一網(wǎng)絡安全基礎

1、第一章 網(wǎng)絡安全基礎 牛秋娜信息工程教研室提綱 1.1 Internet起源、現(xiàn)狀及未來 1.2 網(wǎng)絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協(xié)議和TCP協(xié)議提綱 1.1 Internet起源、現(xiàn)狀及未來 1.2 網(wǎng)絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協(xié)議和TCP協(xié)議Internet的作用已從信息的共享發(fā)展成為發(fā)布和交流 Internet已不再是一門技術而是作為一種文化融入了人類社會的各個角落“第四媒體”承載著更多的社會屬性 問題： 網(wǎng)絡資源已無法滿足日益增長的需要 IP地址空間不足； 帶寬太窄； 各個網(wǎng)站的主Sever不堪

2、重負； 解決方案與理論 IPv6 對等模式（P2P，Peer-to-Peer）Internet的發(fā)展方向（1）提綱 1.1 Internet起源、現(xiàn)狀及未來 1.2 網(wǎng)絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協(xié)議和TCP協(xié)議互連網(wǎng)示意圖協(xié)議分層 What? 通話的規(guī)則，雙方關于如何通信達成的一致！ Why? 減少協(xié)議設計的復雜性！ How? 不同模型有不同的分層原則！物理介質(zhì)第5層第4層第1層第2層第3層第1層第2層第3層第4層第5層1/2層接口3/4層接口2/3層接口4/5層接口第1層協(xié)議第2層協(xié)議第3層協(xié)議第4層協(xié)議第5層協(xié)議主機主機1 1主機主機2 2提

3、綱 1.1 Internet起源、現(xiàn)狀及未來 1.2 網(wǎng)絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協(xié)議和TCP協(xié)議OSI參考模型 ISO OSI開放系統(tǒng)互聯(lián)參考模型 open system interconnection reference model 關于如何把開放式系統(tǒng)連接起來 OSI分層原則： 根據(jù)不同層次的抽象分層； 每層應當實現(xiàn)一個定義明確的功能； 每層功能的選擇應該有助于制定網(wǎng)絡協(xié)議的國際標準 各層邊界的選擇應盡量減少跨過接口的通信量； 層數(shù)應足夠多，以避免不同的功能混雜在同一層中，但也不能太多，否則體系結(jié)構(gòu)會過于龐大。提綱 1.1 Internet

4、起源、現(xiàn)狀及未來 1.2 網(wǎng)絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協(xié)議和TCP協(xié)議應用層傳輸層（TCP層）互聯(lián)網(wǎng)層（IP層）通信層TELNet, FTP, SMTP, DNS, NNTP, HTTP TCP,UDP使源端口和目的端口的對等實體可以對話IP把分組發(fā)往任何網(wǎng)絡，并使分組獨立傳向目標沒有詳細描述，只是指出主機必須使用某種協(xié)議與網(wǎng)絡相連 問題：TCP/IP RM與ISO OSI RM 的對應關系？ TCP/IP參考模型TCP/IP模型TCP/IP與OSI對應協(xié)議層和相應PDU名稱TCP/IP協(xié)議棧主流協(xié)議TCP/IP RM與OSI RM對比 OSI

5、RM優(yōu)缺點 OSI產(chǎn)生在協(xié)議發(fā)明之前工業(yè)標準，容易實現(xiàn)不同網(wǎng)絡技術的互連和互操作沒有經(jīng)驗，哪些功能放在哪層？七層模型過于復雜，實現(xiàn)效率低。 TCP/IP RM優(yōu)缺點4/5層模型，結(jié)構(gòu)簡單對已有協(xié)議的描述，不會出現(xiàn)協(xié)議不匹配模型的情況事實上的計算機網(wǎng)絡互連標準不適合于任何其他協(xié)議棧提綱 1.1 Internet起源、現(xiàn)狀及未來 1.2 網(wǎng)絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協(xié)議和TCP協(xié)議 IP協(xié)議實現(xiàn)兩個功能：尋址尋址：根據(jù)數(shù)據(jù)報頭中所含的目的地址將數(shù)據(jù)報傳送到目的端，傳送過程中對道路的選擇稱為路由路由。分段分段：當一些網(wǎng)絡只能傳送小數(shù)據(jù)報時，IP協(xié)議將數(shù)

