第一講(網(wǎng)絡(luò)基礎(chǔ)知識回顧和網(wǎng)絡(luò)基本命令)

網(wǎng)絡(luò)協(xié)議分析技術(shù)主講人：戰(zhàn)揚計算機學(xué)院學(xué)院課程NetworkProtocol要求1.出勤（5周10次理論課，3次上機課）2.遵守課堂紀(jì)律（不要看手機）3.考試方式（筆試+平時）4.參考教材：《計算機網(wǎng)絡(luò)》（謝希仁）《TCP-IP協(xié)議原理與應(yīng)用》（清華大學(xué)出版社）《TCP-IP協(xié)議族(第4版)》》（清華大學(xué)出版社）5.授課方式（幻燈片+板書）本課程主要內(nèi)容第1講網(wǎng)絡(luò)基礎(chǔ)知識回顧第2講網(wǎng)絡(luò)應(yīng)用程序模型第3講網(wǎng)絡(luò)通信初步*第4講DNS及InetAddress類*第5講多線程網(wǎng)絡(luò)編程*第6講虛擬終端Telnet

及其實現(xiàn)*第7講文件傳輸FTP及其實現(xiàn)**第8講基于UDP協(xié)議的開發(fā)*第9講

TFTP協(xié)議本課程主要內(nèi)容第10講聊天系統(tǒng)編程第11講端口掃描第12講BOOTP和DHCP協(xié)議*第13講超文本傳輸協(xié)議HTTP**第14講網(wǎng)絡(luò)游戲編程第15講電子郵件*第16講簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）補充內(nèi)容什么是計算機網(wǎng)絡(luò)？什么是協(xié)議？什么是體系結(jié)構(gòu)？OSI分幾層？TCP/IP分幾層？什么是RFC？第一講網(wǎng)絡(luò)基礎(chǔ)知識回顧利用通信線路和設(shè)備，將分布在地理位置不同的，功能獨立的多個計算機系統(tǒng)連接起來，以功能完善的網(wǎng)絡(luò)軟件（網(wǎng)絡(luò)通信協(xié)議及網(wǎng)絡(luò)操作系統(tǒng)等）實現(xiàn)網(wǎng)絡(luò)中的資源共享和信息傳遞的系統(tǒng)，稱為計算機網(wǎng)絡(luò)。為進(jìn)行網(wǎng)絡(luò)中的數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定稱為網(wǎng)絡(luò)協(xié)議。網(wǎng)絡(luò)協(xié)議也可簡稱為協(xié)議。三要素：1.語法：即數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式；2.語義：即需要發(fā)出何種控制信息，完成何種動作以及做出何種響應(yīng)。3.同步：即事件實現(xiàn)順序的詳細(xì)說明。計算機網(wǎng)絡(luò)的各層及其協(xié)議的集合，稱為網(wǎng)絡(luò)的體系結(jié)構(gòu)。OSI分為七層，其名字和功能分別如下：

1、物理層：定義了網(wǎng)絡(luò)傳輸?shù)碾姶艠?biāo)準(zhǔn)，Bit流的編碼及網(wǎng)絡(luò)的時間原則，如時分復(fù)用及頻分復(fù)用。決定了網(wǎng)絡(luò)連接類型（端到端或多端連接）及物理拓?fù)浣Y(jié)構(gòu)。說的通俗一些，這一層主要負(fù)責(zé)實際的信號傳輸。

2、數(shù)據(jù)鏈路層：在兩個主機上建立數(shù)據(jù)鏈路連接，向物理層傳輸數(shù)據(jù)信號，并對信號進(jìn)行處理，使之無差錯并合理的傳輸。

3、網(wǎng)絡(luò)層：主要負(fù)責(zé)路由選擇，擁塞控制等功能。IP,ARP,RARP,ICMP,RIP,OSPF…4、傳輸層：向用戶提供可靠的端到端服務(wù)，它屏蔽了下層的數(shù)據(jù)通信細(xì)節(jié)，讓用戶及應(yīng)用程序不需要考慮實際的通信方法。TCP,UDP…

5、會話層：主要負(fù)責(zé)兩個會話進(jìn)程之間的通信，即兩個會話層實體之間的信息交換，管理數(shù)據(jù)的交換。

6、表示層：處理通信信號的表示方法，進(jìn)行不同的格式之間的翻譯，并負(fù)責(zé)數(shù)據(jù)的加密解密，數(shù)據(jù)的壓縮與恢復(fù)。

