igmp通常被认为是(IGMP通常被认为是)

TCP/IP网络层的核心是IP协议，它是TCP/IP协议族中最主要的协议之一。IP协议非常简单，仅仅提供不可靠、无连接的传送服务。IP协议的主要功能有：无连接数据报传输、数据报路由选择和差错控制。与IP协议配套使用实现其功能的还有地址解析协议ARP、逆地址解析协议RARP、因特网报文协议ICMP、因特网组管理协议IGMP。 TCP/IP网络使用32位长度的地址以标识一台计算机和同它相连的网络，它的格式为：IP地址=网络地址+主机地址。IP地址是通过它的格式分类的，它有四种格式：A类、B类、C类、D类。如下所示格式位数主机地址：A类0网络（7位）主机地址（24位）、B类10网络（14位）主机地址（16位）、C类110网络（21位）主机地址（8位）、D类1110多路通信地址（28位）、未来的格式11110将来使用。这样，A类地址空间为0-127，最大网络数为126，最大主机数为16,777,124；B类地址空间为128-191，最大网络数为16384，最大主机数为65,534；C类地址空间为192-223，最大网络数为2,097,152，最大主机数为254；D类地址空间为224-254。 C类地址空间分配概况。分配区域地址空间：多区域192.0.0.0~193.255.255.255、欧洲：194.0.0.0~195.255.255.255、其他：196.0.0.0~197.255.255.255、北美：197.0.0.0~199.255.255.255、中南美：200.0.0.0~201.255.255.255、太平洋地区：202.0.0.0~203.255.255.255、其他：204.0.0.0~205.255.255.255、其他：206.0.0.0~207.255.255.255。注：其中“多区域”表示执行该计划前已经分配的地址空间；“其他”表示已指定名称的地区之外的地理区划。特殊格式的IP地址：广播地址：当网络或主机标志符字段的每位均设置为1时，这个地址编码标识着该数据报是一个广播式的通信，该数据报可以被发送到网络中所有的子网和主机。例如，地址128.2.255.255意味着网络128.2上所有的主机。本网络地址：IP地址的主机标识符字段也可全部设置为0，表示该地址作为“本主机”地址。网络标识符字段也可全部设置为0，表示“本网络”。如，128.2.0.0表示网络地址为128.2的网络。使用网络标识符字段全部设置为0的IP地址在一台主机不知道网络的IP地址时时是很有用的。私有的IP地址：在有些情况下，一个机构并不需要连接到Internet或另一个专有的网络上，因此，无须遵守对IP地址进行申请和登记的规定。该机构可以使用任何的地址。在RFC1597中，有些IP地址是用作私用地址的：A类地址：10.0.0.0到10.255.255.255。B类地址：172.16.0.0到172.31.255.255.255。C类地址：192.168.0.0到192.168.255.255。 ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。协议属于链路层的协议在以太网中的数据帧从一个主机到达网内的另一台主机是根据48位的以太网地址（硬件地址）来确定接口的，而不是根据32位的IP地址。内核（如驱动）必须知道目的端的硬件地址才能发送数据。当然，点对点的连接是不需要ARP协议的。 ARP协议的数据结构：以下是引用片段：typedefstructarphdr{unsignedshortarp_hrd;/*硬件类型*/unsignedshortarp_pro;/*协议类型*/unsignedchararp_hln;/*硬件地址长度*/unsignedchararp_pln;/*协议地址长度*/unsignedshortarp_op;/*ARP操作类型*/unsignedchararp_sha[6];/*发送者的硬件地址*/unsignedlongarp_spa;/*发送者的协议地址*/unsignedchararp_tha[6];/*目标的硬件地址*/unsignedlongarp_tpa;/*目标的协议地址*/}ARPHDR,*PARPHDR; 为了解释ARP协议的作用，就必须理解数据在网络上的传输过程。这里举一个简单的PING例子。假设我们的计算机IP地址是192.168.1.1，要执行这个命令：ping192.168.1.2.该命令会通过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤：1、应用程序构造数据包，该示例是产生ICMP包，被提交给内核（网络驱动程序）；2、内核检查是否能够转化该IP地址为MAC地址，也就是在本地的ARP缓存中查看IP-MAC对应表；3、如果存在该IP-MAC对应关系，那么跳到步骤9；如果不存在该IP-MAC对应关系，那么接续下面的步骤；4、内核进行ARP广播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令类型为REQUEST（1），其中包含有自己的MAC地址；5、当192.168.1.2主机接收到该ARP请求后，就发送一个ARP的REPLY（2）命令，其中包含自己的MAC地址；6、本地获得192.168.1.2主机的IP-MAC地址对应关系，并保存到ARP缓存中；7、内核将把IP转化为MAC地址，然后封装在以太网头结构中，再把数据发送出去；使用arp-a命令就可以查看本地的ARP缓存内容，所以，执行一个本地的PING命令后，ARP缓存就会存在一个目的IP的记录了。当然，如果你的数据包是发送到不同网段的目的地，那么就一定存在一条网关的IP-MAC地址对应的记录。知道了ARP协议的作用，就能够很清楚地知道，数据包的向外传输很依靠ARP协议，当然，也就是依赖ARP缓存。要知道，ARP协议的所有操作都是内核自动完成的，同其他的应用程序没有任何关系。同时需要注意的是，ARP协议只使用于本网络。 具有本地磁盘的系统引导时，一般是从磁盘上的配置文件中读取IP地址。但是无盘机，如X终端或无盘工作站，则需要采用其他方法来获得IP地址。