選項(xiàng)中。TCP/IP協(xié)議中有TCP協(xié)議時(shí)間戳與IP協(xié)議時(shí)間戳兩種。利用時(shí)間戳實(shí)現(xiàn)信息隱藏指的就是利用處理TCP包或者是IP包時(shí)所產(chǎn)生的輕微的延時(shí)來(lái)對(duì)TCP時(shí)間戳選項(xiàng)或者IP時(shí)間戳選項(xiàng)的低位段進(jìn)行修改,當(dāng)對(duì)協(xié)議的時(shí)間戳選項(xiàng)進(jìn)行相應(yīng)的修改后,根據(jù)TCP/IP協(xié)議的特點(diǎn),會(huì)在網(wǎng)絡(luò)中形成一個(gè)專(zhuān)門(mén)的信道來(lái)對(duì)隱藏信息進(jìn)行傳送。同時(shí),現(xiàn)在的網(wǎng)絡(luò)監(jiān)控和檢測(cè)技術(shù)很難對(duì)TCP/IP協(xié)議時(shí)間戳的值的改變進(jìn)行監(jiān)控與檢測(cè),同時(shí)也很難對(duì)時(shí)間戳的值的改變?cè)蜻M(jìn)行準(zhǔn)確的判斷,這就為信息的隱藏提供了良好的平臺(tái)。
四、結(jié)語(yǔ)
ip協(xié)議范文第9篇
關(guān)鍵詞:IP協(xié)議IP地址分配路由選擇路由分類(lèi)路由算法IPV6協(xié)議
1引言
隨著“信息高速公路”的提出和Internet的迅猛發(fā)展,人們的交流方式,獲取信息的途徑,工作,學(xué)習(xí),生活,娛樂(lè)的方式都發(fā)生了重大的變革,各種新的信息交流,信息獲取的方式應(yīng)運(yùn)而生。如電子郵件,電子商務(wù),VOD視頻點(diǎn)播,網(wǎng)上股票交易,網(wǎng)上購(gòu)物,遠(yuǎn)程教育,遠(yuǎn)程醫(yī)療,各種公共信息查詢(xún)等,都迫切要求我們有志于IT事業(yè)的青年,全面的了解Internet的核心協(xié)議—IP協(xié)議。
2網(wǎng)際協(xié)議IP
眾所周知,網(wǎng)絡(luò)互連離不開(kāi)協(xié)議。Internet正是依靠TCP/IP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)的,可以毫不夸張的說(shuō),沒(méi)有TCP/IP協(xié)議,就沒(méi)有如今高速發(fā)展的Internet,因此TCP/IP是Internet的基礎(chǔ)和核心。網(wǎng)際協(xié)議IP是TCP/IP體系中重要的協(xié)議之一,它主要為數(shù)據(jù)提供打包和編址服務(wù)。IP協(xié)議能夠識(shí)別本地或遠(yuǎn)程主機(jī)。如果通向目的網(wǎng)絡(luò)的通道使用不同大小的分組,IP協(xié)議將分組分片,以便能夠無(wú)錯(cuò)的傳輸。分組抵達(dá)目的主機(jī)后,IP協(xié)議再將數(shù)據(jù)的分組重新組合。[1]最后,IP協(xié)議將處理好的分組傳遞給上層的協(xié)議。
2.1IP地址
Internet的IP協(xié)議使用特定的地址唯一標(biāo)識(shí)網(wǎng)絡(luò)上的連接設(shè)備。IP的地址遵循IP協(xié)議的一種網(wǎng)絡(luò)地址的描述方式,Internet上的每一個(gè)節(jié)點(diǎn)都依靠唯一的IP地址互相區(qū)分和相互聯(lián)系。他是目前Internet上使用的網(wǎng)絡(luò)地址,是最為通用和流行的尋址方式。
2.1.1IP地址表示方法
所謂IP地址就是給每一個(gè)連接在Internet上的主機(jī)分配一個(gè)在全世界范圍是唯一的32bit地址,它包括了網(wǎng)絡(luò)地址和主機(jī)地址。[2]每個(gè)網(wǎng)絡(luò)擁有一個(gè)唯一的網(wǎng)絡(luò)ID(net-id)和主機(jī)ID(host-id)。我們可以先按IP地址的網(wǎng)絡(luò)號(hào)net-id把網(wǎng)絡(luò)找到,再按主機(jī)號(hào)host-id把主機(jī)找到。所以IP地址并不只是一個(gè)簡(jiǎn)單的計(jì)算機(jī)號(hào),他指出了連接到某個(gè)網(wǎng)絡(luò)上的某臺(tái)計(jì)算機(jī)。
