ftp發包_tcp協議通過什麼來區分不同的連接

⑴ 請問電腦處於sniffer狀態是什麼意識啊

sniffer是竊聽的意思，sniffer狀態應該就是竊聽狀態了

要更詳細的看下面，保證看到你頭大~哈哈

sniffers(嗅探器)幾乎和internet有一樣久的歷史了.Sniffer是一種常用的收集有用數據方法，這些數據可以是用戶的帳號和密碼，可以是一些商用機密數據等等。隨著Internet及電子商務的日益普及,Internet的安全也越來越受到重視。在Internet安全隱患中扮演重要角色之一的Sniffer以受到越來越大的關注，所以今天我要向大家介紹一下介紹Sniffer以及如何阻止sniffer。
大多數的黑客僅僅為了探測內部網上的主機並取得控制權，只有那些"雄心勃勃"的黑客，為了控制整個網路才會安裝特洛伊木馬和後門程序，並清除記錄。他們經常使用的手法是安裝sniffer。
在內部網上，黑客要想迅速獲得大量的賬號（包括用戶名和密碼），最為有效的手段是使用 "sniffer" 程序。這種方法要求運行Sniffer 程序的主機和被監聽的主機必須在同一個乙太網段上，故而在外部主機上運行sniffer是沒有效果的。再者，必須以root的身份使用sniffer 程序，才能夠監聽到乙太網段上的數據流。談到乙太網sniffer，就必須談到乙太網sniffing。
那麼什麼是乙太網sniffer呢?
乙太網sniffing是指對乙太網設備上傳送的數據包進行偵聽，發現感興趣的包。如果發現符合條件的包，就把它存到一個log文件中
去。通常設置的這些條件是包含字"username"或"password"的包。它的目的是將網路層放到promiscuous模式，從而能幹些事情。
Promiscuous模式是指網路上的所有設備都對匯流排上傳送的數據進行偵聽，並不僅僅是它們自己的數據。根據第二章中有關對乙太網的工作原理的基本介紹，可以知道：一個設備要向某一目標發送數據時,它是對乙太網進行廣播的。一個連到乙太網匯流排上的設備在任何時間里都在接受數據。不過只是將屬於自己的數據傳給該計算機上的應用程序。
利用這一點，可以將一台計算機的網路連接設置為接受所有以太
網匯流排上的數據，從而實現sniffer。
sniffer通常運行在路由器，或有路由器功能的主機上。這樣就能對大量的數據進行監控。sniffer屬第二層次的攻擊。通常是攻擊者已經進入了目標系統，然後使用sniffer這種攻擊手段，以便得到更多的信息。
sniffer除了能得到口令或用戶名外，還能得到更多的其他信息，比如一個其他重要的信息，在網上傳送的金融信息等等。sniffer幾乎能得到任何乙太網上的傳送的數據包。黑客會使用各種方法，獲得系統的控制權並留下再次侵入的後門，以保證sniffer能夠執行。在Solaris 2.x平台上，sniffer 程序通常被安裝在/usr/bin 或/dev目錄下。黑客還會巧妙的修改時間，使得sniffer程序看上去是和其它系統程序同時安裝的。
大多數乙太網sniffer程序在後台運行，將結果輸出到某個記錄文件中。黑客常常會修改ps程序，使得系統管理員很難發現運行的sniffer程序。
乙太網sniffer程序將系統的網路介面設定為混合模式。這樣，它就可以監聽到所有流經同一乙太網網段的數據包，不管它的接受者或發送者是不是運行sniffer的主機。程序將用戶名、密碼和其它黑客感興趣的數據存入log文件。黑客會等待一段時間 ----- 比如一周後，再回到這里下載記錄文件。
講了這么多，那麼到底我們可以用什麼通俗的話來介紹sniffer呢？
計算機網路與電話電路不同，計算機網路是共享通訊通道的。共享意味著計算機能夠接收到發送給其它計算機的信息。捕獲在網路中傳輸的數據信息就稱為sniffing（竊聽）。
乙太網是現在應用最廣泛的計算機連網方式。乙太網協議是在同一迴路向所有主機發送數據包信息。數據包頭包含有目標主機的正確地址。一般情況下只有具有該地址的主機會接受這個數據包。如果一台主機能夠接收所有數據包，而不理會數據包頭內容，這種方式通常稱為"混雜" 模式。
由於在一個普通的網路環境中，帳號和口令信息以明文方式在乙太網中傳輸，一旦入侵者獲得其中一台主機的root許可權，並將其置於混雜模式以竊聽網路數據，從而有可能入侵網路中的所有計算機。
一句話，sniffer就是一個用來竊聽的黑客手段和工具。
二、sniffer的工作原理
通常在同一個網段的所有網路介面都有訪問在物理媒體上傳輸的所有數據的能力，而每個網路介面都還應該有一個硬體地址，該硬體地址不同於網路中存在的其他網路介面的硬體地址，同時，每個網路至少還要一個廣播地址。（代表所有的介面地址），在正常情況下，一個合法的網路介面應該只響應這樣的兩種數據幀：
1、幀的目標區域具有和本地網路介面相匹配的硬體地址。
2、幀的目標區域具有"廣播地址"。
在接受到上面兩種情況的數據包時，nc通過cpu產生一個硬體中斷，該中斷能引起操作系統注意，然後將幀中所包含的數據傳送給系統進一步處理。
而sniffer就是一種能將本地nc狀態設成（promiscuous）狀態的軟體，當nc處於這種"混雜"方式時，該nc具備"廣播地址"，它對所有遭遇到的每一個幀都產生一個硬體中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。（絕大多數的nc具備置成 promiscuous方式的能力）
可見，sniffer工作在網路環境中的底層，它會攔截所有的正在網路上傳送的數據，並且通過相應的軟體處理，可以實時分析這些數據的內容，進而分析所處的網路狀態和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。
通常sniffer所要關心的內容可以分成這樣幾類：
1、口令
我想這是絕大多數非法使用sniffer的理由，sniffer可以記錄到明文傳送的userid和passwd.就算你在網路傳送過程中使用了加密的數據，sniffer記錄的數據一樣有可能使入侵者在家裡邊吃肉串邊想辦法算出你的演算法。
2、金融帳號
許多用戶很放心在網上使用自己的信用卡或現金帳號，然而sniffer可以很輕松截獲在網上傳送的用戶姓名、口令、信用卡號碼、截止日期、帳號和pin.
3、偷窺機密或敏感的信息數據
通過攔截數據包，入侵者可以很方便記錄別人之間敏感的信息傳送，或者乾脆攔截整個的email會話過程。
4、窺探低級的協議信息。
這是很可怕的事，我認為，通過對底層的信息協議記錄，比如記錄兩台主機之間的網路介面地址、遠程網路介面ip地址、ip路由信息和tcp連接的位元組順序號碼等。這些信息由非法入侵的人掌握後將對網路安全構成極大的危害，通常有人用sniffer收集這些信息只有一個原因：他正在進行一次欺詐，（通常的ip地址欺詐就要求你准確插入tcp連接的位元組順序號,這將在以後整理的文章中指出）如果某人很關心這個問題，那麼sniffer對他來說只是前奏，今後的問題要大得多。（對於高級的hacker而言，我想這是使用sniffer的唯一理由吧）
二.sniffer的工作環境
snifffer就是能夠捕獲網路報文的設備。嗅探器的正當用處在於分析網路的流量,以便找出所關心的網路中潛在的問題。例如,假設網路的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。
嗅探器在功能和設計方面有很多不同。有些只能分析一種協議，而另一些可能能夠分析幾百種協議。一般情況下，大多數的嗅探器至少能夠分析下面的協議：
1.標准乙太網
2.TCP/IP
3.IPX
4.DECNet
嗅探器通常是軟硬體的結合。專用的嗅探器價格非常昂貴。另一方面，免費的嗅探器雖然不需要花什麼錢，但得不到什麼支持。
嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網路報文。嗅探器通過將其置身於網路介面來達到這個目的——例如將乙太網卡設置成雜收模式。（為了理解雜收模式是怎麼回事，先解釋區域網是怎麼工作的）。
數據在網路上是以很小的稱為幀(Ftame)的單位傳輸的幀由好幾部分組成，不同的部分執行不同的功能。（例如，乙太網的前12個位元組存放的是源和目的的地址，這些位告訴網路：數據的來源和去處。乙太網幀的其他部分存放實際的用戶數據、TCP/IP的報文頭或IPX報文頭等等）。
幀通過特定的稱為網路驅動程序的軟體進行成型，然後通過網卡發送到網線上。通過網線到達它們的目的機器，在目的機器的一端執行相反的過程。接收端機器的乙太網卡捕獲到這些幀，並告訴操作系統幀的到達，然後對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會造成安全方面的問題。
每一個在LAN上的工作站都有其硬體地址。這些地址唯一地表示著網路上的機器（這一點於Internet地址系統比較相似）。當用戶發送一個報文時，這些報文就會發送到LAN上所有可用的機器。
在一般情況下，網路上所有的機器都可以「聽」到通過的流量，但對不屬於自己的報文則不予響應（換句話說，工作站A不會捕獲屬於工作站B的數據，而是簡單的忽略這些數據）。
如果某在工作站的網路介面處於雜收模式，那麼它就可以捕獲網路上所有的報文和幀，如果一個工作站被配置成這樣的方式，它（包括其軟體）就是一個嗅探器。
嗅探器可能造成的危害：
1.嗅探器能夠捕獲口令
2.能夠捕獲專用的或者機密的信息
3.可以用來危害網路鄰居的安全，或者用來獲取更高級別的訪問許可權
事實上，如果你在網路上存在非授權的嗅探器就以為著你的系統已經暴露在別人面前了。（大家可以試試天行2的嗅探功能）
一般我們只嗅探每個報文的前200到300個位元組。用戶名和口令都包含在這一部分中，這是我們關心的真正部分。工人，也可以嗅探給定介面上的所有報文，如果有足夠的空間進行存儲，有足夠的那裡進行處理的話，將會發現另一些非常有趣的東西……
簡單的放置一個嗅探器賓將其放到隨便什麼地方將不會起到什麼作用。將嗅探器放置於被攻擊機器或網路附近，這樣將捕獲到很多口令，還有一個比較好的方法就是放在網關上。如果這樣的話就能捕獲網路和其他網路進行身份鑒別的過程。這樣的方式將成倍地增加我們能夠攻擊的范圍。
三.誰會使用sniffers
可能誰都回知道誰會使用sniffer，但是並不是每個使用它的人都是網路高手，因為現在有很多的sniffer都成了傻瓜似的了，前段時間用的最多的不外乎oicq sniffer。我想那些喜歡查好友ip的朋友都應該記得它吧。呵呵，我都使用過它，現在當然不用了啊！
當然系統管理員使用sniffer來分析網路信息交通並且找出網路上何處發生問題。一個安全管理員可以同時用多種sniffer, 將它們放置在網路的各處,形成一個入侵警報系統。對於系統管理員來說sniffer是一個非常好的工具,但是它同樣是一個經常被黑客使用的工具.駭客安裝sniffer以獲得用戶名和賬號,信用卡號碼,個人信息,和其他的信息可以導致對你或是你的公司的極大危害如果向壞的方面發展。當它們得到這些信息後,駭客將使用密碼來進攻其他的internet 站點甚至倒賣信用卡號碼。
三.sniffer是如何在網路上實施的
談這個問題之前還應該先說一下Ethernet的通訊。通常在同一個網段的所有網路介面都有訪問在媒體上傳輸的所有數據的能力，而每個網路介面都還應該有一個硬體地址，該硬體地址不同於網路中存在的其它網路介面的硬體地址，同時，每個網路至少還要一個廣播地址。在正常情況下，一個合法的網路介面應該只響應這樣的兩種數據幀：
1�幀的目標區域具有和本地網路介面相匹配的硬體地址。

