tcp句柄是什么(窗口句柄是什么意思)

Socket协议的形象描述 socket的英文原义是“孔”或“插座”。在这里作为4BDS UNIX的进程通信机制，取后一种意义。socket非常类似于电话插座。以一个国家级电话网为例。电话的通话双方相当于相互通信的2个进程，区号是它的网络地址；区内一个单位的交换机相当于一台主机，主机分配给每个用户的局内号码相当于socket号。任何用户在通话之前，首先要占有一部电话机，相当于申请一个socket；同时要知道对方的号码，相当于对方有一个固定的socket。然后向对方拨号呼叫，相当于发出连接请求(假如对方不在同一区内，还要拨对方区号，相当于给出网络地址)。对方假如在场并空闲(相当于通信的另一主机开机且可以接受连接请求)，拿起电话话筒，双方就可以正式通话，相当于连接成功。双方通话的过程，是一方向电话机发出信号和对方从电话机接收信号的过程，相当于向socket发送数据和从socket接收数据。通话结束后，一方挂起电话机相当于关闭socket，撤消连接。在电话系统中，一般用户只能感受到本地电话机和对方电话号码的存在，建立通话的过程，话音传输的过程以及整个电话系统的技术细节对他都是透明的，这也与socket机制非常相似。socket利用网间网通信设施实现进程通信，但它对通信设施的细节毫不关心，只要通信设施能提供足够的通信能力，它就满足了。至此，我们对socket进行了直观的描述。抽象出来，socket实质上提供了进程通信的端点。进程通信之前，双方首先必须各自创建一个端点，否则是没有办法建立联系并相互通信的。正如打电话之前，双方必须各自拥有一台电话机一样。在网间网内部，每一个socket用一个半相关描述:(协议，本地地址，本地端口)一个完整的socket有一个本地唯一的socket号，由操作系统分配。最重要的是，socket 是面向客户/服务器模型而设计的，针对客户和服务器程序提供不同的socket 系统调用。客户随机申请一个socket (相当于一个想打电话的人可以在任何一台入网电话上拨号呼叫)，系统为之分配一个socket号；服务器拥有全局公认的 socket ，任何客户都可以向它发出连接请求和信息请求(相当于一个被呼叫的电话拥有一个呼叫方知道的电话号码)。socket利用客户/服务器模式巧妙地解决了进程之间建立通信连接的问题。服务器socket 半相关为全局所公认非常重要。读者不妨考虑一下，两个完全随机的用户进程之间如何建立通信？假如通信双方没有任何一方的socket 固定，就好比打电话的双方彼此不知道对方的电话号码，要通话是不可能的。-----Socket 接口是访问 Internet 使用得最广泛的方法。 如果你有一台刚配好TCP/IP协议的主机，其IP地址是202.120.127.201， 此时在另一台主机或同一台主机上执行ftp 202.120.127.201，显然无法建立连接。因"202.120.127.201" 这台主机没有运行FTP服务软件。同样， 在另一台或同一台主机上运行浏览软件 如Netscape，输入"http://202.120.127.201"，也无法建立连接。现在，如果在这台主机上运行一个FTP服务软件（该软件将打开一个Socket， 并将其绑定到21端口），再在这台主机上运行一个Web 服务软件（该软件将打开另一个Socket，并将其绑定到80端口）。这样，在另一台主机或同一台主机上执行ftp 202.120.127.201，FTP客户软件将通过21端口来呼叫主机上由FTP 服务软件提供的Socket，与其建立连接并对话。而在netscape中输入"http://202.120.127.201"时，将通过80端口来呼叫主机上由Web服务软件提供的Socket，与其建 立连接并对话。在Internet上有很多这样的主机，这些主机一般运行了多个服务软件，同时提供几种服务。每种服务都打开一个Socket，并绑定到一个端口上，不同的端口对应于不同的服务。Socket正如其英文原意那样，象一个多孔插座。一台主机犹如布满各种插座的房间，每个插座有一个编号，有的插座提供220伏交流电， 有的提供110伏交流电，有的则提供有线电视节目。 客户软件将插头插到不同编号的插座，就可以得到不同的服务。-----1.什么是socket 所谓socket通常也称作"套接字"，用于描述IP地址和端口，是一个通信链的句柄。应用程序通常通过"套接字"向网络发出请求或者应答网络请求。 以J2SDK-1.3为例，Socket和ServerSocket类库位于java.net包中。ServerSocket用于服务器端，Socket是建立网络连接时使用的。在连接成功时，应用程序两端都会产生一个Socket实例，操作这个实例，完成所需的会话。对于一个网络连接来说，套接字是平等的，并没有差别，不因为在服务器端或在客户端而产生不同级别。不管是Socket还是ServerSocket它们的工作都是通过SocketImpl类及其子类完成的。