ip地址相关技术论文模板

（第一篇）这篇简单介绍了TCP/IP协议。 可供参考。What is TCP/IP? TCP/IP (Transmission Control Protocol/Internet Protocol) is the basic communication language or protocol of the Internet. It can also be used as a communications protocol in a private network (either an intranet or an extranet). When you are set up with direct access to the Internet, your computer is provided with a copy of the TCP/IP program just as every other computer that you may send messages to or get information from also has a copy of TCP/IP.TCP/IP is a two-layer program. The higher layer, Transmission Control Protocol, manages the assembling of a message or file into smaller packets that are transmitted over the Internet and received by a TCP layer that reassembles the packets into the original message. The lower layer, Internet Protocol, handles the address part of each packet so that it gets to the right destination. Each gateway computer on the network checks this address to see where to forward the message. Even though some packets from the same message are routed differently than others, they'll be reassembled at the destination.TCP/IP uses the client/server model of communication in which a computer user (a client) requests and is provided a service (such as sending a Web page) by another computer (a server) in the network. TCP/IP communication is primarily point-to-point, meaning each communication is from one point (or host computer) in the network to another point or host computer. TCP/IP and the higher-level applications that use it are collectively said to be "stateless" because each client request is considered a new request unrelated to any previous one (unlike ordinary phone conversations that require a dedicated connection for the call duration). Being stateless frees network paths so that everyone can use them continuously. (Note that the TCP layer itself is not stateless as far as any one message is concerned. Its connection remains in place until all packets in a message have been received.)Many Internet users are familiar with the even higher layer application protocols that use TCP/IP to get to the Internet. These include the World Wide Web's Hypertext Transfer Protocol (HTTP), the File Transfer Protocol (FTP), Telnet (Telnet) which lets you logon to remote computers, and the Simple Mail Transfer Protocol (SMTP). These and other protocols are often packaged together with TCP/IP as a "suite."Personal computer users with an analog phone modem connection to the Internet usually get to the Internet through the Serial Line Internet Protocol (SLIP) or the Point-to-Point Protocol (PPP). These protocols encapsulate the IP packets so that they can be sent over the dial-up phone connection to an access provider's modem.Protocols related to TCP/IP include the User Datagram Protocol (UDP), which is used instead of TCP for special purposes. Other protocols are used by network host computers for exchanging router information. These include the Internet Control Message Protocol (ICMP), the Interior Gateway Protocol (IGP), the Exterior Gateway Protocol (EGP), and the Border Gateway Protocol (BGP). （第二篇）这篇介绍了TCP/IP的发展。