网络协议的安全性

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络攻防技术,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,网络攻防技术,*,第2章,网络协议的安全性,计算机网络的演变,第一阶段：理论基础研究的基础,第二阶段：新型分组交换技术的诞生,标志着计算机网络与通信技术的结合基本成型,第三阶段：,TCP,IP,协议的提出,标志着通信与计算机技术的结合基本完成,计算机网络的概念,能够相互共享资源的方式互连起来的自治计算机系统的集合,通信技术,计算机技术,计算机网络,技术角度,资源共享角度,对信息的存储和处理,实现计算机与计算机之间的互连、互通,4,计算机网络的的性质,分散性,计算机网络所连接的计算机系统可以是分布在不同地理位置的多台独立的计算机系统。,异构性,计算机网络中所包含的计算机不论是在组成上，还是功能上，都可以有显著的不同。,自治性,参与连接计算机网络的计算机应该是,“,自治计算机系统,”,，即所有计算机应该实行自我管理。,计算机网络协议,用来规定信息格式,语法,用来说明通信双方应当怎么做,语义,详细说明事件的先后顺序,时序规则,网络协议包含三个基本要求,网络协议是网络上所有设备之间通信规则的集合,。,6,计算机网络分类,广播式网络（,Broadcast Networks,）,点对点网络（,Point-to-Point Networks,）,按传输技术分类,局域网（,LAN,）,城域网（,MAN,）,广域网（,WAN,）,按网络的覆盖范围与规模分类,有线网络,无线网络,按通信技术分类,计算机网络的组成与结构,资源子网,通信子网,主机,局域网,主机,局域网,主机,局域网,大型机,终端,路由器,路由器,路由器,路由器,路由器,路由器,终端,8,常见计算机网络拓扑结构,总线型结构,优点：,结构简单，可扩充性好,缺点：,维护难，分支节点故障查找难,常见计算机网络拓扑结构,环状结构,优点：,简化了路径选择,，,节点控制软件简单,缺点：,传输效率低，不便于扩充,，,可靠性低，维护难，,网络连接设备,常见计算机网络拓扑结构,星状结构,优,点：,结构简单，便于管理；控制简单，便于建网；网络延迟时间较小，传输误差较低。,缺点：,成本高、可靠性较低、资源共享能力也较差。,以中央节点为中心，又称为集中,控制,式网络,常见计算机网络拓扑结构,树状结构,分级的集中控制式网络,常见计算机网络拓扑结构,网状结构,优点：,系统可靠性高，容错能力强,缺点：,连接不经济,，,每台设备之间均有点到点的链路连接,；,安装复杂,分布式网络,常见计算机网络拓扑结构,无线接入设备,无线终端,无线终端,无线通信基站,无线通信基站,地面接受天线,卫星,无线通信与卫星通信网络结构,TCP/IP协议基础 OSI参考模型,互,联网设计之初的使用目的是用于科学研究，其基本假设就是节点的诚实性；由于计算机网络的广泛使用，这种假设在今天已经无法成立，因此可能导致各种各样的攻击。,这些攻击主要针对两方面的缺陷,：,协议设计的缺陷，这种攻击会一直存在，直至该协议更新；,协议实现的缺陷，这种攻击会随着软件的更新而消除。,TCP/IP协议基础,OSI参考模型(Cont.),应用进程访问网络服务的窗口,应用层,解释不同控制码、字符集和图形字符等,表示层,负责建立、维护和同步通信设备之间的交互操作,会话层,负责整个消息无差错、按顺序地的从信源到信宿传递过程,传输层,负责数据包成功和有效率地经过多条链路、,由信源到信宿的传递过程,网络层,负责将数据帧无差错地从一个站点送达下一个相邻站点,数据链路层,数据链路实体间透明的比特（,Bit,）流传输,物理层,TCP/IP协议基础,TCP/IP协议栈(Cont.),直接为网络应用提供服务，使得应用程序能通过网络收发数据,应用层,为应用层实体提供端到端的通信功能，提供有连接的服务和无连接的服务,传输层,提供可靠、无连接的数据报传递服务,。网际层负责对数据包进行路由选择,网际互联层,负责在实际网络中传输、发送、接收端到端数据包,网络接口层,OSI,模型是在协议开发前设计的,具有通用性,.TCP/IP,是先有协议集然后建立模型,不适用于非,TCP/IP,网络,.,实际市场应用不同（,OSI,模型只是理论上的模型，并没有成熟的产品，而,TCP/IP,已经成为“实际上的国际标准”,）,TCP/IP协议基础,TCP/IP协议栈(Cont.),SMTP,HTTP,TELNET,DNS,SNMP,TFTP,RPC,TCP,UDP,ARP,RARP,etc.,IP,ICMP,IGMP,应用层,传输层,网际层,网络接口层,以太网，帧中继，令牌环,etc.,TCP/IP协议基础协议数据封装,应用层,传输层,网络层,数据链路层,物理层,应用层,传输层,网络层,数据链路层,物理层,AH,TH,IH,FH,Bits,DATA,FT,假消息攻击,假消息攻击,利用网络协议设计中的缺陷，通过发送伪造的数据包达到欺骗目标、从中获利的目的,哪些协议设计有缺陷，是容易受到攻击的呢？,假消息攻击的分类,分类与网络协议各层次的关系,应用层,传输层,网络层,数据链路层,DNS,欺骗，,SMB,中间人攻击,SYN Flood,攻击，,IP,欺骗,ICMP,重定向攻击，,IP,分片攻击,ARP,欺骗,物理层,数据发送,应用层,传输层,网络层,主机网络层,应用程序,操作系统,操作系统,网络设备,应用数据,应用数据,TCP,头,应用数据,TCP,头,IP,头,应用数据,TCP,头,IP,头,帧头,网页访问,内部网络,外部网络,GET HTTP:/,正确的,TCP,包头,正确的,IP,包头,正确的,MAC,帧头,您的主机：,202.196.53.8,建立TCP连接,要访问上的数据，必须首先和服务器建立起连接。