第2章TCP、IP协议族及其安全隐患

第2章TCP/IP协议族及其安全隐患计算机网络的演变第一阶段：理论基础研究的基础第二阶段：新型分组交换技术的诞生标志着计算机网络与通信技术的结合基本成型第三阶段：TCP／IP协议的提出标志着通信与计算机技术的结合基本完成计算机网络的概念能够相互共享资源的方式互连起来的自治计算机系统的集合通信技术计算机技术计算机网络技术角度资源共享角度对信息的存储和处理实现计算机与计算机之间的互连、互通计算机网络的的性质分散性计算机网络所连接的计算机系统可以是分布在不同地理位置的多台独立的计算机系统。异构性计算机网络中所包含的计算机不论是在组成上，还是功能上，都可以有显著的不同。自治性参与连接计算机网络的计算机应该是“自治计算机系统”，即所有计算机应该实行自我管理。4计算机网络协议用来规定信息格式语法用来说明通信双方应当怎么做语义详细说明事件的先后顺序时序规则网络协议包含三个基本要求计算机网络分类广播式网络（BroadcastNetworks）点对点网络（Point-to-PointNetworks）按传输技术分类局域网（LAN）城域网（MAN）广域网（WAN）按网络的覆盖范围与规模分类6计算机网络的组成与结构资源子网通信子网主机局域网主机局域网主机局域网大型机终端路由器路由器路由器路由器路由器路由器终端常见计算机网络拓扑结构总线型结构8常见计算机网络拓扑结构环状结构网络连接设备常见计算机网络拓扑结构星状结构常见计算机网络拓扑结构树状结构常见计算机网络拓扑结构网状结构常见计算机网络拓扑结构无线接入设备无线终端无线终端无线通信基站无线通信基站地面接受天线卫星无线通信与卫星通信网络结构

TCP/IP协议基础——OSI参考模型(Cont.)

应用进程访问网络服务的窗口应用层解释不同控制码、字符集和图形字符等表示层负责建立、维护和同步通信设备之间的交互操作会话层负责整个消息无差错、按顺序地的从信源到信宿传递过程传输层负责数据包成功和有效率地经过多条链路、由信源到信宿的传递过程网络层负责将数据帧无差错地从一个站点送达下一个相邻站点数据链路层数据链路实体间透明的比特（Bit）流传输物理层TCP/IP协议基础——TCP/IP协议栈(Cont.)

直接为网络应用提供服务，使得应用程序能通过网络收发数据应用层提供面向连接的服务和无连接的服务传输层提供无连接服务。网络层负责对数据包进行路由选择网络层负责在物理媒介中传输端到端数据包数据链路层实现端到端比特流传输物理层TCP/IP协议基础——TCP/IP协议栈(Cont.)

SMTPHTTPTELNETDNSSNMPTFTPRPCTCPUDPARP,RARP,etc.IP,ICMP,IGMP应用层传输层网络层数据链路层TCP/IP协议基础——协议数据封装应用层传输层网络层数据链路层物理层应用层传输层网络层数据链路层物理层AHTHIHFHBitsDATAFT网络接口层协议及安全威胁根据交换机表来决定把到达的帧发送到哪个端口，而不是广播接收到的帧第一，如果帧的目的MAC地址为广播地址，广播该帧，即：FF-FF-FF-FF-FF-FF。第二，如果帧的目的MAC地址在交换机表中查不到对应的表项，则广播该帧。窃听窃听18地址解析协议硬件类型硬件地址长度(n)发送方硬件地址(n字节)发送方协议地址(m字节)目的方硬件地址(n字节)目的方协议地址(m字节)协议地址长度(m)协议类型操作0153119地址解析协议的安全威胁网关192.168.10100:00:00:00:00:A1192.168.10200:00:00:00:00:A2192.168.10300:00:00:00:00:A3192.168.10400:00:00:00:00:A4192.168.100:00:00:00:00:01Internet谁是02我是00:00:00:00:00:010100:00:00:00:00:A10200:00:00:00:00:A20300:00:00:00:00:A30400:00:00:00:00:A420地址解析协议的安全威胁网关192.168.10100:00:00:00:00:A1192.168.10200:00:00:00:00:A2192.168.10300:00:00:00:00:A3192.168.10400:00:00:00:00:A4192.168.100:00:00:00:00:01Internet我是00:00:00:00:00:A20100:00:00:00:00:A1……版本号标识生存期源IP地址目的IP地址选项数据IP协议填充位报头校验和分段移位标志(13)总长度标志(3)协议标识服务类型包头长度0153122IP协议的安全威胁拒绝服务攻击避免被追踪而受到惩罚，构造针对同一目的IP地址的IP分组，而源IP地址为随机的IP地址基于IP地址认证的网络服务假冒可信的IP地址而非法访问计算机资源23TCP协议TCP源端口序列号确认号包头长度（4）校验和选项数据TCP目的端口窗口紧急指针填充位保留(6)控制位(6)0153124TCP连接的建立已经建立的TCP连接SEQ=ISNA=1000

