TCIP協(xié)議教程（頁）

1、二.tcpap協(xié)議簇簡介tcp/ip (傳輸控制協(xié)議/網(wǎng)間協(xié)議)是一種網(wǎng)絡(luò)通信協(xié)議，它規(guī)范了網(wǎng)絡(luò)上的所冇通信設(shè)備，尤其是一個(gè) 主機(jī)與另一個(gè)主機(jī)z間的數(shù)據(jù)往來格式以及傳送方式。tcp/ip是internet的基礎(chǔ)協(xié)議，也是一種電腦數(shù) 據(jù)打包和尋址的標(biāo)準(zhǔn)方法。在數(shù)據(jù)傳送中,可以形象地理解為有兩個(gè)信封,tcp和ip就像是信封，要傳遞 的信息被劃分成若干段，每一段塞入-個(gè)tcp信封，并在該信封面上記錄有分段號的信息，再將tcp信 封塞入ip大信封，發(fā)送上網(wǎng)。在接受端，一個(gè)tcp軟件包收集信封，抽出數(shù)據(jù)，按發(fā)送前的順序還原， 并加以校驗(yàn)，若發(fā)現(xiàn)差錯(cuò)，tcp將會要求重發(fā)。因此，tcp/ip在interne

2、t中幾乎町以無差錯(cuò)地傳送數(shù) 據(jù)。在任何一個(gè)物理網(wǎng)絡(luò)屮，各站點(diǎn)都冇一個(gè)機(jī)器可識別的地址,該地址叫做物理地址物理地址冇兩個(gè)特點(diǎn)：(1) 物理地址的長度，格式等是物理網(wǎng)絡(luò)技術(shù)的一部分，物理網(wǎng)絡(luò)不同，物理地址也不同.(2) 同一類型不同網(wǎng)絡(luò)上的站點(diǎn)可能擁有相同的物理地址.以上兩點(diǎn)決定了，不能用物理網(wǎng)絡(luò)進(jìn)行網(wǎng)間網(wǎng)通訊.在網(wǎng)絡(luò)術(shù)語屮，協(xié)議中，協(xié)議是為了在兩臺計(jì)算機(jī)z間交換數(shù)據(jù)而預(yù)先規(guī)定的標(biāo)準(zhǔn)。tcp/ip并不是一個(gè) 而是許多協(xié)議，這就是為什么你經(jīng)常聽到它代表一個(gè)協(xié)議集的原因，而tcp和ip只是其中兩個(gè)基本協(xié)議 而已。你裝在計(jì)算機(jī)的tcp/ip軟件提供了一個(gè)包括tcp、ip以及tcp/ip協(xié)議集小其它協(xié)議的

3、工具平臺。特別 是它包括一些為層次的應(yīng)用程序和ftp(文件傳輸協(xié)議)，它允許用戶在命令行上進(jìn)行網(wǎng)絡(luò)文件傳輸。tcp/ip是美國政府資助的高級研究計(jì)劃署(arpa)在二十世紀(jì)七十年代的一個(gè)研究成果，用來使全球的研 究網(wǎng)絡(luò)聯(lián)在一起形成一個(gè)虛擬網(wǎng)絡(luò)，也就是國際互聯(lián)網(wǎng)。原始的internet通過將已有的網(wǎng)絡(luò)如arpanet轉(zhuǎn) 換到tcp/ip上來而形成，而這個(gè)internet最終成為如今的國際互聯(lián)網(wǎng)的骨干網(wǎng)。如今tcp/ip如此重要的原因，在于它允許獨(dú)立的網(wǎng)格加入到1 nternet或組織在一起形成私有的內(nèi)部網(wǎng)(intranet)<>構(gòu)成內(nèi)部網(wǎng)的每個(gè)網(wǎng)絡(luò)通過一種-做路由器或ip路由器的設(shè)備