重要的Socket API：java.net.Socket继承于java.lang.Object，有八个构造器，其方法并不多，下面介绍使用最频繁的三个方法，其它方法大家可以见JDK-1.3文档。Accept方法用于产生"阻塞"，直到接受到一个连接，并且返回一个客户端的Socket对象实例。"阻塞"是一个术语，它使程序运行暂时"停留"在这个地方，直到一个会话产生，然后程序继续；通常"阻塞"是由循环产生的。getInputStream方法获得网络连接输入，同时返回一个IutputStream对象实例。getOutputStream方法连接的另一端将得到输入，同时返回一个OutputStream对象实例。 注意：其中getInputStream和getOutputStream方法均会产生一个IOException，它必须被捕获，因为它们返回的流对象，通常都会被另一个流对象使用。2.如何开发一个Server-Client模型的程序 开发原理：服务器，使用ServerSocket监听指定的端口，端口可以随意指定（由于1024以下的端口通常属于保留端口，在一些操作系统中不可以随意使用，所以建议使用大于1024的端口），等待客户连接请求，客户连接后，会话产生；在完成会话后，关闭连接。客户端，使用Socket对网络上某一个服务器的某一个端口发出连接请求，一旦连接成功，打开会话；会话完成后，关闭Socket。客户端不需要指定打开的端口，通常临时的、动态的分配一个1024以上的端口。Socket接口是TCP/IP网络的API，Socket接口定义了许多函数或例程，程序员可以用它们来开发TCP/IP网络上的应用程序。要学Internet上的TCP/IP网络编程，必须理解Socket接口。 Socket接口设计者最先是将接口放在Unix操作系统里面的。如果了解Unix系统的输入和输出的话，就很容易了解Socket了。网络的Socket数据传输是一种特殊的I/O，Socket也是一种文件描述符。Socket也具有一个类似于打开文件的函数调用Socket()，该函数返回一个整型的Socket描述符，随后的连接建立、数据传输等操作都是通过该Socket实现的。 常用的Socket类型有两种：流式Socket（SOCK_STREAM）和数据报式Socket（SOCK_DGRAM）。流式是一种面向连接的Socket，针对于面向连接的TCP服务应用；数据报式Socket是一种无连接的Socket，对应于无连接的UDP服务应用。 Socket建立为了建立Socket，程序可以调用Socket函数，该函数返回一个类似于文件描述符的句柄。socket函数原型为：int socket(int domain, int type, int protocol);domain指明所使用的协议族，通常为PF_INET，表示互联网协议族（TCP/IP协议族）；type参数指定socket的类型：SOCK_STREAM 或SOCK_DGRAM，Socket接口还定义了原始Socket（SOCK_RAW），允许程序使用低层协议；protocol通常赋值"0"。Socket()调用返回一个整型socket描述符，你可以在后面的调用使用它。 Socket描述符是一个指向内部数据结构的指针，它指向描述符表入口。调用Socket函数时，socket执行体将建立一个Socket，实际上"建立一个Socket"意味着为一个Socket数据结构分配存储空间。 Socket执行体为你管理描述符表。两个网络程序之间的一个网络连接包括五种信息：通信协议、本地协议地址、本地主机端口、远端主机地址和远端协议端口。Socket数据结构中包含这五种信息。 socket在测量软件中的使用也很广泛
socket通常也称作"套接字"，用于描述IP地址和端口，是一个通信链的句柄。
托座.承口.接口
1.n. 窝, 穴, 孔, 插座, 牙糟2.v. 给...配插座
插座,插口

下面列举几种利用TCP/IP簇安全设计缺陷的攻击： （1）网络窥探（Network Snooping）利用数据在TCP/IP协议中的明文传输缺陷进 行在线侦听和业务流分析。攻击者可通过某些监控软件或网络分析仪等进行窃听。（2）IP源地址欺骗（IP Source Address Spoofing）利用IP地址易于更改和伪造的缺陷，进行IP地址假冒和欺骗。（3）路由攻击（Routing Attacks）1) IP源路由攻击：利用IP报头中的源路由选项强制性地将IP包 按指定路径传递到希望的目标。2) 路由消息协议攻击（RIP Attacks）：攻击者利用RIP协议无认证机制的缺陷，在网络上发布假的路由信息。3) 攻击路由器系统：利用路由器自身保护不严，攻击者进入路由器修改其配置或使之崩溃。（4）IP隧道攻击（IP Tunneling Attacks）利用IP隧道技术实施特洛伊木马攻击。（5）网际控制报文协议攻击（ICMP Attacks）1) ICMP重定向消息攻击（破坏路由机制和提高侦听业务流能力）。