网络上的每个系统都具有唯一的硬件地址，它是由网络接口生产厂家配置的。无盘系统的RARP实现过程是从接口卡上读取唯一的硬件地址，然后发送一份RARP请求（一帧在网络上广播的数据），请求某个主机响应该无盘系统的IP地址（在RARP应答中）。在概念上这个过程是很简单的，但是实现起来常常比ARP要困难。RARP的正式规范是RFC903[Finlaysonetal.1984]。 RARP的分组格：RARP分组的格式与ARP分组基本一致。它们之间主要的差别是RARP请求或应答的帧类型代码为0x8035，而且RARP请求的操作代码为3，应答操作代码为4。对应于ARP，RARP请求以广播方式传送，而RARP应答一般是单播(unicast)传送的。RARP服务器的设计：虽然RARP在概念上很简单，但是一个RARP服务器的设计与系统相关而且比较复杂。相反，提供一个ARP服务器很简单，通常是TCP/IP在内核中实现的一部分。由于内核知道IP地址和硬件地址，因此当它收到一个询问IP地址的ARP请求时，只需用相应的硬件地址来提供应答就可以了。作为用户进程的RARP服务器：RARP服务器的复杂性在于，服务器一般要为多个主机（网络上所有的无盘系统）提供硬件地址到IP地址的映射。该映射包含在一个磁盘文件中。由于内核一般不读取和分析磁盘文件，因此RARP服务器的功能就由用户进程来提供，而不是作为内核的实现的一部分。更为复杂的是，RARP请求是作为一个特殊类型的以太网数据帧来传送的。这说明RARP服务器必须能够发送和接收这种类型的以太网数据帧。在附录A中，我们描述了SBD分组过滤器、SUN的网络接口栓以及SVR4数据链路提供者接口都可用来接收这些数据帧。由于发送和接收这些数据帧与系统有关，因此RARP服务器的实现是与系统捆绑在一起的。每个网络有多个RARP服务器：RARP服务器实现的一个复杂因素是RARP请求是在硬件层上进行广播的，这意味着它们不经过路由器进行转发。为了让无盘系统在RARP服务器关机的状态下也能引导，通常在一个网络上（例如一根电缆）要提供多个RARP服务器。当服务器的数目增加时（以提供冗余备份），网络流量也随之增加，因为每个服务器对每个RARP请求都要发送RARP应答。发送RARP请求的无盘系统一般采用最先收到的RARP应答（对于ARP，我们从来没有遇到这种情况，因为只有一台主机发送ARP应答）。另外，还有一种可能发生的情况是每个RARP服务器同时应答，这样会增加以太网发生冲突的概率。 ICMP的作用：由于IP协议的两个缺陷：没有差错控制和查询机制，因此产生了ICMP。ICMP主要是为了提高IP数据报成功交付的机会，在IP数据报传输的过程中进行差错报告和查询，比如目的主机或网络不可到达，报文被丢弃，路由阻塞，查询目的网络是否可以到达等等。ICMP有两种报文类型：差错报告报文和询问报文。差错报告报文：终点不可到达（由于路由表，硬件故障，协议不可到达，端口不可达到等原因导致，这时路由器或目的主机向源站发送终点不可到达报文）；源站抑制（发生拥塞，平衡IP协议没有流量控制的缺陷）；超时（环路或生存时间为0）；参数问题（IP数据报首部参数有二义性）；改变路由（路由错误或不是最佳）。询问报文：回送请求或回答（用来测试连通性，如：PING命令）；时间戳请求或回答（用来计算往返时间或同步两者时间）；地址掩码请求或回答（得到掩码信息）；路由询问或通告（得知网络上的路由器信息）。ICMP是网际(IP)层的协议，它作为IP层数据报的数据，加上数据报的首部，组成数据报发送出去。 应用层的PING(PacketInterNetGroper)命令用来测试两个主机之间的连通性，PING使用了ICMP回送请求与回送回答报文，属于ICMP询问报文，它是应用层直接使用网络层ICMP的一个特例，它没有通过运输层的TCP或UDP。IP数据报首部的协议字段：IP报文首部的协议字段指出了此数据报是使用的何种协议，以便使目的主机的网络层能够知道如何管理协议因特网组管理协议(IGMP)被IP主机用于向所有的直接相邻的多播路由器报告它们的多播组成员关系。本文档只描述在主机和路由器之间的确定组成员关系的IGMP应用。作为多播组成员的路由器应当还能表现为一台主机，甚至能对自己的查询作出响应。IGMP还可以应用在路由器之间，但这种应用不在这里描述。就像ICMP一样，IGMP作为整合在IP里面的一部分。所有希望接收IP组播的主机都应当实现IGMP。IGMP消息被封装在IP数据报中，IP协议号为2。本文档所描述的所有IGMP消息在发送时TTL都为1，并在它们的IP首部中含有一个路由器警告选项。主机所关心的所有IGMP消息都具有以下格式：8位类型+8位最大响应时间+16位校验和+32位组地址。 组播协议包括组成员管理协议和组播路由协议。组成员管理协议用于管理组播组成员的加入和离开，组播路由协议负责在路由器之间交互信息来建立组播树。IGMP属于前者，是组播路由器用来维护组播组成员信息的协议，运行于主机和和组播路由器之间。IGMP 信息封装在IP报文中，其IP的协议号为2。若一个主机想要接收发送到一个特定组的组播数据包，它需要监听发往那个特定组的所有数据包。为解决Internet上组播数据包的路径选择，主机需通过通知其子网上的组播路由器来加入或离开一个组，组播中采用IGMP来完成这一任务。这样，组播路由器就可以知道网络上组播组的成员，并由此决定是否向它们的网络转发组播数据包。当一个组播路由器收到一个组播分组时，它检查数据包的组播目的地址，仅当接口上有那个组的成员时才向其转发。IGMP提供了在转发组播数据包到目的地的最后阶段所需的信息，实现如下双向的功能：主机通过IGMP通知路由器希望接收或离开某个特定组播组的信息。路由器通过IGMP周期性地查询局域网内的组播组成员是否处于活动状态，实现所连网段组成员关系的收集与维护。IGMP共有三个版本，即IGMP v1、v2 和 v3。

