BlogJava-Scott@JAVA-随笔分类-Network & Telecomhttp://www.blogjava.net/cisco/category/5496.htmlJava, 一杯浓浓的咖啡伴你到深夜<br> <span id="dict_daily"> <a href="http://dict.cn/" target="_blank">Dict.CN 在线词典, 英语学习, 在线翻译</a> </span> <script language="JavaScript" src="http://dict.cn/daily.php" defer="defer"> </script>zh-cnWed, 28 Feb 2007 07:05:31 GMTWed, 28 Feb 2007 07:05:31 GMT60VoIP Provider world Ranking - October 2005 http://www.blogjava.net/cisco/archive/2006/04/23/42698.htmlScott@JAVAScott@JAVASun, 23 Apr 2006 10:56:00 GMThttp://www.blogjava.net/cisco/archive/2006/04/23/42698.htmlhttp://www.blogjava.net/cisco/comments/42698.htmlhttp://www.blogjava.net/cisco/archive/2006/04/23/42698.html#Feedback1http://www.blogjava.net/cisco/comments/commentRss/42698.htmlhttp://www.blogjava.net/cisco/services/trackbacks/42698.html阅读全文

Scott@JAVA 2006-04-23 18:56 发表评论
]]>Subnetwork Exercise 2http://www.blogjava.net/cisco/archive/2006/01/15/28071.htmlScott@JAVAScott@JAVASat, 14 Jan 2006 20:53:00 GMThttp://www.blogjava.net/cisco/archive/2006/01/15/28071.htmlhttp://www.blogjava.net/cisco/comments/28071.htmlhttp://www.blogjava.net/cisco/archive/2006/01/15/28071.html#Feedback0http://www.blogjava.net/cisco/comments/commentRss/28071.htmlhttp://www.blogjava.net/cisco/services/trackbacks/28071.html8.5.2002 Teemu.Korpela@mulkkeri.net

 

 

Subnetworks exercises 2:

 

untitled.JPG 

Basics:

Deal addresses for subnet shown in the picture so that every interface of a router has its own address of that subnet and so that in the cloud all hosts have enough addresses. Remember to reserve addresses also for network and broadcast addresses. In one network there can be only one subnet. Use variable length subnet masks (VLSM) for optimal subnets. Reserve for growth need not take into account.

 

Exercise 1:

 

Usable address space:

 

192.168.0.0/22

 

Amount of hosts in the networks:

 

A: 15

B: 51

C: 31

D: 370

E: 1

F: 16

G: 24

H: 4

I: 24

J: No hosts, only the interfaces of the routers.

 

D: 192.168.0.0/23 --- 192.168.1.255/23

B: 192.168.2.0/26 --- 192.168.2.63/26

C: 192.168.2.64/26 --- 192.168.2.127/26

G: 192.168.2.128/27 --- 192.168.2.159/27

I: 192.168.2.160/27 --- 192.168.2.191/27

A: 192.168.2.192/27 --- 192.168.2.223/27

H: 192.168.2.224/28 --- 192.168.2.239/28

E: 192.168.2.240/29 --- 192.168.2.247/29

J: 192.168.2.248/30 --- 192.168.2.251/30

 

How many addresses are out of use?

255-251 = 4, from 192.168.3.0 to 192.168.3.255, there are 256, so totally, 260 are out of use.

 

Exercise 2:

 

Usable address spaces:

 

192.168.0.0/25

192.168.128.0/26

192.168.128.192/26

 

Amount of hosts in the networks:

 

A: 2

B: 4

C: 6

D: 25

E: 3

F: 15

G: 10

H: 1

I: 45

J  No hosts, only the interfaces of the routers.

 

I: 192.168.0.0/26 --- 192.168.0.63/26

D: 192.168.0.64/27 --- 192.168.0.95/27

F: 192.168.0.96/27 --- 192.168.0.127/27

G: 192.168.128.0/28 --- 192.168.128.15/28

C: 192.168.128.16/28 --- 192.168.128.31/28

B: 192.168.128.32/29 --- 192.168.128.39/28

E: 192.168.128.40/29 --- 192.168.128.47/29

H: 192.168.128.48/29 --- 192.168.128.55/29

A: 192.168.128.56/29 --- 192.168.128.63/29

J: 192.168.128.192/30 --- 192.168.128.195/30

 

How many addresses are out of use?

255-195 = 60 addresses are out of use.



