無線網(wǎng)絡優(yōu)化方向及發(fā)展史計算機網(wǎng)絡畢業(yè)論文

《無線網(wǎng)絡優(yōu)化方向及發(fā)展史計算機網(wǎng)絡畢業(yè)論文》由會員分享，可在線閱讀，更多相關《無線網(wǎng)絡優(yōu)化方向及發(fā)展史計算機網(wǎng)絡畢業(yè)論文（19頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 畢業(yè)設計（論文） 學 生 題 目 無線網(wǎng)絡優(yōu)化方向及發(fā)展史 聯(lián)系電話 指導老師 評 閱 人 教學站點 專 業(yè) 計算機網(wǎng)絡工程 完成日期

2、2012-5-03 無線網(wǎng)絡優(yōu)化方向及發(fā)展史 摘要：近年來，移動通信網(wǎng)絡發(fā)展迅猛，競爭日趨激烈，三大運營商都在努力打造自己的移動通信產(chǎn)品，也就提高網(wǎng)絡質(zhì)量和擴大服務品牌的影響號召力。移動通信系統(tǒng)的網(wǎng)絡優(yōu)化是一項復雜的系統(tǒng)工程，它涉及到頻率資源、無線網(wǎng)絡、交換網(wǎng)絡、用戶分布、神識手機用戶的使用習慣等問題，涉及到網(wǎng)絡數(shù)據(jù)的復雜測試及評估。對于移動運營商企業(yè)來說，網(wǎng)絡質(zhì)量就是企業(yè)的生命，只有加強網(wǎng)絡優(yōu)化和維護工作，才能不斷地提高網(wǎng)絡運行質(zhì)量。對于優(yōu)化人員來說，通過技術交流和探索，應該逐漸掌握GSM網(wǎng)絡的各種參數(shù)及數(shù)據(jù)采集方法，通過有關測量統(tǒng)計數(shù)據(jù)

3、的分析，提出全面的、深層次的網(wǎng)絡優(yōu)化方案，調(diào)整相應的局數(shù)據(jù)或小區(qū)參數(shù)，從而使無線，交換網(wǎng)絡及網(wǎng)絡中各借口的性能效率得到提高和改善。 關鍵字：網(wǎng)絡優(yōu)化　頻率　參數(shù) 數(shù)據(jù) 協(xié)議 目 錄 緒 論 1 1 TCP/IP概述 1 1.1 TCP/IP的歷史 1 1.2 TCP與IP簡介 1 1.3 網(wǎng)絡協(xié)議與分層 1 1.4 OSI 參考模型 1 1.4 .1 OSI 各層簡介 1 1.4.2 TCP/IP 協(xié)議的體系 1 1

4、.4 .3 TCP/IP 分層模型 1 1.4 .4 TCP/IP 分層工作原理 1 1.4 .5 TCP/IP 模型的分界線 1 2 TCP/IP各層的安全性和提高各層安全性的方法 2 2.1網(wǎng)絡層的安全性 2 2.2傳輸層的安全性 2 2.3應用層的安全性2 3 存在的安全隱患與解決方法 9 總結(jié) 25 參考文獻 26 致謝 27 緒論 TCP/IP(Transmission Control Protocol/Intemet Protocol)是20世紀70年代中期美國國防部(DOD)為其研究性網(wǎng)絡ARPNET開發(fā)的網(wǎng)絡體系結(jié)

5、構，ARPANET最初是通過租用的電話線將美國的幾百所大學和研究所連接起來。隨著衛(wèi)星通信技術和無線技術的發(fā)展，這些技術也被應用到ARPNET網(wǎng)絡中，已有的協(xié)議已不能解決這些通信網(wǎng)絡的互聯(lián)問題，于是就提出了新的體系結(jié)構，用于將不同的通信網(wǎng)絡無縫連接。這種體系結(jié)構后來被稱為TCP/IP參考模型。 TCP/IP協(xié)議時Internet進行網(wǎng)際互聯(lián)通信的基礎，目前Internet能如此迅速在全球延伸，主要是由于TCP/IP協(xié)議族的開放性，它打破了異構網(wǎng)絡之間的壁壘，把不同國家的各種網(wǎng)絡連接起來，使Internet成為了沒有明確物理界限的網(wǎng)際。從而人們充分的享受全球共享，也因為TCP/IP的開放性，給I

6、nternet帶來安全隱患也是正常的。當Internet遍布世界以后，網(wǎng)絡的環(huán)境發(fā)生了根本的變化，信任的問題變得突出起來，因此Internet出現(xiàn)了很多問題，由于自身的缺陷、網(wǎng)絡的開放性以及黑客的攻擊時造成互聯(lián)網(wǎng)不安全的主要原因。TCP/IP作為Internet使用的標準協(xié)議集，是黑客實施網(wǎng)絡攻擊的重點目標。這種基于地址的協(xié)議本身就回泄露口令，運行一些無關的程序，這些都是網(wǎng)絡的本身的缺陷。互聯(lián)網(wǎng)技術屏蔽了底層網(wǎng)絡硬件細節(jié)，使得異種網(wǎng)絡之間可以互相通信。這就給人們攻擊網(wǎng)絡以可乘之機。由于大量重要的應用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問題會給網(wǎng)絡帶來嚴重的后果。網(wǎng)絡的開放性，