人们已经进行了一些讨论关于如何将TCP/IP参考模型映射到到OSI模型。由于TCP/IP和OSI模型组不能精确地匹配，还没有一个完全正确的答案。另外，OSI模型下层还不具备能够真正占据真正层的位置的能力，在传输层和网络层之间还需要另外一个层（网络互连层）。特定网络类型专用的一些协议应该运行在网络层上，但是却运行在基本的硬件帧交换上。类似协议的例子有地址解析协议和生成树协议（用来保持冗余网桥的空闲状态直到真正需要它们）。然而，它们是本地协议并且在网络互连功能下面运行。不可否认，将两个组（更不用说它们只是运行在如ICMP等不同的互连网络协议上的逻辑上的网络层的一部分）整个放在同一层会引起混淆，但是OSI模型还没有复杂到能够做更好的工作。下面的图表试图显示不同的TCP/IP和其他的协议在最初OSI模型中的位置：1 、应用层例如HTTP、SMTP、SNMP、FTP、Telnet、SIP、SSH、NFS、RTSP、XMPP、Whois、ENRP2 、表示层例如XDR、ASN.1、SMB、AFP、NCP3 、会话层例如ASAP、TLS、SSH、ISO 8327 / CCITT X.225、RPC、NetBIOS、ASP、Winsock、BSD sockets4 、传输层 例如TCP、UDP、RTP、SCTP、SPX、ATP、IL5 、 网络层 例如IP、ICMP、IGMP、IPX、BGP、OSPF、RIP、IGRP、EIGRP、ARP、RARP、 X.256 、数据链路层例如以太网、令牌环、HDLC、帧中继、ISDN、ATM、IEEE 802.11、FDDI、PPP7 、实体层 例如线路、无线电、光纤通常人们认为OSI模型的最上面三层（应用层、表示层和会话层）在TCP/IP组中是一个应用层。由于TCP/IP有一个相对较弱的会话层，由TCP和RTP下的打开和关闭连接组成，并且在TCP和UDP下的各种应用提供不同的端口号，这些功能能够被单个的应用程序（或者那些应用程序所使用的库）增加。与此相似的是，IP是按照将它下面的网络当作一个黑盒子的思想设计的，这样在讨论TCP/IP的时候就可以把它当作一个独立的层。(1)应用层（OSI 5 到 7层） 例如HTTP、FTP、DNS（如BGP和RIP这样的路由协议，尽管由于各种各样的原因它们分别运行在TCP和UDP上，仍然可以将它们看作网络层的一部分）(2) 传输层（OSI 4层） 例如TCP、UDP、RTP、SCTP（如OSPF这样的路由协议，尽管运行在IP上也可以看作是网络层的一部分）(3)网络互连层（OSI 3层） 对于TCP/IP来说这是因特网协议（IP）（如ICMP和IGMP这样的必须协议尽管运行在IP上，也仍然可以看作是网络互连层的一部分；ARP不运行在IP上）(4)网络接口层（OSI1和2层） 例如以太网、Wi-Fi、MPLS等。[编辑]应用层该层包括所有和应用程序协同工作，利用基础网络交换应用程序专用的数据的协议。应用层是大多数普通与网络相关的程序为了通过网络与其他程序通信所使用的层。这个层的处理过程是应用特有的；数据从网络相关的程序以这种应用内部使用的格式进行传送，然后被编码成标准协议的格式。一些特定的程序被认为运行在这个层上。它们提供服务直接支持用户应用。这些程序和它们对应的协议包括HTTP（万维网服务）、FTP（文件传输）、SMTP（电子邮件）、SSH（安全远程登陆）、DNS（名称<-> IP 地址寻找）以及许多其他协议。一旦从应用程序来的数据被编码成一个标准的应用层协议，它将被传送到IP栈的下一层。在传输层，应用程序最常用的是TCP或者UDP，并且服务器应用程序经常与一个公开的端口号相联系。服务器应用程序的端口由互联网号码分配局（IANA）正式地分配，但是现今一些新协议的开发者经常选择它们自己的端口号。由于在同一个系统上很少超过少数几个的服务器应用，端口冲突引起的问题很少。应用软件通常也允许用户强制性地指定端口号作为运行参数。连结外部的客户端程序通常使用系统分配的一个随机端口号。监听一个端口并且通过服务器将那个端口发送到应用的另外一个副本以建立对等连结（如IRC上的dcc文件传输）的应用也可以使用一个随机端口，但是应用程序通常允许定义一个特定的端口范围的规范以允许端口能够通过实现网络地址转换（NAT）的路由器映射到内部。每一个应用层（TCP/IP参考模型的最高层）协议一般都会使用到两个传输层协议之一： 面向连接的TCP传输控制协议和无连接的包传输的UDP用户数据报文协议。 常用的应用层协议：运行在TCP协议上的协议：HTTP（Hypertext Transfer Protocol，超文本传输协议），主要用于普通浏览。HTTPS（Hypertext Transfer Protocol over Secure Socket Layer, or HTTP over SSL，安全超文本传输协议）,HTTP协议的安全版本。FTP（File Transfer Protocol，文件传输协议），由名知义，用于文件传输。POP3（Post Office Protocol, version 3，邮局协议），收邮件用。SMTP（Simple Mail Transfer Protocol，简单邮件传输协议），用来发送电子邮件 。TELNET（Teletype over the Network，网络电传），通过一个终端（terminal）登陆到网络。SSH（Secure Shell，用于替代安全性差的TELNET），用于加密安全登陆用。运行在UDP协议上的协议：BOOTP（Boot Protocol，启动协议），应用于无盘设备。NTP（Network Time Protocol，网络时间协议），用于网络同步。其他：DNS（Domain Name Service，域名服务），用于完成地址查找，邮件转发等工作（运行在TCP和UDP协议上）。ECHO（Echo Protocol，回绕协议），用于查错及测量应答时间（运行在TCP和UDP协议上）。SNMP（Simple Network Management Protocol，简单网络管理协议），用于网络信息的收集和网络管理。DHCP（Dynamic Host Configuration Protocol，动态主机配置协议），动态配置IP地址。ARP（Address Resolution Protocol，地址解析协议），用于动态解析以太网硬件的地址。[编辑]传输层传输层的协议，能够解决诸如端到端可靠性（“数据是否已经到达目的地？”）和保证数据按照正确的顺序到达这样的问题。在TCP/IP协议组中，传输协议也包括所给数据应该送给哪个应用程序。