网络通信安全基础

前言－网络通信的安全1OSI七层模型2内容网络通信的安全：通信线路和层次结构的安全性。TCP/IP协议存在的安全威胁：协议协议的安全问题捕获协议的原理。3重点：TCP/IP协议存在的安全威胁。41.网络通信的安全

网络的开放性和黑客的攻击是网络不安全的主要原因。Internet在设计之初就缺乏对安全性的总体设计和构想，所用的TCP/IP协议是建立在可信任环境之下的。51.1网络通信线路的安全性：概括计算机网络上的通信面临4种威胁。窃听(interception)：一个非授权方介入系统的攻击，破坏保密性。非授权方可以是一个人、一个程序、一台微机。包括搭线窃听文件或程序的不正当拷贝。也叫截获中断(interruption)：使信息系统被毁坏或不能使用，对可用性进行攻击。如部分硬盘的毁坏；通信线路的切断；文件管理系统的瘫痪等。也叫截取6篡改(modification)：一个非授权方不仅介入系统而且在系统中进行攻击，破坏信息的完整性。包括改变数据文件；改变程序使之不能正确执行，修改信件内容等。伪造(fabrication)：一个非授权方将伪造的客体插入系统中，破坏真实性的攻击。包括网络中插入假信件；或在文件中追加记录等。7。。8上述四种威胁可划分为两大类，即被动攻击和主动攻击。破坏保密性91.2网络层次结构的安全性：应用层——主机安全措施、身份认证、加密、数字签名。传输层——身份认证、口令、访问控制、加密网络层——身份认证、访问控制、加密、一致性检查、防火墙、IPSec。102、TCP/IP协议存在的安全威胁

2.1.TCP/IP协议概述：11Telnet：远程登录协议。SMTP：简单邮件传输协议。RIP：路由信息协议。IGMP：Internet组管理协议。ICMP：Internet控制报文协议。122.2TCP/IP协议的安全问题

（一）网上信息易被截取：Internet网上的大多数信息是没有经过加密的。

互联网是一种网间网技术，说到底它是一种类局域网。虽然互联网上的传输是点对点的，但一般互联网上的主机往往是处于某一个局域网中，局域网都是广播型网络，网上任何一台机器都可以收到这个消息。一般，以太网卡收到别人的消息时候会自动丢弃，而不向上（本机）传送，但是以太网卡的接收模式可以设置成为混合型，这样网卡就会把这些信息向本机传送。13（二）IP的缺陷导致易被欺骗：

1、IP包中的源地址可以伪造：

IP地址可以用软件配置，就存在着地址冒充和地址欺骗；14

2、IP包中的”生成时间”可以伪造：由于发送者极易更改主机的系统时间，而接收者又不作时间核实，它相信发送者的时间，这也容易导致伪造和欺骗。15

3、薄弱的认证环节：

TCP/IP网络中常把IP包中的信源/信宿地址作为许多服务的认证的基础，这样的认证是不可靠的。

16（三）TCP和UDP端口结构的缺陷：端口是一个软件结构，被客户程序或服务进程用来发送和接收消息。一个端口对应于一个16位的数。其中1024个端口号已分配给专门的服务，用户的应用程序可使用的端口号为1024～65535。17

21－FTP；

23－Telnet；

25－SMTP；

53－DNS；

80－WEB；常用的服务端口号是公开的。因为在建立特定的主机或服务的连接时，需要这些地址和端口号。这也为攻击者提供了公开的秘密。18（四）、TCP/IP协议明码传送信息导致易被监视：

1、黑客可以通过探测工具（Sniffer、Tcpdump、Snoop）来窃听以太网中的明文；

2、用户使用Telnet和FTP连接远程主机时，在Internet上传输的口令是没有经过加密的，黑客可以通过监视携带用户名和口令的IP包获取；19（五）提供不安全的服务：

WWW、FTP、Email等等服务在一定程度上都存在安全缺陷。202.3.常用的网络命令

（1）Ping指令：通过发送ICMP包来验证与另一台TCP/IP计算机的相连接。用于检测网络的连接性和可到达性。应答的消息的接收情况和往返过程的次数一起显示出来。

