網(wǎng)絡(luò)安全概述2.ppt

1、網(wǎng)絡(luò)安全基礎(chǔ)教程與實(shí)訓(xùn),2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),主講：劉洋,第2章 網(wǎng)絡(luò)監(jiān)聽與TCP/IP協(xié)議分析,網(wǎng)絡(luò)監(jiān)聽與數(shù)據(jù)分析 網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu) 傳輸層協(xié)議報(bào)頭結(jié)構(gòu) TCP會(huì)話安全 TCP/IP報(bào)文捕獲與分析,本章主要講授：,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),網(wǎng)絡(luò)監(jiān)聽與TCP/IP協(xié)議分析,2.1 網(wǎng)絡(luò)監(jiān)聽與數(shù)據(jù)分析 以太網(wǎng)工作方式 ： 廣播 2.1.1 網(wǎng)絡(luò)監(jiān)聽的基本原理 通常一個(gè)網(wǎng)絡(luò)接口只接收 1、與自己硬件地址相匹配的數(shù)據(jù)幀。 2、發(fā)向所有主機(jī)的廣播數(shù)據(jù)幀。 網(wǎng)卡的接收方式： 廣播方式、組播方式、直接方式、混雜方式,網(wǎng)絡(luò)監(jiān)聽與TCP/IP協(xié)議分析,

2、2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.1.2網(wǎng)絡(luò)監(jiān)聽工具,Sniffer軟件支持協(xié)議豐富，解碼速度快。支持各種windows平臺(tái) 主要功能： 1、捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析 2、利用專家分析系統(tǒng)診斷問題 3、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng) 4、收集網(wǎng)絡(luò)利用率和錯(cuò)誤等,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2網(wǎng)絡(luò)層協(xié)議報(bào)頭結(jié)構(gòu),網(wǎng)絡(luò)層協(xié)議將數(shù)據(jù)包封裝成IP數(shù)據(jù)報(bào)，并運(yùn)行必要的路由算法。 4種互聯(lián)協(xié)議 1、IP (網(wǎng)際協(xié)議) 2、ARP（地址解析協(xié)議） 3、ICMP（網(wǎng)際控制報(bào)文協(xié)議） 4、IGMP （互聯(lián)組管理協(xié)議 ）,20

3、20年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.1 IP數(shù)據(jù)報(bào)結(jié)構(gòu),面向無連接,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.1 IP數(shù)據(jù)報(bào)結(jié)構(gòu),盡力服務(wù)（不可靠）,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.1 IP數(shù)據(jù)報(bào)結(jié)構(gòu),IP數(shù)據(jù)報(bào)頭,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.1 IP數(shù)據(jù)報(bào)結(jié)構(gòu),TTL是IP協(xié)議包中的一個(gè)值，它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時(shí)間是否太長(zhǎng)而應(yīng)被丟棄。有很多原因使包在一定時(shí)間內(nèi)不能被傳遞到目的地。解決方法就是在一段時(shí)間后丟棄這個(gè)包，然后給發(fā)送者一個(gè)報(bào)文，由發(fā)送者決定是否要重發(fā)。TTL的初值通常是系統(tǒng)缺省值

4、，是包頭中的8位的域。TTL的最初設(shè)想是確定一個(gè)時(shí)間范圍，超過此時(shí)間就把包丟棄。由于每個(gè)路由器都至少要把TTL域減一，TTL通常表示包在被丟棄前最多能經(jīng)過的路由器個(gè)數(shù)。當(dāng)記數(shù)到0時(shí)，路由器決定丟棄該包，并發(fā)送一個(gè)ICMP報(bào)文給最初的發(fā)送者。,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.2 ARP,ARP協(xié)議是“Address Resolution Protocol”（地址解析協(xié)議）的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實(shí)際傳輸?shù)氖恰皫?，幀里面是有目?biāo)主機(jī)的MAC地址的。在以太網(wǎng)中，一個(gè)主機(jī)要和另一個(gè)主機(jī)進(jìn)行直接通信，必須要知道目標(biāo)主機(jī)的MAC地址。但這個(gè)目標(biāo)MAC地址是如何獲得的呢？它就

