1. 1974年为什么提出了没有网络体系结构,却没有网际互联的网络体系
互联网已经成为现代社会信息基础设施的重要组成部分,在国民经济发展和社会进步中起着举足轻重的作用,同时也成为当今高科技发展的重要支撑环境,互联网的巨大成功有目共睹。现在被全球广泛使用的互联网协议IPv4是“互联网协议第四版”,已经有30年的历史。从技术上看,尽管IPv4在过去的应用具有辉煌的业绩,但是现在看来已经露出很多弊端。现有的IPv4已经远远不能满足网络市场对地址空间、端到端的IP连接、服务质量、网络安全和移动性能的要求。因此人们寄希望于新一代的IP协议来解决IPv4中所存在的问题。IPv6协议正是基于这一思想提出的,它是“互联网协议第六版”的缩写。在设计IPv6时不仅仅扩充了IPv4的地址空间,而且对原IPv4协议各方面都进行了重新考虑,做了大量改进。除了提出庞大的地址数量外,IPv6与IPv4相比,还有很多的工作正在进行以期得到更高的安全性、更好的可管理性,对QoS和多播技术的支持也更为良好。 关键词:IPv4 IPv6协议 互联网 正文 前言 互联网是一个由各种不同类型和规模的、独立运行和管理的计算机网络组成的世界范围的巨大计算机网络,它已经成为现代社会信息基础设施的重要组成部分,在国民经济发展和社会进步中起着举足轻重的作用,同时也成为当今高科技发展的重要支撑环境,互联网的巨大成功有目共睹。现在被全球广泛使用的互联网协议IPv4是“互联网协议第四版”,已经有30年的历史。从技术上看,尽管IPv4在过去的应用具有辉煌的业绩,但是现在看来已经露出很多弊端,例如地址匮乏等等。IPv6是"Internet Protocol Version 6"的缩写,也被称作下一代互联网协议,它是为了解决IPv4所存在的一些问题和不足而提出的,在IPv6的设计过程中除了一劳永逸地解决地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题。IPv6的主要优势体现在以下几方面:扩大地址空间、提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远的角度来看,IPv6有利于互联网的持续和长久发展。经过一个较长的IPv4和IPv6共存的时期,IPv6最终会完全取代IPv4在互连网上占据统治地位。 第一章 IPv4协议的概况 1.1 互联网的起源和发展 因特网源于美国国防部的ARPANET。在上世纪60年代中期,正是冷战的高峰,美国国防部希望有一个命令和控制网络能够在核战争的条件下幸免于难,而传统的电路交换的电话网络则显得太脆弱。国防部指定其下属的高级研究计划局(ARPA)解决这个问题,此后诞生的一个新型网络便称为ARPANET。1983年,TCP/IP协议成为ARPANET上唯一的正式协议以后,ARPANET上连接的网络、机器和用户得到了快速的增长。当ARPANET与美国国家科学基金会(NSF)建成的NSFNET互联以后,其上的用户数以指数增长,并且开始与加拿大、欧洲和太平洋地区的网络连接。到了80年代中期,人们开始把互联的网络称为互联网。互联网在1994年进入商业化应用后得到了飞速的发展,1998年,因特网全球用户人数已激增到1.47亿。 70年代中期,ARPA为了实现异种网之间的互联与互通,开始制定TCP/IP体系结构和协议规范。时至今日,TCP/IP协议也成为最流行的网际互联协议。它不是国际标准化组织制定的,却已成为互联网协议上的标准,并由单纯的TCP/IP协议发展成为一系列以IP为基础的TCP/IP协议簇。TCP/IP协议簇为互联网提供了基本的通信机制。随着互联网的指数增长,其体系结构也由ARPANET基于集中控制模型的网络体系结构演变为由ISP运营的分散的基于自治系统(Autonomous systems,AS)模型的体系结构。互联网目前几乎覆盖了全球的每一个角落,其飞速发展充分说明了TCP/IP协议取得了巨大的成功。 1.2 IPv4工作原理 TCP/IP协议是用于计算机通信的一组协议,我们通常称它为TCP/IP协议族。之所以说TCP/IP是一个协议族,是因为TCP/IP协议包括TCP、IP、UDP、ICMP、RIP、TELNETFTP、SMTP、ARP、TFTP等许多协议,这些协议一起称为TCP/IP协议。 