TCP/IP模式

TCP/IP模式（共8篇）

TCP/IP模式 篇1

1. 引言

2015年3月5日,李克强总理在政府工作报告中首次提出制定“‘互联网+’行动计划”,推动移动互联网、云计算、大数据、物联网等与现代制造业结合,促进电子商务、工业互联网和互联网金融健康发展,引导互联网企业拓展国际市场[1]。在互联网技术飞速发展的今天,高校大学生只有不断与时俱进,充实自己,全面提升综合素质,才能在将来就业中具有竞争力,在社会中有生存资本。《TCP/IP协议分析》课程是网络工程专业的一门专业课,目的是让学生掌握TCP/IP协议族中协议的基础原理和技术,对网络互联的原理有更深入的了解[2]。但该课程理论性较强,内容抽象,不易理解,已有实验资源匮乏、难以及时更新、升级,学生学习效果受到了一定程度的影响。

2. 课程教学现状

2.1 内容抽象,理论性较强,实践学时太少。

《TCP/IP协议分析》主要内容是TCP/IP协议栈四层模型中所涉及到协议原理与核心技术介绍[3],比如TCP协议以及网络地址分配等,但这些教学内容比较枯燥、抽象、理论性较强、不易理解,部分学生对这门课程缺乏学习热情,教学效果不是很理想。而该课程只有8个实践学时,远远不能满足学生将理论知识运用于实践中学时需求。《TCP/IP协议分析》实践环节内容主要包括协议分析、网络互连两个内容,每个实验4学时,所采用的实验设备都是学校统一购置,有配套的实验手册,教师只需花2个学时讲解实验设备和软件程序如何使用,学生就可以按照实验手册进行验证性实验。在教学过程中,发现大部分学生都能自主完成实验项目,得出正确的实验结果,但对于学有余力的学生,纯粹的验证性实验难以满足他们自主创新、探索新知识的需求。

2.2 实验设备匮乏、不能及时更新、升级。

实验设备是学校统一购置,费用昂贵,质量不高。在教学过程中发现,每次实验结束后有部分实验设备损坏,实验设备维护困难,软件不能及时更新、升级。

3.“互联网+”《TCP/IP协议分析》课程教学新模式

淮阴工学院为了积极响应李克强总理2015年3月5日提出的“互联网+”行动计划,目前正在积极推广精品课程、优秀课程平台建设,《TCP/IP协议分析》课程是淮阴工学院2015年新立项的优秀课程建设,该平台主要功能模块包括:教学空间、课程建设、课程教学和教学门户。

3.1 线上学习和线下学习深度融合。

针对上述该课程内容抽象、不易理解、理论性较强的问题,教师可以充分利用优秀课程建设平台,提高学生学习热情。在该课程课堂教学中应该允许手机、IPAD等智能终端进入课堂,学生可以直接扫描该课程的二维码进入课程学习,学生可以下载课程资源,或在线观看微视频、微课等。在课堂教学中,尽量避免传统的教师主讲,学生听讲的局面,更多的应该是教师与学生的互动交流。当然,在线学习时,可以通过互联网、微信、QQ等工具及时交流沟通、分享学习心得体会、解决遇到的问题。笔者认为这些新型教学模式都是激发学生学习热情很好途径。课堂教学中教师通过该平台还可以进行章节内容测验考察学生对知识点掌握程度,及时掌握学生学习动态;如果部分学生对于课堂所学内容没有完全理解和掌握还可以利用线下时间进一步学习,实现线上和线下深度融合,随时随地学习,满足学生学习个性化需求。

3.2 将“创客空间”融入课程教学。

针对该课程实验教学学时较少,实验资源匮乏、实验设备难以及时更新、升级问题,提出将“创客空间”引入该课程实践教学环节。“创客空间”是借助于工作坊的形式提供人们相应的工具和经验帮助其实现自己的创意等活动形式[4]。在《TCP/IP协议分析》课程中,学校所建立的精品课程、优秀平台中的资源是有限的,不可能满足所有学生的个性化学习需求。

在《TCP/IP协议分析》课程中可以借鉴Fab Lab[5]课程教学思想,教师给学生提供足够的实验场所、实验工具、网络资源,比如路由器、交换机、Sniffer抓包器、NS2仿真平台、OPNET仿真平台等,让学生自主学习,设计具有创意的作品。另外,由于现有实验设备匮乏,笔者认为教师、学生可以充分利用“创客空间”学习资源、人脉资源,集思广益,利用学院其他专业实验设备设计新型实验项目,从某种角度讲,能极大调动学生学习积极性,提升教师的综合素质。

总结

针对《TCP/IP协议分析》课程教学,经过一个阶段的实践探索,笔者发现学生的学习积极性明显提高,课堂学习气氛愈发活跃,师生交流互动更加频繁,淮阴工学院精品课程、优秀课程平台能得到高效利用,教学效果有明显改善。

参考文献

[1]http://finance.sina.com.cn/china/hgjj/20150305/105721651935.shtml,2015.3.5.