2.1.2IP地址的分類(lèi)
IP地址是一種層次地址,通用個(gè)視為:M——類(lèi)的等級(jí)號(hào),NET——網(wǎng)絡(luò)號(hào),HOST——主機(jī)號(hào)。按類(lèi)別的等級(jí)號(hào),IP地址分為五類(lèi):A,B,C,D,E。[3]常用的A類(lèi),B類(lèi)和C類(lèi)地址都由兩個(gè)字段組成,即網(wǎng)絡(luò)號(hào)字段和主機(jī)號(hào)字段,網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)隨不同等級(jí)在32位中所占的位數(shù)不同。表2-1描述了A,B和C類(lèi)地址的二進(jìn)制表示形式,其中N表示網(wǎng)絡(luò)字段的比特?cái)?shù),H表示主機(jī)字段的比特?cái)?shù)。A類(lèi)地址使用第一個(gè)8位組表示網(wǎng)絡(luò)字段,于3個(gè)8位組,即24比特用于表示主機(jī)號(hào)字段。B類(lèi)地址使用前兩個(gè)8位組表示網(wǎng)絡(luò)號(hào)字段,其余2個(gè)8位組表示主機(jī)號(hào)字段,各有16比特。C類(lèi)地址使用前三個(gè)8位組,24比特比表示網(wǎng)絡(luò)號(hào)字段,最后1個(gè)8位組,即8比特用于表示主機(jī)號(hào)字段。如表2.1所示,它給出了標(biāo)準(zhǔn)網(wǎng)絡(luò)號(hào)字段和主機(jī)號(hào)字段的長(zhǎng)度。D類(lèi)地址和E類(lèi)地址并不支持通常意義的主機(jī)編址。D類(lèi)地址是多播地址,主要是留給Internet體系結(jié)構(gòu)委員會(huì)IAB(InternetArchitectureBoard)使用。E類(lèi)地址保留為試驗(yàn)用途。表2.2給出了IP地址的使用范圍和容量。
表2.1標(biāo)準(zhǔn)網(wǎng)絡(luò)號(hào)字段和主機(jī)號(hào)字段的長(zhǎng)度
地質(zhì)類(lèi)別第一個(gè)8位組第二個(gè)8位組第三個(gè)8位組第四個(gè)8位組
ANNNNNNNNHHHHHHHHHHHHHHHHHHHHHHHH
BNNNNNNNNNNNNNNNNHHHHHHHHHHHHHHHH
CNNNNNNNNNNNNNNNNNNNNNNNNHHHHHHHH
表2.2IP地址使用范圍和容量
地址類(lèi)別第一個(gè)8位組最大網(wǎng)絡(luò)數(shù)每個(gè)網(wǎng)絡(luò)中的最大主機(jī)地址數(shù)
A1——12612616777214
B128——1911638465534
C192——2232097152254
D224——239————
E240——254————
2.1.3特殊地址
除了一般的標(biāo)識(shí)一臺(tái)主機(jī)的IP地之外,還有幾種特殊形式的IP地址。
1.廣播地址
TCP/IP協(xié)議規(guī)定,主機(jī)號(hào)全為“1”的網(wǎng)絡(luò)地址用于廣播,即同時(shí)向網(wǎng)絡(luò)上所有主機(jī)同時(shí)發(fā)送報(bào)文(必須知道本網(wǎng)的網(wǎng)絡(luò)號(hào)),叫做廣播地址,也成直接廣播地址(directedbroadcastingaddress)。
2.有線廣播地址
TCP/IP規(guī)定,32比特全為“1”的網(wǎng)間網(wǎng)地址用于本網(wǎng)內(nèi)部廣播(可不知本網(wǎng)的網(wǎng)絡(luò)號(hào)),該地址叫做有線廣播地址(limitedbroadcastingaddress)。
3.“0”地址
TCP/IP協(xié)議規(guī)定,各位全為“0”的網(wǎng)絡(luò)號(hào)被解釋為“本”網(wǎng)絡(luò)。
4.回送地址
