第2章-网络的体系结构及协议基础-课件

1、第2章 网络体系结构及协议基础本章学习目标了解OSI模型及安全体系了解TCP/IP网络模型及安全体系结构掌握常用的网络协议和网络命令掌握协议分析工具的使用方法第2章 网络体系结构及协议基础本章学习目标2.1 网络的体系结构2.1.1 网络的层次结构 分层是系统分解的最好方法之一 层次结构的好处在于使每一层实现一种相对独立的功能， 每一层向上一层提供服务，同时接受下一层提供的服务。 每一层不必知道下面一层是如何实现的，只要知道下层通过层间接口提供的服务是什么，以及本层向上层提供什么样的服务，就能独立地设计。 这就是常说的网络层次结构 2.1 网络的体系结构2.1.1 网络的层次结构 分层2.1.

2、2 服务、接口和协议 网络协议 在某层上进行通信所使用的规则、标准或约定的集合就称为协议(Protocol)。各层协议按层次顺序排列而成的协议序列称为协议栈。协议主要由下列三个要素组成：(1)语义(Semantics)：涉及用于协调与差错处理的控制信息。(2)语法(Syntax)：涉及数据及控制信息的格式、编码及信号电平等。(3)定时(Timing)：涉及速度匹配和排序等。2.1.2 服务、接口和协议 网络协议不同系统中的对等实体是没有直接通信能力的，它们间的 通信必须通过其下各层的通信间接完成。第N层实体向第N+1层实体提供的在第N层上的通信能力称为第N层的服务。在接口处规定了下层向上层提供

3、的服务，以及上下层实体请求或提供服务所使用的形式规范语句（服务原语）。 不同系统中的对等实体是没有直接通信能力的，它们间的2.2 OSI模型及其安全体系1OSI-RM的层次结构 2.2 OSI模型及其安全体系1OSI-RM的层次结构2OSI-RM的数据格式 2OSI-RM的数据格式 2.2.2 OSI模型的安全服务 1认证 2访问控制 3数据机密性 4数据完整性5抗否认 2.2.2 OSI模型的安全服务 1认证 2.2.3 OSI模型的安全机制 1加密机制 2数字签名机制 3访问控制机制 4数据完整性机制5鉴别交换机制 6通信流量填充机制 7路由选择控制机制 8公证机制 2.2.3 OSI模型

4、的安全机制 1加密机制 2.3 TCP/IP模型及其安全体系1TCP/IP参考模型的层次结构 2.3 TCP/IP模型及其安全体系1TCP/IP参考模2.3.2 TCP/IP的安全体系1链路层安全 2网络层安全3传输层保护的网络4应用层安全性 2.3.2 TCP/IP的安全体系1链路层安全 2.4 常用网络协议和服务 2.4.1 常用网络协议1IP协议 2TCP协议 3UDP协议 4ICMP协议 2.4 常用网络协议和服务 2.4.1 常用网络协议1.2 网络体系结构及各层的安全性1.2.1 网络结构1.2.2 OSI-RM及所提供的安全服务1.2.3 TCP/IP参考模型1.2 网络体系结构

5、及各层的安全性1.2.1 网络结构1.2.1 网络结构1网络的层次结构层次结构的好处:每一层实现一种相对独立的功能每一层向上一层提供服务接受下一层提供的服务。 1.2.1 网络结构1网络的层次结构层次结构的好处:1.2.2 OSI-RM及所提供的安全服务1OSI-RM的层次结构1.2.2 OSI-RM及所提供的安全服务1OSI-RM1.2.2 OSI-RM及所提供的安全服务OSI协议有三个主要的概念服务、接口和协议。服务定义了某一层应该做什么接口则告诉处于上一层的进程如何访问该层协议则定义实体间数据通信的规则。1.2.2 OSI-RM及所提供的安全服务OSI协议有三个1.2.2 OSI-RM及

6、所提供的安全服务2OSI-RM的数据格式1.2.2 OSI-RM及所提供的安全服务2OSI-RM3OSI模型的安全服务认证服务访问控制数据机密性服务数据完整性服务不可否认服务。3OSI模型的安全服务1.2.3 TCP/IP参考模型1TCP/IP参考模型的层次结构 TCP/IP网络的层次结构及信息格式1.2.3 TCP/IP参考模型1TCP/IP参考模型的层1.2.3 TCP/IP参考模型TCP/IP模型各层包括的主要协议及其与OSI层次模型的对应关系1.2.3 TCP/IP参考模型TCP/IP模型各层包括的主1.2.3 TCP/IP参考模型2TCP/IP模型各层的功能应用层：是面向用户的各种应