[2]杨文茵,马莉,李娅.《TCP/IP协议》课程教学改革探索[J].中国科技信息,2011(21):126.

[3]彭雅莉,于芳.计算机网络课程实验教学改革的探索[J].计算机教育,2011(4):23-25.

[4]L Johnson,S Adams Becker,V Estrada,A Freeman,2015,NMC Horizon report:2015 higher education edition,New Media Consortium,viewed 02 July 2015,<http://apo.org.au/node/53010>.

[5]宋刚等.Fab Lab创新模式及其启示[J].科学管理研究,2008,26(6):1-4.

TCP/IP模式 篇2

TCP IP协议栈：网络接口层

模型的基层是网络接口层。负责数据帧的发送和接收，帧是独立的网络信息传输单元。网络接口层将帧放在网上，或从网上把帧取下来。

TCP IP协议栈：互联层

互联协议将数据包封装成internet数据报，并运行必要的路由算法。这里有四个互联协议：

网际协议IP：负责在主机和网络之间寻址和路由数据包。

地址解析协议ARP：获得同一物理网络中的硬件主机地址。

网际控制消息协议ICMP：发送消息，并报告有关数据包的传送错误，

互联组管理协议IGMP：被IP主机拿来向本地多路广播路由器报告主机组成员。

TCP IP协议栈：传输层

传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。两个传输协议：

传输控制协议TCP：为应用程序提供可靠的通信连接。适合于一次传输大批数据的情况。并适用于要求得到响应的应用程序。

用户数据报协议UDP：提供了无连接通信，且不对传送包进行可靠的保证。适合于一次传输小量数据，可靠性则由应用层来负责。

TCP IP协议栈：应用层

应用程序通过这一层访问网络。

网络接口技术

IP使用网络设备接口规范NDIS向网络接口层提交帧。IP支持广域网和本地网接口技术。

串行线路协议

TCP/IP模式 篇3

由于TCP/IP协议复杂难懂，一直以来，学生在理论知识学习阶段缺乏对抽象理论知识的理性认识，只能"死记硬背"，"似懂非懂"，根本谈不上"深入理解"，因此多数学生认为这个协议理论性太强，太枯燥、不好学，学了不知怎么用。本文利用案例教学方式对TCP/IP协议网络体系结构进行讲解，使学生宏观形象地理解结构抽象的TCP/IP协议网络体系。

2、TCP/IP协议整体结构

TCP/IP协议起源于20世纪60年代末美国政府资助的一个网络分组交换研究项目，TCP/IP协议是发展至今最成功的通信协议，它被用于当今所构筑的最大的开放式网络系统Internet之上，该协议遵守一个五层的模型概念：应用层、传输层、网络层和数据链路层和物理层。如图一所示，两个用户在进行通信时，要应用TCP/IP协议，最顶层（第五层）是应用层，接下来是传输层、网络层和数据链路层及最低层的物理层（第一层）。两台计算机要传送消息，发送者首先把要传送的消息经过应用层添加首部传送到下一层，同理在传输层和网络层添加首部，在数据链路层除添加首部还要添加尾部，在物理层将数据链路层的信息转换成比特进行传输。

3、TCP/IP协议各层功能

要传送的消息在除物理层的其他层都要添加信息，接下来将介绍添加信息的用处及其实现的功能。

3.1 物理层功能

物理层定义了与传输媒体的接口，完成传输媒体上的信号与二进制数据间的转换，如图2所示，对于双绞线这种传输媒体，物理层负责电波信号与二进制数据间的转换，对于计算机甲和计算机乙，它们只能识别二进制数据，而对于双绞线，只能识别电平信号，这样就需要物理层定义二进制数据与电平信号的转换规则。

3.2 数据链路层功能

物理层已经实现了信号从计算机甲传送到计算机乙，但是并没有考虑消息在传输媒体上的出错情况，在长距离的传送过程中，接收端的消息难免出错。数据链路层提供点到点的可靠传输，利用差错控制编码，添加CRC校验，实现接收端自动纠错功能。

