网络协议分析复习_路由器ldap-优快云博客

本文链接：https://blog.youkuaiyun.com/ll22233/article/details/131264744

本文详细介绍了ARP协议的工作原理、分组格式和命令参数，TCP/IP协议簇的层次结构，TCP协议首部字段及其作用，以及OSI参考模型的层次。此外，还涵盖了TCP的连接过程、特点和流量控制，IP分组首部信息，子网掩码计算，以及常见的网络协议和端口。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1. 必须掌握ARP协议的格式、工作原理和过程、功能，arp命令主要参数等

ARP（地址解析协议）

ARP协议的分组格式：

字段说明：

硬件类型：表示硬件类型，例如：1 表示以太网；

协议类型：表示要映射的协议类型，例如 0x0800 表示 IP 地址；

硬件长度：指明硬件地址长度，单位是字节，MAC 是 48 位，6 个字节；

协议长度：高层协议地址的长度，对于 IP 地址，长度是 4 个字节；

操作码：共有二种操作类型，1 表示 ARP 请求，2 表示 ARP 应答；

发送方 MAC：6 个字节的发送方 MAC 地址；

发送方 IP：4 个字节的发送方 IP 地址；

目标 MAC：6 个字节的目的物理地址，当数据包为 ARP 请求时，目的 MAC 地址项留空，为全 0，当数据包为 ARP 应答包时，目的 MAC 地址为目标 IP 地址对应的 MAC 地址；

目的 IP：4 个字节的目的 IP 地址，当数据包为 ARP 请求包时，目的 IP 地址为待解析的 IP 地址

ARP 工作过程:

当处于同一网段中的计算机 A 要和计算机 B 进行通信时，首先计算机 A 要得到计算机B 的 IP 地址和 MAC 地址的映射关系，工作过程如下：

计算机 A 检查自己的高速缓存中的 ARP 表，判断 ARP 表中是否存有计算机 B 的IP 地址与 MAC 地址的映射关系。如果找到，则完成 ARP 地址解析；如果没有找到，则转至 2）。

计算机 A 广播含有自身 IP 地址与 MAC 地址映射关系的 ARP 请求包，请求解析计算机 B 的 IP 地址对应的 MAC 地址。

包括计算机 B 在内的网络中所有计算机接收到计算机 A 的 ARP 请求信息。

计算机 B 向计算机 A 发送单播 ARP 应答报文，通告自己的 IP 地址与 MAC 地址的对应关系，并保存计算机 A 的 IP 和 MAC 的对应关系。

计算机 A 收到计算机 B 的 ARP 应答信息后，将计算机 B 的 IP 地址与 MAC 地址的映射关系存入自己的 ARP 缓存表中，从而完成对计算机 B 的 ARP 地址解析。当处于不同网段的计算机 A 要和计算机 B 进行通信时，由于数据会先交给计算机 A 所在网络的网关，因此计算机 A 此时需要对网关的 IP 地址做 ARP 请求

ARP命令主要参数：

在命令提示符下，输入“arp -a”可以查看 ARP 缓存表中的内容，输入“arp-d”可清除 ARP 缓存

2. TCP/IP协议簇的层次及OSI/RM模型的网络层次及各层的主要作用及各层的主要协议

TCP/IP协议簇的层次/各层的主要协议：

OSI/RM七层参考模型：

网络层：

在位于不同地理位置的网络中的两个主机系统之间提供连接和路径选择。Internet的发展使得从世界各站点访问信息的用户数大大增加，而网络层正是管理这种连接的层。　

IP协议：（Internet Protocol，网际协议），而 IP 又由四个支撑协议组成：

ARP（地址解析协议）：是根据IP地址获取物理mac地址的协议

RARP（逆地址解析协议）：是根据物理mac地址获取IP地址的协议

ICMP（网际控制报文协议）：ping 网络连通性检测

IGMP（网际组管理协议）：一个组播协议，该协议运行在主机和组播路由器之间

TCP/IP与OSI/RM结构对比：

3. 面向连接、无连接的最主要区别；哪些协议是面向连接的？哪些协议是无连接的？

区别：

对无连接协议来说，每个分组的处理都独立于所有其他分组，而对面向连接的协议来说，协议实现则维护了与后继分组有关的状态信息

标准的类比是：使用无连接协议就像寄信，而使用面向连接的协议就像打电话

面向连接的协议：TCP（传输控制协议）

无连接的协议：UDP（用户数据包协议）

4. 熟悉TCP协议首部各字段含义及作用（比如RTT、RST、DF、MF等）书P151

TCP（传输控制协议）

首部格式：

当没有选项和填充字段时，首部长度是 20 字节。其中个字段含义如下：

源端口地址：长度为 16 比特，定义了在主机中发送这个报文段的应用程序的端口号，如应用程序为客户端，端口号通常为随机端口，如果应用程序为服务端，端口号通常为熟知端口。