TCP/IP协议栈(按TCP/IP参考模型划分) IPv4,是互联网协议IP的第四版,也是第一个被广泛使用,构成现今互联网技术的基石的协议,它包含寻址信息和控制信息 ,可使数据包在网络中路由(把信息从源穿过网络传递到目的地的行为,在路上,至少遇到一个中间节点)。IP协议是TCP/IP协议族中的主要网络层协议,与TCP 协议结合组成整个因特网协议的核心协议。IP协议同样都适用于LAN(局域网)和WAN(广域网)通信。 IP 协议有两个基本任务:提供无连接的和最有效的数据包传送;提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。对于互联网络中 IP 数据报的路由选择处理,有一套完善的 IP 寻址方式。每一个 IP 地址都有其特定的组成但同时遵循基本格式。IP 地址可以进行细分并可用于建立子网地址。TCP/IP 网络中的每台计算机都被分配了一个唯一的 32 位逻辑地址,这个地址分为两个主要部分:网络号和主机号。网络号用以确认网络,如果该网络是因特网的一部分,其网络号必须由InterNIC统一分配。一个网络服务器供应商(ISP)可以从 InterNIC 那里获得一块网络地址,按照需要自己分配地址空间。主机号确认网络中的主机,它由本地网络管理员分配。 当你发送或接受数据时(例如,一封电子信函或网页),消息分成若干个块,也就是我们所说的“包”。每个包既包含发送者的网络地址又包含接受者的地址。由于消息被划分为大量的包,若需要,每个包都可以通过不同的网络路径发送出去。包到达时的顺序不一定和发送顺序相同, IP 协议只用于发送包,而 TCP 协议负责将其按正确顺序排列。 以采用TCP/IP协议传送文件为例,说明TCP/IP的工作原理,其中应用层传输文件采用文件传输协议(FTP)。 TCP/IP协议的工作流程如下: 1.在源主机上,应用层将一串应用数据流传送给传输层。 2.传输层将应用层的数据流截成分组,并加上TCP报头形成TCP段,送交网络层。 3.在网络层给TCP段加上包括源、目的主机IP地址的IP报头,生成一个IP数据包,并将IP数据包送交链路层。 4.链路层在其MAC帧的数据部分装上IP数据包,再加上源、目的主机的MAC地址和帧头,并根据其目的MAC地址,将MAC帧发往目的主机或IP路由器。 5.在目的主机,链路层将MAC帧的帧头去掉,并将IP数据包送交网络层。 6.网络层检查IP报头,如果报头中校验和与计算结果不一致,则丢弃该IP数据包;若校验和与计算结果一致,则去掉IP报头,将TCP段送交传输层。 7.传输层检查顺序号,判断是否是正确的TCP分组,然后检查TCP报头数据。若正确,则向源主机发确认信息;若不正确或丢包,则向源主机要求重发信息。 8.在目的主机,传输层去掉TCP报头,将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的来自源主机的字节流,就像是直接接收来自源主机的字节流一样。 1983年TCP/IP协议被ARPAnet采用,直至发展到后来的互联网。那时只有几百台计算机互相联网。到1989年联网计算机数量突破10万台,并且同年出现了1.5Mbits的骨干网。 1.3 IPv4的现状 1.3.1 IP地址的分布现状 由于IPv4地址的分配采用的是“先到先得,按需要分配”的原则,互联网在全球各个国家和各个国家内的各个区域的发展又是极不均衡的,这就势必造成大量IP地址资源集中分布在某些发达国家和各个国家的某些发达地区的情况。全球可提供的IPv4地址大约有40多亿个,估计在不久的将来被分配完毕。 1.3.2 IP地址的应用现状 由于IP地址分布的极不均衡,使得真正应用中就出现了部分国家和某些国家部分区域的不够用的现状,这也就出现了IP地址资源跨区域交易的现象。 尽管如此,但目前全球各国几乎全部使用的还是IPv4地址,几乎每个网络及其连接的设备都支持的是IPv4。现行的IPv4自1981年RFC 791标准发布以来并没有多大的改变。事实证明,IPv4具有相当强盛的生命力,易于实现且互操作性良好,经受住了从早期小规模互联网络扩展到如今全球范围Internet应用的考验。所有这一切都应归功于IPv4最初的优良设计。 1.4 IPv4现存的问题 随着Internet的发展尤其是规模爆炸式的增长,IPv4固有的一些缺陷也逐渐暴露出来,主要集中于以下三个方面: 1.4.1 地址枯竭 IPv4使用32位长的地址,地址空间超过40亿。