2�幀的目標區域具有「廣播地址」。

在接受到上面兩種情況的數據包時，網卡通過cpu產生一個硬體中斷。該中斷能引起操作系統注意，然後將幀中所包含的數據傳送給系統進一步處理。而sniffer就是一種能將本地網卡狀態設成雜亂模式（promiscuous Mode）的軟體。當網卡處於雜亂模式時，該網卡具備「廣播地址」，它對所有遇到的每一個幀都產生一個硬體中斷以提醒操作系統處理每一個報文包。（絕大多數的網卡具備設置成雜亂模式的能力。
可見，sniffer工作在網路環境中的底層，它會攔截所有的正在網路上傳送的數據。通過相應的軟體處理，可以實時分析這些數據的內容，進而分析所處的網路狀態和整體布局。值得注意的是：sniffer是極其安靜的，它是一種消極的安全攻擊。
四.哪裡可以得到sniffer
我們講的sniffer，主要是在unix系統下運用的，至於那些oicq sniffer就不在我們討論的范圍。
Sniffer是黑客們最常用的入侵手段之一。你可以在經過允許的網路中運行sniffer，了解它是如何有效地危及本地機器安全。
Sniffer可以是硬體，也可以是軟體。現在品種最多,應用最廣的是軟體Sniffer,絕大多數黑客們用的也是軟體Sniffer。
以下是一些也被廣泛用於調試網路故障的sniffer工具：
（一）.商用sniffer：
1. Network General.
Network General開發了多種產品。最重要的是Expert Sniffer，它不僅僅可以sniff，還能夠通過高性能的專門系統發送/接收數據包，幫助診斷故障。還有一個增強產品"Distrbuted Sniffer System"可以將UNIX工作站作為sniffer控制台，而將sniffer agents（代理）分布到遠程主機上。
2. Microsoft's Net Monitor
對於某些商業站點，可能同時需要運行多種協議--NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。這時很難找到一種sniffer幫助解決網路問題，因為許多sniffer往往將某些正確的協議數據包當成了錯誤數據包。Microsoft的Net Monitor（以前叫Bloodhound）可以解決這個難題。它能夠正確區分諸如Netware控制數據包、NT NetBios名字服務廣播等獨特的數據包。（etherfind只會將這些數據包標識為類型0000的廣播數據包。）這個工具運行在MS Windows 平台上。它甚至能夠按MAC地址（或主機名）進行網路統計和會話信息監視。只需簡單地單擊某個會話即可獲得tcpmp標準的輸出。過濾器設置也是最為簡單的，只要在一個對話框中單擊需要監視的主機即可。

（二）.免費軟體sniffer
1. Sniffit由Lawrence Berkeley 實驗室開發，運行於Solaris、SGI和Linux等平台。可以選擇源、目標地址或地址集合，還可以選擇監聽的埠、協議和網路介面等。這個SNIFFER默認狀態下只接受最先的400個位元組的信息包，這對於一次登陸會話進程剛剛好。
2. SNORT：這個SNIFFER有很多選項供你使用並可移植性強，可以記錄一些連接信息，用來跟蹤一些網路活動。
3. TCPDUMP：這個SNIFFER很有名，linux,FREEBSD還搭帶在系統上，是一個被很多UNIX高手認為是一個專業的網路管理工具，記得以前TsutomuShimomura（應該叫下村侵吧）就是使用他自己修改過的TCPDUMP版本來記錄了KEVINMITNICK攻擊他系統的記錄，後來就配合FBI抓住了KEVINMITNICK，後來他寫了一文：使用這些LOG記錄描述了那次的攻擊，
( http://www.attrition.org/security/newbie/security/sniffer/shimomur.txt )
4. ADMsniff:這是非常有名的ADM黑客集團寫的一個SNIFFER程序。
5. linsniffer:這是一個專門設計雜一LINUX平台上的SNIFFER。
6. Esniffer:這個也是一個比較有名的SNIFFER程序。
7. Solsniffer:這是個Solarissniffer，主要是修改了SunSniff專門用來可以方便的在Solair平台上編譯。
8. Ethereal是一基於GTK＋的一個圖形化Sniffer
9. Gobbler(for MS－DOS＆Win95)、Netman、NitWit、Ethload...等等。
（三）.UNIX下的sniffer
UNIX下的sniffer，我比較傾向於snoop.Snoop是按Solaris的標准製作的,雖然Snoop不像是Sniffer Pro那樣好,但是它是一個可定製性非常強的sniffer,在加上它是免費的(和Solaris附一起).誰能打敗它的地位?你可以在極短時間內抓獲一個信息包或是更加深的分析.如果你想學習如何使用snoop,看下面的url:
http://www.enteract.com/~lspitz/snoop.html
（四）.Linux下的sniffer工具
Linux下的sniffer工具，我推薦Tcpmp。
[1].tcpmp的安裝
在linux下tcpmp的安裝十分簡單，一般由兩種安裝方式。一種是以rpm包的形式來進行安裝。另外一種是以源程序的形式安裝。
1． rpm包的形式安裝
這種形式的安裝是最簡單的安裝方法，rpm包是將軟體編譯後打包成二進制的格式，通過rpm命令可以直接安裝，不需要修改任何東西。以超級用戶登錄，使用命令如下：
#rpm -ivh tcpmp-3_4a5.rpm
這樣tcpmp就順利地安裝到你的linux系統中。怎麼樣，很簡單吧。
2．源程序的安裝
既然rpm包的安裝很簡單,為什麼還要採用比較復雜的源程序安裝呢?其實，linux一個最大的誘人之處就是在她上面有很多軟體是提供源程序的，人們可以修改源程序來滿足自己的特殊的需要。所以我特別建議朋友們都採取這種源程序的安裝方法。
· 第一步取得源程序在源程序的安裝方式中，我們首先要取得tcpmp的源程序分發包，這種分發包有兩種形式，一種是tar壓縮包(tcpmp-3_4a5.tar.Z),另一種是rpm的分發包(tcpmp-3_4a5.src.rpm)。這兩種形式的內容都是一樣的，不同的僅僅是壓縮的方式.tar的壓縮包可以使用如下命令解開：
#tar xvfz tcpmp-3_4a5.tar.Z
rpm的包可以使用如下命令安裝:
#rpm -ivh tcpmp-3_4a5.src.rpm
這樣就把tcpmp的源代碼解壓到/usr/src/redhat/SOURCES目錄下.

· 第二步做好編譯源程序前的准備活動
在編譯源程序之前，最好已經確定庫文件libpcap已經安裝完畢，這個庫文件是tcpmp軟體所需的庫文件。同樣，你同時還要有一個標準的c語言編譯器。在linux下標準的c 語言編譯器一般是gcc。在tcpmp的源程序目錄中。有一個文件是Makefile.in，configure命令就是從Makefile.in文件中自動產生Makefile文件。在Makefile.in文件中，可以根據系統的配置來修改BINDEST 和 MANDEST 這兩個宏定義，預設值是
BINDEST = @sbindir @
MANDEST = @mandir @
第一個宏值表明安裝tcpmp的二進制文件的路徑名，第二個表明tcpmp的man 幫助頁的路徑名,你可以修改它們來滿足系統的需求。

· 第三步編譯源程序
使用源程序目錄中的configure腳本，它從系統中讀出各種所需的屬性。並且根據Makefile.in文件自動生成Makefile文件，以便編譯使用.make 命令則根據Makefile文件中的規則編譯tcpmp的源程序。使用make install命令安裝編譯好的tcpmp的二進制文件。
總結一下就是:
# tar xvfz tcpmp-3_4a5.tar.Z
# vi Makefile.in
# . /configure
# make
# make install

[2].Tcpmp的使用
tcpmp採用命令行方式，它的命令格式為：
tcpmp [ -adeflnNOpqStvx ] [ -c 數量 ] [ -F 文件名 ]
[ -i 網路介面 ] [ -r 文件名] [ -s snaplen ]
[ -T 類型 ] [ -w 文件名 ] [表達式 ]

1. tcpmp的選項介紹
-a 將網路地址和廣播地址轉變成名字；
-d 將匹配信息包的代碼以人們能夠理解的匯編格式給出；
-dd 將匹配信息包的代碼以c語言程序段的格式給出；
-ddd 將匹配信息包的代碼以十進制的形式給出；
-e 在輸出行列印出數據鏈路層的頭部信息；
-f 將外部的Internet地址以數字的形式列印出來；
-l 使標准輸出變為緩沖行形式；
-n 不把網路地址轉換成名字；
-t 在輸出的每一行不列印時間戳；
-v 輸出一個稍微詳細的信息，例如在ip包中可以包括ttl和服務類型的信息；
-vv 輸出詳細的報文信息；
-c 在收到指定的包的數目後，tcpmp就會停止；
-F 從指定的文件中讀取表達式,忽略其它的表達式；
-i 指定監聽的網路介面；
-r 從指定的文件中讀取包(這些包一般通過-w選項產生)；
-w 直接將包寫入文件中，並不分析和列印出來；
-T 將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc （遠程過程調用）和snmp（簡單網路管理協議；）

2. tcpmp的表達式介紹
表達式是一個正則表達式，tcpmp利用它作為過濾報文的條件，如果一個報文滿足表達式的條件，則這個報文將會被捕獲。如果沒有給出任何條件，則網路上所有的信息包將會被截獲。
在表達式中一般如下幾種類型的關鍵字，一種是關於類型的關鍵字，主要包括host，net，port, 例如 host 210.27.48.2，指明 210.27.48.2是一台主機，net 202.0.0.0 指明 202.0.0.0是一個網路地址，port 23 指明埠號是23。如果沒有指定類型，預設的類型是host.
第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明了傳輸的方向。舉例說明，src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的網路地址是202.0.0.0 。如果沒有指明方向關鍵字，則預設是src or dst關鍵字。
第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分布式光纖數據介面網路)上的特定的網路協議，實際上它是"ether"的別名，fddi和ether具有類似的源地址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協議內容。如果沒有指定任何協議，則tcpmp將會監聽所有協議的信息包。
除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 'not ' '! ', 與運算是'and','&&';或運算是'or' ,''；
這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。
(1)想要截獲所有210.27.48.1 的主機收到的和發出的所有的數據包：
#tcpmp host 210.27.48.1
(2) 想要截獲主機210.27.48.1 和主機210.27.48.2 或210.27.48.3的通信，使用命令：（在命令行中適用括弧時，一定要
#tcpmp host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \)
(3) 如果想要獲取主機210.27.48.1除了和主機210.27.48.2之外所有主機通信的ip包，使用命令：
#tcpmp ip host 210.27.48.1 and ! 210.27.48.2
(4)如果想要獲取主機210.27.48.1接收或發出的telnet包，使用如下命令：
#tcpmp tcp port 23 host 210.27.48.1

3. tcpmp 的輸出結果介紹
下面我們介紹幾種典型的tcpmp命令的輸出信息
(1) 數據鏈路層頭信息
使用命令#tcpmp --e host ice
ice 是一台裝有linux的主機，她的MAC地址是0：90：27：58：AF：1A
H219是一台裝有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一條命令的輸出結果如下所示：
21:50:12.847509 eth0 < 8:0:20:79:5b:46 0:90:27:58:af:1a ip 60: h219.33357 > ice.telne
t 0:0(0) ack 22535 win 8760 (DF)
分析：21：50：12是顯示的時間， 847509是ID號，eth0 <表示從網路介面eth0 接受該數據包，eth0 >表示從網路介面設備發送數據包, 8:0:20:79:5b:46是主機H219的MAC地址,它表明是從源地址H219發來的數據包. 0:90:27:58:af:1a是主機ICE的MAC地址,表示該數據包的目的地址是ICE . ip 是表明該數據包是IP數據包,60 是數據包的長度, h219.33357 > ice.telnet 表明該數據包是從主機H219的33357埠發往主機ICE的TELNET(23)埠. ack 22535 表明對序列號是222535的包進行響應. win 8760表明發送窗口的大小是8760.