A類(lèi)網(wǎng)絡(luò)地址127是一個(gè)保留地址,用于網(wǎng)絡(luò)軟件以及本地機(jī)間通信,叫做回送地址(loopbackaddress).不管是什么程序,一旦使用回送地址發(fā)送數(shù)據(jù),協(xié)議軟件立即返回,不進(jìn)行任何網(wǎng)絡(luò)傳輸。
主機(jī)號(hào)全為“0”和全為“1”的地址,不能用作一臺(tái)計(jì)算主機(jī)的有效地址。
2.1.4子網(wǎng)掩碼
子網(wǎng)掩碼——IP地址的屏蔽碼,它使用一連串的二進(jìn)制1來(lái)識(shí)別或屏蔽出IP地之中的網(wǎng)絡(luò)地址,使用子網(wǎng)掩碼的目的是識(shí)別網(wǎng)絡(luò)的長(zhǎng)度和數(shù)值。IP協(xié)議使用本地的子網(wǎng)掩碼和本地主機(jī)IP地址來(lái)識(shí)別本地網(wǎng)絡(luò)。
TCP/IP體系結(jié)構(gòu)用一個(gè)32位的子網(wǎng)掩碼來(lái)表示子網(wǎng)號(hào)字段的長(zhǎng)度。具體做法是:子網(wǎng)掩碼由一連串的“1”和一連串的“0”組成。“1”對(duì)應(yīng)于網(wǎng)絡(luò)號(hào)和子網(wǎng)號(hào)字段,而“0”對(duì)應(yīng)與主機(jī)號(hào)字段。例如:子網(wǎng)掩碼為0XFFFFFFE0,她的二進(jìn)制表示形式為11111111111111111111111111100000可見(jiàn)子網(wǎng)號(hào)有11位,而主機(jī)號(hào)有5位。子網(wǎng)掩碼的意義如圖2-1示。根據(jù)IP地址可以判斷它是A,B或C類(lèi)地址中的哪一類(lèi),而根據(jù)子網(wǎng)掩碼可以劃分子網(wǎng)號(hào)和主機(jī)號(hào)的界限。不過(guò),多劃分出一個(gè)子網(wǎng)號(hào)字段浪費(fèi)了大量的IP地址。
10net-idhost-id
B類(lèi)地址
10net-idsubnet-idhost-id
增加了子網(wǎng)掩碼
11111111111111111111111111100000
子網(wǎng)掩碼
圖2-1子網(wǎng)掩碼的意義
3路由的選擇
路由就是基于網(wǎng)絡(luò)層的選擇傳送數(shù)據(jù)包路徑的過(guò)程。路由器則是執(zhí)行路由功能的設(shè)備。它的主要工作是為經(jīng)過(guò)路由器的每個(gè)數(shù)據(jù)幀尋找一條最佳的傳輸路徑,并將數(shù)據(jù)有效的傳送到目的站點(diǎn)。可見(jiàn),路由器的關(guān)鍵所在就是選擇最佳路徑的策略,即路由算法。為了完成這項(xiàng)工作,路由器中保存了各種傳輸路徑的相關(guān)數(shù)據(jù)——路由表(RoutingTable),供路由選擇時(shí)使用。
3.1路由器的功能
路由器是所有大型TCP/IP網(wǎng)絡(luò)的重要組件,沒(méi)有路由器,因特網(wǎng)就無(wú)法運(yùn)行。眾所周知,IP地址用網(wǎng)絡(luò)號(hào)來(lái)描述本地目標(biāo)主機(jī)或遠(yuǎn)程目標(biāo)主機(jī),而路由器是通過(guò)網(wǎng)絡(luò)號(hào)來(lái)識(shí)別目的網(wǎng)絡(luò)。下面來(lái)進(jìn)一步說(shuō)明路由器的功能:
a)路由器用來(lái)連接不同的網(wǎng)絡(luò),接受來(lái)自它連接的某個(gè)網(wǎng)絡(luò)的數(shù)據(jù);
b)路由器是專(zhuān)門(mén)用來(lái)轉(zhuǎn)發(fā)分組的,將數(shù)據(jù)向上傳遞到協(xié)議棧的Internet層,即路由器舍棄網(wǎng)絡(luò)訪問(wèn)層的首標(biāo)信息,并且(必要時(shí))重新組合IP數(shù)據(jù)包;
c)路由器檢查IP首標(biāo)中的目的地址;
d)傳送數(shù)據(jù)到另一個(gè)網(wǎng)絡(luò),路由器自動(dòng)查詢(xún)路由表,確保數(shù)據(jù)轉(zhuǎn)發(fā)到目的地址;