Development of TCP/IPThe original research was performed in the late 1960s and early 1970s by the Advanced Research Projects Agency (ARPA), which is the research arm of the US Department of Defense (DOD). The DOD wanted to build a network to connect a number of military sites. The key requirements for the network were as follows: * It must continue to function during nuclear war (development took place during the 'cold war'). The 7/8th rule required that the network should continue to function even when 7/8th of the network was not operational * It must be completely decentralized with no key central installation that could be destroyed and bring down the whole network * It must be fully redundant and able to continue communication between A and B even though intermediate sites and links might stop functioning during the conversation * The architecture must be flexible as the envisaged range of applications for the network was wide (anything from file transfer to time-sensitive data such as voice)ARPA hired a firm called BBN to design the network. The prototype was a research network called ARPANET (first operational in 1972). This connected four university sites using a system described as a packet switching network.Prior to this development, any two computers wanting to communicate had to open a direct channel (known as a circuit) and information was then sent. If this circuit were broken, the computers would stop communicating immediately, which the DOD specifically wanted to avoid.One computer could forward information to another by using packet-switching, so it superseded circuit-switched networks. To ensure information reached the correct destination, each packet was addressed with a source and destination and the packet was then transferred using any available pathway to the destination computer.It was divided into small chunks or packets (originally 1008 bits). Sending large chunks of information has always presented problems, often because the full message fails to reach its destination at the first attempt, and the whole message then has to be resent. The facilities within the new protocol to divide large messages into numerous small packets meant that a single packet could be resent if it was lost or damaged during transmission, rather than the whole message.The new network was decentralized with no one computer controlling its operation where the packet switching protocol controlled most of the network operations.TCP/IP is a very robust protocol and can automatically recover from any communication link failures. It re-routes data packets if transmission lines are damaged or if a computer fails to respond, utilizing any available network path. The figure below shows an example of