4、在物理上聯(lián)接在一起。路山器是 一臺用來從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)傳輸數(shù)據(jù)包的計(jì)算機(jī)。在一個(gè)使用tcp/ip的內(nèi)部網(wǎng)屮，信息通過使用一 種獨(dú)立的叫做ip包(ippackct)或ip數(shù)據(jù)報(bào)(ip datagrams)的數(shù)據(jù)單元進(jìn)傳輸。tcp/ip軟件使得每臺聯(lián)到 網(wǎng)絡(luò)上的計(jì)算機(jī)同其它計(jì)算機(jī)“看”起來一模一樣，事實(shí)上它隱藏了路由器和基本的網(wǎng)絡(luò)體系結(jié)構(gòu)并使其各 方面看起來都像一個(gè)大網(wǎng)。如同聯(lián)入以太網(wǎng)時(shí)需要確認(rèn)一個(gè)48位的以太網(wǎng)地址-樣，聯(lián)入一個(gè)內(nèi)部網(wǎng)也需 要確認(rèn)一個(gè)32位的ip地址。我們將它用帶點(diǎn)的十進(jìn)制數(shù)表示,如128.10.23o給定一個(gè)遠(yuǎn)程計(jì)算機(jī)的ip 地址，在某個(gè)內(nèi)部網(wǎng)或internet上的木地計(jì)

5、算機(jī)就可以像處在同一個(gè)物理網(wǎng)絡(luò)屮的兩臺計(jì)算機(jī)那樣向遠(yuǎn)程計(jì) 算機(jī)發(fā)送數(shù)據(jù)。tcp/ip提供了一個(gè)方案用來解決屈于同一個(gè)內(nèi)部網(wǎng)而分屈不同物理網(wǎng)的兩臺計(jì)算機(jī)z間怎樣交換數(shù)據(jù)的 問題。這個(gè)方案包括許多部分，而tcp/ip協(xié)議集的每個(gè)成員則用來解決問題的某一部分。如tcp/ip協(xié)議 集屮最基本的協(xié)議-ip協(xié)議用來在內(nèi)部網(wǎng)中交換數(shù)據(jù)并且執(zhí)行一項(xiàng)乘要的功能：路山選擇一一選擇數(shù)據(jù)報(bào)從 a主機(jī)到b主機(jī)將要經(jīng)過的路徑以及利用介適的路山器完成不同網(wǎng)絡(luò)之.間的跨越(hop)otcp是一個(gè)更高層次的它允許運(yùn)行在在不同主機(jī)上的應(yīng)用程序相互交換數(shù)據(jù)流。tcp將數(shù)據(jù)流分成小段 叫做tcp數(shù)據(jù)段(tcp segments),并

6、利用ip協(xié)議進(jìn)行傳輸。在大多數(shù)借況下，每個(gè)tcp數(shù)據(jù)段裝在一個(gè) ip數(shù)據(jù)報(bào)小進(jìn)行發(fā)送。但如需要的話，tcp將把數(shù)據(jù)段分成多個(gè)數(shù)據(jù)報(bào)，而ip數(shù)據(jù)報(bào)則與同-網(wǎng)絡(luò)不同主 機(jī)間傳輸位流和字節(jié)流的物理數(shù)據(jù)幀相容。由于ip并不能保證接收的數(shù)擁報(bào)的順序相一致，tcp會在收信 端裝配tcp數(shù)據(jù)段并形成一個(gè)不間斷的數(shù)據(jù)流。ftp和telnet就是兩個(gè)非常流行的依靠tcp的tcp/ip應(yīng) 用程序。另一個(gè)重要的tcp/ip協(xié)議集的成員是用戶數(shù)據(jù)報(bào)協(xié)議(udp),它同tcp和似但比tcp原始許多。tcp是 一個(gè)可靠的協(xié)議，因?yàn)樗绣e(cuò)誤檢查和握手確認(rèn)來保證數(shù)據(jù)完整的到達(dá)ii的地。udp是一個(gè)“不可靠”的協(xié) 議，因?yàn)樗?/p>

