ip协议范文
时间:2023-03-14 03:54:32
ip协议范文第1篇
关键词:TCP/IP协议网络接口层网络层传输层端口应用层
中图分类号:TP311.52 文献标识码:A 文章编号:1007-9416(2012)03-0000-00
因特网是当今世界上最大的信息网络,自80年代以来,它的应用已从军事、科研与学术领域进入商业、传播和娱乐等领域,并于90年代成为发展最快的传播媒介。信息传输和网络互连是根据协议进行的,而因特网使用的就是TCP/IP协议。TCP/IP协议是因特网最基本的协议,是因特网的基础。TCP/IP的全称是Transmission Control Protocol/Internet Protocol的简写,中文译为传输控制协议/因特网互联协议。
1969年,因特网的前身阿帕网(ARPAnet),诞生之初仅连接了4台计算机,供科学家们进行计算机联网实验用。到70年代,ARPAnet已经有了好几十个计算机网络,但是每个网络只能在网络内部的计算机之间互联通信,不同计算机网络之间仍然不能互通。卡恩于1973 年提出开放的网络结构的思想。所谓开放的网络结构,指的是任何类型的网络都可以通过“网络互联结构”与其他网络连接,这是因特网的核心技术思想。为了适应开放的网络结构环境的需要,瑟夫与卡恩共同开发了TCP/IP协议,并于1974年正式提出。TCP/IP是实现不同网络互联的标准,成功地解决了不同硬件平台、不同网络产品和不同操作系统之间的兼容性问题。
TCP/IP协议定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准,它是因特网事实上的国际标准。协议采用了4层的层级结构,层次由低到高依次为:网络接口层、网络层、传输层、应用层。每一层都调用它的下一层所提供的服务来完成自己的需求。
1、网络接口层
网络接口层(通信子网)是数据包从一个设备的网络层传输到另外一个设备的网络层的方法。由于ARPNET的设计者注重的是网络互联,允许网络接口层采用已有的或是将来有的各种协议,所以这个层次中没有提供专门的协议,因此网络接口层实际上并不是因特网协议组中的一部分。实际上,TCP/IP协议可以通过网络接口层连接到任何网络上,例如X.25交换网或IEEE802局域网。[1]
2、网络层
网络层可以接收由网络接口层发来的数据包,并把该数据包发送到传输层;也可以把从传输层接收来的数据包传送到网络接口层。网络层的数据包是不可靠的,因为网络层并没有做任何事情来确认数据包是按顺序发送的或者没有被破坏。数据包中含有发送它的主机的地址(源IP地址)和接收它的主机的地址(目IP的地址)。
网络层的协议包括IP协议、ICMP协议、ARP协议、RARP协议等,其中IP协议是网络层的核心协议,完成数据从从源网络传输到目的网络的基本任务。IP协议定义了数据包在网际传送时的格式,目前使用最多的是IPv4版本,这一版本中用32位定义IP地址,可供使用的地址数超过37.2亿,但是仍然不能满足现今全球网络飞速发展的需求,因此IPv6版本应运而生。在IPv6版本中,IP地址共有128位,这样的IP地址数是原IP地址数的296倍,目前来看,IPV6的IP地址是不可能用完的。[2]
3、传输层
传输层提供应用进程间的通信。两个系统之间的应用进程的通信,是用每个信息中的如下四项进行确认的:源IP地址、目的IP地址、源端口号、目的端口号。其中源IP地址和目的IP地址已在网络层的介绍中说明。TCP/IP的端口号是一个软件结构,用来标识本地计算机应用层中各个进程在和运输层交互时的接口。在因特网不同的计算机中,相同的端口号是没有关联的。一个端口号对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、HTTP使用80。客户进程通常使用系统分配的一个随机端口号。[2]
传输层协议主要是传输控制协议TCP(Transmission Control Protocol)和用户数据报协议UDP(User Datagram protocol)。TCP协议是一种面向连接的、可靠的的传输机制。通信之前要建立连接,通讯完成时要拆除连接。它提供一种可靠的字节流保证数据完整、无损并且按顺序到达,TCP协议还能尽量连续不断地测试网络的负载并且控制发送数据的速度以避免网络过载,对于一些需要高可靠性的应用,可以选择TCP协议。UDP是一种面向无连接的,不可靠的传输机制。不是它特别不可靠,而是它不检查数据包是否已经到达目的地,并且不保证它们按顺序到达。UDP的典型应用是如音频和视频等这样的流媒体,对它们而言,按时到达比可靠性更重要,或者如DNS查找这样的简单查询/响应应用,否则建立可靠的连接所需的额外开销将是不成比例地大。
4、应用层
应用层是大多数与网络相关的程序为了通过网络与其他程序通信所使用的层。数据从与网络相关的程序以这种应用程序使用的格式编码成标准协议的格式并进行传送。来自应用程序的数据一旦被编码成一个标准的应用层协议,它将被传送到TCP/IP协议的下一层。
应用层一般提供面向用户的服务,如HTTP、FTP、SMTP、POP3。HTTP是超文本传输协议,用于浏览网页,FTP是文件传输协议,一般用于下载和上传文件。SMTP是简单邮件传输协议,用来控制信件的发送、中转。POP3是邮局协议第3版本,用于接收邮件。
TCP/IP有一个非常重要的特点,就是开放性,即TCP/IP的规范和Internet的技术都是公开的。目的就是使任何厂家生产的计算机都能相互通信,使Internet成为一个开放的系统。这正是后来Internet得到飞速发展的重要原因。
参考文献
[1]万雅静,黄巍,梁玉凤.网络基础实用教程[C].北京:机械工业出版社,2011:14-16.
[2]刘兵,左爱群.计算机网络基础与Internet应用(第三版)[C].北京:中国水利水电出版社,2006:91-92.
ip协议范文第2篇
【关键词】TCP/IP协议;通信报文;路由寻址;通信流程
1 概述
随着信息科学技术和通信技术的不断快速发展,基于互联网的网络通信应用在社会各个领域中的应用越来越广泛,使得互联网通信应用成为现代人日常生产生生活不可或缺的一部分,通过互联网络通信,网络用户之间可以实现数据传输、信息共享,从而极大地提高了人们的生活质量。然而,互联网络中的数据传输过程,并不是杂乱无章的随机传送,而是在计算机网络通信协议的基础上,双方都按照协议的内容和机制,来发送数据信息和读取分析数据信息,进而实现互联网络的数据传输和信息共享的功能,TCP/IP协议就是互联网络中重要的通信协议,它的存在奠定了整个互联网络通信的基础,所以对于TCP/IP通信协议的学习对于理解互联网通信机制来辅助互联网学习和工作具有很大的帮助。
2 计算机网络的TCP/IP通信协议
TCP/IP协议是“Transmission Control Protocol / Internet Protocol”的简写,是Internet网络基本的协议,它为计算机通讯的数据打包传输以及网络寻址提供了标准的方法。由于TCP/IP协议的优越性,使得越来越多的通信设备支持TCP/IP协议,使互联网络逐步走向规范化,最终TCP/IP协议成为了当前网络通信协议标准中最基本的网络通信协议、Internet国际互联网络的基础。
2.1 计算机网络TCP/IP协议
针对计算机互联网络的通信协议,国际标准组织ISO创立了七层OSI网络模型,自上而下,分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。而TCP/IP协议则是应用在传输层和网络层的数据传输控制协议,来规定网络设备接入互联网络以及设备间数据通信的标准。在通信设备经过互联网络进行数据传输时,通信设备数据发送端,发送TCP/IP通信报文,此时TCP/IP协议携带着通信设备发送端的传输数据内容以及目标通信设备的地址标示在互联网络中进行寻址,从而正确地传送到目标通信设备。当目标通信设备接收到TCP/IP通信报文后,按照协议内容,去除通信标示,来获取传输数据内容,并加以校验,如果经校验后发生差错,目标通信设备会发出TCP/IP信息重发报文,让发送通信设备再次将TCP/IP通信报文发展目标通信设备,去掉通信标示来获取传输数据信息。
2.2 TCP/IP通信协议报文格式
在互联网络中,基于TCP/IP通信协议传输的数据内容都是以通信报文的形式在互联网络内部进行传输,通信报文实质上就是一串二进制字符串,而字符串内不同位置的二进制字符标示不同的含义。从TCP/IP通信协议的主要报文格式可以看出,IP协议是基于TCP协议至上的,TCP协议报文时作为IP通信报文的数据部分来进行传输的。实际上,互联网内传输的通信字符串还有其他的通信协议,TCP/IP通信报文也是作为其外层协议的通信数据部分嵌入到通信报文中在互联网内进行传输。
在IP协议首部,包含了一些关于IP协议的标示、通信地址等信息,主要包括数据字符串总长度的信息、通信标示号、源IP地址和目标IP地址等信息,当IP通信报文经过路由寻址时,会根据首部内记录的目标IP地址来选择传输方向,最终根据目标IP地址传输至目标通信设备。此外,IP通信报文首部还包含其他信息,比如IP协议版本号、首部长度、校验信息、该IP通信报文生存时间(即该报文经过多少个路由后自动取消传输)等与IP通信报文相关的信息,以确保IP报文传输的正确性和安全性。TCP协议通信报文是作为IP通信报文数据内容存在的,TCP协议也分为TCP报文首部和TCP通信数据。TCP通信报文首部主要包括了源端口号和目标端口号等信息,当TCP/IP通信报文经过互联网络到达目标通过新设备后,通信设备会根据TCP报文首部的目的端口号选择设备端口号来接受该数据信息,进而实现互联网络的数据传输。
2.3 TCP/IP协议通信过程
互联网络的通信设备基于TCP/IP协议建立通信过程,也是根据TCP/IP协议来实现的。当源通信设备想向目标设备发送数据时,首先会发送一个TCP/IP通信报文来确认连接,该通信报文在互联网络中经过寻找传输后找到目标设备,目标设备也会向源通信设备发送一个TCP/IP报文以确认建立通信连接,此时,源通信设备就会将通信数据以TCP/IP通信报文的形式进行数据打包,然后向目标数据进行传输,在收到数据后,目标设备同样会发送TCP/IP报文以确认收到信息。当然,TCP/IP通信数据长度是一定的,当通信数据超过报文长度时,源通信设备会将其分段发送,而目标设备则会根据IP报文首部的标识号进行数据重组来重现传输数据信息,进而完成互联网络通信设备数据传输。
3 总结
TCP/IP网络协议是当前互联网络最基本的通信协议。根据TCP/IP网络协议,连接在互联网内的通信设备可以根据TCP/IP通信报文格式的内容将传输数据打包在TCP/IP通信报文内,并以其规定的通信流程进行数据传输,从而实现互联网络内的数据高效安全的传输。
参考文献:
[1]杨绍文.谈计算机网络的TCP/IP协议[J].科技信息.2011(02)
[2]查东辉.试论计算机网络通信协议[J].电脑知识与技术.2013(14)
[3]杨娇娟.浅谈TCP/IP协议[J].数字技术与应用.2012(03)
[4]李龙光,何伊斐.TCP/IP协议的安全性浅析[J].江西广播电视大学学报.2011(02)
ip协议范文第3篇
关键词: 嗅探器;IP 漏洞;TCP 劫持;拒绝服务攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)16-21230-04
TCP/IP Protocol Loophole Analysis and Prevention
WANG Xian-feng
(The Department of the Information Engineering of Lu'an Vocational and Technical College,Lu'an 237158,China)
Abstract:his paper is TCP/ IP's application to secure area.It analyzes several problems about a few of critical parts within,TCP/IP in details,discloses its security leakage and gives some constructive solutions in order to pave a basis on the further research.
