《網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全》第04講 internet協(xié)議

1、網(wǎng)絡(luò)協(xié)議 Network Protocols 與 Network Security 網(wǎng)絡(luò)安全,第四講 Internet協(xié)議,第四講 Internet協(xié)議,1,主要內(nèi)容,Internet簡(jiǎn)介IP協(xié)議及其相關(guān)關(guān)鍵技術(shù)TCP/UDP協(xié)議Internet路由協(xié)議主要應(yīng)用層協(xié)議,第四講 Internet協(xié)議,2,Internet簡(jiǎn)史,Internet簡(jiǎn)史196

2、9年，美國(guó)國(guó)防部遠(yuǎn)景研究規(guī)劃局(Advanced Research Projects Agency)為軍事實(shí)驗(yàn)用而建立ARPANET（設(shè)計(jì)目標(biāo)是當(dāng)網(wǎng)絡(luò)中的一部分因戰(zhàn)爭(zhēng)原因遭到破壞時(shí)，其余部分仍能正常運(yùn)行）80年代初期，ARPA和美國(guó)國(guó)防部通信局研制成功用于異構(gòu)網(wǎng)絡(luò)的TCP/IP協(xié)議并投入使用1986年，在美國(guó)國(guó)會(huì)科學(xué)基金會(huì)（National Science Foundation)的支持下，用高速通信線路把分布在全美各地的一些超級(jí)計(jì)算

3、機(jī)連接起來(lái)，以NFSNET接替ARPANET經(jīng)過(guò)十幾年的發(fā)展形成Internet。應(yīng)用范圍由最早的軍事、國(guó)防，擴(kuò)展到美國(guó)國(guó)內(nèi)的學(xué)術(shù)機(jī)構(gòu)，進(jìn)而迅速覆蓋了全球的各個(gè)領(lǐng)域，運(yùn)營(yíng)性質(zhì)也由科研、教育為主逐漸轉(zhuǎn)向商業(yè)化1994年4月20日，NCFC工程連接Internet的64K國(guó)際專線開通，從此中國(guó)被國(guó)際上正式承認(rèn)為真正擁有全功能Internet的國(guó)家,第四講 Internet協(xié)議,3,,Internet的“擴(kuò)張”,計(jì)算機(jī)互連需求推動(dòng)——單

4、一計(jì)算機(jī)系統(tǒng)（計(jì)算機(jī)孤島）計(jì)算機(jī)聯(lián)網(wǎng)（網(wǎng)絡(luò)孤島）網(wǎng)絡(luò)系統(tǒng)互連（國(guó)家/區(qū)域孤島）國(guó)際互連,,,,,,,,,,,,,,,,,,,第四講 Internet協(xié)議,4,Internet是什么？,是“國(guó)際互聯(lián)網(wǎng)”（互聯(lián)網(wǎng)、因特網(wǎng)）是一種計(jì)算機(jī)網(wǎng)絡(luò)是IP網(wǎng)絡(luò)是信息網(wǎng)絡(luò)（新媒體）是一臺(tái)超級(jí)計(jì)算機(jī)是虛擬空間（網(wǎng)絡(luò)家園）是……,區(qū)別：internet,第四講 Internet協(xié)議,5,Internet的特點(diǎn),分布式控制和管理，抗毀性強(qiáng)（容

5、災(zāi)）標(biāo)準(zhǔn)化程度高、技術(shù)開放性強(qiáng)適應(yīng)性強(qiáng)（適用各種通信手段）簡(jiǎn)單、易部署、易維護(hù)擴(kuò)展性好，鼓勵(lì)技術(shù)創(chuàng)新支持產(chǎn)品極其豐富薄弱環(huán)節(jié)：安全性、QoS、IP地址,第四講 Internet協(xié)議,6,Internet協(xié)議簇,第四講 Internet協(xié)議,7,Internet標(biāo)準(zhǔn)（部分）,,,,第四講 Internet協(xié)議,8,IP協(xié)議,IP－Internet Protocol網(wǎng)絡(luò)層（第三層）數(shù)據(jù)報(bào)協(xié)議（非連接）報(bào)頭固定24字節(jié)常用

