結合可視化分析與網(wǎng)絡掃描應用的TCP/IP協(xié)議教學策略探索

王峰 張浩軍 劉宏月 趙玉娟

[摘 要] 針對計算機網(wǎng)絡課程中的TCP/IP協(xié)議及教學現(xiàn)狀，提出了結合可視化分析與網(wǎng)絡掃描應用的教學策略，通過采用可視化協(xié)議分析工具，加深學生對協(xié)議工作原理的理解與掌握;通過探討TCP/IP協(xié)議在網(wǎng)絡掃描中的廣泛應用，調動學生的學習興趣和積極性，加深對理論知識的理解，提高教學效果。

[關鍵詞] TCP/IP協(xié)議;可視化分析;網(wǎng)絡掃描;教學策略

一、引言

TCP/IP協(xié)議是“計算機網(wǎng)絡”課程中最重要的教學內容之一[1]，由于理論知識多，內容較為抽象和枯燥，在傳統(tǒng)以“教”為主的教學模式中，側重于知識傳授，學生缺乏動手實踐的機會;偏重于理論教學，偏離生活實際應用，學生很容易失去學習的積極性和興趣;學生在學習的過程中，對理論課的掌握往往靠死記硬背的方式來應付考試，并沒有將所學的理論知識與實際應用建立聯(lián)系，從而導致對課程內容的理解不夠深入和透徹。

針對TCP/IP協(xié)議教學中存在的上述問題，本文提出了可視化分析與網(wǎng)絡掃描應用相結合的教學策略。首先采用可視化協(xié)議分析工具，幫助學生理解與掌握抽象的協(xié)議工作原理;在此基礎上，介紹TCP/IP協(xié)議在網(wǎng)絡掃描中的廣泛應用，進一步調動學生的學習興趣和積極性，加深對理論知識的理解。

二、可視化協(xié)議分析

盡管采用多媒體教學，通過課件中的圖片或動畫演示，在一定程度上能夠使抽象的理論形象化、復雜的過程簡單化，有助于提高學生的學習興趣，深化對教學內容的理解。但學生仍然缺乏對真實網(wǎng)絡環(huán)境和數(shù)據(jù)包的直觀認識。采用可視化網(wǎng)絡協(xié)議分析工具可以明確觀察到計算機之間數(shù)據(jù)包的交互情況，以及數(shù)據(jù)包中各字段的值，便于深入了解協(xié)議的工作原理。為此，我們選用WireShark作為進行可視化協(xié)議分析的教學實驗環(huán)境平臺。

以分析TCP協(xié)議為例，在理論講授的基礎上，選取廣泛應用的WWW作為具體案例。首先通過問題設計，引導學生主動思考、自主學習。然后通過引導學生觀察WireShark捕捉到的數(shù)據(jù)包并找出TCP連接建立時三次握手的各報文段以及連接釋放時四次揮手的各報文段，對TCP報文段中相關字段的含義進行解釋說明，在此基礎上引導學生回答提前設計的問題，加深學生對TCP協(xié)議工作原理的認識。通過這種可視化的協(xié)議分析教學方法，不僅能夠提高學生的學習興趣和積極性，使課程講解的過程變成學生求解問題的過程，而且可以使學生直觀地看到數(shù)據(jù)包的交互過程，更有利于學生理解TCP/IP協(xié)議的工作原理。

三、TCP/IP協(xié)議在網(wǎng)絡掃描中的典型應用

為了讓學生更好地掌握TCP/IP協(xié)議知識并在實踐中加以應用，結合學校應用型本科人才的培養(yǎng)定位，進一步分析TCP/IP協(xié)議在網(wǎng)絡掃描中的應用，提高學生的學習興趣，用實際應用去理解抽象的理論知識，并將理論知識應用于實踐，從而深化對教學內容的理解。

網(wǎng)絡掃描利用通信協(xié)議的工作機理，通過選用遠程TCP/IP不同端口的服務，并記錄目標給予的回答，可以搜集到很多關于目標網(wǎng)絡的有用信息[2-4]。攻擊者利用網(wǎng)絡掃描技術可以探測目標網(wǎng)絡的拓撲結構，發(fā)現(xiàn)目標系統(tǒng)的漏洞;管理員利用網(wǎng)絡掃描技術則可以發(fā)現(xiàn)自身的系統(tǒng)漏洞以便進行修補和防范，因此網(wǎng)絡掃描在信息安全中有著重要意義。TCP/IP協(xié)議在主機掃描、端口掃描和遠程操作系統(tǒng)掃描等網(wǎng)絡掃描領域得到了廣泛應用。

