畢業(yè)設(shè)計(jì)（論文）學(xué) 生 題 目 無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史 聯(lián)系電話 指導(dǎo)老師 評 閱 人 教學(xué)站點(diǎn) 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)工程 完成日期 2012-5-03 無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史摘要：近年來，移動(dòng)通信網(wǎng)絡(luò)發(fā)展迅猛，競爭日趨激烈，三大運(yùn)營商都在努力打造自己的移動(dòng)通信產(chǎn)品，也就提高網(wǎng)絡(luò)質(zhì)量和擴(kuò)大服務(wù)品牌的影響號召力。移動(dòng)通信系統(tǒng)的網(wǎng)絡(luò)優(yōu)化是一項(xiàng)復(fù)雜的系統(tǒng)工程，它涉及到頻率資源、無線網(wǎng)絡(luò)、交換網(wǎng)絡(luò)、用戶分布、神識(shí)手機(jī)用戶的使用習(xí)慣等問題，涉及到網(wǎng)絡(luò)數(shù)據(jù)的復(fù)雜測試及評估。對于移動(dòng)運(yùn)營商企業(yè)來說，網(wǎng)絡(luò)質(zhì)量就是企業(yè)的生命，只有加強(qiáng)網(wǎng)絡(luò)優(yōu)化和維護(hù)工作，才能不斷地提高網(wǎng)絡(luò)運(yùn)行質(zhì)量。對于優(yōu)化人員來說，通過技術(shù)交流和探索，應(yīng)該逐漸掌握GSM網(wǎng)絡(luò)的各種參數(shù)及數(shù)據(jù)采集方法，通過有關(guān)測量統(tǒng)計(jì)數(shù)據(jù)的分析，提出全面的、深層次的網(wǎng)絡(luò)優(yōu)化方案，調(diào)整相應(yīng)的局?jǐn)?shù)據(jù)或小區(qū)參數(shù)，從而使無線，交換網(wǎng)絡(luò)及網(wǎng)絡(luò)中各借口的性能效率得到提高和改善。 關(guān)鍵字：網(wǎng)絡(luò)優(yōu)化頻率參數(shù) 數(shù)據(jù) 協(xié)議目 錄緒 論11 TCP/IP概述11.1 TCP/IP的歷史11.2 TCP與IP簡介11.3 網(wǎng)絡(luò)協(xié)議與分層11.4 OSI 參考模型11.4 .1 OSI 各層簡介11.4.2 TCP/IP 協(xié)議的體系11.4 .3 TCP/IP 分層模型11.4 .4 TCP/IP 分層工作原理11.4 .5 TCP/IP 模型的分界線12 TCP/IP各層的安全性和提高各層安全性的方法22.1網(wǎng)絡(luò)層的安全性22.2傳輸層的安全性22.3應(yīng)用層的安全性23 存在的安全隱患與解決方法9總結(jié)25參考文獻(xiàn)26致謝27緒論TCP/IP(Transmission Control Protocol/Intemet Protocol)是20世紀(jì)70年代中期美國國防部(DOD)為其研究性網(wǎng)絡(luò)ARPNET開發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)，ARPANET最初是通過租用的電話線將美國的幾百所大學(xué)和研究所連接起來。隨著衛(wèi)星通信技術(shù)和無線技術(shù)的發(fā)展，這些技術(shù)也被應(yīng)用到ARPNET網(wǎng)絡(luò)中，已有的協(xié)議已不能解決這些通信網(wǎng)絡(luò)的互聯(lián)問題，于是就提出了新的體系結(jié)構(gòu)，用于將不同的通信網(wǎng)絡(luò)無縫連接。這種體系結(jié)構(gòu)后來被稱為TCP/IP參考模型。TCP/IP協(xié)議時(shí)Internet進(jìn)行網(wǎng)際互聯(lián)通信的基礎(chǔ)，目前Internet能如此迅速在全球延伸，主要是由于TCP/IP協(xié)議族的開放性，它打破了異構(gòu)網(wǎng)絡(luò)之間的壁壘，把不同國家的各種網(wǎng)絡(luò)連接起來，使Internet成為了沒有明確物理界限的網(wǎng)際。從而人們充分的享受全球共享，也因?yàn)門CP/IP的開放性，給Internet帶來安全隱患也是正常的。當(dāng)Internet遍布世界以后，網(wǎng)絡(luò)的環(huán)境發(fā)生了根本的變化，信任的問題變得突出起來，因此Internet出現(xiàn)了很多問題，由于自身的缺陷、網(wǎng)絡(luò)的開放性以及黑客的攻擊時(shí)造成互聯(lián)網(wǎng)不安全的主要原因。TCP/IP作為Internet使用的標(biāo)準(zhǔn)協(xié)議集，是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。這種基于地址的協(xié)議本身就回泄露口令，運(yùn)行一些無關(guān)的程序，這些都是網(wǎng)絡(luò)的本身的缺陷?；ヂ?lián)網(wǎng)技術(shù)屏蔽了底層網(wǎng)絡(luò)硬件細(xì)節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信。這就給人們攻擊網(wǎng)絡(luò)以可乘之機(jī)。由于大量重要的應(yīng)用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問題會(huì)給網(wǎng)絡(luò)帶來嚴(yán)重的后果。網(wǎng)絡(luò)的開放性，TCP/IP協(xié)議完全公開，遠(yuǎn)程訪問使許多攻擊者無須到現(xiàn)場就能夠得手，連接的主機(jī)基于互相信任的原則等等性質(zhì)使網(wǎng)絡(luò)更加不安全。第一章 TCP/IP概述TCP/IP的歷史TCP/IP起源于20世紀(jì)60年代末美國政府資助的一個(gè)網(wǎng)絡(luò)分組交換研究項(xiàng)目，被用于當(dāng)今所構(gòu)筑的最大的開放式網(wǎng)絡(luò)系統(tǒng)Internet之上。1.2 TCP與IP簡介TCP和IP是兩個(gè)獨(dú)立且緊密結(jié)合的協(xié)議，負(fù)責(zé)管理和引導(dǎo)數(shù)據(jù)報(bào)文在Internet上的傳輸，二者使用專門的報(bào)文頭定義每個(gè)報(bào)文的內(nèi)容。