(2) ARP包的TCPDUMP輸出信息
使用命令#tcpmp arp
得到的輸出結果是：
22:32:42.802509 eth0 > arp who-has route tell ice (0:90:27:58:af:1a)
22:32:42.802902 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:90:27:58:af:1a)
分析: 22:32:42是時間戳, 802509是ID號, eth0 >表明從主機發出該數據包, arp表明是ARP請求包, who-has route tell ice表明是主機ICE請求主機ROUTE的MAC地址。 0:90:27:58:af:1a是主機ICE的MAC地址。

(3) TCP包的輸出信息
用TCPDUMP捕獲的TCP包的一般輸出信息是：
src > dst: flags data-seqno ack window urgent options
src > dst:表明從源地址到目的地址, flags是TCP包中的標志信息,S 是SYN標志, F (FIN), P (PUSH) , R (RST) "." (沒有標記); data-seqno是數據包中的數據的順序號, ack是下次期望的順序號, window是接收緩存的窗口大小, urgent表明數據包中是否有緊急指針. Options是選項.

(4) UDP包的輸出信息
用TCPDUMP捕獲的UDP包的一般輸出信息是：
route.port1 > ice.port2: udp lenth
UDP十分簡單，上面的輸出行表明從主機ROUTE的port1埠發出的一個UDP數據包到主機ICE的port2埠，類型是UDP，包的長度是lenth上面，我就詳細介紹了TCPDUMP的安裝和使用，希望會對大家有所幫助。如果想要熟練運用TCPDUMP這個LINUX環境下的SNIFFER利器，還需要大家在實踐中總結經驗，充分發揮它的威力。
（五）.windows平台上的sniffer
我推薦netxray和sniffer pro軟體，想必大家都用過他們，不過我在這兒還要再簡單介紹一下他們。
netxray的使用說明
1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 這是一個ShareHub連接下的區域網

5.5.5.5 這是一個8080埠上的http/ftp proxy

Internet

啟動Capture，?

⑵ ftp 連接怎樣讓他保持連接不斷

用一個不間斷ftp工具，就算斷了也不怕，可以續傳，覆蓋，根據大小不同覆蓋等隨你選擇。斷了再連，下載的文件還在，不浪費之前下的。

filezilla-project.org 到這個網站下載 ftp客戶段就可以實現了，如果需要ftp伺服器，也有，也可以設置ftp伺服器不間斷。（是開源免費安全軟體啊）
---------
既然你都找到定時發包的方式，那麼方法就在伺服器端了，在伺服器設置永不短線就是了。如果還找其他辦法，豈不顯得多餘了。

⑶ ros 被攻擊了嗎

給的分太少了吧
既然你懷疑是ARP就把所有機器的的MAC和路由還有2台伺服器綁定了
如果問題依然就要想別的辦法，網路問題不是一句兩句話就可以解釋的了得。
而且看你應該是企業在用吧，既然用ROS為什麼不做個PPPOE這樣肯定不會中ARP了。

⑷ NAT-PT的簡介

支持NAT-PT的網關路由器應具有IPv4地址池，在從IPv6向IPv4域中轉發包時使用，地址池中的地址是用來轉換IPv6報文中的源地址的。此外，網關路由器需要DNS-ALG和FTP-ALG這兩種常用的應用層網關的支持，在IPv6節點訪問IPv4節點時發揮作用。如果沒有DNS-ALG的支持，只能實現由IPv6節點發起的與IPv4節點之間的通信，反之則不行。如果沒有FTP-ALG的支持，IPv4網路中的主機將不能用FTP軟體從IPv6網路中的伺服器上下載文件或者上傳文件，反之亦然。

