了解互联网协议(IP)包的结构是理解互联网和信息如何从一个点移动到另一个点的基本部分。这些知识的好处几乎可以扩展到所有的网络学科,其中最重要的就是入侵检测。例如,如果数据包的结构模仿已知的恶意字符串,基于规则的入侵检测机制可以将其标记为可疑包。虽然这是发生,另一个规则可能会导致一个行动来响应数据包没有理由存在,当设置了SYN和RST标志。有很多方法可以探测和攻击包,问题只会变得更糟作为网络变大。在大多数环境中,启用所有可能的入侵检测系统(IDS)规则的散弹枪方法肯定会失败,特别是在繁忙的高速电路威胁到必须解码线路上每个包的IDS部署时。在IP网络中,当你在设计解决方案或选择最合适的防御技术时,比特级的专业知识是不能被高估的。
本章的主题——TCP/ ip的结构和功能——在任何入侵检测技术的讨论中都是唯一合适的。本章首先澄清了关键术语和概念,然后讨论了在20世纪80年代早期引入的当前参考模型的起源。接下来是对TCP/IP的详细研究,最后一节描述现代网络。
关键术语和概念
重要的是要澄清一些关键术语本章使用是很重要的。谁知道正在审查多个名称的标准,读者会看到他们在这里为TCP / IP和OSI模型,它代表基于互联网协议的传输控制协议和开放系统互连,分别。因为所有流行的术语本质上都是正确的,所以最好在讨论细节之前声明这个共同点。
当读取技术信息,或与网络分析工作做准备,它有助于心里有一定的问题和概念。这些项目将充当关于TCP / IP和OSI模型的目的:
所有的实现都是不一样的。符合开发商和制造商生产的标准实际上是自愿的。
在几乎所有现实世界的情况下,OSI模型的命名在文件和讨论中,无论是技术的。
虽然它可以工作制成,TCP / IP和OSI模型系统之间的通信可以具有不期望的影响,至少在更难以实现的形式。
互联网简史
这是通过建立该协议结构,它通常被称为的实现目标“协议栈”,是完全不同的计算机之间的开放式通信的装置。互联网背后的驱动力是国防部美国国防部(DoD),特别是美国国防部高级研究计划局(DARPA),2020欧洲杯夺冠热门和两个国际组织:国际标准化组织(ISO)和国际电信联盟(ITU)。
DARPA开始了它的网络,ARPANET,在1968年,它进入全面生产在1970年当时的工作,使用的协议是ARPANET网络控制程序(NCP)主机到主机协议,第一五个节点添加属于螺栓,Beranek,和Newman(BBN);斯坦福大学;加州大学洛杉矶分校;加州大学圣塔芭芭拉分校;和犹他州大学。
阿帕网节点的数量大幅增长,在未来几年内,这导致这在很大程度上被视为技术上的限制症状的各种问题。1980年7月,国防部长办公室指示,一组美国国防部标准协议在所有防御网络中使用。该协议有以下官方安排:
rfc791,互联网协议
RFC 793,传输控制协议
这是最新的RFC编号和描述;当天的权威机构是互联网配置控制委员会(ICCB),谁原来指定的发布为RFC 760,美国国防部标准互联网协议和RFC 761,美国国防部标准的传输控制协议。
中期到70年代末,ITU和ISO分别独立工作,开发一个开放的一套网络架构标准。这是提出了DARPA没有遇到,其中,通过比较,在受控环境中操作显著的挑战。ISO和ITU建筑师面临说服设备制造商与每一位标准达成一致的艰巨任务。
ISO和ITU与霍尼韦尔信息系统公司建立了积极的供应商关系,该公司与国际团队合作。1984年,国际电联和国际标准化组织的团队将各自的标准工作合并成一份单独的文件,大部分最终产品来自霍尼韦尔的工程师。标准文件以开放系统互连的名义发布,现在称为OSI参考模型(或简称OSI模型)。合作国际组织指定的规范如下:
ITU-T, x系列推荐X.200
ISO 7498,开放系统互连,基本参考模型
1981年10月和1983年十月之间的ARPANET过渡到TCP / IP发生在这段时间里,协议遭到了强烈的研究和开发人员予以审查。官方发布出来的1983年1月1日,互联网诞生了。这是由开发周期和1983年发行日期所取得的领先地位被认为是TCP / IP,现在是互联网通信的全球标准的原因。现在,你有互联网的历史的删节了解它的时间去探索OSI模型和TCP / IP。
分层协议
Internet主机通过一种称为的特殊软件机制进行通信层(或分层协议)。OSI模型有7层,TCP/IP有4层。
注意 -层的描绘可能取决于该参考文件被选择作为权威模式。虽然大多数互联网工程任务组(IETF)的文件中引用的TCP / IP作为其所示的四层图1-1,RFC 1983,“互联网用户的词汇,”在五层的名单数目。商业单据也反映了这种差异,但是思科系统网络技术当前和长期的领导者,在教导CCENT/CCNA ICND1官方考试认证指南(奥多姆2007)是TCP / IP有四层。