e)路由器確定哪個(gè)適配器負(fù)責(zé)接收數(shù)據(jù)后,它就通過(guò)相應(yīng)網(wǎng)絡(luò)訪問(wèn)層軟件傳遞數(shù)據(jù),以便通過(guò)網(wǎng)絡(luò)來(lái)傳送數(shù)據(jù)。
3.2路由選擇分類(lèi)
路由選擇的兩個(gè)主要類(lèi)形式根據(jù)他們從何處獲得路由表信息而得名的:
靜態(tài)路由選擇——要求網(wǎng)絡(luò)管理員人工輸入路由信息。
動(dòng)態(tài)路由選擇——根據(jù)使用路由選擇協(xié)議獲得的路由信息動(dòng)態(tài)的建立路由表。
3.2.1靜態(tài)路由
當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時(shí),網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省的情況下是私有的,不會(huì)傳遞個(gè)其他路由器。靜態(tài)路由一般適用于比較簡(jiǎn)單的網(wǎng)絡(luò)環(huán)境,在這樣的環(huán)境中,網(wǎng)絡(luò)管理員易于了解本地網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu),便于設(shè)計(jì)正確的路由信息,而且網(wǎng)絡(luò)安全保密性高。
3.2.2動(dòng)態(tài)路由
動(dòng)態(tài)路由是址路由器能夠自動(dòng)的建立自己的路由表,并且能夠根據(jù)實(shí)際情況的變化適時(shí)的進(jìn)行調(diào)整。動(dòng)態(tài)路由機(jī)制的運(yùn)作依賴(lài)路由器的兩個(gè)基本功能:對(duì)路由表的保護(hù);路由器之間適時(shí)的路由信息交換。[3]交換路由信息的最終目的在于通過(guò)路由表找到一條數(shù)據(jù)交換的“最佳”路徑。
3.3IP選路算法
3.3.1傳統(tǒng)分類(lèi)IP路由算法
盡管絕大多數(shù)路由器和許多主機(jī)都可以在無(wú)分類(lèi)IP網(wǎng)絡(luò)中實(shí)現(xiàn)路由,但是仍有一些路由器和主機(jī)依賴(lài)目的的網(wǎng)絡(luò)分類(lèi)進(jìn)行路由。分類(lèi)路由算法如下:
DatagramRoutingTable
從數(shù)據(jù)報(bào)中提取目的地址D,并計(jì)算網(wǎng)絡(luò)前綴N(即目的站的網(wǎng)絡(luò)號(hào))
ifN與任何直接相接的地址匹配
then通過(guò)該網(wǎng)絡(luò)把數(shù)據(jù)報(bào)交付澳目的地D(其中涉及到把D轉(zhuǎn)換成一個(gè)
物理地址,轉(zhuǎn)裝數(shù)據(jù)報(bào)并發(fā)送該幀)
elseif表中包含特定于具體主機(jī)的一個(gè)到D的路由
then把數(shù)據(jù)報(bào)發(fā)送到表中指定的下一跳
elseif表中包含到網(wǎng)絡(luò)N的一個(gè)路由
then把數(shù)據(jù)報(bào)發(fā)送到表中指定的下一跳
elseif網(wǎng)絡(luò)包含一個(gè)默認(rèn)路由
then把數(shù)據(jù)報(bào)發(fā)送到表中指定的默認(rèn)路由器
else宣布選路出錯(cuò)
3.3.2無(wú)分類(lèi)路由
無(wú)分類(lèi)路由的IP路由算法不斷更新以適應(yīng)對(duì)任意大小IP網(wǎng)絡(luò)地址空間尋徑的支持。[5]路由表的每一項(xiàng)必須包括目的地址與下一跳地址,以及附加的掩碼以限定該項(xiàng)所描述的地址空間。路由表中引入掩碼,實(shí)現(xiàn)算法中路由表查詢(xún)的部分要比原分類(lèi)路由算法復(fù)雜,但整體的算法反而簡(jiǎn)化了。無(wú)分類(lèi)IP路由算法如下:
對(duì)于任何給定的目的地IP地址
搜索路由表,尋找與改地址匹配的前綴最長(zhǎng)的目的地址
析取該項(xiàng)的下一跳地址
發(fā)送分組包至下一跳
if尋找匹配項(xiàng)失敗