7、TCP/IP協(xié)議完全公開，遠程訪問使許多攻擊者無須到現(xiàn)場就能夠得手，連接的主機基于互相信任的原則等等性質(zhì)使網(wǎng)絡更加不安全。 第一章 TCP/IP概述 TCP/IP的歷史 TCP/IP起源于20世紀60年代末美國政府資助的一個網(wǎng)絡分組交換研究項目，被用于當今所構筑的最大的開放式網(wǎng)絡系統(tǒng)Internet之上。 1.2 TCP與IP簡介 TCP和IP是兩個獨立且緊密結(jié)合的協(xié)議，負責管理和引導數(shù)據(jù)報文在Internet上的傳輸，二者使用專門的報文頭定義每個報文的內(nèi)容。 TCP負責和遠程主機的連接； IP負責尋址，使報文被送到其該去的地方。

8、 1.3 網(wǎng)絡協(xié)議與分層 計算機網(wǎng)絡是為了實現(xiàn)計算機之間的通信，任何雙方要成功地進行通信，必須遵守一定的信息交換規(guī)則和約定，這些信息交換規(guī)則和約定就稱為通信協(xié)議（ protocol ）。計算機上的網(wǎng)絡接口卡、通信軟件、通信設備都是遵循一定的協(xié)議設計的，必須符合一定的協(xié)議規(guī)范。 為了減少協(xié)議設計的復雜性，大多數(shù)網(wǎng)絡都按層或級的方式來組織，每一層都建立在它的下層之上。不同的網(wǎng)絡在分層數(shù)量和各層的名字、內(nèi)容與功能上都不盡相同，然而，在所有的網(wǎng)絡中，每一層的目的都是向它的上一層提供一定的服務，而把這種服務是如何實現(xiàn)的細節(jié)對上層加以屏蔽。 層按功能來劃分，每一層都有特定的功能，它

9、一方面利用下一層所提供的功能，另一方面又為其上一層提供服務。通信雙方在相同層之間進行通話，通話規(guī)則和協(xié)定的整體就是該層的協(xié)議。每一層都有一個或多個協(xié)議，幾個層合成一個協(xié)議棧（ protocol stack ）。協(xié)議的分層模型便于協(xié)議軟件按模塊方式進行設計和實現(xiàn)，這樣每層協(xié)議的設計、修改、實現(xiàn)和測試都可以獨立進行，從而減少復雜性。 不同機器內(nèi)包含相同協(xié)議層的實體叫做對等進程，對等進程是利用協(xié)議進行通信的主體。相鄰層之間通過接口來定義相互關系，接口定義下層向上層提供的原語操作和服務。層和協(xié)議的集合叫做網(wǎng)絡體系結(jié)構。 1.4 OSI 參考模型 OSI 模型有七層，其分層原則如下：

10、 根據(jù)不同層次的抽象分層； 每一層應當實現(xiàn)一個定義明確的功能； 每一層功能的選擇應當有助于制定網(wǎng)絡協(xié)議的國際標準； 各層邊界的選擇應盡量減少跨過接口的通信量； 層數(shù)應足夠多，以避免不同的功能混雜在同一層中；但也不能太多，否則體系結(jié)構會過于龐大。 根據(jù)這些原則， ISO 在 1983 年推出的 OSI 參考模型如圖 1-1 所示。 值得注意的是， OSI 參考模型本身并不是一個完整的網(wǎng)絡體系結(jié)構，因為它并未確切地描述用于各層的協(xié)議和服務，它僅僅告訴我們每層應該做什么。不過， ISO 已經(jīng)為各層制定了標準，但它們并不是參考模型的一部分，而是作為獨立的國際標準公布的。

11、 1.4.1 OSI 各層簡介 OSI 七層模型是指從物理層到應用層這七層，它不涉及通信的物理介質(zhì)。隨著網(wǎng)絡技術的發(fā)展，特別是局域網(wǎng)的發(fā)展，后來對 OSI 七層模型進行了改進。修訂之一就是非正式地增加了一些子層和新層，如增加了第 0 層，使之覆蓋了象電纜連接器和光纖這樣的硬件細節(jié)。本節(jié)我們只對 OSI 模型的七層的功能作簡單描述。 1. 物理層 物理層（ physical layer ）是 OSI 模型的最低層，它建立在物理通信介質(zhì)的基礎上，作為系統(tǒng)和通信介質(zhì)的接口，用來實現(xiàn)數(shù)據(jù)鏈路實體間透明的比特流傳輸。在設計上必須保證一方發(fā)送出二進制“ 1 ”時，另一方收到的也是“

12、1 ”而不是“ 0 ”。 物理層是 OSI 中唯一設計通信介質(zhì)的一層，它提供與通信介質(zhì)的連接，描述這種連接的機械、電氣、功能和規(guī)程特性，以建 立、維護和釋放數(shù)據(jù)鏈路實體之間的物理連接。物理層向上層提供位信息的正確傳送。 物理層協(xié)議定義了硬件接口的一系列標準，典型地如用多少伏特電壓表示“ 1 ”，多少伏特表示“ 0 ”；一個比特持續(xù)多少時間；傳輸是雙向的還是單向的；最初的連接如何建立和完成通信后連接如何終止；一次通信中發(fā)送方和接收方如何應答；設備之間連接件的尺寸和接頭數(shù)；每根線的用途等。 2. 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層（ data link layer ）的主要任務是加強物理

13、層傳輸原始比特的功能，使之對網(wǎng)絡層顯現(xiàn)為一條無錯鏈路。它在相鄰網(wǎng)絡實體之間建立、維持和釋放數(shù)據(jù)鏈路連接，并傳輸數(shù)據(jù)鏈路數(shù)據(jù)單元（幀， frame ）。它是將位收集起來，按包處理的第一個層次，它完成發(fā)送包前的最后封裝，及對到達包進行首次檢視。其主要功能為： (1)、 數(shù)據(jù)鏈路連接的建立與釋放：在每次通信前后，雙方相互聯(lián)系以確認一次通信的開始和結(jié)束。數(shù)據(jù)鏈路層一般提供無應答無連接服務、有應答無連接服務和面向連接的服務等三種類型服務。 (2)、 數(shù)據(jù)鏈路數(shù)據(jù)單元的構成：在上層交付的數(shù)據(jù)的基礎上加入數(shù)據(jù)鏈路協(xié)議控制信息，形成數(shù)據(jù)鏈路協(xié)議數(shù)據(jù)單元。 (3)、 數(shù)據(jù)鏈路連接的分裂：當數(shù)據(jù)量很大

14、時，為提高傳輸速率和效率，將原來在一條物理鏈路上傳輸?shù)臄?shù)據(jù)改用多條物理鏈路來傳輸（與多路復用相反）。 (4)、 定界與同步：從物理連接上傳輸數(shù)的比特流中，識別出數(shù)據(jù)鏈路數(shù)據(jù)單元的開始和結(jié)束，以及識別出其中的每個字段，以便實現(xiàn)正確的接收和控制。 (5)、 順序和流量控制：用以保證發(fā)送方發(fā)送的數(shù)據(jù)單元能以相同的順序傳輸?shù)浇邮辗剑⒈３职l(fā)送速率與接收速率的匹配。 (6)、 差錯的檢測與恢復：檢測出傳輸、格式和操作等錯誤，并對錯誤進行恢復，如不能恢復則向相關網(wǎng)絡實體報告。 3. 網(wǎng)絡層 網(wǎng)絡層（ network layer ）關系到子網(wǎng)的運行控制，其關鍵問題之一是確定分組從源端到

15、目的端如何選擇路由。本層維護路由表，并確定哪一條路由是最快捷的，及何時使用替代路由。路由既可以選用網(wǎng)絡中固定的靜態(tài)路由表，幾乎保持不變，也可以在每一次會話開始時決定（如通過終端協(xié)商決定），還可以根據(jù)當前網(wǎng)絡的負載狀況，高度靈活地為每一個分組決定路由。 網(wǎng)絡層的另一重要功能是傳輸和流量控制，它在子網(wǎng)中同時出現(xiàn)過多的分組時，提供有效的流量控制服務來控制網(wǎng)絡連接上傳輸?shù)姆纸M，以免發(fā)生信息“堵塞”或“擁擠”現(xiàn)象。 網(wǎng)絡層提供兩種類型的網(wǎng)絡服務，即無連接的服務（數(shù)據(jù)報服務）和面向連接的服務（虛電路服務）。網(wǎng)絡層使較高層與連接系統(tǒng)所用的數(shù)據(jù)傳輸和交換技術相獨立。 IP 協(xié)議工作在本層，它

16、提供“無連接的”或“數(shù)據(jù)報”服務。 4. 傳輸層 傳輸層（ transport layer ）的基本功能是從會話層接收數(shù)據(jù)，在必要時把它們劃分成較小的單元傳遞給網(wǎng)絡層，并確保到達對方的各段信息準確無誤。而且，這些任務都必須高效率地完成。 傳輸層是在網(wǎng)絡層的基礎上再增添一層軟件，使之能屏蔽掉各類通信子網(wǎng)的差異，相用戶進程提供一個能滿足其要求的服務，其具有一個不變的通用接口，使用戶進程只需了解該接口，便可方便地在網(wǎng)絡上使用網(wǎng)絡資源并進行通信。 通常情況下，會話層每請求建立一個傳輸連接，傳輸層就為其創(chuàng)建一個獨立的網(wǎng)絡連接。如果傳輸連接需要較高的信息吞吐量，傳輸層也可以為之

17、創(chuàng)建多個網(wǎng)絡連接，讓數(shù)據(jù)在這些網(wǎng)絡連接上分流，以提高吞吐量。另一方面，如果創(chuàng)建或維持一個網(wǎng)絡連接不合算，傳輸層可以將幾個傳輸連接復用到一個網(wǎng)絡連接上，以降低費用。在任何情況下，都要求傳輸層能使多路復用對會話層透明。 傳輸層是真正的從源到目標“端到端”的層，也就是說，源端機上的某程序，利用報文頭和控制報文與目標機上的類似程序進行對話。在傳輸層以下的各項層中，協(xié)議是每臺機器和它直接相鄰的機器間的協(xié)議，而不是最終的源端機和目標機之間的協(xié)議，在他們中間可能還有多個路由器。圖 1-1 說明了這種區(qū)別， 1 層 -3 層是鏈接起來的， 4 層 -7 層是端到端的。 TCP 協(xié)議工作在本層，

18、它提供可靠的基于連接的服務。它在兩個端點之間提供可靠的數(shù)據(jù)傳送，并提供端到端的差錯恢復與流控。 5. 會話層 會話層（ session layer ）允許不同機器上的用戶之間建立會話關系，即正式的連接。這種正式的連接使得信息的收發(fā)具有高可靠性。會話層的目的就是有效地組織和同步進行合作的會話服務用戶之間的對話，并對它們之間的數(shù)據(jù)交換進行管理。 會話層服務之一是管理對話，它允許信息同時雙向傳輸，或任意時刻只能單向傳輸。約屬于后者，則類似于單線鐵路，會話層將記錄此時該輪到哪一方了。一種與會話有關的服務是令牌管理（ token management ），令牌可以在會話雙方之間交換，