Key words: Sniffer;IP Leakage;TCP Hijacking;Denial of Service attacks
Internet/ Intranet 是基于TCP/IP 协议簇的计算机网络。尽管TCP/IP 技术获得了巨大的成功,但也越来越暴露出它在安全上的不足之处,这是由于TCP/ IP 协议簇在设计初期基本没有考虑到安全性问题而只是用于科学研究。但随着应用的普及,它不仅用于一些要求安全性很高的军事领域,也应用于商业领域,因而对其安全性的要求也越来越高。下面从TCP/IP协议簇本身逐层来看它的安全漏洞。
1 TCP/IP 协议组的基本原理
TCP/IP分为4个层次,分别是应用层、传输层、网际层和物理网络接口层,如下图所示。
其中物理网络接口层相当于OSI的物理层和数据链路层;网际层与OSI 的网络层相对,但由于它考虑到了网际网环境,因而具有更强的网际环境通信能力,在网际层包含有四个重要的协议,它们是IP、ICMP、ARP、RARP;传输层与OSI 的传输层相对应,包含TCP 和UDP 两个协议;应用层相对于OSI的会话层、表示层和应用层功能,主要定义了FTP、TELNET、及E-MAIL 等应用服务。下面我们简要分析中间两层的有关协议。
2 链路层存在的安全漏洞
在以太网中,信道是共享的,数据在网络上是以很小的称为“帧”的单位传输的。如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路,这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。也就是说任何主机发送的每一个以太帧都会到达别的与该主机处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/ CD 协议,正常状态下网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP 层软件。当数据帧不属于自己时,就把它忽略掉。如果稍做设置或修改,使主机工作在监听模式下的话就可以使以太网卡接受不属于它的数据帧。或者采用虚拟设备开发技术,动态加载虚拟网络设备(VxD 或WDM) 驱动模块,驻留内存,实施侦听使网卡捕获任何经过它的数据。从而达到非法窃取他人信息(如密码、口令等) 的目的。这类软件被称为嗅探器(Sniffer),如NeXRay,Sniffit,IPMan 等。解决该漏洞的对策是:改用交换式网络拓扑结构,在交换式以太网中,数据只会被发往目的地址的网卡,其它网卡接收不到数据包。但交换机的成本比较高。或者采用加密传输数据,使对方无法正确还原窃取的数据。同时可以安装检测软件,查看是否有Sniffer 在网络中运行,做到防范于未然。
3 ICMP漏洞
ICMP是“Internet Control Message Protocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议,只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令,这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。
ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机. 例如,在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中,其防火墙遭受到的ICMP攻击达334050次之多,占整个攻击总数的90%以上!可见,ICMP的重要性绝不可以忽视!
比如,可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定,向主机发起“Ping of Death”(死亡之Ping)攻击。“Ping of Death” 攻击的原理是:如果ICMP数据包的尺寸超过64KB上限时,主机就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使主机死机。此外,向目标主机长时间、连续、大量地发送ICMP数据包,也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”,使得目标主机耗费大量的CPU资源处理,疲于奔命。
虽然ICMP协议给黑客以可乘之机,但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪,提前做好准备,就可以有效地避免ICMP攻击造成的损失。
对于“Ping of Death”攻击,可以采取两种方法进行防范:第一种方法是在路由器上对ICMP数据包进行带宽限制,将ICMP占用的带宽控制在一定的范围内,这样即使有ICMP攻击,它所占用的带宽也是非常有限的,对整个网络的影响非常少;第二种方法就是在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。
设置ICMP数据包处理规则的方法也有两种,一种是在操作系统上设置包过滤,另一种是在主机上安装防火墙。
4 IP漏洞
IP 协议运行于网络层。在TCP/ IP 协议中, IP 地址是用来作为网络节点的惟一标志,但是节点的IP 地址又不是固定的,是一个公共数据,因此攻击者可以直接修改节点的IP 地址,冒充某个可信节点的IP 地址攻击,或者编程(如Raw Socket) ,实现对IP 地址的伪装。
4.1 TCP 劫持
也许对连接于Internet的服务器的最大威胁是TCP劫持入侵(即我们所知的主功嗅探),尽管顺序号预测法入侵和TCP劫持法有许多相似之处,但TCP劫持之不同在于黑客将强迫网络接受其IP地址为一个可信网址来获得访问,而不是不停地猜IP地址直至正确。TCP劫持法的基本思想是,黑客控制了一台连接于入侵目标网的计算机,然后从网上断开以让网络服务器误以为黑客是实际的客户端。下图显示了一个黑客怎样操作一个TCP劫持入侵。
成功地劫持了可信任计算机之后,黑客将用自己的IP地址更换入侵目标机的每一个包的IP地址,并模仿其顺序号。安全专家称顺序号伪装为“IP模仿”,黑客用IP模仿在自己机器上模拟一个可信系统的IP地址,黑客模仿了目标计算机之后,便用灵巧的顺序号模仿法成为一个服务器的目标。
黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵,而且TCP劫持让黑客通过一个一次性口令请求响应系统(如共享口令系统),再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。
最后,TCP劫持入侵比IP模仿更具危害性,因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限,而不是模拟成一台计算机再发起一个事务。
4.2 源路由选择欺骗
TCP/ IP 协议中,为测试目的,IP数据包设置了一个选项―――IP Source Routing,该选项可以直接指明到达节点的路由。攻击者可以冒充某个可信节点的IP 地址,构造一条通往某个服务器的直接路径和返回的路径,利用可信用户作为同往服务器的路由中的最后一站,对其进行攻击。在TCP/IP协议的两个传输层协议TCP 和UDP中,由于UDP 是面向非连接的,不需初始化的连接过程,所以UDP 更容易被欺骗。
4.3 非同步入侵
TCP 连接需要同步数据包交换,实际上,如果由于某种原因包的顺序号不是接收机所期望的,接收机将遗弃它,而去等待正确顺序号的数据包。黑客可以探明TCP协议对顺序号的要求以截取连接。在这种情况下,黑客或骗取或迫使双方终止TCP 连接并进入一个非同步状态,以使双方再也不能直接交换数据。黑客再用第三方主机(另一个连接于物理媒介并运行TCP 包的计算机)来截获实际中的数据包,经过窜改或伪造,第三方产生的数据包就可以模仿连接中的系统本应交换的数据包,从而以假乱真了。其过程如下图所示。
过程图在非同步状态下,客户端A 向服务器发送的数据包其序列号不是服务器所期望的,服务器便将其抛弃。而黑客主机C拷贝(截获) 服务器丢弃的包,修改其中的数据,并配以正确的序列号,以A 的名义发送出去,服务器便会接收。当然从服务器B到客户端A也存在同样的情况。从而黑客便相当于在客户和服务器之间充当的角色,来往于客户和服务器之间的数据都要经过它。
4.4 Land 攻击
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。在Land攻击中,一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址,这时将导致接受服务器向它自己的地址发送SYN一ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉。对Land攻击反应不同,许多UNIX实现将崩溃,而 Windows NT 会变的极其缓慢(大约持续五分钟)。
4.5 SYN 洪水攻击
拒绝服务攻击的一种,使用TCP SYN 报文段淹没服务器。利用TCP建立连接的三个步骤的缺点和服务器
端口允许的连接数量的限制,窃取不可达IP 地址作为源IP地址,使得服务器得不到ACK而使连接处于半开状态,从而阻止服务器响应别的连接请求。尽管半开的连接会因为过期而关闭,但只要攻击系统发送的SpoofedSYN 请求的速度比过期的快就可达到攻击的目的。此方法是一种重要的攻击ISP ( Internet Service Provider) 方法,这种攻击并不会损坏服务,而是削弱服务器的功能。
4.6 防范措施