an Internet system. A packet being sent from Network A to Network F may be sent via Network D (the quickest route). If this route becomes unavailable, the packet is routed using an alternate route (for example, A B C E F).Once ARPANET was proven, the DOD built MILNET (Military Installation in US) and MINET (Military Installation in Europe). To encourage the wide adoption of TCP/IP, BBN and the University of California at Berkeley were funded by the US Government to implement the protocol in the Berkeley version of Unix. UNIX was given freely to US universities and colleges, allowing them to network their computers. Researchers at Berkeley developed a program interface to the network protocol called sockets and wrote many applications using this interface.During the early 1980s, the National Science Foundation (NSF) used Berkeley TCP/IP to create the Computer Science Network (CSNET) to link US universities. They saw the benefit of sharing information between universities and ARPANET provided the infrastructure. Meanwhile, in 1974 a successor to ARPANET was developed named NSFNET. This was based on a backbone of six supercomputers into which many regional networks were allowed to connect.The first stage in the commercial development of the Internet occurred in 1990 when a group of telecommunications and computer companies formed a non-profit making organization called Advanced Networks and Services (ANS). This organization took over NSFNET and allowed commercial organizations to connect to the system. The commercial Internet grew from these networks.上述两篇都可供参考。 一、TCP/IP协议簇简介TCP/IP（传输控制协议/网间协议）是一种网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的数据往来格式以及传送方式。TCP/IP是 INTERNET的基础协议，也是一种电脑数据打包和寻址的标准方法。在数据传送中，可以形象地理解为有两个信封，TCP和IP就像是信封，要传递的信息被划分成若干段，每一段塞入一个TCP信封，并在该信封面上记录有分段号的信息，再将TCP信封塞入IP大信封，发送上网。在接受端，一个TCP软件包收集信封，抽出数据，按发送前的顺序还原，并加以校验，若发现差错，TCP将会要求重发。因此，TCP/IP在INTERNET中几乎可以无差错地传送数据。在任何一个物理网络中,各站点都有一个机器可识别的地址,该地址叫做物理地址.物理地址有两个特点:（1）物理地址的长度,格式等是物理网络技术的一部分,物理网络不同,物理地址也不同.（2）同一类型不同网络上的站点可能拥有相同的物理地址.以上两点决定了,不能用物理网络进行网间网通讯.在网络术语中，协议中，协议是为了在两台计算机之间交换数据而预先规定的标准。TCP/IP并不是一个而是许多协议，这就是为什么你经常听到它代表一个协议集的原因，而TCP和IP只是其中两个基本协议而已。你装在计算机-的TCP/IP软件提供了一个包括TCP、IP以及TCP/IP协议集中其它协议的工具平台。特别是它包括一些高层次的应用程序和FTP(文件传输协议)，它允许用户在命令行上进行网络文件传输。TCP/IP 是美国政府资助的高级研究计划署(ARPA)在二十世纪七十年代的一个研究成果，用来使全球的研究网络联在一起形成一个虚拟网络，也就是国际互联网。原始的Internet通过将已有的网络如ARPAnet转换到TCP/IP上来而形成，而这个Internet最终成为如今的国际互联网的骨干网。如今TCP/IP如此重要的原因，在于它允许独立的网格加入到Internet或组织在一起形成私有的内部网（Intranet）。构成内部网的每个网络通过一种-做路由器或IP路由器的设备在物理上联接在一起。路由器是一台用来从一个网络到另一个网络传输数据包的计算机。在一个使用TCP/IP的内部网中，信息通过使用一种独立的叫做IP包（IPpacket）或IP数据报(IP datagrams)的数据单元进--传输。TCP/IP软件使得每台联到网络上的计算机同其它计算机“看”起来一模一样，事实上它隐藏了路由器和基本的网络体系结构并使其各方面看起来都像一个大网。如同联入以太网时需要确认一个48位的以太网地址一样，联入一个内部网也需要确认一个32位的IP地址。我们将它用带点的十进制数表示，如128.10.2.3。给定一个远程计算机的IP地址，在某个内部网或Internet上的本地计算机就可以像处在同一个物理网络中的两台计算机那样向远程计算机发送数据。TCP/IP 提供了一个方案用来解决属于同一个内部网而分属不同物理网的两台计算机之间怎样交换数据的问题。这个方案包括许多部分，而TCP/IP协议集的每个成员则用来解决问题的某一部分。