19、只有持有令牌的一方可以執(zhí)行某種關鍵操作。 另一種會話服務是同步（ synchronization ）。同步是在連續(xù)發(fā)送大量信息時，為了使發(fā)送的數(shù)據(jù)更加精細地結(jié)構化，在用戶發(fā)送的數(shù)據(jù)中設置同步點，以便記錄發(fā)送過程的狀態(tài)，并且在錯誤發(fā)生導致會話中斷時，會話實體能夠從一個同步點恢復會話繼續(xù)傳送，而不必從開頭恢復會話。 TCP/IP 協(xié)議體系中沒有專門的會話層，但是在其傳輸層協(xié)議 TCP 協(xié)議實現(xiàn)了本層部分功能。 6. 表示層 表示層（ presentation layer ）完成某些特定的功能，由于這些功能常被請求，因此人們希望找到通用的解決辦法，而不 是要讓每個用戶來

20、實現(xiàn)。值得一提的是，表示層以下的各層只關心可靠的傳輸比特流，而表示層關心的是所傳輸?shù)男畔⒌恼Z法和語義。 表示層尚未完整定義和廣泛使用，如 TCP/IP 協(xié)議體系中就沒有定義表示層。表示層完成應用層所用數(shù)據(jù)所需要的任何轉(zhuǎn)換，以提供標準化的應用接口和公共的通信服務。如數(shù)據(jù)格式轉(zhuǎn)換、數(shù)據(jù)壓縮 / 解壓和數(shù)據(jù)加密 / 解密可能在表示層進行。 7. 應用層 應用層（ application layer ）包含大量人們普遍需要的協(xié)議。本層處理安全問題與資源的可用性。最近幾年，應用層協(xié)議發(fā)展很快，經(jīng)常用到的應用層協(xié)議有： FTP 、 TELNET 、 HTTP 、 SMTP 等。 OS

21、I 模型的各層之間任務明確，它們只與上下相鄰層打交道：接受下層提供的服務，向上層提供服務。由于所有的網(wǎng)絡協(xié)議都是分層的，象堆棧一樣，因此經(jīng)常將協(xié)議各層統(tǒng)稱協(xié)議棧。它們的工作模式一般為：發(fā)送時接收上層的數(shù)據(jù)，將其分割打包，然后交給下層；接收時接收下層的數(shù)據(jù)包，將其拆包重組，然后交給上層。這樣，一個包的傳輸過程是：發(fā)送主機的應用程序?qū)?shù)據(jù)傳遞給網(wǎng)絡協(xié)議棧實現(xiàn)（網(wǎng)絡通信程序），網(wǎng)絡協(xié)議棧實現(xiàn)將數(shù)據(jù)層層打包，最后交由物理層在數(shù)據(jù)鏈路上發(fā)送；接收主機收到數(shù)據(jù)后，逐層拆包向上傳遞，直到最后達到應用層，應用程序得到對等方的數(shù)據(jù)。 1.4.2 TCP/IP 協(xié)議的體系 Internet 采用的是 T

22、CP/IP 協(xié)議體系， TCP/IP 協(xié)議體系是因其兩個著名的協(xié)議 TCP 和 IP 而得名的。 TCP/IP 協(xié)議體系在和 OSI 的競爭中取得了決定性的勝利，得到了廣泛的認可，成為了事實上的網(wǎng)絡協(xié)議體系標準。 1.4.3 TCP/IP 分層模型 TCP/IP 協(xié)議體系和 OSI 參考模型一樣，也是一種分層結(jié)構。它是由基于硬件層次上的四個概念性層次構成，即網(wǎng)絡接口層、互聯(lián)網(wǎng)層、傳輸層和應用層。圖 1-2 表示了 TCP/IP 協(xié)議體系及其與 OSI 參考模型的對應關系。 從圖 1-2 可以看出，對照 OSI 七層協(xié)議， TCP/IP 第三層以上是應用層、傳輸層和網(wǎng)際互聯(lián)

23、層， TCP/IP 的應用層組合了 OSI 的應用層和表示層，還包括 OSI 會話層的部分功能。但是，這樣的對應關系并不是絕對的，它只有參考意義，因為 TCP/IP 各層功能和 OSI 模型的對應層還是有一些區(qū)別的。 1. 網(wǎng)絡接口層 網(wǎng)絡接口層也稱為數(shù)據(jù)鏈路層，它是 TCP/IP 的最底層，但是 TCP/IP 協(xié)議并沒有嚴格定義該層，它只是要求主機必須使用某種協(xié)議與網(wǎng)絡連接，以便能在其上傳遞 IP 分組。因此，在傳統(tǒng)的 UNIX 里，網(wǎng)絡接口通常是一個設備驅(qū)動器，并且隨主機和網(wǎng)絡的不同而不同。 2. 互聯(lián)網(wǎng)層 互聯(lián)網(wǎng)層（ Internet Layer ）俗稱 IP 層，它

24、處理機器之間的通信。它接受來自傳輸層的請求，傳輸某個具有目的地址信息的分組。該層把分組封裝到 IP 數(shù)據(jù)報中，填入數(shù)據(jù)報的首部（也稱為報頭），使用路由算法來選擇是直接把數(shù)據(jù)報發(fā)送到目標機還是把數(shù)據(jù)報發(fā)送給路由器，然后報數(shù)據(jù)報交給下面的網(wǎng)絡接口層中的對應網(wǎng)絡接口模塊。該層還有處理接收到的數(shù)據(jù)報，檢驗其正確性，使用路由算法來決定對數(shù)據(jù)報是否在本地進行處理還是繼續(xù)向前傳送。 3. 傳輸層 傳輸層的基本任務是提供應用層之間的通信，即端到端的通信。傳輸層管理信息流，提供可靠的傳輸服務，以確保數(shù)據(jù)無差錯的、按序到達。為了這個目的，傳輸層協(xié)議軟件要進行協(xié)商，讓接收方回送確認信息及讓發(fā)送方重發(fā)丟失的

