網(wǎng)絡通信課程設計

1、<p>　　《網(wǎng)絡通信課程設計》綜合學習報告</p><p>　　班級： 網(wǎng)絡10-2班 </p><p>　　學號： 08103635 </p><p>　　姓名： xxx </p><p><b>　　網(wǎng)絡工程系</b></p><p>&l

2、t;b>　　2013.7</b></p><p>　　計算機網(wǎng)絡的七層模型</p><p>　　OSI(Open System Interconnection)，開放式系統(tǒng)互聯(lián)參考模型 。是一個邏輯上的定義，一個規(guī)范，它把網(wǎng)絡協(xié)議從邏輯上分為了7層，即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層、應用層。每一層都有相關、相對應的物理設備，比如常規(guī)的路由器是三層交換設

3、備，常規(guī)的交換機是二層交換設備。OSI七層模型是一種框架性的設計方法 ，建立七層模型的主要目的是為解決異種網(wǎng)絡互連時所遇到的兼容性問題，其最主要的功能就是幫助不同類型的主機實現(xiàn)數(shù)據(jù)傳輸。它的最大優(yōu)點是將服務、接口和協(xié)議這三個概念明確地區(qū)分開來，通過七個層次化的結構模型使不同的系統(tǒng)不同的網(wǎng)絡之間實現(xiàn)可靠的通訊。</p><p><b>　　每一層的作用：</b></p><

4、p>　　1.物理層：主要定義物理設備標準，如網(wǎng)線的接口類型、光纖的接口類型、各種傳輸介質的傳輸速率等。它的主要作用是傳輸比特流(就是由1、0轉化為電流強弱來進行傳輸，到達目的地后在轉化為1、0，也就是我們常說的數(shù)模轉換與模數(shù)轉換)。</p><p>　　2.數(shù)據(jù)鏈路層：定義了如何讓格式化數(shù)據(jù)以進行傳輸，以及如何讓控制對物理介質的訪問。這一層通常還提供錯誤檢測和糾正，以確保數(shù)據(jù)的可靠傳輸。</p>

5、<p>　　3.網(wǎng)絡層：在位于不同地理位置的網(wǎng)絡中的兩個主機系統(tǒng)之間提供連接和路徑選擇。Internet的發(fā)展使得從世界各站點訪問信息的用戶數(shù)大大增加，而網(wǎng)絡層正是管理這種連接的層。</p><p>　　4.傳輸層：定義了一些傳輸數(shù)據(jù)的協(xié)議和端口號，如：TCP(傳輸控制協(xié)議，傳輸效率低，可靠性強，用于傳輸可靠性要求高，數(shù)據(jù)量大的數(shù)據(jù))，UDP(用戶數(shù)據(jù)報協(xié)議，與TCP特性恰恰相反，用于傳輸可靠性要求

6、不高，數(shù)據(jù)量小的數(shù)據(jù)）。 主要是將從下層接收的數(shù)據(jù)進行分段和傳輸，到達目的地址后再進行重組。常常把這一層數(shù)據(jù)叫做段。</p><p>　　5.會話層：通過傳輸層建立數(shù)據(jù)傳輸?shù)耐?。主要在你的系統(tǒng)之間發(fā)起會話或者接受會話請求(設備之間需要互相認識可以是IP也可以是MAC或者是主機名)。</p><p>　　6.表示層：可確保一個系統(tǒng)的應用層所發(fā)送的信息可以被另一個系統(tǒng)的應用層讀取。如有必要，

7、表示層會通過使用一種通格式來實現(xiàn)多種數(shù)據(jù)格式之間的轉換。</p><p>　　7.應用層：是最靠近用戶的OSI層。這一層為用戶的應用程序提供網(wǎng)絡服務。很多應用雖然屬于應用層，但是具體工作時，也要各層的協(xié)作。</p><p>　　例如：“實驗七：常見網(wǎng)絡應用服務器配置及驗證”中的FTP服務器：</p><p>　　FTP（文件傳輸協(xié)議）是應用層的協(xié)議，但它也基于傳輸層

