tcpip協議范文

導語：如何才能寫好一篇tcpip協議，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

摘要：從網絡安全的角度出發，介紹TCP/IP計算機網絡體系結構、TCP/IP協議棧的層次結構、各層的功能、常用協議和信息數據包格式，對TCP/IP網絡的脆弱性，對網絡攻擊的方法進行分析。

關鍵詞：網絡對抗 TCP/IP協議 數據包

TCP/IP協議使得世界上不同體系結構的計算機網絡互連在一起形成一個全球性的廣域網絡Internet，實現信息共享，由此展開TCP/IP協議和網絡攻擊分析和研究，尋求網絡安全的措施，是有效實施計算機網絡對抗的關鍵。

一、TCP/IP協議棧

（一）因特網依賴于一組稱為TCP/IP的協議組。TCP/IP是一組通信協議集的縮寫，它包含了一組互補和合作的協議。所有協議規范均以RFC（Request for Comment）文檔給出。由于規范的不完善和實現上的缺陷使得針對網絡協議的攻擊成為可能。TCP/IP協議ISO/OSI參考模型將網絡設計劃分成七個功能層。但此模型只起到一個指導作用，它本身并不是一個規范。TCP/IP網絡只使用ISO/OSI模型中的五層。圖1顯示了一個簡單的五層網絡模型，其中每層都采用了TCP/IP協議。

在圖一中，有箭頭的線表示不同的網絡軟件和硬件之間可能的通信信道。例如，為了和傳輸層通信，應用程序必須與用戶數據報文協議（UDP）或傳輸控制協議（TCP）模塊對話。為了在應用程序間交換數據報文，應用層必須與互聯網控制報文協議（ICMP）或者互聯網協議（IP）模塊對話。但是，不管數據通過什么路徑從應用層到網絡層，數據都必須經過IP模塊才能到達網絡硬件。

（二）在TCP/IP協議體系結構中，每層負責不同的網絡通信功能。1.數據鏈路層： 建立，維持和釋放網絡實體之間的數據鏈路，它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細節，以及數據幀的組裝。典型的協議包括ARP（地址解析協議）和RARP。

2.網絡層：屬于通信子網，通過網絡連接交換傳輸層實體發出的數據。它解決的問題是路由選擇、網絡擁塞、異構網絡互聯等問題。在TCP/IP協議族中，網絡層協議包括IP協議（網際協議），ICMP協議（互聯網控制報文協議），以及IGMP協議（因特網組管理協議）。

3.傳輸層：主要為兩臺主機上的應用程序提供端到端的通信。在TCP/IP協議族中，有兩個互不相同的傳輸協議：TCP（傳輸控制協議）和UDP（用戶數據報協議）。TCP為兩臺主機提供高可靠性的數據通信，通過使用滑動窗口還可解決傳輸效率和流量控制的問題。它所做的工作包括把應用程序交給它的數據分成合適的報文段交給下面的網絡層，確認接收到的分組報文，設置發送最后確認分組的超時時鐘等。由于傳輸層提供了高可靠性的端到端的通信，因此應用層可以忽略所有這些細節。

二、常用探測技術方法

入侵者之所以能突破網絡網關是因為他們對所要突破的網絡有更多的了解。通常是使用下面幾種工具來收集信息：

1.Ping實用程序：可以用來確定一個指定的主機的位置。

2.Whois協議：具體點說，whois就是一個用來查詢域名是否已經被注冊，以及注冊域名的詳細信息的數據庫。

3.Traceroute：程序能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。

三、攻擊方法

惡意攻擊者攻擊的方法多種多樣，一般的攻擊方法有：分布式拒絕服務攻擊；網絡層協議攻擊；拒絕服務攻擊。

拒絕服務攻擊（Denial of Service），簡稱DoS。這種攻擊行動使網站服務器充斥了大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓。拒絕服務攻擊根據其攻擊的手法和目的不同，有兩種不同的存在形式。①迫使服務器緩沖區滿，不接受新的請求。②使用IP欺騙，迫使服務器把合法用戶連接復位，影響合法用戶的連接，這也是DoS攻擊的基本思想。

網絡層協議的攻擊主要包含幾個方面。①IP地址欺騙：攻擊者假冒IP地址發送數據包，從而達到偽裝成目標主機信任的友好主機得到非授權服務。② 淚滴攻擊：發送多段數據包，使偏移量故意出錯，造成主機計算出錯，系統崩潰。③RIP路由欺騙：聲明攻擊者所控制的路由器A可以最快達到某站點B，從而導致發送至B的數據包經A中轉。由于A被控制，達到完成偵聽，篡改的目的。

分布式拒絕服務DDoS（distributed denial of service）攻擊就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。DDOS和DOS還是有所不同，DDOS的攻擊策略側重于通過被攻擊者入侵過或可間接利用的主機向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致合法用戶無法正常訪問服務器的網絡資源。

分布式拒絕服務攻擊的體系結構—DDoS攻擊按照不同主機在攻擊時的角色可分為攻擊者、主控端、端和受害者。分布式拒絕服務攻擊體系結構如圖二。

攻擊者采用一些典型的入侵手段，如：通過緩沖區溢出攻擊提升用戶權限；設置后門、上載木馬；通過發現有配置漏洞的FTP服務器TELNET服務器上載后門程序；通過窺探網絡信息，非法獲得用戶名和口令，獲得目標主機權限；通過社交工程，冒充目標主機所有者向不知情的信息服務部門打電話、發郵件獲得目標主機口令、密碼，非法入侵目標主機等等，以獲得一定數據量和規模的主機的控制權，然后在這些主機上安裝攻擊軟件。主控端的控制傀儡機用于向攻擊傀儡機攻擊命令，但控制傀儡機本身不參與實際的攻擊，實際攻擊由端的攻擊傀儡機實現，受害主機接收到的是來自攻擊傀儡機的數據包。攻擊者在實施攻擊之前，被設置在受控主機上的程序與正常的程序一樣運行，并等待來自攻擊者的命令。

四、保障網絡安全的措施

1. 防火墻技術

防火墻技術是網絡安全的第一道門戶，實現信任網絡和外部不可信任網絡之間的隔離和訪問控制，保證網絡系統服務的可用性。防火墻的結構通常包括：①包過濾型防火墻。對進出內部網絡的所有信息進行分析，并按照一定的安全策略對進出內部網絡的信息進行限制。②雙宿網關防火墻。它由裝有兩塊網卡的堡壘主機做防火墻，對內外網實現物理隔開。它有兩種服務方式：一是用戶直接登錄到主機上；二是雙宿主機運行服務器。③屏蔽子網防火墻。它使用兩個屏蔽路由器和一個堡壘主機，也被定義為單DMZ防火墻結構。

2. 入侵檢測系統

入侵檢測系統作為防火墻之后的第二道屏障，通過從網絡中關鍵地點收集信息分析，對違反安全策略的行為作出相應。入侵檢測是個監聽設備，一般部署在防火墻附近比較好。放在防火墻之外的DMZ中，可以使監聽器能夠看見所有來自Internet的攻擊，從而了解被攻擊的重點方面。放在防火墻之內，減少攻擊者的行動被審計的機會，減少誤報警，而且如果本應由防護墻封鎖的攻擊滲透進來，可以發現防火墻的設置失誤。