图1-1很容易理解为什么这个世界是舒适与TCP / IP作为互联网标准协议套件,但它仍然使用的文档,并讨论OSI模型条款。最终的结果是与两个版本相同,但是TCP / IP在简单性方面比OSI模型的边缘。互联网协会可以将TCP / IP到责任,支持开发者和用户两个方面:较低的三层(链接,互联网和运输)是通信层,其重点放在网络的要求,而应用层覆盖主机软件。在另一方面,在OSI模型给出的技术社区一套明确的人与人之间的交流等方面的。一个小点是很多读者解释这个事实图1-1基于“不正确”的名字是。例如,链路层也被称为接入层和媒体访问层。
TCP/IP和OSI模型比较
正如前面提到的,OSI模型命名法几乎在所有的讨论和文档中使用,即使TCP/IP是因特网标准。图1-1如果计数从底部开始向上移动,则表明TCP/IP在第2层;然而,由于它在功能上与OSI模型网络层相同,将其称为第3层协议不会导致任何问题。
行业技术术语涉及到在TCP/IP和OSI模型层上下文中数据单元的特定名称。对于数据链路层,术语是帧,网络层术语是包,传输层术语是段。在Internet更广泛的上下文中,数据单元称为数据报(或IP)数据报)。这是施加到OSI模型层TCP / IP术语的情况下,但它在技术上是准确的。OSI模型的建筑师设计了一种更优雅的方式来描述数据块。OSI模型文档使用的术语协议数据单元(PDU)进行数据的所有单元,并且作为层之间的微分器,它只是使用层号作为前缀到PDU。这样,TCP / IP以太网帧是OSI模型第2层PDU。需要注意的是这个词数据报有时与PDU或互换使用包在RFC和商业文件。表1-1列出了TCP / IP和OSI模型的层和功能。
Table 1-1 OSI Model Layers
TCP / IP层 |
OSI层 |
名称 |
功能 |
4(通常称为第7层) |
7 |
应用程序 |
便利通信服务用户和网络支持的应用程序。例如,简单邮件传输协议(SMTP)是一个用户应用程序,和简单网络管理协议(SNMP)是一个网络支持的应用程序。 |
6 |
介绍 |
执行时的数据由不同的代码,如扩展二进制编码的十进制交换码(EBCDIC)和美国标准信息交换码(ASCII)表示代码转换。 |
|
5 |
会议 |
开始时,控制,并结束通信会话;管理全双工和半双工通话流。 |
|
3(通常被称为第4层) |
4 |
运输 |
面向连接;负责拥塞控制和错误恢复;在在接收主机(分割)发送主机和重组组装长的数据流成更小的片段;被无序接收重排序片段(重新排序)。 |
2(通常被称为第3层) |
3. |
网络 |
提供逻辑寻址和端至端递送分组。IP是由路由协议,诸如开放式最短路径优先(OSPF)或路由信息协议(RIP)在该层路由。 |
1(通常称为第2层,参考第1层) |
2 |
数据链接 |
将数据放入帧中,以便通过单个链接进行传输。例如以太网和光纤分布式数据接口(FDDI)。 |
1 |
物理 |
接口物理网络基础设施。把手位级编码和管理电路的电特性。 |
让我们来打个比方,华盛顿州雷德蒙德市的一台个人电脑需要与纽约州阿蒙克市的一台大型计算机进行对话:
第一,也是最明显的,要求是两台计算机必须被物理地连接到网络,反过来,具有位置之间的物理连接。
该计算机需要被告知,他们可以谈论和破译来自其为真实或垃圾(错误)的方式进行通信。
在对话中的计算机至少有一个必须知道对方的电脑,并发起的数据通信进行必要的资金的地址。
数据流量可能很大,因此两台计算机都需要知道如何处理数据流,并让它们的数据在另一端完整地到达。
参与者必须有不同时说话的意识。他们必须知道什么时候该闭嘴!
知道他们是外国彼此,口译员必须是可用的。
个人电脑和大型机可以交换信息。
忽视这个比喻是虚构的,因为沿途交警并没有花时间满足所有要求相同的谈话变得更容易。所有他们需要的是物理连接,沟通的共同语言,和收件人的地址的列表,他们可以分享。
将需要像人一样说话的两台计算机随意类比,描述了一个七层的通信模型。现实与这样的类比不同,主要是因为这些细节:
同层的相互作用。层状联网模型具有不同的计算机上等于层之间的对等网络的相互作用。
Adjacent-layer交互。分层网络包括在同一计算机上相邻层之间的相互作用。
相同的层相互作用是如何每层连通其意图动作到其上的连接的接收端对等体。相邻层相互作用涉及的PDU附连到协议报头移动通过所述层,这是一个所谓的过程封装。正如其名称所暗示的,报头是在所发送的数据的前部,是第一件事,接收主机解释。它包含源地址和目的地址,并且它可以包括错误检查或其他领域。图1-2和图1-3显示同层和相邻层通信。
OSI模型相同的层和相邻层的相互作用
TCP/IP同层和邻接层交互
使用TCP / IP主机显示分层协议如何实现通信的例子。假设一个主机应用程序需要将数据发送到另一台主机是几跳。图1-4示出了以下步骤:
