网络协议与安全第2章

网络协议与安全第2章网络协议与安全OSI模型OSI模型，即开放式通信系统互联参考模型(OpenSystemInterconnectionReferenceModel)，是国际标准化组织(ISO)提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称OSIApplicationPresentationSessionTransportNetworkDataLinkPhysicalOSI参考模型中的数据封装过程TCP/IP和OSI的对应关系TCP/IP协议体系结构TCP/IP的工作过程动画FTP、TELNET、SMTP、HTTPTCP、UDPIP、ARP、RARP、ICMP各种设备驱动程序和网络接口应用层传输层网络层链路层网络协议安全问题（TCP/IP数据封装动画演示）ARP协议功能：负责将某个IP地址解析成对应的MAC地址视频地址解析过程：ARP缓存：静态项和动态项相关命令：RARP协议漏洞：无连接；无认证常见攻击：ARP欺骗；拒绝服务攻击解决办法:IP协议提供无连接的数据报datagram传送服务数据报路由选择和差错控制Datagram和fragementIP协议支持的最长datagram为65535byteIP协议将Datagram封装为符合物理网络要求的帧格式的分片fragementIP报文格式IP协议的安全问题针对IP协议漏洞的攻击IP欺骗分片重组漏洞：Teardrop攻击、FragmentOverlap攻击、bonkRIP路由选择攻击（RIPRoutingAttacks）源路由选择欺骗（sourceroutingspoofing）定向广播数据保密性依靠上层协议IPSec：实现加密的安全通信路由体系中的应用可以保证路由广播、重定向报文等来自授权路由TCP协议提供面向连接的可靠传输的服务；提供重排IP数据包顺序，超时确认等功能；建立TCP连接：三次握手。TCP下的握手过程以及TCP下的IP欺骗端口号和套接字端口号套接字端口分类和常见端口FTP:2120SSH:22Telnet:23SMTP:25POP3:110HTTP:80HTTPS:443DNS:53NETBIOSnameservice:137,138,139SNMP:161SOCKS:1080网络状态的查看：netstatC:\DocumentsandSettings\Administrator>netstat-aActiveConnectionsProtoLocalAddressForeignAddressStateTCPWStation:epmapWStation:0LISTENINGTCPWStation:microsoft-dsWStation:0LISTENINGTCPWStation:netbios-ssnWStation:0LISTENINGTCPWStation:105550:CLOSE_WAITTCPWStation:108283:ESTABLISHEDTCPWStation:10847:ESTABLISHEDTCPWStation:10857:ESTABLISHEDTCPWStation:109947:sTIME_WAITTCPWStation:110047:sESTABLISHEDTCPWStation:netbios-ssnWStation:0LISTENINGUDPWStation:microsoft-ds*:*UDPWStation:ntp*:*UDPWStation:netbios-ns*:*UDPWStation:netbios-dgm*:*连接状态StateLISTEN 侦听来自远程TCP端口的连接请求，这是服务器 端才有的状态；SYN_SENT 在发送连接请求后等待匹配的连接请求；SYN_RECEIVED 在收到和发送一个连接请求后等待对连接请求的 确认；ESTABLISHED 代表一个打开的连接，数据可以传送给用户，表 示两机正在通讯；FIN_WAIT_1 等待远程TCP的连接中断请求，或先前的连接中 断请求的确认；FIN_WAIT_2 从远程TCP等待连接中断请求；CLOSE_WAIT 等待从本地用户发来的连接中断请求；CLOSING 等待远程TCP对连接中断的确认；LAST_ACK 等待原来发向远程TCP的连接中断请求的确认；TIME_WAIT 等待足够的时间以确保远程TCP接收到连接中断 请求的确认；CLOSED 没有任何连接状态；

Netstat/?C:\DocumentsandSettings\Administrator>netstat/?显示协议统计信息和当前TCP/IP网络连接。NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]-a 显示所有连接和监听端口。-b 显示包含于创建每个连接或监听端口的可执行组件。在某些情况下已知可执行组件拥有多个独立组件，并且在这些情况下包含于创建连接或监听端口的组件序列被显示。这种情况下，可执行组件名在底部的[]中，顶部是其调用的组件等等，直到TCP/IP部分。注意此选项可能需要很长时间，如果没有足够权限可能失败。-e 显示以太网统计信息。此选项可以与-s选项组合使用。-n 以数字形式显示地址和端口号。-o 显示与每个连接相关的所属进程ID。-pproto 显示proto指定的协议的连接；proto可以是下列协议之一:TCP、UDP、TCPv6或UDPv6。如果与-s选项一起使用以显示按协议统计信息，proto可以是下列协议之一:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。-r 显示路由表。-s 显示按协议统计信息。默认地，显示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的统计信息；-p选项用于指定默认情况的子集。-v 与-b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件。Interval 重新显示选定统计信息，每次显示之间暂停时间间隔(以秒计)。按CTRL+C停止重新显示 统计信息。如果省略，netstat显示当前配置信息(只显示一次)QQ通讯的网络状态C:\DocumentsandSettings\Administrator>netstat-abActiveConnectionsProtoLocalAddressForeignAddressStatePIDTCPWStation:912WStation:0LISTENING144[vmware-authd.exe]TCPWStation:62914:3188ESTABLISHED2472[QQ.exe]TCPWStation:62954:3186ESTABLISHED2472[QQ.exe]TCPWStation:624650:CLOSE_WAIT5472[AlipaySafeTran.exe]TCPWStation:629342:TIME_WAIT0TCPWStation:629442:TIME_WAIT0UDPWStation:1027*:*1184[QQPCRtp.exe]UDPWStation:5240*:*6140[QQProtect.exe]UDPWStation:4001*:*2472[QQ.exe]UDPWStation:5265*:*2472[QQ.exe]UDPWStation:6233*:*3880[QQExternal.exe]TCPviewUDP协议无连接的传输协议不提供对数据传输可靠性的保证机制不保证数据发送顺序UDP的安全问题TCP和UDP协议的安全问题DOS（DenialOfService）DDOS（DistributedDenialOfService）常见的DoS攻击TCP-SYNFloodUDPFloodRst位的DoS攻击DRDOS攻击实施DoS攻击最主要的就是构造需要的TCP数据，充分利用TCP协议。阻止DoS的办法ICMP协议InternetControlMessagesProtocol作用：用于在TCP/IP网络中发送控制消息，提供可能发生在通信环境中的各种问题反馈，通过这些信息，令管理者可以对所发生的问题作出诊断，然后采取适当的措施去解决它。无连接，ICMP消息都是直接封装在一个IP数据报。ICMP报头及安全问题费尔南多Gont漏洞Pingofdeath：ping–l65535×××IP报头类型代码校验码ID序号seqICMP报文类型远程登录telnet:tcp23rlogin:tcp513远程登录常见的远程登录工具：telnetrlogin远程桌面*安全问题信息泄露：telnet和rlogin明文传输简单验证，无完整性检查解决办法SSHFTP协议:TCP21TCP20FTP的两种工作模式：主动模式被动模式安全问题：明文解决办法：SSHSSH（SecureShell）:TCP22SSH是一种保障网络通信安全的协议；SSH最初的版本是为提供一个安全的远程登录工具以取代TELNET和其他不安全的远程登录模式；SSH也提供C/S服务以及类似文件传输和电子邮件的网络功能；SSH隧道技术：SSH利用端口转发，可以将任何非安全的TCP连接转换为安全的SSH连接，这被称为SSH隧道技术。SSH的隧道技术域名到IP地址的映射TCP53，UDP53DNS的层次结构DNS域名系统：UDP53，TCP53DNS域名系统：TCP53，UDP53DNS:相关命令nslookupNon-authoritativeanswer:DNS:Hosts文件与域名解析Hosts文件的存放位置C:\Winnt\System32\Drivers\EtcHosts与DNS的解析顺序Hosts的作用和使用技巧加快域名解析方便局域网用户屏蔽网站绕过域名劫持风险静态映射恶意修改Internet邮件结构SMTP协议:TCP25安全问题明文传输接受者无法确定收到邮件的安全性接受者无法对发送者进行身份确认信源抵赖信宿抵赖垃圾邮件：过滤器（拦截率和误报率）解决办法PGPS/MIMEDKIM过滤技术PGP（prettygoodprivacy）符号约定Ks会话密钥，用于对称加密PR私钥PU