篇2

關鍵詞：TCP/IP協議；網絡安全；分析

TCP/IP協議是指一個允許不同軟硬件結構計算機進行通信的協議族，是能將各個不同結構計算機連接起來的主要技術平臺，也是實現計算機資源共享的技術支持。其中我們常說的Internet互聯網就是建立在協議之上的計算機信息技術。TCP/IP協議主要有包括四個層次，第一層是應用層，是實現使用者去訪問、去具體使用的平臺，比如說常用的后綴網址等；第二層是傳輸層，是將用戶使用平臺與計算機信息網內部數據結合的通道，實現數據的傳輸與共享，有TCP、FTP等；第三層就是網絡層，是負責網絡中的數據包傳送，并提供鏈接導向以及相關的數據報服務等；最后一層是網絡訪問層，是網絡的接口層，也稱數據鏈路層，能處理不同通信媒介的相關信息細節問題，比如說常見的以太網、ARP等。基于TCP/IP協議上互聯網的信息傳輸范圍變得更廣泛，且傳輸的內容來源更多，對傳輸對象以及輸送對象的信息安全要求降低，且多個端口使得數據信息被處理的步驟較多，不能對其保密性起到保障作用，TCP是使用一種介乎集中與動態分配之間的端口分配，端口也被分為保密與自由端口，這在一定程度上又大大增加了網絡信息安全風險。下面就幾個網絡安全的主要問題進行分析。

1基于TCP/IP協議分析的網絡安全問題

1.1應用程序層的TCP/IP協議。首先在應用程序層的TCP/IP協議，可能產生的網絡安全問題PTP的網絡接口接收到原本不屬于主機的數據，通常使用在應用程序層的設計是一個共享的端口，由于特定類型的端口設計成本費用較高，因此在接收數據共享平臺很容易得到不屬于應用平臺的相關收據，因此引入一些木馬病毒，導致里面的數據，網絡安全問題。為此，我們可以在應用平臺設置特殊的加密文件，可以設置一個密碼特殊信息內容可以允許接受和運輸，在完全接受所有信息的情況下，減少信息被惡意攻擊的風險。此外，網絡分割處理，應用平臺上設置更多的新聞發現信息渠道，一層一層過濾不符合安全信息，并沒有一個可靠的信息來源，從而減少網絡信息安全問題。1.2傳輸層TCP/IP協議。其次在傳輸層TCP/IP協議也有網絡安全問題的風險，例如在ICMP傳輸通道，ICMP是IP層的一部分，是在軟件和機器之間的傳輸和控制信息無連接協議。任何端口的計算機IP軟件發送一個PINGICMP文件，文件傳輸，申請是否可以允許ICMP將源主機對應的響應，這個命令可以檢測是否合法的消息。基本上所有應用程序數據的傳輸層同意，軟件編程的主要原因不能智能識別惡意信息，在TCP/IP網絡和以太網，常見防火墻和網絡安全防護系統通常是自動默認端，而忽視可能存在安全風險。1.3TCP/IP協議在網絡層。然后在TCP/IP協議在網絡層也有網絡安全的風險問題，主要表現為IP欺騙，因為TCP/IP協議的信任機制非常簡單和方便，所以很多的IP欺騙利用這一特點，利用虛假信息來假裝重要的數據信息。許多身份只有所有者的IP地址，這里篡改的IP地址可以攻擊主機數據管理中心。我們可以設置更多的IP地址來識別不同的檢查點，在確定正確后可以給IP流量，除了加強網絡防火墻的防護功能，網絡信息安全。1.4ARP欺騙的TCP/IP網絡層。最后，在TCP/IP協議和ARP欺騙的網絡層的網絡安全問題。主機IP數據包的過程中會有一個或多個主機使用網絡級別的第一層，和ARP源主機第一個查詢工具，在沒有找到對應的物理地址的IP地址將發送主機包含物理地址與IP地址的主機的信息。與此同時，源主機到目的主機將包含它自己的IP地址和ARP檢測應答。如果在ARP識別鏈接錯誤，直接應用到目標主機的可疑信息，如攜帶病毒，如果惡意攻擊使用ARP欺騙會導致網絡信息安全漏洞。為此，應加強其保護功能的ARP識別鏈接，建立更多的識別水平，不僅按照名稱作為主要依據識別IP，也指IP的相關屬性，等等。

2TCP/IP協議安全問題的防范

對于SYNFlood攻擊，目前還沒有完全有效的方法，但可以從以下幾個方面加以防范：（1）對系統設定相應的內核參數，使得系統強制對超時的SYN請求連接數據包的復位，同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的SYN請求數據包。（2）建議在該網段的路由器上做些配置的調整，這些調整包括限制SYN半開數據包的流量和個數。（3）建議在路由器的前端TCP攔截，使得只有完成TCP三次過程的數據包才可以進入該網段，這樣可以有效的保護本網段內的服務器不受此類攻擊。

3TCP/IP各層的安全性和提高各層安全性

網絡層的安全性；傳輸層的安全性；應用層的安全性。一般來說，在應用層提供安全服務有幾種可能的做法，一個是對每個應用（及應用協議）分別進行修改。一些重要的TCP/IP應用已經這樣做了。在RFC1421至1424中，IETF規定了私用強化郵件（PEM）來為基于SMTP的電子郵件系統提供安全服務。Internet業界采納PEM的步子太慢的原因是PEM依賴于一個既存的、完全可操作的PKI（公鑰基礎結構）。建立一個符合PEM規范的PKI需要多方在一個共同點上達成信任。作為一個中間步驟，PhilZimmermann開發了一個軟件包，叫做PGP（PrettyGoodPrivacy）。PGP符合PEM的絕大多數規范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，暨由每個用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個全局的PKI，而是讓用戶自己建立自己的信任之網。

4總結

最重要的是，在一些基于TCP/IP協議的網絡安全問題的分析和討論，我們了解到應用程序層、傳輸層、網絡層、傳輸層可能有幾個方面，如網絡安全風險。風險的主要原因是由于信任機制的協議設計相對簡單，審定的信息來源不到位，使大量的惡意內容利用漏洞，導致很多軟件欺騙。在解決這些問題，因此，我們需要在網絡信息傳輸通道和信息識別單元和數據存儲信息鏈接中增加安全保護，增強警惕詐騙信息的意識，建立更多的保護環節，避免之間信息傳輸的可訪問性。在未來，我們將繼續進一步探索相關結構的網絡信息安全保護功能，提出更科學、有效的措施，加強我國網絡信息安全，促進我國網絡信息產業的發展。

作者:張帥亮 張向磊 馬鵬博 單位:河南科技學院

參考文獻：

[1]基于ARP數據包調度系統連接狀態檢測[J].電力系統自動化，2006.

[2]基于技術PVLAN針對ARP欺騙技術研究[J].計算機知識和技術(學術)，2007.

[3]校園網的ARP欺騙攻擊和保護[J].福建計算機學報，2007.

篇3

【關鍵詞】 嵌入式 TCP/IP協議 以太網

一、引言

嵌入式網絡通信在各個方面都得到了非常廣泛的運用。目前最常見的就是總線和USB數據傳輸方式，傳輸速度即使可以達到較快的水平，但是其并不能夠滿足長距離的數據傳輸。因此，以太網能夠彌補其在數據傳輸方面的缺陷。以太網能夠實現一百米距離點對點的數據傳輸，如果要實現更加遠距離的數據傳輸，則需要使用路由器或者交換機來完成。此文基于對CP2200嵌入式TCP/IP協議進行探究，并實現以太網嵌入式系統設計。

二、嵌入式TCP/IP協議的探究與實現

TCP/IP協議棧從上到下分別是由應用層、運輸層、網絡層和網絡接口層所組成的四層結構，每一層各司其職，都有著不同的網絡協議。依據軟件實際使用的情況，在嵌入式系統當中為了達到網絡通信的目的，需要對TCP/IP協議族進行裁剪。在對軟件進行初始化的時候，也對單片機同時進行了初始化，其中包括對系統時鐘、定時器、端口和串口進行了初始化。當然還有CP2200進行初始化，其中包括對MAC層和物理層進行初始化，并且中斷使能。

在TCP/IP協議棧當中，運用層包含HTTP協議，運輸層包含TCP協議和UDP協議，網絡層包含ARP協議、IP協議和ICMP協議。以下是嵌入式TCP/IP協議的每個模塊的實現流程：

1、HTTP協議模塊。HTTP協議的發送函數http_send（）即是TCP協議的發送函數和數據信息的結合，但是http_ send（）函數主要是實現設計網頁內容，JPEG的圖片和HTML（超文本標記語言）等信息的使用依靠其函數實現。

2、TCP協議模塊。TCP協議的發送函數tcp_send（）是需要發送一個不包含任何數據的TCP報文，其作用是能夠對字節頭和校驗和進行處理。通過對時間功能的設定，TCP協議的重傳函數tcp_retransmit（）能夠實現對數據最多為兩次重傳的傳輸功能，實現傳輸功能的應用程序是依靠傳送頁數據而實現的，即是HTTP服務程序。TCP協議的保活函數tcp_ inacivity（）是沒半秒運行一次，當連接正在建立的狀態下，保活期滿了的時候并且沒能被再次使用，就會中斷連接。TCP協議的接收函數tcp_rcve（）實現對字節頭和校驗和的運算，進而對HTTP服務程序和其連接狀態等情況進行斷定，最后進行TCP有限的狀態機判斷數據包的程序。

3、UDP協議模塊。UDP協議的發送函數udp_send（）能夠實現對字節頭和校驗和進行處理，其接收函數udp_rcve（）是對所接收的UDP報文進行處理，如果沒有受到UDP報文數據，就需要發送ICMP終點不可到達報文。

4、ARP協議模塊。ARP協議的發送函數arp_send（），在發送請求報文的時候，對于不清楚目的物理地址的，則是廣播報文；在發送應答報文的時候，接收的一方的目的物理地址需要添加物理地址。ARP協議的重傳函數arp_retransmit（）能夠實現當其發出ARP請求之后的半秒時間內沒有任何響應，則進行再一次發送的功能，但是當兩次發送沒有得到響應就會對報文進行刪除。ARP協議的緩存更新函數age_ arp_cache（）能夠每一分鐘更新一次。ARP的解析函數arp_ resolve（）能夠對所發送的IP報文目的IP地址進行解析，如果發送IP地址和目的IP地址都不在相同的一個網絡當中，那么此IP地址是網關IP地址，然后在緩存表當中對其進行查找，如果找不到就需要發送ARP請求報文。ARP協議的接收函數arp_rcve（）能夠實現對報文進行接收或者應答，對緩存表需要進行更新和重新定時，如果所接受的報文是應答報文，則需要發送等候地址解析的IP報文，但是所接收到的報文是請求報文 ，則需要發送ARP應答報文。

5、IP協議模塊。IP協議的發送函數ip_send9（）能夠實現對發送IP報文的20字節頭和校驗和進行處理，進而使用網絡接口層進行發送。IP協議接收函數ip_rcve（）能夠根據版本情況和所接收報文的種類轉移到相應的接收函數來處理。

6、ICMP協議模塊。ICMP協議模塊的接收函數icmp_ rcve（）是實現對ping請求的接收進行處理，并且處理ICMP不同種類的報文。其中Ping命令請求信息函數ping_send（）是用來檢測發送接收兩方的接收情況。

三、結言

綜上所述，此文對TCP/IP的網絡結構中的各層協議模塊進行探究，基于網絡控制芯片CP2200的以太網接口和單片機C8051F340，并用編程語言來實現嵌入式以太網通信，同時進一步通過對各個層協議的裁剪，實現嵌入式以太網的數據通信。根據現階段來看，嵌入式網絡通信基本上都是依靠TCP/IP協議來實現的，嵌入式設備和網絡兩者相結合是嵌入式系統今后發展的主要方向。因此，我們要更加深入地對嵌入式TCP/IP協議進行探究以及更深層次的功能實現。

參 考 文 獻

篇4

隨著科學技術的不斷進步，社會經濟的不斷發展，人們生活水平的逐漸提高，互聯網已深入融入進人們的日常生活中，電子信息技術也是維持人們正常生活運作的重要技術支持，當下已進入一個網絡信息化的大數據時代。互聯網帶給人們生活便利的同時也伴隨著一定的信息泄露等安全風險，當下人們的隱私被侵犯的現象越來越多，為了捍衛人們基本權利，營造一個安全穩定的網絡環境。本文就基于TCP/IP協議的幾個網絡安全問題進行探討與分析。

【關鍵詞】TCP/IP協議 網絡安全 分析

1 TCP/IP協議概述

TCP/IP協議是指一個允許不同軟硬件結構計算機進行通信的協議族，是能將各個不同結構計算機連接起來的主要技術平臺，也是實現計算機資源共享的技術支持。其中我們常說的Internet互聯網就是建立在協議之上的計算機信息技術，TCP/IP協議主要有包括四個層次，第一層是應用層，是實現使用者去訪問、去具體使用的平臺，比如說常用的后綴網址等，第二層是傳輸層，是將用戶使用平臺與計算機信息網內部數據結合的通道，實現數據的傳輸與共享，有TCP、FTP等，第三層就是網絡層，是負責網絡中的數據包傳送，并提供鏈接導向以及相關的數據報服務等。最后一層是網絡訪問層，是網絡的接口層，也稱數據鏈路層，能處理不同通信媒介的相關信息細節問題，比如說常見的以太網、ARP等。在基于TCP/IP協議上互聯網的信息傳輸范圍變得更廣泛，且傳輸的內容來源更多，對傳輸對象以及輸送對象的信息安全要求降低，且多個端口使得數據信息被處理的步驟較多，不能對其保密性起到保障作用，TCP是使用一種介乎集中與動態分配之間的端口分配，端口也被分為保密與自由端口，這在一定程度上又大大增加了網絡信息安全風險。下面就幾個網絡安全的主要問題進行分析。

2 基于TCP/IP協議的網絡安全問題分析

2.1 在TCP/IP協議的應用層中

首先在TCP/IP協議的應用層中，可能會產生的網絡安全問題有在PTP網絡上接口中接收到原本不屬于主機的數據，通常應用層設計都是在采用的是共享端口，由于具體的一個類型端口設計所要耗費的資金成本較高，因此在這種接收數據共享的平臺上很容易收到并不屬于平臺應用的相關收據，由此引進一些木馬病毒，導致里面的數據泄露，引發網絡安全問題。針對此，我們可以在應用平臺上設立專門的加密文件，對于特殊信息內容可以設置一定的口令才能允許接受與傳輸，以防對所有信息的全接受，降低惡意信息攻擊的風險。另外，還能對網絡進行分段處理，在應用平臺上多設置幾個消息查找的信息渠道，一層一層篩選掉不符合安全性能的信息，以及不具備可靠來源的信息，從而減少網絡信息安全問題產生。

2.2 在TCP/IP協議中的傳輸層上

其次在TCP/IP協議中的傳輸層上也有存在網絡安全問題的風險，比如說在ICMP傳輸通道上，ICMP是IP層的一個部分，是在軟件與機器間傳輸與控制信息的無連接協議。在計算機IP軟件中任何一個端口給ICMP發送一個PING文件，用以申請是否能夠允許文件傳輸，ICMP都會做出一個相應的回答給源主機，此命令可以檢測消息是否達到目的主機上。基本上傳輸層對所有申請傳輸的數據都會給予同意，原因主要PING軟件編程不能智能識別出惡意信息，也都普遍存在于ICP/IP網絡以及以太網中，一般防火墻和網絡安全防護體系都自動默認PING的存在，而忽視了其可能會存在的安全風險性。

2.3 在ICP/IP協議中的網絡層上

然后在ICP/IP協議中的網絡層上也有產生網絡安全問題的風險，主要表現是IP欺騙，由于ICP/IP協議的信任機制十分簡單且方便，因此很多IP欺騙都利用了這一特點，用虛假信息來冒充重要數據信息。很多身份確認都只是通過機主的IP地址來進行，這里只要篡改一下IP地址就可攻擊主機侵入數據管理中心內。針對此我們可在IP地址識別中多設立幾道關卡，在十分確定IP正確性后方可給予通行，另外還要加強網絡防火墻的防護功能，保障網絡信息安全。

2.4 在TCP/IP協議上的網絡層ARP欺騙

最后，在TCP/IP協議上的網絡安全問題還有在網絡層中的ARP欺騙。在IP數據包發送至主機過程中會有一個或多個子網的主機利用網關卡來作為第一個驛站，而ARP作為源主機的第一個查詢工具，在查找不到IP地址對應的物理地址時就會向主機發送一個包含了主機與IP地址的相關物理地址信息，同時源主機還會向目的主機發送包含自身IP地址與ARP檢測的回答。若在ARP識別環節中出錯，那么可疑的信息申請會直接進入到目標主機中，像一類攜帶有病毒的惡意攻擊若采用ARP欺騙則會造成網絡信息安全泄露。針對此，在ARP識別環節中要加強其防護功能，多設立幾道識別關卡，不能只依照IP名來作為識別的主要依據，還要參考IP的相關性質等。

3 總結

綜上所述，在基于TCP/IP協議的幾個網絡安全問題分析與討論中，我們了解到了分別在應用層、傳輸層、網絡層、網絡傳輸層等幾個方面可能會存在的網絡安全風險。造成風險的主要原因有因協議的信任機制設計較簡單，在對信息來源的檢驗與審查做的不夠到位，使得很多惡意信息內容鉆了空子，造成很多軟件欺騙。因此，在針對這些問題中我們需要在網絡信息傳輸渠道以及信息識別單位還有信息數據存儲等環節內加大安全防護，提高對欺詐信息的警惕性，設立多出防護環節，避免信息之間傳輸的無障礙性，今后，我們還將繼續深入探究網絡安全信息防護的相關結構功能，用以提出更加科學有效的解決措施，增強我國網絡信息安全性以及推進我國網絡信息行業發展做努力。

參考文獻

[1]楊春，周明天.SOCKS協議在防火墻中的應用研究[J].電子科技大學學報，1999（02）.

[2]董張卓，唐明，周鴻.基于ARP報文的調度主站系統鏈路狀態探測[J].電力系統自動化；2006（15）.

[3]宋志.基于PVLAN技術的防ARP欺騙技術探討[J]；電腦知識與技術（學術交流），2007（14）.

[4]捂鰨文靜華.校園網內ARP欺騙攻擊及防范[J].福建電腦，2007（05）.

[5]藍玉龍.TCP/IP協議及其工作原理[J].廣西民族學院學報（自然科學版），2000（02）.

作者簡介

李江暉（1984-），男，廣東省廉江市人。碩士學歷。現為75240部隊助理工程師。

篇5

【關鍵詞】計算機多線程 協議還原 方法概述

1 協議并行處理方法

1.1 數據包級別并行方法

在協議棧并行處理方法中，數據包級別并行方法是一種并行度最高的處理方法。對于不同的數據包都會按照對應的處理器進行系列處理，達到同時處理多個數據包或者是歸屬于同一個鏈接的數據包。因巨大的吞吐性能以及不存在負載均衡的優勢得到了廣泛運用。雖然其具有高度的并發性，但是在面對帶有上下文信息或狀態的協議來說，例如TCP，可以獲得的性能提升空間受到了很大的約束。

1.2 函數級別并行方法

函數級別并行方法主要運用于早期的協議并行處理中。早期協議是將鏈路控制數據和傳送數據置于同一個數據包中，這就意味著協議并行處理的函數必須要同時處理鏈路控制數據外加上傳送數據，從而出現的一個問題就是協議處理函數單元之間務必會存在大量的上下文相關結果。

1.3 協議棧層次間并行方法

協議棧層次間并行方法主要運用于目前網絡協議的層次結構中。在早期設計相關網絡協議時，為了大幅度的降低協議實現難度而將每個層次協議設計成為了相對獨立的部分，從而完成獨立層間之間的并行處理。但是就目前實際情況來看，這種方法雖然有許多的優勢，但是性能受到了層次結構中吞吐量最低層次結構的限制，所以目前需要對協議棧中的每一個層次進行研究，優化吞吐量最低的層次結構。

2 基于連接性多線程TCP/IP協議并行處理方法概述

2.1 TCP/IP協議棧多線程并行化存在的問題

TCP/IP協議棧多線程并行化存在的問題主要存在于臨界鎖以及處理器之間的負載均衡情況上。考慮到臨街鎖解決共享沖突的代價極大問題，多線程并發程序雖然可以解決部分問題，但是又帶來了諸如臨界區碰撞、內核陷入等等問題，影響程序的運行效率。因此，對于多線程并行的TCP/IP協議而言，消除臨界鎖問題是至關重要的。對于處理器之間的負載均衡情況，需要考慮的就是協調好處理器之間的負載均衡問題。

2.2 多線程TCP/IP協議棧的結構

本文所要分析的多線程TCP/IP協議棧結構主要還是共享內存多處理器平臺運行下的多線程TCP/IP協議棧結構，其基本的特點就是當共享內存對處理器平臺上的處理器數量增加時，其結構的性能也隨之增加。多線程TCP/IP協議棧結構如圖1所示。

2.3 處理器均衡措施

處理器均衡措施具體可以細化分為兩個步驟。第一個步驟就是對IP數據包中的三元組即源地址、目的地址以及協議標識，按照一定的標準進行分發。僅僅采取第一步不能夠對處理器進行深度的處理，需要借助于第二個步驟。第二個步驟包括設置協議棧、促進操作系統借助于任務調度完成負載均衡的操作。后者的時間點在于運行線程數不小于硬件平臺的處理器數量。按照上述順序，可以達到處理器負載均衡的目的。

3 實驗方案結果

從本文的實驗方案測試結果中可以看出，首先單線程下的程序只能夠通過串來執行，從而不能夠發揮出處理器的實際性能。其次，在處理器的數量和線程數量對等的情況之下，也不能夠發揮出系統硬件的全部性能。最后，在處理器數量小于協議棧線程數量的時點，通過適當的增加線程數量，可以在很大程度上提高整個系統的吞吐量。另外，對于內存分配方式對系統性能的影響上，結合實踐經驗以及實驗方案結構可以發現，相比PtMalloc以及SmartBits而言，FixMalloc可以降低動態內存分配過程中出現的處理器消耗，降低的幅度值大概在8.12%上下。

4 結束語

由于現代處理器性能和網絡傳輸能力發展之間存在的很大的不平衡，從而推進了多處理器的發展。本文從網絡協議還原技術出發，提出了一整套的多線程并行的TCP/IP協議的相關還原方案。此外，在通用性的多處理器計算平臺的實際操作過程中發現，雖然計算機多線程TCP/IP協議還原技術可以很好的保障當下處理器平臺性能的發揮，但是對于進一步提升網絡入侵監測系統協議還原能力以及挖掘高性能處理器平臺，以此來協調處理器性能和網絡傳輸能力發展不平衡的矛盾，將是下一階段研究和探究的重點內容。

參考文獻

[1]Bjorkman M，Gunningberg P Performance Modeling of Multiprocessor Implementations of Protocols[J]，2009，11（03）：142-145.

[2]田偉，顧韻華，丁妮.網絡行為監測與還原系統及關鍵技術研究[J].計算機工程與設計，2011，29（02）：111-113.

[3]譚敏生，湯亮.基于HTIP的網絡數據包還原技術研究[J].計算機技術與發展，2011，17（06）：14-16.

篇6

亞當·斯密進行的是具體的動機－行為分析，哈耶克則通過抽象的行為－規則分析，來研究自生自發秩序。哈耶克把人的“天賦”/“傾向”和“才能”，統統看作“個人知識”。亞當·斯密所分析的是人在自利心和自然傾向的驅動下，通過交易而產生的分工秩序，哈耶克分析的則是人類在每個人的個人知識基礎上不斷擴大的合作的擴展秩序。哈耶克的規則分析不再以顧客和面包師之間的交易行為為中心，而是轉向交易規則的研究，這種研究必然是歷史的和社會的。

哈耶克對自生自發秩序的研究建立在對三種行動和知識的關系的分析上：

1、個人行動與他人知識的關系：一個人無法替他人決策，因為他無法占有他人的全部個人知識，而這種個人知識是和他人特定的時空情景結合在一起的。

2、個人的行動與他自己的知識的關系：一個人無法甚至確切地知道他自己所擁有的知識。對自己的行為，他可能也是“知其然”（know what）而不“知其所以然”（know how）。

3、個人的行動和整個文明累積的知識的關系：一個人對他依照從事的那一套文明社會的普遍抽象規則并不能確切的知道和清晰地表述。這里的普遍抽象規則就是哈耶克意義上的法律，國會或政府的立法并不一定是這種普遍抽象規則的確切表述。這就是哈耶克所謂“法與立法”的二元觀。

“法與立法”的二元觀帶來很多意涵。在哈耶克看來，普通法是一種典型的自生自發秩序。普通法法理學認為，規則并不是制定的，而是發現的。制定法只是法律淵源之一，而不是法本身，法官要通過法律解釋和法律推理來發現適用于具體個案的規則。先例制度保證了，正確的解釋和推理可以被挑選出來，錯誤的、不適當的解釋和推理能夠被剔除，因此普通法是一個不斷進化的法律體系，就像民族語言一樣。

互聯網是最新的自生自發秩序的例子。這一點可以通過TCP/IP協議的“發現”過程來說明：

1、1969年9月，美國加州大學洛杉磯分校第一次把接口信號處理器（IMP）和主機連接起來。1969年12月擴展到4個節點。1969年4月，克洛克發表第一份RFC（征求意見稿），此后成為互聯網上開放標準的主要形成方。每個人都可以通過RFC提出建議標準（proposal standard），試行6個月以上，至少開發兩種實現，并不斷測試，解決所有問題，然后可以變為草案標準（draftstandard），保持4個月，開發和測試更多的實現，才有可能成為互聯網標準（Internetstandard）。1970年12月，克洛克領導網絡工作小組制定出最初的主機－主機協議NCP.

2、1974年，文頓·瑟夫發表“分組網絡互連的一個協議”，提出TCP協議。后來分成TCP和IP兩個協議，合稱TCP/IP.目前，TCP/IP已經發展成一個分層的協議簇，包含著上千個協議。現在的協議的標準化由互聯網協會協調維護，由志愿者組成的IAB（Internet ArchitectureBoard）是ISOC的技術顧問組。這是一個非官方的完全公開的自愿組織，任何人都可以成為它的會員，參與其討論，參加它的郵件列表沒有任何限制。

3、1983年1月1日，NCP由于沒有TCP/IP強大，停止使用。

4、80年代，TCP/IP遇到了官方的挑戰。ISO（國際標準化組織）正式提出了一個官方的協議OSI.OSI雖然得到了美國、歐洲政府的支持，但過于學術化，而且沒有得到實際應用的檢驗。在這場官方標準和事實上的工業標準之爭中，開放自由的TCP/IP標準戰勝了官方標準OSI.

上述事實可以給我們許多啟示。TCP/IP是一種自由開放的標準，不斷地被人們發現，不斷地優勝劣汰－甚至淘汰官方制定的標準，并且不斷地演化。在互聯網這個自生自發秩序中，“標準只能被發現，不能被制定”。

中國互聯網近些年來發展迅速。從官方到民間一直有呼聲對互聯網的發展進行規制。最近中國政府出臺了一系列的行政法規和行政規章：9月25日，國務院《電信條例》和《互聯網信息服務管理辦法》；11月6日，信息產業部《互聯網電子公告服務管理規定》；同日，信息產業部、國務院新聞辦《互聯網網站從事登載新聞業務管理暫行規定》。這些著眼于貫徹政府意志的行政法規和規章對中國的互聯網發展帶來沉重打擊。

不過，中國的互聯網法律有制定的部分，也有“發現”的部分，當前人們討論的基本只是中國互聯網制定的這一部分，往往忽視可能價值更高的“發現”的那一部分。近來中國有一系列關于互聯網的法律糾紛。由于沒有現成的法律，對這些案子的判決都需要法官去發現規則。比如，在易家訴國網案中，法官確定了“對將知名商標注冊為域名構成域名搶注”。在陳衛華訴成都《電腦商情報》案中，法官提出了確定網絡作品的作者的方法。在瑞得（集團）公司訴宜賓市翠屏區東方信息服務有限公司著作權侵權糾紛案中，法官界定了“網頁是著作權意義上的作品”，以及互聯網上著作權侵權的司法管轄原則（服務器所在地及終端計算機所在地均可視為復制行為的行為地，瑞得選擇自己服務器所在地的北京市海淀區人民法院起訴原在四川的東方公司侵犯著作權并無不當）。在王蒙等六作家訴首都在線案中，法官確定了“網絡傳播是使用作品的一種方式，作品傳播方式的不同，并不影響著作權人對其作品傳播的控制權利。”在《大學生》雜志社訴263和李翔個人網頁侵權案中，法官確定提供個人主頁服務的網絡服務提供商的責任。

篇7

關鍵詞：共享神盾 共享神矛 網絡尖兵 IPID

一、 檢測原理簡析

現在電信運營商的帶寬越來越大，Internet技術的發展和高昂的接入價格，使得越來越多的用戶采取合租方式通過路由上網。但是有線寬帶由于沒有無線寬帶那種SIM防復制，防止破解等技術，因此控制路由器上網一直是他們研究的重點。

原來電信運營商常用SMTP檢測技術來判定是否路由，但是隨著時代的發展和設備的更新，現在運營商很難從設備層來控制用戶，于是更新的檢測技術，采用IPID判定法、TTL判定法、時間戳判定法、User-Agent判定法等方法來檢測路由后面的用戶數。