2) ICMP回应请求/应答消息（echo request/reply message）攻击（实现拒绝服务）。3) ICMP目的不可达消息攻击。4) PING命令攻击。（6）IP层拒绝服务型攻击（IP Denial of Service Attacks）利用IP 广播发送伪造的ICMP回应请求包，导致向某一受害主机发回大量ICMP应答包，造成网络拥塞或崩溃。（如"Smurf"攻击）。（7）IP栈攻击（IP Stack Attacks）利用多数操作系统不能处理相同源、宿IP地址类型IP包的缺陷，将伪造的此种类型的IP包大量发往某一目标主机，导致目标主机将其TCP/IP协议栈锁死甚至系统崩溃。（8）IP地址鉴别攻击（Authentication Attacks）利用TCP/IP协议只能识别IP地址的缺陷，攻击者通过窃取口令从该节点上非法登录服务器。（9）TCP SYN Flooding攻击。向攻击目标发送大量不可达的TCP SYN连接请求包，以淹没目标服务器，使正常连接的"三次握手"永远不能完成（拒绝服务攻击）。 （10）TCP序列号攻击。利用对TCP连接初始序列号的猜测、冒充可信任主机进行欺骗连接（也可造成拒绝服务）攻击。
防火墙的一些情况,如果自己的进程开一个端口(甚至是新建套接字)肯定被拦. 相反,有一点我们也很清楚:被_blank">;防火墙验证的进程在传送数据时永远不会被拦.所以,我的思路很简单:将其他进程中允许数据传输的套接字句柄拿为已用.过程如下:1. 找出目标进程2. 找出SOCKET句柄2. 用DuplicateHandle()函数将其SOCKET转换为能被自己使用.3. 用转换后的SOCKET进行数据传输上面的过程写的很简单,但是实际实现起来还是存在一些问题(后面再做讨论).而且从上面的实现方法也可以看出一些不爽的地方:在目标进程的SOCKET不能是TCP,因为TCP的句柄已经跟外面建立了连接,所以只能是UDP.针对不同系统不同进程我们很难定位一个稳定的进程SOCKET.看到上面这些,你有点丧气了对不对,哈哈. 再想一想,其实我们有一条真正的通罗马的"黄金大道".我们知道只要一台计算机连上了网络,那么有一种数据传输是肯定不会被拦截的,那就是DNS.你能想像域名解析数据都被拦了造成的结果吗?TCP Reset Spoofing（TCP复位欺骗）因为TCP协议在TCP/IP环境中是通信层协议，它提供核心数码流认证和路由，支持着互联网和绝大部分专有网络。TCP的功能之一就是管理包重组，这些包可以通过很多不同的物理路由，所以通常不会保持原先的顺序。 TCP创建了识别号码，它会告诉接受者如何去把收到的信息包按照正确的顺序组合起来。作为一个安全功能，如果一个信息包的识别码不是属于某一个特定的范围，就会被认为是不属于某个特定的数据流而被拒收。问题就出现了：因为RFC793允许当前的TCP通信根据收到的RST或者SYN（synchronize）而中断。TCP根据识别码来判断RST或者SYN的真实性。新的信息显示预先想好这个识别码远没有去猜容易，同源IP地址和目的IP地址结合起来，就能够引发TCP通信的不正常中断。
这是我多年来从事网络的理解 由于TCP/IP协议固有的开放性和互联性,这种安全隐患是肯定存在的.由于局域网内部是一个相对开放的环境和TCP/IP协议内在的开放特征,内部网络上传输的数据很容易被截获并被分析或跟踪，前段时间就有文章说400MS攻破QQ密码的！你都学过TCP/IP，也应该网络广播这回事，因为你发一个请求，所有局域网内的电脑都能收到，只是会判断信息中的地址是不是自己的地址，接不接收！不接收的话就丢弃~ 所以，水平高的黑客可以通过任何一台机器来窃取局域网内想要的东西~包括密码
由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集，是黑客实施网络攻击的重点目标。TCP-／IP协议组是目前使用最广泛的网络互连协议。但TCP／IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下，首先考虑网络互连缺乏对安全方面的考虑；这种基于地址的协议本身就会泄露口令，而且经常会运行一些无关的程序，这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。网络的开放性，TCP/IP协议完全公开，远程访问使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等等性质使网络更加不安全。
利用TCP/IP簇安全设计缺陷的攻击： （1）网络窥探（Network Snooping）利用数据在TCP/IP协议中的明文传输缺陷进 行在线侦听和业务流分析。攻击者可通过某些监控软件或网络分析仪等进行窃听。（2）IP源地址欺骗（IP Source Address Spoofing）利用IP地址易于更改和伪造的缺陷，进行IP地址假冒和欺骗。（3）路由攻击（Routing Attacks）1) IP源路由攻击：利用IP报头中的IP层拒绝服务型攻击（IP Denial of Service Attacks）利用IP 广播发送伪造的ICMP回应请求包，导致向某一受害主机发回大量ICMP应答包，造成网络拥塞或崩溃。（如"Smurf"攻击）。（7）IP栈攻击（IP Stack Attacks）利用多数操作系统不能处理相同源、宿IP地址类型IP包的缺陷，将伪造的此种类型的IP包大量发往某一目标主机，导致目标主机将其TCP/IP协议栈锁死甚至系统崩溃。（8）IP地址鉴别攻击（Authentication Attacks）利用TCP/IP协议只能识别IP地址的缺陷，攻击者通过窃取口令从该节点上非法登录服务器。（9）TCP SYN Flooding攻击。向攻击目标发送大量不可达的TCP SYN连接请求包，以淹没目标服务器，使正常连接的"三次握手"永远不能完成（拒绝服务攻击）。（10）TCP序列号攻击。利用对TCP连接初始序列号的猜测、冒充可信任主机进行欺骗连接（也可造成拒绝服务）攻击。源路由选项强制性地将IP包 按指定路径传递到希望的目标。2) 路由消息协议攻击（RIP Attacks）：攻击者利用RIP协议无认证机制的缺陷，在网络上发布假的路由信息。3) 攻击路由器系统：利用路由器自身保护不严，攻击者进入路由器修改其配置或使之崩溃。（4）IP隧道攻击（IP Tunneling Attacks）利用IP隧道技术实施特洛伊木马攻击。 （5）网际控制报文协议攻击（ICMP Attacks）

穿透防火墙的数据传输方法 通常，在我们为目标主机安放好了后门需要将数据传输出去时，主机上的防火墙都会让我们遇到一些不大不小的麻烦。如果为我们自己的进程开一个端口（甚至是新建套接字），那么大部分的防火墙都会将其拦截。有什么方法能“穿透”这些防火墙呢？下面我为您介绍一种“洞穿”防火墙小规模传输重要数据的方法。不过，不推荐您在其它情况下使用该方法。其实我的思路很简单，既然防火墙会拦截未验证进程而放行已验证进程的数据传输，那我们就将其它进程中允许数据传输的套接字句柄拿为已用。具体过程如下：1、找出目标进程；2、找出SOCKET句柄；2、用DuplicateHandle()函数将其SOCKET转换为能被自己使用；3、用转换后的SOCKET进行数据传输。上面的过程写的很简单，但是实现起来还存在一些问题（后面再做讨论）。另外，从上面的实现方法中也可以看到一些很难控制的地方，比如在目标进程的SOCKET不能是TCP，只能是UDP，因为TCP的句柄已经跟外面建立了连接。同时，针对不同系统不同进程我们也很难定位一个稳定的进程SOCKET。看到这么多“麻烦”，你有点泄气了对不对？不要着急，再想一想，其实我们有一条真正通向罗马的“黄金大道”。我们都知道只要一台计算机联上了网络，那么有一种数据传输是肯定不会被拦截的，不错，就是DNS！你能想像域名解析数据都被拦截所造成的后果吗？既然DNS是不会被拦的，而且它又是UDP传输，我们就从它“开刀”。本文为您提供了一个通过直接控制DNS进程（其实也就是svchost.exe，不过对应用户名是NETWORK SERVICE）进行数据传输的例子。 查看详细源代码RIPT>。
使劲的跳，应该可以跳过去，如果有杆子，还可以撑杆跳。

什么是TCP/IP协议，划为几层，各有什么功能？ TCP/IP协议族包含了很多功能各异的子协议。为此我们也利用上文所述的分层的方式来剖析它的结构。TCP/IP层次模型共分为四层：应用层、传输层、网络层、数据链路层。TCP/IP网络协议TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/网间网协议)是目前世界上应用最为广泛的协议，它的流行与Internet的迅猛发展密切相关—TCP/IP最初是为互联网的原型ARPANET所设计的，目的是提供一整套方便实用、能应用于多种网络上的协议，事实证明TCP/IP做到了这一点，它使网络互联变得容易起来，并且使越来越多的网络加入其中，成为Internet的事实标准。* 应用层—应用层是所有用户所面向的应用程序的统称。ICP/IP协议族在这一层面有着很多协议来支持不同的应用，许多大家所熟悉的基于Internet的应用的实现就离不开这些协议。如我们进行万维网（WWW）访问用到了HTTP协议、文件传输用FTP协议、电子邮件发送用SMTP、域名的解析用DNS协议、 远程登录用Telnet协议等等，都是属于TCP/IP应用层的；就用户而言，看到的是由一个个软件所构筑的大多为图形化的操作界面，而实际后台运行的便是上述协议。* 传输层—这一层的的功能主要是提供应用程序间的通信，TCP/IP协议族在这一层的协议有TCP和UDP。* 网络层—是TCP/IP协议族中非常关键的一层，主要定义了IP地址格式，从而能够使得不同应用类型的数据在Internet上通畅地传输，IP协议就是一个网络层协议。* 网络接口层—这是TCP/IP软件的最低层，负责接收IP数据包并通过网络发送之，或者从网络上接收物理帧，抽出IP数据报，交给IP层。1．TCP/UDP协议TCP (Transmission Control Protocol)和UDP(User Datagram Protocol)协议属于传输层协议。其中TCP提供IP环境下的数据可靠传输，它提供的服务包括数据流传送、可靠性、有效流控、全双工操作和多路复用。通过面向连接、端到端和可靠的数据包发送。通俗说，它是事先为所发送的数据开辟出连接好的通道，然后再进行数据发送；而UDP则不为IP提供可靠性、流控或差错恢复功能。一般来说，TCP对应的是可靠性要求高的应用，而UDP对应的则是可靠性要求低、传输经济的应用。TCP支持的应用协议主要有：Telnet、FTP、SMTP等；UDP支持的应用层协议主要有：NFS（网络文件系统）、SNMP（简单网络管理协议）、DNS（主域名称系统）、TFTP（通用文件传输协议）等。IP协议的定义、IP地址的分类及特点什么是IP协议，IP地址如何表示，分为几类，各有什么特点？为了便于寻址和层次化地构造网络，IP地址被分为A、B、C、D、E五类，商业应用中只用到A、B、C三类。IP协议(Internet Protocol)又称互联网协议，是支持网间互连的数据报协议，它与TCP协议（传输控制协议）一起构成了TCP/IP协议族的核心。它提供网间连接的完善功能， 包括IP数据报规定互连网络范围内的IP地址格式。Internet 上，为了实现连接到互联网上的结点之间的通信，必须为每个结点（入网的计算机）分配一个地址，并且应当保证这个地址是全网唯一的，这便是IP地址。目前的IP地址（IPv4：IP第4版本）由32个二进制位表示，每8位二进制数为一个整数，中间由小数点间隔，如159.226.41.98，整个IP地址空间有4组8位二进制数，由表示主机所在的网络的地址（类似部队的编号）以及主机在该网络中的标识（如同士兵在该部队的编号）共同组成。为了便于寻址和层次化的构造网络，IP地址被分为A、B、C、D、E五类，商业应用中只用到A、B、C三类。* A类地址：A类地址的网络标识由第一组8位二进制数表示，网络中的主机标识占3组8位二进制数，A类地址的特点是网络标识的第一位二进制数取值必须为“0”。不难算出，A类地址允许有126个网段，每个网络大约允许有1670万台主机，通常分配给拥有大量主机的网络（如主干网）。* B类地址：B类地址的网络标识由前两组8位二进制数表示，网络中的主机标识占两组8位二进制数，B类地址的特点是网络标识的前两位二进制数取值必须为“10”。B类地址允许有16384个网段，每个网络允许有65533台主机，适用于结点比较多的网络（如区域网）。* C类地址：C类地址的网络标识由前3组8位二进制数表示，网络中主机标识占1组8位二进制数，C类地址的特点是网络标识的前3位二进制数取值必须为“110”。具有C类地址的网络允许有254台主机，适用于结点比较少的网络（如校园网）。为了便于记忆，通常习惯采用4个十进制数来表示一个IP地址，十进制数之间采用句点“.”予以分隔。这种IP地址的表示方法也被称为点分十进制法。如以这种方式表示，A类网络的IP地址范围为1.0.0.1－127.255.255.254；B类网络的IP地址范围为：128.1.0.1－191.255.255.254；C类网络的IP地址范围为：192.0.1.1－223.255.255.254。由于网络地址紧张、主机地址相对过剩，采取子网掩码的方式来指定网段号。 TCP/IP协议与低层的数据链路层和物理层无关，这也是TCP/IP的重要特点。正因为如此 ，它能广泛地支持由低两层协议构成的物理网络结构。目前已使用TCP/IP连接成洲际网、全国网与跨地区网。
你玩网络游戏连接时一直存在的，下线了就马上断开了。 但http因为最开始设计的时候，为了读网页用，网页取到了你可能花个10分钟来读它，所以这10分钟连接是没有必要的，所以马上就断开了（节省服务器端资源）。所以用户是否还在浏览它的网页服务端不知道，因此就出现了cookie，session这类东西来弥补 为什么不用udp，首先用udp是为了提高效率，但是tcp已经很高效了，没必要用udp，而且udp容易出错(比方说你下载一个驱动，但是如果数据是坏的有可能损坏你的系统)
不矛盾，一个是面向链接的，一个是无连接的。面向链接的可靠些，无连接的就不那么可靠。主要是因为这两个协议所处的层不一样。互联网的设计者认为，用户层应是简单的，直接的。所以无连接的设计能够简化设备的成本，利于互联网的开放式发展。网络的各个接入点和SP他们因为要处理来自用户的数据，所以将复杂的设备和可靠的协议放在这里。也是合乎情理的。