TCP負(fù)責(zé)和遠(yuǎn)程主機(jī)的連接；IP負(fù)責(zé)尋址，使報(bào)文被送到其該去的地方。1.3 網(wǎng)絡(luò)協(xié)議與分層 計(jì)算機(jī)網(wǎng)絡(luò)是為了實(shí)現(xiàn)計(jì)算機(jī)之間的通信，任何雙方要成功地進(jìn)行通信，必須遵守一定的信息交換規(guī)則和約定，這些信息交換規(guī)則和約定就稱為通信協(xié)議（ protocol ）。計(jì)算機(jī)上的網(wǎng)絡(luò)接口卡、通信軟件、通信設(shè)備都是遵循一定的協(xié)議設(shè)計(jì)的，必須符合一定的協(xié)議規(guī)范。 為了減少協(xié)議設(shè)計(jì)的復(fù)雜性，大多數(shù)網(wǎng)絡(luò)都按層或級的方式來組織，每一層都建立在它的下層之上。不同的網(wǎng)絡(luò)在分層數(shù)量和各層的名字、內(nèi)容與功能上都不盡相同，然而，在所有的網(wǎng)絡(luò)中，每一層的目的都是向它的上一層提供一定的服務(wù)，而把這種服務(wù)是如何實(shí)現(xiàn)的細(xì)節(jié)對上層加以屏蔽。 層按功能來劃分，每一層都有特定的功能，它一方面利用下一層所提供的功能，另一方面又為其上一層提供服務(wù)。通信雙方在相同層之間進(jìn)行通話，通話規(guī)則和協(xié)定的整體就是該層的協(xié)議。每一層都有一個(gè)或多個(gè)協(xié)議，幾個(gè)層合成一個(gè)協(xié)議棧（ protocol stack ）。協(xié)議的分層模型便于協(xié)議軟件按模塊方式進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)，這樣每層協(xié)議的設(shè)計(jì)、修改、實(shí)現(xiàn)和測試都可以獨(dú)立進(jìn)行，從而減少復(fù)雜性。 不同機(jī)器內(nèi)包含相同協(xié)議層的實(shí)體叫做對等進(jìn)程，對等進(jìn)程是利用協(xié)議進(jìn)行通信的主體。相鄰層之間通過接口來定義相互關(guān)系，接口定義下層向上層提供的原語操作和服務(wù)。層和協(xié)議的集合叫做網(wǎng)絡(luò)體系結(jié)構(gòu)。 1.4 OSI 參考模型 OSI 模型有七層，其分層原則如下： 根據(jù)不同層次的抽象分層； 每一層應(yīng)當(dāng)實(shí)現(xiàn)一個(gè)定義明確的功能； 每一層功能的選擇應(yīng)當(dāng)有助于制定網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn)； 各層邊界的選擇應(yīng)盡量減少跨過接口的通信量； 層數(shù)應(yīng)足夠多，以避免不同的功能混雜在同一層中；但也不能太多，否則體系結(jié)構(gòu)會(huì)過于龐大。 根據(jù)這些原則， ISO 在 1983 年推出的 OSI 參考模型如圖 1-1 所示。 值得注意的是， OSI 參考模型本身并不是一個(gè)完整的網(wǎng)絡(luò)體系結(jié)構(gòu)，因?yàn)樗⑽创_切地描述用于各層的協(xié)議和服務(wù)，它僅僅告訴我們每層應(yīng)該做什么。不過， ISO 已經(jīng)為各層制定了標(biāo)準(zhǔn)，但它們并不是參考模型的一部分，而是作為獨(dú)立的國際標(biāo)準(zhǔn)公布的。 1.4.1 OSI 各層簡介 OSI 七層模型是指從物理層到應(yīng)用層這七層，它不涉及通信的物理介質(zhì)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，特別是局域網(wǎng)的發(fā)展，后來對 OSI 七層模型進(jìn)行了改進(jìn)。修訂之一就是非正式地增加了一些子層和新層，如增加了第 0 層，使之覆蓋了象電纜連接器和光纖這樣的硬件細(xì)節(jié)。本節(jié)我們只對 OSI 模型的七層的功能作簡單描述。 1. 物理層 物理層（ physical layer ）是 OSI 模型的最低層，它建立在物理通信介質(zhì)的基礎(chǔ)上，作為系統(tǒng)和通信介質(zhì)的接口，用來實(shí)現(xiàn)數(shù)據(jù)鏈路實(shí)體間透明的比特流傳輸。在設(shè)計(jì)上必須保證一方發(fā)送出二進(jìn)制“ 1 ”時(shí)，另一方收到的也是“ 1 ”而不是“ 0 ”。 物理層是 OSI 中唯一設(shè)計(jì)通信介質(zhì)的一層，它提供與通信介質(zhì)的連接，描述這種連接的機(jī)械、電氣、功能和規(guī)程特性，以建 立、維護(hù)和釋放數(shù)據(jù)鏈路實(shí)體之間的物理連接。物理層向上層提供位信息的正確傳送。 物理層協(xié)議定義了硬件接口的一系列標(biāo)準(zhǔn)，典型地如用多少伏特電壓表示“ 1 ”，多少伏特表示“ 0 ”；一個(gè)比特持續(xù)多少時(shí)間；傳輸是雙向的還是單向的；最初的連接如何建立和完成通信后連接如何終止；一次通信中發(fā)送方和接收方如何應(yīng)答；設(shè)備之間連接件的尺寸和接頭數(shù)；每根線的用途等。 2. 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層（ data link layer ）的主要任務(wù)是加強(qiáng)物理層傳輸原始比特的功能，使之對網(wǎng)絡(luò)層顯現(xiàn)為一條無錯(cuò)鏈路。它在相鄰網(wǎng)絡(luò)實(shí)體之間建立、維持和釋放數(shù)據(jù)鏈路連接，并傳輸數(shù)據(jù)鏈路數(shù)據(jù)單元（幀， frame ）。它是將位收集起來，按包處理的第一個(gè)層次，它完成發(fā)送包前的最后封裝，及對到達(dá)包進(jìn)行首次檢視。其主要功能為： (1)、 數(shù)據(jù)鏈路連接的建立與釋放：在每次通信前后，雙方相互聯(lián)系以確認(rèn)一次通信的開始和結(jié)束。數(shù)據(jù)鏈路層一般提供無應(yīng)答無連接服務(wù)、有應(yīng)答無連接服務(wù)和面向連接的服務(wù)等三種類型服務(wù)。 (2)、 數(shù)據(jù)鏈路數(shù)據(jù)單元的構(gòu)成：在上層交付的數(shù)據(jù)的基礎(chǔ)上加入數(shù)據(jù)鏈路協(xié)議控制信息，形成數(shù)據(jù)鏈路協(xié)議數(shù)據(jù)單元。 (3)、 數(shù)據(jù)鏈路連接的分裂：當(dāng)數(shù)據(jù)量很大時(shí)，為提高傳輸速率和效率，將原來在一條物理鏈路上傳輸?shù)臄?shù)據(jù)改用多條物理鏈路來傳輸（與多路復(fù)用相反）。 (4)、 定界與同步：從物理連接上傳輸數(shù)的比特流中，識(shí)別出數(shù)據(jù)鏈路數(shù)據(jù)單元的開始和結(jié)束，以及識(shí)別出其中的每個(gè)字段，以便實(shí)現(xiàn)正確的接收和控制。 (5)、 順序和流量控制：用以保證發(fā)送方發(fā)送的數(shù)據(jù)單元能以相同的順序傳輸?shù)浇邮辗?，并保持發(fā)送速率與接收速率的匹配。 (6)、 差錯(cuò)的檢測與恢復(fù)：檢測出傳輸、格式和操作等錯(cuò)誤，并對錯(cuò)誤進(jìn)行恢復(fù)，如不能恢復(fù)則向相關(guān)網(wǎng)絡(luò)實(shí)體報(bào)告。 3. 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層（ network layer ）關(guān)系到子網(wǎng)的運(yùn)行控制，其關(guān)鍵問題之一是確定分組從源端到目的端如何選擇路由。本層維護(hù)路由表，并確定哪一條路由是最快捷的，及何時(shí)使用替代路由。路由既可以選用網(wǎng)絡(luò)中固定的靜態(tài)路由表，幾乎保持不變，也可以在每一次會(huì)話開始時(shí)決定（如通過終端協(xié)商決定），還可以根據(jù)當(dāng)前網(wǎng)絡(luò)的負(fù)載狀況，高度靈活地為每一個(gè)分組決定路由。 網(wǎng)絡(luò)層的另一重要功能是傳輸和流量控制，它在子網(wǎng)中同時(shí)出現(xiàn)過多的分組時(shí)，提供有效的流量控制服務(wù)來控制網(wǎng)絡(luò)連接上傳輸?shù)姆纸M，以免發(fā)生信息“堵塞”或“擁擠”現(xiàn)象。 網(wǎng)絡(luò)層提供兩種類型的網(wǎng)絡(luò)服務(wù)，即無連接的服務(wù)（數(shù)據(jù)報(bào)服務(wù)）和面向連接的服務(wù)（虛電路服務(wù)）。網(wǎng)絡(luò)層使較高層與連接系統(tǒng)所用的數(shù)據(jù)傳輸和交換技術(shù)相獨(dú)立。 IP 協(xié)議工作在本層，它提供“無連接的”或“數(shù)據(jù)報(bào)”服務(wù)。 4. 傳輸層 傳輸層（ transport layer ）的基本功能是從會(huì)話層接收數(shù)據(jù)，在必要時(shí)把它們劃分成較小的單元傳遞給網(wǎng)絡(luò)層，并確保到達(dá)對方的各段信息準(zhǔn)確無誤。而且，這些任務(wù)都必須高效率地完成。 傳輸層是在網(wǎng)絡(luò)層的基礎(chǔ)上再增添一層軟件，使之能屏蔽掉各類通信子網(wǎng)的差異，相用戶進(jìn)程提供一個(gè)能滿足其要求的服務(wù)，其具有一個(gè)不變的通用接口，使用戶進(jìn)程只需了解該接口，便可方便地在網(wǎng)絡(luò)上使用網(wǎng)絡(luò)資源并進(jìn)行通信。 通常情況下，會(huì)話層每請求建立一個(gè)傳輸連接，傳輸層就為其創(chuàng)建一個(gè)獨(dú)立的網(wǎng)絡(luò)連接。如果傳輸連接需要較高的信息吞吐量，傳輸層也可以為之創(chuàng)建多個(gè)網(wǎng)絡(luò)連接，讓數(shù)據(jù)在這些網(wǎng)絡(luò)連接上分流，以提高吞吐量。另一方面，如果創(chuàng)建或維持一個(gè)網(wǎng)絡(luò)連接不合算，傳輸層可以將幾個(gè)傳輸連接復(fù)用到一個(gè)網(wǎng)絡(luò)連接上，以降低費(fèi)用。在任何情況下，都要求傳輸層能使多路復(fù)用對會(huì)話層透明。 傳輸層是真正的從源到目標(biāo)“端到端”的層，也就是說，源端機(jī)上的某程序，利用報(bào)文頭和控制報(bào)文與目標(biāo)機(jī)上的類似程序進(jìn)行對話。在傳輸層以下的各項(xiàng)層中，協(xié)議是每臺(tái)機(jī)器和它直接相鄰的機(jī)器間的協(xié)議，而不是最終的源端機(jī)和目標(biāo)機(jī)之間的協(xié)議，在他們中間可能還有多個(gè)路由器。圖 1-1 說明了這種區(qū)別， 1 層 -3 層是鏈接起來的， 4 層 -7 層是端到端的。 TCP 協(xié)議工作在本層，它提供可靠的基于連接的服務(wù)。它在兩個(gè)端點(diǎn)之間提供可靠的數(shù)據(jù)傳送，并提供端到端的差錯(cuò)恢復(fù)與流控。 5. 會(huì)話層 會(huì)話層（ session layer ）允許不同機(jī)器上的用戶之間建立會(huì)話關(guān)系，即正式的連接。這種正式的連接使得信息的收發(fā)具有高可靠性。會(huì)話層的目的就是有效地組織和同步進(jìn)行合作的會(huì)話服務(wù)用戶之間的對話，并對它們之間的數(shù)據(jù)交換進(jìn)行管理。 會(huì)話層服務(wù)之一是管理對話，它允許信息同時(shí)雙向傳輸，或任意時(shí)刻只能單向傳輸。約屬于后者，則類似于單線鐵路，會(huì)話層將記錄此時(shí)該輪到哪一方了。一種與會(huì)話有關(guān)的服務(wù)是令牌管理（ token management ），令牌可以在會(huì)話雙方之間交換，只有持有令牌的一方可以執(zhí)行某種關(guān)鍵操作。 另一種會(huì)話服務(wù)是同步（ synchronization ）。同步是在連續(xù)發(fā)送大量信息時(shí)，為了使發(fā)送的數(shù)據(jù)更加精細(xì)地結(jié)構(gòu)化，在用戶發(fā)送的數(shù)據(jù)中設(shè)置同步點(diǎn)，以便記錄發(fā)送過程的狀態(tài)，并且在錯(cuò)誤發(fā)生導(dǎo)致會(huì)話中斷時(shí)，會(huì)話實(shí)體能夠從一個(gè)同步點(diǎn)恢復(fù)會(huì)話繼續(xù)傳送，而不必從開頭恢復(fù)會(huì)話。 