但由于地址类别的划分不尽合理,目前地址分配效率系数H(=log地址数 /位数)约为0.22~0.26,即只有不到5%的地址得到利用,已分配的地址尤其是A类地址大量闲置,但可用来分配的地址所剩无几,据估计在2005~2011年IPv4地址将出现枯竭。另外,目前占有互联网地址的主要设备早已由20年前的大型机变为PC机,并且在将来,越来越多的其他设备也会连接到互联网上,包括PDA、汽车、手机、各种家用电器等。特别是手机,为了向第三代移动通信标准靠拢,几乎所有的手机厂商都在向国际因特网地址管理机构ICANN申请,要给他们生产的每一部手机都分配一个IP地址。而竞争激烈的家电企业也要给每一台带有联网功能的电视、空调、微波炉等设置一个IP地址。IPv4显然已经无法满足这些要求。 1.4.2 路由瓶颈 Internet规模的增长也导致路由器的路由表迅速膨胀,路由效率特别是骨干网络路由效率急剧下降。IPv4的地址归用户所有,这使得移动IP路由复杂,难以适应当今移动业务发展的需要。在IPv4地址枯竭之前,路由问题已经成为制约Internet效率和发展的瓶颈。 1.4.3 安全和服务质量难以保障 电子商务、电子政务的基础是网络的安全性和可靠性,语音视频等新业务的开展对服务质量(QoS)提出了更高的要求。而IPv4本身缺乏安全和服务质量的保障机制,很多黑客攻击手段(如DDoS)正是利用了IPv4的缺陷。 尽管NAT(英文全称是“Network Address Translation”,中文意思是“网络地址转换”)、CIDR(英文全称“Classless InterDomain Routing”,中文译名“ 无类别域际路由选择”)等技术能够在一定程度上缓解IPv4的危机,但都只是权宜之计,同时还会带来费用、服务质量、安全等方面的新问题。因此,新一代网络层协议IPv6就是要从根本上解决IPv4的危机。 第二章 IPv6协议 2.1 IPv6产生的背景 随着互联网发展的速度和规模,远远出乎于二十多年前互联网的先驱们制定TCP/IP协议时的意料之外,他们从未想过互联网会发展到如此的规模,并且仍在飞速增长。随着互联网的普及,网络同人们的生活和工作已经密切相关。同时伴随互联网用户数膨胀所出现的地址不足的问题也越来越严重。 为了缓解地址危机的发生,相应地产生了两种新的技术无类型网络区域路由技术CIDR和网络地址翻译技术NAT。 无类别域间路由(CIDR)是开发用于帮助减缓IP地址和路由表增大问题的一项技术。CIDR的基本思想是取消IP地址的分类结构,将多个地址块聚合在一起生成一个更大的网络,以包含更多的主机。CIDR支持路由聚合,能够将路由表中的许多路由条目合并为成更少的数目,因此可以限制路由器中路由表的增大,减少路由通告。同时,CIDR有助于IPv4地址的充分利用。 NAT的主要作用是节约了地址空间,减少了对合法地址的需求,多个内部节点共享一个外部地址,使用端口进行区分(Network Address Port Translation,NAPT),这样就能更有效的节约合法地址。由于目前要想得到一个A类或B类地址十分困难,因此许多企业纷纷采用了NAT 。NAT使企业不必再为无法得到足够的合法IP地址而发愁了。然而,NAT也有其无法克服的弊端。首先,NAT会使网络吞吐量降低,由此影响网络的性能。其次,NAT必须对所有IP包进行地址转换,但是大多数NAT无法将转换后的地址信息传递给IP包负载,这个缺陷将导致某些必须将地址信息嵌在IP包负载中的高层应用如FTP和WINS注册等的失败。 NAT示意图 2.2 下一代网络协议IPng的目标和提案 2.2.1 IPng的设计目标 为了解决这些问题,早在90年代初期,互联网工程任务组IETF(Internet Engineering Task Force)就开始着手下一代互联网协议IPng的制定工作。IETF在RFC1550里进行了征求新的IP协议的呼吁,并公布了新的协议需实现的主要目标: 1.支持几乎无限大的地址空间 2.减小路由表的大小 3.简化协议,使路由器能更快地处理数据包 4.提供更好的安全性,实现IP级的安全 5.支持多种服务类型,尤其是实时业务 6.支持多目传送,即支持组播 7.允许主机不更改地址实现异地漫游 8.支持未来协议的演变 9.允许新旧协议共存一段时间 10.支持未来协议的演变以适应底层网络环境或上层应用环境的变化 11.支持自动地址配置 12.