25、分組。傳輸層協(xié)議軟件將要傳送的數(shù)據(jù)流劃分成分組，并把每個分組連同目的地址交給下一層去發(fā)送。 4. 應用層 在這個最高層，用戶調(diào)用應用程序來訪問 TCP/IP 互聯(lián)網(wǎng)絡提供的多種服務。應用程序負責發(fā)送和接收數(shù)據(jù)。每個應用程序選擇所需的傳輸服務類型，可以是獨立的報文序列，或者是連續(xù)的字節(jié)流。應用程序?qū)?shù)據(jù)按要求的格式傳送給傳輸層。 1.4.4 TCP/IP 分層工作原理 TCP/IP 協(xié)議體系和 OSI 模型的分層結(jié)構雖然不完全相同，但它們的分層原則是一致的，即都遵循這樣的一個思想：分層的協(xié)議要被設計成達到這樣的效果，即目標機的第 n 層所收到的數(shù)據(jù)就是源主機的第 n 層所發(fā)

26、出的數(shù)據(jù)。 圖 1-3 描述了 TCP/IP 分層工作原理，它表示了兩臺主機上的應用程序之間傳輸報文的路徑。主機 B 上的第 n 層所收到的正是主機 A 上的第 n 層所發(fā)出的對象。 在圖 1-3 中我們忽略了一個重要的內(nèi)容，即沒有描述發(fā)送方主機上的應用程序與接收主機的應用程序之間通過路由器進行報 文傳輸?shù)那闆r。圖 1-4 中描述使用路由器的 TCP ／ IP 分層工作，圖中報文經(jīng)歷了兩種結(jié)構不同的網(wǎng)絡，也使用了兩種不同的網(wǎng)絡幀，即一個是從主機 A 到路由器 R ，另一個是從路由器 R 到主機 B 。主機 A 發(fā)出的幀和路由器 R 接收到的幀相同，但不同于路由器 R 和主機 B

27、之間傳送的幀。與此形成對照的是應用程序?qū)雍蛡鬏攲犹幚矶说蕉说氖聞?，因此發(fā)送方的軟件能和最終的接收方的對等層軟件進行通信。也就是說，分層原則保證了最終的接收方的傳輸層所收到的分組與發(fā)送方的傳輸層送出的分組是一樣的。 圖 1-3 TCP/IP 分層工作原理 1.4.5 TCP/IP 模型的分界線 TCP/IP 的概念性層次包含兩個重要的分界線，一個是協(xié)議地址分界線，以區(qū)分高層和低層的尋址，另一個是操作系統(tǒng)分界線，以區(qū)分系統(tǒng)與應用程序。圖 1-5 描述了 TCP/IP 概念層模型的分界。 圖 1-5 TCP/IP 概念層模型的分界 高層尋址使用 IP 地址，低層

28、尋址使用物理地址。一個概念性的界限把使用低層地址的軟件和使用高層地址的軟件區(qū)分開來，這個分界線出現(xiàn)在網(wǎng)絡接口層和 Internet 層之間，即應用程序和在 Internet 層之上的所有協(xié)議軟件只使用 IP 地址，而網(wǎng)絡接口層處理的是物理地址。因此，象 ARP 這樣的處于網(wǎng)絡接口層的協(xié)議，就不是 IP 的一部分。 第二章TCP/IP各層的安全性和提高各層安全性的方法 2.1、網(wǎng)絡層的安全性 過去十年里，已經(jīng)提出了一些方案對網(wǎng)絡層的安全協(xié)議進行標準化。例如，安全協(xié)議3號

29、(SP3)就是美國國家安全局以及標準技術協(xié)會作為安全數(shù)據(jù)網(wǎng)絡系統(tǒng)(SDNS)的一部分而制定的。網(wǎng)絡層安全協(xié)議(NLSP)是由國際標準化組織為無連接網(wǎng)絡協(xié)議(CLNP)制定的安全協(xié)議標準。事實上，他們用的都是IP封裝技術。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報頭里，用來對加密的包進行Internet上的路由選擇。到達另一端時，外層的IP報頭被拆開，報文被解密，然后送到收報地點。 IPSP的主要目的是使需要安全措施的用戶能夠使用相應的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的，即使加密算

30、法替換了，也不對其他部分的實現(xiàn)產(chǎn)生影響。此外，該體制必須能實行多種安全政策，但要避免給不使用該體制的人造成不利影響。 IP AH指一段消息認證代碼(Message Authentication Code，MAC)，在發(fā)送IP包之前，它已經(jīng)被事先計算好。發(fā)送方用一個加密密鑰算出AH，接收方用同一或另一密鑰對之進行驗證。如果收發(fā)雙方使用的是單鑰體制，那它們就使用同一密鑰；如果收發(fā)雙方使用公鑰體制，那它們就使用不同的密鑰。在后一種情形，AH體制能額外提供不可否認的服務。有些在傳輸中可變的域。 RFC 1828首次規(guī)定了加封狀態(tài)下AH的計算和驗證中要采用帶密鑰的MD5算法。而與此同時，MD5和加封狀

