网络协议及其性能分析

网络协议及其性能分析（精选8篇）

网络协议及其性能分析 第1篇

两个计算机间通信时对传输信息内容的理解、信息表示形式以及各种情况下的应答信号都必需进行一个共同的约定，我们称为协议（protocol）。一般来说，协议要由如下三个要素组成： （1）语义（semantics）。涉及用于协调和差错处理的控制信息。 （2）语法（syntax）。涉及数据及控制信息的格式、编码及信号电平等。 （3）定时（timing）。涉及速度匹配和排序等。 协议本质上无非是一种网上交流的约定，由于联网的计算机类型可以各不相同，各自使用的操作系统和应用软件也不尽相同，为了保持彼此之间实现信息交换和资源共享，它们必须具有共同的语言，交流什么、怎样交流及何时交流，都必须遵行某种互相都能够接受的规则。 目前，全球最大的网络是因特网（internet），它所采用的网络协议是tcp/ip协议。它是因特网的核心技术。tcp/ip协议，具体的说就是传输控制协议（transmission control protocol，即tcp）和网际协议（internet protocol，即ip）。其中tcp协议用于负责网上信息的正确传输，而ip协议则是负责将信息从一处传输到另一处。 tcp/ip协议本质上是一种采用分组交换技术的协议。其基本思想是把信息分割成一个个不超过一定大小的信息包来传送。目的是：一方面可以避免单个用户长时间地占用网络线路；另一方面，可以在传输出错时不必重新传送全部信息，只需重传出错的信息包就行了。 tcp/ip协议组织信息传输的方式是一种4层的协议方式。下图是一种简化了的层次模型：应用层 telnet、ftp和e-mail等 传输层 tcp和udp 网络层 ip、icmp和igmp 链路层 设备驱动程序及接口卡 图tcp/ip协议层次简化模型 模型中，最底层为tcp/ip的实现基础，主要用于访问具体局域网，如以大网等。中间两层为tcp/ip协议，其中的udp为一种建立在ip协议基础上的用户数据协议（user data gram protocol，即udp）。最上层为建立在tcp/ip协议基础上的一些服务：telnet（远程登录），允许某个用户登录到网上的其它计算机上（要求用户必须拥有该机帐号），然后像使用自己的计算机一样使用远端计算机：ftp（file transfer protocol，文件传输协议），允许用户在网上计算机之间传送程序或文件；smtp（simple message transfer protocol，简单邮件传送协议），允许网上计算机之间互通信函；dns（domain name service，域名服务协议），用于将域名地址转换成ip地址等。

<

网络协议及其性能分析 第2篇

关键词：DTN 路由协议 基本特征 评估指标

1 DTN网络概述

DTN(Delay Tolerant Networks)，即时延容忍网络。

其作为一种新型体系结构，与过去Internet网络采用TCP/IP协议簇的体系结构不同。

TCP/IP协议的平衡运行要求具备以下四种基本假设：一是端到端之间存在持续可用的双向连接;二是传输时延较短;三是数据速率双向对称;四是丢包率和误码率都较低。

但近几年我们发现，如果处于极端环境时，挑战性的网络可能无法达到传统假设条件要求，出现很多具备频繁的割裂、间歇的连接、较低的数据率、较高的时延、异构互联、较高的丢包率与误码率等特性的网络，TCP/IP无法为其提供良好服务，造成当前Internet体系结构无法有效地在该网络中应用。

路由是DTN网络层最重要的功能，其是DTN节点之间进行通信以及提高网络间连接的基础。

由于DTN处于频繁割裂、间歇连接的状态，再受到存储空间和节点能量的制约，一般节点之间无法确保存在实时路径，通常要借助中继节点根据存储转发、多跳路由的方式，实现消息向目的节点的传输。

因此，传统TCP/IP路由协议无法支持DTN网络上层应用。

我们进行DTN研究的核心即是构造有效的DTN 路由协议，达到提高网络间连接性、增强消息传输速率、减少时延、降低能耗的目的，这也是DTN路由协议的关键技术所在。

2 DTN网络的基本特征

DTN网络与传统Internet等网络存在较大差别，有其自己的特点，其基本特征概括有以下几点：

(1)间歇的连接状态。

由于节点能量、节点移动具有一定的限度，造成DTN可能出现频繁断开的现象，影响到DTN拓扑结构变化，往往呈现出部分连接或者间歇连接的状态，加之网络连接状态存在随机性质，端到端的路由无法保证。

(2)较高的时延和较低的数据率。

端到端的时延代表端到端的路由上每一跳时延的总和，而对于每一跳上所经历的时延来说，其组成包括有排队、等待、传播以及传输等时间。

由于DTN间歇连接的特点，决定了相邻节点之间可能需要相当长一段时间才能实现连接，这就在每一跳上形成了较高的时延，从而使数据率降低，并且数据率的非对称特点也会同时出现。

(3)有限的资源与寿命。

因为受到功耗、体积、价格等因素制约，DTN相比普通计算机在节点处理、计算以及存储空间、通信能力方面相对较弱，因存储空间较小丢包率一般较高。

并且，极端环境使用时能量常靠电池供应，致使其寿命也有限。

(4)随机的动态拓扑。

DTN受到环境变化、能耗、故障等因素影响，其拓扑结构可能呈现动态变化，同时链路间歇的连接也可能导致拓扑结构波动较大。

(5)较差的安全性。

实际应用当中，DTN经常遭受各种安全威胁，以及听或者路由欺骗等安全攻击。

(6)互连的异构网络。

DTN捆绑层的引入，确保了异构网络在互连时消息能够得以可靠传输。

3 DTN路由的设计

(1)路由的目标。

由于环路路由以及节点存储空间限制，可能造成消息者或者数据包丢失现象，DTN路由的基本目标是：最大程度地提高消息传送的成功率，同时要求端到端之间的资源消耗以及时延达到最小程度。