协议必须能扩展,它必须能通过扩展来满足将来因特网的服务需求;扩展必须是不需要网络软件升级就可实现的 13.协议必须支持可移动主机和网络 2.2.2 下一代互联网协议IPng的提案 1.TUBA:含有更多地址的TCP和UDP,采用ISO/OSI的CLNP协议来代替IPv4,这种解决方案允许用户有20字节的NSAP地址,以及一个可以使用的OSI传输协议的平台。 2.IP in IP,IPAE:IP in IP是1992年提出的建议,计划采用两个IPv4层来解决互联网地址的匮乏:一层用于全球骨干网络,另一层用于某些特定的范围。到了1993年,这个建议得到了进一步的发展,名称也改为了IPAE(IP Address Encapsulation),并且被采纳为SIP的过渡方案。 3.SIP:SIP(Simple IP)是由Steve Deering在1992年11月提出的,他的想法是把IP地址改为64位,并且去除IPv4中一些已经过时的字段。这个建议由于其简单性立刻得到了许多公司的支持 4.PIP:PIP(Paul’s Internet Protocol)由Paul Francis提出,PIP是一个基于新的结构的IP。PIP支持以16位为单位的变长地址,地址间通过标识符进行区分,它允许高效的策略路由并实现了可移动性。1994年9月,PIP和SIP合并,称为SIPP。 5.SIPP:SIPP(Simple IP Plus,由RFC1710描述)试图结合SIP的简单性和PIP路由的灵活性。SIPP设计为在高性能的网络上运作,比如ATM,同时也可以在低带宽的网络上运行,如无线网络。SIPP去掉了IPv4包头的一些字段,使得包头很小,并且采用64位地址。与IPv4将选项作为IP头的基本组成部分不同,SIPP中把IP选项与包头进行了隔离。该选项如果有的话,将被放在包头后的数据报中并位于传输层协议头之前。使用这种方法后,路由器只有在必要的时候才会对选项头进行处理,这样一来就提高了对于所有数据进行处理的性能。 2.3 IPv6协议 1994年7月,IETF决定以SIPP作为IPng地基础,同时把地址数由64位增加到128位。新的IP协议称为IPv6。其版本是在1994年由IETF批准的RFC1752,在RFC1884中介绍了IPv6的地址结构。现在RFC1884已经被RFC2373所替代。 制定IPv6的专家们充分总结了早期制定IPv4的经验以及互联网的发展和市场需求,认为下一代互联网协议应侧重于网络的容量和网络的性能。IPv6继承了IPv4的优点,摒弃了它的缺点。IPv6与IPv4是不兼容的,但它同所有其他的TCP/IP协议簇中的协议兼容。即IPv6完全可以取代IPv4。同IPv4相比较,IPv6在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进,是下一代互联网可采用的比较合理的协议。 2.4与IPv4比较,IPv6协议的主要特征 2.4.1 IPv6的地址格式和结构 IPv6采用了长度为128位的IP地址,而IPv4的IP地址仅有32位,因此IPv6的地址资源要比IPv4丰富得多。 IPv6的地址格式与IPv4不同。一个IPv6的IP地址由8个地址节组成,每节包含16个地址位,以4个十六进制数书写,节与节之间用冒号分隔,其书写格式为x:x:x:x:x:x:x:x,其中每一个x代表四位十六进制数。除了128位的地址空间,IPv6还为点对点通信设计了一种具有分级结构的地址,这种地址被称为可聚合全局单点广播地址(aggregatable global unicast address),开头3个地址位是地址类型前缀,用于区别其它地址类型,其后依次为13位TLA ID、32位 NLA ID、16位SLA ID和64位主机接口ID,分别用于标识分级结构中自顶向底排列的TLA(Top Level Aggregator,顶级聚合体)、NLA(Next Level Aggregator,下级聚合体)、SLA(Site Level Aggregator,位置级聚合体)和主机接口。TLA是与长途服务供应商和电话公司相互连接的公共网络接入点,它从国际Internet注册机构(如IANA)处获得地址。NLA通常是大型ISP,它从TLA处申请获得地址,并为SLA分配地址。SLA也可称为订阅者(subscriber),它可以是一个机构或一个小型 ISP。SLA负责为属于它的订阅者分配地址。