目的端口地址：长度为 16 比特，定义了在主机中接收报文段的应用程序的端口号。

序号：长度为 32 比特，定义了本数据段中封装数据的的第一个字节的序号。在 TCP 的数据传输中，传输数据前随机产生一个数字，叫初始序号，初始序号分配给需要传输的第一个字节，此后需要传输的数据在此基础上依次递增，因此需要传输的每个字节都有一个字节序号，TCP 报头中序号字段放置的是本数据段中数据部分的第一个字节的序号。

确认号：长度为 32 比特，定义了接收端希望从源端接收的报文段的序号，通常，接收端收到源端发送的数据后，将最后一个字节序号加 1，定义为发送数据确认号发送给源端，表示此序号之前的数据均已收到。

首部长度：长度为 4 比特，定义了 TCP 首部共有多少个 4 字节，首部长度可以在 20-60 字节之间，因此在当前版本中，首部长度的值可以在 5-15 之间。

保留：长度为 6 比特，保留为今后使用。

控制字段：长度为 6 比特，定义了 6 种不同的控制位或标识（其中URG：紧急指针有效；ACK：表示确认字段值有效；PSH：推送数据； RST：连接必须复位； SYN：在连接建立是对序号进行同步； FIN：终止连接。)

窗口值：长度为 16 比特，定义了对方必须维持的窗口值，可定义的最大窗口值为 65535。

校验和：长度为 16 比特，定义了 TCP 首部、TCP 伪首部、数据进行的校验和。

紧急指针：当紧急标志位置 1 时，标识此数据包含紧急数据，紧急指针用于标识此数据段中的数据部分那些是紧急数据，紧急数据在接收端可以不按照顺序而被优先处理。

选项：TCP 选项字段用于把附加信息传递给目的端。

5. TCP的特点及工作原理

（原理太多了建议看这篇博客(14条消息) TCP 协议原理_tcp原理_王以牧的博客-优快云博客）

特点：可靠性，有连接，面向字节流

确认应答机制（可靠机制）

超时重传机制（可靠机制）

连接管理机制（可靠机制）

TCP 要经过三次握手建立连接，四次挥手断开连接

三次握手：

四次挥手：

滑动窗口（效率机制）

流量控制（可靠机制）

拥塞机制（可靠机制）

延迟应答（效率机制）

捎带应答（效率机制）

6.记住IP报文首部信息各字段及各字段的作用

上面描述的首部，不包括选项字段的 IP 头部长度为 20bytes（1byte=8bits）长度，最高位在左边，记为 0bit。最低位在右边，记为 31bits。采用 “大端” byte 序进行传输，也就是对于 4bytes 的 32bits 数据，从高位byte（0bit）开始传输 0～7，8～15，15～23，24～31bits。

各字段的含义如下：

版本：4bits，0100 值为4代表 IPv4。

首部长度：4bits，占4位，指的是包括选项字段在内的 IP 首部长度。首部单位长度为4个 byte，以有多少组 4bytes 字组来表达 header 的长度。从0000~1111，当“首部长度”表示为0001时，首部的长度是1（4bytes）。首部最大长度为15（60bytes）。

服务类型(区分服务)：8bits，前 3bits 优先级字段（现在已经不用了），后 4bits TOS字段，最后 1bit 备用位。4bits TOS位分别代表：第一位D（delay）最小时延、T（throughput）最大吞吐量、R（reliability）最高可靠性和C（cost）最小费用，只能设置其中 1bit，如果所有 4bits 均为0，那么就表示是一般服务。在抓包中显示Differentiated Services Field，叫差分服务，或叫区分服务。

总长度：16bits，包括首部和数据部分。能表示的最大长度为 65535（216-1）。且这个字段是必须的，当 IP 数据包小于 46bytes 时在以太网帧中数据将会被填充到 46bytes ，这时候如果没有这个字段我们接收到帧后便不能得到正确的 IP 数据包。

标识：16bits，它是一个计数器，用来产生数据报文的标识。数据报文在分片时标志会被复制到每一个分片中。

标志：3bits，第一位 0bit 保留；中间位DF（Don’t Fragment），DF=0 表示能分片，DF=1 表示不能分片。最低位为MF（More Fragment），MF=1 表示后面还在传输数据报的分片， MF=0 表示最后一个报文段。

(片)偏移：13bits，用于数据包分片和重组。13 位(片)偏移字段，较长的分组在分片后，某片在原来分组中的相对位置。分片偏移以 8bytes 做为计量单位，第一个分片偏移为 0。所以当 Fragment Offset 为0时，表示这个数据报文没有分片，或者第一个分片。

生存时间（TTL）：8bits，意为Time To Live，表明是数据报在网络中的寿命，单位为秒设置了数据包可以经过的最多路由器数量。

协议：8bits，协议字段指出此数据报携带的数据是使用何种协议，以便使目的主机的 IP 层知道应将数据部分上交给哪个处理过程。网络层以上的高层协议有 TCP，UDP，OSPF，EGP，IGMP，ICMP 等。

首部校验和：16bits，校验数据报的首部根据 IP 首部计算的检验和码，它不对首部后面的数据进行计算。采用的是 16bits 二进制反码求和。在上面的 Wireshark 中的 Header Checksum 显示validation disabled，表示这个软件关闭校验和的抓包功能。如果开启该功能，会显示 good 或 bad。

源地址：4bits，源主机的 IP 地址。

目的地址：4bits，目标主机的 IP 地址。

可项字段：最多 40bytes，IP首部的可变部分就是一个选项字段，用来支持排错、测量以及安全等措施，内容很丰富。选项字段的长度可变，取决于所选择的项目。增加首部的可变部分是为了增加IP数据报的功能，但这同时也使得IP数据报的首部长度成为可变的。这就增加了每一个路由器处理数据报的开销。实际上这些选项很少被使用。

7. OSI参考模型中，各层的数据传输单元

8.tracert命令工作原理及与ICMP的关系，掌握ICMP协议的作用

ICMP（Internet控制信息协议）

作用：主要用来检测网络通信故障和实现链路追踪，最典型的应用就是PING和tracert

tracert工作原理：tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机；

（TTL（Time To Live）是一个IP数据报的生存时间）

首先发送一个TTL为1的UDP报文，当到达第一个路由器时TTL减1变为0，路由器就不再转发这个数据了，而直接丢弃，并且发送一个ICMP“超时”信息给源主机，并告知自己的IP地址；

之后再发送一个TTL为2的报文，在第二跳返回TTL超时，这个过程不断进行，直至到达目的地；

在目的地，由于数据报中使用了无效的端口号（缺省为33434），目的主机会返回一个ICMP目的地不可达消息，该tracert操作结束。

与ICMP的关系：

9.必须掌握IP分组的首部长度中选项长度的计算方法。

1、为什么首部长度最小是20字节？

图中每行是32bits(即4字节)，图中标识的固定部分总共有5行，所以IP首部最小是20个字节（5行*4字节每行=20字节）

2、为什么说首部长度最大是60个字节？

首部长度是4bit，而2^4是16，所以它的取值范围是0-15(也可理解为4bit即是4个1，转换成十进制就是15)，图中每行是4个字节(32bits)，所以最大长度就是15*4=60字节。从中也就得知首部长度最小数字是5，即1001（因为IP首部最小是20字节）。

PS: 也有理解说，首部长度就是固定以4个字节为单位。所以总是长度乘4，当然结果是一样的。

3、另外记录下图中总长度字段

总长度总字是16bits，以字节为单位。所以总长度最大是65535个字节，也即是IP分组的最大长度。

总长度=(4*首部长度) + 数据长度

10.网络地址、子网掩码的计算方法；子网广播地址、网关等概念

（建议看b站视频4.4 子网划分介绍_哔哩哔哩_bilibili）

IP地址=网络地址+主机地址

ip地址分类：

子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩，它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网，以及哪些位标识的是主机的位掩码。。

子网掩码是一个32位地址，用于屏蔽IP地址的一部分以区别网络标识和主机标识，并说明该IP地址是在局域网上，还是在远程网上。

计算方式：

由于子网掩码的位数决定于可能的子网数目和每个子网的主机数目.在定义子网掩码前，必须弄清楚本来使用的子网数和主机数目。

（1）根据子网数

利用子网数来计算

在求子网掩码之前必须先搞清楚要划分的子网数目，以及每个子网内的所需主机数目。

1)将子网数目转化为二进制来表示

2)取得该二进制的位数，为 N

3)取得该IP地址的类子网掩码，将其主机地址部分的前N位置1 即得出该IP地址划分子网的子网掩码。

如欲将B类IP地址168.195.0.0划分成27个子网：

1)27=11011

2)该二进制为五位数，N = 5

3)将B类地址的子网掩码255.255.0.0的主机地址前5位置1（B类地址的主机位包括后两个字节，所以这里要把第三个字节的前5位置1），得到 255.255.248.0

（2）根据主机数

利用主机数来计算

1)将主机数目转化为二进制来表示

2)如果主机数小于或等于254（注意去掉保留的两个IP地址），则取得该主机的二进制位数，为 N，这里肯定N<8。如果大于254，则 N>8，这就是说主机地址将占据不止8位。

3)使用255.255.255.255来将该类IP地址的主机地址位数全部置1，然后从后向前的将N位全部置为 0，即为子网掩码值。

如欲将B类IP地址168.195.0.0划分成若干子网，每个子网内有主机700台：

1) 700=1010111100

2)该二进制为十位数，N = 10

3)将该B类地址的子网掩码255.255.0.0的主机地址全部置1，得到255.255.255.255

然后再从后向前将后10位置0,即为： 11111111.11111111.11111100.00000000

即255.255.252.0。这就是该欲划分成主机为700台的B类IP地址168.195.0.0的子网掩码。

11、 IPv4协议的校验和域

假设某个IPv4数据包报头为：E3 4F 23 96 44 27 99 F3 [00 00]，注意，用中括号括起来的就是checksum

checksum的初始值自动被设置为0

然后，以16bit为单位，两两相加，对于该例子，即为：E34F + 2396 + 4427 + 99F3 = 1E4FF

若计算结果大于0xFFFF，则将，高16位加到低16位上，对于该例子，即为，0xE4FF + 0x0001 = E500

然后，将该值取反，即为~(E500)=1AFF

此时，发送包已经计算完毕，下面，我们再来计算接收方的信息

若数据包正常，那么，它的报头应该是这样，E3 4F 23 96 44 27 99 F3 1A FF

此时，前18bytes的内容不变，等于E500，然后，将E500与刚刚计算的校验和1AFF相加

若计算结果为FFFF，那么，该数据包正常，没有错误

12、IPv4特点

IPv4地址空间少于40亿个，实际可以使用的更少。

IPv4不区分网络终端主机和终端设备，每台电脑都可以作为主机和路由器。路由协议管理路由表记录，常用的路由协议有路由信息协议、开放最短路径协议、边界网关协议等。

IPv4独立于特定的网络硬件，可以运行在局域网、广域网、互联网中。网络地址分配方案唯一，设备有唯一的地址。

IPv4缺乏对安全性的支持，无法实现网络实名制。网络中节点配置很复杂，不能满足用户“即插即用”的需求。

13、Ping与ICMP

ping 程序是用来探测主机到主机之间是否可通信，如果不能 ping到某台主机，表明不能和这台主机建立连接。

ping 使用的是 ICMP协议，它发送icmp回送请求消息给目的主机。 ICMP协议规定：目的主机必须返回ICMP回送应答消息给源主机。如果源主机在一定时间内收到应答，则认为主机可达。

ICMP协议通过IP协议发送的，IP协议是一种无连接的，不可靠的数据包协议。在Unix/Linux，序列号从0开始计数，依次递增。而Windows ping程序的ICMP序列号是没有规律。

ICMP协议在实际传输中数据包：20字节IP首部 + 8字节ICMP首部+ 1472字节<数据大小>38字节

ICMP报文格式:IP首部(20字节)+8位类型+8位代码+16位校验和+(不同的类型和代码，格式也有所不同)

14、了解TCP与流量控制

一般来说，我们总希望数据传输的更快一些。但如果发送方把数据发得过快，接收方就可能来不及接收，这就会造成数据的丢失。流量控制（flow control）就是让发送方的发送速率不要太快，要让接收方来得及接收。