(2)路由的资源分配。

要在保证传输率的基础上，最大程度地降低节点资源消耗。

因此要求在资源消耗、消息传输之间做出科学合理的选择。

(3)路由的可靠程度。

为了实现消息可靠传输的目的，要求DTN路由采用确认机制。

(4)路由的安全性。

在DTN节点上极易受到虚假确认欺骗或者路由信息的攻击，因此要求做好检测，制定解决措施，以确保路由的安全性。

4 DTN路由的评估

(1)能耗。

节点能耗问题作为DTN路由协议的核心问题必须认真加以对待，要有效降低能量消耗，从而达到提升DTN生命周期的目的。

(2)时延。

端到端的时延与路由跳数有直接关联，同时时延与应用也密切相关，可以说时延大小直接决定了DTN应用范围的大小以及可用性的多少。

(3)存储空间。

由于DTN节点资源有限，导致其中继负荷不可过多，不然丢包率就会增大，造成传输速率降低。

(4)可扩展性。

从实际出发，要求DTN 路由协议要能够对大规模网络提供支持，其直接影响路由协议是否可用。

(5)安全性。

所有DTN节点都可能遭受攻击的路由节点。

其经常受到选择性转发、确认欺骗等各种威胁。

这就要求保证路由信息具备完整性、保密性、可用性和抗攻击能力等。

(6)传输率。

作为一项重要评估指标，进行路由设计时必须在资源消耗与传输率之间科学进行选择。

(7)复杂性。

DTN路由协议一般由路由发现、维护、选择组成，但因受节点计算、存储能力以及能量等因素制约，要求其简单化，从而保证DTN节点的稳定运行。

DTN的路由协议评估指标还可以在此基础上划分得更细，依具体要求来划分。

5 结语

本文仅为DTN的概括性介绍，尽管提出了新的DTN路由评估指标，但DTN网络路由协议及其评估是一项非常繁杂的工程，因此还需在实践中不断地探索研究。

相信，随着科技的迅猛发展，该路由协议也定会随之发展和完善，其评估也会不断创新，从而满足网络飞速发展的需要。

参考文献

[1]成浩，卢紫毅，林青.延时中断容忍网络(DTN)捆绑层协议研究[J].军事通信技术，，32(1)：65-66.

[2]李向群，刘立祥，胡晓惠 等.延迟/中断可容忍网络研究进展[J].计算机研究与发展，，(8)：1270-1277.

[3]薛静锋，陆慧梅，石琳.基于概率延迟的DTN路由算法的设计[J].北京理工大学学报，，28(8)：687-691.

[4]彭航，试论容断与容迟网络中的路由协议及其评估[J].城市建设理论研究，2011(16)：124-125.

DTN网络中常用的路由算法【2】

摘 要： 容滞网络泛指那些由于节点移动、能量管理、调度等原因而出现频繁中断、甚至长时间处于中断状态的一类网络。

与传统网络相比，容滞网络没有稳定的端到端传输路径，因而其路由问题更为复杂。

已有的研究工作也主要集中于这一问题，并提出了许多的容滞网络路由算法，主要有直接递交路由算法、首次连接路由算法、Epidemic、Spray and Wait等。

本文针对每一分类，重点综述了其中具有代表性的一些容滞网络路由算法，并总结了各算法的优缺点。

关键词： DTN 路由算法 Epidemic Spray and Wait

一.引言

容滞网络(DTN)泛指那些由于节点移动、能量管理、调度等原因而出现频繁中断、甚至长时间处于中断状态的一类网络。

它涵盖了由于节点调度而处于间歇式连通的无线传感网络、移动Ad hoc网络、周期性连通的卫星网络、乡村网络、野生动物追踪网络以及个人设备交换网络等等，具有十分广阔的应用前景，引起了广泛的关注。

与传统网络相比，容滞网络没有稳定的端到端传输路径，因而其路由问题更为复杂。

已有的研究工作也主要集中于这一问题，并提出了许多的.容滞网络路由算法。

主要有直接递交路由算法、首次连接路由算法、Epidemic、Spray and Wait等。

网络协议的应用及其性能研究 第3篇

如图1所示是经典的TCP/IP结构图,将主要分析上面3层中的协议,即应用层、传输层和网络层中的协议。

应用层中的协议主要用于网络资源的接入,对数据进行转换加密和压缩,建立、管理和终止会话。

传输层中的协议主要包括TCP和UDP,主要提供进程到进程之间的报文交付和差错恢复。

网络层中的协议主要作用是把分组从源点传送到终点,提供网络互连。

2 应用层协议的应用及性能

2.1 FTP

FTP是人们常用的一种协议,用于文件传输,通过FTP,用户可以从FTP服务器上下载所需要的各种资源,也可以把本地资源上传到FTP服务器上,通过对FTP的长时间使用和测试,引起FTP性能差异的主要有如下两个方面的因素。一是网络问题,主要是丢包导致变慢。一个长度为1024B的报文,在终端节点只收到了1000B长度的报文,即丢包率为2%的情况下,需要重发报文,导致超过50倍的网络开销。在多数情况下,解决这一问题的方法是在通信线路的两端同时进行通信跟踪,检查从一侧发出的包是否能在另一侧收到。另一个是数据传输的速度一个方向比另一个方向快,这个问题的主要原因是截断文件结尾多余的空格、发出传输请求的机器的CPU使用率、交互式于批处理文件传输、网络的各异性。

2.2 Telenet

Telenet主要用于Server分时环境中的远程登录,如Unix Server。在常用的Telenet的3种工作方式中,默认方式已较为陈旧,因为客户在接受来自用户的一个新行之前,必须等待来自Server的GA指令,这种半双工的工作方式效率低下。另一种字符方式,相比较默认方式来说效率较高,因为每个字符被键入后都发送到Server,但是由此会产生较大的网络开销,因为每个字符都经过了这样一个过程,Client到Server,Server回显,Client发送ACK确认回显成功。还有一种类似于默认方式的行方式,行的编辑、撤销、发送都由用户完成,以全双工方式工作,不用等待Server的GA指令,效率最高。

2.3 SMTP

SMTP主要用于邮件收发,当用户需要发邮件的时候,需要通过SMTP把邮件发送到邮件服务器上,邮件服务器给收件人提示,然后收件人登录邮件服务器,通过SMTP把邮件从邮件服务器取到本地。SMTP作为一种主流邮件协议,在传输速度和丢包率方面都表现得让人满意。

2.4 HTTP

HTTP是超文本传输协议,在互联网越来越发达的今天,HTTP发挥着巨大的作用,HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求给服务器,服务器接收到请求,经过解析处理把结果返回给客户端。图2中可以清楚地看到HTTP的结构。

通过在实践中的研究及测试,发现影响HTTP性能的主要因素包括服务器的访问负载机当前的网络状况,负载过大超过瓶颈的时候会导致HTTP性能严重下降。

2.5 RIP

RIP是应用较早、使用较普遍的内部网关协议(Interior Gateway Protocol,简称IGP),适用于小型同类网络,是典型的距离向量(distance-vector)协议。影响RIP性能的主要问题有3个。(1)仅以hop最为度量的问题,此问题产生的根本原因是仅考虑路由而没有考虑路由的带宽的问题,此问题可能导致很大的时延;(2)广播更新问题,RIP协议缺省设置是每隔30秒进行广播交换整个路由表信息,这将大量消耗网络带宽,尤其是在广域网环境中,可能出现严重性能问题;(3)慢收敛问题,这个问题的原因是因RIP协议是一个距离矢量协议,同时由于Garbage定时器的设置[1]。

3 传输层协议的原理

现实应用中经常会碰到这样的需求,不同主机之间的应用程序需要可靠的、像管道一样的链接,通过这种连接可以提供连续的服务,但是下层的网络层并不能提供这种服务,于是TCP协议的作用就体现出来了。通过图3中TCP的包头格式可以很清楚地看到TCP的工作原理。

在TCP中一些特定参数将影响设备在网络上有效传输信息的能力,如传输窗口的大小、传输段的大小以及重传超时。TCP外部参数也将影响其性能,其中环回延迟和丢帧率在TCP链路的运行中扮演最重要的角色。此外,如所使用的应用、TCP/IP栈的类型以及运行这些应用的计算机/服务器的性能等因素也会影响其传输性能。