SLA通常为其订阅者分配由连续地址组成的地址块,以便这些机构可以建立自己的地址分级结构以识别不同的子网。分级结构的最底层是网络主机。 2.4.2 IPv6中的地址配置 当主机IP地址需要经常改动的时候,手工配置和管理静态IP地址是一件非常烦琐和困难的工作。在IPv4中,DHCP协议可以实现主机IP地址的自动设置。其工作过程大致如下:一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器申请IP地址并获得有关的配置信息(如缺省网关、DNS服务器等),由此达到自动设置主机IP地址的目的。IPv6继承了IPv4的这种自动配置服务,并将其称为全状态自动配置(stateful autoconfiguration)。除了全状态自动配置,IPv6还采用了一种被称为无状态自动配置(stateless autoconfiguration)的自动配置服务。在无状态自动配置过程中,主机首先通过将它的网卡MAC地址附加在链接本地地址前缀1111111010之后,产生一个链接本地单点广播地址(IEEE已经将网卡MAC地址由48位改为了64位。如果主机采用的网卡的MAC地址依然是48位,那么IPv6网卡驱动程序会根据IEEE的一个公式将48位MAC地址转换为64位MAC地址)。接着主机向该地址发出一个被称为邻居探测(neighbor discovrey)的请求,以验证地址的唯一性。如果请求没有得到响应,则表明主机自我设置的链接本地单点广播地址是唯一的。否则,主机将使用一个随机产生的接口ID组成一个新的链接本地单点广播地址。然后,以该地址为源地址,主机向本地链接中所有路由器多点广播一个被称为路由器请求(router solicitation)的数据包,路由器以一个包含一个可聚合全局单点广播地址前缀和其它相关配置信息的路由器公告来响应该请求。主机用它从路由器得到的全局地址前缀加上自己的接口ID,自动配置全局地址,然后就可以与Internet中的其它主机通信了。用无状态自动配置,无需手动干预就能够改变网络中所有主机的IP地址。 2.4.3 IPv6中的安全协议 安全问题始终是Internet与生俱来。由于在 IP协议设计之初没有考虑安全性,因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等不幸的事情。为了加强Internet的安全性,从1995年开始,IETF着手研究制定了一套用于保护IP通信的IP安全(IPSec)协议。IPSec是IPv4的一个可选扩展协议,是IPv6的一个必须组成部分。 IPv6协议内置安全机制,并已经标准化。IPSec的主要功能是在网络层对数据分组提供加密和鉴别等安全服务,它提供了两种安全机制:认证和加密。认证机制使 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。IPSec的认证报头(Authentication Header,AH)协议定义了认证的应用方法,安全负载封装(Encapsulating Security Payload,ESP)协议定义了加密和可选认证的应用方法。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。 做为IPv6的一个组成部分,IPSec是一个网络层协议。它从底层开始实施安全策略,避免了数据传输(直至应用层)中的安全问题。但它只负责其下层的网络安全,并不负责其上层应用的安全,如Web、电子邮件和文件传输等。 作为IPSec的一项重要应用,IPv6集成了虚拟专用网(VPN)的功能,使用IPv6可以更容易地、实现更为安全可靠的虚拟专用网。 2.4.4 IPv6的功能变化 IPv6技术在IP报头中删除了一些不必要的IPv4功能,加强了IPv4原有的一些功能,并且还增加了许多新功能。这些新增的功能是: 1.anycast功能 anycast是指向提供同一服务的所有服务器都能识别的通用地址(anycast地址)发送IP分组,路由控制系统可以将该分组送至最近的服务器。 例如,利用anycast功能用户可以访问到离他最近的DNS服务器和文件服务器等。 2.即插即用功能 即插即用功能是指计算机在接入Internet时可自动获取、登录必要的参数的自动配置功能和地址检索等功能。 3.QoS功能 利用IPv6头标中的4比特优先级域和24比特的流标记域为进行业务优先级控制提供了广阔的空间。