7、能保證數(shù)據(jù)報(bào)的接收順序同發(fā)送順序相同，甚至不能保證它們是否全部到達(dá)。如果有可靠性 要求，則應(yīng)用程序避免使用它。同許多tcp/ip工具同時(shí)捉供的snmp(簡單網(wǎng)絡(luò)管理協(xié)議)就是一個(gè)使用udp 協(xié)議的應(yīng)用例子。其它tcp/ip協(xié)議在tcp/ip網(wǎng)絡(luò)中工作在幕后，但同樣也發(fā)揮著重耍作用。例如地址轉(zhuǎn)換協(xié)議(arp)將ip 地址轉(zhuǎn)換為物理網(wǎng)絡(luò)地址如以太網(wǎng)地址。而與其對應(yīng)的反向地址轉(zhuǎn)換協(xié)議(rarp)做相反的工作，即將物理 網(wǎng)絡(luò)地址轉(zhuǎn)換為ip地址。網(wǎng)際控制報(bào)文協(xié)議(icmp)則是一個(gè)支持性協(xié)議，它利用ip完成ip數(shù)據(jù)報(bào)在傳輸 時(shí)的控制信息和錯(cuò)誤信息的傳輸。例如，如果一個(gè)路山器不能向前發(fā)送一個(gè)ip數(shù)據(jù)報(bào)，它

8、就會利用icmp 來告訴發(fā)送者這里出現(xiàn)了問題。三.tcpap網(wǎng)絡(luò)的七層結(jié)構(gòu)模型網(wǎng)絡(luò)設(shè)計(jì)者在解決網(wǎng)絡(luò)體系結(jié)構(gòu)時(shí)經(jīng)常使用iso/osi (國際標(biāo)準(zhǔn)化組織/開放系統(tǒng)耳連)七層模型，該模型 每一層代表一定層次的網(wǎng)絡(luò)功能。授卜-而是物理層，它代表著進(jìn)行數(shù)據(jù)轉(zhuǎn)輸?shù)奈锢斫橘|(zhì)，換句話說，即網(wǎng) 絡(luò)電纜。其上是數(shù)據(jù)鏈路層，它通過網(wǎng)絡(luò)接口卡提供服務(wù)。最上層是應(yīng)用層，這里運(yùn)行著使川網(wǎng)絡(luò)服務(wù)的 應(yīng)用程序。tcp/ip是同iso/osi模型等價(jià)的。當(dāng)一個(gè)數(shù)據(jù)單元從網(wǎng)絡(luò)應(yīng)用程序下流到網(wǎng)絡(luò)接口卡，它通過了一列的 tcp/ip模塊。這其中的每一步，數(shù)據(jù)單元都會同網(wǎng)絡(luò)另一端對等tcp/ip模塊所需的信息一起打成包。這 樣當(dāng)數(shù)據(jù)最

9、終傳到網(wǎng)卡時(shí)，它成了一個(gè)標(biāo)準(zhǔn)的以太幀(假設(shè)物理網(wǎng)絡(luò)是以太網(wǎng))。而接收端的tcp/ip軟件通 過剝?nèi)ヒ蕴W(wǎng)幀并將數(shù)據(jù)向上傳輸過tcp/ip棧來為處于接收狀態(tài)的應(yīng)用程序匝新恢復(fù)壓始數(shù)據(jù)(一種最好 的了解tcp/ip工作實(shí)質(zhì)的方法，是使用探測程序來觀察網(wǎng)絡(luò)屮的到處流動的幀屮被不同tcp/ip模塊所加 上的信息)。為了勾勒tcp/ip在現(xiàn)實(shí)網(wǎng)絡(luò)jit界中所扮演的角色，請考慮當(dāng)使?*枠ttp(超文本傳輸協(xié)議)的 web瀏覽器從連接在internet上的web服務(wù)器上獲取一頁html數(shù)據(jù)時(shí)所發(fā)生的情況。為形成同web服務(wù) 器的熄鏈路，瀏覽器使丿11-種被抽象地稱為套接m(socket)的高層軟件。為了獲取