在TCP/IP协议组中技术上位于这个层的动态路由协议通常被认为是网络层的一部分；一个例子就是OSPF（IP协议89）。TCP（IP协议6）是一个“可靠的”、面向连结的传输机制，它提供一种可靠的字节流保证数据完整、无损并且按顺序到达。TCP尽量连续不断地测试网络的负载并且控制发送数据的速度以避免网络过载。另外，TCP试图将数据按照规定的顺序发送。这是它与UDP不同之处，这在实时数据流或者路由高网络层丢失率应用的时候可能成为一个缺陷。较新的SCTP也是一个“可靠的”、面向连结的传输机制。它是面向纪录而不是面向字节的，它在一个单独的连结上提供了通过多路复用提供的多个子流。它也提供了多路自寻址支持，其中连结终端能够被多个IP地址表示（代表多个实体接口），这样即使其中一个连接失败了也不中断。它最初是为电话应用开发的（在IP上传输SS7），但是也可以用于其他的应用。UDP（IP协议号17）是一个无连结的数据报协议。它是一个“best effort”或者“不可靠”协议——不是因为它特别不可靠，而是因为它不检查数据包是否已经到达目的地，并且不保证它们按顺序到达。如果一个应用程序需要这些特点，它必须自己提供或者使用TCP。UDP的典型性应用是如流媒体（音频和视频等）这样按时到达比可靠性更重要的应用，或者如DNS查找这样的简单查询/响应应用，如果建立可靠的连结所作的额外工作将是不成比例地大。DCCP当前正由IEFT开发。它提供TCP流动控制语义，但对于用户来说保留了UDP的数据报服务模型。TCP和UDP都用来支持一些高层的应用。任何给定网络地址的应用通过它们的TCP或者UDP端口号区分。根据惯例使一些大众所知的端口与特定的应用相联系。RTP是为如音频和视频流这样的实时数据设计的数据报协议。RTP是使用UDP包格式作为基础的会话层，然而据说它位于因特网协议栈的传输层。 [编辑]网络互连层正如最初所定义的，网络层解决在一个单一网络上传输数据包的问题。类似的协议有X.25和ARPANET的Host/IMP Protocol。随着因特网思想的出现，在这个层上添加了附加的功能，也就是将数据从源网络传输到目的网络。这就牵涉到在网络组成的网上选择路径将数据包传输，也就是因特网。在因特网协议组中，IP完成数据从源发送到目的的基本任务。IP能够承载多种不同的高层协议的数据；这些协议使用一个唯一的IP协议号进行标识。ICMP和IGMP分别是1和2。一些IP承载的协议，如ICMP（用来发送关于IP发送的诊断信息）和IGMP（用来管理多播数据），它们位于IP层之上但是完成网络层的功能，这表明了因特网和OSI模型之间的不兼容性。所有的路由协议，如BGP、OSPF、和RIP实际上也是网络层的一部分，尽管它们似乎应该属于更高的协议栈。[编辑]网络接口层网络接口层实际上并不是因特网协议组中的一部分，但是它是数据包从一个设备的网络层传输到另外一个设备的网络层的方法。这个过程能够在网卡的软件驱动程序中控制，也可以在韧体或者专用芯片中控制。这将完成如添加报头准备发送、通过实体媒介实际发送这样一些数据链路功能。另一端，链路层将完成数据帧接收、去除报头并且将接收到的包传到网络层。然而，链路层并不经常这样简单。它也可能是一个虚拟专有网络（VPN）或者隧道，在这里从网络层来的包使用隧道协议和其他（或者同样的）协议组发送而不是发送到实体的接口上。VPN和隧道通常预先建好，并且它们有一些直接发送到实体接口所没有的特殊特点（例如，它可以加密经过它的数据）。由于链路“层”是一个完整的网络，这种协议组的递归使用可能引起混淆。但是它是一个实现常见复杂功能的一个优秀方法。（尽管需要注意预防一个已经封装并且经隧道发送下去的数据包进行再次地封装和发送）。

IGMP（互联网组管理协议）是一种互联网协议，提供这样一种方法， 使得互联网上的主机向临近路由器报告它的广播组成员。广播使得互联网上的一个主机向网上确认对于源主机发送内容感兴趣的计算机发送信息。IGMP(Internet Group Message Protocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host,windows系列采用了这个协议,因为此响技术尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚至鼠标,键盘均不管用.非得重起不可.因为此协议是ipx/spx里的,因此只能炸局域网,如有ipx路右可炸得远点.IGMP的本义是为了使路由器觉察到本地主机组的存在而使用的一个协议,因此一般只有路由发的igmp包是可以接受的.IGMP的工作过程如下:一. 当主机加入一个新的工作组时,它发送一个igmp host membership report的抱文给全部主机组,宣布此成员关系.本地多点广播路由器接受到这个报文后,向Internet上的其他多路广播路由器传播这个关系信息,建立必要的路由.与此同时,在主机的网络接口上将ip主机组地址映射为mac地址,并重新设置地址过滤器.二. 为了处理动态的成员关系,本地多路广播路由器周期性的轮询本地网络上的主机,以便确定在各个主机组有哪些主机,这个轮询过程是通过发送igmp host membership query报文来实现的,这个报文发送给全部主机组,且报文的ttl域设为1,以确保报文不会传送到lan以外.受到报文的主机组成员会发送响应报文.如果所有的主机组成员同时响应的话,就可能造成网络阻塞.IGMP协议采用了随机延时的方法来避免这个情况.这样就保证了在同一时刻每个主机组中只有一个成员在发送响应报文.★IGMP(Internet Group Message Protocol)是一个尚处于实验阶段的协议,提供Internet网际多点传送的功能,即将一个IP包的拷贝传给多个host.Windows98和windows2000都采用了这个不太成熟的协议,在这两个平台内,这个多点传送的协议的应用容易引起Tcp/IP堆栈的阻塞,从而引发了一个目前没有补丁的新攻击.这种攻击能使对方的机器蓝屏甚至是重启，但我个人认为实际意义不大。