TCP/IP 協(xié)議體系中沒有專門的會(huì)話層，但是在其傳輸層協(xié)議 TCP 協(xié)議實(shí)現(xiàn)了本層部分功能。 6. 表示層 表示層（ presentation layer ）完成某些特定的功能，由于這些功能常被請求，因此人們希望找到通用的解決辦法，而不 是要讓每個(gè)用戶來實(shí)現(xiàn)。值得一提的是，表示層以下的各層只關(guān)心可靠的傳輸比特流，而表示層關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義。 表示層尚未完整定義和廣泛使用，如 TCP/IP 協(xié)議體系中就沒有定義表示層。表示層完成應(yīng)用層所用數(shù)據(jù)所需要的任何轉(zhuǎn)換，以提供標(biāo)準(zhǔn)化的應(yīng)用接口和公共的通信服務(wù)。如數(shù)據(jù)格式轉(zhuǎn)換、數(shù)據(jù)壓縮 / 解壓和數(shù)據(jù)加密 / 解密可能在表示層進(jìn)行。 7. 應(yīng)用層 應(yīng)用層（ application layer ）包含大量人們普遍需要的協(xié)議。本層處理安全問題與資源的可用性。最近幾年，應(yīng)用層協(xié)議發(fā)展很快，經(jīng)常用到的應(yīng)用層協(xié)議有： FTP 、 TELNET 、 HTTP 、 SMTP 等。 OSI 模型的各層之間任務(wù)明確，它們只與上下相鄰層打交道：接受下層提供的服務(wù)，向上層提供服務(wù)。由于所有的網(wǎng)絡(luò)協(xié)議都是分層的，象堆棧一樣，因此經(jīng)常將協(xié)議各層統(tǒng)稱協(xié)議棧。它們的工作模式一般為：發(fā)送時(shí)接收上層的數(shù)據(jù)，將其分割打包，然后交給下層；接收時(shí)接收下層的數(shù)據(jù)包，將其拆包重組，然后交給上層。這樣，一個(gè)包的傳輸過程是：發(fā)送主機(jī)的應(yīng)用程序?qū)?shù)據(jù)傳遞給網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)（網(wǎng)絡(luò)通信程序），網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)將數(shù)據(jù)層層打包，最后交由物理層在數(shù)據(jù)鏈路上發(fā)送；接收主機(jī)收到數(shù)據(jù)后，逐層拆包向上傳遞，直到最后達(dá)到應(yīng)用層，應(yīng)用程序得到對等方的數(shù)據(jù)。 1.4.2 TCP/IP 協(xié)議的體系 Internet 采用的是 TCP/IP 協(xié)議體系， TCP/IP 協(xié)議體系是因其兩個(gè)著名的協(xié)議 TCP 和 IP 而得名的。 TCP/IP 協(xié)議體系在和 OSI 的競爭中取得了決定性的勝利，得到了廣泛的認(rèn)可，成為了事實(shí)上的網(wǎng)絡(luò)協(xié)議體系標(biāo)準(zhǔn)。 1.4.3 TCP/IP 分層模型 TCP/IP 協(xié)議體系和 OSI 參考模型一樣，也是一種分層結(jié)構(gòu)。它是由基于硬件層次上的四個(gè)概念性層次構(gòu)成，即網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)層、傳輸層和應(yīng)用層。圖 1-2 表示了 TCP/IP 協(xié)議體系及其與 OSI 參考模型的對應(yīng)關(guān)系。 從圖 1-2 可以看出，對照 OSI 七層協(xié)議， TCP/IP 第三層以上是應(yīng)用層、傳輸層和網(wǎng)際互聯(lián)層， TCP/IP 的應(yīng)用層組合了 OSI 的應(yīng)用層和表示層，還包括 OSI 會(huì)話層的部分功能。但是，這樣的對應(yīng)關(guān)系并不是絕對的，它只有參考意義，因?yàn)?TCP/IP 各層功能和 OSI 模型的對應(yīng)層還是有一些區(qū)別的。 1. 網(wǎng)絡(luò)接口層 網(wǎng)絡(luò)接口層也稱為數(shù)據(jù)鏈路層，它是 TCP/IP 的最底層，但是 TCP/IP 協(xié)議并沒有嚴(yán)格定義該層，它只是要求主機(jī)必須使用某種協(xié)議與網(wǎng)絡(luò)連接，以便能在其上傳遞 IP 分組。因此，在傳統(tǒng)的 UNIX 里，網(wǎng)絡(luò)接口通常是一個(gè)設(shè)備驅(qū)動(dòng)器，并且隨主機(jī)和網(wǎng)絡(luò)的不同而不同。 2. 互聯(lián)網(wǎng)層 互聯(lián)網(wǎng)層（ Internet Layer ）俗稱 IP 層，它處理機(jī)器之間的通信。它接受來自傳輸層的請求，傳輸某個(gè)具有目的地址信息的分組。該層把分組封裝到 IP 數(shù)據(jù)報(bào)中，填入數(shù)據(jù)報(bào)的首部（也稱為報(bào)頭），使用路由算法來選擇是直接把數(shù)據(jù)報(bào)發(fā)送到目標(biāo)機(jī)還是把數(shù)據(jù)報(bào)發(fā)送給路由器，然后報(bào)數(shù)據(jù)報(bào)交給下面的網(wǎng)絡(luò)接口層中的對應(yīng)網(wǎng)絡(luò)接口模塊。該層還有處理接收到的數(shù)據(jù)報(bào)，檢驗(yàn)其正確性，使用路由算法來決定對數(shù)據(jù)報(bào)是否在本地進(jìn)行處理還是繼續(xù)向前傳送。 3. 傳輸層 傳輸層的基本任務(wù)是提供應(yīng)用層之間的通信，即端到端的通信。傳輸層管理信息流，提供可靠的傳輸服務(wù)，以確保數(shù)據(jù)無差錯(cuò)的、按序到達(dá)。為了這個(gè)目的，傳輸層協(xié)議軟件要進(jìn)行協(xié)商，讓接收方回送確認(rèn)信息及讓發(fā)送方重發(fā)丟失的分組。傳輸層協(xié)議軟件將要傳送的數(shù)據(jù)流劃分成分組，并把每個(gè)分組連同目的地址交給下一層去發(fā)送。 4. 應(yīng)用層 在這個(gè)最高層，用戶調(diào)用應(yīng)用程序來訪問 TCP/IP 互聯(lián)網(wǎng)絡(luò)提供的多種服務(wù)。應(yīng)用程序負(fù)責(zé)發(fā)送和接收數(shù)據(jù)。