10、web頁，它通過向套接口 向套接口寫入httpget命令來向web服務(wù)器發(fā)出該指令。接下來套接口軟件使用tcp協(xié)議向web服務(wù) 器發(fā)出包含get命令的字節(jié)流和位流，tcp將數(shù)據(jù)分段并將各獨(dú)立段傳到ip模塊，該模塊將數(shù)據(jù)段轉(zhuǎn)換 成數(shù)據(jù)報(bào)并發(fā)送給web服務(wù)器。如果瀏覽器和服務(wù)器運(yùn)-在不同物理網(wǎng)絡(luò)的計(jì)算機(jī)上(一般情況如此)，數(shù)據(jù)報(bào)從一個(gè)網(wǎng)絡(luò)傳到另一個(gè)網(wǎng)絡(luò), 直到抵達(dá)服務(wù)器所在的那個(gè)網(wǎng)。最終，數(shù)據(jù)被傳輸?shù)侥康牡刂凡⒈挥晷卵b配，這樣web服務(wù)器通過讀自己 的套接口來獲得數(shù)據(jù)主干,并進(jìn)而査看連續(xù)的數(shù)據(jù)流。對瀏覽器和服務(wù)器來說,數(shù)據(jù)在這端寫入套接口而在另一端出現(xiàn)如同魔術(shù)一般，但這只是底下發(fā)生的各種復(fù)朵的交互

11、，它創(chuàng)造了數(shù)據(jù)經(jīng)過網(wǎng)絡(luò)無縫傳輸?shù)?假象。這就是tcp/ip所做的：將許多小網(wǎng)聯(lián)成一個(gè)人網(wǎng)。并在這個(gè)人網(wǎng)也就是internet上提供應(yīng)用程序所需耍的 相互通信的服務(wù)。四.評論對于tcp/ip冇許多可談的，但這里僅講三個(gè)關(guān)鍵點(diǎn)：1. tcp/ip是一族用來把不同的物理網(wǎng)絡(luò)聯(lián)在-起構(gòu)成網(wǎng)際網(wǎng)的協(xié)議。tcp/ip聯(lián)接獨(dú)立的網(wǎng)絡(luò)形成-個(gè)虛 擬的網(wǎng)，在網(wǎng)內(nèi)用來確認(rèn)各種獨(dú)立的不是物理網(wǎng)絡(luò)地址，而是ip地址。2. tcp/ip使用多層體系結(jié)構(gòu)，該結(jié)構(gòu)淸晰定義了每個(gè)協(xié)議的責(zé)任。tcp和udp向網(wǎng)絡(luò)應(yīng)用程序提供了高 層的數(shù)據(jù)傳輸服務(wù)，并都需耍1p來傳輸數(shù)據(jù)包。ip有責(zé)任為數(shù)據(jù)包到達(dá)11的地選擇合適的路由。3. 在

12、internet主機(jī)上，兩個(gè)運(yùn)行著的應(yīng)用程序之間傳送要通過主機(jī)的tcp/ip堆棧上下移動。在發(fā)送端tcp/ip 模塊加在數(shù)據(jù)上的信息將在接收端對應(yīng)的tcp/ip模塊上濾掉，并將最終恢復(fù)原始數(shù)據(jù)。tcp/udp 協(xié)議理解數(shù)據(jù)包，對于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全具冇至關(guān)匝要的意義。比如，防火墻的作用本質(zhì)就是檢測網(wǎng)絡(luò)屮的 數(shù)據(jù)包，判斷其是否違反了預(yù)先設(shè)置的規(guī)則，如果違反就加以阻止。圖1就是瑞星個(gè)人版防火墻軟件設(shè)置 規(guī)則的界面。細(xì)心的讀者會發(fā)現(xiàn),圖1中的“協(xié)議”欄中有作cp”、“udp”等名詞,它們是什么意思呢?現(xiàn)在 我們就來講講什么是tcp和udpo個(gè)人fjexii flssrar7 r冊財(cái)個(gè)a»火