IGMP其工作原理引用goodwell的原句如下：Windows 95, 98 and Windows 2000's TCP/IP stacks were not built to tolerate malformed IGMP (Internet Group Management Protocol) headers. When one is received, the stack will fail with unpredictable results ranging from a Blue Screen to instantaneous rebootWIN95，WIN98的NMPI协议有个BUG，可以炸死机（炸后毫无反映，鼠标键盘都不管用）。因为此协议是IPX/SPX协议里面的，所以只能炸内部网的，如果有IPX路由可能可以炸得远点。如果没有安装IPX/SPX协议或者没有IPX/SPX协议绑定MICROSOFT客户可能不能炸。此BUG与原来的一些BUG很不一样，不是包中哪个字段非法，造成非法访问或者溢出破坏系统，是因为此协议的回复包与此协议包没多少区别造成（没有字段指明是这种包还是回复包，其他的协议一般都有字段指明），此死机包关键就是伪造机器名和网卡地址MAC2，造成受攻击机器收到包后的回复包又是受攻击机器本身，而回复包因为包没有字段表明是回复包，所以查到机器名是自己（此协议就是以机器名识别是不是该接收）又回复包，所以就造成发包的死循环，而这处理是在VXD中就是系统内核中，所以不能切换任务处理键盘鼠标等，也就是死机毫无反应了。参考资料：http://www.ask321.com/ask15/ask194106.htm
IGMP（互联网组管理协议）是一种互联网协议，提供这样一种方法， 使得互联网上的主机向临近路由器报告它的广播组成员。广播使得互联网上的一个主机向网上确认对于源主机发送内容感兴趣的计算机发送信息。IGMP(Internet Group Message Protocol):Internet组管理协议,提供internet网际多点传送的功能,即将一个ip包拷贝给多个host,windows系列采用了这个协议,因为此响技术尚不成熟,因此被一些人用来攻击windows系统,尤其是对win98,因为对win95有oob攻击.受到IGMP攻击的症状是首先出现蓝屏,然后网速变得极慢,有的甚至鼠标,键盘均不管用.非得重起不可.因为此协议是ipx/spx里的,因此只能炸局域网,如有ipx路右可炸得远点.IGMP的本义是为了使路由器觉察到本地主机组的存在而使用的一个协议,因此一般只有路由发的igmp包是可以接受的.IGMP的工作过程如下:一. 当主机加入一个新的工作组时,它发送一个igmp host membership report的抱文给全部主机组,宣布此成员关系.本地多点广播路由器接受到这个报文后,向Internet上的其他多路广播路由器传播这个关系信息,建立必要的路由.与此同时,在主机的网络接口上将ip主机组地址映射为mac地址,并重新设置地址过滤器.二. 为了处理动态的成员关系,本地多路广播路由器周期性的轮询本地网络上的主机,以便确定在各个主机组有哪些主机,这个轮询过程是通过发送igmp host membership query报文来实现的,这个报文发送给全部主机组,且报文的ttl域设为1,以确保报文不会传送到lan以外.受到报文的主机组成员会发送响应报文.如果所有的主机组成员同时响应的话,就可能造成网络阻塞.IGMP协议采用了随机延时的方法来避免这个情况.这样就保证了在同一时刻每个主机组中只有一个成员在发送响应报文.★IGMP(Internet Group Message Protocol)是一个尚处于实验阶段的协议,提供Internet网际多点传送的功能,即将一个IP包的拷贝传给多个host.Windows98和windows2000都采用了这个不太成熟的协议,在这两个平台内,这个多点传送的协议的应用容易引起Tcp/IP堆栈的阻塞,从而引发了一个目前没有补丁的新攻击.这种攻击能使对方的机器蓝屏甚至是重启，但我个人认为实际意义不大。IGMP其工作原理引用goodwell的原句如下：Windows 95, 98 and Windows 2000's TCP/IP stacks were not built to tolerate malformed IGMP (Internet Group Management Protocol) headers. When one is received, the stack will fail with unpredictable results ranging from a Blue Screen to instantaneous rebootWIN95，WIN98的NMPI协议有个BUG，可以炸死机（炸后毫无反映，鼠标键盘都不管用）。因为此协议是IPX/SPX协议里面的，所以只能炸内部网的，如果有IPX路由可能可以炸得远点。如果没有安装IPX/SPX协议或者没有IPX/SPX协议绑定MICROSOFT客户可能不能炸。此BUG与原来的一些BUG很不一样，不是包中哪个字段非法，造成非法访问或者溢出破坏系统，是因为此协议的回复包与此协议包没多少区别造成（没有字段指明是这种包还是回复包，其他的协议一般都有字段指明），此死机包关键就是伪造机器名和网卡地址MAC2，造成受攻击机器收到包后的回复包又是受攻击机器本身，而回复包因为包没有字段表明是回复包，所以查到机器名是自己（此协议就是以机器名识别是不是该接收）又回复包，所以就造成发包的死循环，而这处理是在VXD中就是系统内核中，所以不能切换任 务处理键盘鼠标等，也就是死机毫无反应了。

