第二章网络协议与安全

网络协议与安全OSI模型OSI模型，即开放式通信系统互联参考模型(OpenSystemInterconnectionReferenceModel)，是国际标准化组织(ISO)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称OSIApplicationPresentationSessionTransportNetworkDataLinkPhysicalOSI参考模型中的数据封装过程TCP/IP和OSI的对应关系TCP/IP协议体系结构TCP/IP的工作过程动画FTP、TELNET、SMTP、HTTPTCP、UDPIP、ARP、RARP、ICMP各种设备驱动程序和网络接口应用层传输层网络层链路层网络协议安全问题（TCP/IP数据封装动画演示）ARP协议功能：负责将某个IP地址解析成对应的MAC地址视频地址解析过程：ARP缓存：静态项和动态项相关命令：RARP协议漏洞：无连接；无认证常见攻击：ARP欺骗；拒绝服务攻击解决办法:IP协议提供无连接的数据报datagram传送服务数据报路由选择和差错控制Datagram和fragementIP协议支持的最长datagram为65535byteIP协议将Datagram封装为符合物理网络要求的帧格式的分片fragementIP报文格式IP协议的安全问题针对IP协议漏洞的攻击IP欺骗分片重组漏洞：Teardrop攻击、FragmentOverlap攻击、bonkRIP路由选择攻击（RIPRoutingAttacks）源路由选择欺骗（sourceroutingspoofing）定向广播数据保密性依靠上层协议IPSec：实现加密的安全通信路由体系中的应用可以保证路由广播、重定向报文等来自授权路由TCP协议提供面向连接的可靠传输的服务；提供重排IP数据包顺序，超时确认等功能；建立TCP连接：三次握手。TCP下的握手过程以及TCP下的IP欺骗端口号和套接字端口号套接字端口分类和常见端口FTP:2120SSH:22Telnet:23SMTP:25POP3:110HTTP:80HTTPS:443DNS:53NETBIOSnameservice:137,138,139SNMP:161SOCKS:1080网络状态的查看：netstatC:\DocumentsandSettings\Administratornetstat-aActiveConnectionsProtoLocalAddressForeignAddressStateTCPWStation:epmapWStation:0LISTENINGTCPWStation:microsoft-dsWStation:0LISTENINGTCPWStation:netbios-ssnWStation:0LISTENINGTCPWStation:1055183.61.23.250:httpCLOSE_WAITTCPWStation:1082183.61.32.183:httpESTABLISHEDTCPWStation:1084119.146.200.17:httpESTABLISHEDTCPWStation:1085119.146.200.17:httpESTABLISHEDTCPWStation:1099119.147.32.147:httpsTIME_WAITTCPWStation:1100119.147.32.147:httpsESTABLISHEDTCPWStation:netbios-ssnWStation:0LISTENINGUDPWStation:microsoft-ds*:*UDPWStation:ntp*:*UDPWStation:netbios-ns*:*UDPWStation:netbios-dgm*:*连接状态StateLISTEN侦听来自远程TCP端口的连接请求，这是服务器端才有的状态；SYN_SENT在发送连接请求后等待匹配的连接请求；SYN_RECEIVED在收到和发送一个连接请求后等待对连接请求的确认；ESTABLISHED代表一个打开的连接，数据可以传送给用户，表示两机正在通讯；FIN_WAIT_1等待远程TCP的连接中断请求，或先前的连接中断请求的确认；FIN_WAIT_2从远程TCP等待连接中断请求；CLOSE_WAIT等待从本地用户发来的连接中断请求；CLOSING等待远程TCP对连接中断的确认；LAST_ACK等待原来发向远程TCP的连接中断请求的确认；TIME_WAIT等待足够的时间以确保远程TCP接收到连接中断请求的确认；CLOSED没有任何连接状态；Netstat/?C:\DocumentsandSettings\Administratornetstat/?显示协议统计信息和当前TCP/IP网络连接。NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]-a显示所有连接和监听端口。-b显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下，可执行组件名在底部的[]中，顶部是其调用的组件等等，直到TCP/IP部分。注意此选项可能需要很长时间，如果没有足够权限可能失败。-e显示以太网统计信息。此选项可以与-s选项组合使用。-n以数字形式显示地址和端口号。-o显示与每个连接相关的所属进程ID。-pproto显示proto指定的协议的连接；proto可以是下列协议之一:TCP、UDP、TCPv6或UDPv6。如果与-s选项一起使用以显示按协议统计信息，proto可以是下列协议之一:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。-r显示路由表。-s显示按协议统计信息。