每個(gè)應(yīng)用程序選擇所需的傳輸服務(wù)類型，可以是獨(dú)立的報(bào)文序列，或者是連續(xù)的字節(jié)流。應(yīng)用程序?qū)?shù)據(jù)按要求的格式傳送給傳輸層。 1.4.4 TCP/IP 分層工作原理 TCP/IP 協(xié)議體系和 OSI 模型的分層結(jié)構(gòu)雖然不完全相同，但它們的分層原則是一致的，即都遵循這樣的一個(gè)思想：分層的協(xié)議要被設(shè)計(jì)成達(dá)到這樣的效果，即目標(biāo)機(jī)的第 n 層所收到的數(shù)據(jù)就是源主機(jī)的第 n 層所發(fā)出的數(shù)據(jù)。 圖 1-3 描述了 TCP/IP 分層工作原理，它表示了兩臺(tái)主機(jī)上的應(yīng)用程序之間傳輸報(bào)文的路徑。主機(jī) B 上的第 n 層所收到的正是主機(jī) A 上的第 n 層所發(fā)出的對象。 在圖 1-3 中我們忽略了一個(gè)重要的內(nèi)容，即沒有描述發(fā)送方主機(jī)上的應(yīng)用程序與接收主機(jī)的應(yīng)用程序之間通過路由器進(jìn)行報(bào) 文傳輸?shù)那闆r。圖 1-4 中描述使用路由器的 TCP IP 分層工作，圖中報(bào)文經(jīng)歷了兩種結(jié)構(gòu)不同的網(wǎng)絡(luò)，也使用了兩種不同的網(wǎng)絡(luò)幀，即一個(gè)是從主機(jī) A 到路由器 R ，另一個(gè)是從路由器 R 到主機(jī) B 。主機(jī) A 發(fā)出的幀和路由器 R 接收到的幀相同，但不同于路由器 R 和主機(jī) B 之間傳送的幀。與此形成對照的是應(yīng)用程序?qū)雍蛡鬏攲犹幚矶说蕉说氖聞?wù)，因此發(fā)送方的軟件能和最終的接收方的對等層軟件進(jìn)行通信。也就是說，分層原則保證了最終的接收方的傳輸層所收到的分組與發(fā)送方的傳輸層送出的分組是一樣的。 圖 1-3 TCP/IP 分層工作原理 1.4.5 TCP/IP 模型的分界線 TCP/IP 的概念性層次包含兩個(gè)重要的分界線，一個(gè)是協(xié)議地址分界線，以區(qū)分高層和低層的尋址，另一個(gè)是操作系統(tǒng)分界線，以區(qū)分系統(tǒng)與應(yīng)用程序。圖 1-5 描述了 TCP/IP 概念層模型的分界。 圖 1-5 TCP/IP 概念層模型的分界 高層尋址使用 IP 地址，低層尋址使用物理地址。一個(gè)概念性的界限把使用低層地址的軟件和使用高層地址的軟件區(qū)分開來，這個(gè)分界線出現(xiàn)在網(wǎng)絡(luò)接口層和 Internet 層之間，即應(yīng)用程序和在 Internet 層之上的所有協(xié)議軟件只使用 IP 地址，而網(wǎng)絡(luò)接口層處理的是物理地址。因此，象 ARP 這樣的處于網(wǎng)絡(luò)接口層的協(xié)議，就不是 IP 的一部分。 第二章TCP/IP各層的安全性和提高各層安全性的方法2.1、網(wǎng)絡(luò)層的安全性過去十年里，已經(jīng)提出了一些方案對網(wǎng)絡(luò)層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化。例如，安全協(xié)議3號(SP3)就是美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SDNS)的一部分而制定的。網(wǎng)絡(luò)層安全協(xié)議(NLSP)是由國際標(biāo)準(zhǔn)化組織為無連接網(wǎng)絡(luò)協(xié)議(CLNP)制定的安全協(xié)議標(biāo)準(zhǔn)。事實(shí)上，他們用的都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對加密的包進(jìn)行Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送到收報(bào)地點(diǎn)。 IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的，即使加密算法替換了，也不對其他部分的實(shí)現(xiàn)產(chǎn)生影響。此外，該體制必須能實(shí)行多種安全政策，但要避免給不使用該體制的人造成不利影響。IP AH指一段消息認(rèn)證代碼(Message Authentication Code，MAC)，在發(fā)送IP包之前，它已經(jīng)被事先計(jì)算好。發(fā)送方用一個(gè)加密密鑰算出AH，接收方用同一或另一密鑰對之進(jìn)行驗(yàn)證。如果收發(fā)雙方使用的是單鑰體制，那它們就使用同一密鑰；如果收發(fā)雙方使用公鑰體制，那它們就使用不同的密鑰。在后一種情形，AH體制能額外提供不可否認(rèn)的服務(wù)。有些在傳輸中可變的域。 RFC 1828首次規(guī)定了加封狀態(tài)下AH的計(jì)算和驗(yàn)證中要采用帶密鑰的MD5算法。而與此同時(shí)，MD5和加封狀態(tài)都被批評為加密強(qiáng)度太弱，并有替換方案提出。IP ESP的基本想法是整個(gè)IP包進(jìn)行封裝，或者只對ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運(yùn)輸狀態(tài))進(jìn)行封裝，并對ESP的絕大部分?jǐn)?shù)據(jù)進(jìn)行加密。在管道狀態(tài)下，為當(dāng)前已加密的ESP附加了一個(gè)新的IP頭(純文本)，它可以用來對IP包在Internet上作路由選擇。接收方把這個(gè)IP頭取掉，再對ESP進(jìn)行解密，處理并取掉ESP頭，再對原來的IP包或更高層協(xié)議的數(shù)據(jù)就象普通的IP包那樣進(jìn)行處理。雖然其他算法和狀態(tài)也是可以使用的，但一些國家對此類產(chǎn)品的進(jìn)出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制。 AH與ESP體制可以合用，也可以分用。不管怎么用，都逃不脫傳輸分析的攻擊。人們不太清楚在Internet層上，是否真有經(jīng)濟(jì)有效的對抗傳輸分析的手段，但是在Internet用戶里，真正把傳輸分析當(dāng)回事兒的也是寥寥無幾。 在最簡單的情況下，IPSP用手工來配置密鑰。然而，當(dāng)IPSP大規(guī)模發(fā)展的時(shí)候，就需要在Internet上建立標(biāo)準(zhǔn)化的密鑰管理協(xié)議。