何谓IGMP呢？IGMP（互联网组管理协议）是一种互联网协议，提供这样一种方法， 使得互联网上的主机向临近路由器报告它的广播组成员。IGMP包只能攻击win98,（网上又很多软件可以提供IGMP包攻击）使用方法：1、在IP地址输入你要攻击电脑的IP地址（如果你是在局域网内，且又不是终端的，对方和一样，那么就没法攻击了！）2、在包的数量上选个大一点的数字（小了就不起作用了，大一点的话，呵呵！：P对方直接重启了！）IGMP的工作过程如下:一. 当主机加入一个新的工作组时,它发送一个IGMP host membership report的抱文给全部主机组,宣布此成员关系.本地多点广播路由器接受到这个报文后,向Internet上的其他多路广播路由器传播这个关系信息,建立必要的路由.与此同时,在主机的网络接口上将ip主机组地址映射为mac地址,并重新设置地址过滤器.二. 为了处理动态的成员关系,本地多路广播路由器周期性的轮询本地网络上的主机,以便确定在各个主机组有哪些主机,这个轮询过程是通过发送igmp host membership query报文来实现的,这个报文发送给全部主机组,且报文的ttl域设为1,以确保报文不会传送到lan以外.受到报文的主机组成员会发送响应报文.如果所有的主机组成员同时响应的话,就可能造成网络阻塞.IGMP协议采用了随机延时的方法来避免这个情况.这样就保证了在同一时刻每个主机组中只有一个成员在发送响应报文. ★IGMP(Internet Group Message Protocol)是一个尚处于实验阶段的协议,提供Internet网际多点传送的功能,即将一个IP包的拷贝传给多个host.Windows98和windows2000都采用了这个不太成熟的协议,在这两个平台内,这个多点传送的协议的应用容易引起Tcp/IP堆栈的阻塞,从而引发了一个目前没有补丁的新攻击.这种攻击能使对方的机器蓝屏甚至是重启，但我个人认为实际意义不大。

防火墙提示系统被攻击 常见的个人防火墙程序所谓的“攻击”并不一定是真正的网络攻击，很多防火墙程序会将网络广播等最常见的网络访问当作攻击来提示我们并记录下来（局域网内此类的提示尤其多）。另外的“攻击”则可能是有人在扫描你计算机的端口，或者是其他人中了病毒，病毒在利用染毒的计算机扫描网络上的其他电脑。一般这种情况，只要你定期更新了系统补丁，这些所谓的“攻击”一般是不会造成任何威胁的。个人认为防火墙程序的这种提示也是一种变相的“广告”而已－－你看我多么地有用啊，功能多强大！网络上有这么多的攻击，我都替你拦截了，用我是没有错的！－－要真有了攻击，它告诉你没有拦截住，你还会用它吗？现在天网流行了。一是因为国产，大家有这个热情，二则功用确实不错。三是大家安全意识高了一些。但有的人天网一开，就觉得百毒不侵了，想法极端。有人开了天网往往黄色的惊叹号闪个不停。一个兄弟电脑重新启动了几次，以为是黑客攻击，就担心的叫我去看，说被攻击了。其实不是什么事，正常的防火墙拦截信息而已。可能有很多兄弟也都会对这有疑问的。我仅以我所知解释一些疑问。希望对大家有用。天网的日志一般有三行：第一行：数据包发送（接受）时间/发送者IP地址/对方通讯端口/数据包类型/本机通讯端口第二行：为TCP数据包的标志位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，天网在显示标志位时取这六个标志位的第一个字母即A代表ASK、S代表SYN等 ，其中标志位A、S和F较常用。ACK：确认标志 提示远端系统已经成功接收所有数据SYN：同步标志 该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号FIN：结束标志 带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。RST：复位标志，具体作用未知。第三行：对数据包的处理方法：不符合规则的数据包会拦截或拒绝，显示为：“该操作被拒绝”，即防火墙拦截了！因此对方不能确定你在线否！【⑴】：最常见的：尝试用ping来探测本机··在防火墙规则里设置“防止别人用PING命令探测主机”，你的电脑就不会返回给对方ICMP包，这样别人就无法用PING命令探测你的电脑的存在。这种情况只是简单的ping命令探测，如：ping 210.29.14.130就会出现如下日志：[11:13:35] 接收到 210.29.14.136 的 ICMP 数据包，类型: 8 ， 代码: 0，该包被拦截。这条日志出现的频率很高。IGMP的全称是internet组管理协议，它是IP协议的扩展，主要用于IP主机向它邻近主机通知组成员身份。通常出现这条日志并不表明电脑受到攻击，不过黑客可以通过编写攻击程序，利用windows本身的BUG，采用特殊格式数据包向目标电脑发动攻击，使被攻击电脑的操作系统蓝屏、死机。蓝屏炸弹一般用的就是IGMP协议。一般形成IGMP攻击时，会在日志中显示为大量来自于同一IP地址的IGMP数据包。不过，有时收到这样的提示信息也并不一定是黑客或病毒在攻击，在局域网中也会常收到来自网关的类似数据包。另外：你的机子安装了许多自动在线升级的软件，如瑞星、KV、WINDOWS自动更新、木马克星、魔法兔子等等软件，当这些软件的提供商即服务器，他要升级这些软件时，他在检查他的客户端发出升级指令，这个检查客户的过程就是PING客户。这点被多好朋友忽视。这是是善意的PING 。··也有另一种PING信息日志：[14:00:24] 210.29.14.130 尝试用Ping来探测本机，该操作被拒绝。这种情况一般是扫描器探测主机，主要目的是探测远程主机是否连网！··如果偶尔一两条没什么，但如果显示有N个来自同一IP地址的记录，很有可能是别人用黑客工具探测你主机信息或者因为病毒了。如：[14:00:24] 210.29.14.45 尝试用Ping来探测本机，该操作被拒绝。[14:01:09] 210.29.14.132 尝试用Ping来探测本机，该操作被拒绝。[14:01:20] 210.29.14.85 尝试用Ping 来探测本机，该操作被拒绝。[14:01:20] 210.29.14.68 尝试用Ping 来探测本机，该操作被拒绝。若不是黑客所为，那这些机器一般是感染了冲击波类病毒。感染了“冲击波杀手”的机器会通过Ping网内其他机器的方式来寻找RPC漏洞，一旦发现，即把病毒传播到这些机器上。感染局域网传染病毒的机器也会自动发送信息，这样的情况就要注意先打冲击波补丁，并且查毒。我中了V-King。但同网的就是不杀毒不理会。我只好每天不和他们同时上网。【⑵】：一些常见端口信息日志··[16:47:24] 60.31.133.146试图连接本机的135端口，TCP标志：S，该操作被拒绝。