随着互联网接入设备的日益复杂化和服务类型的多样化,网络基础设施为上层提供各种服务质量已经越来越得到人们的关注。 4.手机上网功能 IPv6为手机上网提供了良好的协议平台和许多增值特性,将成为全球移动IP的基础域名解析 2.4.5 报头简化 IPv6对数据报头作了简化,以减少处理器开销并节省网络带宽。IPv6的报头由一个基本报头和多个扩展报头(Extension Header)构成,基本报头具有固定的长度(40字节)(当然,由于字段长短的关系,总的来说,Ipv4的基本报头长度要短的多),放置所有路由器都需要处理的信息。由于Internet上的绝大部分包都只是被路由器简单的转发,因此固定的报头长度有助于加快路由速度。IPv4的报头有15个域,而IPv6的只有8个域,IPv4的报头长度是由IHL域来指定的,而IPv6的是固定40个字节。这就使得路由器在处理IPv6报头时显得更为轻松。与此同时,IPv6还定义了多种扩展报头,这使得IPv6变得极其灵活,能提供对多种应用的强力支持,同时又为以后支持新的应用提供了可能。这些报头被放置在IPv6报头和上层报头之间,每一个可以通过独特的“下一报头”的值来确认。除了逐个路程段选项报头(它携带了在传输路径上每一个节点都必须进行处理的信息)外,扩展报头只有在它到达了在IPv6的报头中所指定的目标节点时才会得到处理(当多点播送时,则是所规定的每一个目标节点)。在那里,在IPv6的下一报头域中所使用的标准的解码方法调用相应的模块去处理第一个扩展报头(如果没有扩展报头,则处理上层报头)。每一个扩展报头的内容和语义决定了是否去处理下一个报头。因此,扩展报头必须按照它们在包中出现的次序依次处理。一个完整的IPv6的实现包括下面这些扩展报头的实现:逐个路程段选项报头,目的选项报头,路由报头,分段报头,身份认证报头,有效载荷安全封装报头,最终目的报头。 2.4.6 域名解析 在IPv6中,域名的体系结构仍然保持了Ipv4的层次原理。而且IPv6地址本身的层级体系也就更加支持了域名解析体系中的地址集聚和地址更改。同样,在IPv6的域名解析中包括了正向解析和反向解析。正向解析是从域名到IP地址的解释。IPv6地址的正向解析目前有两种资源记录,即“AAAA”和“A6”记录。其中“AAAA”较早提出,它是对IPv4协议“A"”录的简单扩展,由于IP地址由32位扩展到128位,扩大了4倍,所以资源记录由“A”扩大成4个“A”。但“AAAA”用来表示域名和IPv6地址的对应关系,并不支持地址的层次性。“A6”是在RFC2874基础上提出,它是把一个IPv6地址根据其本身的层次性分解,然后多个“A6”记录建立联系,每个“A6”记录都只包含了IPv6地址的一部分,结合后拼装成一个完整的IPv6地址。反向解析则是从IP地址到域名的解释。它与IPv4的“PTR”一样,但地址表示形式有两种。一种是用“.”分隔的半字节16进制数字格式(Nibble Format),低位地址在前,高位地址在后,域后缀是“IP6.INT.”。另一种是二进制串(Bit-string)格式,以“\[”开头,16进制地址(无分隔符,高位在前,低位在后)居中,地址后加“]”,域后缀是“IP6.ARPA.”。 目前,Windows 2000、Unix、Solaris操作系统的一些测试版本中已经引入了IPv6,其他一些操作系统的IPv6版本也正在逐步开发。另外,已经有厂商尝试应用IPv6开发新型应用软件。 IPv6是用于建立可靠的、可管理的、安全和高效的IP网络的一个长期解决方案。因此,尽管IPv6的实际应用还需要一段时间,但是了解和研究IPv6的重要特性以及它针对目前IP网络存在的问题而提供的解决方案,对于制定企业网络的长期发展计划,规划网络应用的未来发展方向,都是十分有益的。 第三章 IPv4向IPv6过渡方案 如今,Internet在全球范围内的普及应用超过了历史上的任何一项新技术所产生的影响和带来的变化,实践证明,IPv4不仅是健壮的、而且是易于实现的,并具有很好的互操作性。这些都充分肯定了IPv4协议初始设计的正确性。但是随着Internet迅速发展,接入Internet的网络设备和运行在其上的应用程序急剧增加,由此带来了IP地址的迅速耗尽与路由表膨胀等问题,对IP地址范围的扩大也迫在眉睫。针对IP地址的问题,IETF提出了
gtt860Q7!