⑸ 發包長度大於1518的發包工具

三款常用IP發包工具介紹
SENDIP 可在各種UNIX 或LINUX 版本中運行，本人使用的是SLACKWARE 8.0 和
REDHAT 9.0 兩個版本。
可在網站http://www.earth.li/projectpurple/progs/sendip.html 中下載最新的源代碼或RPM
包，目前版本為2.5，源碼包大小隻有54K。
2.1.1. 安裝過程
SENDIP 的安裝過程非常簡單，首先從前面介紹的網站中下載最新的源代碼包，目前為
sendip-2.5.tar.gz。
在LINUX 系統中執行：
#tar –xzvf sendip-2.5.tar.gz
#cd sendip-2.5
#make
#make install
在系統的/usr/local/bin 目錄下會產生一個SENDIP 命令文件，同時，在/usr/local/lib 目錄
下建立一個sendip 目錄，並在其下放置ipv4.so、ipv6.so、tcp.so 等與協議相關的模塊文件。
通過在命令行下運行這個文件，我們可以產生各種各樣我們需要的IP 包，還可以通過運行
腳本自動發送大量的IP 包。
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第3 頁共14 頁
2.1.2. 發包方法
SENDIP 可以發送NTP, BGP, RIP, RIPng, TCP, UDP, ICMP、IPv4 和IPv6 等各種格式的
數據包，SENDIP 本身是以模塊的方式發送各種協議的數據包，用-p 參數指定協議類型，要
發送每種協議的數據包，必須對該協議的數據包格式有一定的了解。通常發送
TCP/UDP/ICMP 數據包時，都必須以IP 包進行封裝，然後才可以發出去。本節我們將以TCP
數據包為例進行講述。
下面介紹一下SENDIP 的命令行格式，以下為直接執行SENDIP 時的輸出：
Usage: sendip [-v] [-d data] [-h] [-f datafile] [-p mole] [mole options] hostname
-d data add this data as a string to the end of the packet
Data can be:
rN to generate N random(ish) data bytes;
0x or 0X followed by hex digits;
0 followed by octal digits;
any other stream of bytes（以指定位元組的隨機數據填充包中的數據段）
-f datafile read packet data from file（以指定數據文件中的內容填充包中的數據段）
-h print this message（輸出幫助信息）
-p mole load the specified mole (see below)（指定協議類型）
-v be verbose（運行時輸出詳細運行信息，如不指定，運行時不輸出信息）
（協議類型是以模塊的方式指定的，用-p 參數指定）
Moles are loaded in the order the -p option appears. The headers from
each mole are put immediately inside the headers from the previos model in
the final packet. For example, to embed bgp inside tcp inside ipv4, do
sendip -p ipv4 -p tcp -p bgp ....
Moles available at compile time:
ipv4 ipv6 icmp tcp udp bgp rip ntp（支持的協議類型）
通常執行格式如下：
#sendip –v –d r64 –p ipv4 –iv 4 –ih 5 –il 128 –is 10.0.0.1 –id 30.0.0.1 –p tcp –ts 1379 –td 23 –tt 8 30.0.0.1
-v：運行時輸出詳細運行信息，如不指定，運行時不輸出信息
–d r64：用64 位元組的隨機數值填充IP 包中的數據段
–p ipv4：指定協議類型為IP 協議（IP 協議有自己的相應參數，以i 開頭）
–iv 4：協議版本為4，即IPV4
–ih 5：指定IP 頭的長度為5×4＝20 位元組
–il 128：指定IP 包的總長度為128 位元組
–is 10.0.0.1：指定IP 包的源地址
–id 30.0.0.1：指定IP 包的目的地址
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第4 頁共14 頁
–p tcp：指定IP 包中封裝的包的協議類型（TCP 協議有自己的相應參數，以t 開頭）
–ts 1379：指定TCP 包的源埠1379
–td 23：指定TCP 包的目的埠為23
-tt 8：指定TCP 包的偏移量即TCP 頭的長度，沒有TCP 選項時為5，即20 字
節，有TCP 選項時需要增加。
30.0.0.1：指定發包的目的主機
以上部分為利用SENDIP 發送一個簡單的TCP 數據包的方法，下面結合IP 和TCP 數據
包的格式詳細介紹IP 和TCP 協議的各種參數。
具體各種協議的數據包格式可參考TCP/IP 協議中對各種協議數據包格式的介紹，下面
我們只介紹IP 數據包的格式和TCP 數據包的格式：
IP 數據包的格式：
根據IP 數據包的格式，SENDIP 有如下命令行參數可以指定對應的IP 數據包中參數的
值。
Field name
Size
(bits)
SendIP
option
Description
Version 4 -iv Always 4（對應「4 位版本」，通常值為4，表示IPV4）
Header length 4 -ih
IP header length, measured in 32bit words, 5 if there are
no options（對應「4 位首部長度」，表示以32 位即4
位元組為單位的IP 首部長度，如果沒有IP 參數的話，
通常為5，表示首部長度為20 位元組，如有IP 參數的
話，需要調整該值）
Type of
Service/Differentiated
Services
8 -iy
服務類型（TOS）欄位由8 位組成，其中包括3 位的
優先權欄位（現已被忽略）、4 位的TOS 子欄位和1
位未用位但必須置0，4 位TOS 子欄位分別代表最小
時延、最大吞吐量、最高可靠性和最小費用。4 位只
能置其中1 位，使用時只要將設置相應位後運算出十
進制值即可。如要設置最大吞吐量位（00001000），只
需添加參數iy 8 即可。
Total Length 16 -il Total length of IP packet including header and data,
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第5 頁共14 頁
measured in octets（指定IP 包的總長度，包括IP 頭部
分和數據部分，以8 位位元組為單位,最長為65535）
Identification 16 -ii
Used to help reassembled fragmented packets（指定IP
包的標識號，用來幫助重新組裝分段的IP 包）
-ifr 1 bit: reserved, should be 0
-ifd 1 bit: don't fragment（可指定-ifd x，下可為0、1 或r） Flags 3
-ifm 1 bit: more fragmets（可指定-ifm x，下可為0、1 或r）
Fragment offset 13 -if
Where in the reconstructed datagram this fragment
belongs, measured in 64bit words starting from 0（以8
位元組長度為單位，指定段偏移量）
Time to Live 8 -it
Number of routers the packet can pass through before
being discarded（值的范圍從0 到255，指定TTL，表
示該包可通過的路由器的數目，用於防止包在循環路
徑上無休止地傳遞）
Protocol 8 -ip
Protocol associated with the data. See iana for an
uptodate list of assigned numbers（用於定義IP 包內部
封裝的上層協議的協議號，如TCP 為6，可在IANA
的網站上
http://www.iana.org/assignments/protocol-numbers
獲得最新的協議號表）
Header checksum 16 -ic
Checksum of the IP header data (with checksum set to
zero)（可指定IP 首部校驗和的值，通常由SENDIP 自
動生成，不指定該參數，除非要發出帶有錯誤校驗和
的包）
Source Address 32 -is Duhh...（源地址，以點分十進制方式表示）
Destination Address 32 -id Cabbage（目的地址，以點分十進制方式表示）
Options Variable -io...
No options are required. Any number can be added. See
below for details（定義各種IP 選項，如果定義了IP
選項，則前面的IP 頭的長度值要包括IP 選項的長度，
不帶IP 選項時，該值為20，帶IP 選項時，可設定該
值，如果要故意製造不匹配的包，可不符合規范。）
如果有IP 選項，還可指定IP 選項的值，SENDIP 支持的IP 選項如下表所示。
Name
SendIP
option
RFC Copy Class Number
Type
(see
above)
Length
(0 not
present)
Description
EOL -ioeol 791 0 0 0 0 0
Used as padding if needed
（使用該選項後，會自動在IP 頭
中未用到的位補0）
NOP -ionop 791 0 0 1 1 0
Do nothing. Often used as padding
so the next option starts on a 32 bit
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第6 頁共14 頁
boundary
RR -iorr 791 0 0 7 7 variable
Used to record the route of a
packet.（記錄包走過的每個路由
器，通常用法是： -iorr
0f:ff.ff.ff.ff:10.0.0.234 –ioeol，其中
iorr 表示記錄路由，此時系統會自
動將IP 選項號置為07，0f 表示指
針，即記錄的最後一個IP 地址的
指針，系統會自動運算該IP 選項
的長度）
TS -iots 791 0 2 4 68 variable
Used to record the time at which a
packet was processed by an
intermediate system
LSR -iolsr 791 1 0 3 131 vairable
Loose Source Route - let the
source specify the route for a
packet.
SID -iosid 791 1 0 8 136 4
Rarely used, carries the SATNET
stream identifier.
SSR -iossr 791 1 0 9 137 variable
Strict Source Route - same as LSR,
but extra hops are not allowed.
SEC
791,
1108
1 0 2 130 variable Security, rarely used
E-SEC 1108 1 0 5 133 variable Extended Security, rarely used
通常在SENDIP 中指定IP 選項時，格式比較特別，下面我們以RR 記錄路由選項為例
介紹一下，如果要發送一個記錄三個IP 的數據包，需要考慮如下，一是指定IP 頭的長度要
包括IP 選項的長度，而是要指定RR 記錄路由選項的指針位置和IP 地址（本來是由系統自
動記錄IP 和更新指針位置，但現在必須手工指定），那麼記錄三個IP 包後，指針的位置應
是3＋4×3＋1＝16，造好後，數據包的格式應該如下：
IP 頭07 15 16 10.0.0.234（IP1） 20.0.0.234(IP2) 30.0.0.234(IP3) 00(ioeol) tcp
20B RR len ptr 4bytes 4bytes 4bytes Ptr
具體命令行如下：
＃sendip –d r64 –p ipv4 –iv 4 –ih 10 –il 128 –is 10.0.0.1 –id 30.0.0.1 –iorr 10:10.0.0.234:20.0.0.234:30.0.0.234
–ioeol –p tcp –ts 1379 –td 23 –tt 8 30.0.0.1
-ih 10 表示IP 頭的長度為10×4 為40 個位元組，去除標準的20 個位元組長度，為IP
選項預留為20 個位元組
-iorr 10:10.0.0.234:20.0.0.234:30.0.0.234 中第一個10 表示用16 進製表示的指針的
位置，後面為用冒號分隔的三個用點分十進製表示的IP 地址
-ioeol 表示用00 結束IP 選項，並用隨機數填充後面未用的IP 頭位置
以上部分只是以RR 記錄路由IP 選項為例，介紹了sendip 中指定IP 選項的方法，當然
也可以根據自己的要求發送IP 選項不符合常規的數據包。其他的IP 選項與此雷同，但發送
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第7 頁共14 頁
前需要詳細了解IP 選項的格式，才可正確發送。
TCP 數據包的格式：
根據TCP 數據包的格式，SENDIP 有如下命令行參數可以指定對應的TCP 數據包中參
數的值。
Field name
Size
(bits)
SendIP
option
Description
Source port 16 -ts
Source port number for the connection
（以十進制的方式指定TCP 原埠）
Destination port 16 -td
Destination port number
（以十進制的方式指定TCP 目的埠）
Sequence number 32 -tn
Number of the first data octet in this packet. If SYN bit is
set, this is the number of the first data octet of the stream
too.（指定TCP 序列號，如果不指定則隨機產生）
Acknowledgment
number
32 -ta
If ACK bit is set, the next sequence number the sender is
expecting to receive.
Data offset 4 -tt
Length of TCP header in 32 bit words（指定TCP 頭的長
度，單位是以32bits 也就是4 位元組為單位）
Reserved 4 -tr
Should be 0. Note, rfc793 defines this as a 6 bit field, but
the last 2 are used by rfc2481 for ECN as below.
Flags: ECN 1 -tfe