利用滑动窗口机制可以很方便地在TCP连接上实现发送方流量控制。通过接收方的确认报文中的窗口字段，发送方能够准确地控制发送字节数

流量控制的过程：

15. TCP和UDP常用的熟知端口号

16、SYN，ACK，RST，URG等的使用

为TCP的状态：

SYN:TCP三次握手中，如果A是发起端，则A就对服务器发一个SYN报文。表示建立连接。

ACK:收到数据或请求后发送响应时发送ACK报文。

RST：表示连接重置

URG：URG成为紧急指针，意为URG位有效的数据包，是一个紧急需要处理的数据包，需要接收端在接收到之后迅速处理。

17、常见端口号及对应的协议

使用TCP协议常见端口主要有以下几种：

（1）FTP——文件传输协议——21号端口

（2）Telnet——远程登陆协议——23号端口

（3）SMTP——简单邮件传送协议——25号端口

（4）POP3——接收邮件——110号端口

（POP3仅仅是接收协议，POP3客户端使用SMTP向服务器发送邮件。）

使用UDP协议常见端口主要有以下几种：

（1）HTTP——超文本传输协议——80号端口

HTTPS——服务器，默认端口号为443/tcp 443/udp

（2）DNS——域名解析服务——53号端口

（3）SNMP——简单网络管理协议——161号端口

（SMTP真正关心的不是邮件如何被传送，而只关心邮件是否能顺利到达目的地。）

（4）TFTP——简单文件传输的协议——69号端口

另外代理服务器常用以下端口：

（1）HTTP协议代理服务器常用端口：80/8080/3128/8081/9080

（2）SOCKS代理协议服务器常用端口：1080

（3）FTP协议代理服务器常用端口：20/21

（20端口用于数据传输，21端口用于控制信令的传输，控制信息和数据能够同时传输，这是FTP的特殊这处。FTP采用的是TCP连接。）

（4）Telnet协议代理服务器常用端口：23

（5）DHCP协议——动态主机设置协议——用于内部网或网络服务供应商自动分配IP地址

DHCP：服务器端的端口号是67

DHCP：客户机端的端口号是68

18、熟悉FTP、DNS、Telnet、电子邮件

FTP（File Transfer Protocal）文件传输协议（看pdf

DNS（Domain Name System）域名系统（看pdf

Telnet 远程终端协议（看pdf

电子邮件协议：

邮件服务器是一种Internet服务软件产品，支撑着Internet众多网络服务的是各种服务协议。在选择邮件服务器产品时，要重点考虑其支持服务协议方面的能力，因为它是衡量产品性能的重要指标。与邮件服务器产品有关的网络服务协议主要有以下6个,其中我们重点介绍和我们关系最密切的两个：

1．SMTP协议

SMTP协议(Simple Mail Transfer Protocol，简单邮件传输协议)是最早出现的，也是被普遍使用的最基本的Internet邮件服务协议。正如它的名称，SMTP协议支持的功能确实比较简单，并且有安全方面的缺陷。经过它传递的所有电子邮件都是以普通正文形式进行的。它不能够传输诸如图像等非文本信息。在网络上明码传输文本信息意味着任何人都可以在中途截取并复制这些邮件，甚至对邮件内容进行窜改。邮件在传输过程中可能丢失。别有用心的人也很容易以冒名顶替的方式伪造邮件。为了克服上述缺陷，后来出现了ESMTP (Extended SMTP，扩展的SMTP协议)。

2．POP3协议

POP协议(Post Office Protocol，邮局协议)是一种允许用户从邮件服务器收发邮件的协议。它有2种版本，即POP2和POP3，都具有简单的电子邮件存储转发功能。POP2与POP3本质上类似，都属于离线式工作协议，但是由于使用了不同的协议端口，两者并不兼容。与SMTP协议相结合，POP3是目前最常用的电子邮件服务协议。

POP3除了支持离线工作方式外，还支持在线工作方式。在离线工作方式下，用户收发邮件时，首先通过POP3客户程序登录到支持POP3协议的邮件服务器，然后发送邮件及附件；接着，邮件服务器将为该用户收存的邮件传送给POP3客户程序，并将这些邮件从服务器上删除；最后，邮件服务器将用户提交的发送邮件，转发到运行SMTP协议的计算机中，通过它实现邮件的最终发送。在为用户从邮件服务器收取邮件时，POP3是以该用户当前存储在服务器上全部邮件为对象进行*作的，并一次性将它们下载到用户端计算机中。一旦客户的邮件下载完毕，邮件服务器对这些邮件的暂存托管即告完成。使用POP3，用户不能对他们贮存在邮件服务器上的邮件进行部分传输。离线工作方式适合那些从固定计算机上收发邮件的用户使用。

当使用POP3在线工作方式收发邮件时，用户在所用的计算机与邮件服务器保持连接的状态下读取邮件。用户的邮件保留在邮件服务器上。

3．IMAP4协议(Internet Message Access Protocol，Internet消息访问协议)

为用户提供了有选择地从邮件服务器接收邮件的功能、基于服务器的信息处理功能和共享信箱功能。

4．HTTP协议和HTML语言

支持这个协议的邮件服务器可以提供基于Web的电子邮件收发服务。借助HTML语言，管理员可以自己定义和编写面向用户的电子邮件服务网页。这样，用户可以使用任何Web浏览器，通过Internet在任何地点收发电子邮件。系统管理员也可以使用Web浏览器，实现对邮件服务器的远程管理*作。

5．MIME协议

多用途Internet邮件扩展(Multipurpose Internet Mail Extensions)协议。作为对SMTP协议的扩充，MIME规定了通过SMTP协议传输非文本电子邮件附件的标准。

6．LDAP协议

轻量目录访问协议(Lightweight Directory Access Protocol)。通过将相关的内容存放在统一的目录之下，目录服务为用户提供了基于客户/服务器工作方式的信息查询手段。

19、TCP/IP各层的地址名称。

TCP/IP中的地址分为：

物理地址（Physical address）：

MAC地址也叫物理地址、硬件地址或链路地址，由网络设备制造商生产时写在硬件内部。

MAC地址的长度为48位（6个字节），通常表示为12个16进制数，每2个16进制数之间用冒号隔开，如：08:00:20:0A:8C:6D就是一个MAC地址，其中前6位16进制数08:00:20代表网络硬件制造商的编号，它由IEEE（电气与电子工程师协会）分配，而后3位16进制数0A:8C:6D代表该制造商所制造的某个网络产品（如网卡）的系列号

IP地址（IP adress）：IP地址与MAC地址在计算机里都是以二进制表示的，IP地址是32位的

IP地址由“网络标识(网络地址)”和“主机标识(主机地址)”两部分组成

端口地址（Port address）：

指的是我们访问主机上的某一进程的标识符，通过端口实现了计算机之间进程的通信

20、交换式网络中捕获网络流量的基本方法

1 端口镜像

2 集线器输出

3 使用网络分流器

网络分流器是一个硬件设备，可以将它放置在网络布线系统的两个端点之间，来捕获这两个端点之间的数据包。

网络分流器分为两种基本类型，聚合的和非聚合的，两者的根本区别在于聚合的只有三个端口，非聚合的有四个端口

21、因特网使用了不同类型的地址概念，比如：邮件地址，还有哪些协议可作为地址实现寻址？

IP地址：Internet协议（IP）是互联网的基础协议，通过IP地址可以唯一地标识网络上的设备。

MAC地址：媒体访问控制（MAC）地址是网络设备的物理地址，用于在局域网中唯一标识设备。

URL地址：统一资源定位符（URL）是用于在互联网上定位资源的地址。

DNS地址：域名系统（DNS）是互联网上用于将域名转换为IP地址的系统，通过DNS地址可以找到指定域名对应的IP地址。

SIP地址：会话发起协议（SIP）是用于建立和管理多媒体会话的协议，通过SIP地址可以唯一地标识一个用户或终端设备

27、TCP通信延迟定位框架

TCP通信延迟框架通常包括以下几个阶段：

应用程序延迟：应用程序需要花费一定时间来处理数据，例如将数据从磁盘读取到内存中或对数据进行处理。

操作系统延迟：操作系统需要对数据进行处理，例如将数据从用户空间拷贝到内核空间或者进行数据包的封装和解封装。

网络传输延迟：数据在网络上传输所需要的时间，包括发送数据包的时间和接收数据包的时间。

接收端处理延迟：接收端需要对接收到的数据进行处理，例如对数据进行校验、解压缩或者进行应用层协议的解析。

其中，应用程序延迟和操作系统延迟通常被称为发送端延迟，网络传输延迟和接收端处理延迟通常被称为网络延迟。在TCP通信中，以上四个阶段所花费的时间总和就是TCP通信的延迟。为了减少TCP通信的延迟，可以采用一些优化策略，例如使用TCP加速技术、优化网络拓扑结构、采用更高效的协议等。

