1、第一章 網絡安全基礎 牛秋娜信息工程教研室提綱 1.1 Internet起源、現狀及未來 1.2 網絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協議和TCP協議提綱 1.1 Internet起源、現狀及未來 1.2 網絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協議和TCP協議Internet的作用已從信息的共享發展成為發布和交流 Internet已不再是一門技術而是作為一種文化融入了人類社會的各個角落“第四媒體”承載著更多的社會屬性 問題： 網絡資源已無法滿足日益增長的需要 IP地址空間不足； 帶寬太窄； 各個網站的主Sever不堪

2、重負； 解決方案與理論 IPv6 對等模式（P2P，Peer-to-Peer）Internet的發展方向（1）提綱 1.1 Internet起源、現狀及未來 1.2 網絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協議和TCP協議互連網示意圖協議分層 What? 通話的規則，雙方關于如何通信達成的一致！ Why? 減少協議設計的復雜性！ How? 不同模型有不同的分層原則！物理介質第5層第4層第1層第2層第3層第1層第2層第3層第4層第5層1/2層接口3/4層接口2/3層接口4/5層接口第1層協議第2層協議第3層協議第4層協議第5層協議主機主機1 1主機主機2 2提

3、綱 1.1 Internet起源、現狀及未來 1.2 網絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協議和TCP協議OSI參考模型 ISO OSI開放系統互聯參考模型 open system interconnection reference model 關于如何把開放式系統連接起來 OSI分層原則： 根據不同層次的抽象分層； 每層應當實現一個定義明確的功能； 每層功能的選擇應該有助于制定網絡協議的國際標準 各層邊界的選擇應盡量減少跨過接口的通信量； 層數應足夠多，以避免不同的功能混雜在同一層中，但也不能太多，否則體系結構會過于龐大。提綱 1.1 Internet

4、起源、現狀及未來 1.2 網絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協議和TCP協議應用層傳輸層（TCP層）互聯網層（IP層）通信層TELNet, FTP, SMTP, DNS, NNTP, HTTP TCP,UDP使源端口和目的端口的對等實體可以對話IP把分組發往任何網絡，并使分組獨立傳向目標沒有詳細描述，只是指出主機必須使用某種協議與網絡相連 問題：TCP/IP RM與ISO OSI RM 的對應關系？ TCP/IP參考模型TCP/IP模型TCP/IP與OSI對應協議層和相應PDU名稱TCP/IP協議棧主流協議TCP/IP RM與OSI RM對比 OSI

5、RM優缺點 OSI產生在協議發明之前工業標準，容易實現不同網絡技術的互連和互操作沒有經驗，哪些功能放在哪層？七層模型過于復雜，實現效率低。 TCP/IP RM優缺點4/5層模型，結構簡單對已有協議的描述，不會出現協議不匹配模型的情況事實上的計算機網絡互連標準不適合于任何其他協議棧提綱 1.1 Internet起源、現狀及未來 1.2 網絡軟件 1.3 OSI參考模型 1.4 TCP/IP參考模型 1.5 IP協議和TCP協議 IP協議實現兩個功能：尋址尋址：根據數據報頭中所含的目的地址將數據報傳送到目的端，傳送過程中對道路的選擇稱為路由路由。分段分段：當一些網絡只能傳送小數據報時，IP協議將數

6、據報分段并在報頭注明。數據報也可被標記為“不可分段”，如果一個數據報被如此標記，那么在任何情況下都不準對它進行分段。如果因此到不了目的地，那數據報就會在中途被拋棄。 IP協議通過4 4個關鍵機制個關鍵機制來提供它的服務：服務類型，生存期，可選項，頭部校驗；IP協議可選項可選項目的地址目的地址源地址源地址生命期生命期標識標識分段偏移分段偏移頭校驗和頭校驗和協議協議標記標記版本版本總長總長服務類型服務類型頭部長頭部長32 bits課堂問題：課堂問題：頭部的長度范圍？頭部的長度范圍？“可選項可選項”最多為多最多為多少字節？少字節？服務質量如何保證？服務質量如何保證？IP數據報最多為多少數據報最多為多

7、少字節？字節？哪些字段與數據報的哪些字段與數據報的分組有關？分組有關？實際使用中，數據報實際使用中，數據報分組的生命周期如何分組的生命周期如何計算？計算？IP協議數據報的頭格式 IP地址的形式 97 32bits，4Bytes；將每個Byte用“.”分開寫成4個十進制數的形式； 包含網絡網絡ID（代表一個子網絡）和主機主機ID（代表這一子網絡上的某一主機）兩部分。 互聯網上的每個接口都有一個IP地址 沒有兩臺有同一IP地址的機器,or “沖突”!IP地址IP地址分類及格式5555192.

