传输层报告

传输层协议及安全

一、 运输层协议概述

几个功能概念：

应用进程之间的通信（端到端的通信）。 重要的功能就是复用和分用。

“逻辑通信”的意思是：运输层之间的通信好像是沿水平方向传送数据。 运输层还要对收到的报文进行差错检测。 两种协议：

面向连接的 TCP 协议，尽管下面的网络是不可靠的（只提供尽最大努力服务），但这种逻辑通信信道就相当于一条全双工的可靠信道。

无连接的 UDP 协议，这种逻辑通信信道是一条不可靠信道。 几个概念：

(1) 用户数据报协议 UDP (User Datagram Protocol) (2) 传输控制协议 TCP (Transmission Control Protocol)

(3)运输协议数据单元 TPDU (Transport Protocol Data Unit)：两个对等运输实体在通信时传送的数据单位。其中TCP 传送的数据单位协议是 TCP 报文段(segment)，UDP 传送的数据单位协议是 UDP 报文或用户数据报。

(4)TCP/IP体系中的传输层协议

1、TCP 与 UDP

UDP 在传送数据之前不需要先建立连接。对方的运输层在收到 UDP 报文后，不需要给出任何确认。虽然 UDP 不提供可靠交付，但在某些情况下 UDP 是一种最有效的工作方式。

TCP 则提供面向连接的服务。TCP 不提供广播或多播服务。由于 TCP 要提供可靠的、面向连接的运输服务，因此不可避免地增加了许多的开销。这不仅使协议数据单元的首部增大很多，还要占用许多的处理机资源。

还要强调两点

运输层的 UDP 用户数据报与网际层的IP 数据报有很大区别。IP 数据报要经过互连网中许多路由器的存储转发，但 UDP 用户数据报是在运输层的端到端抽象的逻辑信道中传送的。

TCP 报文段是在运输层抽象的端到端逻辑信道中传送，这种信道是可靠的全双工信道。但这样的信道却不知道究竟经过了哪些路由器，而这些路由器也根本不知道上面的运输层是否建立了 TCP 连接。

2、传输层的端口

运输层使用协议端口号(protocol port number)，或通常简称为端口(port) 对 TCP/IP 体系的应用进程进行标志。

软件端口与硬件端口的区别：

在协议栈层间的抽象的协议端口是软件端口。 路由器或交换机上的端口是硬件端口。

硬件端口是不同硬件设备进行交互的接口，而软件端口是应用层的各种协议进程与运输实体进行层间交互的一种地址。 TCP 的端口

端口用一个 16 位端口号进行标志。

端口号只具有本地意义，即端口号只是为了标志本计算机应用层中的各进程。在因特网中不同计算机的相同端口号是没有联系的。 三类端口

熟知端口，数值一般为 0~1023。

登记端口号，数值为1024~49151，为没有熟知端口号的应用程序使用的。

客户端口号或短暂端口号，数值为49152~65535，留给客户进程选择暂时使用。当服务器进程收到客户进程的报文时，就知道了客户进程所使用的动态端口号。通信结束后，这个端口号可供其他客户进程以后使用。

二、 用户数据报协议 UDP 1 UDP 概述

UDP 只在 IP 的数据报服务之上增加了很少一点的功能，即端口的功能和差错检测的功能。 UDP 的主要特点

UDP 是无连接的，即发送数据之前不需要建立连接。

UDP 使用尽最大努力交付，即不保证可靠交付，同时也不使用拥塞控制。 UDP 是面向报文的。UDP 没有拥塞控制，很适合多媒体通信的要求。 UDP 支持一对一、一对多、多对一和多对多的交互通信。 UDP 的首部开销小，只有 8 个字节。

面向报文的 UDP

发送方 UDP 对应用程序交下来的报文，在添加首部后就向下交付 IP 层。UDP 对应用层交下来的报文，既不合并，也不拆分，而是保留这些报文的边界。

应用层交给 UDP 多长的报文，UDP 就照样发送，即一次发送一个报文。

接收方 UDP 对 IP 层交上来的 UDP 用户数据报，在去除首部后就原封不动地交付上层的应用进程，一次交付一个完整的报文。

应用程序必须选择合适大小的报文。

2 UDP 的首部格式

用户数据报 UDP 有两个字段：数据字段和首部字段。首部字段有 8 个字节，由 4 个字段组成，每个字段都是两个字节。

在计算检验和时，临时把“伪首部”和 UDP 用户数据报连接在一起。伪首部仅仅是为了计算检验和。

校验程序样例： unsigned short checksum(unsigned short *data, int length) {

unsigned long temp = 0; while (length > 1)