Scott@JAVA 2006-01-15 04:53 发表评论
]]>Subnetwork Exercise 1http://www.blogjava.net/cisco/archive/2006/01/14/28043.htmlScott@JAVAScott@JAVASat, 14 Jan 2006 09:59:00 GMThttp://www.blogjava.net/cisco/archive/2006/01/14/28043.htmlhttp://www.blogjava.net/cisco/comments/28043.htmlhttp://www.blogjava.net/cisco/archive/2006/01/14/28043.html#Feedback0http://www.blogjava.net/cisco/comments/commentRss/28043.htmlhttp://www.blogjava.net/cisco/services/trackbacks/28043.html1. What are the network and broadcast addresses when the host address 
   195.148.9.213 and subnet mask 255.255.255.224
   What was the number of the subnet?
213 = 11010101, 224 = 11100000, 213 & 224 = 11000000 = 192
Network address is 195.148.9.192, broadcast address is 195.148.9.223
2^3 = 8 subnets
 
2. What is the mask if the network address is 199.167.100.0 and
   broadcast address is 199.167.100.255?
The mask is 255.255.255.0
 
3. Is the address 172.21.64.0 with mask 255.255.192.0 the host, network or 
   broadcast address?
64 = 1000000, 192 = 11000000, the address is network address
 
4. What are the network and broadcast addresses if the host address
   172.21.200.4 and subnet mask 255.255.255.192?
   How many subnets together? How many addresses in a network?
4 = 100, 192 = 11000000, 4 & 192 = 0
Network address is 172.21.200.0, broadcast address is 172.21.200.63
2^2 = 4 subnets, 2^6 = 64 addresses in a network
 
5. What are network and broadcast addresses if the host address is
   201.7.110.76 and subnet mask 255.255.255.240?
   How many subnets together?
76 = 1001100, 240 = 11110000, 76 & 240 = 01000000 = 64
Network address is 201.7.110.64, broadcast address is 201.7.110.79
2^4 = 16 subnets
 
6. Deal a class C network to 32 subnets How many addresses are there in every
   subnet? How many bits are there in the subnet mask?
2^5 = 32, 8-5 = 3
2^3 = 8 addresses in every subnet, 29 bits in the subnet mask
 
7. (VLSM) The router connects five subnets. Account of hosts: 3, 5, 10, 30 
   and 100 pcs. Deal one class C network so that every network has enough
   addresses. Remember to calculate one address for the interface of the router.
   How many unusable addresses are left?
Assume the class C network is 194.211.79.0, subnet a, b, c, d, e stand for 3, 5, 10, 30, 100 pcs
 
194.211.79.0/25 --- 194.211.79.127/25         for e
194.211.79.128/26 --- 194.211.79.191/26       for d
194.211.79.192/28 --- 194.211.79.207/28       for c
194.211.79.208/28 --- 194.211.79.223/28       for b
194.211.79.240/29 --- 194.211.79.247/29       for a
 
240-223-1+255-247 = 24 unusable addresses are left


Scott@JAVA 2006-01-14 17:59 发表评论
]]>TCP/IP子网掩码教程http://www.blogjava.net/cisco/archive/2005/12/09/23170.htmlScott@JAVAScott@JAVAFri, 09 Dec 2005 08:44:00 GMThttp://www.blogjava.net/cisco/archive/2005/12/09/23170.htmlhttp://www.blogjava.net/cisco/comments/23170.htmlhttp://www.blogjava.net/cisco/archive/2005/12/09/23170.html#Feedback0http://www.blogjava.net/cisco/comments/commentRss/23170.htmlhttp://www.blogjava.net/cisco/services/trackbacks/23170.html一、缺省A、B、C类地址,子网掩码; 

二、子网掩码的作用: 

  code: 
IP地址 192.20.15.5 11000000 00010100 00001111 00000101 
子网掩码 255.255.0.0 11111111 11111111 00000000 00000000 
网络ID 192.20.0.0 11000000 00010100 00000000 00000000 
主机ID 0.0.15.5 00000000 00000000 00001111 00000101 


计算该子网中的主机数:2^n-2=2^16-2=65534 
其中:n为主机ID占用的位数2: 192.20.0.0(表示本网络), 192.20.255.255 (表示子网广播); 
该子网所容纳主机的IP地址范围:192.20.0.1~192.20.255.254 

