知识互联网协议(IP)数据包的结构是了解因特网的基本部分以及信息如何从一个点移动到另一个点。这些知识的益处延伸到几乎所有网络学科,而不是其中最少是入侵检测。例如,基于规则的入侵检测机制可以将数据包标记为可疑,如果它们的结构模拟了已知的恶意字符串的结构。虽然这发生了,但另一个规则可能会导致响应于没有想到原因的数据包的动作,因为当SYN和RST标志都被设置时。从数据包中有很多方法可以探测和攻击,并且由于网络变大,因此问题变得更糟。启用所有可能的入侵检测系统(IDS)规则的霰弹枪方法肯定会在大多数环境中失败,特别是在忙碌时,高速电路威胁要超过必须解码电线上每个数据包的IDS部署。在IP网络中,在设计解决方案或选择最合适的防御技术时,位级专业知识不能被过高。
本章的主题 - TCP / IP的结构和功能 - 在任何对入侵检测技术的讨论中都是合适的。本章阐明了关键术语和概念的澄清,然后讨论了20世纪80年代初推出的当前参考模型的成因。以下是对TCP / IP的详细检查,最后一节介绍了现代网络。
关键术语和概念
澄清本章使用的某些关键术语是很重要的。读者如果知道正在被多个名称审查的标准,就会在这里看到TCP/IP和OSI模型,它们代表Internet协议上的传输控制协议和打开系统互连, 分别。由于所有流行的术语基本上都是正确的,因为最好在讨论细节之前声明这个共同点。
在阅读技术信息或准备网络分析工作时,它有助于了解某些问题和概念。这些项目有助于TCP / IP和OSI模型的目的:
并非所有的实现都是平等的。遵循开发人员和制造商制定的标准实际上是自愿的。
在几乎所有实际情况下,文档和讨论中都会使用OSI模型命名法,而不管采用何种技术。
尽管TCP/IP和OSI模型系统之间的通信可以正常工作,但它可能会产生不良的影响,至少以更困难的实现形式出现。
互联网的简史
通过创建该协议混合的目标,该协议混合通常被称为“协议栈”是用于不同计算机之间的开放通信的手段。互联网背后的驱动力是美国国防部(国防部),特别是国防高级研究项目局(DARPA)和两个国际组织2020欧洲杯夺冠热门:国际标准化组织(ISO)和国际电信联盟(ITU)。
DARPA于1968年开始建设其网络阿帕网,并于1970年全面投产。当时,使用的协议是ARPANET网络控制程序(NCP)主机对主机协议,最初添加的五个节点属于Bolt、Beranek和Newman (BBN);斯坦福大学;加州大学洛杉矶分校;加州大学圣芭芭拉分校;以及犹他大学。
在接下来的几年中,阿帕网上的节点数量大幅增加,导致了各种问题,这些问题在很大程度上被视为技术限制的症状。1980年7月,国防部长办公室指示在所有国防网络上使用一套国防部标准协议。议定书的正式名称如下:
RFC 791,互联网协议
RFC 793,传输控制协议
这些是最新的RFC数字和描述;当天的权威组织是互联网配置控制板(ICCB),谁将原始版本指定为RFC 760,国防部标准互联网协议和RFC 761,DOD标准传输控制协议。
20世纪70年代中后期,国际电联和国际标准化组织(ISO)分别致力于开发一套开放的网络架构标准。这给DARPA带来了巨大的挑战,相比之下,DARPA是在受控环境下工作的。ISO和国际电联的架构师面临着一项艰巨的任务,那就是说服设备制造商同意每一个标准。
ISO和ITU与与国际团队合作的霍尼韦尔信息系统建立了积极的供应商关系。1984年,国际电联和ISO团队将各自的标准合并为单一文件,并且大部分最终产品来自霍尼韦尔工程师。标准文件在伞形名称开放系统互连下发布,该互连现在被称为OSI参考模型(或仅仅是OSI模型)。合作国际组织指定规范如下:
ITU-T,X系列建议X.200
ISO 7498,开放系统互连,基本参考模型
ARPANET转型至1981年10月至1983年10月之间发生的TCP / IP。在此期间,该协议被他们的开发人员强烈地研究和审查。官方发布于1983年1月1日起,互联网出生。据说由发展期和1983年发布日期获得的墓地是TCP / IP现在是全球互联网通信标准的原因。既然你有一个避免了解互联网历史的知识,是时候探索OSI模型和TCP / IP。
分层协议
Internet主机通过使用调用的特殊软件机制进行通信层数(或者分层协议).OSI模型具有七个图层,TCP / IP有四个。
注意:层的描述可能取决于选择哪个引用文档作为权威模型。尽管大多数Internet Engineering Task Force (IETF)文档引用TCP/IP为如下所示的四层图1-1.,RFC 1983,“Internet用户词汇表”列出了五个层数。商业文件也反映了这种差异,但思科系统,网络技术的当前和长期领导者,教导CNENT / CCNA ICND1官方考试认证指南(odom 2007)TCP / IP有四层。