13、増vimwf：餞*規(guī)iut許雄“ut 珀！8包.5 6 t 8 10d wsyy-ii ww缺有的ktttau 缺帝的kttf出站 敍耆的匕”猷省的p0f3入站 缺有的p0f3出站 妝百的ic時(shí)入站 銭害的13岀站 許暫的dhs入鮎 堿省的dbs*站i a*宣的tbi：允允a窗允允允允允允zj面向連接的tcp“而向連接”就是在正式通信前必須耍與對方建立起連接。比如你給別人打電話，必須等線路接通了、 對方拿起話簡才能相互通話。tcp （transmission control protocol,傳輸控制協(xié)議）是基于連接的協(xié)議，也就是說，在正式收發(fā)數(shù)據(jù) 前，必須和對方建立可靠的連接。一個(gè)tcp連接

14、必須要經(jīng)過三次“對話”才能建立起來，其屮的過程菲常復(fù) 雜，我們這里只做簡單、形彖的介紹，你只要做到能夠理解這個(gè)過程即可。我們來看看這三次對話的簡單 過程：主機(jī)a向主機(jī)b發(fā)出連接請求數(shù)據(jù)包：“我想給你發(fā)數(shù)據(jù)，可以嗎？ ”，這是第一次對話；主機(jī)b向 主機(jī)a發(fā)送同意連接和要求同步（同步就是兩臺主機(jī)-個(gè)在發(fā)送，一個(gè)在接收，協(xié)調(diào)工作）的數(shù)據(jù)包：“可 以，你什么時(shí)候發(fā)？ ”，這是第二次對話；主機(jī)a再發(fā)出一個(gè)數(shù)據(jù)包確認(rèn)主機(jī)b的要求同步：“我現(xiàn)在就發(fā), 你接著吧！ ”，這是第三次對話。三次“對話”的目的是使數(shù)據(jù)包的發(fā)送和接收同步，經(jīng)過三次“對話”z后， 主機(jī)a才向主機(jī)b正式發(fā)送數(shù)據(jù)。tcp協(xié)議能為應(yīng)用程序提供

15、可靠的通信連接，使一臺計(jì)算機(jī)發(fā)出的字節(jié)流無差錯(cuò)地發(fā)往網(wǎng)絡(luò)上的其他 計(jì)算機(jī)，對可靠性要求高的數(shù)據(jù)通信系統(tǒng)往往使用tcp協(xié)議傳輸數(shù)據(jù)。旦我的ch本地連接 速度：100.0 mbps 發(fā)送:3,456包 收到:6,367包 |j21:23圖2我們來做一個(gè)實(shí)驗(yàn)，用計(jì)算機(jī)a （安裝windows 2000 server操作系統(tǒng)）從“網(wǎng)上鄰屈”上的一臺計(jì)算機(jī)b拷 貝大小為&644,608字節(jié)的文件，通過狀態(tài)欄右下角網(wǎng)卡的發(fā)送和接收指標(biāo)就會發(fā)現(xiàn)：雖然是數(shù)據(jù)流是由計(jì) 算機(jī)b流向計(jì)算機(jī)a,但是計(jì)算機(jī)a仍發(fā)送了 3,456個(gè)數(shù)據(jù)包，如圖2所示。這些數(shù)據(jù)包是怎樣產(chǎn)生的呢？ 因?yàn)槲募鬏敃r(shí)使用了 tcp/ip