{

temp += *data++;

length -= sizeof (unsigned short ); }

if (length) {

temp += *(unsigned short *)data; }

temp = (temp >> 16) + (temp &0xffff); temp += (temp >> 16);

return (unsigned short )(~temp); }

三、 传输控制协议 TCP 1 TCP 概述

（1）TCP 特点：

TCP 是面向连接的运输层协议。

每一条 TCP 连接只能有两个端点(endpoint)，每一条 TCP 连接只能是点对点的（一对一）。 TCP 提供可靠交付的服务。 TCP 提供全双工通信。 面向字节流。

还应当注意

TCP 连接是一条虚连接而不是一条真正的物理连接。

TCP 对应用进程一次把多长的报文发送到TCP 的缓存中是不关心的。

TCP 根据对方给出的窗口值和当前网络拥塞的程度来决定一个报文段应包含多少个字节（UDP 发

送的报文长度是应用进程给出的）。

TCP 可把太长的数据块划分短一些再传送。TCP 也可等待积累有足够多的字节后再构成报文段发送出去。

（2） TCP 的连接

TCP 把连接作为最基本的抽象。 每一条 TCP 连接有两个端点。 TCP 连接的端点不是主机，不是主机的IP 地址，不是应用进程，也不是运输层的协议端口。TCP 连接的端点叫做套接字(socket)或插口。

端口号拼接到(contatenated with) IP 地址即构成了套接字。 套接字 (socket)

套接字 socket = (IP地址: 端口号) (5-1)

每一条 TCP 连接唯一地被通信两端的两个端点（即两个套接字）所确定。即：

TCP 连接 ::= {socket1, socket2} = {(IP1: port1), (IP2: port2)}

2 TCP 报文段的首部格式

源端口和目的端口字段——各占 2 字节。端口是运输层与应用层的服务接口。运输层的复用和分用功能都要通过端口才能实现。

序号字段——占 4 字节。TCP 连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。

确认号字段——占 4 字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。

数据偏移（即首部长度）——占 4 位，它指出 TCP 报文段的数据起始处距离 TCP 报文段的起始处有多远。“数据偏移”的单位是 32 位字（以 4 字节为计算单位）。

保留字段——占 6 位，保留为今后使用，但目前应置为 0。

紧急 URG —— 当 URG 1 时，表明紧急指针字段有效。它告诉系统此报文段中有紧急数据，应

尽快传送(相当于高优先级的数据) 。

确认 ACK —— 只有当 ACK = 1 时确认号字段才有效。当 ACK = 0 时，确认号无效。

推送 PSH (PuSH) —— 接收TCP 收到 PSH = 1 的报文段，就尽快地交付接收应用进程，而不再等到整个缓存都填满了后再向上交付。

复位 RST (ReSeT) —— 当 RST = 1 时，表明 TCP 连接中出现严重差错（如由于主机崩溃或其他原因），必须释放连接，然后再重新建立运输连接。

同步 SYN —— 同步 SYN = 1 表示这是一个连接请求或连接接受报文。 终止FIN (FINis) ——用来释放一个连接。FIN =1 表明此报文段的发送端的数据已发送完毕，并要求释放运输连接。

窗口字段 —— 占 2 字节，用来让对方设置发送窗口的依据，单位为字节。

检验和 —— 占 2 字节。检验和字段检验的范围包括首部和数据这两部分。在计算检验和时，要在 TCP 报文段的前面加上 12 字节的伪首部。

紧急指针字段 —— 占 16 位，指出在本报文段中紧急数据共有多少个字节（紧急数据放在本报文段数据的最前面）。

选项字段 —— 长度可变。TCP 最初只规定了一种选项，即最大报文段长度 MSS 。MSS 告诉对方 TCP ：“我的缓存所能接收的报文段的数据字段的最大长度是 MSS 个字节。” （MSS (Maximum Segment Size) 是 TCP 报文段中的数据字段的最大长度。数据字段加上 TCP 首部才等于整个的 TCP 报文段。）

其他选项

窗口扩大选项 ——占 3 字节，其中有一个字节表示移位值 S 。新的窗口值等于TCP 首部中的窗口位数增大到(16 + S)，相当于把窗口值向左移动 S 位后获得实际的窗口大小。