(SYN=1)主机B主机ASEQ=ISNB=2000ACKA=1001(SYN=1,ACK=1)SEQ=1000ACK=2001(ACK=1)TCP连接的释放已经建立的TCP连接SEQ=6000

(FIN=1)主机B主机ASEQ=8000ACK=6001

(ACK=1)SEQ=6001ACK=8001(ACK=1)连接被释放SEQ=8000ACK=6001

(FIN=1)TCP协议的特点全双工连接(full-duplexconnection)该连接的两端有两条彼此独立、方向相反的传输通道面向连接(connection-oriented)通信双方在开始传输数据前，必须通过“三次握手”的方式在二者之间建立一条逻辑上的链路（虚电路），用于传输数据可靠性(reliable)自动分片；保证传送给应用层的数据顺序是正确的；自动过滤重复的封包；确认-重传确保数据包可靠到达面向字节流(byte-stream)议将应用程序和网络传输相分割，为流传输服务提供了一个一致的接口TCP的安全威胁SEQ=ISNA=1000

(SYN=1)主机B主机ASEQ=ISNB=2000ACKA=1001(SYN=1,ACK=1)…TCP的安全威胁主机B主机ARST…已经建立的TCP连接SEQ=1000ACK=2091产生随机源IP和随机源端口查表产生随机源IP和随机源端口RSTSEQ=1001ACK=2092查表RSTSEQ=1002ACK=2121产生随机源IP和随机源端口查表29TCP的安全威胁(Cont.)主机A服务器攻击者已经建立的TCP连接SEQ=1000ACK=2001SEQ=6000ACK=1001RST30TCP的安全威胁(Cont.)服务器攻击者目的地址和源地址均为服务器地址SEQ=ISNA=1000

(SYN=1)SEQ=2000ACKA=1001(SYN=1,ACK=1)SEQ=1000ACK=2001(ACK=1)已经建立的TCP空连接31UDP协议UDP源端口消息长度数据UDP目的端口校验和0153132UDP协议的特点无连接的协议传输数据之前，源端和目的端无需建立连接。不可靠的协议如果在从发送方到接收方的传递过程中出现数据报的丢失，协议本身并不能做出任何检测或提示不保序的协议不能确保数据的发送和接收顺序33UDP的安全威胁04服务器0301可信客户端①UDP请求源地址01②UDP应答34UDP的安全威胁(Cont.)04服务器0301可信客户端①UDP请求②填充UDP应答源地址04UDP应答域名服务协议comorgcnedunet/org/uk/…educom/org/…uestcwwwbbsccseme/ee/…域名服务协议(Cont.)客户端本地DNS服务器0其他DNS①DNS查询?②DNS查询?③DNS应答0④DNS应答0⑤HTTP请求⑥HTTP应答域名服务协议安全威胁DNS服务器受害客户端①?ID=111②?ID=36③=和一些其他被篡改的记录，ID=36④=ID=111域名服务协议安全威胁(Cont.)DNS服务器受害客户端①?ID=111②=ID=111攻击者39域名服务协议安全威胁(Cont.)DNS服务器受害客户端②=ID=xxxx大量猜测ID的伪造应答数据包攻击者①?ID=xxxx发出大量查询③?④=40域名服务协议安全威胁(Cont.)DNS服务器组攻击者被攻击者①?ID=xxxx发出大量查询，FromIP=②=大量应答41超文本传输协议本地DNS服务器2客户端HTTP协议安全威胁本地DNS服务器2客户端3HTTP协议安全威胁(Cont.)持久性跨站（persistentXSSorstoredXSS）攻击数据存放于服务器。当用户访问正常网页时，服务端会将恶意的指令夹杂在正常网页中传回给用户非持久性跨站（non-persistentXSSorreflectedXSS）当服务端未能正确地过滤客户端发出的数据，并根据用户提交的恶意数据生成页面时，就有可能生成非持久性跨站攻击。DOM跨站（DOM-basedXSS）如果客户端脚本（例如JavaScript）动态生成HTML的时候，没有严格检查和过滤参数，则可以导致DOM跨站攻击。电子邮件传输过程MTAMUASenderMTAMUASender信头主体45常见电子邮件协议SMTP（简单邮件传输协议）主要负责底层的邮件系统如何将邮件从一台机器传至另外一台机器POP3（邮局协议）目前的版本为POP3，POP3是把邮件从电子邮箱中传输到本地计算机的协议IMAP（Internet邮件访问协议）目前的版本为IMAP4，是POP3的一种替代协议，提供了邮件检索和邮件处理的新功能HTTP(S)通过浏览器使用邮件服务时使用S/MIME支持