如TCP/IP协议集中最基本的协议-IP协议用来在内部网中交换数据并且执行一项重要的功能：路由选择－－选择数据报从A主机到B主机将要经过的路径以及利用合适的路由器完成不同网络之间的跨越（hop）。TCP 是一个更高层次的它允许运行在在不同主机上的应用程序相互交换数据流。TCP将数据流分成小段叫做TCP数据段（TCP segments），并利用IP协议进行传输。在大多数情况下，每个TCP数据段装在一个IP数据报中进行发送。但如需要的话，TCP将把数据段分成多个数据报，而IP数据报则与同一网络不同主机间传输位流和字节流的物理数据帧相容。由于IP并不能保证接收的数据报的顺序相一致，TCP会在收信端装配 TCP数据段并形成一个不间断的数据流。FTP和Telnet就是两个非常流行的依靠TCP的TCP/IP应用程序。另一个重要的TCP/IP协议集的成员是用户数据报协议(UDP)，它同TCP相似但比TCP原始许多。TCP是一个可靠的协议，因为它有错误检查和握手确认来保证数据完整的到达目的地。UDP是一个“不可靠”的协议，因为它不能保证数据报的接收顺序同发送顺序相同，甚至不能保证它们是否全部到达。如果有可靠性要求，则应用程序避免使用它。同许多TCP/IP工具同时提供的SNMP(简单网络管理协议)就是一个使用UDP协议的应用例子。其它TCP/IP协议在TCP/IP网络中工作在幕后，但同样也发挥着重要作用。例如地址转换协议(ARP)将IP地址转换为物理网络地址如以太网地址。而与其对应的反向地址转换协议(RARP)做相反的工作，即将物理网络地址转换为IP地址。网际控制报文协议(ICMP)则是一个支持性协议，它利用IP完成IP数据报在传输时的控制信息和错误信息的传输。例如，如果一个路由器不能向前发送一个IP数据报，它就会利用ICMP来告诉发送者这里出现了问题。 这个不是原版翻译，不过相差不多。 -0-。你先要的是英文版啊~ 囧~ 要不你再发个帖，找人翻译下。

基于TCP/IP 端口扫描技术[摘要] 本文讲述了TCP联接的建立过程，以及介绍了一些经典的扫描器以及所谓的SYN扫描器的使用，以及隐藏攻击源的技术，最好介绍了另外一些扫描技术。考虑了一些不是基于TCP端口和主要用来进行安全扫描的扫描工具（例如SATAN）。另外分析了使用扫描器的栈指纹。栈指纹通过检测主机TCP并将应答跟已知操作系统TCP/IP协议栈应答相比较，解决了识别操作系统的问题。 关键字：TCP/IP，UDP，三阶段握手，SYN扫描，FIN扫描，秘密扫描，间接扫描，诱扫描，指纹，协作扫描。--------------------------------------------------------------------------------正文:端口扫描技术前言第一部分，我们讲述TCP连接的建立过程（通常称作三阶段握手），然后讨论与扫描程序有关的一些实现细节。然后，简单介绍一下经典的扫描器（全连接）以及所谓的SYN（半连接）扫描器。第三部分主要讨论间接扫描和秘密扫描，还有隐藏攻击源的技术。秘密扫描基于FIN段的使用。在大多数实现中，关闭的端口对一个FIN 段返回一个RST，但是打开的端口通常丢弃这个段，不作任何回答。间接扫描，就像它的名字，是用一个欺主机来帮助实施，这台主机通常不是自愿的。第四部分介绍了一种与应用协议有关扫描。这些扫描器通常利用协议实现中的一些缺陷或者错误。认证扫描（ident scanning）也被成为代理扫描(proxy scanning)。最后一部分，介绍了另外一些扫描技术。考虑了一些不是基于TCP端口和主要用来进行安全扫描的扫描工具（例如SATAN）。另外分析了使用扫描器的栈指纹。栈指纹通过检测主机TCP并将应答跟已知操作系统TCP/IP协议栈应答相比较，解决了识别操作系统的问题。一：TCP/IP相关问题连接端及标记IP地址和端口被称作套接字，它代表一个TCP连接的一个连接端。为了获得TCP服务，必须在发送机的一个端口上和接收机的一个端口上建立连接。TCP连接用两个连接端来区别，也就是（连接端1，连接端2）。连接端互相发送数据包。一个TCP数据包包括一个TCP头，后面是选项和数据。一个TCP头包含6个标志位。它们的意义分别为：SYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。FIN: 表示发送端已经没有数据要求传输了，希望释放连接。RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。URG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。ACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。PSH: 如果置位，接收端应尽快把数据传送给应用层。TCP连接的建立TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。 TCP的可靠性通过校验和，定时器，数据序号和应答来提供。通过给每个发送的字节分配一个序号，接收端接收到数据后发送应答，TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序，剔除重复的数据。在一个TCP会话中，有两个数据流（每个连接端从另外一端接收数据，同时向对方发送数据），因此在建立连接时，必须要为每一个数据流分配ISN（初始序号）。为了了解实现过程，我们假设客户端C希望跟服务器端S建立连接，然后分析连接建立的过程（通常称作三阶段握手）：1： C --SYN XXà S2： C ?-SYN YY/ACK XX+1------- S3： C ----ACK YY+1--à S1：C发送一个TCP包（SYN 请求）给S，其中标记SYN（同步序号）要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的ISN（XX是一个例子）。2：服务器端发回应答，包含自己的SYN信息ISN（YY）和对C的SYN应答，应答时返回下一个希望得到的字节序号（YY+1）。3：C 对从S 来的SYN进行应答，数据发送开始。一些实现细节大部分TCP/IP实现遵循以下原则：1：当一个SYN或者FIN数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。2：当一个RST数据包到达一个监听端口，RST被丢弃。3：当一个RST数据包到达一个关闭的端口，RST被丢弃。4：当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。5：当一个SYN位关闭的数据包到达一个监听端口时，数据包被丢弃。6：当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYN ACK数据包。7：当一个FIN数据包到达一个监听端口时，数据包被丢弃。"