5、是通過地址解析協(xié)議獲得的。所謂“地址解析”就是主機(jī)在發(fā)送幀前將目標(biāo)IP地址轉(zhuǎn)換成目標(biāo)MAC地址的過程。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，查詢目標(biāo)設(shè)備的MAC地址，以保證通信的順利進(jìn)行。,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.2 ARP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.2 ARP,為了解釋ARP協(xié)議的作用，就必須理解數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程。這里舉一個(gè)簡(jiǎn)單的PING例子。 假設(shè)我們的計(jì)算機(jī)IP地址是，要執(zhí)行這個(gè)命令：ping。該命令會(huì)通過ICMP協(xié)議發(fā)送ICMP數(shù)據(jù)包。該過程需要經(jīng)過下面的步

6、驟： 1、應(yīng)用程序構(gòu)造數(shù)據(jù)包，該示例是產(chǎn)生ICMP包，被提交給內(nèi)核（網(wǎng)絡(luò)驅(qū)動(dòng)程序）； 2、內(nèi)核檢查是否能夠轉(zhuǎn)化該IP地址為MAC地址，也就是在本地的ARP緩存中查看IP-MAC對(duì)應(yīng)表1； 3、如果存在該IP-MAC對(duì)應(yīng)關(guān)系，那么跳到步驟7；如果不存在該IP-MAC對(duì)應(yīng)關(guān)系，那么接續(xù)下面的步驟； 4、內(nèi)核進(jìn)行ARP廣播，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令類型為REQUEST（1），其中包含有自己的MAC地址； 5、當(dāng)主機(jī)接收到該ARP請(qǐng)求后，將源主機(jī)的IP地址及MAC更新至自己的arp緩沖中，然后發(fā)送一個(gè)ARP的REPLY（2）命令，其中包含

7、自己的MAC地址； 6、本地獲得主機(jī)的IP-MAC地址對(duì)應(yīng)關(guān)系，并保存到ARP緩存中； 7、內(nèi)核將把IP轉(zhuǎn)化為MAC地址，然后封裝在以太網(wǎng)頭結(jié)構(gòu)中，再把數(shù)據(jù)發(fā)送出去； 使用arp-a命令就可以查看本地的ARP緩存內(nèi)容，所以，執(zhí)行一個(gè)本地的PING命令后，ARP緩存就會(huì)存在一個(gè)目的IP的記錄了。當(dāng)然，如果你的數(shù)據(jù)包是發(fā)送到不同網(wǎng)段的目的地，那么就一定存在一條網(wǎng)關(guān)的IP-MAC地址對(duì)應(yīng)的記錄。 知道了ARP協(xié)議的作用，就能夠很清楚地知道，數(shù)據(jù)包的向外傳輸很依靠ARP協(xié)議，當(dāng)然，也就是依賴ARP緩存。要知道，ARP協(xié)議的所有操作都是內(nèi)核自動(dòng)完成的，同其他的應(yīng)用程序沒有任何關(guān)系。

8、同時(shí)需要注意的是，ARP協(xié)議只使用于本網(wǎng)絡(luò)。,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.3 ICMP,ICMP 提供控制和錯(cuò)誤消息，由 ping 和 traceroute 實(shí)用程序使用。雖然 ICMP 使用 IP 的基本支持，看起來好象是上層協(xié)議 ICMP，但它實(shí)際上是 TCP/IP 協(xié)議簇中獨(dú)立的第 3 層協(xié)議。 可能發(fā)送的 ICMP 消息包括： 主機(jī)確認(rèn) 無法到達(dá)目的或服務(wù)器 超時(shí) 路由重定向 源抑制,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.3 ICMP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.2.4 IGMP,Internet 組管理