同上，是利用RPC服务漏洞的冲击波类的蠕虫病毒，该病毒主要攻击手段就是扫描计算机的135端口进行攻击。更新微软的补丁还是必要的。··[20:01:36] 218.8.124.230试图连接本机的NetBios-SSN[139]端口，TCP标志：S，该操作被拒绝。特征：某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁139端口是NetBIOS协议所使用的端口，在安装了TCP/IP 协议的同时，NetBIOS 也会被作为默认设置安装到系统中。139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道你的电脑中的一切!NetBIOS 是网络的输入输出系统，尽管现在TCP/IP 协议成为广泛使用的传输协议，但是NetBIOS提供的NetBEUI 协议在局域网中还在被广泛使用。对于连接到互联网上的机器，NetBIOS完全没有用处，可以将它去掉。不会吗？自己查··[16:47:35] 60.31.135.195试图连接本机的CIFS[445]端口，TCP标志：S，该操作被拒绝。开了445端口，在局域网中轻松访问各种共享文件夹或共享打印机，但正因为有了它，别有用心者才有了可乘之机SMB： Windows协议族，用于文件和打印共享服务。NBT： 使用137(UDP), 138(UDP) and 139 (TCP）来实现基于TCP/IP的NETBIOS网际互联。在NBT上面,有SMB基础报文头部。SMB可以直接运行于TCP之上而无须NBT在Windows NT中SMB基于NBT实现。 而在WinXP中，SMB除了基于NBT的实现，还有直接通过445端口实现。当WinXP（允许NBT)作为client来连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送RST包给 139端口断开连接，以455端口通讯来继续.当445端口无响应时，才使用139端口。135端口是用来提供RPC通信服务的，445和139端口一样，是用来提供文件和打印机共享服务的。正常情况,局域网的机器共享和传输文件 (139端口。连接你的135和445端口的机器本身应该是被动地发数据包，或者也有可能是正常的、非病毒的连接——虽然这个可能性比较小。既然如此，那当然也可能是利用聊的人扫描ip段，这个也是常见的，初学黑客技术都这样，十足的狂扫迷，但往往什么也没得到，这种人应该好好看看TCP/IP协议原理。前面说了，局域网传播病毒会PING局域网机器，那有漏洞的主机当然躲不过端口连接，连接135端口的是冲击波（Worm.Blaster）病毒，尝试用Ping来探测本机也属于此，这种135端口的探测一般是局域网传播，现象为同一个ip不断连接本机135端口，此时远程主机没打冲击波补丁，蠕虫不断扫描同一ip段(这个是我自己的观点，冲击波的广域网和局域网传播方式估计不同吧，欢迎指正！)某一IP连续多次连接本机的NetBios-SSN[139]端口，表现为时间间隔短，连接频繁。此时日志中所列计算机感染了“尼姆达病毒”。感染了“尼姆达病毒”的计算机有一个特点，它们会搜寻局域网内一切可用的共享资源，并会将病毒复制到取得完全控制权限的共享文件夹内，以达到病毒传播之目的。这种人应该同情下，好好杀毒吧！··[12:37:57] 192.168.177.16试图连接本机的试图连接本机的http[80]端口，TCP标志：S，该操作被拒绝。一般上网的用户都有这种情况，网站服务器的回显等等啊，出现一两个这样的报警没关系的。如果你安装了IIS来建立自己的个人网站，开放了WEB服务，即会开放80端口。因此黑客扫描判断你是否开放了WEB服务，寻找相应的漏洞来进行入侵。一般我们所遇到的大都是别人的扫描行为，不需要过于担心了。如果经常收到来自外部IP高端口（大于1024）发起的类似TCP的连接请求，你得小心对方电脑是否中了“红色代码”，并试图攻击你（也有可能是人为使用软件攻击）。由于此病毒只传染装有IIS服务的系统，所以普通用户不需担心。若发现本机试图访问其他主机的80端口，则应检查自己系统中是否有此病毒了。··[9:04:18] 218.2.140.13试图连接本机的FTP Open Server【21】端口，TCP标志：S，该操作被拒绝。这个也分两种，一种是有人想探测你的主机是不是开放了21端口，想看看共享资源；另一种是用扫描器扫ip段的ftp服务端口，一般没什么恶意。21端口是 FTP服务所开放的端口，导致这条记录出现的大部分原因是一些网虫在使用ftp搜索软件看哪些电脑开放了FTP，以寻求软件、电影的下载。··[23:08:34] 221.208.47.102试图连接本机的Wingate[1080]端口，TCP标志：S，该操作被拒绝。这个是有人扫描ip段中的代理服务器，一般代理服务器默认端口常见的如Wingate[1080]，ccproxy[808,1080]等等，也没什么关系。··[18:58:37] 10.186.210.96试图连接本机的Blazer 5[5000]端口，TCP标志：S，该操作被拒绝。系统因素：Blazer 5[5000]端口是winxp的服务器端口，WindowsXP默认启动的 UPNP服务，没有病毒木马也是打开的，大家看到的报警一般属于这种情况，因为本地或远程主机的5000端口服务异常，导致不断连接5000端口。木马因素：有些木马也开放此端口，如木马blazer5开放5000端口，木马Sockets de roie开放5000、5001、5321端口等！··[19:55:55] 接收到 218.18.95.163 的 UDP 数据包,本机端口: 1214 ，对方端口: OICQ Server[8000]该包被拦截。[19:55:56] 接收到 202.104.129.254 的 UDP 数据包，本机端口: 4001 ，对方端口: OICQ Server[8000]该包被拦截。腾讯QQ服务器端开放的就是8000端口.