(1)对于来自网络外部的欺骗来说,可以在局部网络的对外路由器上加一个限制,做到只要在路由器里面设置不允许声称来自于内部网络中的机器的数据包通过就行了。当然也应该禁止(过滤) 带有不同于内部资源地址的内部数据包通过路由器到别的网上去,以防止内部员工对别的站点进行IP 欺骗。
(2)当实施欺骗的主机在同一网络内时,不容易防范。可以运用某些入侵检测软件或是审计工具来查看和分析自己的系统是否受到了攻击。
(3)对IP 包进行加密,加密后的部分作为包体,然后再附上一个IP 头构成一个新的IP 包。
(4)提高序列号的更新速率,或是增强初始序列号的随机性,使攻击者无法猜测出正确的序列号。
(5)对于源路由选项欺骗,因该禁止带有源路由的IP包进入内部网。
(6)对于Land 攻击,可以通过配置路由器或防火墙将外部接口上到达的含有内部源地址的数据包过滤掉。
(7)对于SYN 的洪水攻击,可以给内核加一个补丁程序或使用一些工具对内核进行配置。一般的做法是,使允许的半开连接的数量增加,允许连接处于半开状态的时间缩短。但这些并不能从根本上解决问题。实际上在系统内存中有一个专门的队列包含所有的半开连接,这个队列的大小是有限的,因此只要有意使服务器建立过多的半开连接就可以使服务器的这个队列溢出,从而无法响应其它客户的连接请求。
5 ARP欺骗
Arp是一种将IP转化成以IP对应的网卡的物理地址的一种协议,或者说ARP协议是一种将IP地址转化成MAC地址的一种协议,它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换,当你在传送数据时,IP包里就有源IP地址、源MAC地址、目标IP地址,如果在ARP表中有相对应的MAC地址,那么它就直接访问,反之,它就要广播出去,对方的IP地址和你发出的目标IP地址相同,那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始,侵略者若接听到你发送的IP地址,那么,它就可以仿冒目标主机的IP地址,然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址,而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以,容易产生ARP欺骗。例如:我们假设有三台主机A,B,C位于同一个交换式局域网中,监听者处于主机A,而主机B,C正在通信。现在A希望能嗅探到B->C的数据, 于是A就可以伪装成C对B做ARP欺骗――向B发送伪造的ARP应答包,应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存,让B认为A就是C,说详细点,就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样,B想要发送给C的数据实际上却发送给了A,就达到了嗅探的目的。我们在嗅探到数据后,还必须将此数据转发给C, 这样就可以保证B,C的通信不被中断。克服此问题的方法是:让硬件地址常驻内存,并可以用ARP 命令手工加入(特权用户才可以那样做);也可以通过RARP服务器来检查客户的ARP 欺骗。因为RARP 服务器保留着网络中硬件地址和IP 的相关信息。
6 路由欺骗
路由协议(RIP) 用来在局域网中动态路由信息,但是各节点对接收到的信息是不检查它的真实性的(TCP/ IP 协议没有提供这个功能),因此攻击者可以在网上假的路由信息,利用ICMP 的重定向信息欺骗路由器或主机,伪造路由表,错误引导非本地的数据报。另外,各个路由器都会定期向其相邻的路由器广播路由信息,如果使用RIP 特权的主机的520 端口广播非法路由信息,也可以达到路由欺骗的目的。解决这些问题的办法是:通过设置主机忽略重定向信息可以防止路由欺骗;禁止路由器被动使用RIP和限制被动使用RIP的范围。
7 结束语
通过对TCP/IP 协议的分析,我们不难发现其在设计和实现上存在的种种缺陷,这是由于TCP/IP协议在设计初期只是用于科学研究,而未考虑到当今会如此广泛地被应用。黑客或黑客工具往往利用这些漏洞,对网络进行破坏。了解这些漏洞并熟悉相应的对策,做到知己知彼,我们才能构建一个安全稳固的网络。
参考文献:
[1] 张小斌,严望佳.黑客分析与防范技术[M].北京:清华大学出版社,2005.
[2] 闫宏生.计算机网络安全与防护[M].北京: 电子工业出版社,2007.
[3] (美)科默,林瑶,等.译.用TCP/IP进行网际互连.第1卷.原理、协议与结构(第五版) [M].北京:电子工业出版社,2007.
ip协议范文第4篇
关键词=TCP/IP协议;网络安全;防范
1 引言
随着信息技术的迅猛发展,计算机网络技术已经广泛地应用到名个领域。Internet,Intranet是基于TCP/IP协议簇的计算机网络。TCP/IP协议簇在设计初期只是用于科学研究领域,因而没有考虑安全性问题。但随着Internet应用迅猛发展和应用的普及,它不仅用于安全性要求很高的军事领域,也应用于商业及金融等领域,因而对其安全性的要求也越来越高。对TCP/IP协议及其安全性进行分析和研究就显得尤为重要。
2 TCP/IP的工作原理
TCP/JP协议是一组包括TCP协议和P协议、UDP协议、ICMF协议和其他协议的协议组。TCP/IP协议共分为4层,即应用层、传输层、网络层和数据链路层。其中应用层向用户提供访问internet的一些高层协议,使用最为广泛的有TELNET、FTP、SMTP、DNS等。传输层提供应用程序端到端的通信服务。网络层负责相邻主机之间的通信。数据链路层是TCP/IP协议组的最低一层,主要负责数据帧的发送和接收。其工作原理是:源主机应用层将一串应用数据流传送给传输层,传输层将其截成分组,并加上TCP报头形成TCP段送交网络层,网络层给TCP段加上包括源主机和目的主机IP地址的IP报头,生成一个IP数据包,并送交数据链路层;数据链路层在其MAC帧的数据部分装上IP数据包,再加上源主机和目的主机的MAC地址和帧头,并根据其目的MAC地址,将MAC帧发往目的主机或IP路由器。目的主机的数据链路层将MAC帧的帧头去掉,将IP数据包送交网络层:网络层检查IP报头,如果报头中校验和与计算结果不一致,则丢弃该IP数据包。如果一致则去掉IP报头,将TCP段送交传输层;传输层检查顺序号,判断是否是正确的TCP分组,然后检查TCP报头数据,若正确,则向源主机发确认信息,若不正确则丢包,向源主机要求重发信息,传输层去掉TCP报头,将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的字节流,就像是直接来自源主机一样。
3 TCP/IP各层的安全性分析
3.1 数据链路层
数据链路层是TCP/IP协议的最底层。它主要实现对上层数据(IP或ARP)进行物理帧的封装与拆封以及硬件寻址、管理等功能。在以太网中,由于信道是共享的,数据以“帧”为单位在网络上传输,因此,任何主机发送的每一个以太帧都会到达与其处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/CD协议,正常状态下,网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP层软件。当数据帧不属于自己时,就把它忽略掉。然而,目前网络上存在一些被称为嗅探器(sniffer)的软件,如NeXRay、Sniffit、IPMan等。攻击方稍作设置或修改,使网卡工作在监听模式下,则可达到非法窃取他人信息(如用户账户、口令等)的目的。防范对策:(1)装检测软件,查看是否有Sniffer在网络中运行,做到防范于未然。(2)对数据进行加密传输,使对方无法正确还原窃取的数据,并且对传输的数据进行压缩,以提高传输速度。(3)改用交换式的网络拓扑结构,使数据只发往目的地址的网卡,其他网卡接收不到数据包。这种方法的缺点是交换机成本太高。
3.2 网络层
3.2.1 IP欺骗
在TCP/IP协议中,IP地址是用来作为网络节点的惟一标志。IP协议根据IP头中的目的地址来发送IP数据包。在IP路由IP包时,对IP头中提供的源地址不做任何检查,并且认为IP头中的源地址即为发送该包的机器的IP地址。这样,攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址攻击或者编程(如RawSocket),实现对IP地址的伪装,即所谓IP欺骗。攻击者可以采用IP欺骗的方法来绕过网络防火墙。另外对一些以IP地址作为安全权限分配依据的网络应用,攻击者很容易使用IP欺骗的方法获得特权,从而给被攻击者造成严重的损失。防范对策:(1)抛弃基于地址的信任策略。(2)采用加密技术,在通信时要求加密传输和验证。(3)进行包过滤。如果网络是通过路由器接入Internet的,那么可以利用路由器来进行包过滤。确认只有内部IAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。
3.2.2 ICMP漏洞
ICMP运行于网络层,它被用来传送IP的控制信息,如网络通不通、主机是否可达、路由是否可用等网络本身的消息。常用的Ping命令就是使用ICMP协议,Ping程序是通过发送一个ICMP Echo请求消息和接收一个响应的ICMP回应来测试主机的连通性。几乎所有的基于TCP/IP的机器都会对ICMP Echo请求进行响应。所以如果一个敌意主机同时运行很多个Ping命令,向一个服务器发送超过其处理能力的ICMP Echo请求时,就可以淹没该服务器使其拒绝其它服务。即向主机发起“Ping of Death”(死亡之Ping)攻击。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟:(1)可给操作系统打上补丁(patch)。(2)在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。(3)利用防火墙来阻止Ping。但同时会阻挡一些合法应用。可只阻止被分段的Ping。使得在大多数系统上只允许一般合法的64Byte的Ping通过,这样就能挡住那些长度大于MTU(Maximum TransmiSsIon Unit)的ICMP数据包,从而防止此类攻击。