三、实现子网 

1.划分子网的理由: 
① 远程LAN互连; 
②连接混合的网络技术; 
③增加网段中的主机数量; 
④减少网络广播。 
2.子网的实现需要考虑以下因素: 
①确定所需的网络ID数,确信为将来的发展留有余地; 
谁需要占用单独的网络ID? 
▲每个子网; 
▲每个WAN连接; 
②确定每个子网中最大的计算机数目,也要考虑未来的发展; 
谁需要占用单独的主机ID? 
▲每个TCP/IP计算机网卡; 
▲每个TCP/IP打印机网卡; 
▲每个子网上的路由接口; 
③考虑增长计划的必要性: 
    假设您在InterNIC申请到一个网络ID:192.20.16.0 但你有两个远程LAN需要互连,而且每个远程LAN各有60台主机。 
    若不划分子网,您就只能使用一个网络ID:192.20.16.0,使用缺省子网掩码:255.255.255.0,而且在这个子网中可以容纳的主机ID的范围: 192.20.16.1~192.20.16.254,即可以有254台主机。 
    现在若根据需要划分为两个子网,即借用主机ID中的两位用作网络ID,则子网掩码就应变为:255.255.255.192(11000000)目的是将借用的用作网络I D的位掩去。看一看划分出来的子网的情况: 
▲192.20.16.65~126 
192.20.16.01000001~01111110 
本网段(01 网段)主机数:2n-2=26-2=62或126-65+1=62 
▲192.20.16.129~190 
192.20.16.10000001~10111110 
本网段(10 网段)主机数:2n-2=26-2=62或190-129+1=62 
▲子网号00全0表示本网络,子网号11全1是子网屏蔽,均不可用。
提示:在早期的子网划分标准RFC950中,不能使用全0或全1做为二进制子网标识(在子网划分公式2n-2中的-2处理)。在RFC1812中,这个限制已被取消。下面内容摘自于RFC1812。
“以前版本的文档认为,子网号不能为0或-1,并且至少要有两位长。在一个CIDR领域,子网号就是网络前缀的一种延伸。如果没有前缀,那么子网号也就不存在了。从CIDR观点来看,这种对子网号的限制是没有意义的,可以安全地忽略。” 
这个方案可以满足目前需求,但以后如果需要加入新的网段则必须重新划分更多的子网(即借用更多的主机ID位用作网络ID),或如果以后需要每个子网中的主机数更多则必须借用网络I D位来保证更多的主机数。 

四、定义子网号的方法 

若InterNIC分配给您的B类网络ID为129.20.0.0,那么在使用缺省的子网掩码255.255.0.0的情况下,您将只有一个网络ID和216-2台主机(范围是:129.20.0.1~129.20.255.254)。现在您有划分4个子网的需求。 
1.手工计算法: 
①将所需的子网数转换为二进制 
4→00000100 
②以二进制表示子网数所需的位数即为向缺省子网掩码中加入的位数(既应向主机ID借用的位数) 
00000100→3位 
③决定子网掩码 
缺省的:255.255.0.0 
借用主机ID的3位以后:255.255.224(11100000).0,即将所借的位全表示为1,用作子网掩码。 
④决定可用的网络ID 
列出附加位引起的所有二进制组合,去掉全0和全1的组合情况 

  code: 
  组合情况     实际得到的子网ID 
   000╳   
001→32 (00100000 ) 129.20.32.0 
010→64 (01000000 ) 129.20.64.0 
011→96 (01100000 ) 129.20.96.0 
100→128(10000000) 129.20.128.0 
101→160(10100000) 129.20.160.0 
110→192(11000000) 129.20.192.0 
   111╳   


⑤决定可用的主机ID范围 

  code: 
子网      开始的IP地址 最后的IP地址 
129.20.32.0 129.20.32.1 129.20.63.254 
129.20.64.0 129.20.64.1 129.20.95.254 
129.20.96.0 129.20.96.1 129.20.127.254 
129.20.128.0 129.20.128.1 129.20.159.254 
129.20.160.0 129.20.160.1 129.20.191.254 
129.20.192.0 129.20.192.1 129.20.223.254 


2.快捷计算法: 
①将所需的子网数转换为二进制 
4→00000100 
②以二进制表示子网数所需的位数即为向缺省子网掩码中加入的位数(既应向主机ID借用的位数) 
00000100→3位 
③决定子网掩码 
缺省的:255.255.0.0 
借用主机ID的3位以后:255.255.224(11100000).0,即将所借的位全表示为1,用作子网掩码。 
④将11100000最右边的"1"转换为十进制,即为每个子网ID之间的增量,记作delta d=32 
⑤产生的子网ID数为:2^m-2 (m:向缺省子网掩码中加入的位数) 
可用子网ID数:2^3-2=6
⑥将d附在原网络ID之后,形成第一个子网网络ID 129.20.32.0 
⑦重复⑥,后续的每个子网的值加d,得到所有的子网网络ID 
129.20.32.0 
129.20.64.0 
129.20.96.0 
129.20.128.0 
129.20.160.0 129.20.192.0 
129.20.224.0→224与子网掩码相同,是无效的网络ID 

Scott@JAVA 2005-12-09 16:44 发表评论
]]>用协议分析工具学习TCP/IPhttp://www.blogjava.net/cisco/archive/2005/12/04/22460.htmlScott@JAVAScott@JAVASun, 04 Dec 2005 11:20:00 GMThttp://www.blogjava.net/cisco/archive/2005/12/04/22460.htmlhttp://www.blogjava.net/cisco/comments/22460.htmlhttp://www.blogjava.net/cisco/archive/2005/12/04/22460.html#Feedback0http://www.blogjava.net/cisco/comments/commentRss/22460.htmlhttp://www.blogjava.net/cisco/services/trackbacks/22460.html摘至 中国协议分析网

