王峰 张浩军 刘宏月 赵玉娟

[摘 要] 针对计算机网络课程中的TCP/IP协议及教学现状，提出了结合可视化分析与网络扫描应用的教学策略，通过采用可视化协议分析工具，加深学生对协议工作原理的理解与掌握;通过探讨TCP/IP协议在网络扫描中的广泛应用，调动学生的学习兴趣和积极性，加深对理论知识的理解，提高教学效果。

[关键词] TCP/IP协议;可视化分析;网络扫描;教学策略

一、引言

TCP/IP协议是“计算机网络”课程中最重要的教学内容之一[1]，由于理论知识多，内容较为抽象和枯燥，在传统以“教”为主的教学模式中，侧重于知识传授，学生缺乏动手实践的机会;偏重于理论教学，偏离生活实际应用，学生很容易失去学习的积极性和兴趣;学生在学习的过程中，对理论课的掌握往往靠死记硬背的方式来应付考试，并没有将所学的理论知识与实际应用建立联系，从而导致对课程内容的理解不够深入和透彻。

针对TCP/IP协议教学中存在的上述问题，本文提出了可视化分析与网络扫描应用相结合的教学策略。首先采用可视化协议分析工具，帮助学生理解与掌握抽象的协议工作原理;在此基础上，介绍TCP/IP协议在网络扫描中的广泛应用，进一步调动學生的学习兴趣和积极性，加深对理论知识的理解。

二、可视化协议分析

尽管采用多媒体教学，通过课件中的图片或动画演示，在一定程度上能够使抽象的理论形象化、复杂的过程简单化，有助于提高学生的学习兴趣，深化对教学内容的理解。但学生仍然缺乏对真实网络环境和数据包的直观认识。采用可视化网络协议分析工具可以明确观察到计算机之间数据包的交互情况，以及数据包中各字段的值，便于深入了解协议的工作原理。为此，我们选用WireShark作为进行可视化协议分析的教学实验环境平台。

以分析TCP协议为例，在理论讲授的基础上，选取广泛应用的WWW作为具体案例。首先通过问题设计，引导学生主动思考、自主学习。然后通过引导学生观察WireShark捕捉到的数据包并找出TCP连接建立时三次握手的各报文段以及连接释放时四次挥手的各报文段，对TCP报文段中相关字段的含义进行解释说明，在此基础上引导学生回答提前设计的问题，加深学生对TCP协议工作原理的认识。通过这种可视化的协议分析教学方法，不仅能够提高学生的学习兴趣和积极性，使课程讲解的过程变成学生求解问题的过程，而且可以使学生直观地看到数据包的交互过程，更有利于学生理解TCP/IP协议的工作原理。

三、TCP/IP协议在网络扫描中的典型应用

为了让学生更好地掌握TCP/IP协议知识并在实践中加以应用，结合学校应用型本科人才的培养定位，进一步分析TCP/IP协议在网络扫描中的应用，提高学生的学习兴趣，用实际应用去理解抽象的理论知识，并将理论知识应用于实践，从而深化对教学内容的理解。

网络扫描利用通信协议的工作机理，通过选用远程TCP/IP不同端口的服务，并记录目标给予的回答，可以搜集到很多关于目标网络的有用信息[2-4]。攻击者利用网络扫描技术可以探测目标网络的拓扑结构，发现目标系统的漏洞;管理员利用网络扫描技术则可以发现自身的系统漏洞以便进行修补和防范，因此网络扫描在信息安全中有着重要意义。TCP/IP协议在主机扫描、端口扫描和远程操作系统扫描等网络扫描领域得到了广泛应用。

1.主机扫描。主机扫描的目的是确定目标网络上的主机是否可达，其实现以ICMP协议为基础，但防火墙和网络过滤设备常导致传统的ICMP Echo、ICMP Sweep、Broadcast ICMP和Non-Echo ICMP等探测手段变得无效。为此，可以利用ICMP协议提供的错误消息机制，通过构造IP包来突破这种限制，如发送异常的IP包头、在IP头中设置无效的字段值、错误的数据分片。利用上述方法可检测到目标主机和网络过滤设备的ACL（访问控制列表），而通过构造超长包，使得数据包的长度超过目标系统所在路由器的PMTU（路径最大传输单元），并且设置其禁止分片标志，则根据路由器反馈的差错报文可以获得目标系统的网络拓扑结构[2]。

2.端口扫描。当确定目标主机可达后，就可以使用端口扫描技术主动连接到目标主机系统的TCP和UDP端口，以确定在目标系统上哪些服务正在运行，或者哪些服务处于监听状态[2]。TCP扫描技术的实现以TCP报文首部的六个标志位为基础，通过有意传送某种类型的报文，诱使服务器发送响应报文，从而推断出服务器端口的状态[3，4]。其中，开放扫描可靠性高，但会产生大量的审计数据，容易被发现;隐蔽扫描能有效避免入侵检测系统和防火墙的检测，但其数据包在通过网络时容易被丢弃从而产生错误的探测信息;半开放扫描的隐蔽性和可靠性介于两者之间[2]。UDP是面向非连接的协议，不需要建立连接过程。对普通UDP扫描、UDP recvfrom和write扫描，由于UDP和ICMP都是不可靠协议，因此一次扫描的结果不一定准确，有时需要多次扫描才能得到准确结果。此外，由于RFC对ICMP错误消息的产生速率做了限定，所以扫描速度较慢。

3.远程操作系统扫描。端口扫描通常只做简单的端口联通性测试，基于端口扫描的结果，可进一步通过操作系统探测了解目标系统可能存在的安全漏洞。远程操作系统扫描技术主要有应用层探测技术和网络堆栈特征探测技术：前者通过向目标主机发送应用服务连接或访问目标主机开放的有关记录来探测目标主机的操作系统;后者利用不同操作系统的TCP/IP协议栈在实现上的细微特征差别，通过对返回的数据包进行深入分析获取目标主机的操作系统等信息[3，4]。

四、结语

在计算机网络课程的TCP/IP协议教学中，基于教学现状的分析，提出了结合可视化分析与网络扫描应用的教学策略，提高学生的学习兴趣和积极性，加深学生对理论知识的理解，培养学生理论联系实际的能力，从而切实有效地提高学生的专业素质和能力。

参考文献

[1]谢希仁.计算机网络（第7版）[M].北京：电子工业出版社，2017.

[2]张浩军，杨卫东，谭玉波，等.信息安全技术基础[M].北京：水利水电出版社，2011.

[3]张义荣，赵志超，鲜明，等.计算机网络扫描技术研究[J].计算机工程与应用，2004，40（2）：173-176.

[4]刘静.计算机网络扫描技术的隐蔽性研究[J].计算机工程与设计，2005，26（6）：1481-1485.