时间戳选项——占10 字节，其中最主要的字段时间戳值字段（4 字节）和时间戳回送回答字段（4 字节）。

选择确认选项——在后面介绍。

填充字段 —— 这是为了使整个首部长度是 4 字节的整数倍。

3 TCP 的传输连接管理

1. 运输连接的三个阶段 （1）TCP 的连接建立

用三次握手建立 TCP 连接的各状态

A 的 TCP 向 B 发出连接请求报文段，其首部中的同步位 SYN = 1，并选择序号 seq = x，表明传送数据时的第一个数据字节的序号是 x 。

B 的 TCP 收到连接请求报文段后，如同意，则发回确认。 B 在确认报文段中应使 SYN = 1，A CK = 1其确认号ack = x + 1，自己选择的序号 seq = y。

A 收到此报文段后向 B 给出确认，其 ACK = 1，确认号 ack = y + 1。A 的 TCP 通知上层应用进 程，连接已经建立。

B 的 TCP 收到主机 A 的确认后，也通知其上层应用进程：TCP 连接已经建立 三次握手抓包：

向百度IP 发出请求：

百度回应：

再次确认

（2） TCP 的连接释放

数据传输结束后，通信的双方都可释放连接。

现在 A 的应用进程先向其 TCP 发出连接释放报文段，并停止再发送数据，主动关闭 TCP 连接。 A 把连接释放报文段首部的 FIN = 1，其序号seq = u，等待 B 的确认。 A 收到此报文段后向 B 给出确认，其 ACK = 1，确认号 ack = y + 1。 A 的 TCP 通知上层应用进程，连接已经建立。

B 的 TCP 收到主机 A 的确认后，也通知其上层应用进程：TCP 连接已经建立。 数据传输结束后，通信的双方都可释放连接。现在 A 的应用进程先向其 TCP 发出连接释放报文段，并停止再发送数据，主动关闭 TCP 连接。

A 把连接释放报文段首部的 FIN = 1，其序号seq = u，等待 B 的确认。 B 发出确认，确认号 ack = u + 1，而这个报文段自己的序号 seq = v。 TCP 服务器进程通知高层应用进程。

从 A 到 B 这个方向的连接就释放了，TCP 连接处于半关闭状态。B 若发送数据，A 仍要接收。 若 B 已经没有要向 A 发送的数据，其应用进程就通知 TCP 释放连接。 A 收到连接释放报文段后，必须发出确认。

在确认报文段中 ACK = 1，确认号 ack = w + 1，自己的序号 seq = u + 1。 TCP 连接必须经过时间 2MSL 后才真正释放掉。

A 必须等待 2MSL 的时间

第一，为了保证 A 发送的最后一个 ACK 报文段能够到达 B 。

第二，防止 “已失效的连接请求报文段”出现在本连接中。A 在发送完最后一个 ACK 报文段后，再经过时间 2MSL ，就可以使本连接持续的时间内所产生的所有报文段，都从网络中消失。这样就可以使下一个新的连接中不会出现这种旧的连接请求报文段。

（3）TCP 的有限状态机

TCP 有限状态机的图中每一个方框都是 TCP 可能具有的状态。

每个方框中的大写英文字符串是 TCP 标准所使用的 TCP 连接状态名。状态之间的箭头表示可能发生的状态变迁。

箭头旁边的字，表明引起这种变迁的原因，或表明发生状态变迁后又出现什么动作。 图中有三种不同的箭头。

粗实线箭头表示对客户进程的正常变迁。 粗虚线箭头表示对服务器进程的正常变迁。 另一种细线箭头表示异常变迁。

（4） 相关的应用与安全问题

(1) 实现端口扫描的应用：从大体上来说有以下几种：1. 全TCP 连接扫描；2.TCP SYN 扫描，扫描主机向目标主机的端口发送SYN 报文，如果应答是RST ，那么说明该端口是关闭的，如果回应的是ACK-SYN ，说明该端口是开的，这是半扫描的的，不会建立完整的TCP 连接；3. 秘密扫描：当一个FIN 数据包到达一个关闭的端口，数据包会被丢点，并且返回一个RST 数据包，否则数据包只是简单的丢掉，而不返回RST ；4.ICMP 扫描：当向目标主机的一个未打开的UDP 端口发送一个数据包的时候，会返回一个ICMP_PROT_UNREACHABLE错误。

（2）SYN 攻击和RST 攻击

SYN 攻击：在TCP 连接的过程中，正常情况下是通过三步，但是假如攻击者在发出一个请求SYN 报文后，对方回应了ACK-SYN 报文，这个时候攻击者就不再进行下一步了，也就是说他不会将第三步完成。所以对方会误以为发送的报文丢失了，就会不停的发送ACK-SYN 报文。这样，TCP 的连接处于一种临界状态，而被攻击主机的资源却被消耗了。所以SYN 攻击主要是利用了TCP 会话连接阶段的逻辑。