報(bào)告目的地地址不可達(dá)
Endif
4下一代網(wǎng)絡(luò)IP協(xié)議
當(dāng)前,給予Internet的各種應(yīng)用正如火如荼的迅猛發(fā)展著,而與此熱鬧場(chǎng)面截然不同的是Internet當(dāng)前使用的IP協(xié)議版本IPV4正因?yàn)樽陨淼娜毕荻e步維艱。因此,IPV6應(yīng)運(yùn)而生了。
4.1IPV4的缺陷
現(xiàn)在互聯(lián)網(wǎng)上普遍采用IPV4的標(biāo)準(zhǔn),它是目前Internet中正在運(yùn)行的非常成功的協(xié)議,有著廣泛的應(yīng)用基礎(chǔ),但它自身也有很多不足。
IPV4使用的是32位的尋址方式,理論上IPV4可以支持40億個(gè)地址。然而,由于先前的低效地址分配,由將近一半的地址已被之皮,剩余地址也僅有一小部分可利用。由預(yù)測(cè)表明,以目前Internet發(fā)展速度計(jì)算,所有IP地址將在2005——2010年間完全耗盡完畢。因此,IPV4協(xié)議所能夠提供的域名最終將全部耗盡,從而阻礙了整個(gè)互聯(lián)網(wǎng)的向前發(fā)展。
IPV4不僅存在存儲(chǔ)空間的局限信,還存在性能上的問(wèn)題。IPV4制定之初,主要目的在于為在一種網(wǎng)絡(luò)間進(jìn)行數(shù)據(jù)的可靠和高效傳輸探索最佳機(jī)制,從而實(shí)現(xiàn)不同計(jì)算機(jī)的互操作。在很大程度上,IPV4實(shí)現(xiàn)了此目標(biāo),但這并不意味著IPV4可以繼續(xù)保持這種實(shí)力,它在設(shè)計(jì)方面需要進(jìn)一步完善。再次是安全性,人們認(rèn)為安全性議題在網(wǎng)絡(luò)協(xié)議棧的低層并不重要,應(yīng)用安全性的責(zé)任仍交給應(yīng)用層。在許多情況下IPV4設(shè)計(jì)只具備最少的安全性選項(xiàng),但安全性已經(jīng)成為IP的下一版本可以發(fā)揮作用的地方。最后是自己配置對(duì)于IPV4的節(jié)點(diǎn)的配置非常復(fù)雜,而用戶(hù)跟喜歡即插即用。IP主機(jī)移動(dòng)性的增強(qiáng)和使用不同網(wǎng)絡(luò)接入點(diǎn)時(shí)能提供更好的配置支持。
4.2IPV6協(xié)議
4.2.1較IPV4的變更之處
IPV6對(duì)IPV4做了多處改進(jìn),這些改進(jìn)使該協(xié)議更為靈活,可靠,而且提供了幾乎無(wú)限的地址空間。一下列出由IPV4到IPV6的改進(jìn):
1)擴(kuò)大了選路和編址容量:IPV6把IP地址所占比特?cái)?shù)由32比特增加到128比特。該方案能夠支持的編制層次更多,而且可編址的節(jié)點(diǎn)數(shù)也大為增加。
2)增加了多播地址:IPV6創(chuàng)建了一種新的地址類(lèi)型——任意播地址(anycastaddress),以表示一系列節(jié)點(diǎn),發(fā)任意播的數(shù)據(jù)包可以遞交給這組節(jié)點(diǎn)中的任意一個(gè)。
3)簡(jiǎn)化了首部格式:IPV4首部中的某些子段被丟棄不用或改為可選,減少了處理數(shù)據(jù)包的開(kāi)銷(xiāo),是帶寬額外開(kāi)銷(xiāo)盡可能低。
4)改良了對(duì)選項(xiàng)的支持:新的IP首部隊(duì)選項(xiàng)的編碼方式進(jìn)行了改良,提高了轉(zhuǎn)發(fā)效率,對(duì)選項(xiàng)長(zhǎng)度的限制更少,也增加新選項(xiàng)的靈活性。
5)增加了對(duì)服務(wù)質(zhì)量的支持能力:IPV6可以對(duì)屬于某種特定通信流的數(shù)據(jù)報(bào)加標(biāo)號(hào),表明發(fā)送方要求對(duì)這些數(shù)據(jù)加以的特殊處理。
6)增加了鑒別和保密能力:IPV6還包括擴(kuò)展定義,能支持鑒別數(shù)據(jù)完整性以及機(jī)密性等功能。
5結(jié)束語(yǔ)