Flags: CWR 1 -tfc
ECN extension flags, see rfc2481. （指定TCP 標志位，
如果要打開哪一位，就在命令行參數中指定相應位的
值，如要設置SYN 狀態，只需在命令行加入-tfs 1 即可
）
Flags: URG 1 -tfu Urgent pointer is significant（同上）
Flags: ACK 1 -tfa Acknowledgment field is significant（同上）
Flags: PSH 1 -tfp Push function（同上）
Flags: RST 1 -tfr Reset the connection（同上）
Flags: SYN 1 -tfs Synchronize sequence numbers（同上）
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第8 頁共14 頁
Flags: FIN 1 -tff No more data from sender（同上）
Window 16 -tw
Number of octet starting from the one in the
Acknowledgement field that the sender is willing to
accept
Checksum 16 -tc
Checksum of the TCP header (with checksum set to 0),
data, and a psuedo-header including the source and
destination IP addresses, IP protocol field and a 16 bit
length of the TCP header and data.
Urgent pointer 16 -tu
If URG bit is set, tHe offset of the last octet of urgent data
in this packet.
Options Variable -to...
No options are required. Any number can be added. See
below for details.
如果有TCP 選項，還可指定TCP 選項的值，SENDIP 支持的TCP 選項如下表所示。
Name
SendIP
option
RFC Type
Length (0
not
present)
Description
EOL -toeol 793 0 0
Used as padding if needed（用00 填充，表示TCP
選項結束，把TCP 頭後面的位置用隨機數填充）
NOP -tonop 793 1 0
Do nothing. Often used as padding so the next
option starts on a 32 bit boundary
MSS -tomss 793 2 4
Specify the maximum recieve segment size of the
sender as a 16 bit number. Only valid when SYN is
also set
WSOPT -towscale 1323 3 3
The window size should be leftshifted by the value
of the option (an 8 bit number). Only valid when
SYN is also set.
SACKOK -tosackok 2018 4 2
Selective Acknowledgement is permitted on this
connection
SACK -tosack 2018 5 variable
Selective Acknowledgement of non-contiguous
blocks of data. The data in the option is a series of
(left edge)-(right edge) pairs giving, respectively,
the first sequence number the has been recieved and
the first that hasn't.
TSOPT -tots 1323 8 10
Timestamp. The first 4 bytes (TSval) are the time
that the packet was sent, the remaining 4 (TSecr)
echo the TSval of a packet that was recieved. TSecr
is only valid when the ACK bit is set.
從上表所示，可以看出，TCP 選項可能只有一個單位元組參數，如-toeol 和-tonop，也可
能由一個Type 號和一個length 長度以及該length 長度指定的位元組數的數據組成的參數，使
用時sendip 會自動運算length 的長度，所以，不能隨意設定TCP 選項的長度，但需要設定
TCP 選項的值。
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第9 頁共14 頁
在設定TCP 選項時，同樣要考慮到TCP 頭的長度要包括TCP 選項的長度。
TCP 選項數據包的格式大致如下：
Kind=3 Len=3 數據：移位數
TCP 選項號TCP 選項長度TCP 選項數據佔一個位元組，總長度為三個位元組
具體命令行格式可參照如下格式：
＃sendip –d r64 –p ipv4 –iv 4 –ih 10 –il 128 –is 10.0.0.1 –id 30.0.0.1 –iorr 10:10.0.0.234:20.0.0.234:30.0.0.234
–ioeol –p tcp –ts 1379 –td 23 –tt 8 –tfa 0 –tfs 1 –towscale 0 –toeol 30.0.0.1
-towscale 0 ：指設置TCP 選項3，長度為自動3，TCP 選項的值即移位數為0
-toeol ：表示TCP 選項結束，後面用隨機數填滿TCP 頭
因為用SENDIP 設定TCP 選項時，不能設定長度，所以，如果要設定長度不正確的包，
還要藉助其他工具，如SNIFFER，用SNIFFER 抓到SENDIP 發送的包後，再將對應的TCP
選項的長度改為不規則的值即可。
根據前面介紹的內容，我們已經基本可以掌握用SENDIP 發送各種協議數據包的方法，
當然我們還可以利用他發送各種不符合標準的數據包，如校驗和錯誤、長度不正確、狀態位
不正確等各種我們需要的數據包，在使用時，建議與SNIFFER 搭配使用，以驗證SENDIP
發出的包是否正確，進行有針對性的測試。
2.2. NESSUS 工具
NESSUS 是一個非常龐大的工具，它可以提供功能完善的安全掃描服務，還可以提供全
面的發包功能，用以構造各種格式的網路通信包。本篇只關注NESSUS 的發包功能。
NESSUS 由兩個部分組成，一部分是伺服器，通常運行在POSIX 系統如LINUX/UNIX
系統中，負責掃描和攻擊，並收集數據，另一部分是客戶端，可以運行在LINUX/UNIX 系
統或WINDOWS 系統中，負責接收和顯示數據。
如果只是用來發包，則只需要服務端即可。
NESSUS 有專門的維護網站，可以隨時到http://www.nessus.org 網站下載最新的源代碼，
並獲得全面的幫助。目前，NESSUS 最新的版本為2.0.8a。
2.2.1. NESSUS 安裝方法
安裝NESSUS 前要知道NESSUS 可能需要的支撐軟體包，一個是GTK，通常POSIX
系統下的NESSUS 客戶端需要GTK，如果你的系統安裝了GTK，則必須確保安裝了
gtk-config 程序，可到ftp://ftp.gimp.org/pub/gtk/v1.2 網站下載最新的GTK 程序，如果只在
LINUX/UNIX 系統下安裝服務端，則可以不需要GTK 包；另一個是OPENSSL 包，如果希
望客戶端和服務端的通信採用SSL 方式，則需要OPENSSL 包，可到http://www.openssl.org/
下載最新的OPENSSL 包，OPENSSL 包是可選的。
NESSUS 有三種安裝方法：第一種是利用LINUX 下的LYNX 工具直接從網上安裝，這
種方法很容易，但安全性低，在此不予詳細介紹，可到NESSUS 網站上獲取相關信息。第
二種方法是使用NESSUS 提供的nessus-installer.sh 工具，直接安裝，這種方法簡單且安全性
比較高。第三種方法是獲取源碼包，然後分別編譯再進行安裝。下面分別介紹第二種和第三
種方法。
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第10 頁共14 頁
2.2.1.1. 採用nessus-installer.sh 方式安裝
從NESSUS 網站下載最新的nessus-installer.sh 文件到本地LINUX 目錄，然後執行
#sh nessus-installer.sh
系統會自動安裝NESSUS 到你的系統中，中間會需要你提供相關的提示信息，一直按
回車即可。
2.2.1.2. 採用源碼包方式安裝
如果採用源碼包方式進行安裝，需要下載四個軟體包，並按順序進行安裝。四個軟體包
分別如下：
nessus-libraries
libnasl
nessus-core
nessus-plugins
安裝時必須按順序安裝這四個軟體包。
安裝前，我們必須獲得上面所說的四個軟體包，目前版本為2.0.8a：
nessus-libraries-x.x.tar.gz
libnasl-x.x.tar.gz
nessus-core.x.x.tar.gz
nessus-plugins.x.x.tar.gz
然後開始進行安裝。
1. 安裝nessus-libraries
#tar –xzvf nessus-libraries-x.x.tar.gz
#cd nessus-libraries-x.x
#./configure
#make
#make install
2. 安裝libnasl-x.x.tar.gz （執行與上面相同的操作）
3. 安裝nessus-core.x.x.tar.gz（執行與上面相同的操作）
4. 安裝nessus-plugins.x.x.tar.gz （執行與上面相同的操作）
5. 如果使用的是LINUX 系統，必須確保/usr/local/lib 路徑在/etc/ld.so.conf 文件中，如
果是SOLARIS 系統，必須執行export LD_LIBRARY_PATH=
$LD_LIBRARY_PATH :/usr/local/lib 命令。
6. 執行ldconfig 命令
7. 如果不想或不能使用GTK 的客戶端，可強制使用命令行方式，這時，在執行第三
步編譯nessus-core 時，可以使用如下命令：
#tar –xzvf nessus-libraries-x.x.tar.gz
#cd nessus-libraries-x.x
#./configure --disable-gtk
#make
#make install
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第11 頁共14 頁
執行以上命令後，NESSUS 就已經安裝在您的系統中了。
2.2.2. NESSUS 的發包方法
NESSUS 通常採用腳本方式控制發出的包，下面我們以發送聖誕老人攻擊包為例，來介
紹如何利用NESSUS 發送數據包。
聖誕老人包是通過發送TCP Flag 中同時有SYN 和FIN 標志的數據包，穿透防火牆，
來達到攻擊的目的。
為使用NESSUS 發送攻擊包，首先要定義一個腳本，在LINUX 下，執行vi sendp 命令，
輸入如下內容：
srcaddr=this_host(); 註：自動獲取當前主機的IP 地址
ip = forge_ip_packet( ip_v : 4, 註：IP 協議版本為IPV4
ip_hl : 5, 註：IP 頭的長度為5×4＝20 位元組
ip_tos : 0,
ip_len : 40, 註：在這里輸入實際的長度40，因為IP 頭和TCP 頭都為20
ip_id : 0xABA,
ip_p : IPPROTO_TCP, 註：內部數據包協議為TCP
ip_ttl : 255,
ip_off : 0,
ip_src : srcaddr); 註：可在此直接輸入IP
port = get_host_open_port(); 註：自動獲取當前主機上的可用埠
if(!port)port = 139; 註：如果沒有可用埠，就自動使用139 埠
tcpip = forge_tcp_packet( ip : ip, 註：表示IP 層協議採用前面定義的IP 協議包
th_sport : port, 註：可在這里直接輸入埠
th_dport : port, 註：可在這里直接輸入埠
th_flags : TH_SYN|TH_FIN, 註：設置TCP 狀態的SYN 和FIN 標志位
th_seq : 0xF1C,
th_ack : 0,
th_x2 : 0,
th_off : 5, 註：TCP 頭的長度位5×4＝20 位元組
th_win : 512,
th_urp : 0);
result = send_packet(tcpip,pcap_active:FALSE);
編輯完上面的腳本後，保存退出，運行如下命令：
＃nasl –t 目的IP 地址測試腳本
如：
＃nasl –t 10.0.0.227 sendp
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第12 頁共14 頁
通過Sniffer 抓包，就會發現有相應的聖誕老人包。
在我的使用過程中，發現NESSUS 好像不支持發送帶有IP 或TCP 選項的包。
具體發包的參數可參考http://www.nessus.org/doc/nasl.html
2.3. SNIFFER 工具
用SNIFFER 發包時，有兩種方式，一種是直接利用Packet Generator 工具，從0 開始用
16 進制的方式造一個數據包，這種方法難度較高，因為要自己算出校驗和，除非需要重現
在網路上抓到的一個16 進制格式的數據包，另外一種方式是利用已經抓到的數據包修改一
下，再發送出去，具體實現方法分別如下。
2.3.1. 利用Packet Generator 直接造包
在SNIFFER 中，選擇Tools|Packet Generator 菜單，系統彈出窗口如下：
按圖中的紅色框中的按鈕，系統會彈出一個構造包內容的對話框，如下所示：
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第13 頁共14 頁
在上圖中可輸入包的內容，還可規定發包的個數和包的長度。
2.3.2. 利用已抓的包發包
利用已抓的包進行修改，可以避免大量的運算和輸入，只需要更改自己需要更改的地方，
然後發出去即可。
如上圖所示，按包的大致要求，用其他工具造好包後，用SNIFFER 抓包，或者直接將
網路上的可疑包抓過來，然後，用滑鼠郵件單擊該包，彈出如上圖所示的快捷菜單，從中選
擇Send Current Frame 菜單，系統就會彈出如下圖所示的發包窗口：
AntPower 版權所有&; 2003 技術文章
http://www.antpower.org 第14 頁共14 頁
按要求更改包的內容，即可發送。需要注意的是如果更改了IP 地址或其他頭中的內容，
則需要更新校驗和，對MAC 或選項的更改不需要更改校驗和。
3. 總結
通過對比前面的三種發包工具，我們發現每種工具都有自己的優點和缺點，SENDIP 比
較短小而且功能較齊全，比較適合在日常測試中使用，SNIFFER 發包工具最自由，可以發
出任何可能的數據包，NESSUS 工具功能比較全面，但在發包方面不如SENDIP，所以，建
議如果是測試需要的話，應該採用SENDIP 和SNIFFER 相結合的方式，如果同時還要使用
掃描等其他功能，可以採用NESSUS 工具。

⑹ FileZilla軟體是什麼

FileZilla是一個免費開源的FTP客戶端軟體,分為客戶端版本和伺服器版本,具備所有的FTP軟體功能.可控性、有條理的界面和管理多站點的簡化方式使得Filezilla客戶端版成為一個方便高效的FTP客戶端工具,而FileZilla Server則是一個小巧並且可靠的支持FTP&SFTP的FTP伺服器軟體.

1. 功能強大。和CuteFTP和LeechFTP很像。支持多線程下載（不過考慮到各位FTP管理員的感受，我把這個功能關閉了，呵呵），支持raw FTP指令。

2. 界面簡潔。界面其實也和CuteFTP很像的，嘻嘻，而且我很欣賞它的「目錄樹視圖」，在FTP站點目錄結構復雜的時候不用轉來轉去了。不過不能像FlashFXP那樣用ShellFolder視圖是一個遺憾，要到「我的文檔」之類的shell文件夾就比較麻煩了。什麼時候看能不能把這個改過來。
好在我是用慣了LeapFTP的，所以這些小問題還不是很介意，呵呵。

3. 綠色！不用安裝就可以直接運行，當然FileZilla也提供了一個安裝版的。FileZilla的參數設置還可以選擇保存在注冊表還是保存到一個XML文件，如果選擇保存到XML文件，就不用擔心污染注冊表了。

下面是使用方法：
填寫好伺服器地址，埠，用戶名，密碼，就能用了，以前沒用過flashfxp或cuteftp嗎

你是上傳到自己的空間吧，網頁要顯示的話，需要傳到對應的文件夾，pulic html,http doc之類的文件夾，看具體的，

遠程登入這個我得看下，我沒裝filezilla，等我裝下

遠程站點是不是填寫遠程空間地址的，可以不填寫吧，應該是這樣的，因為有時候需要進入裡面的文件夾，這樣先填好了，連接上後就不要點了

⑺ 出於保密需要,公司某個部門要求只能下載,不能上傳文件出去,能否實現

談對區域網用戶的限制技術和反限制技巧
可能現在對區域網上網用戶限制比較多，比如不能上一些網站，不能玩某些游戲，不能上MSN，埠限制等等，一般就是通過代理伺服器上的軟體進行限制，如現在談的最多的ISA Server 2004，或者是通過硬體防火牆進行過濾。下面談談如何突破限制，需要分限制情況進行說明：

一、單純的限制某些網站，不能訪問，網路游戲（比如聯眾）不能玩，這類限制一般是限制了欲訪問的IP地址。

對於這類限制很容易突破，用普通的HTTP代理就可以了，或者SOCKS代理也是可以的。現在網上找HTTP代理還是很容易的，一抓一大把。在IE里加了HTTP代理就可以輕松訪問目的網站了。

二、限制了某些協議，如不能FTP了等情況，還有就是限制了一些網路游戲的伺服器端IP地址，而這些游戲又不支持普通HTTP代理。

這種情況可以用SOCKS代理，配合Sockscap32軟體，把軟體加到SOCKSCAP32里，通過SOCKS代理訪問。一般的程序都可以突破限制。對於有些游戲，可以考慮Permeo Security Driver 這個軟體。如果連SOCKS也限制了，那可以用socks2http了，不會連HTTP也限制了吧。

三、基於包過濾的限制，或者禁止了一些關鍵字。這類限制就比較強了，一般是通過代理伺服器或者硬體防火牆做的過濾。比如：通過ISA Server 2004禁止MSN ，做了包過濾。這類限制比較難突破，普通的代理是無法突破限制的。

這類限制因為做了包過濾，能過濾出關鍵字來，所以要使用加密代理，也就是說中間走的HTTP或者SOCKS代理的數據流經過加密，比如跳板，SSSO， FLAT等，只要代理加密了就可以突破了，用這些軟體再配合Sockscap32，MSN就可以上了。這類限制就不起作用了。

四、基於埠的限制，限制了某些埠，最極端的情況是限制的只有80埠可以訪問，也就只能看看網頁，連OUTLOOK收信，FTP都限制了。當然對於限制幾個特殊埠，突破原理一樣。