RST 攻击：这种攻击只能针对tcp 。对udp 无效。RST ：（Reset the connection）用于复位因某种原因引起出现的错误连接，也用来拒绝非法数据和请求。如果接收到RST 位时候，通常发生了某些错误。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接，攻击者构造攻击的TCP 数据，伪装自己的IP 为1.1.1.1，并向服务器发送一个带有RST 位的TCP 数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合

法数据，服务器就已经没有这样的连接了，该用户就必须重新开始建立连接。

4 可靠传输的工作原理

1 停止等待协议

在发送完一个分组后，必须暂时保留已发送的分组的副本。

分组和确认分组都必须进行编号。 超时计时器的重传时间应当比数据在分组传输的平均往返时间更长一些。

可靠通信的实现

使用上述的确认和重传机制，我们就可以在不可靠的传输网络上实现可靠的通信。

这种可靠传输协议常称为自动重传请求ARQ (Automatic Repeat reQuest)。

ARQ 表明重传的请求是自动进行的。接收方不需要请求发送方重传某个出错的分组 。 信道利用率

停止等待协议的优点是简单，但缺点是信道利用率太低。

t

t

T D

U =

T D +RT T +T A

流水线传输

发送方可连续发送多个分组，不必每发完一个分组就停顿下来等待对方的确认。 由于信道上一直有数据不间断地传送，这种传输方式可获得很高的信道利用率

2 连续 ARQ 协议

t

t

(a) 发送方维持发送窗口（发送窗口是 5） 向前

累积确认

(b) 收到一个确认后发送窗口向前滑

接收方一般采用累积确认的方式。即不必对收到的分组逐个发送确认，而是对按序到达的最后一个分组发送确认，这样就表示：到这个分组为止的所有分组都已正确收到了。

累积确认有的优点是：容易实现，即使确认丢失也不必重传。

缺点是：不能向发送方反映出接收方已经正确收到的所有分组的信息。 Go-back-N （回退 N ）

如果发送方发送了前 5 个分组，而中间的第 3 个分组丢失了。这时接收方只能对前两个分组发出确认。发送方无法知道后面三个分组的下落，而只好把后面的三个分组都再重传一次。

这就叫做 Go-back-N （回退 N ），表示需要再退回来重传已发送过的 N 个分组。 可见当通信线路质量不好时，连续 ARQ 协议会带来负面的影响。 TCP 可靠通信的具体实现

TCP 连接的每一端都必须设有两个窗口——一个发送窗口和一个接收窗口。

TCP 的可靠传输机制用字节的序号进行控制。TCP 所有的确认都是基于序号而不是基于报文段。 TCP 两端的四个窗口经常处于动态变化之中。

TCP 连接的往返时间 RTT 也不是固定不变的。需要使用特定的算法估算较为合理的重传时间。

5 TCP 可靠传输的实现

1 以字节为单位的滑动窗口

A 发送了 11 个字节的数据

A 收到新的确认号，发送窗口向前滑动

A 的发送窗口内的序号都已用完，

但还没有再收到确认，必须停止发送。

发送缓存

发送缓存与接收缓存的作用

发送缓存用来暂时存放：

发送应用程序传送给发送方 TCP 准备发送的数据；TCP 已发送出但尚未收到确认的数据。

接收缓存用来暂时存放：

按序到达的、但尚未被接收应用程序读取的数据；不按序到达的数据。

需要强调三点

A 的发送窗口并不总是和 B 的接收窗口一样大（因为有一定的时间滞后）。

TCP 标准没有规定对不按序到达的数据应如何处理。通常是先临时存放在接收窗口中，等到字节流中所缺少的字节收到后，再按序交付上层的应用进程。

TCP 要求接收方必须有累积确认的功能，这样可以减小传输开销。

2 超时重传时间的选择

重传机制是 TCP 中最重要和最复杂的问题之一。

TCP 每发送一个报文段，就对这个报文段设置一次计时器。只要计时器设置的重传时间到但还没有

收到确认，就要重传这一报文段。

3 选择确认 SACK(Selective ACK)