7、應(yīng)用層：確定進(jìn)程之間通信的性質(zhì)以滿足用戶的需要,為用戶所產(chǎn)生的服務(wù)請求提供服務(wù)。DNS,BOOTP,DHCP,FTP,tFTP,TELNET,SMTP,POP3,HTTP…在實際應(yīng)用中，最重要的是TCP/IP(TransportControlProtocol/InternetProtocol)協(xié)議。TCP/IP協(xié)議是一個四層協(xié)議。RFC所有的因特網(wǎng)標(biāo)準(zhǔn)都是以RFC的形式在因特網(wǎng)上發(fā)表。RFC（RequestForComments）的意思就是“請求評論”。所有的RFC文檔都可以從因特網(wǎng)上免費下載。面向大眾，任何人都可以用電子郵件隨時發(fā)表對某個文檔的意見或者建議。但并非所有的RFC文檔都是因特網(wǎng)標(biāo)準(zhǔn)，只有一小部分RFC文檔最后才能變成因特網(wǎng)標(biāo)準(zhǔn)。RFC按收到時間的先后從小到大編上序號（即RFC****，這里的****是阿拉伯?dāng)?shù)字）。一個RFC文檔更新后就使用一個新的編號，并在文檔中指出原來老編號的RFC文檔已成為陳舊的。例如：2003年11月公布了因特網(wǎng)正式協(xié)議標(biāo)準(zhǔn)RFC3600，此文檔注明了：以前的文檔RFC3300已變成陳舊的。但到了2004年7月，RFC3600文檔又更新了，新文檔的編號是RFC3700，此文檔又注明：RFC3600已變?yōu)殛惻f的。2008年5月公布了因特網(wǎng)正式協(xié)議標(biāo)準(zhǔn)RFC5000，此文檔注明了：以前的文檔RFC3700已變成陳舊的。制定因特網(wǎng)的正式標(biāo)準(zhǔn)要經(jīng)過以下的四個階段：1.因特網(wǎng)草案（此階段還不是RFC文檔）2.建議標(biāo)準(zhǔn)（此階段開始就成為RFC文檔）3.草案標(biāo)準(zhǔn)4.因特網(wǎng)標(biāo)準(zhǔn)練習(xí)題常用網(wǎng)絡(luò)診斷應(yīng)用程序ipconfig：列出使用該命令和主機上所有當(dāng)前tcp/ip網(wǎng)絡(luò)配置。ipconfig/all顯示詳細(xì)信息

（如：本地網(wǎng)卡中的物理地址（mac））ipconfig/release，那么所有接口的租用ip地址便重新交付給dhcp服務(wù)器（歸還ip地址）。ipconfig/renew，那么本地計算機便設(shè)法與dhcp服務(wù)器取得聯(lián)系，并租用一個ip地址。

請注意，大多數(shù)情況下網(wǎng)卡將被重新賦予和以前所賦予的相同的ip地址。ping：證實與一臺遠(yuǎn)程主機的連接按照缺省設(shè)置，windows上運行的ping命令發(fā)送4個icmp（網(wǎng)間控制報文協(xié)議）回送請求，每個32字節(jié)數(shù)據(jù)，如果一切正常，你應(yīng)能得到4個回送應(yīng)答。ping能夠以毫秒為單位顯示發(fā)送回送請求到返回回送應(yīng)答之間的時間量。如果應(yīng)答時間短，表示數(shù)據(jù)報不必通過太多的路由器或網(wǎng)絡(luò)連接速度比較快。ping還能顯示ttl（timetolive存在時間）值，你可以通過ttl值推算一下數(shù)據(jù)包已經(jīng)通過了多少個路由器：源地點ttl起始值（就是比返回ttl略大的一個2的乘方數(shù)）-返回時ttl值。例如，返回ttl值為119，那么可以推算數(shù)據(jù)報離開源地址的ttl起始值為128，而源地點到目標(biāo)地點要通過9個路由器網(wǎng)段（128-119）；如果返回ttl值為246，ttl起始值就是256，源地點到目標(biāo)地點要通過10個路由器網(wǎng)段。正常情況下，當(dāng)你使用ping命令來查找問題所在或檢驗網(wǎng)絡(luò)運行情況時，你需要使用許多ping命令，如果所有都運行正確，你就可以相信基本的連通性和配置參數(shù)沒有問題；如果某些ping命令出現(xiàn)運行故障，它也可以指明到何處去查找問題。下面就給出一個典型的檢測次序及對應(yīng)的可能故障：ping這個Ping命令被送到本地計算機的IP軟件，該命令永不退出該計算機。如果沒有做到這一點，就表示TCP/IP的安裝或運行存在某些最基本的問題。