8、，F(xiàn)TP是TCP傳輸，使用TCP 20和21號端口，因為TCP協(xié)議是可靠傳輸?shù)膮f(xié)議，文件傳輸需要的是可靠的協(xié)議來保證文件的完整和正確性，故不用UDP。FTP具體工作過程如下：</p><p>　?。?）FTP服務器運行FTPd守護進程，等待用戶的FTP請求。 （2）用戶運行FTP命令,請求FTP服務器為其服務。 例：FTP 202.119.2.197 （3）FTPd守護進程收到用

9、戶的FTP請求后，派生出子進程FTP與用戶進程FTP交互，建立文件傳輸控制連接，使用TCP端口21。 （4）用戶輸入FTP子命令，服務器接收子命令，如果命令正確，雙方各派生一個數(shù)據(jù)傳輸進程FTP-DATA,建立數(shù)據(jù)連接，使用TCP端口20,進行數(shù)據(jù)傳輸。 （5）本次子命令的數(shù)據(jù)傳輸完，拆除數(shù)據(jù)連接，結束FTP-DATA進程。 （6）用戶繼續(xù)輸入FTP子命令，重復（4）、（5）的過程，直至用戶輸入qui

10、t命令，雙方拆除控制連接，結束文件傳輸，結束FTP進程。</p><p>　　計算機網(wǎng)絡的四類地址</p><p>　　物理地址（MAC地址）：</p><p>　　這里所講的物理地址其實是屬于數(shù)據(jù)鏈路層的地址（物理層是無法設置地址的），是標識通信節(jié)點時使用的最底層地址，該地址由所在的局域網(wǎng)或廣域網(wǎng)定義，包含在數(shù)據(jù)鏈路層的幀中。</p><p&g

11、t;　　物理地址用于同一局域網(wǎng)或廣域網(wǎng)內(nèi)部的通信，地址長度和格式由局域網(wǎng)或廣域網(wǎng)的類型來確定。物理地址可以是單播地址、組播地址或廣播地址，具體由不同的網(wǎng)絡類型來確定。</p><p>　　邏輯地址（IP地址）：</p><p>　　物理地址僅適用于在同一局域網(wǎng)或廣域網(wǎng)內(nèi)部計算機之間的通信。如果要實現(xiàn)在數(shù)據(jù)鏈路層使用不同編址方式的計算機之間的通信，僅使用物理地址是無法完成這一操作的，而需要使

12、用邏輯地址。邏輯地址是一種通用的編址系統(tǒng)，用來唯一的標識每一個節(jié)點（主機），而與這一節(jié)點具體使用什么類型的物理網(wǎng)絡無關。</p><p><b>　　端口地址：</b></p><p>　　有了物理地址和邏輯地址，就可以將數(shù)據(jù)從一臺主機通過互聯(lián)網(wǎng)發(fā)送到另一臺主機。但是數(shù)據(jù)到達目的主機后并未完成整個通信過程，而必須將數(shù)據(jù)上交給對應的應用進程（應用程序）。在實際應用中，用

13、戶并不關心主機之間的通信，而關心的是運行在主機上的應用程序之間的通信，例如從一臺計算機上利用Telnet遠程登錄到另一臺計算機，或在一臺計算機上使用FTP軟件從另一臺計算機上下載文件等。端口地址也稱為端口號，其功能就是建立應用進程與邏輯地址之間的關系。</p><p>　　為了提高通信效率，現(xiàn)代計算機操作系統(tǒng)允許在同一臺計算機上同時打開多個應用進程，每一個應用進程獨立完成自己的通信任務，例如利用瀏覽器瀏覽Web頁

14、面的同時，可能利用FTP客戶端軟件下載文件，還可能利用郵件客戶端軟件收發(fā)電子郵件等。為了實現(xiàn)對同時發(fā)生的多種應用的支持，就需要為不同的進程分別分配不同的標識，不同的標識代表不同的端口地址。在TCP/IP網(wǎng)絡中，端口地址的長度為16bit，地址在0~65535之間。</p><p><b>　　專用地址：</b></p><p>　　和傳統(tǒng)意識上的私有地址不一樣，這里的

15、專用地址是應用層地址，大致有：命名服務和DNS等，OMG命名服務和DNS執(zhí)行簡單的從名稱到對應查找值的映射。</p><p><b>　　命名服務：</b></p><p>　　命名服務（OMG）是最簡單也是最基本標準CORBA服務。它提供從名稱到對象引用的映射：給定一個名稱，該服務返回一個存儲在名稱下的對象引用。</p><p>　　命名服務

16、給客戶程序提供了一下便利：</p><p>　　1、客戶程序可以給對象起有意義的名稱，而不必處理字符串的引用；</p><p>　　2、客戶程序使用同一個名稱卻可以獲得不同的引用；</p><p>　　3、命名服務可以使應用程序的組元訪問一個應用程序的初始引用。</p><p><b>　　DNS：</b></p&

17、gt;<p>　　DNS是解析IP時使用的，如果dns錯誤，直接用域名是訪問不到的網(wǎng)站的。一般情況下用戶會使用網(wǎng)絡提供商提供的DNS（即專用地址），但也可以使用公用的DNS：比如222.85.85.85 222.88.88.88等。</p><p><b>　　差錯控制、流量控制</b></p><p><b>　　差錯控制：</b&g

18、t;</p><p>　　TCP必須保證數(shù)據(jù)：按序，沒有差錯，沒有部分丟失，沒有重復的交給應用層，這就是差錯控制。方法就是：校驗和，確認，超時重傳。</p><p>　　校驗和：和UDP的做法一樣，也要偽首部，和UDP不同的是這個功能在TCP中是必須的</p><p>　　確認：ACK的確認機制</p><p>　　超時重傳：有兩種情況：重傳

19、定時器時間到；發(fā)送端收到重復的三個ACK（快重傳）。</p><p><b>　　流量控制：</b></p><p>　　1、流量控制是管理兩端的流量，以免會產(chǎn)生發(fā)送過塊導致收端溢出，或者因收端處理太快而浪費時間的狀態(tài)。用的是：滑動窗口，以字節(jié)為單位。</p><p>　　2、窗口有3種動作：展開（右邊向右），合攏（左邊向右），收縮（右邊向左

20、）這三種動作受接收端的控制。</p><p>　　發(fā)端窗口的大小取決于收端的窗口大小rwnd（TCP報文的窗口大小字段）和擁塞窗口大小cwnd（見擁塞控制）。發(fā)端窗口大小 = min{ rwnd , cwnd }。 3、關閉窗口：窗口縮回有個例外，就是發(fā)送rwnd=0表示暫時不愿意接收數(shù)據(jù)。這種情況下，發(fā)端不是把窗口收縮，二是停止發(fā)送數(shù)據(jù)。</p><p>　　4、問題：某些時候，

21、由于發(fā)端或收端的數(shù)據(jù)很慢，會引起大量的1字節(jié)數(shù)據(jù)痛惜，浪費很多資源。</p><p>　　各層次網(wǎng)絡通信可能存在的安全問題</p><p>　　網(wǎng)絡的深入發(fā)展，在帶來便捷生活方式的同時，也將企業(yè)和用戶置于更大的風險之中。攻擊者利用各種方式在網(wǎng)絡上設下埋伏，惡意軟件，假冒廣告，病毒，木馬，網(wǎng)絡釣魚等攻擊應用都是他們慣用的伎倆。然后安全威脅不只是存在應用層，每一層都潛藏的巨大的威脅，下面我逐層

22、分析：</p><p>　　物理層：事實上，實踐過程中，很大一部分的網(wǎng)絡故障(根據(jù)Sage Research的一項研究，可達80%)都歸結于物理層連接。物理安全是一切安全性的起點?？煽康臋C房布線是物理安全的重要組成部分之一。</p><p><b>　　數(shù)據(jù)鏈路層：</b></p><p>　　1、ARP欺騙攻擊：由于ARP協(xié)議在設計中存在主動