TCP的面向连接是传输层的，而HTTP的无状态则是应用层的 传统TCP应用主要面向专用系统，这种环境中客户端的数目是有限的，意味者服务器最多开几十个服务进程修行了，而客户端与服务器需要连续地交换数据，频繁地连接和断开对两端都难以接受HTTP协议产生于互联网，因此服务器需要处理同时面向全世界数十万、上百万客户端的网页访问，但每个客户端（即浏览器）与服务器之间交换数据的间歇性较大（即传输具有突发性、瞬时性），并且网页浏览的联想性、发散性导致两次传送的数据关联性很低，如果按照上面的方式则需要在服务器端开的进程和句柄数目都是不可接受的，象paranoid945所说的，大部分通道实际上会很空闲、无端占用资源。因此HTTP的设计者有意利用这种特点将协议设计为请求时建连接、请求完释放连接，以尽快将资源释放出来服务其他客户端。 UDP尽管不象TCP那样占用资源，但它不保证数据的完整性、有序性，想像如果服务器返回的HTML错序了或者丢失一部分你将看到什么效果；并且UDP没有流量控制，而互联网的传输质量又不是很好，服务器随便仍出一大堆UDP包可能导致网络风暴，这是相当危险的

、TCP/IP协议栈 四层模型TCP/IP这个协议遵守一个四层的模型概念：应用层、传输层、互联层和网络接口层。网络接口层模型的基层是网络接口层。负责数据帧的发送和接收，帧是独立的网络信息传输单元。网络接口层将帧放在网上，或从网上把帧取下来。互联层互联协议将数据包封装成internet数据报，并运行必要的路由算法。这里有四个互联协议：网际协议IP：负责在主机和网络之间寻址和路由数据包。地址解析协议ARP：获得同一物理网络中的硬件主机地址。网际控制消息协议ICMP：发送消息，并报告有关数据包的传送错误。互联组管理协议IGMP：被IP主机拿来向本地多路广播路由器报告主机组成员。传输层传输协议在计算机之间提供通信会话。传输协议的选择根据数据传输方式而定。两个传输协议：传输控制协议TCP：为应用程序提供可靠的通信连接。适合于一次传输大批数据的情况。并适用于要求得到响应的应用程序。用户数据报协议UDP：提供了无连接通信，且不对传送包进行可靠的保证。适合于一次传输小量数据，可靠性则由应用层来负责。应用层应用程序通过这一层访问网络。网络接口技术IP使用网络设备接口规范NDIS向网络接口层提交帧。IP支持广域网和本地网接口技术。串行线路协议TCP/IPG一般通过internet串行线路协议SLIP或点对点协议PPP在串行线上进行数据传送。(是不是我们平时把它称之为异步通信，对于要拿LINUX提供建立远程连接的朋友应该多研究一下这方面的知识)?2、ARP要在网络上通信，主机就必须知道对方主机的硬件地址(我们不是老遇到网卡的物理地址嘛)。地址解析就是将主机IP地址映射为硬件地址的过程。地址解析协议ARP用于获得在同一物理网络中的主机的硬件地址。解释本地IP地址(要了解地址解析工作过程的朋友看好了)主机IP地址解析为硬件地址：(1)当一台主机要与别的主机通信时，初始化ARP请求。当该IP断定IP地址是本地时，源主机在ARP缓存中查找目标主机的硬件地址。(2)要是找不到映射的话，ARP建立一个请求，源主机IP地址和硬件地址会被包括在请求中，该请求通过广播，使所有本地主机均能接收并处理。(3)本地网上的每个主机都收到广播并寻找相符的IP地址。(4)当目标主机断定请求中的IP地址与自己的相符时，直接发送一个ARP答复，将自己的硬件地址传给源主机。以源主机的IP地址和硬件地址更新它的ARP缓存。源主机收到回答后便建立起了通信。解析远程IP地址不同网络中的主机互相通信，ARP广播的是源主机的缺省网关。目标IP地址是一个远程网络主机的话，ARP将广播一个路由器的地址。(1)通信请求初始化时，得知目标IP地址为远程地址。源主机在本地路由表中查找，若无，源主机认为是缺省网关的IP地址。在ARP缓存中查找符合该网关记录的IP地址(硬件地址)。(2)若没找到该网关的记录，ARP将广播请求网关地址而不是目标主机的地址。路由器用自己的硬件地址响应源主机的ARP请求。源主机则将数据包送到路由器以传送到目标主机的网络，最终达到目标主机。(3)在路由器上，由IP决定目标IP地址是本地还是远程。如果是本地，路由器用ARP(缓存或广播)获得硬件地址。如果是远程，路由器在其路由表中查找该网关，然后运用ARP获得此网关的硬件地址。数据包被直接发送到下一个目标主机。(4)目标主机收到请求后，形成ICMP响应。因源主机在远程网上，将在本地路由表中查找源主机网的网关。找到网关后，ARP即获取它的硬件地址。(5)如果此网关的硬件地址不在ARP缓存中，通过ARP广播获得。一旦它获得硬件地址，ICMP响应就送到路由器上，然后传到源主机。ARP缓存为减少广播量，ARP在缓存中保存地址映射以备用。ARP缓存保存有动态项和静态项。动态项是自动添加和删除的，静态项则保留在CACHE中直到计算机重新启动。ARP缓存总是为本地子网保留硬件广播地址(0xffffffffffffh)作为一个永久项。此项使主机能够接受ARP广播。当查看缓存时，该项不会显示。每条ARP缓存记录的生命周期为10分钟，2分钟内未用则删除。缓存容量满时，删除最老的记录。加入静态(永久)记录通过添加静态ARP项可减少ARP请求访问主机的次数。ARP包的结构ARP结构的字段如下：硬件类型--使用的硬件(网络访问层)类型。协议类型--解析过程中的协议使用以太类型的值。