1.主機掃描。主機掃描的目的是確定目標網(wǎng)絡上的主機是否可達，其實現(xiàn)以ICMP協(xié)議為基礎，但防火墻和網(wǎng)絡過濾設備常導致傳統(tǒng)的ICMP Echo、ICMP Sweep、Broadcast ICMP和Non-Echo ICMP等探測手段變得無效。為此，可以利用ICMP協(xié)議提供的錯誤消息機制，通過構造IP包來突破這種限制，如發(fā)送異常的IP包頭、在IP頭中設置無效的字段值、錯誤的數(shù)據(jù)分片。利用上述方法可檢測到目標主機和網(wǎng)絡過濾設備的ACL（訪問控制列表），而通過構造超長包，使得數(shù)據(jù)包的長度超過目標系統(tǒng)所在路由器的PMTU（路徑最大傳輸單元），并且設置其禁止分片標志，則根據(jù)路由器反饋的差錯報文可以獲得目標系統(tǒng)的網(wǎng)絡拓撲結構[2]。

2.端口掃描。當確定目標主機可達后，就可以使用端口掃描技術主動連接到目標主機系統(tǒng)的TCP和UDP端口，以確定在目標系統(tǒng)上哪些服務正在運行，或者哪些服務處于監(jiān)聽狀態(tài)[2]。TCP掃描技術的實現(xiàn)以TCP報文首部的六個標志位為基礎，通過有意傳送某種類型的報文，誘使服務器發(fā)送響應報文，從而推斷出服務器端口的狀態(tài)[3，4]。其中，開放掃描可靠性高，但會產(chǎn)生大量的審計數(shù)據(jù)，容易被發(fā)現(xiàn);隱蔽掃描能有效避免入侵檢測系統(tǒng)和防火墻的檢測，但其數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產(chǎn)生錯誤的探測信息;半開放掃描的隱蔽性和可靠性介于兩者之間[2]。UDP是面向非連接的協(xié)議，不需要建立連接過程。對普通UDP掃描、UDP recvfrom和write掃描，由于UDP和ICMP都是不可靠協(xié)議，因此一次掃描的結果不一定準確，有時需要多次掃描才能得到準確結果。此外，由于RFC對ICMP錯誤消息的產(chǎn)生速率做了限定，所以掃描速度較慢。

3.遠程操作系統(tǒng)掃描。端口掃描通常只做簡單的端口聯(lián)通性測試，基于端口掃描的結果，可進一步通過操作系統(tǒng)探測了解目標系統(tǒng)可能存在的安全漏洞。遠程操作系統(tǒng)掃描技術主要有應用層探測技術和網(wǎng)絡堆棧特征探測技術：前者通過向目標主機發(fā)送應用服務連接或訪問目標主機開放的有關記錄來探測目標主機的操作系統(tǒng);后者利用不同操作系統(tǒng)的TCP/IP協(xié)議棧在實現(xiàn)上的細微特征差別，通過對返回的數(shù)據(jù)包進行深入分析獲取目標主機的操作系統(tǒng)等信息[3，4]。

四、結語

在計算機網(wǎng)絡課程的TCP/IP協(xié)議教學中，基于教學現(xiàn)狀的分析，提出了結合可視化分析與網(wǎng)絡掃描應用的教學策略，提高學生的學習興趣和積極性，加深學生對理論知識的理解，培養(yǎng)學生理論聯(lián)系實際的能力，從而切實有效地提高學生的專業(yè)素質和能力。

參考文獻

[1]謝希仁.計算機網(wǎng)絡（第7版）[M].北京：電子工業(yè)出版社，2017.

[2]張浩軍，楊衛(wèi)東，譚玉波，等.信息安全技術基礎[M].北京：水利水電出版社，2011.

[3]張義榮，趙志超，鮮明，等.計算機網(wǎng)絡掃描技術研究[J].計算機工程與應用，2004，40（2）：173-176.

[4]劉靜.計算機網(wǎng)絡掃描技術的隱蔽性研究[J].計算機工程與設計，2005，26（6）：1481-1485.