31、態(tài)都被批評為加密強度太弱，并有替換方案提出。 IP ESP的基本想法是整個IP包進行封裝，或者只對ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運輸狀態(tài))進行封裝，并對ESP的絕大部分數(shù)據(jù)進行加密。在管道狀態(tài)下，為當前已加密的ESP附加了一個新的IP頭(純文本)，它可以用來對IP包在Internet上作路由選擇。接收方把這個IP頭取掉，再對ESP進行解密，處理并取掉ESP頭，再對原來的IP包或更高層協(xié)議的數(shù)據(jù)就象普通的IP包那樣進行處理。雖然其他算法和狀態(tài)也是可以使用的，但一些國家對此類產(chǎn)品的進出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制。 AH與ESP體制可以合用，也可以分用。不管怎么用，都

32、逃不脫傳輸分析的攻擊。人們不太清楚在Internet層上，是否真有經(jīng)濟有效的對抗傳輸分析的手段，但是在Internet用戶里，真正把傳輸分析當回事兒的也是寥寥無幾。 在最簡單的情況下，IPSP用手工來配置密鑰。然而，當IPSP大規(guī)模發(fā)展的時候，就需要在Internet上建立標準化的密鑰管理協(xié)議。這個密鑰管理協(xié)議按照IPSP安全條例的要求，指定管理密鑰的方法。 因此，IPSEC工作組也負責進行Internet密鑰管理協(xié)議(IKMP)，其他若干協(xié)議的標準化工作也已經(jīng)提上日程。 2.2、傳輸層的安全性 在Internet應用編程序中，通常使用廣義的進程間通信(IPC)機制來與不同層

33、次的安全協(xié)議打交道。比較流行的兩個IPC編程界面是BSD Sockets和傳輸層界面(TLI)，在Unix系統(tǒng)V命令里可以找到。 在Internet中提供安全服務的首先一個想法便是強化它的IPC界面，如BSD Sockets等，具體做法包括雙端實體的認證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個思路，制定了建立在可靠的傳輸服務(如TCP/IP所提供)基礎上的安全套接層協(xié)議(SSL)。SSL版本3(SSL v3)于1995年12月制定。它主要包含以下兩個協(xié)議： SSL記錄協(xié)議 它涉及應用程序提供的信息的分段、壓縮、數(shù)據(jù)認證和加密。SSL v3提供對數(shù)據(jù)認證用的MD5和SH

34、A以及數(shù)據(jù)加密用的R4和DES等的支持，用來對數(shù)據(jù)進行認證和加密的密鑰可以通過SSL的握手協(xié)議來協(xié)商。 原則上，任何TCP/IP應用，只要應用傳輸層安全協(xié)議，比如說SSL或PCT，就必定要進行若干修改以增加相應的功能，并使用(稍微)不同的IPC界面。于是，傳輸層安全機制的主要缺點就是要對傳輸層IPC界面和應用程序兩端都進行修改?？墒?，比起Internet層和應用層的安全機制來，這里的修改還是相當小的。另一個缺點是，基于UDP的通信很難在傳輸層建立起安全機制來。同網(wǎng)絡層安全機制相比，傳輸層安全機制的主要優(yōu)點是它提供基于進程對進程的(而不是主機對主機的)安全服務。這一成就如果再加上應用級的

35、安全服務，就可以再向前跨越一大步了。 2.3、應用層的安全性 必須牢記(且須仔細品味): 網(wǎng)絡層(傳輸層)的安全協(xié)議允許為主機(進程)之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上，這意味著真正的(或許再加上機密的)數(shù)據(jù)通道還是建立在主機(或進程)之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€具體文件的安全性要求。比如說，如果一個主機與另一個主機之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就都要自動地被加密。同樣，如果一個進程和另一個進程之間通過傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個進程間傳輸?shù)乃邢⒕投家詣拥乇患用堋? 提供應用層的安全服務實際上是最靈活的處理單個

36、文件安全性的手段。例如一個電子郵件系統(tǒng)可能需要對要發(fā)出的信件的個別段落實施數(shù)據(jù)簽名。較低層的 協(xié)議提供的安全功能一般不會知道任何要發(fā)出的信件的段落結(jié)構，從而不可能知道該對哪一部分進行簽名。只有應用層是唯一能夠提供這種安全服務的層次。 第三章 存在的安全隱患與解決方法 分析網(wǎng)絡系統(tǒng)的安全威脅主要來自以下幾個方面： 操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞； 防火墻的安全性，防火墻自身是否安全，是否設置錯誤，

37、需要經(jīng)過認真檢驗； 來自內(nèi)部用戶的安全威脅； 缺乏有效的手段監(jiān)視網(wǎng)絡系統(tǒng)的安全性； 采用的TCP/IP協(xié)議族本身的安全隱患； 在TCP/IP協(xié)議組中存在安全問題的主要協(xié)議有ARP協(xié)議，IP協(xié)議，ICMP，協(xié)議，TCP協(xié)議，DNS協(xié)議。下面就來一個一個分析其存在的安全缺陷。 ARP協(xié)議 ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。比如在局域網(wǎng)內(nèi)，一個中了ARP病毒的電腦，把自己偽裝成路由器，告訴所有的電腦“我是路由器 大家都來”，結(jié)果大家的電腦相信了他，他就可以

38、隨意的把改裝過的網(wǎng)絡數(shù)據(jù)送給所有電腦，在這個數(shù)據(jù)里可以插入病毒的程序。 中木馬的電腦偽裝自己的路由器，暫時把真正的路由器給“打暈”了騙了大家，真路由過一會“蘇醒了”大家又重新回到真路由的懷抱中，這個網(wǎng)絡切換的過程中 就會掉線。ARP攻擊越強烈 掉線越頻繁。 ARP欺騙的種類：ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常