6、據(jù)報分段并在報頭注明。數(shù)據(jù)報也可被標記為“不可分段”，如果一個數(shù)據(jù)報被如此標記，那么在任何情況下都不準對它進行分段。如果因此到不了目的地，那數(shù)據(jù)報就會在中途被拋棄。 IP協(xié)議通過4 4個關鍵機制個關鍵機制來提供它的服務：服務類型，生存期，可選項，頭部校驗；IP協(xié)議可選項可選項目的地址目的地址源地址源地址生命期生命期標識標識分段偏移分段偏移頭校驗和頭校驗和協(xié)議協(xié)議標記標記版本版本總長總長服務類型服務類型頭部長頭部長32 bits課堂問題：課堂問題：頭部的長度范圍？頭部的長度范圍？“可選項可選項”最多為多最多為多少字節(jié)？少字節(jié)？服務質(zhì)量如何保證？服務質(zhì)量如何保證？IP數(shù)據(jù)報最多為多少數(shù)據(jù)報最多為多

7、少字節(jié)？字節(jié)？哪些字段與數(shù)據(jù)報的哪些字段與數(shù)據(jù)報的分組有關？分組有關？實際使用中，數(shù)據(jù)報實際使用中，數(shù)據(jù)報分組的生命周期如何分組的生命周期如何計算？計算？IP協(xié)議數(shù)據(jù)報的頭格式 IP地址的形式 97 32bits，4Bytes；將每個Byte用“.”分開寫成4個十進制數(shù)的形式； 包含網(wǎng)絡網(wǎng)絡ID（代表一個子網(wǎng)絡）和主機主機ID（代表這一子網(wǎng)絡上的某一主機）兩部分。 互聯(lián)網(wǎng)上的每個接口都有一個IP地址 沒有兩臺有同一IP地址的機器,or “沖突”!IP地址IP地址分類及格式5555192.

8、0.0.0555555主機地址范圍IP地址 特殊的IP地址： 主機號全全1的地址是該網(wǎng)絡的廣播地址廣播地址； 主機號全全0的地址是該網(wǎng)絡的網(wǎng)絡地址網(wǎng)絡地址； 55是主機所在網(wǎng)絡上的廣播地址廣播地址； 55是主機的回送地址回送地址，通常用于網(wǎng)絡測試網(wǎng)絡測試； 55保留給內(nèi)部網(wǎng)絡使用； 55保留給內(nèi)部網(wǎng)絡使用；

9、55保留給內(nèi)部網(wǎng)絡使用；TCP連接管理連接管理vTCP三次握手三次握手TCP連接管理連接管理vTCP連接-三次握手clientserverSYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=b+1)TCP連接管理連接管理v斷開TCP連接四次揮手clientserverFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1）ACK(seq=b+1)TCP協(xié)議棧的弱點及相關攻擊協(xié)議棧的弱點及相關攻擊vTCP連接的資源消耗，其中包括：數(shù)據(jù)包信息、條件狀態(tài)、序列號等。vSyn Flood：通過故意不完成建立連接所需要的三次握手過程，

10、造成連接一方的資源耗盡。 TCP協(xié)議棧的弱點及相關攻擊協(xié)議棧的弱點及相關攻擊vTCP會話劫持（TCP Session Hijack）：v會話劫持的關鍵是預測正確的序列號，攻擊者可以采取嗅探技術獲得這些信息。TCP/IP協(xié)議實現(xiàn)協(xié)議實現(xiàn)-Socketv 所謂所謂socket通常也稱作通常也稱作“套接字套接字”，利用客戶，利用客戶/服務服務器模式解決了進程之間建立通信連接的問題器模式解決了進程之間建立通信連接的問題v Socket有三種類型：面向連接的流式套接字有三種類型：面向連接的流式套接字 ；面；面向無連接的數(shù)據(jù)報套接字和原始套接字。前兩者向無連接的數(shù)據(jù)報套接字和原始套接字。前兩者工作在應用層