這種限制可以通過以下辦法突破，1、找普通HTTP80埠的代理，12.34.56.78:80，象這樣的，配合socks2http，把HTTP代理裝換成SOCKS代理，然後再配合SocksCap32，就很容易突破了。這類突破辦法中間走的代理未加密。通通通軟體也有這個功能。2、用類似FLAT軟體，配合SocksCap32，不過所做的FLAT代理最好也是80埠，當然不是80埠也沒關系，因為FLAT還支持再通過普通的HTTP代理訪問，不是80埠，就需要再加一個80埠的HTTP 代理。這類突破辦法中間走的代理加密，網管不知道中間所走的數據是什麼。代理跳板也可以做到，不過代理仍然要80埠的。對於單純是80埠限制，還可以用一些埠轉換的技術突破限制。

五、以上一些限制綜合的，比如有限制IP的，也有限制關鍵字，比如封MSN，還有限制埠的情況。

一般用第四種情況的第二個辦法就可以完全突破限制。只要還允許上網，呵呵，所有的限制都可以突破。

六、還有一種情況就是你根本就不能上網，沒給你上網的許可權或者IP，或者做IP與MAC地址綁定了。

兩個辦法：

1、你在公司應該有好朋友吧，鐵哥們，鐵姐們都行，找一個能上網的機器，借一條通道，裝一個小軟體就可以解決問題了，FLAT應該可以，有密鑰，別人也上不了，而且可以自己定義埠。。其他能夠支持這種方式代理的軟體也可以。我進行了一下測試，情況如下：區域網環境，有一台代理上網的伺服器，限定了一部分IP，給予上網許可權，而另一部分IP不能上網，在硬體防火牆或者是代理伺服器上做的限制。我想即使做MAC地址與IP綁定也沒有用了，照樣可以突破這個限制。

在區域網內設置一台能上網的機器，然後把我機器的IP設置為不能上網的，然後給那台能上網的機器裝FLAT伺服器端程序，只有500多K，本機通過FLAT客戶端，用SOCKSCAP32加一些軟體，如IE，測試上網通過，速度很快，而且傳輸數據還是加密的，非常棒。

2、和網路管理員搞好關系，一切都能搞定，網路管理員什麼許可權都有，可以單獨給你的IP開無任何限制的，前提是你不要給網路管理員帶來麻煩，不要影響區域網的正常運轉。這可是最好的辦法了。

另外，在區域網穿透防火牆，還有一個辦法，就是用HTTPTUNNEL，用這個軟體需要服務端做配合，要運行httptunnel的服務端，這種方法對區域網埠限制很有效。

隱通道技術就是藉助一些軟體，可以把防火牆不允許的協議封裝在已被授權的可行協議內，從而通過防火牆，埠轉換技術也是把不允許的埠轉換成允許通過的埠，從而突破防火牆的限制。這類技術現在有些軟體可以做到，HACKER經常用到這類技術。

HTTPTunnel，Tunnel這個英文單詞的意思是隧道，通常HTTPTunnel被稱之為HTTP暗道，它的原理就是將數據偽裝成HTTP的數據形式來穿過防火牆，實際上是在HTTP請求中創建了一個雙向的虛擬數據連接來穿透防火牆。說得簡單點，就是說在防火牆兩邊都設立一個轉換程序，將原來需要發送或接受的數據包封裝成HTTP請求的格式騙過防火牆，所以它不需要別的代理伺服器而直接穿透防火牆。HTTPTunnel剛開始時只有Unix版本，現在已經有人把它移植到Window平台上了，它包括兩個程序，htc和hts，其中htc是客戶端，而hts是伺服器端，我們現在來看看我是如何用它們的。比如開了FTP的機器的IP是192.168.1.231，我本地的機器的IP是192.168.1.226，現在我本地因為防火牆的原因無法連接到 FTP上，現在用HTTPTunnel的過程如下：

第一步：在我的機器上（192.168.1.226）啟動HTTPTunnel客戶端。啟動MS-DOS的命令行方式，然後執行htc -F 8888 192.168.1.231:80命令，其中htc是客戶端程序，-f參數表示將來自192.168.1.231:80的數據全部轉發到本機的8888埠，這個埠可以隨便選，只要本機沒有佔用就可以。

然後我們用Netstat看一下本機現在開放的埠，發現8888埠已在偵聽。

第二步：在對方機器上啟動HTTPTunnel的伺服器端，並執行命令

「hts -f localhost:21 80」，這個命令的意思是說把本機21埠發出去的數據全部通過80埠中轉一下，並且開放80埠作為偵聽埠，再用Neststat看一下他的機器，就會發現80埠現在也在偵聽狀態。

第三步：在我的機器上用FTP連接本機的8888埠，現在已經連上對方的機器了，快點去下載吧！

可是，人家看到的怎麼是127.0.0.1而不是192.168.1.231的地址？因為我現在是連接本機的8888埠，防火牆肯定不會有反應，因為我沒往外發包，當然區域網的防火牆不知道了。現在連接上本機的8888埠以後，FTP的數據包不管是控制信息還是數據信息，都被htc偽裝成HTTP數據包然後發過去，在防火牆看來，這都是正常數據，相當於欺騙了防火牆。

需要說明的是，這一招的使用需要其他機器的配合，就是說要在他的機器上啟動一個hts，把他所提供的服務，如FTP等重定向到防火牆所允許的80埠上，這樣才可以成功繞過防火牆！肯定有人會問，如果對方的機器上本身就有WWW服務，也就是說他的80埠在偵聽，這么做會不會沖突？HTTPTunnel的優點就在於，即使他的機器以前80埠開著，現在這么用也不會出現什麼問題，正常的Web訪問仍然走老路子，重定向的隧道服務也暢通無阻！

這里是我以前的回帖，關於區域網中的限制與反限制技巧，希望能從中得到啟示

⑻ 哥們，DbSecuritySpt的問題解決了嗎，我的這幾天也是一樣，伺服器不斷發包，重裝系統未解決。

帶寬情況：一條2M的電信光纖，一條6M的DDN專線，一條4M的網通AD，2條4M的電信AD。
帶寬分配清苦：2M光纖是給市場部和商務接受訂單，6M專線是專門公司郵件和FTP使用（分公司的也要上傳文件），4M網通是給3個老總使用的，4M電信是給公司其他部門使用。
終端數量：80台PC
公司內部才有域管理，有WEB伺服器、郵件伺服器、VPN，採用群集管理。。。

問題出現：本來以前沒什麼問題，雖然老是遇到ARP之類的東西，不過還好基本上都能解決，雖然效率不是很高，但是由於前幾天公司又加了個VOIP，這些問題就出現了，不光是VOIP老是斷斷續續（伺服器是沒問題的），連以前用得好好的VPN也老是連接不上，FTP也經常出現問題。導致一些同事老是抱怨是帶寬不夠，建議老闆再加幾條帶寬，但我個人認為這並不是主要原因，因為我知道加了帶寬情況可能還是這樣，到時花了錢還沒解決問題，我就不好在老闆那說話了。

請各位給我出個主意。。。。
帶寬情況：一條2M的電信光纖，一條6M的DDN專線，一條4M的網通AD，2條4M的電信AD。
帶寬分配清苦：2M光纖是給市場部和商務接受訂單，6M專線是專門公司郵件和FTP使用（分公司的也要上傳文件），4M網通是給3個老總使用的，4M電信是給公司其他部門使用。
終端數量：80台PC
公司內部才有域管理，有WEB伺服器、郵件伺服器、VPN，採用群集管理。。。

問題出現：本來以前沒什麼問題，雖然老是遇到ARP之類的東西，不過還好基本上都能解決，雖然效率不是很高，但是由於前幾天公司又加了個VOIP，這些問題就出現了，不光是VOIP老是斷斷續續（伺服器是沒問題的），連以前用得好好的VPN也老是連接不上，FTP也經常出現問題。導致一些同事老是抱怨是帶寬不夠，建議老闆再加幾條帶寬，但我個人認為這並不是主要原因，因為我知道加了帶寬情況可能還是這樣，到時花了錢還沒解決問題，我就不好在老闆那說話了。

請各位給我出個主意。。。。

⑼ 如何把舊網站的數據全部轉移到新網站詳細點謝謝。

數據應該都是在資料庫開面，先分離在附加到新的資料庫裡面就行了。具體方法就要看你使用的是什麼什麼公司的資料庫軟體了。

⑽ tcp協議通過什麼來區分不同的連接

TCP/IP
不同的計算機系統，就好像語言不同的兩個人互相見了面，完全不能交流信息。因而他們需要定義一些共通的東西來進行交流，TCP/IP就是為此而生。TCP/IP不是一個協議，而是一個協議族的統稱。裡麵包括了IP協議，IMCP協議，TCP協議，以及我們更加熟悉的http、ftp、pop3協議等等。電腦有了這些，就好像學會了外語一樣，就可以和其他的計算機終端做自由的交流了。
TCP/IP 層次
應用層(http、ftp、smtp) -->傳輸層(TCP、UDP)-->網路層(IP)-->數據鏈路層
域名系統 :域名系統是一個分布的資料庫，它提供將主機名（就是網址啦）轉換成IP地址的服務。
埠號(port): 注意，這個號碼是用在TCP，UDP上的一個邏輯號碼，並不是一個硬體埠，我們平時說把某某埠封掉了，也只是在IP層次把帶有這個號碼的IP包給過濾掉了而已。
應用編程介面:現在常用的編程介面有socket和TLI。
數據鏈路層
數據鏈路層有三個目的：
為IP模塊發送和接收IP數據報。
為ARP模塊發送ARP請求和接收ARP應答。
為RARP發送RARP請求和接收RARP應答
ip大家都聽說過。至於ARP和RARP，ARP叫做地址解析協議，是用IP地址換MAC地址的一種協議，而RARP則叫做逆地址解析協議.
--
IP 、ARP 、RARP 協議
三者都是在網路層，ARP協議用來找到目標主機的Ethernet網卡Mac地址，IP則承載要發送的消息。數據鏈路層可以從ARP得到數據的傳送信息，而從IP得到要傳輸的數據信息。
IP 協議
IP協議是TCP/IP協議的核心，所有的TCP，UDP，IMCP，IGCP的數據都以IP數據格式傳輸。要注意的是，IP不是可靠的協議，這是說，IP協議沒有提供一種數據未傳達以後的處理機制－－這被認為是上層協議：TCP或UDP要做的事情。所以這也就出現了TCP是一個可靠的協議，而UDP就沒有那麼可靠的區別。