默认地，显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息；-p选项用于指定默认情况的子集。-v与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。Interval重新显示选定统计信息，每次显示之间暂停时间间隔(以秒计)。按CTRL+C停止重新显示统计信息。如果省略，netstat显示当前配置信息(只显示一次)QQ通讯的网络状态C:\DocumentsandSettings\Administratornetstat-abActiveConnectionsProtoLocalAddressForeignAddressStatePIDTCPWStation:912WStation:0LISTENING144[vmware-authd.exe]TCPWStation:6291192.168.1.64:3188ESTABLISHED2472[QQ.exe]TCPWStation:6295192.168.1.64:3186ESTABLISHED2472[QQ.exe]TCPWStation:6246183.61.23.250:httpCLOSE_WAIT5472[AlipaySafeTran.exe]TCPWStation:6293121.11.67.142:httpTIME_WAIT0TCPWStation:6294121.11.67.142:httpTIME_WAIT0UDPWStation:1027*:*1184[QQPCRtp.exe]UDPWStation:5240*:*6140[QQProtect.exe]UDPWStation:4001*:*2472[QQ.exe]UDPWStation:5265*:*2472[QQ.exe]UDPWStation:6233*:*3880[QQExternal.exe]TCPviewUDP协议无连接的传输协议不提供对数据传输可靠性的保证机制不保证数据发送顺序UDP的安全问题TCP和UDP协议的安全问题DOS（DenialOfService）DDOS（DistributedDenialOfService）常见的DoS攻击TCP-SYNFloodUDPFloodRst位的DoS攻击DRDOS攻击实施DoS攻击最主要的就是构造需要的TCP数据，充分利用TCP协议。阻止DoS的办法ICMP协议InternetControlMessagesProtocol作用：用于在TCP/IP网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，令管理者可以对所发生的问题作出诊断，然后采取适当的措施去解决它。无连接，ICMP消息都是直接封装在一个IP数据报。ICMP报头及安全问题费尔南多Gont漏洞Pingofdeath：ping–l65535×××IP报头类型代码校验码ID序号seqICMP报文类型远程登录telnet:tcp23rlogin:tcp513远程登录常见的远程登录工具：telnetrlogin远程桌面*安全问题信息泄露：telnet和rlogin明文传输简单验证，无完整性检查解决办法SSHFTP协议:TCP21TCP20FTP的两种工作模式：主动模式被动模式安全问题：明文解决办法：SSHSSH（SecureShell）:TCP22SSH是一种保障网络通信安全的协议；SSH最初的版本是为提供一个安全的远程登录工具以取代TELNET和其他不安全的远程登录模式；SSH也提供C/S服务以及类似文件传输和电子邮件的网络功能；SSH隧道技术：SSH利用端口转发，可以将任何非安全的TCP连接转换为安全的SSH连接，这被称为SSH隧道技术。SSH的隧道技术域名到IP地址的映射TCP53，UDP53DNS的层次结构DNS域名系统：UDP53，TCP53DNS域名系统：TCP53，UDP53DNS查询方式WHOISwhois.chinawebtools.com协议漏洞动态IP域名劫持无连接不可靠DNS:相关命令nslookupC:\DocumentsandSettings\Administratornslookupsz2.tencent.comServer:cache-b.guangzhou.gd.cnAddress:202.96.128.166Non-authoritativeanswer:Name:sz2.tencent.comAddresses:183.60.49.235,183.60.49.237,183.60.49.25,183.60.48.241183.60.48.252,183.60.49.11,183.60.49.191,183.60.49.192,183.60.49.193183.60.49.205,183.60.49.206,183.60.49.219,183.60.49.220,183.60.49.222183.60.49.223,183.60.49.227DNS:Hosts文件与域名解析Hosts文件的存放位置C:\Winnt\System32\Drivers\EtcHosts与DNS的解析顺序Hosts的作用和使用技巧加快域名解析方便局域网用户屏蔽网站绕过域名劫持风险静态映射恶意修改Internet邮件结构SMTP协议:TCP25安全问题明文传输接受者无法确定收到邮件的安全性接受者无法对发送者进行身份确认信源抵赖信宿抵赖垃圾邮件：过滤器（拦截率和误报率）解决办法PGPS/MIMEDKIM过滤技术PGP（prettygoodprivacy）符号约定Ks会话密钥，用于对称加密PR私钥PU公钥EP公钥加密DP公钥解密EC对称加密DC对称解密HHash函数Z压缩算法S/MIMESMTP（由RFC821定义）支持RFC5322的消息格式（文本），存在以下限制：不能传输可执行文件和其