接收方收到了和前面的字节流不连续的两个字节块。

如果这些字节的序号都在接收窗口之内，那么接收方就先收下这些数据，但要把这些信息准确地告诉发送方，使发送方不要再重复发送这些已收到的数据。

6 TCP 的流量控制

1 利用滑动窗口实现流量控制

一般说来，我们总是希望数据传输得更快一些。但如果发送方把数据发送得过快，接收方就可能来不及接收，这就会造成数据的丢失。

流量控制(flow control) 就是让发送方的发送速率不要太快，既要让接收方来得及接收，也不要使网络发生拥塞。

利用滑动窗口机制可以很方便地在 TCP 连接上实现流量控制。 持续计时器(persistence timer)

TCP 为每一个连接设有一个持续计时器。

只要 TCP 连接的一方收到对方的零窗口通知，就启动持续计时器。

若持续计时器设置的时间到期，就发送一个零窗口探测报文段（仅携带 1 字节的数据），而对方就在确认这个探测报文段时给出了现在的窗口值。

若窗口仍然是零，则收到这个报文段的一方就重新设置持续计时器。 若窗口不是零，则死锁的僵局就可以打破了。 2必须考虑传输效率

可以用不同的机制来控制 TCP 报文段的发送时机: 第一种机制是 TCP 维持一个变量，它等于最大报文段长度 MSS 。只要缓存中存放的数据达到 MSS 字节时，就组装成一个 TCP 报文段发送出去。

第二种机制是由发送方的应用进程指明要求发送报文段，即 TCP 支持的推送(push)操作。

第三种机制是发送方的一个计时器期限到了，这时就把当前已有的缓存数据装入报文段（但长度不能超过 MSS ）发送出去。

7 TCP 的拥塞控制

1 拥塞控制的一般原理

在某段时间，若对网络中某资源的需求超过了该资源所能提供的可用部分，网络的性能就要变坏——产生拥塞(congestion)。

出现资源拥塞的条件：

对资源需求的总和 > 可用资源 (5-7)

若网络中有许多资源同时产生拥塞，网络的性能就要明显变坏，整个网络的吞吐量将随输入负荷的增大而下降。

拥塞控制与流量控制的关系

拥塞控制所要做的都有一个前提，就是网络能够承受现有的网络负荷。

拥塞控制是一个全局性的过程，涉及到所有的主机、所有的路由器，以及与降低网络传输性能有关的所有因素。

流量控制往往指在给定的发送端和接收端之间的点对点通信量的控制。

流量控制所要做的就是抑制发送端发送数据的速率，以便使接收端来得及接收。

拥塞控制的一般原理

拥塞控制是很难设计的，因为它是一个动态的（而不是静态的）问题。

当前网络正朝着高速化的方向发展，这很容易出现缓存不够大而造成分组的丢失。但分组的丢失是网络发生拥塞的征兆而不是原因。

在许多情况下，甚至正是拥塞控制本身成为引起网络性能恶化甚至发生死锁的原因。这点应特别引起重视。

开环控制和闭环控制

开环控制方法就是在设计网络时事先将有关发生拥塞的因素考虑周到，力求网络在工作时不产生拥塞。

闭环控制是基于反馈环路的概念。属于闭环控制的有以下几种措施： 监测网络系统以便检测到拥塞在何时、何处发生。 将拥塞发生的信息传送到可采取行动的地方。 调整网络系统的运行以解决出现的问题。 2 几种拥塞控制方法

（1） 慢开始和拥塞避免

发送方维持一个叫做拥塞窗口 cwnd (congestion window)的状态变量。拥塞窗口的大小取决于网络的拥塞程度，并且动态地在变化。发送方让自己的发送窗口等于拥塞窗口。如再考虑到接收方的接收能力，则发送窗口还可能小于拥塞窗口。

发送方控制拥塞窗口的原则是：只要网络没有出现拥塞，拥塞窗口就再增大一些，以便把更多的分组发送出去。但只要网络出现拥塞，拥塞窗口就减小一些，以减少注入到网络中的分组数。

慢开始算法的原理

在主机刚刚开始发送报文段时可先设置拥塞窗口 cwnd = 1，即设置为一个最大报文段 MSS 的数值。

在每收到一个对新的报文段的确认后，将拥塞窗口加 1，即增加一个 MSS 的数值。

用这样的方法逐步增大发送端的拥塞窗口 cwnd ，可以使分组注入到网络的速率更加合理。 传输轮次(transmission round)