图1-1.这使得我们很容易理解为什么全世界都愿意将TCP/IP作为Internet标准协议套件,但它在文档和讨论中仍然使用OSI模型术语。两个版本的最终结果是相同的,但是TCP/IP在简单性方面比OSI模型有优势。互联网协会可以将TCP/IP划分为支持开发人员和用户的两个责任区域:较低的三层(链路、Internet和传输)是通信层,主要关注网络需求,而应用层涵盖主机软件。另一方面,OSI模型为技术社区提供了一组用于人类之间通信的明确术语。次要的一点是许多读者解释的事实图1-1.基于“不正确”的名称。例如,链路层也称为访问层和媒体访问层。
TCP / IP和OSI模型比较
如前所述,即使TCP / IP是Internet标准,也可以在几乎所有讨论和文档中使用OSI模型命名。图1-1.如果计数在底部开始并向上移动,则显示TCP / IP在第2层处;但是,因为它与OSI模型网络层的功能相同,所以将其称为第3层协议导致没有问题。
行业技术概率涉及TCP / IP和OSI模型层的上下文中数据单元的特定名称。对于数据链路层,术语是帧,网络层项是分组,并且传输层项是段。在互联网的更广泛的上下文中,数据单位称为数据报(或IP数据报).这是应用于OSI模型层的TCP/IP术语的一种情况,但它在技术上是准确的。OSI模型的架构师设计了一种更优雅的方式来描述数据块。OSI模型文档使用术语协议数据单元(PDU)来表示所有的数据单元,作为层之间的区分,它简单地使用层号作为PDU的前缀。因此,TCP/IP以太网帧是OSI模型第2层PDU。注意这个词数据报有时与PDU互换使用包在RFC和商业文件中。表1-1列出了TCP / IP和OSI模型层和功能。
表1-1 OSI模型层
TCP / IP层 |
osi层 |
名称 |
函数 |
4(通常称为第7层) |
7. |
应用 |
促进向用户和网络支持应用程序的通信服务。例如,简单的邮件传输协议(SMTP)是用户应用程序,简单的网络管理协议(SNMP)是网络支持应用程序。 |
6. |
推介会 |
当数据由不同代码表示时执行代码转换,例如扩展二进制编码的十进制交换码(EBCDIC)和用于信息交换(ASCII)的美国标准代码。 |
|
5. |
会议 |
开始,控制和结束通信会话;管理全双工和半双工交谈流。 |
|
3(俗称第4层) |
4. |
运输 |
面向连接;负责拥塞控制和错误恢复;将长数据流组装成在发送主机的较小段中,并在接收主机(分段)处重新组装;重新订单(重新排序)收到的段。 |
2(通常称为第3层) |
3. |
网络 |
提供逻辑寻址和端到端传输数据包。在这一层,路由协议如OSPF (Open Shortest Path First)或RIP (routing Information Protocol)可以对IP进行路由。 |
1(通常称为第1层的参考文献2) |
2 |
数据链接 |
将数据放入帧中以通过单链路传输。示例是以太网和光纤分布式数据接口(FDDI)。 |
1 |
身体的 |
接口到物理网络基础架构。处理比特级编码并管理电路的电气特性。 |
考虑在纽约州雷德蒙德,华盛顿州雷德蒙德,华盛顿的大型计算机所需的类比:
首先,最明显的要求是两台计算机必须物理连接到网络之间的网络之间具有物理连接。
计算机需要被告知,它们可以交谈和破译通信,它们的方式是真实的或垃圾(错误)。
对话中至少有一台计算机必须知道另一台计算机的地址和启动数据通信所需的资金。
数据流量可能很沉重,因此两台计算机都需要知道如何使用流程,并将其数据在另一端进入一件。
参与者必须有没有人同时交谈。他们必须知道什么时候闭嘴!
知道他们彼此外国外国人,必须提供翻译。
个人计算机和大型机可以交换信息。
无视这个类比是虚构的,谈话变得更容易,因为沿着路线的交通警察没有花费时间满足所有相同的要求。它们所需要的只是物理连接,通信的共同语言,以及他们可以共享的收件人地址列表。
随着人们所需要的两台计算机的休闲类比描述了一个七层通信模型。现实从这种类比出发,主要是因为这些细节:
同一层交互。分层网络模型在不同计算机上的等层之间具有对等相互作用。
相邻层相互作用。分层网络涉及同一计算机上相邻层之间的交互。
同样层交互是每层如何将其预期动作传送到连接的接收端的对等体。相邻层交互涉及将PDU附加到协议头,因为它移动通过层次,这是一个名为的过程封装.顾名思义,报头位于传输数据的前端,是接收主机解释的第一个内容。它包含源地址和目的地址,还可以包含错误检查或其他字段。图1-2和图1-3显示同级和adjacent-layer通讯。
OSI模型同层和邻接层的交互
TCP / IP相同层和相邻层交互
使用TCP / IP主机的示例显示分层协议如何启用通信。假设主机应用程序需要将数据发送到其他几个跳跃的主机。图1-4说明以下步骤:
