网络工程设计与实践(第三版)夏靖波章 (9)

第9章 网络数据报的捕获与分析
网际层的路由和路由管理功能由外部对等协议提供，这些 协议被称为路由协议。路由协议包括内部网关协议(IGP， Interor Gateway Protocol)、外部网关协议(EGP，Enterior Gateway Protocol)。因为它们驻留在网络层中，但却不是IP 协议组件与生俱来的部分，所以标识为对等。实际上，许多路 由协议能够在多路由协议地址结构中发现、计算路由。用于其 他地址结构的路由协议例子包括IPX和AppleTalk。
IP协议组件内还有好几个不同的协议。主要协议之间的关系如 图9.1(b)所示。
TCP和UDP是两种最为著名的运输层协议，二者都使用IP作 为网络层协议。
虽然TCP使用不可靠的IP服务，但可以提供一种可靠的运 输层服务。UDP可为应用程序发送和接收数据报。数据报是指 从发送方传输到接收方的信息单元。与TCP不同的是，UDP不可 靠，它不能保证数据报能安全无误地到达最终目的地。
第9章 网络数据报的捕获与分析
2. 运输层 运输层又称主机到主机层，大致对应于OSI参考模型的会 话层和传输层。为了在网络传输中对应用数据进行分段，该层 必须执行数学检查来保证所接收数据的完整性，以便为多个应 用同时传输数据多路复用数据流(传输和接收)。这意味着主机 到主机层能识别特殊应用，对乱序收到的数据进行重新排序。 当前的主机到主机层包括两个协议实体：传输控制协议 (TCP)和用户数据报协议(UDP)。还有一个协议正在定义中，是 针对不断增长的面向事务的需要，该协议称为事务/传输控制 协议(T/TCP，Transaction/Transmission Control Protocol)。
第9章 网络数据报的捕获与分析 图9.2 数据进入协议栈时的封装过程
第9章 网络数据报的捕获与分析
9.1.3 IEEE 802.3网络 1. 媒体访问方法 媒体访问方法取决于以太网操作是半双工还是全双工模式。 在半双工操作下，两个或多个节点竞争使用物理媒体，一
次仅允许一个节点发送数据。在传输前，每个节点首先监听传 输媒体以便确定媒体闲或忙(载波侦听)。如果媒体忙，节点就 继续监听；如果媒体空闲，则立即发送数据；如果多个节点在 同一时间发送数据，便会产生冲突。
IGMP是Internet组管理协议，用来把一个UDP数据报多播 到多个主机。
ARP(地址解析协议)和RARP(逆地址解析协议)是某些网络 接口(如以太网和令牌环网)使用的特殊协议，用来转换IP层地 址和网络接口层地址。
第9章 网络数据报的捕获与分析
驻留于进程/应用层中的应用(如Telnet、FTP和许多其他 应用)被认为是IP协议组件与生俱来的组成部分，但这些属于 应用范畴而不是协议范畴。
第9章 网络数据报的捕获与分析
IP是网络层上的主要协议，同时被TCP和UDP使用。TCP和 UDP的每组数据都通过端系统和每个中间路由器中的IP层在互 联网中传输。
ICMP是IP协议的附属协议。IP层用它来与其他主机或路由 器交换错误报文和其他重要信息。ICMP主要被IP使用，但应用 程序也有可能使用。
4. 网络访问层 网络访问层又称链路层，该层提供用于物理连接、传输的 所有功能。OSI模型把这一层功能分为两层：物理层和数据链 路层。TCP/IP参考模型把两层合在一起。IP协议假设所有底层 功能由局域网或串口连接提供。
第9章 网络数据报的捕获与分析
9.1.2 TCP/IP组件 虽然上节所述的协议一般标识为“TCP/IP”，但实质上在
从图9.1(b)中可以看出，网络访问层是TCP/IP的基础，而 TCP/IP本身并不十分关心底层，因为处在数据链路层的硬件接 口(即网络设备驱动程序)把协议与实际硬件、物理介质隔离开。
第9章 网络数据报的捕获与分析
应用程序用TCP传送数据时，数据被送入协议栈中，然后 逐个通过每一层直到被当作一串比特流送入网络。其中每一层 对收到的数据都要增加一些首部信息(有时还要增加尾部信息)， 该过程如图9.2所示。TCP传给IP的数据单元称作TCP报文段或 简称为TCP段(TCP Segment)。IP传给网络接口层的数据单元称 作IP数据报(IP Datagram)。通过以太网传输的比特流称作帧 (Frame)。
第9章 网络数据报的捕获与分析
3. 网际层 网际层又称网络层，该层由两个主机之间通信所必须的协 议和过程组成。这意味着数据报文必须是可路由的，网际层 (IP)负责数据报文路由。 网际层也必须支持其他的路由管理功能，必须提供第二层 地址到第三层地址的解析功能及反向解析功能。这些功能由对 应的IP协议提供。
第9章 网络数据报的捕获与分析
图9.1 OSI参考模型和TCP/IP参考模型比较 (a) TCP/IP参考模型与OSI参考模型；(b) TCP/IP协议族
第9章 网络数据报的捕获与分析
1. 进程/应用层 应用层协议提供远程访问和资源共享，常见的应用包括 Telnet、FTP、SMTP、HTTP等，很多其他应用程序也驻留运行 在此层，并且依赖于底层的功能。相似的，在IP网络上要求通 信的任何应用也在模型的这一层中描述。
第9章 网络数据报的捕获与分析
第9章 网络数据报的捕获与分析
9.1 基本原理 9.2 常见的IP数据报 9.3 Wireshark的使用 ห้องสมุดไป่ตู้.4 数据采集与分析
第9章 网络数据报的捕获与分析
9.1 基 本 原 理 9.1.1 TCP/IP体系结构
开放系统互连(OSI)模型将网络划分为七层，在各层上实 现不同的功能，这七层分别为应用层、表示层、会话层、传输 层、网络层、数据链路层及物理层。而TCP/IP体系也同样遵循 这七层标准，只不过在某些OSI功能上进行了压缩。与OSI参考 模型不同，TCP/IP模型更侧重于互联设备间的数据传送，而不 是严格的功能层次划分，它通过解释功能层次分布的重要性来 做到这一点，但仍为设计者具体实现协议留下很大的余地。因 此，OSI参考模型在解释互联网络通信机制上比较适合，而 TCP/IP却是互联网络协议的市场标准。 TCP/IP参考模型比OSI模型更灵活，参照图9.1(a)。