3.3 传输层
TCP是基于连接的。为了在主机A和B之间传递TCP数据,必须通三次握手机制建立连接。其连接过程如下:AB:A向B发SYN,初始序列号为ISNI;BA:B向A发SYN,初始序列号为ISN2,同时对ISNI确认;AB:A向B发对ISN2的确认。建立连接以后,主要采用滑动窗口机制来验证对方发送的数据,如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。由于TCP协议并不对数据包进行加密和认证,确认数据包的主要根据就是判断序列号是否正确。这样一来,当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文,也可以截获报文,篡改内容后,再修改发送序号,而接收方会认为数据是有效数据,即进行TCP会话劫持。目前存在一些软件可以进行TCP会话劫持,如Hunt等。防范对策:(1)在传输层对数据进行加密。(2)使用安全协议,对通信和会话加密,如使用SSI代替telnet和ftp。(3)运用某些入侵检测软件(IDS)或者审计工具,来查看和分析自己的系统是否受到了攻击。
3.4 应用层
在应用层常见的攻击手段是DNS欺骗。攻击者伪造机器名称和网络的信息,当主机需要将一个域名转化为IP地址时,它会向某DNS服务器发送一个查询请求。同样,在将IP地址转化为域名时,可发送一个反查询请求。如果服务器在进行DNS查询时人为地给出攻击者自己的应答信息,就产生了DNS欺骗。由于网络上的主机都信任DNS服务器,一个被破坏的DNS服务器就可以将客户引导到非法的服务器,从而就可以使某个地址产生欺骗。防范对策:(1)直接用IP访问重要的服务,从而避开DNS欺骗攻击。(2)加密所有对外的数据流。在服务器端,尽量使用SSH等有加密支持的协议;在客户端,应用PGP等软件加密发到网络上的数据。
4 结束语
ip协议范文第5篇
关键词:TCP/IP;协议;教学方法;双语教学
中图分类号:TP311.12 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
随着全球化进程的推进,社会对高等教育人才培养提出了更高的要求,希望培养出既懂专业又懂外语的复合型人才。为了适应社会的需要,很多高校纷纷推出了各门课程的双语教学,受到了学生和老师的普遍欢迎。然而,在这样的环境下,双语教学的效果并不是很理想。因此,我们有必要对双语教学的方法和技巧作一定的探讨与研究,提高教学效果。《TCP/IP协议》是计算机和信息类专业的一门重要的专业选修课程,是在《计算机网络》课程基础上对网络协议的进一步深化。通过这门课程的学习,学生不但可以加强对计算机网络中概念和术语的理解,而且还可以从协议分析的角度深入理解计算机网络的原理和技术细节。下面,将结合我校近几年开展《TCP/IP协议》双语教学的实践经验,总结双语教学中存在的问题与改革措施。
一、教学中存在的问题
(一)语言障碍是主要因素
双语教学的推进需要一个过程,不能操之过急。我们采用了中英文结合、循序渐进的授课方式。由于大多数学生还是第一次接触用双语讲解的课程,对其中用英语讲授的部分不能很好地适应,这就为知识的理解造成了一定的障碍。因为这方面的知识如果用中文讲解的话,是很好理解的。因此,这里所说的障碍主要来自于语言。
对于教师而言,也提出了更高的要求。不光要求能正确理解英文教材中的知识,还要将知识用英语很好地表达出来。当然,我们负责上课的老师都是英语基础比较好的,用英语表达是没有问题的,但要求用浅显易懂的方式进行讲解,还需要经过一番努力和训练。
(二)课时有限
由于这门课是专业选修课,学院在制订教学计划时,安排的课时有限,仅32学时。相对于我们选用的教材而言,是一个不小的挑战。我们选用参考文献[1]作为教材,内容是非常丰富的。这就要求我们选择一些重要的章节进行讲解,并根据学生的掌握情况,适当调整教学的进度和教学内容。
(三)教学内容比较抽象
《TCP/IP协议》课程中主要讲授的是TCP/IP协议族中的各种协议,以及这些协议之间按照什么方式进行合作,共同完成复杂网络环境下数据传输的问题。课程内容与《计算机网络》课程有一些交叉,但主要突出网络协议的分析与理解,因此大部分内容比较枯燥和抽象。
二、课程教学改革措施
(一)做好课程定位,把握教学方法
要想把双语教学做好,首先要对双语教学做一个合理的定位,或者说是对双语教学的理解。因为双语教学既不是全英文教学,也不是简单地先讲英语再翻译成中文这种方式,应该将两者有机地结合起来。有些地文用英语讲,有些地方则用中文讲解,刚开始的时候,中文比例稍微多点,到后面则使用英语的比例多点,这些都将与学生的英语水平和课程的掌握情况相关的,教师在授课时就根据具体情况,采取相应的措施,把握好中英文授课的比例。
在双语教学中,对课程的讲解当然还是以传授知识为主,语言学习和训练为辅这样的方式来把握。因为这不同于专业英语课,更不是英语课,所以语言学习只是双语教学课程的副产品,掌握相应的知识才是最主要的。
对于每一次课,在讲义中可以首先列出关键字,将涉及到的专业术语集中讲解,并在幻灯片中给出中文解释。另外,为了达到好的授课效果,提倡学生平时多训练一下听力,积极参加学校英语角进行口语练习,以便能够在课堂中与老师交流互动。
(二)加大课时量,精心组织教学和实验内容
这门课程是对《计算机网络》课程的进一步理解与深化,加上课程本身有些抽象,学习难度较大。一方面,相对于我们选用的外文教材,用32学时进行讲授是远远不够的。我们已向教务部门反映,建议增加课时量;另一方面,在有限的课时下,要求教师精心组织每一堂课的教学内容,做好实验安排,才能达到较好的教学效果。
学习完新的内容以后,做适量的英文习题进行巩固是必不可少的。在每次讲完新课后,布置一些典型的习题让学生练习,并要求用英语来解答。通过做一定量的习题,可以让学生消化所讲的新内容,运用所学的知识解决实际问题。
由于实验的课时有限,教师应根据实验大纲精心组织实验内容。实验前,提前布置实验内容和要做的题目,让学生做好预习;实验过程中,组织学生分组讨论,可以使学生将问题理解得更加深入;实验结束后,要求学生认真写实验报告并按时提交。
(三)发挥多媒体技术的优势,提高教学质量
在教学过程中,教师应尽量采用多媒体教学,并使用动画、图示来展示各种协议的基本原理。一幅好的图片胜过千言万语,这样既可以提高学生的兴趣,又可以将抽象的知识具体化、形象化,易于理解。比如,在讲授网络数据包的传输过程中,我们让学生观看“warriors of the net”视频,极大地提高了学生的兴趣,让学生对这方面的知识理解得更加深入。
三、总结
双语教学是培养复合型人才的重要举措,可以使学生在学习专业课的同时,英语水平也获得较大的提高,最终比较顺利地阅读与课程相关的英文文献。本文针对《TCP/IP协议》双语教学中出现的问题,总结出了教学改革的方法,并作了具体分析。实践证明,通过对教学方法作一定的改进,极大地丰富了教学内容,使双语教学取得更好的效果。
参考文献:
[1]W.Richard Stevens.TCP/IP Illustrated[M].北京:机械工业出版社,2000
[2]熊杰,李中年,杜勇,张海波.“TCP/IP协议原理”双语教学实践探索—以长江大学为例[J].教育与教学研究,2009,11:91-92
[3]叶晓国,王雪梅,王明伟.《TCP/IP网络设计及实现》双语课程教学改革研究[J].西安邮电学院学报,2009,3:135-138
ip协议范文第6篇
关键词:互联网;移动IP;计算机技术
一、移动IP发展过程
1、移动IP的提出
随着社会的发展,计算机技术普遍的应用在各个生活和生产的领域,Internet的应用得到了飞速发展,接入网络的主机和用户逐年呈指数增长。网络技术逐渐实现了普及化和系统化,为人类生活和生产中各种信息的交流带来巨大的变动,为人们的生活带来了许多方便而快捷的服务,当前各种信息资源和互联网服务技术已经普遍的应用在各个企业单位和人们生活之中,为人们精神需求和生产方便打下了基础,也使得人们在日常生活中对其依赖逐渐的增加。
一方面,经济的发展促使人员的流动和工作场所的流动,并且这种流动将会越来越大。为数众多的流动网络用户迫切希望能够随时、随地接入网络,方便地获取、处理和交换数据,共享网络资源。人们对移动数据通信业务的需求正在迅速地推动移动数据通信的发展。
另一方面,笔记本电脑和便携式计算机大量出现,为移动计算机网络的产生奠定了较好的物质基础。随着计算机技术的发展,个人计算机的功能越来越强大,而尺寸越来越小。PDA和便携机的出现,使得用户可以在野外现场任何地点使用。在这样的情况下,传统的有线网络已不能满足用户的需求,需要发展能够摆(电)缆等固定接入的无线通信网来传送数据。因此,便携式计算机的出现也是促使移动数据业务发展的一个重要因素。
2、移动IP的发展
随着当前各种信息技术和计算机技术的不断扩大和发展需求不断增加,人们对计算机技术中的各种其他需求也在不断的增大之中。当前的通信技术中主要以语音传输为主要的基础通信,移动IP在这种趋势之下也在不断的增加着各个信息指数和信息技术。发展移动数据业务是移动通信运营商的战略方向,让消费者拥有和互联网无缝结合的移动IP业务是运营商的竞争利器、借助于 WhP的Web浏览,随时随地进行的移动电子商务、移动网上银行、移动IP电话等业务预示着互联网和移动通信无缝结合的前景和未来。因此移动通信向因特网靠拢是信息社会发展的必然要求。移动通信的发展进程将分为三个阶段:首先是移动业务的IP化;之后是移动网络的分组化演进;最后是在第三代移动通信系统中实现全IP化。
Intemet和移动通信两项业务网络的普及、迅猛发展以及融合,把人们带进一个数字化、个人化、综合化的通信世界,彻底改变了人们的交流、沟通以及获取信息的方式,同时也为社会和经济的发展提供了强大的动力。
3、现有I P协议的定址方式及其局限性
现有的因特网协议栈TCP/IP是假设终端系统是静态的情况下设计出来的。我们目前所使用的IP版本为IPv4.这一版本将IP地址定义为主机联接在网络上的点,这就像固定电话号码代表着墙上的某个插座一样.TCP/IP 协议中以分层地址的方式定位互联网中的主机。每个网络主机有一个唯一的IP地址与之对应。该IP地址分为网络号与主机号两部分。Internet寻址方案是使用目的地址的网络前缀用于路由。一个特定的地址只能被用于它所定义的域内,因特网中普遍采用的传输层协议TCP/UDP都采用IP地址作为端点标识,且都采用了端口这个概念,它使得TCP/UDP接收实体可以决定从网络收到的数据段中的数据应交由多个高层应用中的哪一个处理,这样在一个节点上就可阻同时打开多个应用,而各个应用的流量之间互不干扰。节点间的TCP连接由以下4个值唯一确定:源IP地址、目的IP地址、源TCP端口号、目的TCP端口号.这4个值在一个TCP连接的整个过程中是保持不变的,当目的节点的IP地址发生变化时,将不得不断开连接。所以移动节点改变IP地址时,其与别的节点之间正在进行的通信将中断。
二、当前移动IP的解决方法
1、IP中存在的问题
在今天的互联网IP中由于移动主机在使用的过程中与IP保持不变,使得在出现各种特殊情况之中无法满足其他任何方法来解决,在移动主机在保持其IP地址不变的情况下接入其他网络,就不能正确路由。传统的IP是一个固定的,容易出现各种繁杂故障的问题,在IP的输入和使用的过程中IP是不变的记过,是在互联网使用中不得变动的过程。这个问题的根源在于在互联网结构中,IP地址起着双重的作用:从传输层和应用层的角度来看,IP地址是一个通信端点的标识:在网络层,IP地址是数据路由的依据。从以上可知,IP的设计思路使得IP天生没有移动通信能力.如果使用者既想移动主机又不想改变IP地址,那就只能在同一物理网络(即同一网络)。
2、解决方法
面对这样多个问题,当前解决互联网中各种其他故障的主要方法一般又两种,一是重新设计一套支持可移动终端设备的互联网协议族,但由于Internet互连网的广泛应用,重新设计将使现有的网络结构,特别是相应的软件作较大的调整,代价昂贵。另一种选择是在现有的协议基础上,附加服务来支持终端设备的移动通信。目前的移动IP协议都是基于这种思想。
目前,对移动IP的研究虽然取得了一定的进展,但也还面临着许多问题,归纳起来可以分为以下技术性和非技术性两类问题。技术性问题包括路由优化的问题、安全的问题和时延的问题。非技术性的问题主要包括市场发展方面的问题和来自其它协议的竞争。从国内外研究方向及成果中可以发现:目前对移动1P的研究主要集中在路由优化和快速切换方面,以保证通信准确、无时延。而安全问题则是移动IP现在所面临的最紧迫、最突出的问题。
移动IP是一种与传输媒介无关的协议,采用了多种认证机制和加密方法来防止恶意用户的攻击,而增强其安全性能的同时需要兼顾其他方面内容。如当移动口工作在无线网络时,由于无线网络的带宽是一种宝贵的资源,此时我们必须考虑尽可能减少网络的开销。但是强认证方案是通过牺牲网络性能来提高安全性能的,这时我们应在安全性能和网络性能之间进行折衷。另外还要考虑协议实现的复杂性。因为业务的多样性要求我们应该采用多种安全机制,能够为不同的用户分配不同的安全级别保证。此外增强安全性还要兼顾路由优化、防火墙等方面的问题。
三、结论
ip协议范文第7篇
关键词:TCP/IP;网络拥塞;拥塞控制;算法
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)07-1513-03
随着网络用户的不断增加,制约网络应用和发展的关键瓶颈是网络拥塞问题,对进入网络的数据流量进行控制是拥塞控制的主要目的,通过控制拥塞保证用户发送的数据流对通信网络不造成阻塞,并且瓶颈资源能够被合理的使用。可以在网络协议的不同层次上实施拥塞控制,首先对网络拥塞产生的原因进行分析,分类、归纳拥塞控制,持续时间越长的拥塞需要越高的控制层次来解决拥塞问题,并且拥塞控制的实现主要在传输层和网络层。
1 网络拥塞概述
网络的性能会逐渐下降,当过多的数据包存在于网络中时,这种现象被称为网络拥塞。吞吐量下降在发生网络拥塞的时候,并且严重的时候拥塞崩溃的现象会在发生。通常而言,增加的网络负载导致网络效率降低,在此时容易发生拥塞崩溃的现象。拥塞现象的描述如图1 。
图1 拥塞现象的描述
在较小的网络负载时,吞吐量随着负载的增长也会增长,两者为线性关系,相应的时间也缓慢增长。当网络容量被负载达到的时候,相应的时间急剧增加,吞吐量呈现缓慢增长,这一点被成为Knee点。吞吐量在负载超过一定量时开始急剧下降,路由器在负载继续增加的情况下开始丢包,这一点是死锁点。在拥塞控制机制中有拥塞控制和拥塞避免两种方式,前者的目的是在控制运行在死锁点附近的网络拥塞现象,后者是避免网络运行在Knee点的时候发证拥塞现象。前者是一种恢复措施,使网络从拥塞中恢复过来,进入正常运行状态;后者是一种预防措施,使网络维持在低延迟、高吞吐量状态,网络拥塞现象得以避免。
2 分析网络拥塞产生的原因
网络的处理能力和资源容量被网络的负载超出了是网络拥塞产生的根本原因,也就是网络对资源的总需求量大于总的可用资源,下面分析一下网络拥塞产生的原因。
1)不足的存储空间
一个输出端口需要对各种报文在接收端口的缓冲区域中进行排队,因为它接受的报文是由多个端口转发而来的,若满足使用要求的缓冲空间在输出端,报文就会丢失,尤其是突发的数据流也会丢失。这一矛盾的缓解通过增加存储空间来实现。但将会出现更加严重的拥塞现象在不断增加存储容量时。因为缓冲区网络结点的延时增加的时候,报文也会增加,最终端到端的确认时间也增加了,就会产生超时重发。网络负载因此会进一步增加,拥塞现象最终会加重。
2)不足的宽带容量
在低速链路中流通的高速数据流经常会产生拥塞现象,在数据发送率小于信道容量的时候,拥塞现象才会避免。不然在节点的缓冲区域堆集大量的报文就会产生拥塞。
3)速度缓慢的节点处理机
报文被放入其CPU队列中进行缓存当被路由器对其进行接收的时候,路由器来选择路由并且把报文转发到相应的节点。此时路由器的处理速度的快慢是能否出网络现拥塞的关键因素。
总而言之,只有考虑到从以上三方面的因素,来解决拥塞现象,优化整体性能。只考虑一方面内的因素拥塞问题不仅不能够解决,反而拥塞问题还会更加严重。
3 控制拥塞的策略
1)Tahoe和Reno拥塞控制算法
随着网络技术的发展,TCP拥塞控制有快速恢复(fast recovery)、快速重传(fast retransmit)、拥塞避免(congertion avoidance)、慢启动(slow start)这四种,其中常用的是TCP Tahoe和TCP Reno两种算法。快速重传、拥塞避免、慢启动是Tahoe包括的三个部分,并且改进了往返时间RTT,从而对超时重发计时器进行更好的重新设定,具体的算法描述如下:
最多发一个报文在一个RTT内。其中窗口的大小由w来表示,慢启动门限值由ssthresh来表示,是慢启动进入拥塞避免的分界值。
这种算法的基本思想是通过线性增加速率源端对网络中的空闲容量进行探测,当拥塞被检测到的时候用指数递减它的速率,在源端丢包被检测到的时候确认拥塞。实现拥塞避免和慢启动的例子如图图2 慢启动和拥塞避免的实现举例
由上图可知,每当一个丢包被检测到的时候,慢启动门限值被源端设置为当前窗口的一半,对丢失的包重传,窗口被设置为1,重新进入慢启动。
2)TCP中拥塞控制的关键
TCP协议在Internet上被95%的数据流使用,对发送端的发送速率进行控制是TCP中拥塞控制的关键。可以采用控制算法中的乘法减少加法增加(AIMD)的来解决拥塞问题。每个拥塞窗口由发送方维持着,如果没有发生窗口中的报文丢失,那么目前是良好的网络状况,窗口的大小被发送者加大,同时报文的发送速率加大。当窗口内的一个报文被发送方发现丢失的时候,则认为报文的丢失是由网络拥塞造成的,于是窗口的大小减半,随之发送速率也减小,拥塞加重的现象得以避免。
3)慢启动阶段的拥塞控制
一个连接被TCP启动的时候多个数据包被发送到网络时会造成不必要的网络拥塞和数据丢失,而慢启动可以避免这种现象的发生,还能避免吞吐量在AIMD算法中增加引起网速过慢的问题。初始化拥塞窗口cwnd为一个数据包大小在新的TCP连接建立的时候,按照cwnd大小源端进行数据的发送,也就是随着RTT的增长cwnd呈指数增长。
4)拥塞避免阶段
处理丢失数据包的方法被称为拥塞避免算法。当重复确认被发送方收到或数据包超时被发送方发现的时候,网络拥塞就会发生,此时进入拥塞避免阶段,置为1的cwnd在数据包发送超时并且重复确认被发送方收到时,那么每收到一个ACK,cwnd将增加segsize*segsize/cwnd。其中数据包的大小被称为segsize,cwnd在拥塞避免阶段不是呈指数增长而是呈线性增长的。
5)快速恢复和快速重传阶段
当3个或3个以上的重复ACK被源端收到的时候,发送方认为出现数据包丢失的现象,对数据包进行重新传输,而且启动阈值ssthresh被设置为一半的当前cwnd,然后对丢失的数据包重新传输,这个过程被称为快速传输。系统执行的不是慢启动算法而是拥塞避免算法,这被称为快速恢复,能够使TCP连接的吞吐量提高。另外,不必要的重传超时要想避免可以应用一种受限传输机制:在接收方中允许如果有广播窗口,一个或两个重复的ACK被发送方接收到后,发送方对新的报文段继续传输,具有较小窗口的TCP在受限的传输机制的允许下进行错误码恢复,不必要的重传得以避免。
6)IP 拥塞控制策略
对于Internet 的健壮性而言基于窗口的端到端的TCP拥塞控制起着关键性作用,在Internet的迅速发展的今天网络的规模也越来越大,并且日趋复杂的结构在不断出现,端对端的拥塞控制已经不能满足需求,那么对拥塞的控制也需要在网络层进行,需要在路由器中采用数据丢弃和排队算法策略。其中丢弃策略进行分配缓存是通过决定哪些包被丢弃来实现的,排队算法进行分配宽带是是通过决定哪些包可以被传输来实现的。IP 拥塞控制的方法有:先进先出、公平排队算法、加权公平排队算法。
总而言之,无论哪种拥塞控制方法都有它的优势,总体上包括TCP 拥塞控制和IP 拥塞控制两种,下面表格针对这两种方式进行了比较:
[TCP 与IP 拥塞控制的比较\&参数\&TCP 拥塞控制\&IP 拥塞控制\&实现位置\&端系统中\&网络内部\&短期拥塞\&可以处理\&较好处理\&长期拥塞\&可以处理\&无法处理\&不同数据流间的公平性\&难于实现\&可以实现\&延迟\&较大\&无\&]
4 结束语
通过上述网络拥塞概述、网络拥塞产生的原因、控制拥塞的策略,可以得知,随着互联网用户越来越多,网络宽带等资源也在持续增加,但是用户的需求仍然不能得到满足,逐渐暴漏出网络拥塞问题,拥塞如何更好的预防和控制,使网络具有同时到达资源并且低延时和低丢包率的最大效用。无论TCP拥塞控制还是IP 拥塞控制都有自身的优势,要想在这个基础上更好的解决网络拥塞问题,需要结合各种方法并且灵活的使用。
参考文献:
[1] The Stream Control Transmission Protocol (SCTP) as a Transport for the Session Initiation Protocol(SIP).internet Draft,IETF,Jan,2005 Work in Progress.
[2] 黄卫平.TCP/IP 协议中拥塞控制算法探讨[J].广西工学院学报,2003,14(2):71-73.
[3] Gonzalo Camarillo,Raimo Kantola.Evaluation of Transport Protocols for SIP .IEEE Network September/October 2003.
[4] 武航星,慕德俊,潘文平.网络拥塞算法综述[J].计算机科学,2007,34(2):51-54.
[5] 郭伟.流控制传输协议研究[J].中兴通讯技术,2004(4).
ip协议范文第8篇
关键词:路由技术 算法 RIP
1、IP路由算法
IP路由算法可分为以下几种:静态和动态、单路和多路、平等和分级、源路由和透明路由、域内和域间、链路状态和距离向量。
链路状态算法发送路由信息到互联网上所有的结点,然而对于每个路由器,仅发送它的路由表中描述了其自身链路状态的那一部分。距离向量算法则要求每个路由器发送其路由表全部或部分信息,但仅发送到邻近结点上。从本质上来说,链路状态算法将少量更新信息发送至网络各处,而距离向量算法发送大量更新信息至邻接路由器。
由于链路状态算法收敛更快,因此它在一定程度上比距离向量算法更不易产生路由循环。但另一方面,链路状态算法要求比距离向量算法有更强的CPU能力和更多的内存空间,因此链路状态算法将会在实现时显得更昂贵一些。除了这些区别,两种算法在大多数环境下都能很好地运行。路由算法使用了许多种不同的度量标准去决定最佳路径。复杂的路由算法可能采用多种度量来选择路由,通过一定的加权运算,将它们合并为单个的复合度量、再填入路由表中,作为寻径的标准。
2、RIP路由协议的原理分析
RIP是基于距离矢量的路由协议。运行RIP的路由器维持一个到网络中可能目的地的路由表,路由表包含目的地址和开销等信息。具体的说,RIP协议主要包括以下几个方面的内容。
2.1计算距离矢量
距离矢量路由协议利用度量来跟踪它和所有已知目的地间的距离。这种距离信息使路由器可以找出到位于非近邻独立系统中的目的地最有效的下一跳。在RFC-1058中,有一个唯一的距离矢量单位,即跳数。在RIP中默认的跳数度量被置为1,这些距离度量用来构造路由表。路由表识别出数据包,以最小开销到达目的地所要采取的下一跳。
2.2更新路由表
RIP只记录每个目的地址的一条路由,这一事实要求RIP经常保持其路由表的完整性。它通过要求所有活跃的RIP路由器周期性的向相邻RIP路由器广播它们路由表的内容。通常,RIP依赖3个计时器来维护路由表:即更新计时器、路由暂休计时器、路由清楚计时器。更新计时器用来激发节点路由表的更新。每个RIP节点只有一个更新计时器。然而,路由暂休和路由清除计时器则是每条路由都有一个。因此,每个路由表条目中都有一个不同的暂休和路由清除计时器。总之,这些计时器使RIP节点能维护它们路由的完善性,并根据所用的时间进行激活,从而恢复网络故障。
2.3激活路由更新
大约每30s激活一次路由更新。更新路由器用来跟踪这个时间量。当这个时间量结束时,RIP发送一系列帧来维护整个路由表。这些帧广播到每个邻节点。因此,每个RIP路由器大约每30s就要接收来自邻RIP节点的更新。
2.4识别无效路由
路由变得无效的两种情况:其一,路由到期;其二,路由器可能通知某个路由器某条路由是不可用的。在这两种情况下,RIP路由器都需要改变它的路由表,来反映给定路由的不可用性。假如路由器在给定的时间内没有接收到更新某路由的信息,该路由可能到期。路由暂休定时器常设成180s,当路由激活或更新时,该定时器初始化。假如180s过去了,路由器还没有接到更新那条路由的信息,RIP路由器就认为目的IP地址不再可达。因此路由器把表中那条路由项标成无效。收到路由新近无效通知的邻节点利用该信息来更新它们的路由表。这是路由表中路由变得无效的第2种方法。无效路由表项不会自动的从路由表中清除;相反,那条无效项继续在路由表中保留很短一段时间。
2.5清除无效路由
当路由器认识到某条路由无效时,就初始化一个秒计时器,负责路由清除倒计时,这一计时称为路由清除计时器。当路由清除计时器结束时,路由仍未被收到,这一路由就从路由表中清除。这些计时器是RIP恢复网络故障能力中绝对重要的。
2.6编址方案
IETF保证RIP能够完全向后兼容所有已知的RIP和ROUTED异体。即使这些异体专用程度很高,开放标准RIP仍有必要支持多种地址类型。
2.7路由到网关
很多实际网络中,并不要计算到每个单个主机的路由。特别是在大型网络中,这会使路由表膨胀,从而使整个网络的路由工作繁重。因此在实际网络中,几乎总是概括路由,而不是指出每个可能目的地。假如一个给定的网络(或子网)上,每个主机都能通过网关到达的话,这时路由表只需定义那个网关为下一条IP地址就可以了。所有发往那个网络或子网上的数据包将发送给那个网关,这时网关就承担了把它发送到最终目的地的任务。
3、RIP协议处理过程
RIP协议的运行过程就是路由器软件对消息输入和输出处理过程,其输入和输出处理大致如下所描述。
输入处理:主要是指路由器协议软件对在520号UDP端口收到的数据报进行的处理。对于输入处理,首先必须先作一定格式检查,检查通过后,再分别对几种输入消息做相应的处理。
请求报文:路由器在开始运行时,为了从邻机处获取路由表的初始值,通常会发一个请求。报文的Command字段为。对所有或部分路由表的请求,一般以广播形式从520号UDP端口发送。实际中,这种请求有两种格式:请求获取路由表的全部和请求获取路由表的某些特定路由项。路由软件先逐个路由项地处理请求,如果没有任何路由项,也就没有响应;如果请求中恰好只有一个路由项,并且addressfamilyidentifier为0,metric为16,则表示需要接收方发送所有路由表的请求;除此之外,则是要求部分路由,处理很简单,沿着请求路由项表一个一个看,对于每个路由项,在主机路由数据库中查找,如果找到,则将该路由的metric值填入数据报的metric字段,如果没有,则向其中填16。一旦所有路由项均已处理,将command字段设为响应,并将该数据报发回其来自的端口。根据请求是否关于指定的一批目的地,还是关于整个路由表,处理有所不同。如果关于整个路由表,输出作普通的处理即可,包括水平分割和子网隐藏,因此来自路由表的某些路由项将被隐藏;如果是指定路由项,则将查找结果返回,不作水平分割,如果需要还要返回子网信息。
响应报文:因为指定查询、路由修改等原因而收到响应。不论收到什么样的响应,RIP处理程序就开始更新它的路由表。
输出处理:用于产生包含全部或部分路由表的响应信息的处理,可能由于输入进程发现请求或路由修改而触发。响应请求产生的输出可以直接按需工作,而触发的修改因为两个方面需要处理。
首先,触发的修改在容量有限或有许多路由器的网络上可能导致格外大的负载,因此协议要求实现方在限制触发式修改出现的频率上采取一定的措施,触发式修改发送后,需要随机地将一个定时器设置成1到5秒,如果在定时器超时前发生其它修改,需要到定时器超时才触发其中之一,然后定时器再随机地设置成1到5秒,触发式修改可能被一般修改所禁止;另外,触发式修改可能不必包括整个路由表,原则上说,只有改变过的路由才需要包括,作为触发式修改一部分的信息至少包括设置了路由修改标志的路由,也可以包括附加路由和全部路由。如果完整的修改需要多个数据报,则发送全部路由极有可能被打断;而触发式修改处理时,需要产生每个直连网络的信息。产生触发式修改或一般修改时,都需要进行水平分割操作。
参考文献
[1]苏传蓉.几种常见路由协议的应用.湖北邮电技术,2002
ip协议范文第9篇
关键词:TCP/IP;网络协议;防御;安全协议
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)03-0485-02
在短期内,基础TCP/IP网络协议不可能进行重新设计和部署实施,无法从根本上改变目前网络面临严重安全威胁的状况。通过部署一些监测、预防与安全加固的防范措施,是增强网络对已知攻击的抵御能力不可或缺的环节。
1 网络各层防范措施
在网络接口层,主要监测和防御的安全威胁的方法是网络嗅探,可以利用防范网络嗅探的思路,检测出局域网中的监听点,并在网络设计上尽量细分和优化网络结构,尽量消除数据广播的情况,并对关键路径上的网关、路由器等设备进行严格的安全防护,以减少网络嗅探造成的影响。此外,对于无线网络而言,应增强链路层加密的强度,同时对各类网络采用加密通信协议,使得在通信过程中,即使遭受嗅探也不会破坏数据要达到的机密性要求。
在互联层上,虽然IP、ICMP、ARP等协议中存在安全缺陷,安全问题带来的风险很难完全避免,但我们可以采用多种检测和过滤技术来发现和阻断网络中可能出现的欺骗攻击,此外也可以增强防火墙、路由器和网关设备的安全策略,对一些用于欺骗攻击的特殊数据包进行过滤,特别是对外部网络进行欺骗攻击的数据包进行出站过滤,只有如此,才能共同维护整个互联网的安全。对关键服务器使用静态绑定IP-MAC映射表、使用IP sec协议加密通信等预防机制,可以有效地增强网络对欺骗攻击的抵御能力。
在传输层,可以实现基于面向连接和无连接服务的加密传输和安全控制机制,包括身份认证,访问控制等。
应用层可以采用加密、用户级身份认证、数字签名技术、授权和访问控制技术,以及主机安全技术,如审计、入侵检测等。
2 网络各层安全协议
为了克服TCP/IP协议栈的安全缺陷和问题,互联网研究机构也在不断地研究和开发一些网络安全协议,IETF、IEEE 802等国际性的网络研究和标准化组织在不断地进行讨论和改进,并作为标准化协议规范对业界进行,使得业界能够在这些标准在网络设备、操作系统中实现和应用这些安全协议,从而增强现有网络的安全性。在TCP/IP协议栈各个层次上运用的网络安全协议如下表1所示。
2.1 网络接口层的安全协议
网络接口层的安全协议设计和标准化主要由IEEE802委员会负责推进,由于无线网络传输媒介的共享特性,因此比有线网络更加需要安全保护机制,目前常用的802.11WiFi、蓝牙(Bluetooth)等无线网络均实现了用于身份认证、加密传输和防止假冒篡改攻击的安全协议,如WEP(Wired Equivalent Privacy)和WPA/WPA2(Wi-Fi Protected Access)协议等。此外IEEE802委员会还制定了802.1X协议,提供了基于端口访问控制的接入管理协议标准,为各种不同类型网络中的用户认证和访问控制给出了通用的解决方案。
2.2 网络互联层的安全协议
网络互联层目前最重要的安全通信协议主要是IP sec协议簇。IP sec (Internet Protocol Security),即互联网安全协议,是IETF(Internet Engineering Task Force)提供的一系列的互联网安全通信的标准规范,这些是私有信息通过公用网的安全保障。 IP sec适用于目前的IP版本IPv4和下一代IPv6。IP sec规范相当复杂,规范中包含大量的标准文档。由于IP sec在TCP/IP协议的核心层――IP层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台,IP sec也是被下一代互联网所采用的网络安全协议。 IP sec协议是现在VPN开发中使用最广泛的一种协议,有可能在将来成为IPVPN的标准。
IP sec协议簇的基本目的是把密码学的安全机制引入IP协议,通过使用现代密码学方法支持机密性和认证服务,使用户能有选择地使用,并得到所期望的安全服务。IP sec将几种安全技术结合形成一个完整的安全体系,包括安全协议部分和密钥协商部分。IP sec的安全协议主要包括AH协议(Authentication Header,认证头)和ESP协议(Encapsulate Security Payload,封装安全载荷)两大部分:AH认证协议提供五连接的完整性、数据源认证和抗重放保护服务,但是AH不提供任何机密性保护服务;而ESP协议则为IP协议提供机密性、数据源验证、抗重放,以及数据完整性等安全服务。其中,数据机密性是ESP的基本功能,而带有数据源身份认证、数据完整性检验以及抗重放保护等功能。此外IP sec中还包含了密钥协商和交换协议,如Internet密钥交换协议(Internet Key Exchange,IKE),负责处理通信双方的协议及算法的协商,产生并交换加密和认证密钥,以建立起AH和ESP协议需要的通信双方安全关联(Security Association,SA)。
IP sec协议支持隧道及传输两种模式。隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。通常情况下,只要IP sec双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。它所保护的数据包的通信终点也是IPsec终点。传输模式下,IP sec主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
由于工作在互联层上,IP sec协议能够为IP协议之上的任何网络应用提供安全保护机制,而网络应用无需任何的特殊设计和实现,就可以使用IP sec.
2.3 传输层的安全协议
传输层上的安全协议主要是TLS(Transport Layer Security),其前身是由Netscape公司所开发的SSL(Secure Socket Layer),目前最新版本是IETF的TLS l.2标准化网络安全协议(RFC 5246)。TLS协议在传输层上通过密码学算法,为应用层的网络通信提供了安全的点到点传输,在Web浏览、电子邮件、即时通信和VoIP (Voice over IP)等网络应用服务中得到了广泛使用。
TLS协议基于密码学算法支持在互联网上的身份认证和通信机密性保护,能够防止窃听、干扰和消息伪造。TLS协议包括两个协议组:TLS记录协议和TLS握手协议。 TLS记录协议位于可靠的传输协议TCP之上,用于封装各种高层协议,提供的安全性具有两个基本特性。
① 加密:使用对称加密算法(如 DES、RC4等)进行数据加密,以保证传输数据的机密性,对称加密所产生的密钥对每个连接都是唯一的,对称密钥由TLS握手协议进行协商,记录协议也可以不使用加密。
② 可靠:信息传输使用密钥进行消息完整性检查,通常使用安全哈希函数(如SHA、MD5等)来计算消息完整性校验和(Message Authentication Code,MAC)。
TLS握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前,进行单向身份认证,或者彼此之间相互认证,并协商加密算法和加密密钥。
TLS协议已被用于封装整个网络栈以创建虚拟专有网络(Virtual Private Network,VPN),如开源的Open VPN软件,一些厂商也将TLS的加密和认证机制与访问授权相结合,研制出功能更强的SSLVPN产品,与传统的IP sec VPN技术相比,TLS在防火墙和网络地址转换(Network Address Translation,NAT)设备穿越方面具有内在的优势,使其在存在大量远程访问用户的环境中具有更好的易管理性。
2.4 应用层的安全协议
在应用层,安全通信协议的特点是需要针对不同的应用安全需求,设计不同的安全机制,例如HTTP安全、电子邮件、远程控制、电子交易等,在安全协议设计过程中也会尽量地使用底层协议已经提供的安全防护能力。
对于万维网访问进行安全防护的主要协议是安全超文本传输协议(Secure Hypertext Transfer Protocol,HTTPS),基于传输层安全协议TLS实现,端口号为443,通常应用于电子商务、资产管理等应用,随着近年来的发展,HTTPS在Web上逐步流行,在涉及个人敏感信息的登录及使用环节,安全的网站一般都会使用HTTPS协议进行加密传输和身份认证。
安全电子邮件协议(Secure/Multipurpose Internet Mail Extensions,S/MIME),由RSA公司提出,是电子邮件的安全传输标准。S/MIME使用PKI数字签名技术,支持消息和附件的加密传输,采用单向散列算法,如SHA―1、MD5等,也采用公钥机制的加密体系,证书格式采用X.509标准。目前大多数电子邮件产品都包含了对S/MIME的内部支持,网络管理员应启用该安全协议,从而避免了电子邮件明文传输所面临的信息泄露等安全风险。
3 结束语
TCP/IP协议是互联网得以蓬勃发展的基础,然而TCP/IP协议在开始设计时并没有考虑到现在网络上如此多的安全威胁,因此不可避免地遭遇了各种形形的攻击方式。本文介绍了网络各层上的防范措施和安全协议,包括它们的技术原理和具体过程。应对网络协议的攻击威胁,TCP/IP协议也正在进行着完善和改进,对于防御者而言,应采用最新的安全协议来武装自己的网络,从而降低网络安全风险。
参考文献:
[1] 胡银萍.浅谈常见的网络攻击及其防范技术措施[J].电脑知识与技术,2011(22).
ip协议范文第10篇
关键词:移动自组网; 无线节点; IP地址; 自动分配算法
中图分类号:TN915 文献标识码:A
1 IP地址自动分配技术简介
移动自组网中节点的IP地址自动分配技术就是在分布式运行的网络中,新加入的节点通过向网络中已经存在的节点申请自己的IP地址,或通过自身所获取的网络IP地址信息并进行相关的运算,得出自己可用的IP地址,进而为自己进行IP地址配置的协议。通过以上描述得出,移动自组网中节点的IP地址自动配置需要通过节点自身已有的信息和网络中其他节点已有的信息相互协助共同完成。由于移动自组网中节点能够随机移动,并且该网络不存在集中的地址管理节点,因此网络中新加入的节点正在寻求一种方式来自动完成IP地址的配置。移动自组网的IP地址自动分配是在某些已存在节点的协同作用下共同完成的,并不是仅仅依赖于网络中固定的IP地址管理节点。
2 移动自组网中IP地址自动配置协议的特点
由移动自组网中节点IP地址自动配置的含义可知,移动自组网中节点的IP地址自动配置协议具有如下特点:
(1)自组织。由于移动自组网是一种节点经常变化、无中心节点的无线网络,移动自组网中IP地址自动配置协议能够在这种网络环境中完成每个节点的IP地址自动配置过程。
(2)分布式。由于移动自组网是一种分布式的网络,网络中节点的IP地址自动配置协议是网络中一个或几个节点共同参与完成的,网络中的每一个节点都有可能是节点IP地址自动配置协议中的一部分。
(3)自愈性。当网络中可用IP地址耗尽,移动自组网中IP地址自动配置协议能够获得新的可用地址,从而使IP地址自动配置过程不会因为lP资源的耗尽而终止。
(4)抗毁性。因为某些原因导致网络中的某些节点无法进行通信时,新加入网络的节点也能完成IP地址自动配置过程。
3 几种典型的移动自组网IP地址自动配置协议
(1)基于硬件地址的IP地址分配
基于硬件地址的IP地址分配协议是采用基于硬件MAC地址的已知网络前缀和后缀组成的IP地址。此协议认为每块以太网卡的硬件地址具有唯一性,所以网络中节点的IP地址不能产生重复。但是该协议应该注意以下情况:①移动自组网中节点的硬件地址有可能不是采用标准的以太网MAC地址,而是使用其它格式的硬件地址;②无法保证MAC地址的唯一性,因为通过ifconfig命令或重编EEPROM可以改变网卡的MAC地址;③相同生产厂家制造的多块网卡的MAC地址有可能相同;④由于IP地址中隐含着硬件地址,所以通过节点的IP地址就能推出节点的MAC地址,这就使节点的安全性受到威胁。因此,采用基于硬件地址为节点自动配置IP地址的方法存在不足之处。
(2)预知地址分配法
基于预知地址分配法的IP地址分配协议的原理是,首先网络中的第一个节点选择一个能够产生随机数的函数f(n),由此函数产生的随机数作为节点的IP地址,函数f(n)需要很长的时间间隔才能产生两个相同的随机数。当网络中有新节点加入时,该节点便向网络中已存在节点申请IP地址,网络中已存在的节点便通过函数f(n)生成一个随机的IP地址,然后将该IP地址回复给网络中新加入的节点,下一个新加入节点的IP地址自动配置以此类推。此方法中函数f(n)能够产生的IP地址数量远远大于网络中的节点数。虽然函数f(n)需要较长的间隔时间才能生成两个相同IP地址,但是伴随移动自组网中节点的随机移动、节点间位置关系的不断变化,最终有可能导致不同节点间的IP地址冲突。
(3)MANETconf协议
在MANETconf协议中,移动自组网中的所有节点都保存着两张表:可分配IP地址表和已分配IP地址表,节点间周期性的通过广播的形式使新这两张表中的信息达到同步。网络初始化时仅存在一个节点,该节点便从可分配IP地址表中选取一个IP地址完成自身地址的配置。以后网络中新加入的节点通过网络中已存在的邻居节点来为自身配置IP地址,邻居节点选择1个未分配的地址(该地址存在于可分配IP地址表中但不在已分配IP地址表中),随后向整个网络内的其他节点广播一种特定的消息,来请求所有节点的同意,在网络中所有的节点都认为该IP地址没有被使用的前提下,邻居节点回复该IP地址给新加入的节点,同时,同步所有节点的已分配IP地址表。否则,它将重新选取地址并进行上述过程。
该协议采用广播的方式对网络中所有节点的IP地址表信息进行更新,有效避免了IP地址冲突,但是具有很大开销;当网络中加入新节点时,选择的邻居节点需要在征求网络中其它节点的同意后,才能给新加入节点分配预选好的地址,具有较大的配置延时;此外,随着网络规模的扩大,此协议的时延和开销明显增加,该算法不具有很好的扩展性。
(4)PMWRS算法
由Perkins,Malinen,Wakikawa,RoyerandSun等人研究的一个为移动自组网节点自动配置IP地址的方法,简称其为PMWRS算法。该算法的原理是,网络中新加入的节点在IP地址池169.254/16中随机选取一个IP地址,然后在网络中泛洪达到该地址的请求报文,并启动计时器。如果在计时器超时后,新加入节点没有收到任何节点的地址回复报文,该节点重新发送地址请求报文。如果节点进行几次尝试后,还是没有收到地址回复报文,该节点就认为它所选的IP地址没有被其它节点使用,并为自己配置该IP地址。但是PMWRS算法也存在着缺陷。
使用PMWRS算法的节点在泛洪地址请求报文后,如果在一定的时间内没有收到相应的应答报文,节点就以为它所选的IP地址没有被其它节点使用。但是选取计时器超时时间是一个难题。计时器超时时间太短则地址请求报文不能够被网络中的所有节点接收到。为了解决这个问题,计时器的超时时间应与移动自组网中的总节点数成正比。这样,大型的移动自组网中节点的IP地址自动配置延时将会很长。
(5)PACMAN算法
PACMAN算法中节点采用了PDAD的方式以避免进行DAD(主动冲突检测)所导致的大量开销。新加入到网络中的节点从地址空间中为自己选取1个IP地址。该算法通过分析节点进行路由更新时的数据信息,寻找存在地址重复时才可能发生的事件来发现地址冲突,并采取相应措施进行处冲突理。例如在典型的链路状态路由协议中,每个节点都需要周期性地交换含有序列号、源地址等信息链路状态消息。假如链路状态消息中每个节点序列号的变化都是有规律的,当某个节点收到的某条链路状态消息中具有与自己的IP地址相同的源地址,消息中的序列号大于自己当前的序列号,则该节点确定网络中发生地址冲突。
在地址分配过程中不产生控制信息是该算法的最大特点,该算法通过特有的路由事件来判断地址冲突,并采取相应的措施处理地址冲突,具有较小的协议开销。但该算法需要的IP地址数远远大于网络中存在的节点数,否则容易导致地址冲突,引入冲突处理算法会增大协议的开销。此外,该算法的实现针对具体的路由协议,适应范围过于狭窄。
(6)Ipv6Stateless协议
这类算法的共同特点是对整个网络先进行分群,一个群中的所有节点相距小于或等于r跳,根据节点邻居数目的多少来选举群首节点,孤立节点自立为群首。所有群内节点属于同一个子网,群首节点随机选择一个子网ID,为了保证该子网ID的唯一性,该群首节点在所有群首节点中进行DAD(主动冲突检测)。群首节点在确定下子网ID后,便向群内所有节点周期性地广播子网ID。新加入到网络中的节点首先选择一个临时IP地址,并以该IP地址在群内所有节点间进行主动检测冲突,如果发生地址冲突,则节点重新选择临时地址,并进行主动检测冲突,如果没有发生地址冲突,则将该临时地址和群首广播的子网ID合并为节点的IP地址。
该算法使整个网络实现了分群,将子网ID的DAD检测限制在群首节点之间,而临时地址的DAD检测限制在群内,降低了协议开销。但随着网络拓扑动态变化,节点的移动,维护网络分群结构的本身也需要很大的开销,所以该算法并不适合于网络拓扑变化剧烈、节点移动快的移动自组网。
结语
本文主要针对论文研究的主要内容,详细阐述了移动自组网IP地址自动配置的定义,IP地址自动配置协议的特点,为后面章节中提出的改进算法做理论铺垫。然后重点介绍了几类IP地址自动分配协议,并针对每一类IP地址自动分配协议列举了典型的、具有代表性的IP地址自动分配算法进行了简要概述,最后对这些典型算法的优劣进行了简要分析。
参考文献