搜索
幻灯片1幻灯片2幻灯片3幻灯片4幻灯片5OSI模型的设计目的是成为一个开放网络互联模型,来克服使用众多网络模型所带来的互联困难和低效性。OSI参考模型很快成为计算机网络通信的基础模型。在设计时遵循了以下原则:各个层之间有清晰的边界,便于理解;每个层实现特定的功能;层次的划分有利于国际标准协议的制定;层次的数目应该足够多,以避免各个层功能重复。OSI参考模型具有以下优点:简化了相关的网络操作;提供即插即用的兼容性和不同厂商之间的标准接口;使各个厂商能够设计出互操作的网络设备,加快数据通信网络发展;防止一个区域网络的变化影响另一个区域的网络,因此,每一个区域的网络都能单独快速升级;把复杂的网络问题分解为小的简单问题,易于学习和操作。幻灯片6OSI七层模型中,每一个对等层数据起一个统一的名字为:协议数据单元(PDU,ProtocolDataUnit)。相应地,应用层数据称为应用层协议数据单元(APDU,ApplicationProtocolDataUnit),表示层数据称为表示层协议数据单元(PPDU,PresentationProtocolDataUnit),会话层数据称为会话层协议数据单元(SPDU,SessionProtocolDataUnit)。通常,我们把传输层数据称为段(Segment),网络层数据称为数据包(Packet),数据链路层为帧(Frame),物理层数据称为比特流(Bit)。封装(Encapsulation)是指网络节点(Node)将要传送的数据用特定的协议头打包,来传送数据,同样在某些层进行数据处理时,也会在数据尾部加上报文,这时候也称为封装。OSI七层模型的每一层都对数据进行封装,以保证数据能够正确无误的到达目的地,被终端主机接受,执行。幻灯片7物理层涉及到在通信信道(channel)上传输的原始比特流,是OSI参考模型的基础,它实现传输数据所需要的机械、电气、功能特性。在物理层提供比特流服务的基础上,建立相邻结点之间的数据链路,链路层主要任务是提供对物理层的控制,检测并纠正可能出现的错误,使之对网络层显现一条无错线路,并且进行流量调控(可选,流量调控可以在数据链路层实现,也可以由传输层实现)。网络层检查网络拓扑,以决定传输报文的最佳路由,转发数据包。其关键问题是确定数据包从源端到目的端如何选择路由。网络层设备通过运行路由协议(RoutingProtocol)来计算到目的地的最佳路由,找到数据包应该转发的下一个网络设备,然后利用网络层协议封装数据包,利用下层提供的服务把数据发送到下一个网络设备。传输层位于OSI参考模型第四层,最终目标是向用户(一般指应用层的进程),提供有效、可靠的服务。在会话层及以上的高层次中,数据传送的单位不再另外命名,统称为报文。会话层不参与具体的传输,它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。表示层主要解决用户信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法,转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩,加密和解密等工作都由表示层负责。例如图像格式的显示,就是由位于表示层的协议来支持。应用层为操作系统或网络应用程序提供访问网络服务的接口。幻灯片8网络层数据流处理过程:当某一网络的主机应用程序需要发送报文到位于另一个网络的目的地时,与该主机在同一网络上的路由器的一个接口会接收到数据帧,路由器的链路层检查该帧,确定被携带的网络层数据类型,去掉链路层帧头,并将网络层数据送往相应的网络层进行处理。网络层检查报文头以决定目的地址所在网段,然后通过查找路由表以获取相应输出接口。输出接口的链路层为该报文加上链路层帧头,封装成数据帧并发送到下一跳。每一个报文的转发都要进行这一过程。在到达目的主机所在网络时,报文被封装成目的网络的链路层数据帧,发送给相应的目的主机。