6、字段：報(bào)文存活時(shí)間（Hop數(shù)）IP地址長(zhǎng)度和分段偏移,第四講 Internet協(xié)議,9,IP地址,4個(gè)字節(jié)，0.0.0.0 ~ 255.255.255.255總計(jì) 2564 = 4,294,967,296 個(gè)IP地址IP地址分段：（通過(guò)子網(wǎng)掩碼Mask）子網(wǎng)（Subnet）＋主機(jī)（Host）IP地址使用：?jiǎn)尾ィ║nicast）、廣播（Broadcast）、組播（Multicast）IP地址分配：合法地址、保留（私有

7、）地址,第四講 Internet協(xié)議,10,IP地址分類,共5類（3類常用）,第四講 Internet協(xié)議,11,DN,DN－Domain Name 域名 [主機(jī)名稱] . [次級(jí)域名] . 域名 . 頂級(jí)域名例：mail.fudan.edu.cnwww.microsoft.comblog.smmail.cnonline.sh.cn,傳統(tǒng)頂級(jí)域名：com，net，gov，org，edu，mil國(guó)家頂級(jí)域名：cn

8、，uk，jp……（下屬地區(qū)域名）新頂級(jí)域名：biz，info，name，tv，cc……,思考：中文域名是什么？它與cn域名有何區(qū)別？ 網(wǎng)絡(luò)實(shí)名是什么？它與域名有何關(guān)系？,第四講 Internet協(xié)議,12,DNS,DNS－Domain Name Service 域名（解析）服務(wù)、服務(wù)器、系統(tǒng)mail.fudan.edu.cn←→202.120.224.10www.google.com←→64.2

9、33.189.104online.sh.cn←→61.129.163.67多級(jí)域名解析體系二級(jí)域名解析動(dòng)態(tài)域名解析,思考：DNS有何意義？有何風(fēng)險(xiǎn)？,第四講 Internet協(xié)議,13,URL,URL－Universal Resource Location 統(tǒng)一資源定位應(yīng)用協(xié)議名稱 :// 域名串或IP地址 [:端口號(hào)] [/目錄/文件名]超文本 http文件 ftp新聞 news……,http://

10、www.fudan.edu.cnhttp://www.microsoft.com/index.htmftp://202.120.224.98http://www.abcdefg.com:9000/out/file/ask.asphttp://system123.net/vfile/request.html,第四講 Internet協(xié)議,14,TCP協(xié)議,TCP－Transport Control Protocol傳輸控制協(xié)議

11、第四層（運(yùn)輸層）面向連接可靠傳輸端到端通信,第四講 Internet協(xié)議,15,邏輯電路/虛電路,,Logical Circuit 邏輯電路Virtual Circuit 虛電路－PVC Permanent VC 永久虛電路－TVC Two-way VC 雙向虛電路－IVC Incoming VC 單向入虛電路－OVC Outgoing VC 單向出虛電路,●提高傳輸效率●控制流量，防止線路擁塞或接收方溢出

12、●差錯(cuò)（誤碼、丟失等）檢測(cè)與恢復(fù)●多條物理線路上的分流與合流，負(fù)載均衡（容災(zāi)）●多條物理線路進(jìn)行“捆綁”，形成多路復(fù)用●帶寬控制、優(yōu)先級(jí)控制、時(shí)延控制、抖動(dòng)控制●安全傳輸機(jī)制,第四講 Internet協(xié)議,16,TCP“三次握手”協(xié)議,發(fā)起方,接受方,第一次握手,第二次握手,第三次握手,SYN（syn＝j(luò)）,,IDLE,SYN_SENT,SYN_ACK（syn＝k，ack＝j(luò)+1）,,SYN_RECV,ACK（ack＝k

13、+1）,ESTABLISHED,,IDLE,ESTABLISHED,,,,,,,第四講 Internet協(xié)議,17,UDP協(xié)議,UDP－User Datagram Protocol 用戶數(shù)據(jù)報(bào)協(xié)議第四層面向非連接（不可靠傳輸）,第四講 Internet協(xié)議,18,Port/Socket,TCP/UDP協(xié)議的Port（端口）套接字Socket＝Port＋I(xiàn)P地址Port組：公認(rèn)端口Well-known Ports

14、0～1023注冊(cè)端口Registered Ports 1024～49151動(dòng)態(tài) 和/或 私有端口 Dynamic and/or Private Ports 49152～65535,第四講 Internet協(xié)議,19,其它主要協(xié)議,ICMP－Internet Control Message Protocol控制消息協(xié)議DHCP－Dynamic Host Configuration Protocol動(dòng)態(tài)

15、主機(jī)配置協(xié)議ARP－Address Resolution Protocol地址解析協(xié)議SNMP－Simple Network Management Protocol簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議,第四講 Internet協(xié)議,20,Ping,ICMP應(yīng)用－ECHO（回顯）,第四講 Internet協(xié)議,21,Trace-route,ICMP應(yīng)用－跟蹤路由,第四講 Internet協(xié)議,22,路由Route,最小跳數(shù)最短距離最大帶寬,思

16、考：如何防止循環(huán)路由？,第四講 Internet協(xié)議,23,自治域,AS－Autonomous System自治域，自治系統(tǒng)Internet中相對(duì)獨(dú)立的管理區(qū)域域內(nèi)采用統(tǒng)一的路由管理域間交換路由信息可防止路由信息泛濫成災(zāi),第四講 Internet協(xié)議,24,常見路由協(xié)議,RIP－ Routing Information Protocol，路由信息協(xié)議基于距離矢量算法的內(nèi)部網(wǎng)關(guān)路由協(xié)議，通過(guò)計(jì)算抵達(dá)目的地的最少Hop來(lái)選取最

17、佳路徑。最多到15跳，否則認(rèn)為不可達(dá)?？赡軐?dǎo)致所選的路徑不是最優(yōu)。RIP只適用中小型網(wǎng)絡(luò)。幾乎所有IP路由器均支持RIP協(xié)議。IGRP－ Interior Gateway Routing Protocol，內(nèi)部網(wǎng)關(guān)路由協(xié)議由CISCO公司開發(fā)的距離矢量路由協(xié)議。同RIP相比，IGRP將網(wǎng)絡(luò)的帶寬、時(shí)延、可靠性和負(fù)載等因素綜合起來(lái)，提供一種綜合的選路度量?？梢愿鎸?shí)地反映網(wǎng)絡(luò)的路徑特性，避免了RIP中出現(xiàn)的問(wèn)題。最大跳數(shù)是255，可以

18、應(yīng)用于大規(guī)模網(wǎng)絡(luò)。OSPF－ Open Shortest Path First，開放式最短路徑優(yōu)先協(xié)議鏈路狀態(tài)路由協(xié)議。每一個(gè)路由器都維護(hù)一個(gè)相同的網(wǎng)絡(luò)拓?fù)鋽?shù)據(jù)庫(kù)，以此構(gòu)造一個(gè)最短路徑樹來(lái)計(jì)算路由表。收斂速度比RIP快，更新路由信息時(shí)產(chǎn)生的流量較少。為了管理大規(guī)模的網(wǎng)絡(luò)，OSRP采用分層的連接結(jié)構(gòu)。將自治系統(tǒng)（AS）分為不同的區(qū)域，以減少路由重計(jì)算的時(shí)間。BGP－ Border Gateway Protocol，邊界網(wǎng)關(guān)路由協(xié)議

19、自治系統(tǒng)間的路由協(xié)議。主要功能是同其他的BGP系統(tǒng)交換網(wǎng)絡(luò)可達(dá)信息。屬于外部網(wǎng)關(guān)路由協(xié)議，可以實(shí)現(xiàn)自治系統(tǒng)間的路由信息的無(wú)環(huán)路交換。,第四講 Internet協(xié)議,25,路由器與Internet組網(wǎng),Router發(fā)現(xiàn)和維護(hù)路由（運(yùn)行路由協(xié)議）選擇路由、轉(zhuǎn)發(fā)IP報(bào)文,,,,,,,,,,,,,,,,,,,,,,,IP:192.168.10.1,IP:202.120.224.5,IP:192.168.10.110,IP:192.168.1

20、0.112,IP:192.168.10.113,,IP:200.15.123.78,,Dst:200.15.123.78Src:192.168.10.123······,Dst:200.15.123.78Src:202.120.224.5······,,,Dst:200.15.123.78Src:202.12