這個(gè)密鑰管理協(xié)議按照IPSP安全條例的要求，指定管理密鑰的方法。 因此，IPSEC工作組也負(fù)責(zé)進(jìn)行Internet密鑰管理協(xié)議(IKMP)，其他若干協(xié)議的標(biāo)準(zhǔn)化工作也已經(jīng)提上日程。2.2、傳輸層的安全性在Internet應(yīng)用編程序中，通常使用廣義的進(jìn)程間通信(IPC)機(jī)制來與不同層次的安全協(xié)議打交道。比較流行的兩個(gè)IPC編程界面是BSD Sockets和傳輸層界面(TLI)，在Unix系統(tǒng)V命令里可以找到。 在Internet中提供安全服務(wù)的首先一個(gè)想法便是強(qiáng)化它的IPC界面，如BSD Sockets等，具體做法包括雙端實(shí)體的認(rèn)證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個(gè)思路，制定了建立在可靠的傳輸服務(wù)(如TCP/IP所提供)基礎(chǔ)上的安全套接層協(xié)議(SSL)。SSL版本3(SSL v3)于1995年12月制定。它主要包含以下兩個(gè)協(xié)議： SSL記錄協(xié)議 它涉及應(yīng)用程序提供的信息的分段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL v3提供對數(shù)據(jù)認(rèn)證用的MD5和SHA以及數(shù)據(jù)加密用的R4和DES等的支持，用來對數(shù)據(jù)進(jìn)行認(rèn)證和加密的密鑰可以通過SSL的握手協(xié)議來協(xié)商。 原則上，任何TCP/IP應(yīng)用，只要應(yīng)用傳輸層安全協(xié)議，比如說SSL或PCT，就必定要進(jìn)行若干修改以增加相應(yīng)的功能，并使用(稍微)不同的IPC界面。于是，傳輸層安全機(jī)制的主要缺點(diǎn)就是要對傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改?？墒牵绕餓nternet層和應(yīng)用層的安全機(jī)制來，這里的修改還是相當(dāng)小的。另一個(gè)缺點(diǎn)是，基于UDP的通信很難在傳輸層建立起安全機(jī)制來。同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對進(jìn)程的(而不是主機(jī)對主機(jī)的)安全服務(wù)。這一成就如果再加上應(yīng)用級的安全服務(wù)，就可以再向前跨越一大步了。 2.3、應(yīng)用層的安全性 必須牢記(且須仔細(xì)品味): 網(wǎng)絡(luò)層(傳輸層)的安全協(xié)議允許為主機(jī)(進(jìn)程)之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上，這意味著真正的(或許再加上機(jī)密的)數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。比如說，如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就都要自動(dòng)地被加密。同樣，如果一個(gè)進(jìn)程和另一個(gè)進(jìn)程之間通過傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個(gè)進(jìn)程間傳輸?shù)乃邢⒕投家詣?dòng)地被加密。 提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。例如一個(gè)電子郵件系統(tǒng)可能需要對要發(fā)出的信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名。較低層的協(xié)議提供的安全功能一般不會(huì)知道任何要發(fā)出的信件的段落結(jié)構(gòu)，從而不可能知道該對哪一部分進(jìn)行簽名。只有應(yīng)用層是唯一能夠提供這種安全服務(wù)的層次。 第三章 存在的安全隱患與解決方法分析網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個(gè)方面：操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞；防火墻的安全性，防火墻自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過認(rèn)真檢驗(yàn)；來自內(nèi)部用戶的安全威脅；缺乏有效的手段監(jiān)視網(wǎng)絡(luò)系統(tǒng)的安全性；采用的TCP/IP協(xié)議族本身的安全隱患；在TCP/IP協(xié)議組中存在安全問題的主要協(xié)議有ARP協(xié)議，IP協(xié)議，ICMP，協(xié)議，TCP協(xié)議，DNS協(xié)議。下面就來一個(gè)一個(gè)分析其存在的安全缺陷。 ARP協(xié)議 ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對本地的ARP緩存進(jìn)行更新，將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。比如在局域網(wǎng)內(nèi)，一個(gè)中了ARP病毒的電腦，把自己偽裝成路由器，告訴所有的電腦“我是路由器 大家都來”，結(jié)果大家的電腦相信了他，他就可以隨意的把改裝過的網(wǎng)絡(luò)數(shù)據(jù)送給所有電腦，在這個(gè)數(shù)據(jù)里可以插入病毒的程序。 中木馬的電腦偽裝自己的路由器，暫時(shí)把真正的路由器給“打暈”了騙了大家，真路由過一會(huì)“蘇醒了”大家又重新回到真路由的懷抱中，這個(gè)網(wǎng)絡(luò)切換的過程中 就會(huì)掉線。ARP攻擊越強(qiáng)烈 掉線越頻繁。 ARP欺騙的種類：ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實(shí)的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。 