使用慢开始算法后，每经过一个传输轮次，拥塞窗口 cwnd 就加倍。 一个传输轮次所经历的时间其实就是往返时间 RTT 。

“传输轮次”更加强调：把拥塞窗口 cwnd 所允许发送的报文段都连续发送出去，并收到了对已发送的最后一个字节的确认。

例如，拥塞窗口 cwnd = 4，这时的往返时间 RTT 就是发送方连续发送 4 个报文段，并收到这 4 个报文段的确认，总共经历的时间。

设置慢开始门限状态变量ssthresh 慢开始门限 ssthresh 的用法如下：

当 cwnd

当 cwnd > ssthresh 时，停止使用慢开始算法而改用拥塞避免算法。 当 cwnd = ssthresh 时，既可使用慢开始算法，也可使用拥塞避免算法。

拥塞避免算法的思路是让拥塞窗口 cwnd 缓慢地增大，即每经过一个往返时间 RTT 就把发送方的拥塞窗口 cwnd 加 1，而不是加倍，使拥塞窗口 cwnd 按线性规律缓慢增长。

当网络出现拥塞时

无论在慢开始阶段还是在拥塞避免阶段，只要发送方判断网络出现拥塞（其根据就是没有按时收到确认），就要把慢开始门限 ssthresh 设置为出现拥塞时的发送方窗口值的一半（但不能小于2）。

然后把拥塞窗口 cwnd 重新设置为 1，执行慢开始算法。

这样做的目的就是要迅速减少主机发送到网络中的分组数，使得发生拥塞的路由器有足够时间把队列中积压的分组处理完毕。

慢开始和拥塞避免算法的实现举例

当 TCP 连接进行初始化时，将拥塞窗口置为 1。图中的窗口单位不使用字节而使用报文段。 慢开始门限的初始值设置为 16 个报文段，即 ssthresh = 16。

发送端的发送窗口不能超过拥塞窗口 cwnd 和接收端窗口 rwnd 中的最小值。我们假定接收端窗口足够大，因此现在发送窗口的数值等于拥塞窗口的数值。

在执行慢开始算法时，拥塞窗口 cwnd 的初始值为 1，发送第一个报文段 M0。

发送端每收到一个确认 ，就把 cwnd 加 1。于是发送端可以接着发送 M1 和 M2 两个报文段。 接收端共发回两个确认。发送端每收到一个对新报文段的确认，就把发送端的 cwnd 加 1。现在 cwnd 从 2 增大到 4，并可接着发送后面的 4 个报文段。

发送端每收到一个对新报文段的确认，就把发送端的拥塞窗口加 1，因此拥塞窗口 cwnd 随着传输轮次按指数规律增长。

当拥塞窗口 cwnd 增长到慢开始门限值 ssthresh 时（即当 cwnd = 16 时），就改为执行拥塞避免算法，拥塞窗口按线性规律增长。

假定拥塞窗口的数值增长到 24 时，网络出现超时，表明网络拥塞了。 更新后的 ssthresh 值变为 12（即发送窗口数值 24 的一半），拥塞窗口再重新设置为 1，并执行慢开始算法。

当 cwnd = 12 时改为执行拥塞避免算法，拥塞窗口按按线性规律增长，每经过一个往返时延就增加一个 MSS 的大小。

加法增大 (additive increase)

“加法增大”是指执行拥塞避免算法后，在收到对所有报文段的确认后（即经过一个往返时间），就把拥塞窗口 cwnd 增加一个 MSS 大小，使拥塞窗口缓慢增大，以防止网络过早出现拥塞。

必须强调指出

“拥塞避免”并非指完全能够避免了拥塞。利用以上的措施要完全避免网络拥塞还是不可能的。

“拥塞避免”是说在拥塞避免阶段把拥塞窗口控制为按线性规律增长，使网络比较不容易出现拥塞。 2. 快重传和快恢复

快重传算法首先要求接收方每收到一个失序的报文段后就立即发出重复确认。这样做可以让发送方及早知道有报文段没有到达接收方。

发送方只要一连收到三个重复确认就应当立即重传对方尚未收到的报文段。

不难看出，快重传并非取消重传计时器，而是在某些情况下可更早地重传丢失的报文段。 快恢复算法

(1) 当发送端收到连续三个重复的确认时，就执行“乘法减小”算法，把慢开始门限 ssthresh 减半。但接下去不执行慢开始算法。

(2)由于发送方现在认为网络很可能没有发生拥塞，因此现在不执行慢开始算法，即拥塞窗口 cwnd 现在不设置为 1，而是设置为慢开始门限 ssthresh 减半后的数值，然后开始执行拥塞避免算法（“加法增大”），使拥塞窗口缓慢地线性增大。