一、前言

  目前,网络的速度发展非常快,学习网络的人也越来越多,稍有网络常识的人都知道TCP/IP协议是网络的基础,是Internet的语言,可以说没有TCP/IP协议就没有互联网的今天。目前号称搞网的人非常多,许多人就是从一把夹线钳,一个测线器联网开始接触网络的,如果只是联网玩玩,知道几个Ping之类的命令就行了,如果想在网络上有更多的发展不管是黑道还是红道,必须要把TCP/IP协议搞的非常明白。

  学习过TCP/IP协议的人多有一种感觉,这东西太抽象了,没有什么数据实例,看完不久就忘了。本文将介绍一种直观的学习方法,利用协议分析工具学习TCP/IP,在学习的过程中能直观的看到数据的具体传输过程。

  为了初学者更容易理解,本文将搭建一个最简单的网络环境,不包含子网。

二、试验环境

1、网络环境

如图1所示



图1

  为了表述方便,下文中208号机即指地址为192.168.113.208的计算机,1号机指地址为192.168.113.1的计算机。

2、操作系统

两台机器都为Windows 2000 ,1号机机器作为服务器,安装FTP服务

3、协议分析工具

  Windows环境下常用的工具有:Sniffer Pro、Natxray、Iris以及windows 2000自带的网络监视器等。本文选用Iris作为协议分析工具。

在客户机208号机安装IRIS软件。

三、测试过程

1、测试例子:将1号机计算机中的一个文件通过FTP下载到208号机中。

2、IRIS的设置。

  由于IRIS具有网络监听的功能,如果网络环境中还有其它的机器将抓很多别的数据包,这样为学习带来诸多不便,为了清楚地看清楚上述例子的传输过程首先将IRIS设置为只抓208号机和1号机之间的数据包。设置过程如下:

  1)用热键CTRL+B弹出如图所示的地址表,在表中填写机器的IP地址,为了对抓的包看得更清楚不要添主机的名字(name),设置好后关闭此窗口。



图2

  2)用热键CTRL+E弹出如图所示过滤设置,选择左栏“IP address”,右栏按下图将address book中的地址拽到下面,设置好后确定,这样就这抓这两台计算机之间的包。



图3

  3、抓包

  按下IRIS工具栏中 开始按钮。在浏览器中输入:FTP://192.168.113.1,找到要下载的文件 ,鼠标右键该文件,在弹出的菜单中选择“复制到文件夹”开始下载,下载完后在IRIS工具栏中按 按钮停止抓包。图4显示的就是FTP的整个过程,下面我们将详细分析这个过程。



图4

  说明:为了能抓到ARP协议的包,在WINDOWS 2000 中运行arp –d 清除arp缓存。

四、过程分析

1、TCP/IP的基本原理

  本文的重点虽然是根据实例来解析TCP/IP,但要讲明白下面的过程必须简要讲一下TCP/IP的基本原理。

A.网络是分层的,每一层分别负责不同的通信功能。

  TCP/IP通常被认为是一个四层协议系统,TCP/IP协议族是一组不同的协议组合在一起构成的协议族。尽管通常称该协议族为TCP/IP,但TCP和IP只是其中的两种协议而已,如表1所示。每一层负责不同的功能:



表1

  分层的概念说起来非常简单,但在实际的应用中非常的重要,在进行网络设置和排除故障时对网络层次理解得很透,将对工作有很大的帮助。例如:设置路由是网络层IP协议的事,要查找MAC地址是链路层ARP的事,常用的Ping命令由ICMP协议来做的。

  图5显示了各层协议的关系,理解它们之间的关系对下面的协议分析非常重要。



图5

  b.数据发送时是自上而下,层层加码;数据接收时是自下而上,层层解码。

  当应用程序用TCP传送数据时,数据被送入协议栈中,然后逐个通过每一层直到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信息(有时还要增加尾部信息),该过程如图6所示。TCP传给IP的数据单元称作TCP报文段或简称为TCP段。I P传给网络接口层的数据单元称作IP数据报。 通过以太网传输的比特流称作帧(Frame)。

  数据发送时是按照图6自上而下,层层加码;数据接收时是自下而上,层层解码。



图6

c. 逻辑上通讯是在同级完成的

  垂直方向的结构层次是当今普遍认可的数据处理的功能流程。每一层都有与其相邻层的接口。为了通信,两个系统必须在各层之间传递数据、指令、地址等信息,通信的逻辑流程与真正的数据流的不同。虽然通信流程垂直通过各层次,但每一层都在逻辑上能够直接与远程计算机系统的相应层直接通信。

