《第7讲:计算机网络故障诊断与排除 TCPIP故障诊断与排除2016-12课件.ppt》由会员分享,可在线阅读,更多相关《第7讲:计算机网络故障诊断与排除 TCPIP故障诊断与排除2016-12课件.ppt(135页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、黎连业计算机网络故障诊断与排除计算机网络故障诊断与排除中科院计算所计算机职业技能培训中心中科院计算所计算机职业技能培训中心 计算机网络故障诊断与排除计算机网络故障诊断与排除讲座教材讲座教材 计算机网络故障诊断与排除计算机网络故障诊断与排除第第 3 3 版版 清华大学清华大学出版社出版社( 2016.12 ) 第第7讲:讲:TCP/IP故障诊断与排除故障诊断与排除 本章重点介绍以下内容: TCP/IP协议发展模型; TCP/IP体系结构; TCP/IP网络会话; DNS协议和故障; Internet控制报文协议; BIND问题; DHCP问题; 周知端口服务程序; TCP/IP常见故障诊断与排除
2、。7.1 TCP/IP协议发展模型协议发展模型 TCP/IP架构的出现源于1964年,当时美国国防部(DoD)要组建一个“美国本土范围的智慧的网络”,美国一家资讯公司RAND公司为了满足国防部的要求而提出了一个解决方案。在这一个方案中,有两项非常独特的见解:w 网络没有中控点,除非敌人将整个系统破坏掉,否则系统在不完全破坏下仍可以继续运作。w 当网络传送过程中资料传送有问题时,系统可以自动检测错误重新传递,而将资料完整地传送完。 w 美国1969年便赋予ARPA(Advanced Research Projects Agency,美国国防部高级研究计划署)这一任务。于是在1971年研究出了NC
3、P协议(Network Control Protocol),并真正架构出23个节点的网络系统。但随着网络的进步,网络的传输设备也不断更新,从网线一直发展到卫星传送系统。NCP协议已无法满足人们的要求,不同的网络系统无法顺利地传送资料。为此美国史丹佛大学、BNN公司与英国伦敦大学共同研究TCP(Transmission Control Protocol)协议,这个协议可以让不同网络系统通过网线、无线电波或卫星传送等方式连起来,并彼此沟通即传递信息。w 虽然TCP协议较稳定而且也很少出错,但有时传送的封包资料仍然会遗失而要求系统重新传送,这样会大大降低系统的效率,浪费传送时间。为了解决这一问题,便
4、将TCP协议再度细分为两层:上层称为TCP协议,主要工作为管理封包的切割、整合与重传;而下一层称为IP(Internet Protocol)协议,主要工作为管理数据包的资料传送与传送位置。因此,这样的协议便称为TCP/IP协议。 7.2 TCP/IP体系结构体系结构w ARPANET是由美国国防部DoD(U.S.Department of Defense)赞助的研究网络。逐渐地,它通过租用的电话线连接了数百所大学和政府部门。当卫星和无线网络出现以后,现有的协议在和它们互联时出现了问题,所以需要一种新的参考体系结构,能无缝隙地连接多个网络的能力,这个体系结构被称为TCP/IP参考模型(TCP/I
5、P Reference Model)。w 为了防止主机、路由器和互联网关可能会突然崩溃,所以网络必须实现的另一个主要目标是网络不受子网硬件损失的影响,已经建立的会话不会被取消。换句话说,希望只要源端和目的端机器都在工作,连接就能保持住,即使某些中间机器或传输线路突然失去控制。而且,整个体系结构必须相当灵活,因为已经看到了各种各样从文件传输到实时声音传输的需求。 w 所有的这些需求导致了基于无连接互联网络层的分组交换网络。这一层被称作互联网层(Internet Layer),它是整个体系结构的关键部分。它的功能是使主机可以把分组发往任何网络并使分组独立地传向目标(可能经由不同的网络)。这些分组到
6、达的顺序和发送的顺序可能不同,因此如果需要按顺序发送和接收时,高层必须对分组排序。必须注意到这里使用的“互联网”是基于一般意义的,虽然因特网中确实存在互联网层。w 互联网层定义了正式的分组和协议,即IP协议(Internet Protocol)。互联网层的功能就是把IP分组发送到应该去的地方。分组路由和避免阻塞是这里主要的设计问题。由于这些原因,我们有理由说TCP/IP互联网层和OSI网络层在功能上非常相似。图7-2 显示了它们的对应关系。如图7-2中描述,对应于OSI模型的7层结构,TCP/IP协议组可大致分为4层,如图7-3所示。 1. 应用层w 大致对应于OSI模型的应用层、表示层和会话
7、层,借助于协议如Winsock API、FTP(文件传输协议)、TFTP(普通文件传输协议)、HTTP(超文本传输协议)、SMTP(简单邮件传输协议)和DHCP(动态主机配置协议),应用程序通过该层利用网络。 w 在TCP/IP模型中,位于互联网层之上的那一层,现在通常被称为传输层。它的功能是使源端和目标端主机上的对等实体可以进行会话,和OSI的传输层一样。传输层的基本作用是管理源和目的之间的报文传输,在TCP/IP的传输层中主要有两个协议 TCP协议和UDP协议。w 第一个是传输控制协议TCP。它是一个面向连接的协议,允许从一台机器发出的字节流无差错地发往互联网上的其他机器。它把输入的字节流
8、分成报文段并传给互联网层。在接收端,TCP接收进程把收到的报文再组装成输出流。TCP还要处理流量控制,以避免快速发送方向低速接收方发送过多报文而使接收方无法处理。w 第二个是用户数据报协议UDP。它是一个不可靠的、无连接协议,用于不需要TCP的排序和流量控制能力而是自己完成这些功能的应用程序。它也被广泛地应用于只有一次的、客户-服务器模式的请求-应答查询,以及快速递交比准确递交更重要的应用程序,如传输语音或影像。TCP/IP传输流程如图7-5所示。 (1) TCP协议w TCP全称为Transmission Control Protocol,即传输控制协议,是TCP/IP传输层的重要协议。在分
9、组交换的IP网络中提供主机之间的互联。它是一个高可靠性的传输协议,可以保证数据到达目的地,提供可靠的、面向连接的分组传输服务。 w TCP的一个主要功能是分段和重组,差错重传,流量控制。在发送方大的数据会被分割成为小的数据块,把每一个小块数据分别传输,在接收方再把收到的很多小数据块重组装成一个大的数据包。TCP连接一旦建立,应用程序就不断地把数据送到TCP发送缓存(TCP Send Buffer),TCP把数据流分成一块(Chunk),再装上TCP协议包头(TCP Header)以形成TCP分组(TCP Segment)。这些分组封装成IP数据包(IP Datagram)之后发送到网络上。当对
10、方接收到TCP分组后会把它存放到TCP接收缓存(TCP Receive Buffer)中,应用程序就不断地从这个缓存中读取数据。 w TCP为典型的传输大量数据或需要接收数据许可的应用程序提供连接定向和可靠的通信。w 由于TCP连接是一个全双工的数据通道,一个连接的关闭必须由通信双方共同完成。当通信的一方没有数据需要发送给对方时,可以FIN段向对方发送关闭连接的请求。这时,它虽然不再发送数据,但并不排斥在这个连接上继续接收数据。只有当通信的对方也递交了关闭连接的请求后,这个TCP连接才会完全关闭。在关闭连接时,既可以由一方发起而另一方响应,也可以双方同时发起。无论怎样,收到关闭连接请求的一方必
11、须使用ACK段给予确认。实际上,TCP连接的关闭过程也是一个三次握手的过程。w 滑动窗口是两台主机间传送数据时的缓冲区。每台TCP/IP主机支持两个滑动窗口:一个用于接收数据,另一个用于发送数据。窗口尺寸表示计算机可能缓冲的数据量大小。当TCP从应用层中接收数据时,数据位于Send窗口。TCP将一个带序列号的报头加入数据包并将其交给IP,由IP将它发送到目标主机。当每一个数据包传送时,源主机设置重发计时器(描述在重新发送数据包之前将等待ACK的时间)。在Send窗口中有每一个数据包的备份,直到收到ACK。当数据包到达服务器Receive窗口,它们按照序列号放置。当接收完段时就向源主机发送一个关
12、于数据的认可(ACK),其中带有当前窗口尺寸。一旦源主机接收到认可,Send窗口将由已获得认可的数据滑动到等待发送的数据。如果在重发计时器设定的时间内,源主机没有接收到对现存数据的认可,数据将重新传送。重发数据包将加重网络和源主机的负担。如果Receive窗口接收数据包的顺序错乱,那么将强制启动,延迟发送认可。TCP报文各字段含义如表7-1所示。 (3) TCP的连接和帧格式w TCP是面向连接的协议。面向连接的意思是在一个应用程序开始传送数据到另一个应用程序之前,它们之间必须相互沟通,也就是它们之间需要相互传送一些必要的参数,以确保数据的正确传送。接收数据时TCP接收缓存中读出的数据是否正确
13、,是通过检查传送的序列号(Sequence Number)、确认(Acknowledgement)和出错重传(Retransmission)等措施给予保证的。由于Internet的不同部分可能具有不同的拓扑结构、带宽、延迟、分组大小等传输特性,TCP有很强的适应能力和健壮性,适应各种不同的需求。TCP协议报文的格式如图7-7所示。 在使用TCP协议传输数据时,通常在传输数据之前要做一些准备工作,如源主机首先向目标主机发送连接请求,然后目标主机响应源主机的请求,最后源主机向目标主机发送确认信息,之后源主机和目的主机才开始传输数据,这就是常说的TCP的三次握手,如图7-8所示。 (4) UDP协议
14、w UDP是同TCP并列的另一传输层协议。它是一种面向非连接(Connectionless)的协议。UDP协议不提供端到端的确认和重传功能,它不保证信息包一定能到达目的地,因此是不可靠协议。应用开发人员选择UDP时,应用层协议软件几乎是直接与IP通信。 w UDP有下述几个特性: UDP是一个无连接协议,传输数据之前源端和目标端不建立连接,当它想传送时就简单把来自应用程序的数据,尽可能快地传到线路上。在发送端,UDP传送数据的速度仅仅是受应用程序生成数据的速度、计算机的能力和传输带宽的限制;在接收端,UDP把每个收到的数据块放在接收缓冲区中,由应用程序以数据块为单位读取。 由于传输数据不建立连