協議頭
八位的TTL欄位，還記得這個欄位是做什麼的么？這個欄位規定該數據包在穿過多少個路由之後才會被拋棄(這里就體現出來IP協議包的不可靠性，它不保證數據被送達)，某個ip數據包每穿過一個路由器，該數據包的TTL數值就會減少1，當該數據包的TTL成為零，它就會被自動拋棄。這個欄位的最大值也就是255，也就是說一個協議包也就在路由器裡面穿行255次就會被拋棄了，根據系統的不同，這個數字也不一樣，一般是32或者是64，Tracerouter這個工具就是用這個原理工作的，tranceroute的-m選項要求最大值是255，也就是因為這個TTL在IP協議裡面只有8bit。
現在的ip版本號是4，所以也稱作IPv4。現在還有IPv6，而且運用也越來越廣泛了。
IP路由選擇
當一個IP數據包準備好了的時候，IP數據包（或者說是路由器）是如何將數據包送到目的地的呢？它是怎麼選擇一個合適的路徑來"送貨"的呢？
最特殊的情況是目的主機和主機直連，那麼主機根本不用尋找路由，直接把數據傳遞過去就可以了。至於是怎麼直接傳遞的，這就要靠ARP協議了。
稍微一般一點的情況是，主機通過若干個路由器(router)和目的主機連接。那麼路由器就要通過ip包的信息來為ip包尋找到一個合適的目標來進行傳遞，比如合適的主機，或者合適的路由。路由器或者主機將會用如下的方式來處理某一個IP數據包
如果IP數據包的TTL（生命周期）以到，則該IP數據包就被拋棄。
搜索路由表，優先搜索匹配主機，如果能找到和IP地址完全一致的目標主機，則將該包發向目標主機
搜索路由表，如果匹配主機失敗，則匹配同子網的路由器，這需要「子網掩碼(1.3.)」的協助。如果找到路由器，則將該包發向路由器。
搜索路由表，如果匹配同子網路由器失敗，則匹配同網號路由器，如果找到路由器，則將該包發向路由器。
搜索路由表，如果以上都失敗了，就搜索默認路由，如果默認路由存在，則發包
如果都失敗了，就丟掉這個包
這再一次證明了，ip包是不可靠的。因為它不保證送達。
ARP協議
還記得數據鏈路層的乙太網的協議中，每一個數據包都有一個MAC地址頭么？我們知道每一塊乙太網卡都有一個MAC地址，這個地址是唯一的，那麼IP包是如何知道這個MAC地址的？這就是ARP協議的工作。
ARP（地址解析）協議是一種解析協議，本來主機是完全不知道這個IP對應的是哪個主機的哪個介面，當主機要發送一個IP包的時候，會首先查一下自己的ARP高速緩存（就是一個IP-MAC地址對應表緩存），如果查詢的IP－MAC值對不存在，那麼主機就向網路發送一個ARP協議廣播包，這個廣播包裡面就有待查詢的IP地址，而直接收到這份廣播的包的所有主機都會查詢自己的IP地址，如果收到廣播包的某一個主機發現自己符合條件，那麼就准備好一個包含自己的MAC地址的ARP包傳送給發送ARP廣播的主機，而廣播主機拿到ARP包後會更新自己的ARP緩存（就是存放IP-MAC對應表的地方）。發送廣播的主機就會用新的ARP緩存數據准備好數據鏈路層的的數據包發送工作。
arp -a 可以查詢自己的arp緩存
這樣的高速緩存是有時限的，一般是20分鍾（伯克利系統的衍生系統）。
--
ICMP協議
--
UDP 協議
UDP是傳輸層協議，和TCP協議處於一個分層中，但是與TCP協議不同，UDP協議並不提供超時重傳，出錯重傳等功能，也就是說其是不可靠的協議。
1 、UDP 的埠號
由於很多軟體需要用到UDP協議，所以UDP協議必須通過某個標志用以區分不同的程序所需要的數據包。埠號的功能就在於此，例如某一個UDP程序A在系統中注冊了3000埠，那麼，以後從外面傳進來的目的埠號為3000的UDP包都會交給該程序。埠號理論上可以有2^16這么多。因為它的長度是16個bit
2 、UDP 的檢驗和
這是一個可選的選項，並不是所有的系統都對UDP數據包加以檢驗和數據(相對TCP協議的必須來說)，但是RFC中標准要求，發送端應該計算檢驗和。
UDP檢驗和覆蓋UDP協議頭和數據，這和IP的檢驗和是不同的，IP協議的檢驗和只是覆蓋IP數據頭，並不覆蓋所有的數據。UDP和TCP都包含一個偽首部，這是為了計算檢驗和而攝制的。偽首部甚至還包含IP地址這樣的IP協議裡面都有的信息，目的是讓UDP兩次檢查數據是否已經正確到達目的地。如果發送端沒有打開檢驗和選項，而接收端計算檢驗和有差錯，那麼UDP數據將會被悄悄的丟掉（不保證送達），而不產生任何差錯報文。
3 、UDP 的長度
UDP可以很長很長，可以有65535位元組那麼長。但是一般網路在傳送的時候，一次一般傳送不了那麼長的協議（涉及到MTU的問題），就只好對數據分片，當然，這些是對UDP等上級協議透明的，UDP不需要關心IP協議層對數據如何分片。
4 、IP 分片
IP在從上層接到數據以後，要根據IP地址來判斷從那個介面發送數據（通過選路），並進行MTU的查詢，如果數據大小超過MTU就進行數據分片。數據的分片是對上層和下層透明，而數據也只是到達目的地還會被重新組裝，不過不用擔心，IP層提供了足夠的信息進行數據的再組裝。
在IP頭裡面，16bit識別號唯一記錄了一個IP包的ID,具有同一個ID的IP片將會被重新組裝；而13位片偏移則記錄了某IP片相對整個包的位置；而這兩個表示中間的3bit標志則標示著該分片後面是否還有新的分片。這三個標示就組成了IP分片的所有信息，接受方就可以利用這些信息對IP數據進行重新組織（就算是後面的分片比前面的分片先到，這些信息也是足夠了）。
因為分片技術在網路上被經常的使用，所以偽造IP分片包進行流氓攻擊的軟體和人也就層出不窮。
5 、ICMP源站抑制差錯
當目標主機的處理速度趕不上數據接收的速度，因為接受主機的IP層緩存會被占滿，所以主機就會發出一個「我受不了」的一個ICMP報文。
--
單播廣播和多播
單播
單播是說，對特定的主機進行數據傳送。例如給某一個主機發送IP數據包。這時候，數據鏈路層給出的數據頭裡面是非常具體的目的地址，對於乙太網來說，就是網卡的MAC地址（不是FF-FF-FF-FF-FF-FF這樣的地址）。現在的具有路由功能的主機應該可以將單播數據定向轉發，而目的主機的網絡介面則可以過濾掉和自己MAC地址不一致的數據。
廣播
廣播是主機針對某一個網路上的所有主機發送數據包。這個網路可能是網路，可能是子網，還可能是所有的子網。如果是網路，例如A類網址的廣播就是 netid.255.255.255，如果是子網，則是netid.netid.subnetid.255；如果是所有的子網（B類IP）則是則是 netid.netid.255.255。廣播所用的MAC地址FF-FF-FF-FF-FF-FF。網路內所有的主機都會收到這個廣播數據，網卡只要把 MAC地址為FF-FF-FF-FF-FF-FF的數據交給內核就可以了。一般說來ARP，或者路由協議RIP應該是以廣播的形式播發的。
多播
可以說廣播是多播的特例，多播就是給一組特定的主機（多播組）發送數據，這樣，數據的播發范圍會小一些(實際上播發的范圍一點也沒有變小)，多播的MAC地址是最高位元組的低位為一，例如01-00-00-00-00-00。多播組的地址是D類IP，規定是224.0.0.0-239.255.255.255。
雖然多播比較特殊，但是究其原理，多播的數據還是要通過數據鏈路層進行MAC地址綁定然後進行發送。所以一個乙太網卡在綁定了一個多播IP地址之後，必定還要綁定一個多播的MAC地址，才能使得其可以像單播那樣工作。這個多播的IP和多播MAC地址有一個對應的演算法，在書的p133到p134之間。可以看到這個對應不是一一對應的，主機還是要對多播數據進行過濾。
--
TCP
TCP和UDP處在同一層---運輸層，但是TCP和UDP最不同的地方是，TCP提供了一種可靠的數據傳輸服務，TCP是面向連接的，也就是說，利用TCP通信的兩台主機首先要經歷一個「撥打電話」的過程，等到通信准備結束才開始傳輸數據，最後結束通話。所以TCP要比UDP可靠的多，UDP是把數據直接發出去，而不管對方是不是在收信，就算是UDP無法送達，也不會產生ICMP差錯報文，這一經時重申了很多遍了。
把TCP保證可靠性的簡單工作原理:
應用數據被分割成TCP認為最適合發送的數據塊。這和UDP完全不同，應用程序產生的數據報長度將保持不變。由TCP傳遞給IP的信息單位稱為報文段或段
當TCP發出一個段後，它啟動一個定時器，等待目的端確認收到這個報文段。如果不能及時收到一個確認，將重發這個報文段.
當TCP收到發自TCP連接另一端的數據，它將發送一個確認。這個確認不是立即發送，通常將推遲幾分之一秒.
TCP將保持它首部和數據的檢驗和。這是一個端到端的檢驗和，目的是檢測數據在傳輸過程中的任何變化。如果收到段的檢驗和有差錯， T P將丟棄這個報文段和不確認收到此報文段（希望發端超時並重發）。
既然TCP報文段作為IP數據報來傳輸，而IP數據報的到達可能會失序，因此TCP報文段的到達也可能會失序。如果必要， TCP將對收到的數據進行重新排序，將收到的數據以正確的順序交給應用層。
TCP還能提供流量控制。TCP連接的每一方都有固定大小的緩沖空間。TCP的接收端只允許另一端發送接收端緩沖區所能接納的數據。這將防止較快主機致使較慢主機的緩沖區溢出。
從這段話中可以看到，TCP中保持可靠性的方式就是超時重發，這是有道理的，雖然TCP也可以用各種各樣的ICMP報文來處理這些，但是這也不是可靠的，最可靠的方式就是只要不得到確認，就重新發送數據報，直到得到對方的確認為止。
TCP的首部和UDP首部一樣，都有發送埠號和接收埠號。但是顯然，TCP的首部信息要比UDP的多，可以看到，TCP協議提供了發送和確認所需要的所有必要的信息。可以想像一個TCP數據的發送應該是如下的一個過程。
雙方建立連接
發送方給接受方TCP數據報，然後等待對方的確認TCP數據報，如果沒有，就重新發，如果有，就發送下一個數據報。
接受方等待發送方的數據報，如果得到數據報並檢驗無誤，就發送ACK(確認)數據報，並等待下一個TCP數據報的到來。直到接收到FIN(發送完成數據報)
中止連接
可以想見，為了建立一個TCP連接，系統可能會建立一個新的進程（最差也是一個線程），來進行數據的傳送
--
TCP協議
TCP是一個面向連接的協議，在發送輸送之前，雙方需要確定連接。而且，發送的數據可以進行TCP層的分片處理。
TCP連接的建立過程，可以看成是三次握手。而連接的中斷可以看成四次握手。
1.連接的建立
在建立連接的時候，客戶端首先向伺服器申請打開某一個埠(用SYN段等於1的TCP報文)，然後伺服器端發回一個ACK報文通知客戶端請求報文收到，客戶端收到確認報文以後再次發出確認報文確認剛才伺服器端發出的確認報文（繞口么），至此，連接的建立完成。這就叫做三次握手。如果打算讓雙方都做好准備的話，一定要發送三次報文，而且只需要三次報文就可以了。
可以想見，如果再加上TCP的超時重傳機制，那麼TCP就完全可以保證一個數據包被送到目的地。
2.結束連接
TCP有一個特別的概念叫做half-close，這個概念是說，TCP的連接是全雙工（可以同時發送和接收）連接，因此在關閉連接的時候，必須關閉傳和送兩個方向上的連接。客戶機給伺服器一個FIN為1的TCP報文，然後伺服器返回給客戶端一個確認ACK報文，並且發送一個FIN報文，當客戶機回復ACK報文後（四次握手），連接就結束了。
3.最大報文長度
在建立連接的時候，通信的雙方要互相確認對方的最大報文長度(MSS)，以便通信。一般這個SYN長度是MTU減去固定IP首部和TCP首部長度。對於一個乙太網，一般可以達到1460位元組。當然如果對於非本地的IP，這個MSS可能就只有536位元組，而且，如果中間的傳輸網路的MSS更加的小的話，這個值還會變得更小。
4.客戶端應用程序的狀態遷移圖
客戶端的狀態可以用如下的流程來表示：
CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED
以上流程是在程序正常的情況下應該有的流程，從書中的圖中可以看到，在建立連接時，當客戶端收到SYN報文的ACK以後，客戶端就打開了數據交互地連接。而結束連接則通常是客戶端主動結束的，客戶端結束應用程序以後，需要經歷FIN_WAIT_1，FIN_WAIT_2等狀態，這些狀態的遷移就是前面提到的結束連接的四次握手。
5.伺服器的狀態遷移圖
伺服器的狀態可以用如下的流程來表示：
CLOSED->LISTEN->SYN收到->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED
在建立連接的時候，伺服器端是在第三次握手之後才進入數據交互狀態，而關閉連接則是在關閉連接的第二次握手以後（注意不是第四次）。而關閉以後還要等待客戶端給出最後的ACK包才能進入初始的狀態。
6.TCP伺服器設計
前面曾經講述過UDP的伺服器設計，可以發現UDP的伺服器完全不需要所謂的並發機制，它只要建立一個數據輸入隊列就可以。但是TCP不同，TCP伺服器對於每一個連接都需要建立一個獨立的進程（或者是輕量級的，線程），來保證對話的獨立性。所以TCP伺服器是並發的。而且TCP還需要配備一個呼入連接請求隊列（UDP伺服器也同樣不需要），來為每一個連接請求建立對話進程，這也就是為什麼各種TCP伺服器都有一個最大連接數的原因。而根據源主機的IP和埠號碼，伺服器可以很輕松的區別出不同的會話，來進行數據的分發。
TCP的交互數據流
對於交互性要求比較高的應用，TCP給出兩個策略來提高發送效率和減低網路負擔：（1）捎帶ACK。(2)Nagle演算法（一次盡量多的發數據）
捎帶ACK的發送方式
這個策略是說，當主機收到遠程主機的TCP數據報之後，通常不馬上發送ACK數據報，而是等上一個短暫的時間，如果這段時間裡面主機還有發送到遠程主機的TCP數據報，那麼就把這個ACK數據報「捎帶」著發送出去，把本來兩個TCP數據報整合成一個發送。一般的，這個時間是200ms。可以明顯地看到這個策略可以把TCP數據報的利用率提高很多。
Nagle演算法
上過bbs的人應該都會有感受，就是在網路慢的時候發貼，有時鍵入一串字元串以後，經過一段時間，客戶端「發瘋」一樣突然回顯出很多內容，就好像數據一下子傳過來了一樣，這就是Nagle演算法的作用。
Nagle演算法是說，當主機A給主機B發送了一個TCP數據報並進入等待主機B的ACK數據報的狀態時，TCP的輸出緩沖區裡面只能有一個TCP數據報，並且，這個數據報不斷地收集後來的數據，整合成一個大的數據報，等到B主機的ACK包一到，就把這些數據「一股腦」的發送出去。雖然這樣的描述有些不準確，但還算形象和易於理解，我們同樣可以體會到這個策略對於低減網路負擔的好處。
在編寫插口程序的時候，可以通過TCP_NODELAY來關閉這個演算法。並且，使用這個演算法看情況的，比如基於TCP的X窗口協議，如果處理滑鼠事件時還是用這個演算法，那麼「延遲」可就非常大了。
2.TCP的成塊數據流
對於FTP這樣對於數據吞吐量有較高要求的要求，將總是希望每次盡量多的發送數據到對方主機，就算是有點「延遲」也無所謂。TCP也提供了一整套的策略來支持這樣的需求。TCP協議中有16個bit表示「窗口」的大小，這是這些策略的核心。
2.1.傳輸數據時ACK的問題
在解釋滑動窗口前，需要看看ACK的應答策略，一般來說，發送端發送一個TCP數據報，那麼接收端就應該發送一個ACK數據報。但是事實上卻不是這樣，發送端將會連續發送數據盡量填滿接受方的緩沖區，而接受方對這些數據只要發送一個ACK報文來回應就可以了，這就是ACK的累積特性，這個特性大大減少了發送端和接收端的負擔。
2.2.滑動窗口
滑動窗口本質上是描述接受方的TCP數據報緩沖區大小的數據，發送方根據這個數據來計算自己最多能發送多長的數據。如果發送方收到接受方的窗口大小為0的TCP數據報，那麼發送方將停止發送數據，等到接受方發送窗口大小不為0的數據報的到來。
2.3.數據擁塞
上面的策略用於區域網內傳輸還可以，但是用在廣域網中就可能會出現問題，最大的問題就是當傳輸時出現了瓶頸（比如說一定要經過一個slip低速鏈路）所產生的大量數據堵塞問題（擁塞），為了解決這個問題，TCP發送方需要確認連接雙方的線路的數據最大吞吐量是多少。這，就是所謂的擁塞窗口。
擁塞窗口的原理很簡單，TCP發送方首先發送一個數據報，然後等待對方的回應，得到回應後就把這個窗口的大小加倍，然後連續發送兩個數據報，等到對方回應以後，再把這個窗口加倍（先是2的指數倍，到一定程度後就變成現行增長，這就是所謂的慢啟動），發送更多的數據報，直到出現超時錯誤，這樣，發送端就了解到了通信雙方的線路承載能力，也就確定了擁塞窗口的大小，發送方就用這個擁塞窗口的大小發送數據。要觀察這個現象是非常容易的，我們一般在下載數據的時候，速度都是慢慢「沖起來的」
--
TCP的超時和重傳
超時重傳是TCP協議保證數據可靠性的另一個重要機制，其原理是在發送某一個數據以後就開啟一個計時器，在一定時間內如果沒有得到發送的數據報的ACK報文，那麼就重新發送數據，直到發送成功為止。
超時
超時時間的計算是超時的核心部分，TCP要求這個演算法能大致估計出當前的網路狀況，雖然這確實很困難。要求精確的原因有兩個：(1)定時長久會造成網路利用率不高。(2)定時太短會造成多次重傳，使得網路阻塞。所以，書中給出了一套經驗公式，和其他的保證計時器准確的措施。
計時器的使用
一個連接中，有且僅有一個測量定時器被使用。也就是說，如果TCP連續發出3組數據，只有一組數據會被測量。
ACK數據報不會被測量，原因很簡單，沒有ACK的ACK回應可以供結束定時器測量。
重傳
前面曾經提到過，數據在傳輸的時候不能只使用一個窗口協議，我們還需要有一個擁塞窗口來控制數據的流量，使得數據不會一下子都跑到網路中引起「擁塞」。也曾經提到過，擁塞窗口最初使用指數增長的速度來增加自身的窗口，直到發生超時重傳，再進行一次微調。但是沒有提到，如何進行微調，擁塞避免演算法和慢啟動門限就是為此而生。
所謂的慢啟動門限就是說，當擁塞窗口超過這個門限的時候，就使用擁塞避免演算法，而在門限以內就採用慢啟動演算法。所以這個標准才叫做門限，通常，擁塞窗口記做cwnd，慢啟動門限記做ssthresh。下面我們來看看擁塞避免和慢啟動是怎麼一起工作的
演算法概要
對一個給定的連接，初始化cwnd為1個報文段，ssthresh為65535個位元組。
TCP輸出常式的輸出不能超過cwnd和接收方通告窗口的大小。擁塞避免是發送方使用的流量控制，而通告窗口則是接收方進行的流量控制。前者是發送方感受到的網路擁塞的估計，而後者則與接收方在該連接上的可用緩存大小有關。
當擁塞發生時（超時或收到重復確認），ssthresh被設置為當前窗口大小的一半（cwnd 和接收方通告窗口大小的最小值，但最少為2個報文段）。此外，如果是超時引起了擁塞，則 cwnd被設置為1個報文段（這就是慢啟動）。
當新的數據被對方確認時，就增加cwnd，但增加的方法依賴於我們是否正在進行慢啟動或擁塞避免。如果cwnd小於或等於ssthresh，則正在進行慢啟動，否則正在進行擁塞避免。慢啟動一直持續到我們回到當擁塞發生時所處位置的半時候才停止（因為我們記錄了在步驟2 中給我們製造麻煩的窗口大小的一半），然後轉為執行擁塞避免。
快速重傳和快速恢復演算法
這是數據丟包的情況下給出的一種修補機制。一般來說，重傳發生在超時之後，但是如果發送端接受到3個以上的重復ACK的情況下，就應該意識到，數據丟了，需要重新傳遞。這個機制是不需要等到重傳定時器溢出的，所以叫做快速重傳，而重新傳遞以後，因為走的不是慢啟動而是擁塞避免演算法，所以這又叫做快速恢復演算法。流程如下：
當收到第3個重復的ACK時，將ssthresh設置為當前擁塞窗口cwnd的一半。重傳丟失的報文段。設置cwnd為ssthresh加上3倍的報文段大小。
每次收到另一個重復的ACK時， cwnd增加1個報文段大小並發送1個分組（如果新的 cwnd允許發送）。
當下一個確認新數據的ACK到達時，設置cwnd為ssthresh（在第1步中設置的值）。這個 ACK應該是在進行重傳後的一個往返時間內對步驟1中重傳的確認。另外，這個ACK也應該是對丟失的分組和收到的第1個重復的ACK之間的所有中間報文段的確認。這一步採用的是擁塞避免，因為當分組丟失時我們將當前的速率減半。
TCP的其它定時器
堅持定時器
用於防止通告窗口為0以後雙方互相等待死鎖的情況
堅持定時器的原理是簡單的，當TCP伺服器收到了客戶端的0滑動窗口報文的時候，就啟動一個定時器來計時，並在定時器溢出的時候向向客戶端查詢窗口是否已經增大，如果得到非零的窗口就重新開始發送數據，如果得到0窗口就再開一個新的定時器准備下一次查詢。通過觀察可以得知，TCP的堅持定時器使用1，2，4，8，16……64秒這樣的普通指數退避序列來作為每一次的溢出時間。
2.保活定時器
保活定時器更加的簡單，還記得FTP或者Http伺服器都有Sesstion Time機制么？因為TCP是面向連接的，所以就會出現只連接不傳送數據的「半開放連接」，伺服器當然要檢測到這種連接並且在某些情況下釋放這種連接，這就是保活定時器的作用。其時限根據伺服器的實現不同而不通。另外要提到的是，當其中一端如果崩潰並重新啟動的情況下，如果收到該端「前生」的保活探察，則要發送一個RST數據報文幫助另一端結束連接。

ftp發包

與ftp發包相關的內容