7、用软件，是用户访问网络的界面。 传输层：实现源主机和目的主机上的实体之间的通信。 网络层：负责数据包的路由选择功能 网络接口层：负责接收IP数据包并通过网络传输介质发送数据包。 1.2.3 TCP/IP参考模型2TCP/IP模型各层的功1.2.3 TCP/IP参考模型3. TCP/IP的安全体系(1) 链路层安全(2) 网络层安全(3) 传输层保护的网络(4) 应用层安全性1.2.3 TCP/IP参考模型3. TCP/IP的安全体系IP头的结构版本（4位）头长度（4位）服务类型（8位）封包总长度（16位）封包标识（16位）标志（3位）片断偏移地址（13位）存活时间（8位）协议（8位）校验和（1

8、6位）来源IP地址（32位）目的IP地址（32位）选项（可选）填充（可选）数据IP头的结构版本（4位）头长度（4位）服务类型（8位）封包总IPv4的IP地址分类 IPv4地址在1981年9月实现标准化的。基本的IP地址是个32位二进制数，以8位为一个单元，分为4组。为了方便使用，把二进制地址转变为人们熟悉的十进制地址。IP地址中的每一个8位组用0255之间的一个十进制数表示。这些数之间用点“”隔开，因此，最小的IPv4地址值为，最大的地址值为55，然而这两个值是保留的，没有分配给任何系统。IP地址分成五类：A类地址、B类地址、C类地址、D类地址和E类地址。每一个IP地址包括两部分： 网络地址；

9、 主机地址。 上面五类地址对所支持的网络数和主机数有不同的组合。IPv4的IP地址分类 IPv4地址在1981年9月实现标准1、A类地址一个A类IP地址仅使用第一个8位组表示网络地址。剩下的3个8位组表示主机地址。A类地址的第一个位总为0，这一点在数学上限制了A类地址的范围小于127，因此理论上仅有127个可能的A类网络，而地址又没有分配，所以实际上只有126个A类网。技术上讲，也是一个A类地址，但是它已被保留作闭环（Look Back）测试之用而不能分配给一个网络。A类地址后面的24位表示可能的主机地址，A类网络地址的范围从到。每一个A类地址能支持16,777,214个不同的主机地址，这个数

10、是由2的24次方再减去2得到的。减2是必要的，因为IP把全0保留为表示网络而全1表示网络内的广播地址。1、A类地址一个A类IP地址仅使用第一个8位组表示网络地址。2、B类地址设计B类地址的目的是支持中到大型的网络。 B类网络地址范围从到。B类地址蕴含的数学逻辑是相当简单的。一个B类IP地址使用两个8位组表示网络号，另外两个8位组表示主机号。B类地址的第1个8位组的前两位总是设置为1和0，剩下的6位既可以是0也可以是1，这样就限制其范围小于等于191，这里的191由128+32+16+8+4 +2+1得到。最后的16位（2个8位组）标识可能的主机地址。每一个B类地址能支持64,534个惟一的主机

11、地址，这个数由2的16次方减2得到，B类网络有16,382个。2、B类地址设计B类地址的目的是支持中到大型的网络。3、C类地址C类地址用于支持大量的小型网络。C类地址使用三个 8位组表示网络地址，仅用一个8位组表示主机号。与A类相反。C类地址的前3位数为110，前两位和为192(128+64)，这是C类地址空间的下界。第三位等于十进制数32，这一位为0限制了地址空间的上界。不能使用第三位限制了此8位组的最大值为255-32等于22最后一个8位组用于主机寻址。每一个C类地址理论上可支持最大256个主机地址(0255)，但是仅有254个可用，因为0和255不是有效的主机地址。可以有2,097,15

12、0个不同的C类网络地址。在IP地址中，0和255是保留的主机地址。IP地址中所有的主机地址为0用于标识局域网。全为1表示此网段中的广播地址。3、C类地址C类地址用于支持大量的小型网络。C类地址使用三个4、D类地址D类地址用于在IP网络中的组播（Multicasting）。D类组播地址机制仅有有限的用处。一个组播地址是一个惟一的网络地址。它能指导报文到达预定义的IP地址组。因此，一台机器可以把数据流同时发送到多个接收端，这比为每个接收端创建一个不同的流有效得多。组播长期以来被认为是IP网络最理想的特性，因为它有效地减小了网络流量。D类地址空间，和其他地址空间一样，有其数学限制，D类地址的前4位恒