3.3 网络层功能

物理层和数据链路层提供了点到点的数据可靠传输，但是在网络上的计算机并不是直接相连的，而是通过互联网间接相连。网络层给因特网的每一台计算机分配了IP地址，这个IP地址在世界范围内必须是惟一的，这就需要在网络层添加IP地址等信息。如图3所示，路由器根据发送信息首部中的目的IP地址查找出下一跳路由器的地址，实现两台计算机之间的查找。

3.4 传输层功能

物理层、数据链路层及网络层实现了端到端的消息传输，并没有实现进程到进程之间的通信，如果计算机甲有两个QQ同时与计算机乙的QQ进行聊天，那么TCP/IP协议的下三层没有办法分辨计算机甲的两个QQ，因此需要传输层的加入，传输层添加"端口"等信息，给每一个进程添加一个端口号，用来分辨不同的进程。

3.5 应用层功能

向用户提供网络应用环境及简单的操作界面，解决如何将二进制比特信息转换成高级助记符的形式提供给用户。

4、结论

本文利用案例教学模式讲解了TCP/IP协议各个层次的功能，利用一个实际的消息传输例子贯穿各个层次的功能讲解中，使学生能形象理解TCP/IP协议各层次的功能。

摘要：针对"TCP/IP协议"的复杂性和难理解性, 我们应用案例教学模式引导学生积极进行思考、分析, 从而达到深刻理解TCP/IP协议网络体系结构原理和本质之目的。

关键词：TCP/IP协议,案例教学,教学模式

参考文献

TCP/IP模式 篇4

1 嵌入式 TCP/IP 协议

TCP/IP包含应用层、传输层 、网络层等一系列协议 , 且每层可采用的协议有多种。由于嵌入式设备的硬件资源有限, 其可直接寻址的程序空间和数据空间都很小, 处理速度较慢, 所以嵌入 式设备一 般采用最 精简的TCP/IP协议栈 (包括ARP、IP、UDP、ICMP等协议)[1], 在设计和开发过程中主要使用了ARP和TCP协议。

(1) ARP协议 (地址解析协议 : Address Resolution Proto- col) 是获取MAC物理地址的TCP/IP协议, 其主要作用是通过已知IP地址, 获取对应MAC物理地址的协议。当ARP请求被广播到网络上后, 目的主机收到请求包后发出一个ARP回应包, 给出自己的MAC地址和IP地址[2]。

(2) TCP协议 (传输控制协议 : Transmission Control Pro- tocol) 是一种面向连接的、可靠的、基于字节流的传输层通信协议, 通过3次握手建立连接, 通信完成时要删除连接, 采用“带重传的肯定确认”技术来实现传输的可靠性。

2 系统设置流程

上位机远程修改嵌入式设备的IP地址的流程包括:

(1) 上位机发出查询下位机MAC地址的ARP广播请求包, 嵌入式设备接收后响应ARP请求, 返回本地MAC地址; (2) 上位机记录响应ARP请求的嵌入式设备IP地址和MAC, 为建立TCP连接做准备; (3) 选择需要进行修改的嵌入式设备IP并发送TCP连接请求, 嵌入式设备建立与上位机的TCP连接;(4) 上位机发送IP?参数数据包, 嵌入式设备截取数据包中的信息来完成本地IP设置[3]。

3 上位机软件系统实现

在VC++开发平台上对上位机软件系统进行了实现, 使用基于TCP的Socket与嵌入式设备进行连接, 通过gethostby- name函数返回给定嵌入式设备IP地址对应于的包含主机名字和地址信息的hostent结构指针。使用IP地址和默认端口号与下位机进行连接, 如果连接成功则将封装好的数据包到下位机并给出提示[4]。关键代码如下:

4 结语

TCP/IP协议的安全问题初探 篇5

TCP负责发现传输的问题, 一有问题就发出信号, 要求重新传输, 直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。TCP/IP协议数据流采用明文传输。TCP/IP协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务 (DOS) 、Connection Hijacking以及其它一系列攻击行为。

TCP/IP主要存在以下几个方面的安全问题:

(1) 源地址欺骗 (Source address spoofing) 或IP欺骗 (IP spoofing) 。

(2) 源路由选择欺骗 (Source Routing spoofing) 。

(3) 路由选择信息协议攻击 (RIP Attacks) 。

(4) 鉴别攻击 (Authentication Attacks) 。

(5) TCP序列号欺骗 (TCP Sequence number spoofing) 。

(6) TCP序列号轰炸攻击 (TCP SYN Flooding Attack) , 简称SYN攻击。

(7) 易欺骗性 (Ease of spoofing) 等等。

2 对TCP/IP所受的攻击类型

2.1 TCP SYN attacks或SYN Flooding

TCP利用序列号以确保数据以正确顺序对应特定的用户。在三向握手 (Three-Way Handshake) 方式的连接打开阶段, 序列号就已经建立好。TCP SYN攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机B接收到来自A的SYN请求, 那么它必须以“Listen Queue”跟踪那部分打开的连接, 时间至少维持75秒钟, 并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送SYN请求, 但不答复SYN&ACK, 从而形成一个小型的Listen Queue, 而另一台主机则发送返回。这样, 另一台主机的Listen Queue迅速被排满, 并且它将停止接收新连接, 直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务 (Denialof-Service) 攻击, 而在其它攻击中也常发生这样的行为, 如伪IP。

IP Spoofing——伪IP技术是指一种获取对计算机未经许可的访问的技术, 即攻击者通过伪IP地址向计算机发送信息, 并显示该信息来自于真实主机。IP层假设它所接收到的任何IP数据包上的源地址都与实际发送数据包的系统IP地址 (没有经过认证) 相同。很多高层协议和应用程序也会作这样的假设, 所以似乎每个伪造IP数据包源地址的人都可以获得非认证特免。伪IP技术包含多种数据类型, 如Blind和Non-Blind Spoofing、Man-in-theMiddle-Attack (Connection Hijacking) 等。

2.2 Routing Attacks

该攻击利用路由选择信息协议 (RIP:TCP/IP网络中的基本组成) 。RIP主要用来为网络分配路由选择信息 (如最短路径) 并将线路传播出局域网络。与TCP/IP一样, RIP没有建立认证机制, 所以在无需校验的情况下就可以使用RIP数据包中的信息。RIP攻击会改变数据发送目的地, 而不能改变数据源位置。例如, 攻击者可以伪造一个RIP数据包, 并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送, 并且进行修改或检查。攻击者还可以通过RIP高效模仿任何主机, 并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。

2.3 ICMP Attacks

IP层通常使用Internet控制信息协议 (ICMP:Internet Control Message Protocol) 向主机发送单行道信息, 如“ping”信息。ICMP中不提供认证, 这使得攻击者有机会利用ICMP漏洞攻击通信网络, 从而导致拒绝服务 (Denial of Service) 或数据包被截取等攻击。拒绝服务基本上利用ICMP Time Exceeded或Destination Unreachable信息, 使得主机立即放弃连接。攻击者可以伪造其中一个ICMP信息, 然后将它发送给通信主机双方或其中一方, 以取消通信双方之间的连接。

2.4 ARP欺骗

在局域网中, 是通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 的。ARP协议对网络安全具有极其重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

3 总结

TCP/IP模式 篇6

在电力系统信息化高速发展的今天, 智能电网受到了重视, 在中国大陆建立一套完善的智能电网系统迫在眉睫。传统的电工24小时值班制度, 大量的电磁式仪表的使用, 使得值班人员操作繁琐容易出错。文章讲述的基于TCP/IP的配电柜监控装置就是在这样的条件下诞生的。有了该装置电力系统就可以对供电情况集中调控和监测管理;实现配电房无人值班, 节约资源。TCP/IP网络通信搭建相当简单, 只需在原有的网络上架设设备交换机和相关的网络线路即可, 这大大减少了电力控制线路布线的成本。本文主要从两个方面讲述该装置:以51单片机构成的监测和控制系统和TCP/IP网络通信模块。

装置的原理实现框图如下图1所示。51单片机构成的微机系统担任进线或馈线的电流、电压、相位、频率等参数的测量及运算和上位机的命令实施;对测量异常数据进行记录和报警输出, 对上位机的要求执行。所有的正常数据及异常数据和报警均通过51单片机的通信口 (串口) 输出, 所有上位机要施行的命令均通过51单片机的通信口 (串口) 接收。51单片机的通信口 (串口) 经串口转TCP/IP网络模块对外进行数据交流。所有的监测和控制得到与PC机组态系统实时沟通。TCP/IP网络接口组合灵活, 方便搭建智能监控平台。

监测和控制系统

1.监测模块。电力系统中, 配电柜的电能参数和开关量的监测是电力系统可靠运行的信息源泉, 因此数据准确性相当重要。在单片机系统中, 为了防止现场强电磁干扰或工频电压通过输出通道反串到测控系统, 常常采用通道隔离技术。在输出通道的隔离中, 最常用的隔离元件是光耦合器。在本检测系统中, 设置了光电隔离器件实现“隔离保安”。在硬件方面, 采用常用光电隔离器P521, 采用常用A/D转换芯片TLC549。

2.控制模块。该部分主要承担控制断路器和其他电气元件的合、分动作的控制。采用继电器干结点输出接口, 单片机可以通过设置决定若干路继电器输出的先后级别;同时可以设定继电器输出的常态 (常开/常闭) 及节点闭合、分断的时间。单片机通过ULN2003驱动继电器输出。

监测和控制系统与TCP/IP网络通信模块之间采用串行通信格式。数据格式采用RTU协议。RTU模式中, 每次传送信息前都有3.5个字符的静止时间;当对方接收到3.5个字符的静止信号时就开始清理内存准备接收数据 (依据使用的波特率, 很容易计算这个3.5个字符的静止的时间实际值) 。接着, 传送的第一个区的数据为设备地址。各个区允许发送的字符均为16进制的0-9, A-F。

网络上的设备连续监测网络上的信息, 包括静止时间。当接收第一个地址数据时, 每台设备立即对它解码, 以决定是否是自己的地址。发送完最后一个字符号后, 也有一个3.5个字符的静止时间, 然后才能发送一个新的信息。

整个信息必须连续发送。如果在发送帧信息期间, 出现大于1.5个字符的静止时间时, 则接收设备刷新不完整的信息, 并假设下一个地址数据。

同样一个信息后, 立即发送的一个新信息, (若无3.5个字符的静止时间) 这将会产生一个错误。是因为合并信息的CRC校验码无效而产生的错误。

当数据帧到达终端设备时, 它通过一个简单的“端口”进入被主机寻址到的设备, 该设备去掉数据帧的“信封” (数据头) , 读取数据, 如果没有错误, 就执行数据所请求的任务, 然后, 它将自己生成的数据加入到取得的“信封”中, 把数据帧返回给发送者。返回的响应数据中包含了以下内容:终端从机地址 (Address) 、被执行了的命令 (Function) 、执行命令生成的被请求数据 (Data) 和一个校验码 (Check) 。发生任何错误都不会有成功的响应。

数据帧格式如下表1所示。

地址域 (Address) 在帧的开始部分, 由一个字节 (8位二进制码) 组成, 十进制为0～255。这些位标明了用户指定的终端设备的地址, 该设备将接收来自与之相连的主机数据。每个终端设备的地址必须是唯一的, 仅仅被寻址到的终端会响应包含了该地址的查询。当终端发送回一个响应, 响应中的从机地址数据便告诉了主机哪台终端正与之进行通信。

TCP/IP网络通信模块

TCP/IP网络通信模块负责衔接单片机RTU通信的数据并解析出功能后打包成TCP/IP网络通信协议对外交换数据。其报文控制框图如图2:

在数据分析过程中对电器控制的各个功能做了详尽的划分。

功能域。功能域代码告诉了被寻址到的终端执行何种功能。以下列出了本设计用到的功能码 (如下表2所示) , 以及它们的意义和功能。

系统使用的功能码如下表3所示:

数据域。数据域包含了终端执行特定功能所需要的数据或者终端响应查询时采集到的数据。这些数据的内容可能是数值、参考地址或者设置值。例如:功能域码告诉终端读取一个寄存器, 数据域则需要指明从哪个寄存器开始及读取多少个数据, 内嵌的地址和数据依照类型和从机之间的不同内容而有所不同。

错误校验允许主机和终端检查传输过程中的错误。有时, 由于电噪声和其它干扰, 一组数据在从一个设备传输到另一个设备时在线路上可能会发生一些改变, 出错校验能够保证主机或者终端不去响应那些传输过程中发生了改变的数据, 这就提高了系统的安全性和效率, RTU方式出错校验使用了16位循环冗余的方法 (CRC16) 。

结束语

TCP/IP模式 篇7

关键词：数字语音,会议系统,硬件结构,通信流程

数字技术的发展促进了人们对信息业务的需求, 各种数字会议系统应运而生。文中以TCP/IP协议作为通信链路层协议, 设计了数字语音会议及同声传译系统方案, 该系统可实现高质量数字语音会议, 并具有同声传译功能。

1 系统总体结构

系统采用终端-服务器模式, 以中央控制单元为核心的星型结构的100 M以太网专用网络构建 [1], 如图1所示。为了保证系统实时性要求, 中央控制单元采用专用硬件模块与PC机相结合的方案实现, 由会议组织者操控, 负责终端的管理以及会议工作模式设置。终端A为会议代表语音终端, 数目最大可扩展到256个, 通过多级集线器与中央控制单元连接;终端B为同声传译终端, 数目为8。

系统通信链路协议采用TCP/IP协议;系统启用后由中央控制单元通过DHCP为各终端设备自动分配IP地址, 并利用各终端IP对其进行识别和管理。为保证语音传输质量, 文中选择基于会话层的实时连续媒体传输协议RTP/RTCP[2] (实时传输协议/实时传输控制协议) 保持语音的实时连贯性。

2 终端的原理设计和功能

终端A和终端B为专用语音终端, 其主要基本功能包括上行语音数据处理和下行语音数据处理两部分。上行数据处理部分的主要工作是将本终端的音频信号经过采样、压缩、组包, 然后以IP包封装上传。下行数据处理部分的主要工作是下行IP包解析, 经过RTP解包、音频解码、适当缓存后经D/A转换由听筒输出音频信号。

针对上述终端设计功能, 设计终端A、B的原理框图, 如图2所示。其中单片机作为主控CPU, 控制各个功能模块的工作。DSP (数字信号处理) 芯片实现音频压缩编码和解码、以及RTP协议 (包括组包和解包) 。从缩短开发周期的角度考虑, IP协议部分选择专用网络芯片实现TCP/IP网络通信。

终端A上设计有小键盘及液晶显示, 控制本终端CPU通过上行IP控制包, 向中央控制器请求开放音频数据上行通道。鉴于人耳的听觉分辨效果及会议实际情况, 同时允许发言的终端A的数目控制在8个以内。同时终端A的小键盘还具备投票表决功能。

终端B作为译员终端, 采用全双工通讯方式, 在得到中央控制台的开启指令后, 上下行音频通道同时开放。

会议代表终端A中的上行的音频压缩编码部分, 要求有较好的音质效果, 可采用SPCM编解码方式。同声传译终端B中的上行的音频压缩编码部分对音质效果要求略低, 可采用G.723或G.729编码以节约带宽。

3 中央控制单元的原理设计和功能

中央控制单元包括专用硬件模块C与安装在PC端的应用软件两个部分:硬件模块C通过RS232口与PC机通信, 完成底层的系统控制功能;应用软件提供友好的操作界面用于会议组织管理。

硬件模块C的功能包括两个方面:根据应用软件设置的工作参数控制终端A、B的工作模式以及向应用软件上报终端的工作状态, 即处理IP控制包;以及处理IP数据包, 即处理多个终端A的上传音频信号以及多个终端B上传的同声传译信号。硬件模块C负责实时多路终端A的会议语音合成, 包括将多个终端A上传的音频信号分别解码、合成会议语音, 然后再压缩编码, 最终以IP包广播送至下行数据传送通道, 以供终端A、B接收。同时硬件模块C将各个终端B上传的同传音频信号, 转发至下行数据传送通道, 供终端A接收。

针对上述硬件模块C的设计功能, 设计其原理框图, 如图3所示。选择MPC860[3,4,5]作为主控CPU, 控制各个子功能模块的工作;MPC860支持多任务工作方式, 并提供的标准RS232串口通信方式, 可用于与上位PC通信。使用DSP芯片实现音频压缩编码和解码、RTP协议以及多路会议语音合成;考虑到中央处理单元应有一定硬件开发的冗余度, 设计了两个DSP芯片, 可分别用于处理终端A的音频数据和终端B的音频数据, 由MPC860统一管理, 分配资源。使用专用网络芯片实现TCP/IP网络通信。

应用软件的主要功能为会议管理, 包括指定会议形式, 控制选择会议当前的发言人以及讨论人员等。系统维护人员可通过应用软件设置中央控制单元的工作参数, 以及完成终端信息数据库的管理等工作。系统启动后, 硬件模块C负责给各个终端分配IP地址, 同时应用软件可以读出每个终端的IP地址, 从而识别终端, 并可通过IP控制包可以向各个终端发送控制信息和会议信息。

4 系统通信流程

系统中语音信息传输采用UDP方式, 会话层使用RTP/RTCP (实时传输协议/实时传输控制协议) , 以保证语音的实时性。控制信息及文字信息采用TCP方式传递, 保证可靠性。