2. 电脑的那些端口分别是什么
计算机“端口”是英文port的义译,可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口,如:USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口,是一种抽象的软件结构,包括一些数据结构和I/O(基本输入输出)缓冲区。
按端口号可分为3大类:
(1)公认端口(Well Known Ports):从0到1023,它们紧密绑定(binding)于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是HTTP通讯。
(2)注册端口(Registered Ports):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。
(3)动态和/或私有端口(Dynamic and/or Private Ports):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。
一些端口常常会被黑客利用,还会被一些木马病毒利用,对计算机系统进行攻击,以下是计算机端口的介绍以及防止被黑客攻击的简要办法。
8080端口
端口说明:8080端口同80端口,是被用于WWW代理服务的,可以实现网页浏览,经常在访问某个网站或使用代理服务器的时候,会加上“:8080”端口号,比如http://www.cce.com.cn:8080。
端口漏洞:8080端口可以被各种病毒程序所利用,比如Brown Orifice(BrO)特洛伊木马病毒可以利用8080端口完全遥控被感染的计算机。另外,RemoConChubo,RingZero木马也可以利用该端口进行攻击。
操作建议:一般我们是使用80端口进行网页浏览的,为了避免病毒的攻击,我们可以关闭该端口。
端口:21
服务:FTP
说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22
服务:Ssh
说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在。
端口:23
服务:Telnet
说明:远程登录,入侵者在搜索远程登录UNIX的服务。大多数情况下扫描这一端口是为了找到机器运行的操作系统。还有使用其他技术,入侵者也会找到密码。木马Tiny Telnet Server就开放这个端口。
端口:25
服务:SMTP
说明:SMTP服务器所开放的端口,用于发送邮件。入侵者寻找SMTP服务器是为了传递他们的SPAM。入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口。
端口:80
服务:HTTP
说明:用于网页浏览。木马Executor开放此端口。
端口:102
服务:Message transfer agent(MTA)-X.400 over TCP/IP
说明:消息传输代理。
端口:109
服务:Post Office Protocol -Version3
说明:POP3服务器开放此端口,用于接收邮件,客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用户名和密码交 换缓冲区溢出的弱点至少有20个,这意味着入侵者可以在真正登陆前进入系统。成功登陆后还有其他缓冲区溢出错误。
端口:110
服务:SUN公司的RPC服务所有端口
说明:常见RPC服务有rpc.mountd、NFS、rpc.statd、rpc.csmd、rpc.ttybd、amd等
端口:119
服务:Network News Transfer Protocol
说明:NEWS新闻组传输协议,承载USENET通信。这个端口的连接通常是人们在寻找USENET服务器。多数ISP限制,只有他们的客户才能访问他们的新闻组服务器。打开新闻组服务器将允许发/读任何人的帖子,访问被限制的新闻组服务器,匿名发帖或发送SPAM。
端口:135
服务:Location Service
说明:Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时,它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗?什么版本?还有些DOS攻击直接针对这个端口。
端口:137、138、139
服务:NETBIOS Name Service
说明:其中137、138是UDP端口,当通过网上邻居传输文件时用这个端口。而139端口:通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。
端口:161
服务:SNMP
说明:SNMP允许远程管理设备。所有配置和运行信息的储存在数据库中,通过SNMP可获得这些信息。许多管理员的错误配置将被暴露在Internet。Cackers将试图使用默认的密码public、private访问系统。他们可能会试验所有可能的组合。SNMP包可能会被错误的指向用户的网络
http://www.e800.com.cn/articles/386/1098085325309.html