15、接,因此也就不需要维护连接状态,包括收发状态等,因此一台服务机可同时向多个客户机传输相同的消息。也就是说,UDP有广播的功能。而TCP协议只能点到点传输,没有广播的功能。 UDP信息包的标题很短,只有8个字节,相对于TCP的20个字节信息包的额外开销很小。 吞吐量不受拥挤控制算法的调节,只受应用软件生成数据的速率、传输带宽、源端和终端主机性能的限制。 (5) 端口号w 在上面讲到的TCP、UDP的包结构中已经看到,无论是TCP还是UDP都把端口号作为包头中的第一个内容,足见它的重要性。那么什么是端口呢?这里的端口不同于物理的端口的概念,它就是包头中的一个16位的数,范围从0到65 535。它用
16、于指明是哪个应用层的应用程序发出的数据包,及该数据包应被发送给接收方的哪个应用程序。例如,浏览器在访问网站时,由浏览器发出的数据包的TCP包头中的目标端口都是80,指明数据包是发给目标主机的WWW浏览服务的。w 端口号中有源端口(Source Port)和目标端口(Destination Port)之分,源端口是对发出数据包的应用程序的标识,目标端口是对要接收数据包的应用程序的标识。常见的端口号有HTTP端口号80、FTP端口号21、简单邮件传输协议SMTP的端口号25、Telnet的端口号23,类似于这样的端口号叫做众所周知的端口号(Well-Known Port),其范围为01023。还有
17、一些大于1024的端口已经被注册,称作Registered Number。端口号的分配定义在RFC 1700中,并在1994年成为一个标准,标准号是STD0002。常见的一些端口如表7-3所示。 w端口分为:固定端口、动态端口、源端口(Source Port)和目标端口。1)固定端口w固定端口(知名端口、周知端口(众所周知的端口)。固定端口的端口号范围从0到1023,这些端口号一般固定分配给一些服务。常见的端口号有FTP端口号21、Telnet的端口号23、简单邮件传输协议(SMTP)的端口号25、HTTP端口号80、135端口分配给RPC(远程过程调用)服务等等。端口号的分配定义在RFC 1
18、700中,并在1994年成为一个标准,标准号是STD0002。w常见的固定端口号:wTCP 1=TCP Port Service Multiplexer wTCP 2=Death wTCP 5=Remote Job Entry,yoyo wTCP 7=Echo wTCP 9=TCP/UDP DISCARD discardwTCP 11=Skun wTCP 12=Bomber wTCP 16=Skun wTCP 15=TCP/UDP netstat(网络状态程序)wTCP 17=Skun wTCP 18=消息传输协议,skunwTCP 19=Skun wTCP 20=FTP Data,Amand
19、a wTCP 21=文件传输,Back Construction,Blade Runner,Doly Trojan,Fore,FTP trojan,Invisible FTP,Larva, WebEx,WinCrash wTCP 22=远程登录协议 wTCP 23=远程登录(Telnet),Tiny Telnet Server (= TTS) wTCP 25=电子邮件(SMTP),Ajan,Antigen,Email Password Sender,Happy 99,Kuang2,ProMail trojan,Shtrilitz,Stealth,Tapiras,Terminator,WinPC
20、,WinSpy,Haebu Coceda wTCP 27=Assasin wTCP 28=Amanda wTCP 29=MSG ICP wTCP 30=Agent 40421 wTCP 31=Agent 31,Hackers Paradise,Masters Paradise,Agent 40421 wTCP 37=Time,ADM worm wTCP 39=SubSARI wTCP 41=DeepThroat,Foreplay wTCP 42=Host Name Server wTCP 43=WHOIS wTCP 44=Arctic wTCP 48=DRAT wTCP 49=主机登录协议 w
21、TCP 50=DRAT wTCP 51=IMP Logical Address Maintenance,Fuck Lamers Backdoor wTCP 52=MuSka52,Skun wTCP 53=DNS,Bonk (DOS Exploit) wTCP 54=MuSka52 wTCP 58=DMSetup wTCP 59=DMSetup wTCP 63=whois+ wTCP 64=Communications Integrator wTCP 65=TACACS-Database Service wTCP 66=Oracle SQL*NET,AL-Bareki wTCP 67=Boots
22、trap Protocol Server wTCP 68=Bootstrap Protocol Client wTCP 69=W32.Evala.Worm,BackGate Kit,Nimda,Pasana,Storm,Storm worm,Theef,Worm.Cycle.a wTCP 70=Gopher服务,ADM worm wTCP 79=用户查询(Finger),Firehotcker,ADM worm wTCP 80=超文本服务器(Http),Executor,RingZero wTCP 81=Chubo,Worm.Bbeagle.q wTCP 82=Netsky-Z wTCP 88
23、=Kerberos krb5服务 wTCP 93= TCP DCP 设备控制协议 wTCP 82=Netsky-Z wTCP 88=Kerberos krb5服务 wTCP 93= TCP DCP 设备控制协议wTCP 99=Hidden Port wTCP 101= TCP HOSTNAME hostnames NIC(主机名字服务器)wTCP 102=消息传输代理 wTCP 108=SNA网关访问服务器 wTCP 109=Pop2 wTCP 110=电子邮件(Pop3),ProMail wTCP 111= TCP/UDP SUNRPC sunrpc Sun Microsystems RPC
24、wTCP 113=Kazimas, Auther Idnet wTCP 115=简单文件传输协议 wTCP 118=SQL Services, Infector 1.4.2 wTCP 119=新闻组传输协议(Newsgroup(Nntp), Happy 99 wTCP 121=JammerKiller, Bo jammerkillah wTCP 123=网络时间协议(NTP),Net Controller wTCP 129=Password Generator Protocol wTCP 133=Infector 1.x wTCP 135=微软DCE RPC end-point mapper服
25、务 wTCP 137=微软Netbios Name服务(网上邻居传输文件使用) wTCP 138=微软Netbios Name服务(网上邻居传输文件使用) wTCP 139=微软Netbios Name服务(用于文件及打印机共享) wTCP 142=NetTaxi wTCP 143=IMAP wTCP 146=FC Infector,Infector wTCP 150=NetBIOS Session Service wTCP 156=SQL服务器 wTCP 161=Snmp wTCP 162=Snmp-Trap wTCP 170=A-Trojan wTCP 177=X Display管理控制协
26、议 wTCP 179=Border网关协议(BGP) wTCP 190=网关访问控制协议(GACP) wTCP 194=Irc wTCP 197=目录定位服务(DLS) wTCP 256=Nirvana wTCP 315=The Invasor wTCP 371=ClearCase版本管理软件 wTCP 389=Lightweight Directory Access Protocol (LDAP) wTCP 396=Novell Netware over IP wTCP 420=Breach wTCP 421=TCP Wrappers wTCP 443=安全服务 wTCP 444=Simpl
27、e Network Paging Protocol(SNPP) wTCP 445=Microsoft-DS wTCP 455=Fatal Connections wTCP 456=Hackers paradise,FuseSpark wTCP 458=苹果公司QuickTime wTCP 513=Grlogin wTCP 514=RPC Backdoor wTCP 520=Rip wTCP 525 =UDPtimed UNIX time daemonwTCP 531=Rasmin,Net666 wTCP 544=kerberos kshell wTCP 546=DHCP Client wTCP
28、 547=DHCP Server wTCP 548=Macintosh文件服务 wTCP 555=Ini-Killer,Phase Zero,Stealth Spy wTCP 569=MSN wTCP 605=SecretService wTCP 606=Noknok8 wTCP 660=DeepThroat wTCP 661=Noknok8 wTCP 666=Attack FTP,Satanz Backdoor,Back Construction,Dark Connection Inside 1.2 wTCP 667=Noknok7.2 wTCP 668=Noknok6 wTCP 669=D
29、P trojan wTCP 692=GayOL wTCP 707=Welchia,nachi wTCP 777=AIM Spy wTCP 808=RemoteControl,WinHole wTCP 815=Everyone Darling wTCP 901=Backdoor.Devil wTCP 911=Dark Shadow wTCP 993=IMAP wTCP 999=DeepThroat wTCP 1000=Der Spaeher wTCP 1001=Silencer,WebEx,Der Spaeher wTCP 1003=BackDoor wTCP 1010=Doly wTCP 10
30、11=Doly wTCP 1012=Doly wTCP 1015=Doly wTCP 1016=Doly wTCP 1020=Vampire wTCP 1023=Worm.Sasser.e wUDP 1=Sockets des Troie wUDP 9=Chargen wUDP 19=Chargen wUDP 53= DNS name querieswUDP 69= Trivial File Transfer Protocol (TFTP) wUDP 80=Penrox wUDP 137= NetBIOS name servicewUDP 138= NetBIOS datagram servi
31、cewUDP 161= Simple Network Management Protocol (SNMP)wUDP 179= Border Gateway Protocol(BGP)wUDP 371=ClearCase版本管理软件 wUDP 445=公共Internet文件系统(CIFS) wUDP 500=Internet密钥交换 wUDP 520= Routing Information Protocol (RIP) 2)动态端口w动态端口一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。只要运行的程序向系统提出访问网络的申请,那么系统就可以从这些端口号中分配一个供该程序使用。
32、动态端口的范围从1024到65535,当这个进程关闭时,同时也就释放了所占用的端口号。w动态端口分注册端口和私有端口。注册端口w注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。私有端口w私有端口(Dynamic and/or Private Ports):从49152到65535。理论上不应为服务分配这些端口。w实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。w常见的动态端口号:wTCP 1024=NetSpy.698(YAI) wTCP 1
33、025=NetSpy.698,Unused Windows Services Block wTCP 1028=应用层网关服务 wTCP 1029=Unused Windows Services Block wTCP 1030=Unused Windows Services Block wTCP 1033=Netspy wTCP 1035=Multidropper wTCP 1042=Bla1.1wTCP 1045=Rasmin wTCP 1047=GateCrasher wTCP 1050=MiniCommand wTCP 1058=nim wTCP 1069=Backdoor.TheefSe
34、rver.202 wTCP 1070=Voice,Psyber Stream Server,Streaming Audio Trojan wTCP 1079=ASPROVATalk wTCP 1080=Wingate,Worm.BugBear.B,Worm.Novarg.B wTCP 1090=Xtreme, VDOLive wTCP 1092=LoveGate wTCP 1095=Rat wTCP 1097=Rat wTCP 1098=Rat wTCP 1099=Rat wTCP 1109=Pop with Kerberos wTCP 1110=nfsd-keepalive wTCP 111
35、1=Backdoor.AIMVision wTCP 1155=Network File Access wTCP 1243= SubSeven wTCP 1245= Vodoo wTCP 1269= Maverick s Matrix wTCP 1352=Lotus Notes wTCP 1433=Microsoft SQL Server wTCP 1434=Microsoft SQL Monitor wTCP 1441=Remote Storm wTCP 1492=FTP99CMP(BackOriffice.FTP) wTCP 1503=NetMeeting T.120 wTCP 1512=M
36、icrosoft Windows Internet Name Service wTCP 1509=Psyber Streaming Server wTCP 1524= ingreslock wTCP 1570=Orbix Daemon wTCP 1524= ingreslock wTCP 1600= Shiv wTCP 1720=NetMeeting H.233 call Setup wTCP 1731=NetMeeting音频调用控制 wTCP 1745=ISA Server proxy autoconfig, Remote Winsock wTCP 1801=Microsoft Messa
37、ge Queue wTCP 1807=SpySender wTCP 1906=Backdoor/Verify.b wTCP 1907=Backdoor/Verify.b wTCP 1966=Fake FTP 2000 wTCP 1976=Custom port wTCP 1981= ShockRave wTCP 1990=stun-p1 cisco STUN Priority 1 port wTCP 1990=stun-p1 cisco STUN Priority 1 port wTCP 1991=stun-p2 cisco STUN Priority 2 port wTCP 1992=stu
38、n-p3 cisco STUN Priority 3 port,ipsendmsg IPsendmsg wTCP 1993=snmp-tcp-port cisco SNMP TCP port wTCP 1994=stun-port cisco serial tunnel port wTCP 1995=perf-port cisco perf port wTCP 1996=tr-rsrb-port cisco Remote SRB port wTCP 1997=gdp-port cisco Gateway Discovery Protocol wTCP 1998=x25-svc-port cis
39、co X.25 service (XOT) wTCP 1999=BackDoor wTCP 2000= 黑洞(木马) 默认端口 wTCP 2001= 黑洞(木马) 默认端口 wTCP 2002=W32.Beagle.AX mm wTCP 2003=Transmisson scout wTCP 2004=Transmisson scout wTCP 2005=TTransmisson scout wTCP 2011=cypress wTCP 2015=raid-cs wTCP 2023=Ripper,Pass Ripper,Hack City Ripper Pro wTCP 2049=NFS w
40、TCP 2053=knetd wTCP 2115=Bugs wTCP 2121=Nirvana wTCP 2140= Deep Throat.10 或 Invasor wTCP 2155=Nirvana wTCP 2208=RuX wTCP 2234=DirectPlay wTCP 2255=Illusion Mailer wTCP 2283= Rat wTCP 2300=PC Explorer wTCP 2311=Studio54 wTCP 2556=Worm.Bbeagle.q wTCP 2565=Striker wTCP 2583=WinCrash wTCP 2600=Digital R
41、ootBeer wTCP 2716=Prayer Trojan wTCP 2745=Worm.BBeagle.k wTCP 2773=Backdoor,SubSeven wTCP 2774=SubSeven2.1&2.2 wTCP 2801=Phineas wTCP 2967=SSC Agent wTCP 2989=Rat wTCP 3024=WinCrash trojan wTCP 3074=Microsoft Xbox game port wTCP 3127=Worm.Novarg wTCP 3128=RingZero,Worm.Novarg.B wTCP 3129= Masters Pa
42、radise.92 wTCP 3132=Microsoft Business Rule Engine Update Service wTCP 3150= Deep Throat 1.0 wTCP 3198=Worm.Novarg wTCP 3210=SchoolBus wTCP 3268=Microsoft Global Catalog wTCP 3269=Microsoft Global Catalog with LDAP/SSL wTCP 3332=Worm.Cycle.a wTCP 3333=Prosiak wTCP 3535=Microsoft Class Server wTCP 33
43、89=超级终端(或远程登陆端口)wTCP 3456=Terror wTCP 3459=Eclipse 2000 wTCP 3700=Portal of Doom wTCP 3791=Eclypse wTCP 3801=Eclypse wTCP 3847=Microsoft Firewall Control wTCP 3996=Portal of Doom,RemoteAnything wTCP 4000=腾讯QQ客户端 wTCP 4060=Portal of Doom,RemoteAnything wTCP 4092=WinCrash wTCP 4242=VHM wTCP 4267=SubSe
44、ven2.1&2.2 wTCP 4321=BoBo wTCP 4350=Net Device wTCP 4444=Prosiak,Swift remote wTCP 4500=Microsoft IPsec NAT-T, W32.HLLW.Tufas wTCP 4567=File Nail wTCP 4661=Backdoor/Surila.f wTCP 4590=ICQTrojan wTCP 4899=Remote Administrator服务器 wTCP 4950=ICQTrojan wTCP 5000=WindowsXP 默认启动的 UPNP 服务 wTCP 5001=Back Doo
45、r Setup, Sockets de Troie wTCP 5002=cd00r,Shaft wTCP 5011=One of the Last Trojans (OOTLT) wTCP 5025=WM Remote KeyLogger wTCP 5031=Firehotcker,Metropolitan,NetMetro wTCP 5032=Metropolitan wTCP 5190=ICQ Query wTCP 5321=Firehotcker wTCP 5333=Backage Trojan Box 3 wTCP 5343=WCrat wTCP 5400= BackConstruct
46、ion1.2或BladeRunnerwTCP 5401=Blade Runner,Back Construction wTCP 5402=Blade Runner,Back Construction wTCP 5471=WinCrash wTCP 5512=Illusion Mailer wTCP 5521=Illusion Mailer wTCP 5550=Xtcp wTCP 5554=Worm.Sasser wTCP 5555= rmt - rmtd wTCP 5556= mtb - mtbd w。 查看端口 w查看端口有两种方式: 一种是利用系统内置的命令,一种是利用第三方端口扫描软件。
47、 用“netstat an”查看端口状态 w在Windows 2000/XP中,可以在命令提示符下使用“netstat -an”查看系统端口状态,可以列出系统正在开放的端口号及其状态 用第三方端口扫描软件 w扫描端口的软件非常之多,从很多所谓的黑客网站上都能找得到各种各样的招描端口工具。3)源端口w源端口是对发出数据包的应用程序的标识,4)目标端口w目标端口是对要接收数据包的应用程序的标识。wTCP/IP模型没有会话层和表示层。由于没有需要,所以把它们排除在外。来自OSI模型的经验已经证明,它们对大多数应用程序都没有用处。w传输层的上面是应用层。它包含所有的高层协议。最早引入的是虚拟终端协议(
48、Telnet)、文件传输协议(FTP)和电子邮件协议(SMTP),虚拟终端协议允许一台机器上的用户登录到远程机器上并且进行工作。文件传输协议提供了有效地把数据从一台机器移到另一台机器的方法。电子邮件协议最初仅是一种文件传输,但是后来为它提出一专门的协议。这些年来又增加了不少的协议。例如,域名系统服务(Domain Name Service,DNS)用于把主机名映射到网络地址,NNTP协议用于传递新闻文章,HTTP协议用于在万维网(WWW)上获取主页等。 3. 互联网层w TCP/IP模型没有会话层和表示层。由于没有需要,所以把它们排除在外。来自OSI模型的经验已经证明,它们对大多数应用程序都没
49、有用处。w 传输层的上面是应用层。它包含所有的高层协议。最早引入的是虚拟终端协议(Telnet)、文件传输协议(FTP)和电子邮件协议(SMTP),虚拟终端协议允许一台机器上的用户登录到远程机器上并且进行工作。文件传输协议提供了有效地把数据从一台机器移到另一台机器的方法。电子邮件协议最初仅是一种文件传输,但是后来为它提出一专门的协议。这些年来又增加了不少的协议。例如,域名系统服务(Domain Name Service,DNS)用于把主机名映射到网络地址,NNTP协议用于传递新闻文章,HTTP协议用于在万维网(WWW)上获取主页等。 4. 网络层w 互联网层下面什么都没有,TCP/IP参考模型
50、没有真正描述这一部分,只是指出主机必须使用某种协议与网络连接,以便能在其上传递IP分组。这个协议未被定义,并且随主机和网络的不同而不同。w 网络层处理报文的路由管理。这一层根据接收报文的信息决定报文的去向。w 网络层的主要工作是在网络层进行有大小限制的数据包的正确传输,它有两个主要功能 寻址(Addressing)和路由(Routing)。另外,在TCP/IP的网络层的IP协议中还有数据包的分段的功能。在TCP/IP的网络层中主要有4个协议,最重要的协议是IP协议,还有用于寻址的ARP协议,用于报错的ICMP协议,用于组播的IGMP协议。 (1) IP协议w IP协议是TCP/IP协议在进行数