ping本機IP

這個命令被送到我們計算機所配置的IP地址，我們的計算機始終都應(yīng)該對該Ping命令作出應(yīng)答，如果沒有，則表示本地配置或安裝存在問題。出現(xiàn)此問題時，局域網(wǎng)用戶請斷開網(wǎng)絡(luò)電纜，然后重新發(fā)送該命令。如果網(wǎng)線斷開后本命令正確，則表示另一臺計算機可能配置了相同的IP地址。ping局域網(wǎng)內(nèi)其他IP這個命令應(yīng)該離開我們的計算機，經(jīng)過網(wǎng)卡及網(wǎng)絡(luò)電纜到達(dá)其他計算機，再返回。收到回送應(yīng)答表明本地網(wǎng)絡(luò)中的網(wǎng)卡和載體運行正確。但如果收到0個回送應(yīng)答，那么表示子網(wǎng)掩碼不正確或網(wǎng)卡配置錯誤或電纜系統(tǒng)有問題。Ping網(wǎng)關(guān)ip這個命令如果應(yīng)答正確，表示局域網(wǎng)中的網(wǎng)關(guān)路由器正在運行并能夠作出應(yīng)答。Ping遠(yuǎn)程ip如果收到4個應(yīng)答，表示成功的使用了缺省網(wǎng)關(guān)。對于撥號上網(wǎng)用戶則表示能夠成功的訪問internet（但不排除isp的dns會有問題）Ping某域名對這個域名執(zhí)行ping命令，你的計算機必須先將域名轉(zhuǎn)換成ip地址，通常是通過dns服務(wù)器.如果這里出現(xiàn)故障，則表示dns服務(wù)器的ip地址配置不正確或dns服務(wù)器有故障（對于撥號上網(wǎng)用戶，某些isp已經(jīng)不需要設(shè)置dns服務(wù)器了）。

順便說一句：你也可以利用該命令實現(xiàn)域名對ip地址的轉(zhuǎn)換功能。常用選項pingip-t——連續(xù)對ip地址執(zhí)行ping命令，直到被用戶以ctrl+c中斷。pingip-l2000——指定ping命令中的數(shù)據(jù)長度為2000字節(jié)，而不是缺省的32字節(jié)。pingip-n——執(zhí)行特定次數(shù)的ping命令。arp：用于確定本機對應(yīng)IP地址的網(wǎng)卡物理地址。此外，使用arp命令，也可以用人工方式輸入靜態(tài)的網(wǎng)卡物理/IP地址對。按照缺省設(shè)置,ARP高速緩存中的項目是動態(tài)的,每當(dāng)發(fā)送一個指定地點的數(shù)據(jù)報且高速緩存中不存在當(dāng)前項目時,ARP便會自動添加該項目。一旦高速緩存的項目被輸入，它們就已經(jīng)開始走向失效狀態(tài)。例如，在WindowsNT網(wǎng)絡(luò)中，如果輸入項目后不進(jìn)一步使用，物理/IP地址對就會在2至10分鐘內(nèi)失效。常用命令選項：arp-a或arp-g:用于查看高速緩存中的所有項目。-a和-g參數(shù)的結(jié)果是一樣的，-g是UNIX平臺上用來顯示ARP高速緩存中所有項目的選項，而Windows用的是arp-a（-a可被視為all，即全部的意思）。arp-aIP--如果你有多個網(wǎng)卡，那么使用arp-a加上接口的IP地址，就可以只顯示與該接口相關(guān)的ARP緩存項目。arp-sIP物理地址--你可以向ARP高速緩存中人工輸入一個靜態(tài)項目。該項目在計算機引導(dǎo)過程中將保持有效狀態(tài)，或者在出現(xiàn)錯誤時，人工配置的物理地址將自動更新該項目。arp-dIP--使用本命令能夠人工刪除一個靜態(tài)項目。Route：操縱網(wǎng)絡(luò)路由表。大多數(shù)主機一般都是駐留在只連接一臺路由器的網(wǎng)段上。由于只有一臺路由器，因此不存在使用哪一臺路由器將數(shù)據(jù)報發(fā)送到遠(yuǎn)程計算機上去的問題，該路由器的IP地址可作為該網(wǎng)段上所有計算機的缺省網(wǎng)關(guān)來輸入。但是，當(dāng)網(wǎng)絡(luò)上擁有兩個或多個路由器時，我們就不一定想只依賴缺省網(wǎng)關(guān)了。實際上我們可能想讓我們的某些遠(yuǎn)程IP地址通過某個特定的路由器來傳遞，而其他的遠(yuǎn)程IP則通過另一個路由器來傳遞。在這種情況下，我們需要相應(yīng)的路由信息，這些信息儲存在路由表中，每個主機和每個路由器都配有自己獨一無二的路由表。大多數(shù)路由器使用專門的路由協(xié)議來交換和動態(tài)更新路由器之間的路由表。但在有些情況下，必須人工將項目添加到路由器和主機上的路由表中。Route就是用來顯示、人工添加和修改路由表項目的。routeprint