发送窗口的上限值

发送方的发送窗口的上限值应当取为接收方窗口 rwnd 和拥塞窗口 cwnd 这两个变量中较小的一个，即应按以下公式确定：

发送窗口的上限值 Min [rwnd, cwnd]

当 rwnd

使路由器的队列维持两个参数，即队列长度最小门限 TH min 和最大门限 TH max 。 RED 对每一个到达的数据报都先计算平均队列长度 L A V 。

若平均队列长度小于最小门限 TH min ，则将新到达的数据报放入队列进行排队。 若平均队列长度超过最大门限 TH max ，则将新到达的数据报丢弃。

若平均队列长度在最小门限 TH min 和最大门限TH max 之间，则按照某一概率 p 将新到达的数据报丢弃。

四、 传输层安全协议

传输层安全协议的目的是为了保护传输层的安全，并在传输层上提供实现保密、认证和完整性的方法。

1．SSL （安全套接字层协议）

SSL(Secure Socket Layer) 是由Netscape 设计的一种开放协议；它指定了一种在应用程序协议(例如http 、telnet 、NNTP 、FTP) 和TCP/IP之间提供数据安全性分层的机制。它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。

SSL 的主要目的是在两个通信应用程序之间提供私密信和可靠性。这个过程通过3个元素来完成：（1） 握手协议。这个协议负责协商被用于客户机和服务器之间会话的加密参数。当一个SSL 客户机和服务器第一次开始通信时，它们在一个协议版本上达成一致，选择加密算法，选择相互认证，并使用公钥技术来生成共享密钥。

（2）记录协议。这个协议用于交换应用层数据。应用程序消息被分割成可管理的数据块，还可以压缩，并应用一个MAC （消息认证代码）；然后结果被加密并传输。接受方接受数据并对它解密，校验MAC ，解压缩并重新组合它，并把结果提交给应用程序协议。

（3） 警告协议。这个协议用于指示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

下面我们来看一个使用WEB 客户机和服务器的范例。WEB 客户机通过连接到一个支持SSL 的服务器，启动一次SSL 会话。支持SSL 的典型WEB 服务器在一个与标准HTTP 请求（默认为端口80）不同的端口（默认为443）上接受SSL 连接请求。当客户机连接到这个端口上时，它将启动一次建立SSL 会话的握手。当握手完成之后，通信内容被加密，并且执行消息完整性检查，知道SSL 会话过期。SSL 创建一个会话，在此期间，握手必须只发生过一次。

SSL 握手过程步骤：

步骤1：SSL 客户机连接到SSL 服务器，并要求服务器验证它自身的身份。

步骤2：服务器通过发送它的数字证书证明其身份。这个交换还可以包括整个证书链，直到某个根证书权威机构(CA)。通过检查有效日期并确认证书包含有可信任CA 的数字签名，来验证证书。

步骤3：然后，服务器发出一个请求，对客户端的证书进行验证。但是，因为缺乏公钥体系结构，当今的大多数服务器不进行客户端认证。

步骤4：协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常由客户机提供它支持的所有算法列表，然后由服务器选择最强健的加密算法。

步骤5：客户机和服务器通过下列步骤生成会话密钥：

a. 客户机生成一个随机数，并使用服务器的公钥（从服务器的证书中获得）对它加密，发送到服务器上。

b. 服务器用更加随机的数据（从客户机的密钥可用时则使用客户机密钥；否则以明文方式发送数据）响应。

c. 使用哈希函数，从随机数据生成密钥。

SSL 协议的优点是它提供了连接安全，具有3个基本属性：

（1） 连接是私有的。在初始握手定义了一个密钥之后，将使用加密算法。对于数据加密使用了对称加密（例如DES 和RC4）。

（2）可以使用非对称加密或公钥加密（例如RSA 和DSS ）来验证对等实体的身份。

（3）连接时可靠的。消息传输使用一个密钥的MAC ，包括了消息完整性检查。其中使用了安全哈希函数（例如SHA 和MD5）来进行MAC 计算。

对于SSL 的接受程度仅仅限于HTTP 内。它在其他协议中已被表明可以使用，但还没有被广泛应用。 注意：

IETF 正在定义一种新的协议，叫做“传输层安全”(Transport Layer Security,TLS)。它建立在Netscape 所提出的SSL3.0协议规范基础上；对于用于传输层安全性的标准协议，整个行业好像都正在朝着TLS 的方向发展。但是，在TLS 和SSL3.0之间存在着显著的差别（主要是它们所支持的加密算法不同），这样，TLS1.0和SSL3.0不能互操作。