13、为1110，预置前3位为1意味着D类地址开始于128+64+32等于224。第4位为0意味着D类地址的最大值为128+64+32+8+4+2+1为239，因此D类地址空间的范围从到239.255.2 55.254。4、D类地址D类地址用于在IP网络中的组播（Multicas5、E类地址E类地址虽被定义为保留研究之用。因此Internet上没有可用的E类地址。E类地址的前4位为1，因此有效的地址范围从至55。5、E类地址E类地址虽被定义为保留研究之用。因此Intern子网掩码子网掩码是用来判断任意两台计算机的IP地址是否 属于同一子网络的根据。最为简单的理解就是两台计算机各自的IP地址与子网掩码

14、进行二进制“与”（AND）运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通讯。计算机A的IP地址为，子网掩码为，将转化为二进制进行“与”运算，运算过程如表2-3所示。子网掩码子网掩码是用来判断任意两台计算机的IP地址是否子网掩码计算机A的IP地址为，子网掩码为，将转化为二进制进行“与”运算，运算过程如表2-3所示。IP地址11010000.10101000.00000000.00000001子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.

15、00000000运算的结果转化为十进制子网掩码计算机A的IP地址为，子网掩码子网掩码计算机B的IP地址为54，子网掩码为，将转化为二进制进行“与”运算。运算过程如表2-4所示。IP地址11010000.10101000.00000000.11111110子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制子网掩码计算机B的IP地址为54，子网子网掩码计算机C的IP地址为，子网掩码为，将转化为二进制进行“与”运算。运算过程如表2-5所示。IP地址1

16、1010000.10101000.00000000. 00000100子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制子网掩码计算机C的IP地址为，子网掩码2TCP协议 TCP是传输层协议，提供可靠的应用数据传输。TCP在两个或多个主机之间建立面向连接的通信。TCP支持多数据流操作，提供错误控制，甚至完成对乱序到达的报文进行重新排序。2TCP协议 TCP是传输层协议，提供可靠的应用数据传输。TCP协议的头结构 和IP一样，TCP的功能受限于其

17、头中携带的信息。因此理解TCP的机制和功能需要了解TCP头中的内容，表2-6显示了TCP头结构。来源端口（2字节）目的端口（2字节）序号（4字节）确认序号（4字节）头长度（4位）保留（6位）URGACKPSHRSTSYNPIN窗口大小（2字节）校验和（16位）紧急指针（16位）选项（可选）数据TCP协议的头结构 和IP一样，TCP的功能受限于其头中携带TCP协议的工作原理 TCP提供两个网络主机之间的点对点通讯。TCP从程序中接收数据并将数据处理成字节流。首先将字节分成段，然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先相互建立会话。TCP会话通过三次握手的完成初始化。

18、这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。TCP在建立连接的时候需要三次确认，俗称“三次握手”，在断开连接的时候需要四次确认，俗称“四次挥手”。TCP协议的工作原理 TCP提供两个网络主机之间的点对点通讯TCP协议的三次“握手” TCP协议的三次“握手” TCP协议的四次“挥手” 需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图所示。TCP协议的四次“挥手” 需要断开连接的时候，TCP也需要互3.用户数据报协议UDP UDP为应用程序提供发送和接收数据报的功能。某些程序（比如腾讯的OICQ）使用的是UDP协议，UDP协议在TCP/IP主机之间建

19、立快速、轻便、不可靠的数据传输通道。 3.用户数据报协议UDP UDP为应用程序提供发送和接收数据UDP和TCP的区别 UDP提供的是非连接的数据报服务，意味着UDP 无法保证任何数据报的传递和验证。UDP的结构如图所示。 UDP和TCP的区别 UDP提供的是非连接的数据报服务，意味UDP和TCP传递数据的差异UDP和TCP传递数据的差异类似于电话和明信片之间的差异。TCP就像电话，必须先验证目标是否可以访问后才开始通讯。UDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。UDP通常由每次传输少量数据或有实时需要的程序使用。在这些情况下，UDP 的低开销比TCP

20、 更适合。UDP 与TCP 提供的服务和功能直接对比 UDP和TCP传递数据的差异UDP和TCP传递数据的差异类似UDP和TCP传递数据的比较 UDP协议TCP协议无连接的服务；在主机之间不建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列化数据。TCP 通过确认和按顺序传递数据来确保数据的传递。使用 UDP 的程序负责提供传输数据所需的可靠性。使用 TCP 的程序能确保可靠的数据传输。UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。TCP 比较慢，有更高的开销要求，而且只支持点对点通讯。UDP 和 TCP 都使用端口标识每个 TCP/IP 程序的通讯

21、。UDP和TCP传递数据的比较 UDP协议TCP协议无连接的服 UDP协议的头结构 UDP的头结构比较简单，如表所示。 源端口（2字节）目的端口（2字节）封报长度（2字节）校验和（2字节）数据 UDP协议的头结构 UDP的头结构比较简单，如表所示。 源4.ICMP协议的结构 4.ICMP协议的结构 ICMP协议的头结构 ICMP头结构比较简单，如表所示。类型（8位）代码（8位）校验和（8位）类型或者代码ICMP协议的头结构 ICMP头结构比较简单，如表所示。类型ICMP数据报分析 使用Ping命令发送ICMP回应请求消息，使用Ping命令，可以检测网络或主机通讯故障并解决常见的TCP/IP连接