UDP协议从某种意义上来说是一种不可靠的协议,因为不是面向连接的,是尽最大努力交付的,既然是一种不可靠的网络协议,未什么目前还广泛应用呢,这是因为UDP较之于TCP效率更高,尤其是在局域网内,因为局域网内的丢包率基本可以忽略不计。

什么情况下选择TCP?什么情况下选择UDP?下面的一个实例可能会有帮助。在无线传感器网络(WSN)中,有这样的架构:Server---GATEWAY---WSN,Server采用Linux+tomcat6.0的配置,支持900并发访问。采用TCP方式的时候,每个用户向Server提交一个服务申请,Server和GATEWAY直接建立一个TCP连接,这个连接和与服务相关的操作和计算封装在一个并发线程中,此线程向底层网络索取服务,服务结果通过TCP连接反馈给用户。实际应用中并发量根本达不到900,在用jmeter压力测试的时候,并发100个线程的时候,服务器的内存占用达到900MB,CPU使用率为47%。采用UDP方式的时候,每个用户向Server提交一个服务申请,Server和GATEWAY直接不建立连接,而是直接发送请求到一个网关轮询的端口,网关程序处理服务和返回结果,当服务请求没到50条就重新起一个线程分流压力。在用jmeter压力测试的时候,同样的条件,服务器的内存占用达到370MB,CPU使用率为39%。

由于测试的环境导致UDP的丢包率极低,所以在较小范围内的局域网或城域网内,UDP方式效率更高,而如果在广域网内考虑到丢包率和网络阻塞问题,结果也许会不同。

4 网络层协议的应用及性能

4.1 IP

目前的IP协议主要有两个版本,IPV4和IPV6,IPV6是为了解决IPV4地址资源不足而设计的,现在IPV4和IPV6共同存在,IPV6技术正在逐步发展。

目前解决IPV4和IPV6共存方面主要有3种方法:(1)双栈技术,这种方案实施简单,投资小,便于平滑过渡到目标网络,但开启支持双栈的任何场景,是其他过渡技术的基础,双栈会对设备性能产生影响;(2)隧道技术,充分利用原有网络,只涉及部分边缘设备,但方案部署复杂,传输效率低;(3)协议转换技术,方案的实施部影响远远网络,但对于特定的需要集合应用,另外转换协议的设备可能成为网络的瓶颈[1]。

4.2 ARP和RARP

在局域网中,两台不同的主机之间如果需要通信,必须知道目标主机的MAC地址,如何获取目标主机的MAC地址就是ARP协议所要做的工作。

另外,当发送主机和目的主机不在同一个局域网中时,必须经过路由转发才可以。所以此时,发送主机通过ARP协议获得的将不是目的主机的真实MAC地址,而是一台可以通往局域网外的路由器的某个端口的MAC地址。于是此后发送主机发往目的主机的所有帧,都将发往该路由器,通过它向外发送。图4中可以清楚地看到ARP是如何应用的。

在实际应用中,经常可以听到或遇到因ARP攻击导致的网络瘫痪和网速恶化,ARP攻击是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。

RARP是ARP的逆向过程。原理和应用都相似。

5 结语

互联网自问世之日至今一直在蓬勃发展,各种各样的网络之所以能协调工作,就是因为遵守了各种各样的网络协议,可以说网络协议是网络世界里的法律规范,研究和发展新的网络协议,必将对网络的发展起到重要的作用。

参考文献

[1]Behrouz A.forouzan.Sophia Chung Fegan TCP/IP SUITE2006.

[2]张朝霞,郑召文.基于VB实现图书借还和超期信息的邮件发送.晋图学刊,2006.

[3]付祝财,杨莘元,王阳.电子邮件SMTP/POP3收发协议的研究与实现.信息技术,2004.

计算机网络协议及其应用分析 第4篇

【关键词】计算机网络协议；应用分析；经济发展

前言

目前，我国在计算机领域的发展已经取得了一定的成绩，如今人们的生活和生产都和计算机密切相关，计算机网络随时都能够影响公众的生活，影响大家的生活和工作的节奏[1]。在计算机网络中，计算机网络协议都占据着十分重要的地位。在某种程度上，计算机网络协议是需要按照规定的标准进行相关性设计的，主要发挥着计算机网络使用中基础性的作用[2]。笔者主要针对计算机网络协议以及其应用进行展开性讨论，具体如下所示。

1.计算机网络协议概论

计算机网络协议主要的目的是使得网络在发挥通信和交流的功能的时候能够顺利进行。如果网络上的两个端口进行数据性的交流，但是很多时候这两个端口的一些数据存在差异，这样就无法进行正常的交流，就需要借助一个帮手来进行翻译以达到交流的目的。其中计算机网络协议就产生这样的效果。在将计算机中每个端口的数据都翻译成计算机网络协议中的标准要求之后，在每个端口上都进行识别化的操作，将其转化为计算机网络协议可以识别的状态，这样就可以及时进行顺利的交流。但是，计算机网络协议不一定只是局限于一种标准，所以很多时候可以根据自己的需求来制定不一样的实用性的网络协议。目前，一般性的计算机网络协议主要包括路由选择网络协议、局域网络协议和广域网络协议，具体表述如下。

2.计算机网络协议及其应用

2.1路由选择网络协议

路由选择网络协议一般指的是可以在众多的路径中来进行选择和交换并且可以分为内部路由协议和外部路由协议的一种计算机网络协议[3]。在路由选择协议中，一般还有几种分类，分别为RIP、EGP和OSPF的路由协议。在RIP路由协议中，其一般是属于内部路由的协议，且开发的时间一般较其他的路由协议时间要早，并且使用的范围比较广泛。RIP协议在通常情况下比较适合使用在一些小型的网络系统中，其运行过程简单且会聚的时间慢，在使用和配置等方面都比较方便。EGP协议属于一种距离定向的协议，属于第一个进行的外部性的路由协议。在进行相关的EGP协议之中，一般要引入一些自治的系统，但是这个协议只是在这个字体之内来负责一些网络中的信息的广播，从而对网络上巨大的信息量进行优化。在OSPF路由协议中，一般是把外部的患者是内部的一些自治系统来进行集成化的一种协议，这种协议不仅是对于网络主干中的信息进行相关的访问和交换，还能够对于每个自治系统之内的信息进行妥善的处理。一般OSPF路由协议会相对比较复杂，而且适合使用在一些比较复杂的网络中，并能够取得比较好的效果。