16、協(xié)議，史確切地說是使用了血向連接的tcp協(xié)議，計(jì)算機(jī)a接收數(shù)據(jù)包的 時(shí)候，要向計(jì)算機(jī)b回發(fā)數(shù)據(jù)包，所以也產(chǎn)生了一些通信量。廠網(wǎng)絡(luò)統(tǒng)計(jì)# 幀:9876#廠播：108#多播：1# 字節(jié):9478819#丟失的幀：0 網(wǎng)絡(luò)狀態(tài)：正常圖3如果事先用網(wǎng)絡(luò)監(jiān)視器監(jiān)視網(wǎng)絡(luò)流量，就會發(fā)現(xiàn)山此產(chǎn)生的數(shù)據(jù)流量是9,478,819字節(jié)，比文件大小多出 10.96% （如圖3所示），原因不僅在于數(shù)據(jù)包和幀本身占用了一些空間，而且也在于tcp協(xié)議而向連接的 特性導(dǎo)致了一些額外的通信量的產(chǎn)生。面向非連接的udp協(xié)議“面向非連接”就是在正式通信前不必與對方先建立連接，不管對方狀態(tài)就直接發(fā)送。這與現(xiàn)在風(fēng)行 的手機(jī)短信非常相似

17、：你在發(fā)短信的時(shí)候，只需要輸入對方手機(jī)號就ok 了。udp （user data protocol, ij戶數(shù)據(jù)報(bào)協(xié)議）是與tcp相對應(yīng)的協(xié)議。它是面向非連接的協(xié)議，它不 與對方建立連接，而是直接就把數(shù)據(jù)包發(fā)送過去！udp適用于一次只傳送少量數(shù)據(jù)、對可靠性要求不高的應(yīng)川環(huán)境。比如，我們經(jīng)常使用“ping”命令來 測試兩臺主機(jī)之間tcp/ip通信是否正常，其實(shí)“ping”命令的原理就是向?qū)Ψ街鳈C(jī)發(fā)送udp數(shù)據(jù)包，然后 對方主機(jī)確認(rèn)收到數(shù)據(jù)包，如果數(shù)據(jù)包是否到達(dá)的消息及時(shí)反饋回來，那么網(wǎng)絡(luò)就是通的。例如，在默認(rèn) 狀態(tài)下，一次“ping”操作發(fā)送4個(gè)數(shù)據(jù)包（如圖2所示）。人家可以看到，發(fā)送的數(shù)據(jù)包數(shù)

18、量是4包，收到 的也是4包（因?yàn)閷Ψ街鳈C(jī)收到后會發(fā)回一個(gè)確認(rèn)收到的數(shù)據(jù)包）。這充分說明了 udp協(xié)議是而向非連接 的協(xié)議，沒有建立連接的過程。止因?yàn)閡dp協(xié)議沒有連接的過程，所以它的通信效果高；但也正因?yàn)槿绱? 它的可靠性不如tcp協(xié)議高。qq就使用udp發(fā)消息，因此有時(shí)會出現(xiàn)收不到消息的惜況。附表：tcp協(xié)議和udp協(xié)議的差別tcpudp是否連接面向連接面向非連接傳輸可靠性可靠的嗣釜的應(yīng)用場合傳輸大屋的數(shù)據(jù)少量數(shù)據(jù)碑1®1tcp協(xié)議和udp協(xié)議各冇所長、各冇所短，適用于不同要求的通信環(huán)境。tcp協(xié)議和udp協(xié)議z間 的差別如附農(nóng)所示。ipx/spx 協(xié)議ipx協(xié)議說明：全稱 int