9、協(xié)議（IGMP）是因特網(wǎng)協(xié)議家族中的一個(gè)組播協(xié)議，用于 IP 主機(jī)向任一個(gè)直接相鄰的路由器報(bào)告他們的組成員情況。IGMP 信息封裝在 IP 報(bào)文中，其 IP 的協(xié)議號(hào)為 2。 它用來在ip主機(jī)和與其直接相鄰的組播路由器之間建立、維護(hù)組播組成員關(guān)系。igmp不包括組播路由器之間的組成員關(guān)系信息的傳播與維護(hù)，這部分工作由各組播路由協(xié)議完成。所有參與組播的主機(jī)必須實(shí)現(xiàn)igmp。 參與ip組播的主機(jī)可以在任意位置、任意時(shí)間、成員總數(shù)不受限制地加入或退出組播組。組播路由器不需要也不可能保存所有主機(jī)的成員關(guān)系，它只是通過igmp協(xié)議了解每個(gè)接口連接的網(wǎng)段上是否存在某個(gè)組播組的接收者，即組成員。而主機(jī)方只需

10、要保存自己加入了哪些組播組。 igmp在主機(jī)與路由器之間是不對(duì)稱的：主機(jī)需要響應(yīng)組播路由器的igmp查詢報(bào)文，即以igmp membership report報(bào)文響應(yīng)；路由器周期性發(fā)送成員資格查詢報(bào)文，然后根據(jù)收到的響應(yīng)報(bào)文確定某個(gè)特定組在自己所在子網(wǎng)上是否有主機(jī)加入，并且當(dāng)收到主機(jī)的退出組的報(bào)告時(shí)，發(fā)出特定組的查詢報(bào)文（igmp版本2），以確定某個(gè)特定組是否已無成員存在。,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3 傳輸層協(xié)議報(bào)頭結(jié)構(gòu),2.3.1 TCP (傳輸控制協(xié)議) TCP 通信的可靠性在于使用了面向連接的會(huì)話。主機(jī)使用 TCP 協(xié)議發(fā)送數(shù)據(jù)到另一主機(jī)前，傳輸層會(huì)啟動(dòng)一

11、個(gè)進(jìn)程，用于創(chuàng)建與目的主機(jī)之間的連接。通過該連接，可以跟蹤主機(jī)之間的會(huì)話或者通信數(shù)據(jù)流。同時(shí)，該進(jìn)程還確保每臺(tái)主機(jī)都知道并做好了通信準(zhǔn)備。完整的 TCP 會(huì)話要求在主機(jī)之間創(chuàng)建雙向會(huì)話。,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),

12、2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.1 TCP,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.2 UDP,UDP 是一種簡(jiǎn)單協(xié)議，提供了基本的傳輸層功能。與 TCP 相比，UDP 的開銷極低，因?yàn)?UDP 是無連接的，并且不提供復(fù)雜的重新傳輸、排序和流量控制機(jī)制。不過，這并不說明使用 UDP 的應(yīng)用程序不可靠，而僅僅是說明，作為傳輸層協(xié)議，UDP 不提供上述幾項(xiàng)功能，如果需要這些功能，必須通過其它方式來實(shí)現(xiàn)。,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.2 UDP,UDP 提供基本的傳輸層功能 低開銷 UDP 是無連接的，并且不提供復(fù)雜的重新傳輸、排序和流量控制機(jī)制,使用UDP的應(yīng)用: 域名系統(tǒng) (DNS) 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 (SNMP) 動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 路由信息協(xié)議 (RIP) 簡(jiǎn)單文件傳輸協(xié)議 (TFTP) 網(wǎng)絡(luò)游戲,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.2 UDP,UDP 僅僅是將接收到的數(shù)據(jù)按照先來后到的順序轉(zhuǎn)發(fā)到應(yīng)用程序,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.3.2 UDP,也使用端口號(hào)來標(biāo)識(shí)特定的應(yīng)用層進(jìn)程 并將數(shù)據(jù)報(bào)發(fā)送到正確的服務(wù)或應(yīng)用,2020年7月23日5時(shí)58分,計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ),2.5 TCP/IP報(bào)文捕獲分析,202