  从图7可以看出,通讯实际上是按垂直方向进行的,但在逻辑上通信是在同级进行的。



图7

2、过程描述

  为了更好的分析协议,我们先描述一下上述例子数据的传输步骤。如图8所示:

1)FTP客户端请求TCP用服务器的IP地址建立连接。

2)TCP发送一个连接请求分段到远端的主机,即用上述IP地址发送一份IP数据报。

3) 如果目的主机在本地网络上,那么IP数据报可以直接送到目的主机上。如果目的主机在一个远程网络上,那么就通过IP选路函数来确定位于本地网络上的下一站路由器地址,并让它转发IP数据报。在这两种情况下,IP数据报都是被送到位于本地网络上的一台主机或路由器。

4) 本例是一个以太网,那么发送端主机必须把32位的IP地址变换成48位的以太网地址,该地址也称为MAC地址,它是出厂时写到网卡上的世界唯一的硬件地址。把IP地址翻译到对应的MAC地址是由ARP协议完成的。

5) 如图的虚线所示,ARP发送一份称作ARP请求的以太网数据帧给以太网上的每个主机,这个过程称作广播。ARP请求数据帧中包含目的主机的IP地址,其意思是“如果你是这个IP地址的拥有者,请回答你的硬件地址。”

6) 目的主机的ARP层收到这份广播后,识别出这是发送端在寻问它的IP地址,于是发送一个ARP应答。这个ARP应答包含I P地址及对应的硬件地址。

7) 收到ARP应答后,使ARP进行请求—应答交换的IP数据包现在就可以传送了。

8) 发送IP数据报到目的主机。



图8

3、实例分析

  下面通过分析用iris捕获的包来分析一下TCP/IP的工作过程,为了更清晰的解释数据传送的过程,我们按传输的不同阶段抓了四组数据,分别是查找服务器、建立连接、数据传输和终止连接。每组数据,按下面三步进行解释。


显示数据包


解释该数据包


按层分析该包的头信息

第一组 查找服务器

1)下图显示的是1、2行的数据




图9

2)解释数据包

  这两行数据就是查找服务器及服务器应答的过程。

  在第1行中,源端主机的MAC地址是00:50:FC:22:C7:BE。目的端主机的MAC地址是FF:FF:FF:FF:FF:FF,这个地址是十六进制表示的,F换算为二进制就是1111,全1的地址就是广播地址。所谓广播就是向本网上的每台网络设备发送信息,电缆上的每个以太网接口都要接收这个数据帧并对它进行处理,这一行反映的是步骤5)的内容,ARP发送一份称作ARP请求的以太网数据帧给以太网上的每个主机。网内的每个网卡都接到这样的信息“谁是192.168.113.1的IP地址的拥有者,请将你的硬件地址告诉我”。

  第2行反映的是步骤6)的内容。在同一个以太网中的每台机器都会"接收"到这个报文,但正常状态下除了1号机外其他主机应该会忽略这个报文,而1号的主机的ARP层收到这份广播报文后,识别出这是发送端在寻问它的IP地址,于是发送一个ARP应答。告知自己的IP地址和MAC地址。第2行可以清楚的看出1号回答的信息__自己的MAC地址00:50:FC:22:C7:BE。

  这两行反映的是数据链路层之间一问一答的通信过程。这个过程就像我要在一个坐满人的教室找一个叫“张三”的人,在门口喊了一声“张三”,这一声大家都听见了,这就叫广播。张三听到后做了回应,别人听到了没做回应,这样就与张三取得了联系。

3)头信息分析

  如下图左栏所示,第1数据包包含了两个头信息:以太网Ethernet)和ARP。



图10

  下表2是以太网的头信息,括号内的数均为该字段所占字节数,以太网报头中的前两个字段是以太网的源地址和目的地址。目的地址为全1的特殊地址是广播地址。电缆上的所有以太网接口都要接收广播的数据帧。两个字节长的以太网帧类型表示后面数据的类型。对于ARP请求或应答来说,该字段的值为0806。

  第2行中可以看到,尽管ARP请求是广播的,但是ARP应答的目的地址却是1号机的(00 50 FC 22 C7 BE)。ARP应答是直接送到请求端主机的。



表2

  下表3是ARP协议的头信息。硬件类型字段表示硬件地址的类型。它的值为1即表示以太网地址。协议类型字段表示要映射的协议地址类型。它的值为0800即表示IP地址。它的值与包含I P数据报的以太网数据帧中的类型字段的值相同。接下来的两个1字节的字段,硬件地址长度和协议地址长度分别指出硬件地址和协议地址的长度,以字节为单位。对于以太网上IP地址的ARP请求或应答来说,它们的值分别为6和4。Op即操作(Opoperation),1是ARP请求、2是ARP应答、3是RARP请求和4为RARP应答,第二行中该字段值为2表示应答。接下来的四个字段是发送端的硬件地址、发送端的IP地址、目的端的硬件地址和目的端IP地址。注意,这里有一些重复信息:在以太网的数据帧报头中和ARP请求数据帧中都有发送端的硬件地址。对于一个ARP请求来说,除目的端硬件地址外的所有其他的字段都有填充值。

