网络安全概述_02TCPIP深入理解重点.ppt

IP地址和MAC地址相同点是它们都唯一，不同的特点主要有： 1. 对于网络上的某一设备，如一台计算机或一台路由器，其IP地址可变（但必须唯一），而MAC地址不可变。我们可以根据需要给一台主机指定任意的IP地址，如我们可以给局域网上的某台计算机分配IP地址为12 ，也可以将它改成00。而任一网络设备（如网卡，路由器）一旦生产出来以后，其MAC地址永远唯一且不能由用户改变。　　2. 长度不同。IP地址为32位，MAC地址为48位。　　3. 分配依据不同。IP地址的分配是基于网络拓朴，MAC地址的分配是基于制造商。　　4. 寻址协议层不同。IP地址应用于OSI第三层，即网络层，而MAC地址应用在OSI第二层，即数据链路层。 数据链路层协议可以使数据从一个节点传递到相同链路的另一个节点上（通过MAC地址），而网络层协议使数据可以从一个网络传递到另一个网络上（ARP根据目的IP地址，找到中间节点的MAC地址，通过中间节点传送，从而最终到达目的网络）。 以太网（Ethernet） 以太网采用带冲突检测的载波监听多路访问协议（CSMA/CD，用于半双工模式，广泛应用于LAN中的MAC子层），传输介质为同轴电缆 以太网是一种总线型网络。所有站点都连接到总线上，可以使用中心集线器（HUB） 交换式以太网 PPP协议（Point－to－Point Protocol） SLIP（串行线路IP协议）：不支持在连接过程中的动态IP地址分配；无协议类型字段；无校验字段，故无法检测传输差错。 PPP协议：组帧方式+链路控制协议LCP+一组网络控制协议NCPs PPP在链路上具有差错检验的功能。 SLIP曾一度是拨号上网的主要工具，但由于其不足之处，所以很快被PPP协议所代替。 ICMP协议分类 （1）ICMP差错报文 ①目的不可达报文（见下表说明） ②超时报文 ③参数出错报文 （2）ICMP控制报文 ①报源抑制报文 ②重定向报文 （3）ICMP请求/应答报文 ①回送请求与响应报文 ②时间戳请求与响应报文 ③掩码请求响应报文 目的不可达报文说明字段表 常用的顶级域名有行业与地区两种，以下为常见的域名： 地区：.cn中国；.hk香港；.uk英国；.tw台湾；.au澳大利亚；.jp日本；.ru俄罗斯；.fr法国 行业：.com公司；.gov政府；.net网络；.edu教育；.mil军事；.org非赢利组织 目的网络未知 6 请求的服务类型主机不可达 12 源路由失败 5 请求的服务类型网络不可达 11 对允许分段报文分段 4 与目的主机的通信被禁止 10 端口不可达 3 与目的网络的通信被禁止 9 协议不可达 2 源主机被隔离 8 主机不可达 1 目的主机未知 7 网络不可达 0 意义 ICMP报 文说明 意义 ICMP报 文说明 ICMP的几个应用 用ICMP测试可达性：ping PING发送ICMP回应请求给目的地，等待一个很短的时间 如果收到回应应答，则可达；若重发N次，仍没收到应答，则报告不可达。 用ICMP跟踪路由：traceroute 利用：数据包的TTL每经过一个路由器，就减1，路由器将放弃该数据包，并发送ICMP差错报告（11-分组超时：0-TTL超时）给源端。 方法：跟踪工具先发TTL=1的包给目的，得到第一个路由器的ICMP报告，记录其IP；然后发TTL=2，记录第二个路由器，然后3，4…… 由于可能的包丢失，必须准备重发没响应的包。 A B 数据网 发数据给Z 到Z的数据 不知道如何 到达Z？ 用ICMP通知A 目的端无法到达 用ICMP发现路径MTU 定义：从源到目的的一条路径上最小的MTU叫做路径MTU 方法：探测程序发送一定长度的IP数据包，将FLAG中“数据包不能被分段”置位，遇到MTU小于该数据包长度的路由器，则路由器放弃该包，并向源端发送ICMP差错报告（3-目的地址不可达：4-需分片但DF置位）；源端减少包长度，继续探测至成功发送。 需要解决探测包丢失重发问题。 3.3 路由协议 Internet 路由选择的树状结构: 自治系统 自治系统 局域网 局域网 局域网 局域网 核心系统 核心系统 G G G G G G 核心网关 非核心网关 部分AS间交换路由信息（信任关系） 自治系统（AS—Autonomous System)：包括多个网络和非核心网关，并通过唯一的核心网关与主干网相连。通过它进入主干网（核心系统）。AS的建立是为了便于扩展并减