了更好的適應(yīng)Internet的不斷發(fā)展,IP協(xié)議應(yīng)不斷的更新其設(shè)計(jì)上的技術(shù)。IPV6是下一代的IP協(xié)議,IPV4向IPV6的轉(zhuǎn)變不可能一夜之間完成,它們之間的過(guò)渡需要很長(zhǎng)的時(shí)間,是一個(gè)逐步完善的過(guò)程。
參考文獻(xiàn)
1[美]RobScrimger等著《TCP/IP寶典》[M]電子工業(yè)出版社2002年4月
2謝希仁著《計(jì)算機(jī)網(wǎng)絡(luò)》[M]電子工業(yè)出版社2003年1月
3白建軍等著《Internet路由結(jié)構(gòu)分析》[M]人民郵電出版社2002年5月
er著《用TCP/IP進(jìn)行網(wǎng)際互聯(lián)》[M]電子工業(yè)出版社2001年5月
ip協(xié)議范文第10篇
關(guān)鍵詞:互聯(lián)網(wǎng);移動(dòng)IP;計(jì)算機(jī)技術(shù)
一、移動(dòng)IP發(fā)展過(guò)程
1、移動(dòng)IP的提出
隨著社會(huì)的發(fā)展,計(jì)算機(jī)技術(shù)普遍的應(yīng)用在各個(gè)生活和生產(chǎn)的領(lǐng)域,Internet的應(yīng)用得到了飛速發(fā)展,接入網(wǎng)絡(luò)的主機(jī)和用戶(hù)逐年呈指數(shù)增長(zhǎng)。網(wǎng)絡(luò)技術(shù)逐漸實(shí)現(xiàn)了普及化和系統(tǒng)化,為人類(lèi)生活和生產(chǎn)中各種信息的交流帶來(lái)巨大的變動(dòng),為人們的生活帶來(lái)了許多方便而快捷的服務(wù),當(dāng)前各種信息資源和互聯(lián)網(wǎng)服務(wù)技術(shù)已經(jīng)普遍的應(yīng)用在各個(gè)企業(yè)單位和人們生活之中,為人們精神需求和生產(chǎn)方便打下了基礎(chǔ),也使得人們?cè)谌粘I钪袑?duì)其依賴(lài)逐漸的增加。
一方面,經(jīng)濟(jì)的發(fā)展促使人員的流動(dòng)和工作場(chǎng)所的流動(dòng),并且這種流動(dòng)將會(huì)越來(lái)越大。為數(shù)眾多的流動(dòng)網(wǎng)絡(luò)用戶(hù)迫切希望能夠隨時(shí)、隨地接入網(wǎng)絡(luò),方便地獲取、處理和交換數(shù)據(jù),共享網(wǎng)絡(luò)資源。人們對(duì)移動(dòng)數(shù)據(jù)通信業(yè)務(wù)的需求正在迅速地推動(dòng)移動(dòng)數(shù)據(jù)通信的發(fā)展。
另一方面,筆記本電腦和便攜式計(jì)算機(jī)大量出現(xiàn),為移動(dòng)計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生奠定了較好的物質(zhì)基礎(chǔ)。隨著計(jì)算機(jī)技術(shù)的發(fā)展,個(gè)人計(jì)算機(jī)的功能越來(lái)越強(qiáng)大,而尺寸越來(lái)越小。PDA和便攜機(jī)的出現(xiàn),使得用戶(hù)可以在野外現(xiàn)場(chǎng)任何地點(diǎn)使用。在這樣的情況下,傳統(tǒng)的有線網(wǎng)絡(luò)已不能滿(mǎn)足用戶(hù)的需求,需要發(fā)展能夠擺(電)纜等固定接入的無(wú)線通信網(wǎng)來(lái)傳送數(shù)據(jù)。因此,便攜式計(jì)算機(jī)的出現(xiàn)也是促使移動(dòng)數(shù)據(jù)業(yè)務(wù)發(fā)展的一個(gè)重要因素。
2、移動(dòng)IP的發(fā)展
