1、*網絡安全概述主講：劉洋網絡安全概述本章主要講授：*網絡安全概述2.1 網絡監聽與數據分析以太網工作方式 ： 廣播 2.1.1 網絡監聽的基本原理 通常一個網絡接口只接收 1、與自己硬件地址相匹配的數據幀。 2、發向所有主機的廣播數據幀。網卡的接收方式： 廣播方式、組播方式、直接方式、混雜方式*網絡安全概述*網絡安全概述Sniffer軟件支持協議豐富，解碼速度快。支持各種windows平臺主要功能：1、捕獲網絡流量進行詳細分析2、利用專家分析系統診斷問題3、實時監控網絡活動4、收集網絡利用率和錯誤等*網絡安全概述網絡層協議將數據包封裝成IP數據報，并運行必要的路由算法。4種互聯協議1、IP (

2、網際協議)2、ARP（地址解析協議）3、ICMP（網際控制報文協議）4、IGMP （互聯組管理協議 ）*網絡安全概述面向無連接*網絡安全概述盡力服務（不可靠）*網絡安全概述IP數據報頭*網絡安全概述TTL是IP協議包中的一個值，它告訴網絡,數據包在網絡中的時間是否太長而應被丟棄。有很多原因使包在一定時間內不能被傳遞到目的地。解決方法就是在一段時間后丟棄這個包，然后給發送者一個報文，由發送者決定是否要重發。TTL的初值通常是系統缺省值，是包頭中的8位的域。TTL的最初設想是確定一個時間范圍，超過此時間就把包丟棄。由于每個路由器都至少要把TTL域減一，TTL通常表示包在被丟棄前最多能經過的路由器個

3、數。當記數到0時，路由器決定丟棄該包，并發送一個ICMP報文給最初的發送者。*網絡安全概述 ARP協議是“Address Resolution Protocol”（地址解析協議）的縮寫。在局域網中，網絡中實際傳輸的是“幀”，幀里面是有目標主機的MAC地址的。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。所謂“地址解析”就是主機在發送幀前將目標IP地址轉換成目標MAC地址的過程。ARP協議的基本功能就是通過目標設備的IP地址，查詢目標設備的MAC地址，以保證通信的順利進行。*網絡安全概述*網絡安全

4、概述為了解釋ARP協議的作用，就必須理解數據在網絡上的傳輸過程。這里舉一個簡單的PING例子。 假設我們的計算機IP地址是，要執行這個命令：ping。該命令會通過ICMP協議發送ICMP數據包。該過程需要經過下面的步驟： 1、應用程序構造數據包，該示例是產生ICMP包，被提交給內核（網絡驅動程序）； 2、內核檢查是否能夠轉化該IP地址為MAC地址，也就是在本地的ARP緩存中查看IP-MAC對應表1； 3、如果存在該IP-MAC對應關系，那么跳到步驟7；如果不存在該IP-MAC對應關系，那么接續下面的步驟； 4、內核進行ARP廣播，目的地的MAC地址是

5、FF-FF-FF-FF-FF-FF，ARP命令類型為REQUEST（1），其中包含有自己的MAC地址； 5、當主機接收到該ARP請求后，將源主機的IP地址及MAC更新至自己的arp緩沖中，然后發送一個ARP的REPLY（2）命令，其中包含自己的MAC地址； 6、本地獲得主機的IP-MAC地址對應關系，并保存到ARP緩存中； 7、內核將把IP轉化為MAC地址，然后封裝在以太網頭結構中，再把數據發送出去； 使用arp-a命令就可以查看本地的ARP緩存內容，所以，執行一個本地的PING命令后，ARP緩存就會存在一個目的IP的記錄了。當然，如果你的數據包是發

6、送到不同網段的目的地，那么就一定存在一條網關的IP-MAC地址對應的記錄。 知道了ARP協議的作用，就能夠很清楚地知道，數據包的向外傳輸很依靠ARP協議，當然，也就是依賴ARP緩存。要知道，ARP協議的所有操作都是內核自動完成的，同其他的應用程序沒有任何關系。同時需要注意的是，ARP協議只使用于本網絡。*網絡安全概述ICMP 提供控制和錯誤消息，由 ping 和 traceroute 實用程序使用。雖然 ICMP 使用 IP 的基本支持，看起來好象是上層協議 ICMP，但它實際上是 TCP/IP 協議簇中獨立的第 3 層協議。可能發送的 ICMP 消息包括：主機確認無法到達目的或服務器超時路由

7、重定向源抑制*網絡安全概述*網絡安全概述lInternet 組管理協議（IGMP）是因特網協議家族中的一個組播協議，用于 IP 主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP 信息封裝在 IP 報文中，其 IP 的協議號為 2。 l它用來在ip主機和與其直接相鄰的組播路由器之間建立、維護組播組成員關系。igmp不包括組播路由器之間的組成員關系信息的傳播與維護，這部分工作由各組播路由協議完成。所有參與組播的主機必須實現igmp。 l參與ip組播的主機可以在任意位置、任意時間、成員總數不受限制地加入或退出組播組。組播路由器不需要也不可能保存所有主機的成員關系，它只是通過igmp協議了解

8、每個接口連接的網段上是否存在某個組播組的接收者，即組成員。而主機方只需要保存自己加入了哪些組播組。 ligmp在主機與路由器之間是不對稱的：主機需要響應組播路由器的igmp查詢報文，即以igmp membership report報文響應；路由器周期性發送成員資格查詢報文，然后根據收到的響應報文確定某個特定組在自己所在子網上是否有主機加入，并且當收到主機的退出組的報告時，發出特定組的查詢報文（igmp版本2），以確定某個特定組是否已無成員存在。*網絡安全概述2.3.1 TCP (傳輸控制協議)TCP 通信的可靠性在于使用了面向連接的會話。主機使用 TCP 協議發送數據到另一主機前，傳輸層會啟動

9、一個進程，用于創建與目的主機之間的連接。通過該連接，可以跟蹤主機之間的會話或者通信數據流。同時，該進程還確保每臺主機都知道并做好了通信準備。完整的 TCP 會話要求在主機之間創建雙向會話。 *網絡安全概述*網絡安全概述*網絡安全概述*網絡安全概述*網絡安全概述*網絡安全概述*網絡安全概述*網絡安全概述UDP 是一種簡單協議，提供了基本的傳輸層功能。與 TCP 相比，UDP 的開銷極低，因為 UDP 是無連接的，并且不提供復雜的重新傳輸、排序和流量控制機制。不過，這并不說明使用 UDP 的應用程序不可靠，而僅僅是說明，作為傳輸層協議，UDP 不提供上述幾項功能，如果需要這些功能，必須通過其它方式來實現。*網絡安全概述UDP提供基本的傳輸層功能低開銷UDP 是無連接的，并且不提供復雜的重新傳輸、排序和流量控制機制l使用使用UDP的應用的應用:域名系統 (DNS)簡單網絡管理協議 (SNMP)動態主機配置協議 (DHCP)路由信息協議 (RIP)簡單文件傳輸協議 (TFTP)網絡游戲*網絡安全概述UDP 僅僅是將接收到的數據按照先來后到的順序轉發到應