,正确的,TCP,包头,正确的,IP,包头,正确的,MAC,帧头,TCP包头,TCP包头部分包括源端口、目的端口、TCP标志、TCP选项等内容。,正确的,TCP,包头,正确的,IP,包头,正确的,MAC,帧头,源端口：4039,目的端口：80,FLAGS：SYN,IP包头,IP,包头部分包括源,IP,地址、目的,IP,地址、,IP,标志等内容。,正确的,TCP,包头,正确的,IP,包头,正确的,MAC,帧头,源,IP：202.196.53.8,目的,IP：?,目的,IP：162.105.203.114,目的,IP,地址通过,DNS,解析,确定,。,MAC帧头,MAC帧头部分包括源MAC地址、目的MAC地址以及上层协议类型等内容。,正确的,TCP,包头,正确的,IP,包头,正确的,MAC,帧头,源,MAC,：00-06-29-,b3-4c-49,目的,MAC：?,连接的MAC帧头部分,由路由表信息和ARP缓存信息，可以确定帧头的目的MAC地址域,正确的,TCP,包头,正确的,IP,包头,正确的,MAC,帧头,源,MAC,：00-06-29-,b3-4c-49,目的,MAC：?,目的,MAC：,00-e0-4c-de-04-26,目标,IP,地址,路由,IP,地址,目标,MAC,地址,主机路由表,route print显示当前主机的路由表信息。,=,Active Routes:,Network Destination Netmask Gateway Interface,0.0.0.00.0.0.0 202.196.53.254 202.196.53.8 127.0.0.0 255.0.0.0 127.0.0.1 27.0.0.1 202.196.53.0 255.255.255.0 202.196.53.8 202.196.53.8,202.196.53.8 255.255.255.255 127.0.0.1 127.0.0.1,Default Gateway:202.196.50.254,=,DestIP&Netmask=Network Destination，,选择相应的,Interface,和,Gateway,发送数据,162.105.203.114,地址解析协议ARP,Arp命令显示了本机的arp缓存。,Internet Address Physical Address Type,202.196.53.254 00-e0-4c-de-04-26 dynamic,202.196.53.57 08-00-46-60-8d-3a dynamic,C:arp-a,ARP,协议的作用,地址解析协议ARP,31,地址解析协议,ARP,硬件类型,硬件地址长度,(n),发送方硬件地址,(n,字节,),发送方协议地址,(m,字节,),目的方硬件地址,(n,字节,),目的方协议地址,(m,字节,),协议地址长度,(m),协议类型,操作,0,15,31,1,：,ARP,请求,(request),2,：,ARP,应答（,reply,）,1,：,Ethernet(10 Mb),3,：,Amateur Radio AX.25,4,：,Token Ring,6,：,IEEE 802 networks,11,：,Local talk,0 x0800,：,IPv4,链路层和局域网,5-,32,ARP:,地址解析协议,每个在局域网上的,IP,节点,(Host,Router),都有,ARP,表,ARP,表,:,局域网上一些节点的,IP/MAC,地址映射,TTL(Time To Live):,映射地址的失效时间,(,典型为,20,分钟,),问题：知道,B,的,IP,地址怎么,知道它的,MAC,地址,1A-2F-BB-76-09-AD,58-23-D7-FA-20-B0,0C-C4-11-6F-E3-98,71-65-F7-2B-08-53,LAN,237.196.7.23,237.196.7.78,237.196.7.14,237.196.7.88,链路层和局域网,5-,33,ARP,协议,A,想发送分组给,B,，,A,知道,B,的,IP,地址,假设,B,的,MAC,地址不在,A,的,ARP,表中,A,广播,包含,B,的,IP,地址的,ARP,查询包,目的,MAC,地址,=FF-FF-FF-FF-FF-FF,在局域网上的所有机器都能收到,ARP,查询,B,收到,ARP,包，回给,A,一个带有,B,的,MAC,地址的包,包单播,unicast,发送给,A,的,MAC,地址,A,缓存,IP-to-MAC,地址对在,ARP,表中，直到信息过期,(timeout),软件规定,:,如果,ARP,表的信息在一定时间内没有刷新，则信息将过期。,ARP,是即插即用的,:,无需网络管理员干预，节点就能创建,ARP,表,链路层和局域网,5-,34,路由到其他局域网,A,通过,R,向,B,发送分组,假设,A,知道,B,的,IP,地址,在路由器,R,中有两个,ARP,表，每个针对一个,IP,网络,(LAN),在主机的路由表中发现路由器的,IP,：,111.111.111.110,在主机的,ARP,表中发现,MAC,地址：,E6-E9-00-17-BB-4B,等等,A,R,B,链路层和局域网,5-,35,A,创建一个分组，源地址为,A,，目的地址为,B,A,使用,ARP,得到,R,的,111.111.111.110,的,MAC,地址,A,创建一个