  表3的第2行为应答,当系统收到一份目的端为本机的ARP请求报文后,它就把硬件地址填进去,然后用两个目的端地址分别替换两个发送端地址,并把操作字段置为2,最后把它发送回去。



表3

第二组 建立连接

1)下图显示的是3-5行的数据



图11

2)解释数据包

  这三行数据是两机建立连接的过程。

  这三行的核心意思就是TCP协议的三次握手。TCP的数据包是靠IP协议来传输的。但IP协议是只管把数据送到出去,但不能保证IP数据报能成功地到达目的地,保证数据的可靠传输是靠TCP协议来完成的。当接收端收到来自发送端的信息时,接受端详发送短发送一条应答信息,意思是:“我已收到你的信息了。”第三组数据将能看到这个过程。TCP是一个面向连接的协议。无论哪一方向另一方发送数据之前,都必须先在双方之间建立一条连接。建立连接的过程就是三次握手的过程。

  这个过程就像要我找到了张三向他借几本书,第一步:我说:“你好,我是担子”,第二步:张三说:“你好,我是张三”,第三步:我说:“我找你借几本书。”这样通过问答就确认对方身份,建立了联系。

  下面来分析一下此例的三次握手过程。

1))请求端208号机发送一个初始序号(SEQ)987694419给1号机。

2))服务器1号机收到这个序号后,将此序号加1值为987694419作为应答信号(ACK),同时随机产生一个初始序号(SEQ)1773195208,这两个信号同时发回到请求端208号机,意思为:“消息已收到,让我们的数据流以1773195208这个数开始。”

3))请求端208号机收到后将确认序号设置为服务器的初始序号(SEQ)1773195208加1为1773195209作为应答信号。

  以上三步完成了三次握手,双方建立了一条通道,接下来就可以进行数据传输了。

  下面分析TCP头信息就可以看出,在握手过程中TCP头部的相关字段也发生了变化。

3)头信息分析

  如图12所示,第3数据包包含了三头信息:以太网Ethernet)和IP和TCP

  头信息少了ARP多了IP、TCP,下面的过程也没有ARP的参与,可以这样理解,在局域网内,ARP负责的是在众多联网的计算机中找到需要找的计算机,找到工作就完成了。

  以太网的头信息与第1、2行不同的是帧类型为0800,指明该帧类型为IP。


图12

IP协议头信息

  IP是TCP/IP协议族中最为核心的协议。从图5可以看出所有的TCPUDP、ICMP及IGMP数据都以IP数据报格式传输的,有个形象的比喻IP协议就像运货的卡车,将一车车的货物运向目的地。主要的货物就是TCPUDP分配给它的。需要特别指出的是IP提供不可靠、无连接的数据报传送,也就是说I P仅提供最好的传输服务但不保证IP数据报能成功地到达目的地。看到这你会不会担心你的E_MAIL会不会送到朋友那,其实不用担心,上文提过保证数据正确到达目的地是TCP的工作,稍后我们将详细解释。

  如表4是IP协议的头信息。



表4 IP数据报格式及首部中的各字段

  图12中所宣布分45 00—71 01为IP的头信息。这些数是十六进制表示的。一个数占4位,例如:4的二进制是0100

  4位版本:表示目前的协议版本号,数值是4表示版本为4,因此IP有时也称作IPv4

  4位首部长度:头部的是长度,它的单位是32位(4个字节),数值为5表示IP头部长度为20字节。

  8位服务类型(TOS):00,这个8位字段由3位的优先权子字段,现在已经被忽略,4位的TOS子字段以及1 位的未用字段(现在为0)构成。4位的TOS子字段包含:最小延时、最大吞吐量、最高可靠性以及最小费用构成,这四个1位最多只能有一个为1,本例中都为0,表示是一般服务。

  16位总长度(字节数):总长度字段是指整个IP数据报的长度,以字节为单位。数值为00 30,换算为十进制为48字节,48字节=20字节 的IP头+28字节的TCP头,这个数据报只是传送的控制信息,还没有传送真正的数据,所以目前看到的总长度就是报头的长度。

  16位标识:标识字段唯一地标识主机发送的每一份数据报。通常每发送一份报文它的值就会加1,第3行为数值为30 21,第5行为30 22,第7行为30 23。分片时涉及到标志字段和片偏移字段,本文不讨论这两个字段。