2.2局域网络协议

局域网协议指的是对于局域网内的信息交流所制定的相关性标准。局域网协议中包含着NetBEUI、IPX/SPX和其兼容协议和TCP/IP。NetBEUI协议在这些协议中属于开发时间比较早的一种协议，其比较适合于使用在一些微软的早期的操作系统之中。该协议一般占用的内存量比较少，操作较为简单且运行的速度比较快。另外，这个协议并没有路由的功能，它一般使用的标准都针对一些小型的网络来展开的，例如一些小型的网吧和办公室之中，一般十几个电脑所组成的小型的网络系统比较适合。IPX/SPX的协议中，IPX一般是针对一些互联网分组进行交换的，但是SPX主要是进行一些顺序分组交换的。IPX一般能够有效保障信息能够在互联网上的传输工作具有一定的一致性和透明性，还能够进行路由选址和分组选址。该协议的优点是能够在低开销的前提下并得到高效能的结果，但是它在进行信息传递的过程中，具有不可靠性，不能够保证信息的传递是否成功进行。IPX/SPX的协议在目前的情况来看属于计算机网络系统之中使用范围比较广的一种协议，能够对于路由进行相关性的选择，并且具有高标准化。另外，TCP/IP从一定意义上来说并不是指特定的两个不同的协议，他是有一个或者是多个的协议所组成的一种大型的协议类族，而TCP和IP在其中的属于比较重要的协议类型。TCP主要负责的是传输和控制的相关性协议，主要目标是保障在运输过程中字节能够成功进行投递服务，而IP属于一种网间网的协议，主要的目标是保障网络层中无连接的一种分组投递系统运行稳定。

2.3广域网络协议

广域网络协议一般是针对一些在不同的广域网内的通信进行相关性定义。广域网络协议内包含的协议种类很多，但是其中ISDN和DDN协议属于比较重要的方面。ISDN协议属于比较综合性的业务数字网，其主要的速率的接口一般是具有两个B信道以及一个D信道。在这里面，B信道主要的作用是对于信息和数据进行传输，但是D信道一般是使用在传输控制信号中。ISDN协议一般是能够为进行端和端之间信息的传递来提供一种数字化的通道，所以其信息传递的速度很快且传递的效率比较高。另外，该协议还可以对于数据或者是语音消息等各种信息方式都进行传输。DDN协议称为数字数据网，可以使用数字信道来对于网络信息进行传递，传输过程比较方便且快捷。

3.结语

计算机网络协议在计算机网络的使用中处于核心地位，并且在伴随着不断发展的计算机网络技术而进行相应的发展，不断为促进计算机网络的发展提供便利[4]。笔者主要是针对目前普遍使用的路由选择网络协议、局域网络协议和广域网络协议的应用情况进行分析，旨在为促进我国计算机网络的发展一个相关性的建议，促进计算机网络的发展。

参考文献

[1]陈家迁.网络安全防范体系及设计原理分析[J].信息安全与技术，2011（01）.

[2]刘泓，张常泉.网络协议分析技术研究[J].软件导刊，2010（04）.

[3]周剑峰.基于WinPCap的计算机网络协议实验系统[J].实验室研究与探索，2009（12）.

网络协议分析期中 第5篇

CHAPTER 1

为什么要进行网际互连?

1.没有一种单一的网络硬件技术可以满足所有的要求

2.用户期待一种通用的互连

网络互连的目的就是要隐藏底层网络硬件的细节，同时提供一般的服务通信。

网络互连的方式：应用级互连 网络级互连

TCP/IP分层模型

分层优势：简化问题，分而治之，有利于软件升级换代

应用层、传输层、IP层、网络接口层、物理层

分层缺点：效率低

1.各层之间相互独立，都要对数据进行分别处理

2.每层处理完毕都要加一个头结构，增加了通信数据量

TCP/IP的分层原则：信宿机第n层收到的数据与信源机第n层发出的数据完全一致。

1.应用层：提供通用的应用程序，如电子邮件、文件传输等。

2.传输层：提供应用程序间端到端的通信

① 格式化信息流 ② 提供可靠传输 ③ 识别不同应用程序

3.IP层：负责点到点通信

① 处理TCP分层发送请求

② 为进入的数据报寻径

③处理ICMP报文：流控、拥塞控制

④ 组播服务

4.网络接口层：接收IP数据报并通过选定的网络发送。

总结：TCP/IP模型是在1个硬件层上构建的4个软件层

CHAPTER 2

PPP 协议有三个组成部分：

一个将 IP 数据报封装到串行链路的方法。

链路控制协议 LCP(Link Control Protocol)。

网络控制协议 NCP(Network Control Protocol)。

认证协议：c023：PAPc223：CHAP

CHAP-Challenge-Handshake Authentication Protocol 发生时机：建立连接时和连接建立之后的任何时间

1.认证端发送“challenge”到对等端

2.对等端根据这个“challenge”和共享密钥，利用一个单向散列函数计算一个散列值并发回给认证端；

3.认证端把这个数字和自己计算出来的数据进行比较，如果匹配，则确认；否则否认；

4.在连接建立后，会随机地重复上述过程。

CHAPTER 3

Internet地址类型

A类： 0 —8位网络号首字节1—126

B类： 10 —16位网络号首字节128—191

C类： 110 —24位网络号首字节192—223

D类： 1110 —组播地址首字节224—239

E类： 11110--（保留未用）首字节240—247

特殊IP地址 :

网络地址：主机号全0；广播地址：主机号全‘1’

有限广播地址：32位全‘1’；回送地址：127.*.*.*，网络软件测试及本机进程间的通信。IP编址的缺陷：

①限制网络的平滑升级

②对主机的移动性支持不够

③ 限制多地址主机的可访问性

ARP地址转换协议基本步骤：（总结：广播请求，单播回应！）

步骤一：源端A广播包含目标B的IP地址IPb的ARP请求报文，请B回答自己的物理地址PAb；

步骤二：网络上的主机将IPb与自身的IP地址比较，若相同，则转步骤三，否则忽略； 步骤三：B将PAb封装在ARP应答报文中，之后发送给A；

步骤四：A从应答报文中提取IPb和PAb，从而获得IPb和PAb之间的映射关系。提高ARP的效率

①设置ARP cache，存放最近解析出来的IP/MAC对。

②请求解析时，把自己的IP/MAC地址也放在报文中。

③收到ARP请求的所有主机都缓存其中的IP/MAC。

④ 主机入网时，主动广播它的IP/MAC。

CHAPTER 4

1.IP层是通信子网的最高层，提供无连接的数据报传输机制。目的是屏蔽底层物理网络细节，向上提供一致性。

IP层的主要功能

(1)无连接数据报的投递（数据结构，静态特性）

(2)数据报寻径（选路，操作特性）

(3)差错与报文控制（管理特性）

2.IP层的特点

A.不可靠:分组可能丢失，乱序等，不做确认；

B.无连接:每个分组都独立对待；

C.尽力投递: 不随意放弃分组；

D.点到点。

问题1：如何组装分片？重新设置首部的某些字段

(1)如何标识同一个数据报的各个分片？修改分片标志

(2)如何标识同一个数据报分片的顺序？ 片偏移量字段

(3)如何标识同一个数据报分片的结束？ MF字段

IPv6使用路径MTU发现机制，路由器不再分片

3.分片攻击

(1)Tiny Fragment：发送极小分片，让TCP报头的端口号包含在第二个分片中，绕过防火墙或者IDS过滤系统。(nmap-f)