19、ernetwork packet exchange （網(wǎng)間數(shù)據(jù)包交換）,ipx 協(xié)議是 novell netware 自帶的最底層網(wǎng)絡(luò)協(xié)議，主要丿ij來控制局域網(wǎng)內(nèi)或局域網(wǎng)之間數(shù)據(jù)包的尋址和路由，只負(fù)責(zé) 數(shù)據(jù)包在局域網(wǎng)中的傳送，并不保證消息的完整性，也不提供糾錯(cuò)服務(wù)。應(yīng)用：在局域網(wǎng)中傳輸數(shù)據(jù)包時(shí)，如果接收節(jié)點(diǎn)在同一網(wǎng)段內(nèi)，通過ipx協(xié)議就肓接按該 節(jié)點(diǎn)的1d將數(shù)據(jù)傳給它；如果接收節(jié)點(diǎn)不在同一網(wǎng)段內(nèi)，那么通過ipx協(xié)議可以將數(shù)據(jù)包 交給netware服務(wù)器，再繼續(xù)傳輸。在使川過程屮，網(wǎng)絡(luò)管理員可以通過使用相應(yīng)的ipx 路由命令，比如“routing ipx add/set staticroute

20、”表示在ipx路由表屮添加或配置靜態(tài)ipx路由， “routing ipx set global”表示配置全局ipx路由設(shè)置。spx協(xié)議說明：全稱sequences packet exchange （順序包交換）,spx協(xié)議是基于施樂的xerox spp （sequences packet protocol,順序包協(xié)議）協(xié)議，同樣是rfl novell公司開發(fā)的一種丿ij于局域 網(wǎng)的網(wǎng)絡(luò)協(xié)議。在局域網(wǎng)屮，spx協(xié)議主要負(fù)責(zé)對整個(gè)傳輸?shù)臄?shù)據(jù)進(jìn)行無差錯(cuò)處理，即糾 錯(cuò)。應(yīng)川：spx協(xié)議一般和上面介紹的ipx協(xié)議組合成ipx/spx協(xié)議來使用，多用于netware 網(wǎng)絡(luò)壞境以及聯(lián)網(wǎng)游戲。ipx/spx

21、 協(xié)議說明：ipx/spx協(xié)議即ipx與spx協(xié)議的組合，它是novell公司為了適應(yīng)網(wǎng)絡(luò)的發(fā)展而 開發(fā)的通信協(xié)議，具有很強(qiáng)的適應(yīng)性，安裝方便，同時(shí)述具有路由功能，可以實(shí)現(xiàn)多網(wǎng)段間 的通信。其屮，ipx協(xié)議負(fù)責(zé)數(shù)據(jù)包的傳送；spx負(fù)責(zé)數(shù)據(jù)包傳輸?shù)耐暾浴Ｔ谖④浀膎t 操作系統(tǒng)中，一般使用nwlink ipx/spx兼容協(xié)議和nwlink nctbiox兩種ipx/spx的兼 容協(xié)議，即nwlink協(xié)議，該兼容協(xié)議繼承了 ipx/spx協(xié)議的優(yōu)點(diǎn)，更適應(yīng)windows的網(wǎng) 絡(luò)環(huán)境。應(yīng)用：ipx/spx協(xié)議一般可以應(yīng)用于人型網(wǎng)絡(luò)（比如novell）和局域網(wǎng)游戲環(huán)境屮（比如 反恐精英、星際爭筍）。不

22、過，如果不是在novell網(wǎng)絡(luò)環(huán)境中，一般不使用ipx/spx協(xié)議, 而是使用ipx/spx兼容協(xié)議，尤其是在 windows 9x/2000組成的對等網(wǎng)中。在windows屮安裝ipx/spx兼容協(xié)議的方法大致如下：比如在windows xp中，首先打開“網(wǎng)絡(luò)連按"窗 口，右擊“本地連接”，選擇“屈性”打開本地連接屈性窗口；接著，單擊“安裝”按鈕，選擇“協(xié)議”組件，單擊 “添加"按鈕；在打開的窗口中選擇“nwlink ipx/spx/netbios compatible transport prolocol”（如圖），最后， 單擊“確定”按鈕即可進(jìn)行安裝。安裝之后，不需要

