第5章网络协议一问题的提出点对点通信与端对端通信端对端通信与虚拟通信平台二TCP提供的服务三TCP提供的服务特征TCP的可靠性实现四数据丢失与重发TCP重发机制需要解决的主要问题五TCP连接的可靠建立-3次握手法TCP连接的优雅关闭六TCP的流量控制TCP的流量过程七TCP端口著名的TCP端口号八用户数据报协议UDPUDP的端口著名的UDP端口号九IP数据报选项1.源路由选项2.记录路由选项3.时间戳选项1.差错与控制报文2.ICMP差错控制3.ICMP差错报文的主要特点4.ICMP主要差错报告类型5.ICMP控制报文（1）拥塞控制与源抑制报文发送源站抑制报文策略路由器的某输出队列溢出后，抛弃新来的数据报，发送ICMP源抑制报文；为路由器的输出队列设置阈值，超过域值后抛弃新来的数据报，发送ICMP源抑制报文；有选择地抑制IP数据报发送率较高的源主机。接收源站抑制报文收到源抑制报文后，源主机可以降低发送IP数据报的速率。注意：拥塞解除后路由器不主动通知源主机（2）路由控制与重定向报文（3）ICMP请求/应答报文对6.ICMP实现ICMP的重要性ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“PingofDeath”（死亡之Ping）攻击。“PingofDeath”攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。7.应对ICMP攻击设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤;另一种是在主机上安装防火墙。具体如下：（1）在Windows2000Server中设置ICMP过滤Windows2000Server提供了“路由与远程访问”服务，但是默认情况下是没有启动的，因此首先要启动它：点击“管理工具”中的“路由与远程访问”，启动设置向导。在其中选择“手动配置服务器”项，点击[下一步]按钮。稍等片刻后，系统会提示“路由和远程访问服务现在已被安装。要开始服务吗？”，点击[是]按钮启动服务。服务启动后，在计算机名称的分支下会出现一个“IP路由选择”，点击它展开分支，再点击“常规”，会在右边出现服务器中的网络连接（即网卡）。用鼠标右键点击你要配置的网络连接，在弹出的菜单中点击“属性”，会弹出一个网络连接属性的窗口中两个按钮，一个是“输入筛选器”（指对此服务器接受的数据包进行筛选），另一个是“输出筛选器”（指对此服务器发送的数据包进行筛选），这里应该点击[输入筛选器]按钮，会弹出一个“添加筛选器”窗口，再点击[添加]按钮，表示要增加一个筛选条件。在“协议”右边的下拉列表中选择“ICMP”，在随后出现的“ICMP类型”和“ICMP编码”中均输入“255”，代表所有的ICMP类型及其编码。ICMP有许多不同的类型（Ping就是一种类型)，每种类型也有许多不同的状态，用不同的“编码”来表示。因为其类型和编码很复杂，这里不再叙述。点击[确定]按钮返回“输入筛选器”窗口，此时会发现“筛选器”列表中多了一项内容（如图2所示).点击[确定]按钮返回“本地连接”窗口，再点击[确定]按钮，此时筛选器就生效了，从其他计算机上Ping这台主机就不会成功了。（2）用防火墙设置ICMP过滤实践：ping命令剖析与使用Windows2000的ping命令形式连续发送ping探测报文自选数据长度的ping探测报文不允许对ping探测报分片修改“ping”命令的请求超时时间ping对目的地不可达的屏幕响应十一为什么要进行IP地址到物理地址的映射？十二IP地址映射到物理地址的实现方法十三ARP协议的基本思想1.ARP协议的改进（2）其他改进技术收到ARP请求后,目的主机将源主机的IP地址与物理地址的映射关系存入自己cache中；ARP请求是广播发送的，所有主机都会收到该请求。它们也可将该源主机的IP地址与物理地址的映射关系存入各自的cache；主机启动时可以主动广播自己的IP地址与物理地址的映射关系。2.完整的ARP工作过程十四实践：arp命令的使用3.显示高速cache中的ARP表4.添加ARP静态表项5.删除ARP表项