一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會(huì)造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時(shí)，認(rèn)為PC沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí)，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。IP協(xié)議如果你的計(jì)算機(jī)需要和其他計(jì)算機(jī)聯(lián)系，那么IP地址是必須的。盡管互聯(lián)網(wǎng)上聯(lián)接了無數(shù)的服務(wù)和電腦，但它們并不是處于雜亂無章的無序狀態(tài)，而是每一個(gè)主機(jī)都有惟一的地址，作為該主機(jī)在Internet上的唯一標(biāo)志。我們稱為IP地址。基于IP協(xié)議的安全問題主要是IP地址欺騙。IP地址欺騙是指行動(dòng)產(chǎn)生IP包的假冒源IP地址，以冒充其他系統(tǒng)或保護(hù)發(fā)送人的身分。 ip是無連接的，不可靠的協(xié)議它的32bit的頭中，包含了自己要去的目的主機(jī)的ip地址，幾乎所有的tcp/ip協(xié)議的傳輸都是被包含在ip包中發(fā)送的它的所有的可靠性都是由它的上層協(xié)議來保證的。如果不可達(dá)，icmp的不可達(dá)報(bào)文就會(huì)發(fā)送會(huì)主機(jī)。它的無狀態(tài)的特性,說明它不保存上一個(gè)包的任何狀態(tài)。因此,我們就可以通過修改ip協(xié)議棧的方法,把所需要的ip地址填寫到我們所發(fā)送出去的ip包中,來達(dá)到冒充其他主機(jī)的目的。 ICMP協(xié)議 ICMP的漏洞可以在不需要嗅探網(wǎng)絡(luò)數(shù)據(jù)流的情況下直接被利用，而且不需要任何“中間人”就可以進(jìn)行。可以對目標(biāo)主機(jī)經(jīng)行性能衰竭攻擊：攻擊者可以發(fā)送大量的ICMP包給目標(biāo)主機(jī)使得它不能夠?qū)戏ǖ姆?wù)請求做出響應(yīng)。中美黑客大戰(zhàn)中的多數(shù)中國黑客采用的正是此項(xiàng)技術(shù)。ICMP FLOOD攻擊實(shí)際上是一種兩敗俱傷的攻擊方式，在主機(jī)"瘋狂"地向攻擊目標(biāo)發(fā)送ICMP消息的時(shí)候，主機(jī)也在消耗自身的系統(tǒng)資源。如果自身的網(wǎng)絡(luò)資源小 于目標(biāo)的話，這種攻擊就是"蚍蜉撼大樹"。因此，ICMP FLOOD攻擊為了達(dá)到很好的效果，往往要聯(lián)合多臺(tái)機(jī)器同時(shí)攻擊同一臺(tái)機(jī)器，從而形成分布式拒絕服務(wù)攻擊（DDoS）。 DNS協(xié)議當(dāng)客戶向一臺(tái)服務(wù)器請求服務(wù)時(shí)，服務(wù)器方一般會(huì)根據(jù)客戶的ip反向解析出該ip對應(yīng)的域名。這種反向域名解析就是一個(gè)查DNS的過程。 如果客戶的ip對應(yīng)有域名，那么DNS查詢會(huì)返回其域名。服務(wù)器端得到這一機(jī)器名后會(huì)將其記錄下來并傳遞給應(yīng)用程序。你必須有一臺(tái)Internet上的授權(quán)的DNS服務(wù)器,并且你能控制這臺(tái)服務(wù)器,至少要能修改這臺(tái)服務(wù)器的DNS記錄。假如某個(gè)域名的真實(shí)地址是1.1.1.1，而我們通過修改DNS記錄，使得這個(gè)域名對應(yīng)的地址為2.2.2.2，那么會(huì)出現(xiàn)什么情況，你到的根本不是真實(shí)的網(wǎng)站，而且如果這個(gè)是黑客制造的假的和真實(shí)網(wǎng)站看上去一樣的，會(huì)有什么后果？針對TCP/IP安全漏洞進(jìn)行攻擊的具體實(shí)現(xiàn)和防御針對以上有安全缺陷的協(xié)議，相應(yīng)的攻擊實(shí)現(xiàn)方法有ARP欺騙，IP欺騙，Ping洪水，TCP連接劫持（SYN洪水），DNS欺騙, DOS攻擊 1 ARP欺騙 ARP欺騙攻擊反復(fù)襲擊，是近來網(wǎng)絡(luò)行業(yè)普遍了解的現(xiàn)象，隨著ARP攻擊的不斷升級，不同的解決方案在市場上流傳。但是最近發(fā)現(xiàn)，有一些方案，從短期看來似乎有效，實(shí)際上對于真正的ARP攻擊發(fā)揮不了作用，也降低局域網(wǎng)工作效率。對于ARP攻擊防制，最好的方法是先踏踏實(shí)實(shí)把基本防制工作做好，才是根本解決的方法。由于市場上的解決方式眾多，我們無法一一加以說明優(yōu)劣，因此我們僅從ARP攻擊防制的基本思想來進(jìn)行解釋。不堅(jiān)定的ARP協(xié)議一般計(jì)算機(jī)中的原始的ARP協(xié)議，很像一個(gè)思想不堅(jiān)定，容易被其它人影響的人，ARP欺騙/攻擊就是利用這個(gè)特性，誤導(dǎo)計(jì)算機(jī)作出錯(cuò)誤的行為。ARP攻擊的原理，互聯(lián)網(wǎng)上很容易找到，這里不再覆述。原始的ARP協(xié)議運(yùn)作，會(huì)附在局域網(wǎng)接收的廣播包或是ARP詢問包，無條件覆蓋本機(jī)緩存中的ARP/MAC對照表。這個(gè)特性好比一個(gè)意志不堅(jiān)定的人，聽了每一個(gè)人和他說話都信以為真，并立刻以最新聽到的信息作決定。就像一個(gè)沒有計(jì)劃的快遞員，想要送信給"張三"，只在馬路上問"張三住那兒？"，并投遞給最近和他說"我就是！"或"張三住那間！"，來決定如何投遞一樣。在一個(gè)人人誠實(shí)的地方，快遞員的工作還是能切實(shí)地進(jìn)行；但若是旁人看快遞物品值錢，想要欺騙取得的話，快遞員這種工作方式就會(huì)帶來混亂了。我們再回來看ARP攻擊和這個(gè)意志不堅(jiān)定快遞員的關(guān)系。常見ARP攻擊對象有兩種，一是網(wǎng)絡(luò)網(wǎng)關(guān)，也就是路由器，二是局域網(wǎng)上的計(jì)算機(jī)，也就是一般用戶。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯(cuò)誤的地址信息給快遞員，讓快遞員整個(gè)工作大亂，所有信件無法正常送達(dá)；而攻擊一般計(jì)算機(jī)就是直接和一般人謊稱自己就是快遞員，讓一般用戶把需要傳送物品傳送給發(fā)動(dòng)攻擊的計(jì)算機(jī)。