硬件地址长度--硬件地址的字节长度，对于以太网和令牌环来说，其长度为6字节。协议地址长度--协议地址字节的长度，IP的长度是4字节。操作号--指定当前执行操作的字段。发送者的硬件地址--发送者的硬件地址。发送者的协议地址--发送者的协议地址。目的站硬件地址--目标者的硬件地址。目的站协议地址--目标者的协议地址。3、ICMP和IGMPinternet控制消息协议ICMP是用于报告错误并代表IP对消息进行控制。IP运用互联组管理协议IGMP来告诉路由器，某一网络上指导组中的可用主机。ICMPICMP源抑制消息：当TCP/IP主机发送数据到另一主机时，如果速度达到路由器或者链路的饱和状态，路由器发出一个ICMP源抑制消息。ICMP数据包结构类型：一个8位类型字段，表示ICMP数据包类型。代码：一个8位代码域，表示指定类型中的一个功能。如果一个类型中只有一种功能，代码域置为0。检验和：数据包中ICMP部分上的一个16位检验和。指定类型的数据随每个ICMP类型变化的一个附加数据。IGMPIGMP信息传给别的路由器以使每个支持多路广播的路由器获知哪个主机组和哪个网络中。IGMP包结构版本：IGMP的版本，值一般为0x1h。类型：IGMP消息的类型。0x1h类型称为主机成员请求，在多路广播路由器上用于指定多级组中的任何成员轮询一个网络。0x2h类型称为主机成员报告，在主机上用于发布指定组中的成员情况或对一个路由器的主机成员请求进行回答。未用：未用的域名被发送者置零且被接收者忽略。检验和：IGMP头的一个16位检验和。组地址：主机用该组地址在一个主机成员请求中存储IP多路广播地址。在主机成员请求中，组地址被全置零，而且硬件级的多路广播地址被用来标示主机组。4、IPIP是一个无连接的协议，主要就是负责在主机间寻址并为数据包设定路由，在交换数据前它并不建立会话。因为它不保证正确传递，另一方面，数据在被收到时，IP不需要收到确认，所以它是不可靠的。有一些字段，在当数据从传输层传下来时，会被附加在数据包中，我们来看一下这些字段：源IP地址：用IP地址确定数据报发送者。目标IP地址：用IP地址确定数据报目标。协议：告知目的机的IP是否将包传给TCP或UDP。检查和：一个简单的数学计算，用来证实收到的包的完整性。TTL生存有效时间：指定一个数据报被丢弃之前，在网络上能停留多少时间(以秒计)。它避免了包在网络中无休止循环。路由器会根据数据在路由器中驻留的时间来递减TTL。其中数据报通过一次路由器，TTL至少减少一秒。根据我们前面提到关于ARP的知识，如果IP地址目标为本地地址时，IP将数据包直接传给那个主机；如果目标地址为远程地址的话，IP在本地的路由表中查找远程主机的路由(看来好象我们平时拨114一样)。如果找到一个路由，IP用它传送数据包。如果没找到呢，就会将数据包发送到源主机的缺省网关，也称之为路由器。(很多时候一直在搞网关和路由器的定义，其实我觉得在学的时候不一定死抠概念，现在硬件和软件结合的产品越来越多了，一时很分清的，只要我们运用的时候可以解决实际问题嘛。)这样当路由器收到一个包后，该包向上传给IP：(1)如果交通阻塞(听起来蛮可怕的)，包在路由器中停滞，TTL至少减1或更多。要是它降到0的话，包就会被抛弃。(2)如果对于下一网络来说包太大的话，IP会将它分割成若干个小包。(3)如果包被分解，IP为每个新包制造一个新头，其中包括：一个标志，用来显示其它小包在其后；一个小包ID，用来确定所有小包是一起的；一个小包偏移，用来告诉接收主机怎么重新组合它们。(4)IP计算一个新的检验和。(5)IP获取一个路由的目标硬件地址。(6)IP转发包。在下一主机，包被发送到TCP或UDP。每个路由器都要重复该过程。直到包到达最终目的地。当包到达最终目的地后，IP将小包组装成原来的包。5、TCPTCP是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的，主机交换数据必须建立一个会话。它用比特流通信，即数据被作为无结构的字节流。通过每个TCP传输的字段指定顺序号，以获得可靠性。如果一个分段被分解成几个小段,接收主机会知道是否所有小段都已收到。通过发送应答，用以确认别的主机收到了数据。对于发送的每一个小段，接收主机必须在一个指定的时间返回一个确认。如果发送者未收到确认，数据会被重新发送；如果收到的数据包损坏，接收主机会舍弃它，因为确认未被发送，发送者会重新发送分段。端口SOCKETS实用程序使用一个协议端口号来标明自己应用的唯一性。端口可以使用0到65536之间的任何数字。在服务请求时，操作系统动态地为客户端的应用程序分配端口号。套接字套接字在要领上与文件句柄类似，因为其功能是作为网络通信的终结点。一个应用程序通过定义三部分来产生一个套接字：主机IP地址、服务类型(面向连接的服务是TCP，无连接服务是UDP)、应用程序所用的端口。TCP端口TCP端口为信息的传送提供定地点，端口号小于256的定义为常用端口。TCP的三次握手TCP对话通过三次握手来初始化。