（1） IPID判定法：根據Windows協議棧的特性，一臺計算機IPID值是連續的。通過分析IPID值的跳躍我們可以得出計算機的臺數。Windows網絡協議棧實現時，ID字段的值隨著發送IP報文數的增加而增加，IPID的初始值是隨機值，一般說來，不同主機的初始值有較大差距。由于Linux、Unix的IPID是隨機值，故此判定方法對Linux、Unix無效。

（2） TTL判定法：TTL指生存時間，指定數據報被路由器丟棄之前允許通過的網段數量。TTL 是由發送主機設置的，以防止數據包不斷在 IP 互聯網絡上永不終止地循環。轉發 IP 數據包時，要求路由器至少將 TTL 減小 1。不同的操作系統其TTL不同：LINUX 為64，WIN2K/NT為 128，WINDOWS9X 系列 為32，UNIX 系列為255。如果檢測到有多個TTL的值則可以斷定有多臺主機。

（3） 時間戳判定法：由于不同主機的物理時鐘一般存在偏移，且網絡協議棧時鐘與物理時鐘存在對應關系，同時不同主機發送報文的頻率與時鐘存在統計關系，因此可以分析發現不同的網絡時鐘偏移數目來確定主機的臺數。

（4） User-Agent頭判定法：HTTP頭分為HTTP請求頭和HTTP應答頭。HTTP請求頭為HTTP客戶在瀏覽服務器上的主頁時，向服務器發送請求的時候必須指明請求類型。請求類型是指HTTP-GET或HTTP-POST，每個HTTP-GET和HTTP-POST都由一系列HTTP請求頭組成，這些請求頭定義了客戶端從服務器請求了什么，而響應則是由一系列HTTP應答頭和應答數據組成，如果請求成功則返回應答。在HTTP頭中有一個User－Agent頭標明了瀏覽器類型。不同操作系統、不同IE版本、不同補丁的User-Agent字段不同。由此可以根據user-Agent頭的不同來判定主機的數量。

二、 分析WindowsTCPIP協議棧數據處理過程

在眾多檢測原理中，IPID判定法判定準確，用得較多，其他再作為輔助判定方法。下面我們主要分析一下WindowsTCPIP協議棧數據處理過程。

圖1數據包處理的 TCP/IP 體系結構

1.WinSock的數據包形成后，Tcpip.sys會將其傳遞給防火墻驅動程序 (Ipnat.sys) 進行處理。防火墻檢查該數據包是否屬于所要阻止的Internet控制消息協議 (ICMP) 消息類型。如果ICMP消息被阻止，防火墻就將丟棄該數據包。

處理完后，防火墻會將該數據包傳回給Tcpip.sys，

2.Tcpip.sys 將數據包傳遞給篩選器驅動程序 (Ipfltdrv.sys) 進行處理。

Ipfltdrv.sys根據下一躍點接口，將該數據包與已配置的出站IP數據包篩選器格式進行對比。

若出站數據包篩選器不允許該數據包通過，Ipfltdrv.sys就會直接下，丟棄該數據包。若出站數據包篩選器允許該數據包，Ipfltdrv.sys就會將該數據包傳回給Tcpip.sys。

3.Tcpip.sys 將該數據包傳遞給Ipsec.sys進行處理。

Ipsec.sys根據IPsec篩選器組，決定是否允許、阻止或保護該數據包。若允許的話，Ipsec.sys 會在不修改該數據包的情況下，將其發回給Tcpip.sys。若阻止的話，Ipsec.sys會直接丟棄該數據包。若要進行保護的話，Ipsec.sys會在將數據包傳回給Tcpip.sys之前，對其添加適當的IPsec保護。

Tcpip.sys隨后會通過下一躍點接口，將該數據包發送到下一躍點IP地址。完成數據包的出站。

三、 解決方案

（1）對于IPID檢測的破解

因為各運營商破解時是采集其前置機上的數據包通過分析IPID來判定的其主機數目。由上面我們知道只需要我們出去的數據包在發出前我們修改其所有數據包的IPID頭設定為一個統一的值或者隨機值即可。因此我們只需在圖1第2步黑色橢圓的位置添加驅動程序修改IPID頭即可。

既然破解檢測的核心在于修改Windows協議棧，我們選擇修改開源驅動DrvFiltIp.sys來完成IPID頭的修改，因為數據包通過ipfltdrv.sys以后，IP層的數據包結構都不會攔截或者修改，這個時候我們只要在他進入TCPIP.sys之前使用一個hook驅動，加載了DrvFiltIp.sys，將IPID改為固定值或者隨機值，就可以解決所謂IPID檢測問題。

修改FilterPackets過濾函數

（2）對于TTL的檢測，我們有多種解決辦法：

1、修改注冊表辦法，在windows下我們可以直接修改注冊表讓TTL同一為一個固定值。

在“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\ Parameters”，找到“DefaultTTL”，將該值修改為十進制的固定值，重新啟動服務器系統后即可。

2、修改驅動的辦法：在上面ipid改動代碼中加入ipp->ipTTL=111(111為固定值)

篇8

1常用無線通訊技術簡介

1.1 超寬帶無線通訊技術

超寬帶無線通訊技術是一種以超寬帶信號為基礎的新型的無線通訊技術。而所謂的超寬帶信號是指那些功率點為-10dB的相對寬度大于25%或射頻的絕對帶寬大于1.5GHz的信號。這種信號擁有10m傳輸距離,高達1Gbps數據傳輸速率,3.1GHz～10.6GHz技術的工作頻段范圍,7.5GHz的工作帶寬。該無線傳輸技術具有傳輸信號帶寬較寬、數據傳輸速率高、隱蔽性好、功耗低、抗信號多徑效果好等優勢[1]。

1.2 藍牙技術

藍牙技術是一種短程無線通訊技術,這種技術常常應用在手機領域,常常用于對于便攜或固定電子設備所使用的電纜或連線進行替代的短距離無線連接技術,它擁有10m～100m的通信距離和3Mbps的傳輸功率[2]。

1.3 Wi-Fi無線通訊技術

所謂Wi-Fi是一個由IEEE定義的一個無線網絡通信的工業標準,而Wi-Fi無線通訊技術是在這個標準上發展起來的通訊技術,它具有傳輸速率高、可移動性好,可靠性高、組網價格較低,組網靈活等優勢[3]。

1.4 紅外技術

所謂紅外傳輸技術是指那些通常采用850nm的紅外光傳輸數據信息的技術,它的特點是要求傳輸設備之間擁有無障礙的直線信道,且最長通訊距離不超過10m。它具有安全可靠、產生成本低廉、無電磁干擾、保密性好、無須政府批準頻帶等優勢,但其具有功率小、工作原理簡單、成本低,傳輸方向性強、傳輸距離有限等缺點,進一步限制了其使用范圍[4]。

1.5 射頻技術

所謂無線射頻技術是一種非接觸式的自動識別技術。它通過向目標對象投射射頻信號來自動識別和獲取目標對象的相關數據,整個過程無需人工干預,它可以在任何惡劣環境條件下工作。整個射頻系統由標簽、閱讀器和天線三個部分組成,結構簡單、功能強大。

1.6 ZigBee技術

ZigBee技術是一種最新的技術,它具有低價格、低速率的無線網絡方案。它的通信速率要求比較低,甚至低于藍牙技術,ZigBee的通訊設備,常常可以在不希望更換電池并且不充電的情況下能正常工作幾個月甚至幾年。ZigBee技術可以支持mesh型網絡拓撲結構,可以建設一個大規模的網絡,傳輸距離可達10m～75m,甚至可以進行更大范圍內的拓展。