39、PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關。它的原理是建立假網(wǎng)關，讓被它欺騙的PC向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡掉線了”。 一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。 IP協(xié)議如果你的計算機需要和其他計算機聯(lián)系，那么IP地址是必須的。盡管互聯(lián)網(wǎng)上聯(lián)接了無數(shù)的服務和電腦，但它們并不是

40、處于雜亂無章的無序狀態(tài)，而是每一個主機都有惟一的地址，作為該主機在Internet上的唯一標志。我們稱為IP地址。基于IP協(xié)議的安全問題主要是IP地址欺騙。IP地址欺騙是指行動產(chǎn)生IP包的假冒源IP地址，以冒充其他系統(tǒng)或保護發(fā)送人的身分。 ip是無連接的，不可靠的協(xié)議．它的32bit的頭中，包含了自己要去的目的主機的ip地址，幾乎所有的tcp/ip協(xié)議的傳輸都是被包含在ip包中發(fā)送的．它的所有的可靠性都是由它的上層協(xié)議來保證的。如果不可達，icmp的不可達報文就會發(fā)送會主機。它的無狀態(tài)的特性,說明它不保存上一個包的任何狀態(tài)。因此,我們就可以通過修改ip協(xié)議棧的方法,把所需要的ip地址填寫到我們

41、所發(fā)送出去的ip包中,來達到冒充其他主機的目的。 ICMP協(xié)議 ICMP的漏洞可以在不需要嗅探網(wǎng)絡數(shù)據(jù)流的情況下直接被利用，而且不需要任何“中間人”就可以進行。可以對目標主機經(jīng)行性能衰竭攻擊：攻擊者可以發(fā)送大量的ICMP包給目標主機使得它不能夠?qū)戏ǖ姆照埱笞龀鲰憫?。中美黑客大?zhàn)中的多數(shù)中國黑客采用的正是此項技術。ICMP FLOOD攻擊實際上是一種兩敗俱傷的攻擊方式，在主機"瘋狂"地向攻擊目標發(fā)送ICMP消息的時候，主機也在消耗自身的系統(tǒng)資源。如果自身的網(wǎng)絡資源小 于目標的話，這種攻擊就是"蚍蜉撼大樹"。因此，ICMP FLOOD攻擊為了達到很好的效果，往往要聯(lián)合多臺機器同時攻擊同一臺

42、機器，從而形成分布式拒絕服務攻擊（DDoS）。 DNS協(xié)議當客戶向一臺服務器請求服務時，服務器方一般會根據(jù)客戶的ip反向解析出該ip對應的域名。這種反向域名解析就是一個查DNS的過程。 如果客戶的ip對應有域名，那么DNS查詢會返回其域名。服務器端得到這一機器名后會將其記錄下來并傳遞給應用程序。你必須有一臺Internet上的授權的DNS服務器,并且你能控制這臺服務器,至少要能修改這臺服務器的DNS記錄。假如某個域名的真實地址是1.1.1.1，而我們通過修改DNS記錄，使得這個域名對應的地址為2.2.2.2，那么會出現(xiàn)什么情況，你到的根本不是真實的網(wǎng)站，而且如果這個是黑客制造的假的和真實網(wǎng)

43、站看上去一樣的，會有什么后果？針對TCP/IP安全漏洞進行攻擊的具體實現(xiàn)和防御針對以上有安全缺陷的協(xié)議，相應的攻擊實現(xiàn)方法有ARP欺騙，IP欺騙，Ping洪水，TCP連接劫持（SYN洪水），DNS欺騙, DOS攻擊 1 ARP欺騙 ARP欺騙攻擊反復襲擊，是近來網(wǎng)絡行業(yè)普遍了解的現(xiàn)象，隨著ARP攻擊的不斷升級，不同的解決方案在市場上流傳。但是最近發(fā)現(xiàn)，有一些方案，從短期看來似乎有效，實際上對于真正的ARP攻擊發(fā)揮不了作用，也降低局域網(wǎng)工作效率。對于ARP攻擊防制，最好的方法是先踏踏實實把基本防制工作做好，才是根本解決的方法。由于市場上的解決方式眾多，我們無法一一加以說明優(yōu)劣，因此我們僅從ARP

44、攻擊防制的基本思想來進行解釋。不堅定的ARP協(xié)議一般計算機中的原始的ARP協(xié)議，很像一個思想不堅定，容易被其它人影響的人，ARP欺騙/攻擊就是利用這個特性，誤導計算機作出錯誤的行為。ARP攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。原始的ARP協(xié)議運作，會附在局域網(wǎng)接收的廣播包或是ARP詢問包，無條件覆蓋本機緩存中的ARP/MAC對照表。這個特性好比一個意志不堅定的人，聽了每一個人和他說話都信以為真，并立刻以最新聽到的信息作決定。就像一個沒有計劃的快遞員，想要送信給"張三"，只在馬路上問"張三住那兒？"，并投遞給最近和他說"我就是！"或"張三住那間！"，來決定如何投遞一樣。在一個人人誠實的地

45、方，快遞員的工作還是能切實地進行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會帶來混亂了。我們再回來看ARP攻擊和這個意志不堅定快遞員的關系。常見ARP攻擊對象有兩種，一是網(wǎng)絡網(wǎng)關，也就是路由器，二是局域網(wǎng)上的計算機，也就是一般用戶。攻擊網(wǎng)絡網(wǎng)關就好比發(fā)送錯誤的地址信息給快遞員，讓快遞員整個工作大亂，所有信件無法正常送達；而攻擊一般計算機就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計算機。由于一般的計算機及路由器的ARP協(xié)議的意志都不堅定，因此只要有惡意計算機在局域網(wǎng)持續(xù)發(fā)出錯誤的ARP訊息，就會讓計算機及路由器信以為真，作出錯誤的傳送網(wǎng)絡

