第1章网络协议安全基础

网络安全原理与技术第1页1第1章网络协议安全基础第2页2重点与难点重点：TCP/IP协议的组成。难点：协议中与安全相关的内容第3页31计算机网络的协议1.1网络协议的概念网络协议就是网络通信的语言，是通信的规则和约定。协议规定了通信双方相互交换的数据或控制信息的格式。常见的网络协议有IPX/SPX、TCP/IP等1.2常见的网络协议IPX/SPXTCP/IP第4页41.1.1OSI参考模型开放系统互联模型应用层表示层应用层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层第5页51.1.1OSI参考模型物理层功能：比特流传输媒体：铜缆、光纤等设备：集线器、中继器数据链路层任务：帧协议X802.X、PPP、SDHFR、ATM应用层表示层应用层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层第6页61.1.1OSI参考模型网络层任务：编址、路由、包协议：IP、IPX设备：路由器、防火墙传输层端到端报文应用层表示层应用层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层第7页7互联设备比较设备所在层次工作方式特点集线器、中继器物理层共享方式，在一个端口向另外一个端口发送信息的时候，其它的端口就不能再有信息传输。连接的所有设备属于一个冲突域网桥、交换机数据链路层根据MAC地址寻址，通过站表选择转发接口，站表的建立和维护由交换机自动进行，转发速度高。不同接口属于不同冲突域，但属于同一个广播域路由器网络层可以连接异种网络，使用专门的软件协议，根据IP地址进行子网划分和选路，允许多个广播域第8页81.1.1OSI参考模型会话层进程交互方式表示层语法表示应用层用户的应用程序应用层表示层应用层表示层会话层会话层传输层传输层网络层网络层数据链路层数据链路层物理层物理层第9页9TCP/IP协议TCP/IP（TransmissionControlProtocol/InternetProtocol）协议是Internet上使用的通信协议。源于ARPANET研究项目，Internet仍然延用TCP/IP协议。TCP/IP是一个协议系列，包含了100多个协议。其中，TCP协议和IP协议是最基本、最重要的两个协议，也最广为人知。在实际中，用TCP/IP来表示整个Internet协议系列。TCP/IP是一组不同层次上的多个协议的组合。TCP/IP通常被认为是一个四层协议系统，层次的划分和各层功能与OSI参考模型不同第10页10链路层。通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。数据链路层、网络接口层网络层。它负责将信息从一台主机传送到指定接收的另一台主机，包括IP层的数据结构和路由的实现。IP、ARP、RARP、ICMP、IGMP传输层。传输层主要为两台主机上的应用程序提供端到端的通信。TCP、UDP应用层。应用层负责处理特定的应用程序细节。DNS、HTTP、SMTP、POP、FTP、TELNET……应用层传输层网络层链路层第11页111.2TCP/IP协议族TCP/IP协议族各协议之间的层次关系TCPUDP链路层网络层传输层ICMPIGMP802.xX.25PPPFRATM……。。。RARPARPIP……DNSRIPSNMP……应用层第12页121.2TCP/IP协议族在TCP/IP协议族中，数据包的特点是一层套一层。在每一层，数据包分为包头和本体两部分，包头包括与该层相关的控制信息，而本体是从上一层传下来的数据。每一层把上一层的数据作为本体，加上本层适当的包头控制信息，然后交给下一层处理第13页131.2.1链路层协议以太网数据帧TCP/IP支持多种不同的链路层协议以太网数据帧结构网络接口每一个要连接到网络上的设备必须有一个网络接口，该网络接口必须与网络连接的媒体相一致MACWindows:ipconfiglinux:ifconfig第14页14网络层协议1、IP协议IP是TCP/IP协议族中最为核心的协议。所有的TCP、UDP、ICMP、IGMP数据都是以IP数据包格式传送的。IP层还实现了Internet中的路由功能。一般来说，一台机器的IP地址和网络接口是相对应的，但有些情况下，一个接口可以有两个或多个IP地址。第15页15Internet上每台计算机都至少拥有一个IP地址。一般来说，一台机器的IP地址和网络接口是相对应的，但有些情况下，一个接口可以有两个或多个IP地址。如何为网络接口设置多个IP地址？IP地址08310网络号主机号0151631网络号主机号100232431110网络号主机号D类地址：高端前四个二进制位为1110，称作多播地址，用于多点传送(multicast)。D类地址的第一字节范围：224—239。E类保留地址：高端前四位为1111，目前仍未使用的地址，用于将来的扩展之用。E类地址的第一字节范围：240—254。IP地址类型主要有五种：A、B、C、D、E，一般A类、Ｂ类、Ｃ类地址更常用，每类地址都是由32位（4个字节）组成。第17页17子网和子网掩码A类和B类网络拥有数以千计或数以百万计的主机，这是不切合实际的，因为一个网络一般不会有这么多主机。子网(subnet)的目的就是把A类和B类地址进一步细化。例如，一个B类网络的子网化如下：为了把子网号与主机号分开，引入了子网掩码。子网掩码使用与IP地址相同的编址格式，子网掩码为1的部分对应于IP地址的网络与子网部分，子网掩码为0的部分对应于IP地址的主机号部分。将子网掩码和IP地址作“与”操作后，IP地址的主机号部分将被抛弃，剩余的是网络地址和子网地址。将子网掩码按位取“反”后与IP地址做“与”操作后得的结果即为主机号。如果两个主机处于同一个子网中，它们可以直接进行通讯。