由上文可知,各種無線通訊技術的特點各不相同,也因為其特點常常應用于不同的領域,對于石油勘探領域來說,在石油測井工作之中,應該ZigBee技術比較合適,它通信速率要求比較低、設備結構簡單、可靠性高、傳輸距離遠,這些都非常的符合石油測井工作現場的要求。

2石油測井無線通訊系統的設計

2.1 整體設計

(1)ZigBee技術。ZigBee技術是一種最新的技術,它具有通信速率要求比較低、設備結構簡單、可靠性高、傳輸距離遠等優勢,非常的符合石油測井工作現場的要求。

(2)網絡傳輸協議選擇。一般來說,當前應用最為廣泛的兩種傳輸層協議分別是:UDP和TCP兩種協議,UDP又可以稱為用戶數據報協議,它具有傳輸速度快,建立連接簡單等優勢,它的應用環境常常是:一次只傳送少量數據、對可靠性要求不高。而TCP協議可以為用戶提供面向連接的可靠的流傳遞服務,通訊可靠性非常高,常常可以使網絡上的一臺計算機發出的字節流無差錯的順利傳給其他的計算機。

在石油測井工作現場,常常處理和傳輸的數據量比較大,網絡工作環境也比較復雜,這非常符合TCP協議的工作要求,因此,本文的系統決定采用TCP傳輸協議。

(3)具體設計方案。在石油測井現場,下位機控制傳感器對各種現場數據進行采集,然后應用現場計算機整理、打包、壓縮這些數據,最后將這些數據進行無線傳輸,在傳輸前設置好無線通信隊列,然后應用ZigBee技術傳輸給Internet,而數據包通過Internet網絡輸送到相關管理部門的中心站計算機之上,借助中心局域網使得多個傳輸終端都可以對測井現場狀態進行同時顯示,管理人員也可以通過傳輸終端了解現場的情況。

2.2 通信系統模塊的劃分

(1)用戶接口。包括接收端和發送端接口,負責對相關指令進行接收和傳達,如對解調器進行設置、斷開和建立撥號連接、對測井數據進行傳輸、對資料文件進行傳輸等。

(2)測井數據傳輸接口。整個系統的發送端從下層驅動程序對測井數據進行讀取,然后降相關數據交給下層協議;接收端從下層協議對于數據進行讀取,接收端并將數據交給上層用于繪圖顯示和存盤。

(3)文件傳輸接口。這個接口主要用于交互測井資料文件,負責將文件型數據向下層協議傳輸或讀取。

(4)通信協議。包括ZMODEM協議和滑動窗口協議。滑動窗口協議用于傳輸測井數據,這個協議常常自帶差錯校驗機制;ZMODEM協議用于傳輸資料文件,這個協議自帶CRC校驗和流控。

(5)TCPIP套接字。網絡的編程接口,作為程序的最底層,實現TCPIP協議和建立網絡連接。

參考文獻

[1] 劉建兵,蔣朝根．基于ZigBee技術的無線嵌入式溫度采樣儀設計[J]．西南科技大學學報,2010,1(22):76～79.

[2] 周宇,景博,張劫．基于ZigBee無線傳感器網絡的嵌入式遠程監測系統[J]．儀表技術與傳感器,2009(2):49～52.

篇9

關鍵詞：網絡管理；SNMP；現狀；發展趨勢

進入90年代以來，隨著計算機的普及以及計算機技術和通訊技術的發展，網絡也越來越快地走近我們，計算機網絡已成為當今信息時代的支柱。計算機與通信的結合產生了計算機網絡，信息社會對計算機網絡的依賴，又使得計算機網絡本身運行的可靠性變得至關重要，向網絡的管理運行提出了更高的要求。網絡系統的維護與管理日趨繁雜，網絡管理人員用人工方法管理網絡已無法可靠、迅速地保障網絡的正常運行；無法滿足當前開放式異種機互聯網絡環境的需要，人們迫切地需要用計算機來管理網絡，提高網絡管理水平，使信息安全，快捷地傳遞。于是計算機網絡管理系統便應運而生了。

一、計算機網絡管理系統的基本知識 

（一）計算機網絡管理系統的概念

計算機網絡管理系統就是管理網絡的軟件系統。計算機網絡管理就是收集網絡中各個組成部分的靜態、動態地運行信息，并在這些信息的基礎上進行分析和做出相應的處理，以保證網絡安全、可靠、高效地運行，從而合理分配網絡資源、動態配置網絡負載，優化網絡性能、減少網絡維護費用。

（二）網絡管理系統的基本構成

 概括地說，一個典型的網絡管理系統包括四個要素：管理員、管理、管理信息數據庫、服務設備。

 1．管理員。實施網絡管理的實體，駐留在管理工作站上。它是整個網絡系統的核心，完成復雜網絡管理的各項功能。網絡管理系統要求管理定期收集重要的設備信息，收集到的信息將用于確定單個網絡設備、部分網絡或整個網絡運行的狀態是否正常。

 2．管理。網絡管理是駐留在網絡設備(這里的設備可以是UNIX工作站、網絡打印機，也可以是其它的網絡設備)中的軟件模塊，它可以獲得本地設備的運轉狀態、設備特性、系統配置等相關信息。網絡管理所起的作用是：充當管理系統與管理軟件駐留設備之間的中介，通過控制設備的管理信息數據庫(MIB)中的信息來管理該設備。

3．管理信息庫。它存儲在被管理對象的存儲器中，管理庫是一個動態刷新的數據庫，它包括網絡設備的配置信息，數據通信的統計信息，安全性信息和設備特有信息。這些信息、被動態送往管理器，形成網絡管理系統的數據來源。

4．設備和管理協議。設備在標準網絡管理軟件和不直接支持該標準協議的系統之間起橋梁作用。利用設備，不需要升級整個網絡就可以實現從舊協議到新版本的過渡。對于網絡管理系統來說，重要的是管理員和管理之間所使用的網絡管理協議，如SNMP，和它們共同遵循的MIB庫。網絡管理協議用于在管理員與管理之間傳遞操作命令，并負責解釋管理員的操作命令。通過管理協議的作用，可以使管理信息庫中的數據與具體設備中的實際狀態、工作參數保持一致。

（三）網絡管理系統的功能

ISO在ISO/IEC 7498-4文檔中定義了網絡管理的五大功能，即配置管理、故障管理、性能管理、計費管理與安全管理。

故障管理：其主要功能是故障檢測、發現、報告、診斷和處理。由于差錯可以導致系統癱瘓或不可接受的網絡性能下降，所以故障管理也是ISO網絡管理元素中，被最廣泛實現的一種管理。

配置管理：其主要功能包括網絡的拓撲結構關系、監視和管理網絡設備的配置情況，根據事先定義的條件重構網絡等，其目標是監視網絡和系統的配置信息，以便跟蹤和管理對不同的軟、硬件單元進行網絡操作的結果。

性能管理：監測網絡的各種性能數據，進行閾值檢查，并自動地對當前性能數據、歷史數據進行分析。其目標是衡量和顯示網絡各個方面的特性，使人們在一個可以接受的水平上維護網絡的性能。

安全管理：主要是對網絡資源訪問權限的管理。包括用戶認證、權限審批和網絡訪問控制(防火墻)等功能。其目標是按照本地的安全策略來控制對網絡資源的訪問，以保證網絡不被侵害（有意識的或無意識的），并保證重要的信息不被未授權的用戶訪問。