  8位生存时间(TTL):TTL(time-to-live)生存时间字段设置了数据报可以经过的最多路由器数。它指定了数据报的生存时间。ttl的初始值由源主机设置,一旦经过一个处理它的路由器,它的值就减去1。可根据TTL值判断服务器是什么系统和经过的路由器。本例为80,换算成十进制为128,WINDOWS操作系统TTL初始值一般为128,UNIX操作系统初始值为255,本例表示两个机器在同一网段且操作系统为WINDOWS。

  8位协议:表示协议类型,6表示传输层是TCP协议

  16位首部检验和:当收到一份I P数据报后,同样对首部中每个16 位进行二进制反码的求和。由于接收方在计算过程中包含了发送方存在首部中的检验和,因此,如果首部在传输过程中没有发生任何差错,那么接收方计算的结果应该为全1。如果结果不是全1,即检验和错误,那么IP就丢弃收到的数据报。但是不生成差错报文,由上层去发现丢失的数据报并进行重传。

  32位源IP地址和32位目的IP地址:实际这是IP协议中核心的部分,但介绍这方面的文章非常多,本文搭建的又是一个最简单的网络结构,不涉及路由,本文对此只做简单介绍,相关知识请参阅其它文章。32位的IP地址由一个网络ID和一个主机ID组成。本例源IP地址为C0 A8 71 D0,转换为十进制为:192.168.113.208; 目的IP地址为C0 A8 71 01,转换为十进制为:192.168.113.1。网络地址为192.168.113,主机地址分别为1和208,它们的网络地址是相同的所以在一个网段内,这样数据在传送过程中可直接到达。

TCP协议头信息

  如表5是ICP协议的头信息。



表5 TCP包首部

  第三行TCP的头信息是:04 28 00 15 3A DF 05 53 00 00 00 00 70 02 40 00 9A 8D 00 00 02 04 05 B4 01 01 04 02

  端口号:常说FTP占21端口、HTTP占80端口、TELNET占23端口等,这里指的端口就是TCPUDP的端口,端口就像通道两端的门一样,当两机进行通讯时门必须是打开的。源端口和目的端口各占16位,2的16次方等于65536,这就是每台电脑与其它电脑联系所能开的“门”。一般作为服务一方每项服务的端口号是固定的。本例目的端口号为00 15,换算成十进制为21,这正是FTP的默认端口,需要指出的是这是FTP的控制端口,数据传送时用另一端口,第三组的分析能看到这一点。客户端与服务器联系时随机开一个大于1024的端口,本例为04 28,换算成十进制为1064。你的电脑中了木马也会开一个服务端口。观察端口非常重要,不但能看出本机提供的正常服务,还能看出不正常的连接。Windows察看端口的命令时netstat。

  32位序号:也称为顺序号(Sequence Number),简写为SEQ,从上面三次握手的分析可以看出,当一方要与另一方联系时就发送一个初始序号给对方,意思是:“让我们建立联系吧?”,服务方收到后要发个独立的序号给发送方,意思是“消息收到,数据流将以这个数开始。”由此可看出,TCP连接完全是双向的,即双方的数据流可同时传输。在传输过程中双方数据是独立的,因此每个TCP连接必须有两个顺序号分别对应不同方向的数据流。

  32位确认序号:也称为应答号(Acknowledgment Number),简写为ACK。在握手阶段,确认序号将发送方的序号加1作为回答,在数据传输阶段,确认序号将发送方的序号加发送的数据大小作为回答,表示确实收到这些数据。在第三组的分析中将看到这一过程。

  4位首部长度:。这个字段占4位,它的单位时32位(4个字节)。本例值为7,TCP的头长度为28字节,等于正常的长度2 0字节加上可选项8个字节。,TCP的头长度最长可为60字节(二进制1111换算为十进制为15,15*4字节=60字节)。

  6个标志位。

  URG 紧急指针,告诉接收TCP模块紧要指针域指着紧要数据

  ACK 置1时表示确认号(为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。

  PSH 置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。

  RST 置1时重建连接。如果接收到RST位时候,通常发生了某些错误。

  SYN 置1时用来发起一个连接。

  FIN 置1时表示发端完成发送任务。用来释放连接,表明发送方已经没有数据发送了。

  图13的3个图分别为3-5行TCP协议的头信息,这三行是三次握手的过程,我们看看握手的过程标志位发生了什么?