由于一般的計(jì)算機(jī)及路由器的ARP協(xié)議的意志都不堅(jiān)定，因此只要有惡意計(jì)算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的ARP訊息，就會(huì)讓計(jì)算機(jī)及路由器信以為真，作出錯(cuò)誤的傳送網(wǎng)絡(luò)包動(dòng)作。一般的ARP就是以這樣的方式，造成網(wǎng)絡(luò)運(yùn)作不正常，達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運(yùn)作的目的。針對ARP攻擊的防制，常見的方法，可以分為以下三種作法： 利用ARP echo傳送正確的ARP訊息：通過頻繁地提醒正確的ARP對照表，來達(dá)到防制的效果。利用綁定方式，固定ARP對照表不受外來影響：通過固定正確的ARP對照表，來達(dá)到防制的效果。 舍棄ARP協(xié)議，采用其它尋址協(xié)議：不采用ARP作為傳送的機(jī)制，而另行使用其它協(xié)議例如PPPoE方式傳送。以上三種方法中，前兩種方法較為常見，第三種方法由于變動(dòng)較大，適用于技術(shù)能力較佳的應(yīng)用。常見的ARP echo處理手法有兩種，一種是由路由器持續(xù)發(fā)送，另一則是在計(jì)算機(jī)或服務(wù)器安裝軟件發(fā)送。路由器持續(xù)發(fā)送的缺點(diǎn)是路由器原本的工作就很忙，因此無法發(fā)送高頻率的廣播包，被覆蓋掉的機(jī)會(huì)很大，因此面對新型的ARP攻擊防制效果小。因此，有些解決方法，就是拿ARP攻擊的軟件來用，只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對照表，安裝在服務(wù)器或是計(jì)算機(jī)上，由于服務(wù)器或是計(jì)算機(jī)運(yùn)算能力較強(qiáng)，可以同一時(shí)間內(nèi)發(fā)出更多廣播包，效果較大，但是這種作法一則大幅影響局域網(wǎng)工作，因?yàn)檎麄€(gè)局域網(wǎng)都被廣播包占據(jù)，另則攻擊軟件通常會(huì)設(shè)定更高頻率的廣播包，誤導(dǎo)局域網(wǎng)計(jì)算機(jī)，效果仍然有限。ARP echo的作法是不斷提醒計(jì)算機(jī)正確的ARP對照表，ARP綁定則是針對ARP協(xié)議"思想不堅(jiān)定"的基本問題來加以解決。ARP綁定的作法，等于是從基本上給這個(gè)快遞員培訓(xùn)，讓他把正確的人名及地址記下來，再也不受其它人的信息干擾。由于快遞員腦中記住了這個(gè)對照表，因此完全不會(huì)受到有心人士的干擾，能有效地完成工作。在這種情況下，無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。但是ARP綁定并不是萬靈藥，還需要作的好才有完全的效果。第一 即使這個(gè)快遞員思想正確，不受影響，但是攻擊者的網(wǎng)絡(luò)包還是會(huì)小幅影響局域網(wǎng)部份運(yùn)作，網(wǎng)管必須通過網(wǎng)絡(luò)監(jiān)控或掃瞄的方法，找出攻擊者加以去除第二 必須作雙向綁定才有完全的效果，只作路由器端綁定效果有限，一般計(jì)算機(jī)仍會(huì)被欺騙，而發(fā)生掉包或掉線的情況。但是從以上的說明可知道，只有雙向綁定才能有效果地解決ARP攻擊的問題，而不會(huì)發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務(wù)器效能的缺點(diǎn)。也就是說雙向綁定是個(gè)硬工夫，可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題，網(wǎng)管為了一時(shí)的省事，而采取片面的ARP echo解決方式，未來還是要回來解決這個(gè)問題。一般攻擊從一臺(tái)你擁有root賬號的主機(jī)開始,以獲取另一個(gè)主機(jī)的root賬號為目的。 IP-spoofing的最大困難是你所進(jìn)行的是一次盲攻擊.因?yàn)槟銈窝b成別的主機(jī),所以中間的路由器不會(huì)把包路由回來.當(dāng)然主機(jī)B(被信任的主機(jī))已經(jīng)被你攻擊癱瘓,它無法回應(yīng).而你要在無法接受任何回應(yīng)包的同時(shí),參測可能的回應(yīng)包,并替代主機(jī)B做回答.怎么樣?不容易吧!這其中最需要的。雖然攻擊者可以欺騙任何IP地址，最常被欺騙的IP地址是私有IP地址（請參考RFC1918）和其它類型的共享/特別的IP地址。實(shí)施訪問控制列表(ACL) 最簡單的防止欺騙的方法就是對所有的互聯(lián)網(wǎng)通信使用一個(gè)進(jìn)入過濾器。進(jìn)入過濾器會(huì)丟棄源地址為以上所列地址的任何數(shù)據(jù)包。 總 結(jié) 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程實(shí)際上是 TCP/IP 網(wǎng)絡(luò)協(xié)議體系不斷戰(zhàn)勝其他網(wǎng)絡(luò)協(xié)議體系的過程。當(dāng)年 ISO 力推的 OSI 七層開放模型雖然在實(shí)際競爭中輸給了 TCP/IP ，但是，其清晰的網(wǎng)絡(luò)層次結(jié)構(gòu)對于初學(xué)者理解網(wǎng)絡(luò)層次結(jié)構(gòu)卻大有裨益，并且隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展和 TCP/IP 協(xié)議簇的日益龐大， ISO/OSI 七層開放模型仍能給我們很多啟示。通過對TCP/IP協(xié)議以及安全性的分析，對TCP/IP協(xié)議本身的缺陷和TP/IP網(wǎng)絡(luò)的攻擊與防范有了一個(gè)大致的了解，但由于網(wǎng)絡(luò)安全問題非常復(fù)雜，隨著Internet技術(shù)的迅速發(fā)展技術(shù)的大量應(yīng)用，計(jì)算機(jī)病毒的產(chǎn)生于傳播，網(wǎng)絡(luò)被非法入侵有愈演愈烈的趨勢。因此，僅僅考慮TCP/IP的安全遠(yuǎn)遠(yuǎn)不夠的，其它如操作系統(tǒng)和防火墻的安全，網(wǎng)絡(luò)安全意識(shí)的提高等都應(yīng)該是我們關(guān)注或研究的重點(diǎn)。