FIN行为"（关闭得端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起"FIN行为"。二：全TCP连接和SYN扫描器全TCP连接全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。由于通常情况下，这不需要什么特权，所以几乎所有的用户（包括多用户环境下）都可以通过connect来实现这个技术。这种扫描方法很容易检测出来（在日志文件中会有大量密集的连接和错误记录）。Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外，TCP Wrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。TCP SYN扫描在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。三：秘密扫描与间接扫描秘密扫描技术由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多。另外，FIN数据包能够通过只监测SYN包的包过滤器。秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。否则，当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。秘密扫描通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送reset信号的操作系统（包括CISCO，BSDI，HP/UX，MVS和IRIX）。在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。跟SYN扫描类似，秘密扫描也需要自己构造IP 包。间接扫描间接扫描的思想是利用第三方的IP（欺主机）来隐藏真正扫描者的IP。由于扫描主机会对欺主机发送回应信息，所以必须监控欺主机的IP行为，从而获得原始扫描的结果。间接扫描的工作过程如下：假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）。四：认证扫描和代理扫描认证扫描到目前为止，我们分析的扫描器在设计时都只有一个目的：判断一个主机中哪个端口上有进程在监听。然而，最近的几个新扫描器增加了其它的功能，能够获取监听端口的进程的特征和行为。认证扫描是一个非常有趣的例子。利用认证协议，这种扫描器能够获取运行在某个端口上进程的用户名（userid）。认证扫描尝试与一个TCP端口建立连接，如果连接成功，扫描器发送认证请求到目的主机的113TCP端口。认证扫描同时也被成为反向认证扫描，因为即使最初的RFC建议了一种帮助服务器认证客户端的协议，然而在实际的实现中也考虑了反向应用（即客户端认证服务器）。代理扫描文件传输协议（FTP）支持一个非常有意思的选项：代理ftp连接。这个选项最初的目的（RFC959）是允许一个客户端同时跟两个FTP服务器建立连接，然后在服务器之间直接传输数据。然而，在大部分实现中，实际上能够使得FTP服务器发送文件到Internet的任何地方。许多攻击正是利用了这个缺陷。最近的许多扫描器利用这个弱点实现ftp代理扫描。ftp端口扫描主要使用ftp代理服务器来扫描tcp端口。扫描步骤如下：1：假定S是扫描机，T是扫描目标，F是一个ftp服务器，这个服务器支持代理选项，能够跟S和T建立连接。2：S与F建立一个ftp会话，使用PORT命令声明一个选择的端口（称之为p－T）作为代理传输所需要的被动端口。3：然后S使用一个LIST命令尝试启动一个到p－T的数据传输。4：如果端口p－T确实在监听，传输就会成功（返回码150和226被发送回给S）。否则S回收到"425无法打开数据连接"的应答。5：S持续使用PORT和LIST命令，直到T上所有的选择端口扫描完毕。FTP代理扫描不但难以跟踪，而且当ftp服务器在_blank">防火墙后面的时候五：其它扫描方法Ping扫描如果需要扫描一个主机上甚至整个子网上的成千上万个端口，首先判断一个主机是否开机就非常重要了。这就是Ping扫描器的目的。主要由两种方法用来实现Ping扫描。1：真实扫描：例如发送ICMP请求包给目标IP地址，有相应的表示主机开机。2：TCP Ping：例如发送特殊的TCP包给通常都打开且没有过滤的端口（例如80端口）。对于没有root权限的扫描者，使用标准的connect来实现。否则，ACK数据包发送给每一个需要探测的主机IP。每一个返回的RST表明相应主机开机了。另外，一种类似于SYN扫描端口80（或者类似的）也被经常使用。安全扫描器安全扫描器是用来自动检查一个本地或者远程主机的安全漏洞的程序。象其它端口扫描器一样，它们查询端口并记录返回结果。但是它们。它们主要要解决以下问题：1：是否允许匿名登录。2：是否某种网络服务需要认证。3：是否存在已知安全漏洞。可能SATAN是最著名的安全扫描器。1995年四月SATAN最初发布的时候，人们都认为这就是它的最终版本，认为它不但能够发现相当多的已知漏洞，而且能够针对任何很难发现的漏洞提供信息。但是，从它发布以来，安全扫描器一直在不断地发展，其实现机制也越来越复杂。栈指纹绝大部分安全漏洞与缺陷都与操作系统相关，因此远程操作系统探测是系统管理员关心的一个问题。远程操作系统探测不是一个新问题。近年来，TCP/IP实现提供了主机操作系统信息服务。FTP，TELNET，HTTP和DNS服务器就是很好的例子。然而，实际上提供的信息都是不完整的，甚至有可能是错误的。最初的扫描器，依靠检测不同操作系统对TCP/IP的不同实现来识别操作系统。由于差别的有限性，现在只能最多只能识别出10余种操作系统。最近出现的两个扫描器，QueSO和NMAP，在指纹扫描中引入了新的技术。 QueSO第一个实现了使用分离的数据库于指纹。NMAP包含了很多的操作系统探测技术，定义了一个模板数据结构来描述指纹。由于新的指纹可以很容易地以模板的形式加入，NMAP指纹数据库是不断增长的，它能识别的操作系统也越来越多。这种使用扫描器判断远程操作系统的技术称为（TCP/IP）栈指纹技术。另外有一种技术称为活动探测。活动探测把TCP的实现看作一个黑盒子。通过研究TCP对探测的回应，就可以发现 TCP实现的特点。TCP/IP 栈指纹技术是活动探测的一个变种，它适用于整个TCP/IP协议的实现和操作系统。栈指纹使用好几种技术来探测TCP/IP协议栈和操作系统的细微区别。这些信息用来创建一个指纹，然后跟已知的指纹进行比较，就可以判断出当前被扫描的操作系统。栈指纹扫描包含了相当多的技术。下面是一个不太完整的清单：1：FIN探测2：BOGUS标记探测3：TCP ISN 取样4：TCP 初始窗口5：ACK值6：ICMP错误信息7：ICMP信息8：服务类型9：TCP选项

能不能把你论文发给我啊 我现在急用 谢谢