(2)Ping of Death：发送长度超过65535的IP报（封装了ICMP Echo Request包），目标主机重组分片时会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或者挂起。

(3)teardrop：第二个IP分片偏移量小于第一个分片结束的位置，出现重叠。

实现Ping of Death：

MF=0（最后一片），报文长度为49，偏移量为0x1FFE

重组后长度为0x1FFE * 8 +（49-20）= 65549

4.间接选路和间接投递：信源和信宿不在同一物理网络上或者信宿不在当前路由器直连的网络上。

IP要解决的问题：间接选路

5.选路方式：表驱动：每个主机和路由器都有一张路由表，指明去往某信宿应该走哪条路径。选路时，查询路由表。

6.IP软件对数据报的处理

主机：主机不转发数据报。是自己的：交上层；不是自己的：丢弃。

路由器：若是自己的，交上层；若是邻网，直接投递；其它的转发。（TTL –1，重新计算校验和）

重要说明：IP协议不涉及选路技术细节，只描述原理和规则，具体选路技术指路由表的建立与刷新，由专门的路由协议完成CHAPTER 5

1.路由器通告报文的使用时机：

(1.对路由器恳求报文的回应

(2.路由器定期（通常为10分钟，而一条路由的生命期通常为30分钟）向相邻网络中各主机发通告报文，告诉（组播或有限广播）各主机可使用的路由器。

作用：

(1.主机可以不必配置默认网关。

(2.使用软状态技术，防止主机保持一个无效路由。

2.ICMP差错报告的特点

（1）只向源站提供报告，本身一般不处理差错。

（2）差错报文作为一般数据传输。

（3）数据报出错时，放弃数据报。

3.拥塞处理步骤：

(1.网关发现拥塞，按一定策略向某些源站发出源站抑站报文；

(2.源站收到源抑制报文后，按一定速率降低发往某信宿的数据报的速率；

(3.在一定时间间隔内若无源抑制报文到达，则源站认为拥塞解除，逐渐提高发送速率。

4.路径MTU发现

要点：利用数据报的分片标志。

当路由器收到一份需分片的数据报，但在IP首部中又设置了不分片（DF）标志，则路由器向源端发ICMP不可达报文。

CHAPTER 6

1.传输层要提供端到端的进程通信，但是不能把进程作为通信的最终目的地，所以用协议的端口作为最终目的地。

端口：用一个16bit的正整数标识，称为端口号

端口的数据管理：每一端口有一缓冲区来存放进出该端口的数据队列

2.UDP的特点

① 无连接 ② 不可靠 ③ 传输效率高 ④ 适用于传输量比较少的情况

CHAPTER 7

1.可靠性：

①防丢失：确认与重传；带重传的肯定确认技术

① 接收方收到数据后向源站发确认（ACK）；

② 设置定时器，源站在限定时间内未收到ACK，则重发。

②防重复：报文段序号；可捎带的累计确认技术

①为每一分组赋予序号。

② 确认时也指明确认哪个分组。

③序号同时保证了分组间的正确顺序。

2.传输效率、流量控制：滑动窗口机制；

3.拥塞控制：加速递减与慢启动技术；

4.建立连接：三次握手协议；

5.关闭连接：改进的三次握手协议。

6.SYN洪泛攻击

三次握手过程中不发送最后一个确认

构造大量半开连接

耗尽服务器资源（DoS）

7.TCP确认机制的特点

① TCP的确认指明的是期望接收的下一个报文段的序号，而不是已经接收到的报文段序号

② 累计确认

③ 捎带确认

8.RTT：往返时间，报文段发出到收到确认信息间的时间段。

9.TCP的滑动窗口技术

(1)数据流的各字节被编上序号。

(2)TCP的滑动窗口按字节操作而不是按报文段或分组操作。

(3)TCP窗口大小为字节数。最大为65535字节。

(4)通信双方都设有发送和接收缓冲区（相当于发送窗口和接收窗口）。默认大小各系统有差异，如4096、8192、16384等。发送缓冲区大小为默认窗口大小。

(5)TCP连接两端各有两个窗口（发送窗口和接收窗口）

10.TCP端到端流量控制-窗口大小可变技术

时机：目的主机缓冲区变小而不能接收源主机更多的数据时，就要进行流量控制。TCP技术：可随时改变窗口大小。目的主机在确认时，还向源主机告知目的主机接收缓冲区的大小。

说明：接收方使用0窗口通告来停止所有的传输。此时，除了紧急数据和窗口试探报文外，不发其它数据。窗口试探报文：防止非0窗口通告丢失或造成死锁

11.坚持定时器

1.死锁的发生

确认仅包含非0的窗口通告信息，丢失则导致双方死锁

2.避免策略：

接收到0窗口通告后，开始设置坚持定时器

指数退避

12.糊涂窗口综合症SWS ：接收方的小窗口通告造成发送方发送一系列小的报文段，严重浪费网络带宽。启发式的避免策略

13.TCP拥塞控制技术

TCP采用了一种主动控制机制。

1.拥塞控制技术：

① 拥塞窗口cwnd

② 加速递减技术

③ 慢启动技术

① 拥塞窗口cwnd

每个连接都有一个拥塞窗口，该窗口大小以字节为单位，但是增加和减少以MSS为单位；

初始大小：1个MSS；

临界值：64KB

② 慢启动技术

指数递增：每次成功发送1个MSS长度的报文段，则发送方拥塞窗口加倍；

线性递增：增长到临界值后，每次增加1个MSS

发送窗口 = min(接收方窗口通告，cwnd)

③ 加速递减技术

指数级递减：出现超时重传时，将临界值设为当前拥塞窗口的1/2，拥塞窗口恢复为1个MSS大小；

指数退避：对保留在发送窗口中的报文段，将重传时限加倍。

14.带外数据：源站不能按字节流的顺序而需要立即发给接收方并及时处理的数据(普通数据流中的紧急数据)。

15.TCP端口扫描

TCP实现的基本规则：若SYN或者FIN数据包到达一个关闭的端口,TCP丢弃数据包同时发送一个RST数据包。

① 全连接扫描

扫描主机用三次握手与目的机指定端口建立正规连接。

实现方式：connect()函数调用，若端口打开则连接成功，否则失败。

优点：实现简单

缺点：很容易被发现，目前通常被禁止

CHAPTER 8

要解决的问题：

1.IP地址不足，特别是B类地址不足

2.网络数目增长过快造成路由表急剧膨胀

主要解决方案：

1.子网编址2.超网编址和CIDR3.NAT

1.子网编址（Subnet Addressing, Subnet Routing, Subnetting）

IP地址不足的原因：主机号浪费严重，而网络号又严重缺乏

解决思路：从IP地址的主机部分“借”位，并把它们用在网络部分

IP地址主机号进一步划分为：子网号 + 主机号

2.超网编址和CIDR

问题的起因：若某单位有800台主机，分配一个C类地址不够，分配一个B类地址浪费过大或得不到B类地址.解决思路：集合多个小的，变成一个大的（与子网编址正好相反）

方法：分配一块连续的C类地址来代替B类地址(块的大小是2的幂次)