目的主机接收到该报文后,经过链路层、网络层的处理,去掉链路层帧头、网络层报文头后,送给相应的协议模块处理。幻灯片9幻灯片10TCP/IP(TransferControlProtocol/InternetProtocol,传输控制协议/网际协议)模型引起开放性和易用性在实践中得到了广泛应用,TCP/IP协议栈也成为了互连网的主流协议。TCP/IP模型与OSI参考模型的不同点在于TCP/IP把表示层和会话层都归入应用层,所以TCP/IP模型从下至上分为五层:物理层,数据链路层,网络层,传输层和应用层。幻灯片11如果某主机A要将应用程序中的某数据发送至服务器,数据首先传送至应用层。主机的应用层通过在数据上添加协议头来和服务器的应用层通信。所形成的信息单元包含协议头、数据、可能还有协议尾,被发送至传输层,传输层再添加为服务器的传输层所理解的控制信息的协议头。信息单元的大小随着每一层协议头和协议尾的添加而增加,这些协议头和协议尾包含了服务器的对应层要使用的控制信息。在物理层,整个信息单元通过网络介质传输。服务器中的物理层收到信息单元并将其传送至数据链路层;然后服务器中的数据链路层读取计算机A的数据链路层添加的协议头中的控制信息;然后去除协议头和协议尾,剩余部分被传送至网络层。每一层执行相同的动作:从对应层读取协议头和协议尾,并去除,再将剩余信息发送至上一层。应用层执行完这些动作后,数据就被传送至服务器中的应用程序,这些数据和计算机A的应用程序所发送的完全相同。幻灯片12应用层FTP(文件传输协议):为文件传输提供了途径,它允许数据从一台主机传送到另一台主机上。HTTP(超文本传输协议):用来访问在服务器上的各种页面。DNS(域名服务系统):用于实现从主机域名到IP地址之间的转换。TELNET(虚拟终端服务):实现互联网中的工作站登陆到远程服务器的能力。传输层TCP(传输控制协议):为应用程序提供可靠的面向连接的通信服务,适用于要求得到响应的应用程序。目前,许多流行的应用程序都使用TCP。UDP(用户数据报协议):提供了无连接通信,且不对传送数据包进行可靠的保证。适合于一次传输小量数据,可靠性则由应用层来负责。网络层IP(互联网协议):IP协议和路由协议协同工作,寻找能够将数据包传送到目的端的最优路径。IP协议不关心数据报文的内容,提供无连接的、不可靠的服务。ARP(地址解析协议):把已知的IP地址解析为MAC地址。RARP(反向地址解析协议):用于数据链路层地址已知时,解析IP地址。ICMP(网际控制消息协议):定义了网络层控制和传递消息的功能。IGMP(网际组管理协议):一种组播应用协议,用于加入组播域。数据链路层数据链路层分为两个子层:逻辑链路控制子层(LLC,LogicLinkControlSublayer),介质访问控制子层(MAC,MediaAccessControlSublayer)。物理层为了达到数据传输的目的,物理层定义了电压、接口、电缆标准、传输距离等。幻灯片13在数据到达传输层以后,传输层首先会对数据分段以符合网络传输规格,分段之后,传输层会为每个数据段添加端口号信息以区分出不同协议的数据。不同的应用会有不同的端口号,1024以下端口号为“famous”端口号,1024以上可以自行分配使用。当数据段传递到网络层时,网络层会为每个数据段封装IP包头,在IP包头中会包含数据所使用的协议信息(如TCP/UDP:6/17)和源IP地址以及目的IP地址信息。所以,根据系统为数据所添加的三元组信息,我们可以很容易的区分出不同主机上的不同应用程序。我们把这样的三元组称为“套接字”。套接字分为两种,一种是源套接字,源端口+协议号+源IP地址称为源套接字;一种是目的套接字,目的端口+协议号+源IP地址称为目的套接字。幻灯片14TCP的连接建立是一个三次握手过程,目的是为了通信双方确认开始序号,以便后续通信的有序进行。