系统支持的工作模式包括:单人广播式发言并同声传译模式以及多人会议讨论发言模式。在会议单人广播式发言模式下, 中央控制单元将发言的一个终端A0的语音传送给其余的终端A, 会议建立和维护的过程, 如图4所示。由具有会议发起和发言权的终端A0通过TCP向中央控制单元发起广播会议请求, 中央控制单元将会议通知下达到终端A1～An, 建立有效连接后, 中央控制单元将终端A0的语音在RTP实时传输的基础上, 通过IP广播形式传送到终端A1～An。此时终端A0工作于单工通信模式, 发送RTP语音数据。中央控制单元工作于双工模式:从终端A0接收封装在IP包中的RTP包, 然后重新组织IP包, 将接收到的RTP包透明传送至终端A1～An。终端A1～An工作于单工接收语音模式, 在上层应用程序中完成RTP包的解包以及语音数据恢复。会议过程中由中央控制单元维护终端信息;会议的结束由终端A0向中央控制单元申请。

当需要同声传译时, 终端A0的语音同时被传送到终端B, 同声传译员翻译后的语音通过终端B回传至中央控制器, 然后根据终端A的IP地址信息, 以组播的方式向收听同种语言的终端A发送相应的语音。在多人会议讨论发言模式下, 中央控制单元将参加讨论的终端A0～A7的语音合成为多路混音会议语音后[4], 传送给所有的终端A0～An。

5 结束语

文中设计了基于TCP/IP的数字语音会议及同声传译系统方案, 包括会议终端以及中央控制单元的工作模式;并设计了系统语音及数据传输的框架。该系统可实现局域网内单人广播式发言并同声传译模式, 以及多人会议讨论发言模式的IP会议电话实时语音数据传输。

参考文献

[1]黄永峰.因特网语音通信技术及其应用[M].北京:人民邮电出版社, 2002.

[2]董振亚, 张拥军, 彭宇行.基于RTP的MPEG-4视频传输[J].计算机应用研究, 2003 (7) :52-55.

[3]龚兵, 杨艳红.TMS320C6000 TM扩展总线与MPC860微处理器的接口[J].电子技术应用, 2002, 28 (2) :8-11.

[4]廖延娜, 梁青, 张宝军.RTP协议在IP会议电话系统中的应用[J].西安邮电学院学报, 2008, 13 (3) :21-24.

TCP/IP模式 篇8

TCP/IP网络协议栈源于20世纪60年代美国军方资助的一个分组交换网络的研究项目, 在设计之初是使用环境中的用户都是可信任的, 并未考虑到其中存在的安全问题, 后来TCP/IP协议栈取得巨大的成功, 并促成全球互联网时代的到来, 但随着互联网的逐步扩展与开放, 使得原先用户可信任的缺省假设不再满足, TCP/IP协议栈存在的安全缺陷被发现, 如:缺乏加密认证机制、TCP序列号易被猜测、定时器及连接建立过程中的问题等, 都是TCP/IP协议固有的缺陷。而这些缺陷成了黑客们的攻击点, 对目标网络的安全性构成危害和威胁。

2 常用的 TCP/IP 网络协议栈攻击技术

2.1 网络层攻击

(1) ARP缓存欺骗

ARP缓存是ARP协议的重要组成部分。当使用ARP协议解析了MAC地址和IP地址的映射关系, 该映射便会被缓存下来。因此就不再使用ARP协议来解析已存在缓存中的映射关系。但是因ARP协议是无身份认证的, 所以ARP缓存很容易被恶意的虚假ARP数据报实施欺骗, 这样的攻击被称为ARP缓存欺骗。

在这样的攻击中, 攻击者通过伪造ARP数据报来欺骗被攻击主机的电脑使之缓存错误的MAC地址和IP地址映射。因攻击者的动机不同, 攻击的结果也有很多。例如, 攻击者可以使被攻击主机的默认网关IP映射到一个不存在的MAC地址达到DoS攻击, 攻击者也可以使被攻击主机的通信重定向至其他机器等等。

(2) ICMP重定向攻击

ICMP重定向报文是路由器为网络中的机器提供最新的路由信息以达到最短路由而使用的。当主机收到一个ICMP重定向报文就会根据报文来更新自己的路由表。由于缺乏确认机制, 如果攻击者想要使被攻击主机使用特定路由, 他们只要向被攻击主机发送欺骗性的ICMP重定向报文, 使它改变路由表即可。

2.2 传输层攻击

(1) SYN flood攻击

SYN flood攻击是DoS攻击的一种形式, 攻击者向被攻击主机的TCP端口大量发送SYN请求包, 但不去完成TCP的“三次握手”的过程, 例如攻击使用一个假的IP地址, 或只是简单地不再继续建立TCP连接的过程, 这都使被攻击主机处于”半连接”状态 (即在”三次握手”过程中, 有了前两次握手, SYN包和SYN-ACK包的传输, 但没有最后一次ACK包的确认。

被攻击主机的主机会使用一个队列来保存这种半连接的状态, 当这个队列存储空间满了的时候, 目标主机便无法再接受任何其它连接。这一队列的空间大小事实上是一个系统变量, 在Linux中, 可以这样查看它的大小:#sysctl–qnet.ipv4.tcp_max_syn_backlog。

我们还可以使用”netstat -na”命令去检查队列的使用情况。处于半连接的连接状态被标示为”SYN-RECV”, 完成了”三次握手”的连接被标示为”ESTABLISHED”。

你可以使用Netwox去实施攻击, 并使用嗅探器来获取数据包。攻击实施的过程中, 在被攻击主机上运行”netstat -na”命令去观察受攻击的情况。

SYN Cookie保护机制:如果你的攻击看起来并不成功, 你可以检查一下目标主机的SYN Cookie机制是否被开启。SYN cookie是针对SYN flood攻击的一种保护机制。这一机制会在探测到SYN flood攻击时开始生效。你可以使用sysctl命令去打开或关闭这一机制:

# sysctl -w net.ipv4.tcp_syncookies=0 (关闭SYN cookie)

# sysctl–w net.ipv4.tcp_syncookies=1 (打开SYN cookie)

(2) TCP RST攻击

比如被攻击者使用浏览器访问一个视频网站, 并选择播放某个视频大多数情况下视频的完整内容被存放在一个不同的主机上, 该主机接下来会与被攻击主机建立起TCP连接, 从而使被攻击主机能够接收视频的内容, 通过破坏上述TCP连接来干扰视频流的传输。你可以让被攻击主机试图去访问一个假的IP地址或是攻击主机的IP地址来获取视频 (从而它无法成功获得视频内容) , 但请注意, 攻击的目标应该是被攻击主机, 这是受你控制的一台主机, 不要针对提供视频的主机 (不受你控制的主机) 。你的攻击实验应出于学习目的而不要造成真正的危害。

(3) TCP会话劫持 (bonus)

TCP会话劫持的目标是劫持一个已经存在于两台被攻击主机之间的TCP连接, 在会话中注入恶意的内容。如果这是一个telnet会话连接, 攻击者可以注入一些恶意的命令, 使得被攻击主机运行这些恶意的命令。在这个任务中, 我们使用telnet作为例子, 并且仍然假定攻击机与目标主机在同一个局域网内。

3 TCP/IP 网络协议栈 IP 欺骗的应对措施

上述诸多黑客攻击TCP/IP网络协议栈的情况非常普遍, 这里我们只针对较普遍的IP欺骗采取应对策略加以说明。

在网络攻击技术中IP欺骗是针对TCP/IP协议栈中不完善的机制而发展起来的, 目前尚无简便的方法防止IP地址的欺骗行为。我们只能采取一些弥补措施来使其造成的危害减少到最小的程度。防御这种攻击的主要防范策略:

(1) 在局域网内部的IP数据包发出之前, 需对每一个连接局域网的网关或路由器进行IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址, 则该IP包就被网关或路由器拒绝, 不允许该包离开局域网。这样攻击者至少需要使用其所在局域网内的IP地址才能通过连接该局域网的网关或路由器。因此建议每一ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。

(2) 使用防火墙决定是否允许外部的IP数据包进入局域网, 对来自外部的IP数据包进行检验。如果数据包的IP不是防火墙内的任何子网, 它就不能离开防火墙。这种方法虽然能够很好地解决问题, 但是一些防火墙并不能够正确的区分内部与外部的数据包, 并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源, 这种方案不具备较高的实用价值。

(3) 在包发送到网络上之前, 我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境但它将保证数据的完整性和真实性。虽然服务拒绝攻击的工具很多, 但一般都有相应的补丁, 所以网络管理员应经常在网上查找并安装这此补丁。

4 结束语

针对上面的各种CP/IP网络协议栈攻击技术我们在工作实践中不断寻求不同的解决方案, TCP /IP协议的安全隐患目前是无法从根本上消除的, 我们只有通过深入分析TCP/IP协议所存在的漏洞, 研究黑客利用这些漏洞进行攻击的常用方法并针对这些漏洞可能导致的安全隐患采取相应的解决策略才能达到提高网络安全性能、减少网络系统免受攻击的目的。

参考文献

[1]季云龙, 邵国强.TCP/IP协议的网络安全电脑学习, 2011, 2:29-30.

[2]颜学雄, 王清贤, 李梅林.SYN Flood攻击原理与预防方法, 计算机应用, 2000.