隨著當(dāng)前各種信息技術(shù)和計(jì)算機(jī)技術(shù)的不斷擴(kuò)大和發(fā)展需求不斷增加,人們對(duì)計(jì)算機(jī)技術(shù)中的各種其他需求也在不斷的增大之中。當(dāng)前的通信技術(shù)中主要以語(yǔ)音傳輸為主要的基礎(chǔ)通信,移動(dòng)IP在這種趨勢(shì)之下也在不斷的增加著各個(gè)信息指數(shù)和信息技術(shù)。發(fā)展移動(dòng)數(shù)據(jù)業(yè)務(wù)是移動(dòng)通信運(yùn)營(yíng)商的戰(zhàn)略方向,讓消費(fèi)者擁有和互聯(lián)網(wǎng)無(wú)縫結(jié)合的移動(dòng)IP業(yè)務(wù)是運(yùn)營(yíng)商的競(jìng)爭(zhēng)利器、借助于 WhP的Web瀏覽,隨時(shí)隨地進(jìn)行的移動(dòng)電子商務(wù)、移動(dòng)網(wǎng)上銀行、移動(dòng)IP電話等業(yè)務(wù)預(yù)示著互聯(lián)網(wǎng)和移動(dòng)通信無(wú)縫結(jié)合的前景和未來(lái)。因此移動(dòng)通信向因特網(wǎng)靠攏是信息社會(huì)發(fā)展的必然要求。移動(dòng)通信的發(fā)展進(jìn)程將分為三個(gè)階段:首先是移動(dòng)業(yè)務(wù)的IP化;之后是移動(dòng)網(wǎng)絡(luò)的分組化演進(jìn);最后是在第三代移動(dòng)通信系統(tǒng)中實(shí)現(xiàn)全I(xiàn)P化。
Intemet和移動(dòng)通信兩項(xiàng)業(yè)務(wù)網(wǎng)絡(luò)的普及、迅猛發(fā)展以及融合,把人們帶進(jìn)一個(gè)數(shù)字化、個(gè)人化、綜合化的通信世界,徹底改變了人們的交流、溝通以及獲取信息的方式,同時(shí)也為社會(huì)和經(jīng)濟(jì)的發(fā)展提供了強(qiáng)大的動(dòng)力。
3、現(xiàn)有I P協(xié)議的定址方式及其局限性
現(xiàn)有的因特網(wǎng)協(xié)議棧TCP/IP是假設(shè)終端系統(tǒng)是靜態(tài)的情況下設(shè)計(jì)出來(lái)的。我們目前所使用的IP版本為IPv4.這一版本將IP地址定義為主機(jī)聯(lián)接在網(wǎng)絡(luò)上的點(diǎn),這就像固定電話號(hào)碼代表著墻上的某個(gè)插座一樣.TCP/IP 協(xié)議中以分層地址的方式定位互聯(lián)網(wǎng)中的主機(jī)。每個(gè)網(wǎng)絡(luò)主機(jī)有一個(gè)唯一的IP地址與之對(duì)應(yīng)。該IP地址分為網(wǎng)絡(luò)號(hào)與主機(jī)號(hào)兩部分。Internet尋址方案是使用目的地址的網(wǎng)絡(luò)前綴用于路由。一個(gè)特定的地址只能被用于它所定義的域內(nèi),因特網(wǎng)中普遍采用的傳輸層協(xié)議TCP/UDP都采用IP地址作為端點(diǎn)標(biāo)識(shí),且都采用了端口這個(gè)概念,它使得TCP/UDP接收實(shí)體可以決定從網(wǎng)絡(luò)收到的數(shù)據(jù)段中的數(shù)據(jù)應(yīng)交由多個(gè)高層應(yīng)用中的哪一個(gè)處理,這樣在一個(gè)節(jié)點(diǎn)上就可阻同時(shí)打開(kāi)多個(gè)應(yīng)用,而各個(gè)應(yīng)用的流量之間互不干擾。節(jié)點(diǎn)間的TCP連接由以下4個(gè)值唯一確定:源IP地址、目的IP地址、源TCP端口號(hào)、目的TCP端口號(hào).這4個(gè)值在一個(gè)TCP連接的整個(gè)過(guò)程中是保持不變的,當(dāng)目的節(jié)點(diǎn)的IP地址發(fā)生變化時(shí),將不得不斷開(kāi)連接。所以移動(dòng)節(jié)點(diǎn)改變IP地址時(shí),其與別的節(jié)點(diǎn)之間正在進(jìn)行的通信將中斷。
二、當(dāng)前移動(dòng)IP的解決方法
1、IP中存在的問(wèn)題