三次握手的目的是使数据段的发送和接收同步；告诉其它主机其一次可接收的数据量，并建立虚连接。我们来看看这三次握手的简单过程：(1)初始化主机通过一个同步标志置位的数据段发出会话请求。(2)接收主机通过发回具有以下项目的数据段表示回复：同步标志置位、即将发送的数据段的起始字节的顺序号、应答并带有将收到的下一个数据段的字节顺序号。(3)请求主机再回送一个数据段，并带有确认顺序号和确认号。TCP滑动窗口TCP滑动窗口用来暂存两台主机间要传送的数据，有点类似CACHE。每个TCP/IP主机有两个滑动窗口：一个用于接收数据，另一个用于发送数据。6、UDP用户数据报协议UDP提供了无连接的数据报服务。它适用于无须应答并且通常一次只传送少量数据的应用软件。UDP端口端口作为多路复用的消息队列使用。15 NETSTAT 网络状态53 DOMAIN 域名服务器69 TFTP 平凡文件传送协议137 NETBIOS-NS NETBIOS命令服务138 NETBIOS-DGM NETBIOS数据报服务161 SNMP SNMP网络监视器IP地址分配1、IP地址IP地址标识着网络中一个系统的位置。我们知道每个IP地址都是由两部分组成的：网络号和主机号。其中网络号标识一个物理的网络，同一个网络上所有主机需要同一个网络号，该号在互联网中是唯一的；而主机号确定网络中的一个工作端、服务器、路由器其它TCP/IP主机。对于同一个网络号来说，主机号是唯一的。每个TCP/IP主机由一个逻辑IP地址确定。网络号和主机号IP地址有两种表示形式：二进制表示(1和0太多了就搞不清)和点分十进制表示。每个IP地址的长度为4字节，由四个8位域组成，我们通常称之为八位体。八位体由句点.分开，表示为一个0-255之间的十进制数。一个IP地址的4个域分别标明了网络号和主机号。2、地址类型为适应不同大小的网络，internet定义了5种IP地址类型。可以通过IP地址的前八位来确定地址的类型：类型 IP形式 网络号 主机号A类 w.x.y.z w x.y.zB类 w.x.y.z w.x y.zC类 w.x.y.z w.x.y z我们来看一下这5类地址：A类地址：可以拥有很大数量的主机，最高位为0，紧跟的7位表示网络号，余24位表示主机号，总共允许有126个网络。B类地址：被分配到中等规模和大规模的网络中，最高两位总被置于二进制的10，允许有16384个网络。C类地址：被用于局域网。高三位被置为二进制的110，允许大约200万个网络。D类地址：被用于多路广播组用户，高四位总被置为1110，余下的位用于标明客户机所属的组。E类地址是一种仅供试验的地址。3、地址分配指南在分配网络号和主机号时应遵守以下几条准则：(1)网络号不能为127。大家知道该标识号被保留作回路及诊断功能，还记得平时ping 127.0.0.1？(2)不能将网络号和主机号的各位均置1。如果每一位都是1的话，该地址会被解释为网内广播而不是一个主机号。(TCP/IP是一个可广播的协议嘛)(3)相应于上面一条，各位均不能置0，否则该地址被解释为“就是本网络”。(4)对于本网络来说，主机号应该是唯一。(否则会出现IP地址已分配或有冲突之类的错误)分配网络号对于每个网络以及广域连接，必须有唯一的网络号，主机号用于区分同一物理网络中的不同主机。如果网络由路由器连接，则每个广域连接都需要唯一的网络号。分配主机号主机号用于区分同一网络中不同的主机，并且主机号应该是唯一的。所有的主机包括路由器间的接口，都应该有唯一的网络号。路由器的主机号，要配置成工作站的缺省网关地址。有效的主机号A类：w.0.0.1--w.255.255.254B类：w.x.0.1--w.x.255.254C类：w.x.y.1--w.x.y.2544、子网屏蔽和IP地址TCP/IP上的每台主机都需要用一个子网屏蔽号。它是一个4字节的地址，用来封装或“屏蔽”IP地址的一部分，以区分网络号和主机号。当网络还没有划分为子网时，可以使用缺省的子网屏蔽；当网络被划分为若干个子网时，就要使用自定义的子网屏蔽了。缺省值我们来看看缺省的子网屏蔽值，它用于一个还没有划分子网的网络。即使是在一个单段网络上，每台主机也都需要这样的缺省值。它的形式依赖于网络的地址类型。在它的4个字节里，所有对应网络号的位都被置为1，于是每个八位体的十进制值都是255；所有对就主机号的位都置为0。例如：C类网地址192.168.0.1和相应的缺省屏蔽值255.255.255.0。确定数据包的目的地址我们说把屏蔽值和IP地址值做“与”的操作其实是一个内部过程，它用来确定一个数据包是传给本地还是远程网络上的主机。其相应的操作过程是这样的：当TCP/IP初始化时，主机的IP地址和子网屏蔽值相“与”。在数据包被发送之前，再把目的地址也和屏蔽值作“与”，这样如果发现源IP地址和目的IP地址相匹配，IP协议就知道数据包属于本地网上的某台主机；否则数据包将被送到路由器上。 注：我们知道“与”操作是将IP地址中的每一位与子网屏蔽中相应的位按逻辑与作比较。