46、包動作。一般的ARP就是以這樣的方式，造成網(wǎng)絡運作不正常，達到盜取用戶密碼或破壞網(wǎng)絡運作的目的。 針對ARP攻擊的防制，常見的方法，可以分為以下三種作法： 利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表，來達到防制的效果。 利用綁定方式，固定ARP對照表不受外來影響：通過固定正確的ARP對照表，來達到防制的效果。 舍棄ARP協(xié)議，采用其它尋址協(xié)議：不采用ARP作為傳送的機制，而另行使用其它協(xié)議例如PPPoE方式傳送。以上三種方法中，前兩種方法較為常見，第三種方法由于變動較大，適用于技術能力較佳的應用。 常見的ARP echo處理手法有兩種，一種是由路由

47、器持續(xù)發(fā)送，另一則是在計算機或服務器安裝軟件發(fā)送。路由器持續(xù)發(fā)送的缺點是路由器原本的工作就很忙，因此無法發(fā)送高頻率的廣播包，被覆蓋掉的機會很大，因此面對新型的ARP攻擊防制效果小。因此，有些解決方法，就是拿ARP攻擊的軟件來用，只是持續(xù)發(fā)出正確的網(wǎng)關、服務器對照表，安裝在服務器或是計算機上，由于服務器或是計算機運算能力較強，可以同一時間內(nèi)發(fā)出更多廣播包，效果較大，但是這種作法一則大幅影響局域網(wǎng)工作，因為整個局域網(wǎng)都被廣播包占據(jù)，另則攻擊軟件通常會設定更高頻率的廣播包，誤導局域網(wǎng)計算機，效果仍然有限。ARP echo的作法是不斷提醒計算機正確的ARP對照表，ARP綁定則是針對ARP協(xié)議"思想不堅

48、定"的基本問題來加以解決。ARP綁定的作法，等于是從基本上給這個快遞員培訓，讓他把正確的人名及地址記下來，再也不受其它人的信息干擾。由于快遞員腦中記住了這個對照表，因此完全不會受到有心人士的干擾，能有效地完成工作。在這種情況下，無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。但是ARP綁定并不是萬靈藥，還需要作的好才有完全的效果。 第一 即使這個快遞員思想正確，不受影響，但是攻擊者的網(wǎng)絡包還是會小幅影響局域網(wǎng)部份運作，網(wǎng)管必須通過網(wǎng)絡監(jiān)控或掃瞄的方法，找出攻擊者加以去除 第二 必須作雙向綁定才有完全的效果，只作路由器端綁定效果有限，一般計算機仍會被欺騙，而發(fā)生掉包或掉線的情況。但是從以上

49、的說明可知道，只有雙向綁定才能有效果地解決ARP攻擊的問題，而不會發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務器效能的缺點。也就是說雙向綁定是個硬工夫，可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題，網(wǎng)管為了一時的省事，而采取片面的ARP echo解決方式，未來還是要回來解決這個問題。 一般攻擊從一臺你擁有root賬號的主機開始,以獲取另一個主機的root賬號為目的。 IP-spoofing的最大困難是你所進行的是一次盲攻擊.因為你偽裝成別的主機,所以中間的路由器不會把包路由回來.當然主機B(被信任的主機)已經(jīng)被你攻擊癱瘓,它無法回應.而你要在無法接受任何回應包的同時,參測可能

50、的回應包,并替代主機B做回答.怎么樣?不容易吧!這其中最需要的。雖然攻擊者可以欺騙任何IP地址，最常被欺騙的IP地址是私有IP地址（請參考RFC1918）和其它類型的共享/特別的IP地址。實施訪問控制列表(ACL) 最簡單的防止欺騙的方法就是對所有的互聯(lián)網(wǎng)通信使用一個進入過濾器。進入過濾器會丟棄源地址為以上所列地址的任何數(shù)據(jù)包。 總 結(jié) 計算機網(wǎng)絡的發(fā)展過程實際上是 TCP/IP 網(wǎng)絡協(xié)議體系不斷戰(zhàn)勝其他網(wǎng)絡協(xié)議體系的過程。當年 ISO 力推的 OSI 七層開放模型雖然在實際競爭中輸給了 TCP/IP ，但是，其清晰的網(wǎng)絡層次結(jié)構對于初學者理解網(wǎng)絡層次結(jié)構卻大有裨益，并且隨著網(wǎng)絡應用的快速發(fā)展和 TCP/IP 協(xié)議簇的日益龐大， ISO/OSI 七層開放模型仍能給我們很多啟示。通過對TCP/IP協(xié)議以及安全性的分析，對TCP/IP協(xié)議本身的缺陷和TP/IP網(wǎng)絡的攻擊與防范有了一個大致的了解，但由于網(wǎng)絡安全問題非常復雜，隨著Internet技術的迅速發(fā)展技術的大量應用，計算機病毒的產(chǎn)生于傳播，網(wǎng)絡被非法入侵有愈演愈烈的趨勢。因此，僅僅考慮TCP/IP的安全遠遠不夠的，其它如操作系統(tǒng)和防火墻的安全，網(wǎng)絡安全意識的提高等都應該是我們關注或研究的重點。