因特网与TCP/IP安全5.1TCP/IP协议栈ISO/OSI参考模型将网络设计划分成七个功能层但此模型只起到一个指导作用——它本身并不是一个规范。例如TCP/IP网络只使用ISO/OSI模型的五层。图5-2显示了一个简单的五层网络模型其中每层都采用了TCP/IP协议。网络层和相应的协议层组成了该模型数据通过此模型在应用程序和网络硬件之间进行传递。图5-2中有箭头的线表示不同的网络软件和硬件之间可能的通信信道。例如为了和传输层通信应用程序必须与用户数据报协议(UDP)或传输控制协议(TCP)模块对话；为了和网络层通信应用程序必须与互联网控制报文协议(ICMP)或者互联网协议(IP)模块对话。但是不管数据通过什么路径从应用层到网络层数据都必须经过IP模块才能到达网络硬件。图5-1ISO/OSI模型与TCP/IP协议栈图5-2TCP/IP协议栈各相关协议在TCP/IP协议体系结构中每层负责不同的网络通信功能：(1)链路层有时也称作数据链路层或网络接口层通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆(或其它任何传输媒介)的物理接口细节以及数据帧(Frame)的组装。(2)网络层有时也称作互联网层处理分组(Packet)在网络中的活动例如分组的选路。在TCP/IP协议族中网络层协议包括IP协议、ICMP协议以及IGMP协议(因特网组管理协议)。(3)传输层主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中有两个互不相同的传输协议：TCP(传输控制协议)和UDP(用户数据报协议)。TCP为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的数据分成合适的小块(段：Segment)交给下面的网络层、确认接收到的分组报文、设置发送的最后确认分组的超时时钟等。由于传输层提供了高可靠性的端到端的通信因此应用层可以忽略所有这些细节。另一方面UDP则为应用层提供一种非常简单的服务。它只是把称作数据报(Datagram)的分组从一台主机发送到另一台主机但并不保证该数据报能到达另一端。任何必要的可靠性必须由应用层自己负责提供。这两种传输层协议在不同的应用程序中分别有不同的用途这一点将在后面看到。(4)应用层负责处理特定的应用程序细节。几乎各种不同的TCP/IP实现都会提供下面这些通用的应用程序：①Telnet(远程登录)②FTP(文件传输协议)③SMTP(简单邮件传输协议)④SNMP(简单网络管理协议)5.2互联网地址图5-3五类互联网地址图5-4各类IP地址的范围这些32位的地址通常写成四个十进制的数其中每个整数对应一个字节。这种表示方法称作“点分十进制表示法”(DottedDecimalNotation)。例如作者的系统就是一个B类地址它表示为：140.252.13.33。区分各类地址的最简单方法是看它的第一个十进制整数。图5-4列出了各类地址的起止范围其中第一个十进制整数用加黑字体表示。需要注意的是多接口主机(例如路由器)具有多个IP地址其中每个接口都对应一个IP地址。5.3协议封装图5-5中帧头和帧尾下面所标注的数字是典型以太网帧头部的字节长度。以太网数据帧的物理特性是其长度必须在46～1500字节之间。有些TCP/IP协议文献也使用octet这个术语来表示字节。更准确地说图5-5中IP和网络接口层之间传送的数据单元应该是包(Packet)。包既可以是一个IP数据报也可以是IP数据报的一个片(Fragment)。我们将在下一节讨论IP数据报分片的详细情况。图5-5在以太网上使用TCP进行数据封装UDP数据与TCP数据基本一致。惟一的不同是UDP传给IP的信息单元称作UDP数据报(UDPDatagram)而且UDP的首部长为8字节。回想前面的图5-2由于TCP、UDP、ICMP和IGMP都要向IP传送数据因此IP必须在生成的IP首部中加入某种标识以表明数据属于哪一层。为此IP在首部中存入一个长度为8比特的字段称作协议域。1表示为ICMP协议2表示为IGMP协议6表示为TCP协议17表示为UDP协议。类似地许