22、问题。分析Ping指令的数据报，如图2-27所示。 ICMP数据报分析 使用Ping命令发送ICMP回应请求消息2.2 协议分析工具sniffer的应用2.2.1 Sniffer Pro的启动和设置2.2.2 解码分析 2.2 协议分析工具sniffer的应用2.2.1 S2.2.1 Sniffer Pro的启动和设置Sniffer软件是NAI公司推出的功能强大的协议分析软件 。实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题 同类的网络分析工具：Ethereal 、Netxray、Microsoft Net Monitor等 2.2.1 Sniffer Pro的启动

23、和设置2.2.1 Sniffer Pro的启动和设置1. 启动sniffer pro2.2.1 Sniffer Pro的启动和设置1. 启动sn2.2.1 Sniffer Pro的启动和设置2.2.1 Sniffer Pro的启动和设置2.2.1 Sniffer Pro的启动和设置2.2.1 Sniffer Pro的启动和设置2.2.1 Sniffer Pro的启动和设置2、设置定义过滤器 2.2.1 Sniffer Pro的启动和设置2、设置定义过2.2.1 Sniffer Pro的启动和设置选择捕获协议、类型及长度2.2.1 Sniffer Pro的启动和设置选择捕获协议、2.2.1 Sn

24、iffer Pro的启动和设置设置触发器 2.2.1 Sniffer Pro的启动和设置设置触发器 2.2.1 Sniffer Pro的启动和设置2OSI-RM的数据格式2.2.1 Sniffer Pro的启动和设置2OSI-R2.2.1 Sniffer Pro的启动和设置报文捕获解析 捕获面板2.2.1 Sniffer Pro的启动和设置报文捕获解析 2.2.1 Sniffer Pro的启动和设置捕获报文统计 捕获报文统计 2.2.1 Sniffer Pro的启动和设置捕获报文统计 2.2.2 解码分析解码分析界面 2.2.2 解码分析解码分析界面 2.2.2 解码分析通过Sniffer解码

25、的ARP报文的结构 2.2.2 解码分析通过Sniffer解码的ARP报文的结2.2.2 解码分析Sniffer对IP协议首部的解码分析结构2.2.2 解码分析Sniffer对IP协议首部的解码分析2.4.2 常用网络服务1.FTP服务FTP的缺省端口是20（用于数据传输）和21（用于命令传输）。在TCP/IP中FTP是非常独特的，因为命令和数据能够同时传输，而数据传输是实时的，其他协议不具有这个特性。FTP客户端可以是命令界面的也可以是图形界面的。命令界面的如图2-28所示。2.4.2 常用网络服务1.FTP服务命令行等录FTP服务器 命令行等录FTP服务器 2. Telnet服务 Teln

26、et是TELecommunications NETwork的缩写，其名字具有双重含义，既指应用也是指协议自身。Telnet给用户提供了一种通过网络登录远程服务器的方式。Telnet通过端口23工作。 2. Telnet服务 Telnet是TELecommun开启Telnet服务Telnet要求有一个Telnet服务器，此服务器驻留在主机上，等待着远端机器的授权登录。要使用Telnet服务首先需要在虚拟机上开启Telnet服务，选择进入Telnet服务管理器，如图所示。开启Telnet服务Telnet要求有一个Telnet服务器开启Telnet服务在Telnet服务管理器中选择4，启动Telne

27、t服务器，如图2-32所示。开启Telnet服务在Telnet服务管理器中选择4，启动T3.Email服务目前Email服务用的两个主要的协议是：简单邮件传输协议SMTP（Simple Mail Transfer Protocol）和邮局协议POP3（Post Office Protocol）。SMTP默认占用25端口，用来发送邮件，POP3占用110端口，用来接收邮件。在Windows平台下，主要利用Microsoft Exchange Server作为电子邮件服务器。3.Email服务目前Email服务用的两个主要的协议是：简4.Web服务Web服务是目前最常用的服务，使用HTTP协议，默认Web服务占用80端口在Windows平台下一般使用IIS（Internet Information Server）作为Web服务器。4.Web服务5.常用的网络服务端口 常用服务端口列表 端口协议服务21TCPFTP服务25TCPSMTP服务53 TCP/UDPDNS服务80TCPWeb服务135TCPRPC服务137UDPNetBIOS域名服务138UDPNetBIOS数据报服