23、發(fā)送ARP報文的漏洞，使得主機可以發(fā)送虛假的ARP請求報文或響應報文,而報文中的源IP地址和源MAC地址均可以進行偽造。</p><p>　　2、DHCP欺騙攻擊：當一臺運行有DHCP客戶端程序的計算機連接到網(wǎng)絡中時，即使是一個沒有權限使用網(wǎng)絡的非法用戶也能很容易地從DHCP服務器獲得一個IP地址及網(wǎng)關、DNS等信息，成為網(wǎng)絡的合法使用者。</p><p>　　3、生成樹協(xié)議攻擊：根據(jù)ST

24、P的工作原理，同一網(wǎng)絡中的所有交換機之間都可以通過網(wǎng)橋ID的值來選擇根網(wǎng)橋，這樣攻擊者可以在網(wǎng)絡中接入一臺交換機或一臺計算機，然后通過構造網(wǎng)橋ID最低的BPDU報文，使這臺接入的交換機或計算機成為根網(wǎng)橋，進而擾亂正常的網(wǎng)絡運行，最終導致網(wǎng)絡癱瘓。</p><p>　　4、MAC地址泛洪攻擊：攻擊者將大量虛構的具有不同源MAC地址的數(shù)據(jù)幀發(fā)送給交換機，直至交換機的CAM表填滿。之后，交換機將進入fail-open（

25、失效開放）模式，其功能將類似于一臺集線器。此時，交換機接收到的任何一個單播幀都會以廣播方式處理，攻擊者的計算機將會接收到這些單播幀，從而獲得其他用戶的信息。</p><p>　　5、VLAN 攻擊：針對VLAN的攻擊主要集中在VLAN Hopping攻擊和VTP攻擊兩個方面。</p><p>　　網(wǎng)絡層：由于最初開發(fā)實施 TCP/IP 時并沒有考慮到網(wǎng)絡安全問題,因此 TCP/IP 協(xié)議族

26、并沒有任何安全措施,而且更為糟糕的是,早期的 TCP/IP 協(xié)議還存在著諸多安全漏洞。這也就相應地引發(fā)了如今的眾多安全問題。根據(jù) TCP/IP 協(xié)議族的體系結構,網(wǎng)絡層的攻擊有以下幾種：路由欺詐：RIP欺騙和基于ICMP的攻擊。</p><p>　　傳輸層：傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用程序兩端都進行修改。比起Internet層和應用層的安全機制來，這里的修改還是相當小的。另一個缺點是，基

27、于UDP的通信很難在傳輸層建立起安全機制來。同網(wǎng)絡層安全機制相比，傳輸層安全機制的主要優(yōu)點是它提供基于進程對進程的(而不是主機對主機的)安全服務。</p><p>　　會話層：會話層的主要威脅是會話劫持，會話劫持發(fā)生在攻擊者試圖接管兩臺計算機間所建立的TCP會話的時候。</p><p>　　會話劫持的基本步驟包括：尋找會話、猜測序號、迫使用戶掉線、接管會話。</p><

28、p>　　表示層：表示層雖然受到的威脅不大，但是威脅還是存在的。其中有兩種最可能的威脅是：偽證書攻擊和中間人攻擊。</p><p>　　偽證書攻擊指的是攻擊者向客戶端提供一個假證書?？蛻舳藨摃⒁獾竭@種攻擊——他們將收到一個關于證書問題的彈出對話窗口警告。這個證書會跟真實證書非常相似，但它不是由可信任認證機構所頒發(fā)的。</p><p>　　中間人攻擊難度比較大，因為攻擊者必須攔截客戶

29、端和服務器之間的通信。然后，攻擊者再用自己的密鑰取代合法的密鑰。</p><p>　　應用層：各種蠕蟲、間諜軟件、網(wǎng)絡釣魚等應用層威脅，直接攻擊企業(yè)核心服務器和應用，給企業(yè)帶來了重大損失；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產(chǎn)損失；對網(wǎng)絡基礎設施進行DoS/DDoS攻擊，造成基礎設施的癱瘓；更有甚者，像電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務無關流量浪費，形成巨大的