本命令用于顯示路由表中的當(dāng)前項目，在單路由器網(wǎng)段上的輸出；add使用本命令，可以將路由項目添加給路由表。例如，如果要設(shè)定一個到目的網(wǎng)絡(luò)3的路由，其間要經(jīng)過5個路由器網(wǎng)段，首先要經(jīng)過本地網(wǎng)絡(luò)上的一個路由器ip為，子網(wǎng)掩碼為24，那么應(yīng)該輸入以下命令：routeadd3mask24metric5IF2如果未給出IF，它將嘗試查找給定網(wǎng)關(guān)的最佳接口change使用本命令來修改數(shù)據(jù)的傳輸路由。

不過，不能使用本命令來改變數(shù)據(jù)的目的地。下面這個例子可以將數(shù)據(jù)的路由改到另一個路由器，它采用一條包含3個網(wǎng)段的路徑：routeadd3mask2450metric3delete使用本命令可以從路由表中刪除路由。例如：routedelete3tracert：跟蹤本地主機與目標(biāo)主機之間的連接。

tracert的使用只需要在tracert后面跟一個IP地址或URL，tracert會進(jìn)行相應(yīng)的域名轉(zhuǎn)換。tracert最常見的用法：

tracertIPaddress[-d]該命令返回到達(dá)IP地址所經(jīng)過的路由器列表。通過使用-d選項，將更快地顯示路由器路徑。Tracert命令和ping命令都是應(yīng)用了ICMP協(xié)議。原理見謝希仁教材。netstat用于顯示與IP、TCP、UDP和ICMP協(xié)議相關(guān)的統(tǒng)計數(shù)據(jù)，一般用于檢驗本機各端口的網(wǎng)絡(luò)連接情況。netstat常用選項:netstat-s本選項能夠按照各個協(xié)議分別顯示其統(tǒng)計數(shù)據(jù)。IPStatistics

ICMPStatistics

TCPStatistics

ActiveOpens=597

PassiveOpens=135

FailedConnectionAttempts=107

ResetConnections=91

CurrentConnections=8

SegmentsReceived=106770

SegmentsSent=118431

SegmentsRetransmitted=461

UDPStatistics

DatagramsReceived=4157136

NoPorts=351928

ReceiveErrors=2

DatagramsSent=13809netstat-e本選項用于顯示關(guān)于以太網(wǎng)的統(tǒng)計數(shù)據(jù)。它列出的項目包括傳送的數(shù)據(jù)報的總字節(jié)數(shù)、錯誤數(shù)、刪除數(shù)、數(shù)據(jù)報的數(shù)量和廣播的數(shù)量。這些統(tǒng)計數(shù)據(jù)既有發(fā)送的數(shù)據(jù)報數(shù)量，也有接收的數(shù)據(jù)報數(shù)量。這個選項可以用來統(tǒng)計一些基本的網(wǎng)絡(luò)流量。C:\>netstat-e

InterfaceStatisticsReceivedSent

Bytes399583794047224622

Unicastpackets120099131015

Non-unicastpackets75795443823

Discards00

Errors00

Unknownprotocols363054211

netstat-r本選項可以顯示關(guān)于路由表的信息，類似于routeprint命令看到的信息。除了顯示有效路由外，還顯示當(dāng)前有效的連接。netstat-n顯示所有已建立的有效連接。

netstat-a顯示一個所有的有效連接信息列表，包括已建立的連接（ESTABLISHED），也包括監(jiān)聽連接請求（LISTENING）的那些連接。C:\>netstat-a

ActiveConnections

ProtoLocalAddressForeignAddressState

TCPCORP1:15720:nbsessionESTABLISHED

TCPCORP1:15890:nbsessionESTABLISHED

TCPCORP1:160645:nbsessionESTABLISHED

TCPCORP1:163213:nbsessionESTABLISHED

UDPCORP1:snmp*:*

UDPCORP1:nbname*:*

UDPCORP1:nbdata