計費管理：主要是根據網絡資源使用情況進行計帳。其目標是衡量網絡的利用率，以便使一個或一組用戶可以按一定規則，利用網絡資源，這樣的規則可以使網絡故障減到最小（因為網絡資源可以根據其能力大小而合理地分配），也可以使所有用戶對網絡的訪問更加公平。

這五個基本功能之間既相互獨立，又存在著千絲萬縷的聯系。在這些網絡管理功能中，故障管理是整個網絡管理的核心；配置管理則是各管理功能的基礎，其他各管理功能都需要使用配置管理的信息；性能管理、安全管理和計費管理相對來說具有較大的獨立性，特別是計費管理，由于不同的應用單位的計費政策有著很大的差別，計費應用的開發環境也千差萬別，因此，計費管理應用一般都是依據實際情況專門開發。

（四）網絡管理協議

由于網絡中廣泛存在著多廠家、異構異質和固有的分布性等特點，人們才在網絡管理中引入了標準，以規范網絡設備的生產和網絡管理系統的開發。這種標準就是網絡管理協議。  目前最有影響的網絡管理協議是SNMP(簡單網絡管理協議)和CMIS/CMIP(公共管理信息協議)，它們也代表了目前兩大網絡管理解決方案。CMIP因為太復雜，標準化進度太緩慢，所以沒有得到廣泛接受；SNMP以其簡單實用，因而得到各廠商支持，應用廣泛。本文只對SNMP做一簡單介紹。

篇10

關鍵詞：套接口；網絡編程API；流協議；OSI參考模型

中圖分類號：TP393.03 文獻標識碼：A文章編號：1007-9599(2012)05-0000-02

套接口(Sockets)編程源于Berkeley Unix下的Sockets 界面，是一種網絡編程API。Sockets API提供了一種途徑讓你的應用程序能夠存取網絡，種用網絡提供的各種服務進行通信。利用Sockets API編程無疑是一種最原始的方式，也是最復雜的一種方式；但一旦理解了這些最基礎、最根本的方式，對建立在這種基礎之上的高級技術的理解就會容易得多。為了提高軟件開發的生產力，提高軟件質量及軟件內在的一致性，大規模的程序設計都要使用成熟的框架，這里所指的框架，英文名稱為Framework，即可重用的程序庫。 微軟的許多新的網絡編程框架，目的就是為了減輕直接使用Sockets API進行編程的痛苦，提高生產力，但這些框架都建立在Sockets API之上，最終將使用Sockets API來與網絡交互；.NET Remoting及WCF就是近段時間先后推出的兩種高效的網絡編程框架。

套接口分為三類，分別是Stream sockets、Dgram sockets及Raw sockets(WinSock 2.0提供)。Stream sockets使用TCP提供的服務進行通信，Dgram sockets使用UDP提供的服務進行通信, Raw sockets繞過傳輸層直接使用IP進行通信。

Windows Sockets簡稱為WinSock，最初出現的版本為1.1，現在為WinSock 2.0。微軟在的.Net框架中，對WinSock 2.0進行了包裝，提供了Socket類。為了進一步減化編程，又對Socket類進行包裝，抽象出三個高層類：TcpClient、TcpListener、 UdpClient。這就形成了三個層次的API：WinSock 2.0、Socket及（TcpClient、TcpListener、 UdpClient），層次越低，提供編程的控制及選擇越多，但相應的過程就越復雜。

本文將使用TcpClient,、TcpListener類構造一對C/S結構的客戶及服務程序。有關類的使用細節可以參考MSDN Library for Visual Studio 2010或.NET Framework SDK 4.0文檔。本文實現的客戶程序發送一條消息到服務程序，服務程序返回一條消息給客戶端程序，服務程序斷開連接；客戶程序在while(true)結構中進行下一輪循環，重復這個過程，雙方一來一往，就可以進行簡單的聊天了。這種在應用程序中實現的與網絡進行交互的邏輯實際上就是OSI參考模型的第七層和第六層：應用層協議和表示層協議。

應用程序與網絡交互時主要考慮以下內容：信息如何編碼和轉換、身份認證、信息交換邏輯、網絡資源的可用性、事務的支持、應用層協議本身的安全性等等。應用層邏輯實現的功能越多，需要考慮的細節也就越多；互聯網上使用的許多軟件（FTP等）及高層協議，都有專門的RFC文檔對其進行描述。

TCP是一種流協議，傳輸的是字節流。而面向對象的編程語言,使用的是各種類及對象，這就需要對其進行編碼和轉換。 .Net提供的Object Serialization就能對類的實例進行Serialization，通過流類(System.IO.Stream derived type)傳輸到網絡上的其他應用程序，再恢復實例的狀態。由于傳輸的是字節串，接收方接收的也是字節串，多個消息是連續傳輸的，單個消息的邊界就只能通過應用層協議來界定，消息邊界的界定通常有兩種方式：使用定界符或在信息的頭部附加信息的長度值。UDP雖然提供了很好的信息定界(可以每包只傳遞一個消息)，但UDP本身沒有提供可靠性，只得依靠應用協議層來提供可靠性。本文的信息定界采用兩種方式：客戶程序發送信息前，在信息頭部附加一個字節的長度信息，由于只是一個字節，信息長度應控制在256個字節之內，相應操作系統的字符采用Unicode編碼時，信息不應超過128個字符；服務程序通過主動關閉連接，客戶程序就能依此來定界。

C/S結構的客戶及服務程序,服務程序在TCP的某個端口上進行監聽，客戶程序主動發起連接，TCP在經過三次握手后進入Established狀態，這之后就可以互相交換消息了。TCP的狀態在命令提示符下可以通過netstat an查看。

關于域名解析，值得注意的是Viata系統已經實現了IPv6,在解析地址時可能會出現IPv6地址，這就需要編程過濾掉IPv6的地址，以下是獲取IPv4地址的代碼段：

IPHostEntry IpAddress = Dns.GetHostEntry(DName);

IPAddress Ipv4Address = null;

foreach(IPAddress TempAddress in IpAddress.AddressList){

if (TempAddress.AddressFamily == AddressFamily.InterNetwork)

{ Ipv4Address = TempAddress; break;}}

本文提供了兩個示例程序，可以在Visual Studio 2010下編譯，在.Net 4.0下運行。新建項目時，選擇Visual C#下的Console Application模板。假定服務程序在TCP的9999口上進行監聽。為了節省空間，源程序已經上傳到 ishare.iask.省略/，使用關鍵字“C#語言使用TCPIP 套接口精析Code”即可搜索并下載。 以下的解釋需要對照從給定地址下載的代碼。

對服務端程序的解釋：16-17行，服務程序在TCP 9999端口上進行監聽。34行，服務程序主線程調用AcceptTcpClient()后阻塞，當有客戶程序連接后返回。35行，顯示與客戶程序的TCP連接已經建立。36行，client.GetStream()返回一個NetworkStream類實例，用于讀出或寫入字節流。37-39行，先讀一個字節獲取信息長度。45行，將收到的字節流轉換為字符串，便于顯示。46行，client.Client.RemoteEndPoint用于顯示客戶端的端點信息。54及隨后的兩行，返回消息給客戶程序后主動關閉連接，客戶程序遇到服務端的強制關閉現有連接時，可能從讀字節流的阻塞中返回或企圖讀取時引發Exception。