在今天的互聯(lián)網(wǎng)IP中由于移動(dòng)主機(jī)在使用的過(guò)程中與IP保持不變,使得在出現(xiàn)各種特殊情況之中無(wú)法滿(mǎn)足其他任何方法來(lái)解決,在移動(dòng)主機(jī)在保持其IP地址不變的情況下接入其他網(wǎng)絡(luò),就不能正確路由。傳統(tǒng)的IP是一個(gè)固定的,容易出現(xiàn)各種繁雜故障的問(wèn)題,在IP的輸入和使用的過(guò)程中IP是不變的記過(guò),是在互聯(lián)網(wǎng)使用中不得變動(dòng)的過(guò)程。這個(gè)問(wèn)題的根源在于在互聯(lián)網(wǎng)結(jié)構(gòu)中,IP地址起著雙重的作用:從傳輸層和應(yīng)用層的角度來(lái)看,IP地址是一個(gè)通信端點(diǎn)的標(biāo)識(shí):在網(wǎng)絡(luò)層,IP地址是數(shù)據(jù)路由的依據(jù)。從以上可知,IP的設(shè)計(jì)思路使得IP天生沒(méi)有移動(dòng)通信能力.如果使用者既想移動(dòng)主機(jī)又不想改變IP地址,那就只能在同一物理網(wǎng)絡(luò)(即同一網(wǎng)絡(luò))。
2、解決方法
面對(duì)這樣多個(gè)問(wèn)題,當(dāng)前解決互聯(lián)網(wǎng)中各種其他故障的主要方法一般又兩種,一是重新設(shè)計(jì)一套支持可移動(dòng)終端設(shè)備的互聯(lián)網(wǎng)協(xié)議族,但由于Internet互連網(wǎng)的廣泛應(yīng)用,重新設(shè)計(jì)將使現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu),特別是相應(yīng)的軟件作較大的調(diào)整,代價(jià)昂貴。另一種選擇是在現(xiàn)有的協(xié)議基礎(chǔ)上,附加服務(wù)來(lái)支持終端設(shè)備的移動(dòng)通信。目前的移動(dòng)IP協(xié)議都是基于這種思想。
目前,對(duì)移動(dòng)IP的研究雖然取得了一定的進(jìn)展,但也還面臨著許多問(wèn)題,歸納起來(lái)可以分為以下技術(shù)性和非技術(shù)性?xún)深?lèi)問(wèn)題。技術(shù)性問(wèn)題包括路由優(yōu)化的問(wèn)題、安全的問(wèn)題和時(shí)延的問(wèn)題。非技術(shù)性的問(wèn)題主要包括市場(chǎng)發(fā)展方面的問(wèn)題和來(lái)自其它協(xié)議的競(jìng)爭(zhēng)。從國(guó)內(nèi)外研究方向及成果中可以發(fā)現(xiàn):目前對(duì)移動(dòng)1P的研究主要集中在路由優(yōu)化和快速切換方面,以保證通信準(zhǔn)確、無(wú)時(shí)延。而安全問(wèn)題則是移動(dòng)IP現(xiàn)在所面臨的最緊迫、最突出的問(wèn)題。
移動(dòng)IP是一種與傳輸媒介無(wú)關(guān)的協(xié)議,采用了多種認(rèn)證機(jī)制和加密方法來(lái)防止惡意用戶(hù)的攻擊,而增強(qiáng)其安全性能的同時(shí)需要兼顧其他方面內(nèi)容。如當(dāng)移動(dòng)口工作在無(wú)線網(wǎng)絡(luò)時(shí),由于無(wú)線網(wǎng)絡(luò)的帶寬是一種寶貴的資源,此時(shí)我們必須考慮盡可能減少網(wǎng)絡(luò)的開(kāi)銷(xiāo)。但是強(qiáng)認(rèn)證方案是通過(guò)犧牲網(wǎng)絡(luò)性能來(lái)提高安全性能的,這時(shí)我們應(yīng)在安全性能和網(wǎng)絡(luò)性能之間進(jìn)行折衷。另外還要考慮協(xié)議實(shí)現(xiàn)的復(fù)雜性。因?yàn)闃I(yè)務(wù)的多樣性要求我們應(yīng)該采用多種安全機(jī)制,能夠?yàn)椴煌挠脩?hù)分配不同的安全級(jí)別保證。此外增強(qiáng)安全性還要兼顧路由優(yōu)化、防火墻等方面的問(wèn)題。
三、結(jié)論
本文鏈接:http://www.svtrjb.com/v-141-2364.htmlip協(xié)議范文10篇
相關(guān)文章:
車(chē)輛買(mǎi)賣(mài)協(xié)議書(shū)12-14
學(xué)生代表開(kāi)學(xué)典禮發(fā)言稿02-12
哪吒之魔童鬧海心得體會(huì)02-12
醫(yī)藥銷(xiāo)售需求培訓(xùn)心得10-17
幼兒園寒假放假通知書(shū)08-10
新年新的希望作文12-14
初二的作文10-19
《盲子失墜》文言文翻譯10-26
十二生肖謎語(yǔ)及答案09-13