  如图13-1请求端208号机发送一个初始序号(SEQ)987694419给1号机。标志位SYN置为1。

  如图13-2服务器1号机收到这个序号后,将应答信号(ACK)和随机产生一个初始序号(SEQ)1773195208发回到请求端208号机,因为有应答信号和初始序号,所以标志位ACK和SYN都置为1。

  如图13-3请求端208号机收到1号机的信号后,发回信息给1号机。标志位ACK置为1,其它标志为都为0。注意此时SYN值为0,SYN是标示发起连接的,上两部连接已经完成。



  16位窗口大小:TCP的流量控制由连接的每一端通过声明的窗口大小来提供。窗口大小为字节数,起始于确认序号字段指明的值,这个值是接收端正期望接收的字节。窗口大小是一个16字节字段,因而窗口大小最大为65535字节。

  16位检验和:检验和覆盖了整个的TCP报文段: TCP首部和TCP数据。这是一个强制性的字段,一定是由发端计算和存储,并由收端进行验证。

  16位紧急指针:只有当U R G标志置1时紧急指针才有效。紧急指针是一个正的偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。

  选项:图13-1和图13-2有8个字节选项,图13-3没有选项。最常见的可选字段是最长报文大小,又称为MSS (Maximum Segment Size)。每个连接方通常都在握手的第一步中指明这个选项。它指明本端所能接收的最大长度的报文段。图13-1可以看出208号机可以接受的最大字节数为1460字节,1460也是以太网默认的大小,在第三组的数据分析中可以看到数据传送正是以1460字节传送的。

握手小结

  上面我们分开讲了三次握手,看着有点散,现在小结一下。



第三组 数据传输

1)下图显示的是57-60行的数据



图14

2)解释数据包

  这四行数据是数据传输过程中一个发送一个接收的过程。

  前文说过,TCP提供一种面向连接的、可靠的字节流服务。当接收端收到来自发送端的信息时,接受端要发送一条应答信息,表示收到此信息。数据传送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据分为1460字节。也就是说数据在发送方被分成一块一块的发送,接受端收到这些数据后再将它们组合在一起。

  57行显示1号机给208号机发送了大小为1514字节大小的数据,注意我们前文讲过数据发送时是层层加协议头的,1514字节=14字节以太网头 + 20字节IP头 + 20字节TCP头 + 1460字节数据

  58行显示的应答信号ACK为:1781514222,这个数是57行得SEQ序号1781512762加上传送的数据1460,208号机将这个应答信号发给1号机说明已收到发来的数据。

  59、60行显示的是继续传送数据的过程。

  这个过程就像我向张三借书,借给我几本我要说:“我已借了你几本了。”,他说:“知道了”。

3)头信息

  图15-1和图15-2分别是57行和58行的头信息,解释参考第二组。



第四组 终止连接

1)下图显示的是93-96行的数据



图16

2)解释数据包

93-96是两机通讯完关闭的过程。

  建立一个连接需要三次握手,而终止一个连接要经过4次握手。这是因为一个TCP连接是全双工(即数据在两个方向上能同时传递),每个方向必须单独地进行关闭。4次握手实际上就是双方单独关闭的过程。

  本例文件下载完后,关闭浏览器终止了与服务器的连接图16的93-96行显示的就是终止连接所经过4次握手过程。

  93行数据显示的是关闭浏览器后,如图17-1所示208号机将FIN置1连同序号(SEQ)987695574发给1号机请求终止连接。

  94行数据和图17-2显示1号机收到FIN关闭请求后,发回一个确认,并将应答信号设置为收到序号加1,这样就终止了这个方向的传输。

  95行数据和图17-3显示1号机将FIN置1连同序号(SEQ)1773196056发给208号机请求终止连接。

  96行数据和图17-4显示208号机收到FIN关闭请求后,发回一个确认,并将应答信号设置为收到序号加1,至此TCP连接彻底关闭。

3)头信息






六、扫描实例

  下面我们再举个ping的实例,测试某台计算机是否通,最常用的命令就是ping命令。Ping 一台计算机,出现如图18所示界面就是通,出现如图19所示界面就是不通,不通有两种情况,一是该计算机不存在或没接网线,二是该计算机安装了防火墙并设置为不允许ping。如何区别这两种情况呢?下面还是利用iris跟踪上述情况。



图18



图19

  如图20是ping通的情况。

  如图21是ping不通该计算机不存在的情况。从图可以看出ARP请求没有回应。

  如图22是ping不通,该计算机存在但安装了防火墙的情况。从图可以看出ARP请求有回应。但ICMP请求没回应。

  从分析可以看出虽然后两种情况的表面现象是一样的,但实质确是截然相反的。通过头信息可以清楚的看出PING是

  ICMP协议来完成的,通讯过程是在第三层完成的,没有用到第四层的TCP协议



图20



图21



图22


七、后记

  本文不是个教程,许多问题都没有涉及到,比如TCP重发、IP分解、路由等,只是提出个学习思路,希望能起到抛砖引玉的作用。TCP/IP协议族是非常复杂的,但只要理解了还是不难学的。最后向感兴趣的朋友提个问题:分别telnet三台机器,一台正常23端口开放,一台网是通的但23端口没开放,另外一台是不存在的。用我们学过的方法跟踪一下,比较三个的不同。其实这就是用TCP扫描判断对方机器是否在线的一种方法。

Scott@JAVA 2005-12-04 19:20 发表评论
]]>