Ping0821命令格式

-t—有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直到你按下Ctrl-C。

-a—解析主机的NETBIOS主机名，如果你想知道你所ping的要机计算机名则要加上这个参数了，一般是在运用ping命令后的第一行就显示出来。

22

-ncount—定义用来测试所发出的测试包的个数，缺省值为4。通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数的命令获知。

-llength—定义所发送缓冲区的数据包的大小，在默认的情况下windows的ping发送的数据包大小为32byt，也可以自己定义，但有一个限制，就是最大只能发送65500byt，超过这个数时，对方就很有可能因接收的数据包太大而死机，所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。23（2）Tracert（广域网中诊断经过的路由信息）

tracert[ip_addr/域名/主机名]D:\>tracert

Tracingrouteto[2]overamaximumof30hops:115ms<10ms16ms215ms16ms<10ms13<10ms16ms15ms1416ms<10ms16ms775<10ms16ms16ms^C24（3）ipconfig指令：显示所有TCP/IP网络配置信息，DHCP和DNS设置。可以显示所有网卡的IP地址、子网掩码和默认网关。参数”/all”的功能是显示所有网卡的完整TCP/IP配置信息。25（4）netstat指令：显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息。使用“netstat–an”命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。状态为“listening”表示某端口正在监听，还没有和其他计算机建立连接；“establishing”表示正在和某计算机进行通信，并将通信计算机的IP地址和端口号显示出来。

Netstat-an26（5）net指令：用来查看计算机上的用户列表、添加和删除用户、与对方计算机建立连接、启动或停止某网络服务等。使用“netuser”查看计算机上的用户列表。使用“netuser用户名密码”给某用户修改密码。使用“netuser用户名密码/add

可以给某用户添加密码

27使用“netuse\\ip地址\IPC$用户名/user：密码”建立信任连接，一旦建立信任连接，就可以在命令行下完全控制对方计算机。使用“nettime\\ip地址”可以查看对方的时间。使用“netstarttelnet”和“netstop”可以远程启动和停止本地计算机上的服务。28netuseradministrator12345netuserjack12345/add;netuse\\08\ipc$administrator

/user:12345

netstarttelnetnetuser*/del;nettime\\08;29（7）netsend命令

netsend2hello要先打开messenger服务。302.4.网络协议的捕获（使用Win网络监视器、Sniffer）TCP/IP数据报的结构31⑴

IP地址：

A：1~127B：128~191C：192~223D：224~239E：240~2543233子网掩码：子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。

两台计算机各自的IP地址与子网掩码进行二进制“与”（AND）运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通讯。34例/16（子网掩码为：）

00000035（2）IP报文格式：一个IP数据包由包头和数据体两部分组成。包头由20字节的固定部分和变长的可选项组成。3637IP头结构在所有协议中都是固定的1）版本：占第一个字节的高四位。

2）首部长度：占第一个字节的低四位。3）服务类型：前3位为优先字段权，第4位：最小延迟；

5：最大吞吐量；

6：最高可靠性

7：最小费用。4）封包总长度：整个IP报的长度，单位为字节。38

5）存活时间：就是封包的生存时间。通常用通过的路由器的个数来衡量，比如初始值设置为32，则每通过一个路由器处理就会被减一，当这个值为0的时候就会丢掉这个包，并用ICMP消息通知源主机。6）协议：定义了数据的协议，分别为：TCP、UDP、ICMP和IGMP。定义为：UDP:17；TCP:6；ICMP:1；EGP:8；IGP:9；OSPF:89。7）检验和：校验的首先将该字段设置为0，然后将IP头的每16位进行二进制取反求和，将结果保存在校验和字段。39

8）源IP地址：

9）目的IP地址：40思考报文格式固定，在网络监听中的弊端是什么？41在网络协议中，IP是面向非连接的，所谓的非连接就是传递数据的时候，不检测网络是否连通。所以是不可靠的数据报协议，IP协议主要负责在主机之间寻址和选择数据包路由。在传输层上的TCP协议是面相连接的协议。42（3）TCP报文格式（开通FTP服务器，抓FTP报文。源端口（16b）目的端口（16b）序号确认序号：接收者回发的应答顺序头长度（4b）保留6b）URG|ACK|PSH|RST|SYN|FIN窗口大小：目标主机告诉源主机，想收到的每个TCP数据段