0151631网络号主机号10子网号第18页18私用IP地址:按照IETFRFC1918规定，被公司或组织在其自有的网络中为非公开目的而使用的地址就是私用地址。类别起始地址终止地址子网掩码A类10.0.0.010.255.255.255255.0.0.0B类172.16.0.0172.31.255.255255.240.0.0（或255.255.0.0）C类192.168.0.0192.168.255.255255.255.0.0（或255.255.255.0）第19页19IP地址和MAC地址的关系IP地址是网络层的概念，而MAC地址是数据链路层的概念。IP地址在网络层上对不同的硬件地址类型进行了统一，从而提供网络互联的可能；而硬件地址在真正的数据传输中要用到。当应用程序把数据从源主机发送到目标主机时，只需指定目标IP地址，不需关心目标的硬件类型。在数据包的传输过程中，目标IP地址不变，而硬件地址随着所经过的网段不同而不断变化。第20页201.2.2网络层协议IP首部：IP首部包含了完成IP功能所需的控制信息4位版本4位首部长8位服务类型16位总长度16位标识3位标志13位片偏移8位生存期（TTL）8位协议类型16位首部校验和32位源IP地址32位目标IP地址选项（如果有）数据部分第21页212．地址解析协议ARP作用当一台主机把以太数据帧发送到位于同一局域网上的另一台主机时，是根据48位的以太地址来确定目的接口的。设备驱动程序不检查IP数据包中的目的IP地址。ARP协议为IP地址到对应的硬件地址之间提供动态的映射。协议的工作过程ARP发送一个称作ARP请求的以太数据帧给以太网上的每个主机，ARP请求数据帧中包含目的主机的IP地址。目的主机的链路层收到这份广播报文后，识别出这是发送端在询问它的硬件地址，于是发送一个ARP应答，应答中包含了IP地址对应的硬件地址。而其他主机对这个广播请求不做任何反应。发送端收到应答后，就可以根据硬件地址传送IP层数据包了。发送端同时将IP地址与硬件地址的映射放到缓存中暂存。在之后的查询中，如果缓存中有表项，则直接使用缓存中的值，而不需再次发送ARP广播。缓存中的表项一般都要设置超时机制，超时后，将从表中删除。第22页22ARP的分组格式：以太网目的地址以太网源地址帧类型硬件类型协议类型硬件地址长度协议地址长度操作码发送端硬件地址发送端IP地址目的硬件地址目标IP地址662221126464|---以太首部---|------------28字节ARP请求/应答----------------|第23页23ARP协议的使用：第24页24逆地址解析协议RARPRARP负责完成从硬件地址到IP地址的映射。网络上每个系统都具有唯一的硬件地址。无盘工作站的RARP实现过程是：从网络接口卡上读取唯一的硬件地址，然后发送一个RARP请求，请求某个主机响应该无盘系统的IP地址。当无盘系统从RARP应答中收到它的IP地址后，它将发送TFTP请求来读取引导映象以引导系统。RARP分组的格式与ARP类似，但帧类型为0x8035。操作码字段，3表示RARP请求、4表示RARP应答。第25页25Internet控制报文协议ICMPICMP经常被认为是IP层的一部分，它传递差错报文以及其他需要注意的信息。ICMP报文经常被IP层或更高层协议（TCP、UDP）使用一些ICMP报文把差错报文返回给用户进程。第26页26ICMP报文8位类型8位代码16位校验和（不同类型和代码有不同的内容）“类型”字段可以有15种不同的值，以描述特定类型的ICMP报文。某些报文还使用“代码”字段进一步描述不同的条件。ICMP报文格式：：ICMP差错报文：报文包含IP首部以及产生ICMP差错报文的IP数据报数据的前8个字节，接收ICMP差错报文的模块就会把它与某个特定的协议和用户进程联系起来。ICMP查询报文：用于对网络情况进行查询和诊断。第27页27单播：单个接收者的情况称为单播。广播：一个主机向网上的所有其它主机发送帧。多播：向网上属于一个组的多个主机发送帧。第28页28主机对信道传过来的帧的过滤网卡接到帧之后，确定是否接收该帧，通常，网卡只接收那些目的地址为自身MAC地址或广播地址(ff:ff:ff:ff:ff:ff)的帧。若网卡被设置为混杂模式,则它可以接收每个数据帧。设备驱动程序进行帧过滤。IP协议根据IP地址中的源和目的IP地址等字段进行过滤。TCP/UDP收到数据报之后，根据源、目的端口等进行过滤。接口卡设备驱动程序IPUDP丢弃丢弃丢弃丢弃第29页29四种广播地址受限的广播：255.255.255.255。用于主机配置过程中IP数据包的目的地址。任何路由器都不转发目的地址为受限广播的数据报，这样的数据报只应该出现在本地网络中。指向网络的广播：主机号全1的地址，例如A类广播地址为：netid.255.255.255。一个路由器应该转发指向网络的广播。指向子网的广播：主机号全1且有特定子网号的地址。此时需要知道子网的子网掩码。指向所有子网的广播：子网号和主机号全1，但必须知道子网的掩码号，从而能与指向目标网络的广播区分开，第30页30多播多播的应用需要同时向多个目的地址传送数据的应用。如多媒体播放、交互式会议、向多个接收者分发邮件和新闻等。多播地址组D类IP地址用于多播地址。多播地址的高端4位为1110，其余28位为多播组号。多播组的范围为：224.0.0.0----239.255.255.255把能够接受发往一个特定多播组地址的数据的主机集合称为主机组。一个主机组中的主机可以跨越多个网络。主机组中的成员可以随时加入或离开主机组。不属于某一主机组的主机可以向该组发送数据第31页31多播多播组地址到以太网地址的转换以太网的一个地址有48位，其中高24位为00:00:5e的地址块，即地址00:00:5e:00:00:00到00:00:5e:ff:ff:ff的地址块中