11、，原始套接字可進行較低層次的操工作在應用層，原始套接字可進行較低層次的操作。作。v 每一個每一個socket用一個半相關描述用一個半相關描述: (協(xié)議，本地地址，本地端口協(xié)議，本地地址，本地端口)TCP/IP協(xié)議實現(xiàn)-Socketv流程實例-流式套接字v 服務器端先初始化服務器端先初始化Socket，然后與端口綁，然后與端口綁定定(bind)，對端口進行，對端口進行監(jiān)聽監(jiān)聽(listen)，調(diào)用，調(diào)用accept阻塞，等待客戶阻塞，等待客戶端連接。端連接。v 在這時如果有個客戶端在這時如果有個客戶端初始化一個初始化一個Socket，然，然后連接服務器后連接服務器(connect)，如果連接成功

12、，這時，如果連接成功，這時客戶端與服務器端的連客戶端與服務器端的連接就建立了?？蛻舳税l(fā)接就建立了?？蛻舳税l(fā)送數(shù)據(jù)請求，服務器端送數(shù)據(jù)請求，服務器端接收請求并處理請求，接收請求并處理請求，然后把回應數(shù)據(jù)發(fā)送給然后把回應數(shù)據(jù)發(fā)送給客戶端，客戶端讀取數(shù)客戶端，客戶端讀取數(shù)據(jù)，最后關閉連接，一據(jù)，最后關閉連接，一次交互結(jié)束。次交互結(jié)束。TCP/IP協(xié)議實現(xiàn)-Libpcap/Winpcapv Libcap和和Winpcap實現(xiàn)了對實現(xiàn)了對Socket的封裝，在的封裝，在Socket上提供了一層接口，方便開發(fā)者調(diào)用。上提供了一層接口，方便開發(fā)者調(diào)用。v Libpcap是是Unix/Linux平臺下的網(wǎng)絡數(shù)

13、據(jù)包捕獲平臺下的網(wǎng)絡數(shù)據(jù)包捕獲函數(shù)庫，函數(shù)庫，Winpcap是是Lipcap的的Win32版本版本v Winpcap和和Libpcap主要用于協(xié)議分析主要用于協(xié)議分析,發(fā)送報文發(fā)送報文,網(wǎng)絡控制等，功能更強大一些網(wǎng)絡控制等，功能更強大一些Pingv 使用使用pingping可以測試計算機名和計算機的可以測試計算機名和計算機的IP地址；地址；v 驗證與遠程計算機的連接；驗證與遠程計算機的連接；v 通過將通過將ICMP回顯數(shù)據(jù)包發(fā)送到計算機并偵聽回顯回復數(shù)回顯數(shù)據(jù)包發(fā)送到計算機并偵聽回顯回復數(shù)據(jù)包，來驗證與一臺或多臺遠程計算機的連接；據(jù)包，來驗證與一臺或多臺遠程計算機的連接；v 該命令只有在安裝了該命令只有在安裝了TCP/IP協(xié)議后才可以使用；協(xié)議后才可以使用；v 按照缺省設置，按照缺省設置，Windows上運行的上運行的Ping命令發(fā)送命令發(fā)送4個個ICMP（網(wǎng)間控制報文協(xié)議）回送請求，每個（網(wǎng)間控制報文協(xié)議）回送請求，每個32字節(jié)數(shù)字節(jié)數(shù)據(jù)，如果一切正常，應能得到據(jù)，如果一切正常，應能得到4個回送應答；個回送應答；Pingv按照缺省設置，按照缺省設置，Windows上運行的上運行的Ping命令發(fā)送命令發(fā)送4個個ICMP（網(wǎng)間控制報文協(xié)議）回送請求，每個（網(wǎng)間控制報文協(xié)議）回送請求，每個32字節(jié)數(shù)字節(jié)數(shù)據(jù)，如果一切正常，應能得到據(jù)，如果一切正