2．SSH （安全外壳协议）

SSH 是一种在不安全网络上用于安全远程登录和其他安全网络服务的协议。它提供了对安全远程登录、安全文件传输和安全TCP/IP和X-Window 系统通信量进行转发的支持。它可以自动加密、认证并压缩所传输的数据。正在进行的定义SSH 协议的工作确保SSH 协议可以提供强健的安全性，防止密码分析和协议攻击，可以在没有全球密钥管理或证书基础设施的情况下工作的非常好，并且在可用时可以使用自己已有的证书基础设施（例如DNSSEC 和X.509）。

SSH 协议由3个主要组件组成：

（1） 传输层协议，它提供服务器认证、保密性和完整性，并具有完美的转发保密性。有时，它还可能提供压缩功能。

（2）用户认证协议，它负责从服务器对客户机的身份认证。

（3）连接协议，它把加密通道多路复用组成几个逻辑通道。

SSH 传输层是一种安全的低层传输协议。它提供了强健的加密、加密主机认证和完整性保护。SSH 中的认证是基于主机的；这种协议不执行用户认证。可以在SSH 的上层为用户认证设计一种高级协议。这种协议被设计成相当简单而灵活，以允许参数协商并最小化来回传输的次数。密钥交互方法、公钥算法、对称加密算法、消息认证算法以及哈希算法等都需要协商。

数据完整性是通过在每个包中包括一个消息认证代码(MAC)来保护的，这个MAC 是根据一个共享密钥、包序列号和包的内容计算得到的。

在UNIX 、Windows 和Macintosh 系统上都可以找到SSH 实现。它是一种广为接受的协议，使用众所周知的建立良好的加密、完整性和公钥算法。

3．SOCKS 协议

“套接字安全性”(socket security,SOCKS) 是一种基于传输层的网络代理协议。它设计用于在TCP 和UDP 领域为客户机/服务器应用程序提供一个框架，以方便而安全的使用网络防火墙的服务。

SOCKS 最初是由David 和Michelle Koblas开发的；其代码在Internet 上可以免费得到。自那之后经历了几次主要的修改，但该软件仍然可以免费得到。SOCKS 版本4为基于TCP 的客户机/服务器应用程序（包括telnet 、FTP, 以及流行的信息发现协议如http 、W AIS 和Gopher ）提供了不安全的防火墙传输。SOCKS 版本5在RFC1928中定义，它扩展了SOCKS 版本

4，包括了UDP ；扩展了其框架，包括了对通用健壮的认证方案的提供；并扩展了寻址方案，包括了域名和IPV6地址。

当前存在一种提议，就是创建一种机制, 通过防火墙来管理IP 多点传送的入口和出口。这是通过对已有的SOCKS 版本5协议定义扩展来完成的，它提供单点传送TCP 和UDP 流量的用户级认证防火墙传输提供了一个框架。但是，因为SOCKS 版本5中当前的UDP 支持存在着可升级性问题以及其他缺陷（必须解决之后才能实现多点传送），这些扩展分两部分定义。

(1) 基本级别UDP 扩展。

(2) 多点传送UDP 扩展。

SOCKS 是通过在应用程序中用特殊版本替代标准网络系统调用来工作的（这是为什么SOCKS 有时候也叫做应用程序级代理的原因）。这些新的系统调用在已知端口上（通常为1080/TCP）打开到一个SOCKS 代理服务器（由用户在应用程序中配置，或在系统配置文件中指定）的连接。如果连接请求成功，则客户机进入一个使用认证方法的协商，用选定的方法认证，然后发送一个中继请求。SOCKS 服务器评价该请求，并建立适当的连接或拒绝它。当建立了与SOCKS 服务器的连接之后，客户机应用程序把用户想要连接的机器名和端口号发送给服务器。由SOCKS 服务器实际连接远程主机，然后透明地在客户机和远程主机之间来回移动数据。用户甚至都不知道SOCKS 服务器位于该循环中。

使用SOCKS 的困难在于，人们必须用SOCKS 版本替代网络系统调用（这个过程通常称为对应用程序SOCKS 化---SOCKS-ification 或SOCKS-ifying ）。幸运的是，大多数常用的网络应用程序（例如telnet 、FTP 、finger 和whois ）都已经被SOCKS 化，并且许多厂商现把SOCKS 支持包括在商业应用程序中。

五、 程序设计

对于传输层数据包进行编程时一般用原始套接字。