23、進(jìn)行什么設(shè)置就可以使用。icmp協(xié)議什么是icmp協(xié)議icmp是“internet control message protocol” （internet控制消息協(xié)議）的縮寫。它是tcp/ip協(xié)議族的-個(gè)子 協(xié)議，用于在ip主機(jī)、路由器z間傳遞控制消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可 川等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對于用戶數(shù)據(jù)的傳遞起著重耍的作用。我們在網(wǎng)絡(luò)中經(jīng)常會使用到icmp協(xié)議，只不過我們覺察不到而己。比如我們經(jīng)常使用的用于檢査網(wǎng)絡(luò)通 不通的ping命令，這個(gè)“ping”的過程實(shí)際上就是icmp協(xié)議工作的過程。還冇其他的網(wǎng)絡(luò)命令如跟蹤路由 的

24、tracer命令也是基于icmp協(xié)議的。icmp的重要性icmp協(xié)議對于網(wǎng)絡(luò)安全具冇極其重要的意義。icmp協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上 的路由器和主機(jī)。例如，在1999年8月海信集i才1“懸賞”50力元人民幣測試防火墻的過程中，其防火墻遭受 到的icmp攻擊達(dá)334050次之多，占整個(gè)攻擊總數(shù)的90%以上！可見，icmp的重耍性絕不可以忽視！比如，可以利用操作系統(tǒng)規(guī)定的icmp數(shù)據(jù)包最大尺寸不超過64kb這一規(guī)定，向主機(jī)發(fā)起“ping of death” （死亡之ping）攻擊。“ping of death”攻擊的原理是：如果icmp數(shù)據(jù)包的尺寸超過64kb上限時(shí),主機(jī) 就

25、會出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致tcp/ip堆棧崩潰，致使主機(jī)死機(jī)。此外，向目標(biāo)主機(jī)k時(shí)間、連續(xù)、大最地發(fā)送icmp數(shù)據(jù)包，也會最終使系統(tǒng)癱瘓。大量的icmp數(shù)據(jù)包 會形成“icmp風(fēng)暴”，使得目標(biāo)主機(jī)耗費(fèi)大量的cpu資源處理，疲于奔命。應(yīng)對icmp攻擊雖然icmp協(xié)議給黑客以可乘z機(jī)，但是1cmp攻擊也并非無藥可醫(yī)。只耍在日常網(wǎng)絡(luò)管理中未雨綢繆， 提前做好準(zhǔn)備，就可以有效地避免icmp攻擊造成的損失。對于“ping of death”攻擊,可以采取兩種方法進(jìn)行防范:第一種方法是在路山器上對icmp數(shù)據(jù)包進(jìn)行帶 寬限制，將icmp占用的帶寬控制在一定的范圍內(nèi)，這樣即使冇icmp攻擊，它所占用的帶寬也是

26、非常冇 限的，對整個(gè)網(wǎng)絡(luò)的影響非常少；第二種方法就是在主機(jī)上設(shè)置icmp數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒 絕所有的icmp數(shù)據(jù)包。設(shè)置icmp數(shù)據(jù)包處理規(guī)則的方法也有兩種，一種是在操作系統(tǒng)上設(shè)置包過濾，另一種是在主機(jī)上安裝防 火墻。具體設(shè)置如下：1.在 windows 2000 server 中設(shè)置 icmp 過濾windows 2000 server提供了“路山與遠(yuǎn)程訪問”服務(wù)，但是默認(rèn)情況下是沒有啟動的，因此首先要啟動它: 點(diǎn)擊“管理工具”中的“路由與遠(yuǎn)程訪問”，啟動設(shè)置向?qū)?。在其屮選擇“手動配置服務(wù)器”項(xiàng)，點(diǎn)擊下一步 按鈕。稍等片刻后，系統(tǒng)會提示“路由和遠(yuǎn)程訪問服務(wù)現(xiàn)在已被安裝。要開始服務(wù)嗎？ ”，點(diǎn)擊是按鈕川動 服務(wù)。服務(wù)啟動后，在計(jì)算機(jī)名稱的分支