一般是qq服务器的问题，因为接受不到本地的客户响应包，而请求不断连接，还有一种可能就是主机通过qq服务器转发消息，但服务器发给对方的请求没到达，就不断连接响应了(TCP连续三次握手出错了，我是这么认为的，我研究不深，具体没找到权威资料，可能说的不对，欢迎指正)··[7:49:36] 接收到 64.74.133.9 的 UDP 数据包，本机端口: 33438 ，对方端口: 10903该包被拦截。这种情况一般是游戏开放的服务端口，一般范围在27910~~27961,因此来自这一端口范围的UDP包或发送到这一端口范围的UDP包通常是游戏。爱好游戏的朋友会收到类似的端口连接。比如启动CS后创建了两个端口44405和55557。奇迹服务器好象是55960和55962端口。··[18:34:16] 接收到 210.29.14.86 的 UDP 数据包，本机端口: 6884 ，对方端口: 6881该包被拦截。这个是BT服务端口(6881~~6889)，每个bt线程占用一个端口，据说只能开9个，但有时候防火墙报警，原因是防火墙过滤了这些端口。开放这些端口或关闭防火墙才能用BT。多说几句，何大哥有时候喜欢整几个限制下载的软件，因此楼上的不能用BT，因为他的电脑做主机限制了这些端口，不能使其BT端口全部打开。解决方法：端口映射，换默认端口！一般高端端口没有什么好担心的，这是有人在用扫IP的软件在扫IP地址而正好扫到你的IP地址段,此类软件对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。所以天网防火会报警,而且会拦截对方的IP，如果实在太烦，你可以把你的那个端口关掉。【⑶】：日志记录的攻击性记录常见的有洪水攻击SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击。··SYN Flood洪水攻击：[11:13:55] 接收到210.29.14.130的SYN Flood攻击，该操作被拒绝。··IGMP数据包攻击：[23:11:48] 接收到210.29.14.130的IGMP数据包该包被拦截[23:11:48] 接收到210.29.14.130的IGMP数据包该包被拦截这是日志中最常见最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有 Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。碰到这种情况可以分两种：一种是你得罪他了，和你有仇；另一种就是攻击者吃饱了撑的或是一个破坏狂，这种人一般就一个人住，做点坏事也没别人知道的。品格有点小恙，遇到了，多注意点吧。【⑷】真正想入侵的日志这样的，应该注意：··[11:13:55] 219.130.135.151试图连接本机的3389端口，TCP标志：S，该操作被拒绝。这种应该引起重视，3389这么恐怖的事情都来，菜鸟的最爱。··[11:13:55] 210.29.14.130试图连接本机的1433端口，TCP标志：S，该操作被拒绝。远程溢出，溢出的SYSTEM32就可以做CMD在你电脑上起作用，你整个电脑就在对方控制中了。··[11:13:55] 210.29.14.130试图连接本机的23端口，TCP标志：S，该操作被拒绝。··[11:13:55] 210.29.14.130试图连接本机的4899端口，TCP标志：S，该操作被拒绝。以上两个不知道自己去网上查。··[5:49:55] 61.114.78.110 试图连接本机的7626端口TCP标志：S该操作被拒绝冰河木马的端口，黑客迷们的最爱··[11:13:55] 210.29.14.130试图连接本机6267端口，TCP标志：S，该操作被拒绝。广外女生木马的默认端口，很经典的一个国产木马··[11:13:55] 210.29.14.130试图连接本机5328端口，TCP标志：S，该操作被拒绝。风雪木马的默认端口这几条记录就要注意一下，假如你没有中木马，也就没有打7626这几个端口，当然没什么事。而木马如果已植入你的机子，你已中了木马，木马程序自动打开这几个端口，迎接远方黑客的到来并控制你的机子。但你装了防火墙以后，一般即使你中了木马，该操作也会被禁止，黑客拿你也没办法。但这是常见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得靠你的经验和资料来分析该端口的是和哪种木马相关联，从而判断对方的企图，并采取相应措施，封了那个端口。另外还有一些：··[6:14:20] 192.168.0.110 的【1294】端口停止对本机发送数据包TCP标志：F A继续下一规则[6:14:20] 本机应答192.168.0.110的【1294】端口TCP标志：A继续下一规则从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明此条数据的传输是符合规则的。为何有此记录，那是你在天网防火墙规则中选了“TCP数据包监视”，这样通过TCP传输的数据包都会被记录下来，所以大家没必要以为有新的记录就是人家在攻击你，上面的日志是正常的，别怕！UDP监视查找IP可以利用这个道理。··补充一个非天网相关的问题，也是楼上田大哥提出来的：关机时出现提示“有1用户已登入到你的计算机，\***,是否切断与他的联系”一、你中了木马，当木马的服务器（黑客）发出指令PING所有客户端，如果你的防火墙好就被拦截了，出现“[16:39:29] 218.74.？.？ 尝试用Ping 来探测本机，该操作被拒绝”的情况，没有防火墙，只有杀毒软件，就被入侵了，关机时出现“有1用户已登入到你的计算机\***,是否切断与他的联系”的情况。关于如何防范，不想长篇大论了！网上资料也很多的。写这些东西也不是为菜鸟解颐，因为想学习的人是不会等着别人的总结的。个人能力有限啊，遗漏之处以后再整理添加。QQ：191395024 E-MAIL：hundan5ji@163.com天网使用教程：http://www.goldwing-c.com/soft/day-meshwork/day-network/4.htm ，愿意且有空可以看看，其实自己多摸索就足够了。动手比看教程好。
这里有位高手说得好清楚了,你去看看吧,我就不废话了. http://zhidao.baidu.com/question/11248757.html?si=2