28、什么是“网络地图”及在网络协议分析的作用？

网络地图是指对网络拓扑结构进行可视化图形化展示的工具或方法。它可以帮助网络管理员和安全专家更好地理解和管理网络，同时也可以用于网络协议分析。

在网络协议分析中，网络地图可以帮助分析人员快速了解网络中的主机、设备和服务之间的关系，进而确定网络拓扑结构和流量路径。通过对网络地图的分析，可以识别潜在的网络安全威胁，例如未经授权的设备或服务、异常流量等等。此外，网络地图还可以帮助分析人员设计和实施网络安全策略，以及快速定位和解决网络故障

29、在交换式网络环境中进行数据包嗅探的指导准则

端口镜像：

通不会留下网络脚印痕迹，也不会因此而产生额外的数据包。

适用于：镜像路由器或者服务器端口，可以在不让客户端脱机下线的情况下进行配置。

集线器输出：

适用于：不需要考虑主机暂时下线带来的后果时；必须捕获多台主机的流量时是低效率的，因为碰撞和丢包会导致性能低下。

使用网络分流器：

适用于：不需要考虑主机暂时下线带来的后果时适用；需要嗅探光纤通信时。

由于网络分流器就是为了网络监听嗅探而设计的，而且能够跟上现代网络速度，因此这种方法比起集线器输出要更优一些。成本会过于高昂。

ARP 缓存污染：草率的，涉及网络上注入数据包，并通过重路由网络流量流经你的嗅探器。

暂时性快速实施，能够将一个设备的网络流量进行捕获，而又不用将其下线，同时端口镜像又不被支持。

直接安装：

一般不建议，如果一台主机存在故障和问题，可能会导致数据包被丢弃，或是被配置成它们无法被准确展示的样子。主机的网卡不需要设置在混杂模式。

适用于：：在进行环境测试、评估和审查性能，或是检查在其他地方捕获的数据包文件时

30、网络协议通常可以用来解决哪些问题？

数据传输：网络协议可以确保数据在网络中的传输安全、快速和可靠。

网络拓扑：网络协议可以定义网络的拓扑结构，包括网络中的节点、连接方式和数据流向等。

数据格式：网络协议可以定义数据的格式和编码方式，确保数据的正确解析和处理。

数据安全：网络协议可以确保数据在传输过程中的安全，包括数据的加密、身份验证和防止网络攻击等。

网络管理：网络协议可以提供网络管理功能，包括网络性能监测、配置管理和故障排除等。

应用支持：网络协议可以支持各种应用程序的网络通信，包括电子邮件、文件传输、视频会议和网页浏览等。

31、DHCP协议格式首部，用图表给出各个字段名称和长度。

32、TCP协议格式首部，用图表给出各个字段名称和长度。

33、ARP协议格式首部，用图表给出各个字段名称和长度。

字段说明：

硬件类型：表示硬件类型，例如：1 表示以太网；

协议类型：表示要映射的协议类型，例如 0x0800 表示 IP 地址；

硬件长度：指明硬件地址长度，单位是字节，MAC 是 48 位，6 个字节；

协议长度：高层协议地址的长度，对于 IP 地址，长度是 4 个字节；

操作码：共有二种操作类型，1 表示 ARP 请求，2 表示 ARP 应答；

发送方 MAC：6 个字节的发送方 MAC 地址；

发送方 IP：4 个字节的发送方 IP 地址；

目的 IP：4 个字节的目的 IP 地址，当数据包为 ARP 请求包时，目的 IP 地址为待解析的 IP 地址。

35、列出OSI参考模型各个层次上的一些常见网络协议

物理层：Ethernet、IEEE 802.11、SONET、ATM

数据链路层：ARP、PPP、HDLC、SLIP、IEEE 802.11

网络层：IP、ICMP、IGMP、ARP、RIP、OSPF、BGP、IPv6

传输层：TCP、UDP、SCTP

会话层：RPC、NetBIOS、SQL

表示层：JPEG、MPEG、ASCII、EBCDIC

应用层：HTTP、SMTP、FTP、DNS、Telnet、SSH、POP3、IMAP、SNMP、NTP、DHCP、SSL/TLS等。