开始连接时,连接建立方(Client)发送SYN包,并包含了自己的初始序号a;连接接受方(Server)收到SYN包以后会回复一个SYN包,其中包含了对上一个a包的回应信息ACK,回应的序号为下一个希望收到包的序号,即a+1,然后还包含了自己的初始序号b;连接建立方(Client)收到回应的SYN包以后,回复一个ACK包做响应,其中包含了下一个希望收到包的序号即b+1。经过此三次信息交换以后,TCP连接建立成功,就可以进行后续通信了。幻灯片15TCP终止连接的四次握手过程如下:首先进行关闭的一方(即发送第一个FIN)将执行主动关闭,而另一方(收到这个FIN)执行被动关闭。当服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1。和SYN一样,一个FIN将占用一个序号。同时TCP服务器还向应用程序(即丢弃服务器)传送一个文件结束符。接着这个服务器程序就关闭它的连接,导致它的TCP端发送一个FIN。客户必须发回一个确认,并将确认序号设置为收到序号加1。幻灯片16IP欺骗为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,此攻击方法可以导致未被授权的用户可以访问目的系统,甚至是以root权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。这就造成IPSpoofing攻击。SYNFlood攻击由于资源的限制,TCP/IP栈的实现只能允许有限个TCP连接。而SYNFlood攻击正是利用这一点,它伪造一个SYN报文,其源地址是一个伪造的、或者不存在的地址,向服务器发起连接,服务器在收到报文后用SYN-ACK应答,而此应答发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,消耗尽其资源,使正常的用户无法访问,直到半连接超时。在一些创建连接不受限制的系统中,SYNFlood攻击将会消耗掉系统的内存等资源,使其不能响应合法的请求。幻灯片17幻灯片18在以太网数据通信中,源主机发数据给目的主机,需要了解目的主机的IP地址和MAC地址进行数据封装。而往往在初始通讯时,源主机并不知道目的主机的MAC地址,故为了完成通信过程,需要一种查询目的主机MAC地址的技术,这就是ARP(地址解析协议,AddressResolutionProtocol)用于将目的主机的IP地址和目的主机的以太网MAC地址映射关联起来。ARP分为动态ARP和静态ARP动态ARP是指ARP动态执行并自动寻找IP地址到MAC地址的映射,无需网络管理员的介入;静态ARP是指IP地址和MAC地址之间有固定的映射关系,网络设备不能动态调整。静态ARP需要网络管理员手动配置映射表项。在进行以太网数据通信时,源主机需要封装目的主机的MAC地址和IP地址,在知道对方的IP地址以后,使用ARP去请求对方的MAC地址。过程如下:源主机发送ARP-request,数据封装中源IP地址字段为源主机IP地址,源MAC地址字段为源主机的MAC地址,目的IP地址字段为目的主机IP地址,目的MAC地址被封装为FF-FF-FF-FF-FF-FF(广播MAC地址)。当交换机收到该信息以后就会广播该报文,在同一网段中的所有主机都能收到该报文。当主机收到该报文以后,查看报文中的目的IP地址和自己的IP地址是否匹配,若匹配,则记录下源主机的MAC地址和IP地址的对应关系,然后将自己的MAC地址封装进ARP-REPLY中单播给源主机,从而完成ARP“请求-应答”过程。而如果主机收到请求报文以后,报文中的目的IP地址和自己的IP地址匹配不上,则将会丢弃该请求信息。幻灯片19二层交换机处理数据包的过程如下:站点A要发一个帧给站点D;交换机从端口1接收到这个帧,首先查看目的MAC地址,再查看交换机里Cache的MAC地址表;如果目的MAC已经记录在MAC表中,则从相应端口转发;如果不存在对应表,交换机把这个数据帧向任何端口转发出去(除接收这个帧的端口1);同时交换机查看这个帧源MAC地址,把端口1和站点A的MAC建立映射关系(这个帧的源MAC地址就是站点A物理地址)。可