网络协议分析期末总结 第6篇

第一章

1、TCP四层模型与OSI七层模型之间的对应关系？各层完成的功能？

2、一个路由器最基本的功能（书后P12第七题）

第二章

1、PPP帧格式

2、PPP帧类型

3、PPP认证协议有哪两种类型？哪种安全?哪种不安全？

第三章

1、ARP协议的工作流程？

2、ARP欺骗的原理是什么？最终效果如何？如何防范

3、书上P34第二题

第四章

1、为何要进行分片？分片的依据是什么？

2、IP包头的校验和针对什么进行校验？

3、书上P41图4-7分片示例？

5、查看本机路由表的两条命令？

6、以太网IP包的最大长度？包头长度？

第五章

1、ICMP包封装在哪个协议中？

2、ICMP协议有几种类型？

3、ICMP协议经常用的两个命令？

第六章

1、UDP包头校验和的特点？UDP包头的固定长度？

2、书P72习题第七、八题？

3、知名端口范围？自定义端口范围？

第七章

1、TCP三次握手建立连接过程？

2、TCP四次握手断开连接过程？

3、关闭TCP连接有几种方法？

4、TCP的确认重传机制？何时重传某序号的数据包？

5、TCP的流量控制机制？

6、TCP的拥塞控制？

7、TCP包各字段的含义？PSH？URG?

8、书P93第十四题、第十六题？

第八章

1、定长子网掩码的划分

网络协议分析选修论文 第7篇

姓名：杨道元班级：网络技术081301学号：082103130140

一、IP协议

1、IP协议简介

IP是英文Internet Protocol（网络之间互连的协议）的缩写，中文简称为“网协”，也就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守 IP协议就可以与因特网互连互通。正是因为有了IP协议，因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。因此，IP协议也可以叫做“因特网协议”。通俗的讲：IP地址也可以称为互联网地址或Internet地址。是用来唯一标识互联网上计算机的逻辑地址。每台连网计算机都依靠IP地址来标识自己。就很类似于我们的电话号码样的。通过电话号码来找到相应的使用电话的客户的实际地址。全世界的电话号码都是唯一的。IP地址也是一样。

2、IP地址(IP v4)

所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。按照TCP/IP（Transport Control Protocol/Internet Protocol，传输控制协议/Internet协议）协议规定，IP地址用二进制来表示，每个IP地址长32bit，比特换算成字节，就是4个字节。例如一个采用二进制形式的IP地址是“******01”，这么长的地址，人们处理起来也太费劲了。为了方便人们的使用，IP地址经常被写成十进制的形式，中间使用符号“.”分开不同的字节。于是，上面的IP地址可以表示为“10.0.0.1”。IP地址的这种表示法叫做“点分十进制表示法”，这显然比1和0容易记忆得多。

有人会以为，一台计算机只能有一个IP地址，这种观点是错误的。我们可以指定一台计算机具有多个IP地址，因此在访问互联网时，不要以为一个IP地址就是一台计算机；另外，通过特定的技术，也可以使多台服务器共用一个IP地址，这些服务器在用户看起来就像一台主机似的。

将IP地址分成了网络号和主机号两部分，设计者就必须决定每部分包含多少位。网络号的位数直接决定了可以分配的网络数（计算方法2^网络号位数）；主机号的位数则决定了网络中最大的主机数（计算方法2^主机号位数-2）。然而，由于整个互联网所包含的网络规模可能比较大，也可能比较小，设计者最后聪明的选择了一种灵活的方案：将IP地址空间划分成不同的类别，每一类具有不同的网络号位数和主机号位数。

IP地址是IP网络中数据传输的依据，它标识了IP网络中的一个连接，一台主机可以有多个IP地址。IP分组中的IP地址在网络传输中是保持不变的。

3、IPV6发展及其特点

IPv6是“Internet Protocol Version 6”的缩写，也被称作下一代互联网协议，它是由IETF小组(Internet工程任务组Internet Engineering Task Force)设计的用来替代现行的IPv4(现行的IP)协议的一种新的IP协议。

我们知道，Internet的主机都有一个唯一的IP地址，IP地址用一个32位二进制的数表示一个主机号码，但32位地址资源有限，已经不能满足用户的需求了，因此Internet研究组织发布新的主机标识方法，即IPv6。在RFC1884中（RFC是Request for Comments Document的缩写。RFC实际上就是Internet有关服务的一些标准），规定的标准语法建议把IPv6地址的128位（16个字节）写成8个16位的无符号整数，每个整数用四个十六进制位表示，这些数之间用冒号（：）分开，例如：3ffe:3201:1401:1280:c8ff:fe4d:db39

二、TCP协议

1、TCP简介

2、TCP是一种面向连接（连接导向）的、可靠的、基于字节流的运输层（Transpor

t layer）通信协议，由IETF的RFC 793说明（specified）。在简化的计算机网络OSI模型中，它完成第四层传输层所指定的功能，UDP是同一层内另一个重要的传输协议。

在因特网协议族（Internet protocol suite）中，TCP层是位于IP层之上，应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接，但是IP层不提供这样的流机制，而是提供不可靠的包交换。

应用层向TCP层发送用于网间传输的、用8位字节表示的数据流，然后TCP把数据流分割成适当长度的报文段（通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制）。之后TCP把结果包传给IP层，由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包，就给每个字节一个序号，同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK)； 如果发送端实体在合理的往返时延(RTT)内未收到确认，那么对应的数据（假设丢失了）将会被重传。TCP用一个校验和函数来检验数据是否有错误；在发送和接收时都要计算校验和。

首先，TCP建立连接之后，通信双方都同时可以进行数据的传输，其次，他是全双工的；在保证可靠性上，采用超时重传和捎带确认机制。

在流量控制上，采用滑动窗口协议，协议中规定，对于窗口内未经确认的分组需要重传。

在拥塞控制上，采用慢启动算法。

2、TCP所支持的服务类型

不管怎样,TCP/IP是一个协议集。为应用提供一些“低级”功能,这些包括IP、TCP、UDP。其它是执行特定任务的应用协议,如计算机间传送文件、发送电子邮件、或找出谁注册到另外一台计算机。因此, 最重要的“商业”TCP/IP服务有:

* 文件传送File Transfer。

文件传送协议FTP(File Transfer Protocol)允许用户从一台计算机到另一台取得文件,或发送文件到另外一台计算机。从安全性方面考虑,需要用户指定一个使用其它计算机的用户名和口令。它不同与NFS(Network File System)和Netbios协议。一旦你要访问另一台 系统中的文件,任何时刻都要运行FTP。而且你只能拷贝文件到自己的机器中去来使用它。(RFC 959中关于FTP的说明)

* 远程登录Remote login

网络终端协议TELNET允许用户登录到网络上任一计算机上。你可启动一个远程进程连接到指定的计算机,直到进程结束,期间你所键入的内容被送到所指定的计算机。值得注意的是,这时你实际上是与你的计算机进行对话。TELENET程序使得你的计算机在整个过程中不见了,所敲的每一个字符直接送到所登录的计算机系统。一般的说,这种远程连接是通过类式拨号连接的,也就是,拨通后,远程系统提示你输入注册名和口令,退出远程系统,TELNET程序也就退出,你又与自己的计算机对话了。微电脑中的TELNET工具一般含有一个终端仿真程序。

* 计算机邮件Mail

允许你发送消息给其它计算机的用户。通常,人们趋向于使用指定的一台或两台计算机。计算机邮件系统只需你简单地往另一用户的邮件文件中添加信息,但随之产生问题,使用的微电脑的环境不同,还有重要的是宏(MACRO)不适合于接受计算机邮件。为了发送电子邮件,邮件软件希望连接到目的计算机,如果是微电脑,也许它已关机,或者正在运行另一个应用程序呢?出于这种原因,通常由一个较大的系统来处理这些邮件,也就是一个一直运行着的邮件服务器。邮件软件成为用户从邮件服务器取回邮件的一个界面。

任何一个的TCP/IP工具提供上述这些服务。这些传统的应用功能在基于TCP/IP的网络中一直扮演非常重要的角色。目前情况有点变化,这些功能使用也发生变化,如老系统的改造,计算机的发展等,出现了各种安装版本,如:微电脑、工作站、小型机、和巨型机等。这些计算机好像在一起完成指定的任务,尽管有时看来像是只用到某个指定 的计算机,但它是通过网络得到其它计算机系统的服务。服务器Server是为网络上其它提供指定服务的系统,客户Client是得到这种服务的另外计算机系统。(值得注意的是,服务/客户机不一定是不同的计算机,有可能是同一计算机中的不同运行程序)。以下是几种目前计算机上典型的一些服务,这些服务可在TCP/IP网络上调用。* 网络文件系统(NFS)

这种访问另一计算机的文件的方法非常接近于流行的FTP。网络文件系统提供磁盘或设备服务,而无需特定的网络实用程序来访问另一系统的文件。可以简单地认为它是一个外加的磁盘驱动器。这种额外“虚拟”磁盘驱动器就是其它计算机系统的磁盘。这非常有用。你只需加大几台计算机的磁盘容量,就可使网络上其他用户访问它,且不说所带来的经济效益,它还能够让几台工作的计算机共享相同的文件。它也使得系统维护和备份易如反掌,因为再不必为大量的不同机器上 的文件的升级和备份而担心。

* 远程打印(Remote printing)

允许你使用其它计算机上的打印机,好像这些打印机直接连到你的计算机上。* 远程执行(Remote execution)

允许你请求运行在不同计算机上的特殊程序。当你在一个很小的计算机上运行一个需要大机系统资源的程序时,这时候远程执行非常有用。

* 名字服务器(Name servers)

在一个大的系统安装过程中,需要用到大量的各种名字,包括用户名、口令,姓名、网络地址、帐号等,管理这些是非常令人乏味的。因此将这些数据形成数据库,放到一个小系统中去,其它系统通过网络来访问这些数据。

* 终端服务器(Terminal servers)

很多的终端连接安装不再直接将终端连到计算机,取而代之的是,将他们连接到终端服务器上。终端服务器是一个小的计算机,它只需知道怎样运行TELNET(或其它一些完成远程登录的协议)。如果你的终端想连上去,只用键入要连的计算机名就可。通常有可能同时有几个这种连接,这时终端服务器采用快速开关技术来切换。

上述所描述的一些协议是由Berkeley, Sun,或其它组织定义的。因此,它们不是互联网协议集(Internet Protocol Suite)的一部分, 只是使用到TCP/IP的工具,如同一般的TCP/IP 应用协议。因为协议的定义不一致,并且商业支持的TCP/IP工具广泛应用,也许会把这些协议作为互联协议集中的一部分。上述列出的只是基于TCP/IP部分服务的一些简单例子,但包含了一些“主要”的应用。

TCP功能：提供计算机程序间连接、检测和丢弃重复的分组、完成数据报的确认、流量控制和网络拥塞。

三、其他常见协议

IPX/SPX是基于施乐的XEROX’S Network System（XNS）协议，而SPX是基于施乐的XEROX’S SPP（Sequenced Packet Protocol：顺序包协议）协议，它们都是由novell公司开发出来应用于局域网的一种高速协议。它和TCP/IP的一个显著不同就是它不使用ip 地址，而是使用网卡的物理地址即（MAC）地址。在实际使用中，它基本不需要什么设置，装上就可以使用了。由于其在网络普及初期发挥了巨大的作用，所以得到了很多厂商的支持，包括microsoft等，到现在很多软件和硬件也均支持这种协议。

协议分析及其在网络管理中的应用 第8篇

在网络运营中, 对网络的指标、参数进行测量与统计 (如网络的利用率、协议类型、数据类型、响应时间、吞吐量等) 的技术称为协议分析。协议分析可以观察网络的运行状况, 利用网络协议的高度规则性可快速探测故障和攻击的存在。这种技术导致所需计算量的大量减少, 即便在高负载的网络上, 也可以探测出各种故障或攻击, 并配合其他工具对网络进行管理, 从而使网络运行更为健康。

2 利用率分析

利用率, 是特定的网络设备使用的进行数据通讯的可用容量, 即网络中各种数据包占用的网络带宽。利用率与网络的通信量类型在拓扑介质上的连接类型有关。主要有平均利用率和峰值利用率。

平均利用率是一段时间内在某种网络介质上获得的网络容量与网络所能提供容量的比率。平均利用率反映网络的流量, 对不同时间段平均利用率的测量, 可以掌握网络流量的变化规律和流量的高峰时段, 从而合理调配数据备份、文件传输等作业的时间, 为网络设备的升级提供依据。平均利用率超过50%就能推断网络利用率过高、网络响应时间变长、甚至网络有阻塞的发生 (特别在共享网络中) 。此信息也可作为判定网络是否遭到Dos攻击的依据之一。使用协议分析工具 (如sniffer) 可测量平均利用率, 即在一段时间内, 每个时间点利用率采样一次, 积累在一起, 形成利用率曲线 (图1) , 用求平均值法计算即可得到平均利用率。

峰值利用率是一种尖峰状的利用率事件, 与标准的平均利用率并发, 即瞬时的网络利用率达到网络可用容量的95%以上。峰值利用率的持续时间只几秒钟就可造成网络上层协议序列发生中断, 也可引起服务器与工作站通信或其他高层应用程序通信发生中断。若需要的端口维护周期低于峰值利用率发生时间, 亦可能引起服务器与工作站的连接中断, 造成重新连接, 进一步加剧了网络的阻塞。

3 协议类型分析

使用协议分析工具或网管软件可以捕获网络中传输的数据包。通过对这些数据进行分析和统计, 了解网络中应用数据流类型、协议分布情况 (如TCP/IP、NETBIOS等协议占网络带宽的比例) , 监控网络间的会话进程 (如观察哪些主机在通信及通信内容、哪个主机的流量最大) , 了解数据包大小分布情况和数据传输的错误率等。保存这些数据, 可以作为网络安全事件取证的依据。使用这些数据进行数据包的重新生成, 可以恢复网络原有环境和状态, 有利于故障和网络入侵事件的分析。

4 响应时间分析

造成网络应用变慢有多种因素, 这不仅取决于数据的传输速度, 还取决于服务器的处理速度。响应时间的测量有利于排查故障点。其测量方法是在客户机和服务器所在的网段各放一台协议分析仪, 保持这两台协议分析仪时钟同步。客户机向服务器发出连接请求, 与客户机同网段的协议分析仪截获该数据, 记录下请求生成时间, 请求数据传到服务器方;与服务器同网段的协议分析仪截获该数据, 记录下请求到达时间, 这两个时间的差即为数据在网络上的传输时间。服务器对请求进行处理产生响应, 其协议分析仪检测到该数据包, 记录下响应时间。该时间与协议分析仪纪录的请求到达时间的差即服务器的内部处理时间。

5 协议分析在网络管理中的应用

5.1 网络数据的测量

为了保证网络高效、畅通, 必须及时掌握网络的利用率等数据, 以便作出相应的调整对策。由于网络核心交换机和边缘交换机是基于L2/L3交换的, 对进出某一端口的数据捕获是在该交换机上建立这个端口的镜像 (mirror) 端口, 进出某一端口的数据同时也传到与镜像端口相连的协议分析仪上。协议分析工具使用NAI sniffer和Eey Iris软件, 安装在一台PC上, 网卡设为混杂模式, 接受进出该网卡的所有数据。测量结果就可表明网络利用率是否被控制在一个正常的、健康的范围之内。

5.2 防止Dos攻击

DoS是Denial of Service的简称, 即拒绝服务。造成DoS攻击的行为被称为DoS攻击, 其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络, 使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求无法通过;连通性攻击指用大量的连接请求冲击计算机, 使得所有可用的操作系统资源都被消耗殆尽, 最终计算机无法再处理合法用户的请求。

如某台数据服务器运行速度经常减慢甚至停止服务, 则这台数据服务器很可能遭到了DoS攻击。sniffer跟踪时发现其速度减慢时有数十或更多的pc向它发起回音应答信息包 (如ping) , 直到服务停止。此时, 可以肯定这台数据服务器已遭到DoS攻击。用sniffer跟踪分析发起攻击的pc通讯数据包, 从UDP或TCP信息包中可能发现来源等信息, 从而确认幕后攻击者。

如图2所示:有10.68.53.10到10.68.53.100等90余台pc对10.68.100.53发起大量回音应答信息包。此时, 10.68.100.53运行速度减慢甚至停止服务, 可以基本确定其遭DoS攻击。

5.3 防止违规代理

代理服务器英文全称是Proxy Server, 其功能就是代理网络用户去取得网络信息。它是网络信息的中转站。代理服务器是介于浏览器和Web服务器之间的一台服务器, 有了它之后, 浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求, 请求信号会先送到代理服务器, 由代理服务器来取回浏览器所需要的信息并传送给用户的浏览器。

由于网络安全的原因, 只有少数因工作需要的人员才有权通过油田信息网上Internet。一些人违规代理导致了一些不安全因素的出现。应用协议分析技术对一些有权上Internet的pc 进行了数据流量等跟踪和分析, 其表现为数据流量长时间超过正常水平, 再结合诸如代理搜索器等工具便可以确定其是否为违规代理 (图3) 。

图3所示, 机器长时间数据流量比较大, 但其中只有10.67.12.195、10.68.55.27为可上Internet的, 而10.67.12.195为局出口, 显然, 10.68.55.27有违规代理的嫌疑。用代理搜索器扫描后便可确认。

5.4 防病毒方面

尼姆达、SQL杀手、红码、冲击波、Welchia等网络病毒的相继出现, 网络防毒的形势已经到了刻不容缓的地步。虽然网络杀毒软件为网络提供了一定的基础防护, 但是还很难避免病毒和黑客的侵扰。

在网络中安装sniffer如同在网络中架设了雷达系统, 通过对网络流量、端口的分析, 可以帮助用户及时找出引发异常流量的症结所在, 以便确定安全隐患所在, 并能够确定哪些用户系统需要进行更新, 并对脆弱的病毒入口进行监控。例如:在红色代码肆虐的时候, Sniffer就曾经神奇地再现了它的抓毒能力。一天, 油田的网络性能突然急剧下降, 导致企业的网上应用瘫痪。致使整个网络连最基本的连接也无法恢复。这时, 我们使用Sniffer查找网络问题的原因。我们首先利用Sniffer的Dashboard (网络仪表) 功能, 对网络的整体流量状况进行监控。结果发现该用户的整体网络带宽利用率并不高, 只有10%左右, 网络中的绝对流量也不大, 但网络中的数据包数量却非常多, 甚至超过了Sniffer的缺省定义警戒值。从数值分析中发现, 这些数据包中数目最多的是64个字节以下的小数据包, 因此, 初步断定, 这些太多的小数据包可能是引起网络瘫痪的主要原因。

为了确定到底是哪些计算机在生成这些数据包, 又调用了Sniffer的另外一个流量监控功能, 在监控中, 很快发现了用户网络中发包最多的计算机的网络流量都有一个共同特点, 即他们收到的数据包非常少, 有的甚至为零。但是, 这些计算机却在拼命地发数据包, 很不正常, 而这也正是当时爆发的红色代码病毒的特征。因为感染了红色代码病毒的计算机会往网络中发送大量的数据包, 最终导致网络的瘫痪。因此, 确定造成这个用户网络的瘫痪原因就是由于那些感染了红色代码病毒的计算机引起的。

为了进一步确定红色代码病毒的特征, 又用Sniffer的Capture (捕获) 功能进行数据抓包分析, 并将数据包进行解码分析, 发现红色代码就是通过发送特定的HTTP GET请求, 利用微软IIS的漏洞进行传播的, 这些请求在传播过程中产生大量的数据包, 使得网络路由器和交换机陷于瘫痪。通过这次进一步的分析, 终于帮助用户发现了问题的根源, 解除了红色代码病毒对网络的影响, 避免了企业的巨大损失。

6 结论

(1) 协议分析能动态观察网络的运行情况, 为保证网络健康运行提供了技术保障。

(2) 协议分析已成功应用于网络数量测量、防病毒、防止DoS攻击和防止违规代理等方面。

(3) 随着该项技术的深层开发, 其在网络管理方面将会发挥更大的作用。

参考文献

[1]　Gary R.Wright W.Richard Stevens.TCP/IP Illustracted Vol-ume1:The Protocols (TCP/IP详解卷1:协议) .机械工业出版社.2000-4-1

[2]　Gary R.Wright W.Richard Stevens.TCP/IP Illustrated Vol-ume2:The Implementation (TCP/IP详解卷2:实现) .机械工业出版社.2000-7-1

[3]　Regis J.BATES.北电网络第三层交换技术.机械工业出版社.2001-9-1