8、0.0.0555555主機地址范圍IP地址 特殊的IP地址： 主機號全全1的地址是該網絡的廣播地址廣播地址； 主機號全全0的地址是該網絡的網絡地址網絡地址； 55是主機所在網絡上的廣播地址廣播地址； 55是主機的回送地址回送地址，通常用于網絡測試網絡測試； 55保留給內部網絡使用； 55保留給內部網絡使用；

9、55保留給內部網絡使用；TCP連接管理連接管理vTCP三次握手三次握手TCP連接管理連接管理vTCP連接-三次握手clientserverSYN(seq=a)SYN(seq=b,ack=a+1)ACK(seq=b+1)TCP連接管理連接管理v斷開TCP連接四次揮手clientserverFIN(seq=a)ACK(seq=a+1)FIN(seq=b,ack=a+1）ACK(seq=b+1)TCP協議棧的弱點及相關攻擊協議棧的弱點及相關攻擊vTCP連接的資源消耗，其中包括：數據包信息、條件狀態、序列號等。vSyn Flood：通過故意不完成建立連接所需要的三次握手過程，

10、造成連接一方的資源耗盡。 TCP協議棧的弱點及相關攻擊協議棧的弱點及相關攻擊vTCP會話劫持（TCP Session Hijack）：v會話劫持的關鍵是預測正確的序列號，攻擊者可以采取嗅探技術獲得這些信息。TCP/IP協議實現協議實現-Socketv 所謂所謂socket通常也稱作通常也稱作“套接字套接字”，利用客戶，利用客戶/服務服務器模式解決了進程之間建立通信連接的問題器模式解決了進程之間建立通信連接的問題v Socket有三種類型：面向連接的流式套接字有三種類型：面向連接的流式套接字 ；面；面向無連接的數據報套接字和原始套接字。前兩者向無連接的數據報套接字和原始套接字。前兩者工作在應用層

11、，原始套接字可進行較低層次的操工作在應用層，原始套接字可進行較低層次的操作。作。v 每一個每一個socket用一個半相關描述用一個半相關描述: (協議，本地地址，本地端口協議，本地地址，本地端口)TCP/IP協議實現-Socketv流程實例-流式套接字v 服務器端先初始化服務器端先初始化Socket，然后與端口綁，然后與端口綁定定(bind)，對端口進行，對端口進行監聽監聽(listen)，調用，調用accept阻塞，等待客戶阻塞，等待客戶端連接。端連接。v 在這時如果有個客戶端在這時如果有個客戶端初始化一個初始化一個Socket，然，然后連接服務器后連接服務器(connect)，如果連接成功

12、，這時，如果連接成功，這時客戶端與服務器端的連客戶端與服務器端的連接就建立了。客戶端發接就建立了。客戶端發送數據請求，服務器端送數據請求，服務器端接收請求并處理請求，接收請求并處理請求，然后把回應數據發送給然后把回應數據發送給客戶端，客戶端讀取數客戶端，客戶端讀取數據，最后關閉連接，一據，最后關閉連接，一次交互結束。次交互結束。TCP/IP協議實現-Libpcap/Winpcapv Libcap和和Winpcap實現了對實現了對Socket的封裝，在的封裝，在Socket上提供了一層接口，方便開發者調用。上提供了一層接口，方便開發者調用。v Libpcap是是Unix/Linux平臺下的網絡數

13、據包捕獲平臺下的網絡數據包捕獲函數庫，函數庫，Winpcap是是Lipcap的的Win32版本版本v Winpcap和和Libpcap主要用于協議分析主要用于協議分析,發送報文發送報文,網絡控制等，功能更強大一些網絡控制等，功能更強大一些Pingv 使用使用pingping可以測試計算機名和計算機的可以測試計算機名和計算機的IP地址；地址；v 驗證與遠程計算機的連接；驗證與遠程計算機的連接；v 通過將通過將ICMP回顯數據包發送到計算機并偵聽回顯回復數回顯數據包發送到計算機并偵聽回顯回復數據包，來驗證與一臺或多臺遠程計算機的連接；據包，來驗證與一臺或多臺遠程計算機的連接；v 該命令只有在安裝了該命令只有在安裝了TCP/IP協議后才可以使用；協議后才可以使用；v 按照缺省設置，按照缺省設置，Windows上運行的上運行的Ping命令發送命令發送4個個ICMP（網間控制報文協議）回送請求，每個（網間控制報文協議）回送請求，每個32字節數字節數據，如果一切正常，應能得到據，如果一切正常，應能得到4個回送應答；個回送應答；Pingv按照缺省設置，按照缺省設置，Windows上運行的上運行的Ping命令發送命令發送4個個ICMP（網間控制報文協議）回送請求，每個（網間控制報文協議）回送請求，每個32字節數字節數據，如果一切正常，應能得到據，如果一切正