网络安全协议基础

第二章

网络平安协议根底内容提要本章介绍OSI七层网络模型TCP/IP协议簇。重点介绍IP协议、TCP协议、UDP协议和ICMP协议。介绍常用的网络效劳：文件传输效劳、Telnet效劳、电子邮件效劳和、Web效劳介绍常用的网络效劳端口和常用的网络命令的使用。ISO-OSI模型PDU:ProtocolDataUnit

协议数据单元帧分组物理层：缆线，信号的编码，网络接插件的电、机械接口数据链路层：成帧，过失控制、流量控制，物理寻址，媒体访问控制网络层：路由、转发，拥塞控制传输层：为会话层提供与下面网络无关的可靠消息传送机制会话层：负责建立〔或去除〕在两个通信的表示层之间的通信通道，包括交互管理、同步，异常报告。表示层：在两个应用层之间的传输过程中负责数据的表示语法应用层：处理应用进程之间所发送和接收的数据中包含的信息内容。数据的封装OSImnemonicsAllPeopleSeemToNeedDataProcessingPleaseDoNotThrowSausagePizzaAway应用层表示层会话层传输层网络层数据链路层物理层TCP/IP模型OSI与TCP/IP模型的比较相同点：1.都是基于独立的协议栈概念。2.两者都有功能相似的应用层、传输层、网络层。不同点：1.在OSI模型中，严格地定义了效劳、接口、协议；在TCP/IP模型中，并没有严格区分效劳、接口与协议。2.OSI模型支持非连接和面向连接的网络层通信，但在传输层只支持面向连接的通信；TCP/IP模型只支持非连接的网络层通信，但在传输层有支持非连接和面向连接的两种协议可供用户选择。3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。平安体系结构——平安攻击主动攻击:更改数据流，或伪造假的数据流。伪装〔masquerade)重放(replay)篡改(modification)拒绝效劳(denialofservice)被动攻击:对传输进行偷听与监视，获得传输信息。报文分析流量分析即冒名顶替。一般而言，伪装攻击的同时往往还伴随着其他形式的主动攻击先被动地窃取通信数据，然后再有目的地重新发送

即修改报文的内容。或者对截获的报文延迟、重新排序阻止或占据对通信设施的正常使用或管理。针对特定目标或是某个网络窃听和分析所传输的报文内容

分析通信主机的位置、通信的频繁程度、报文长度等信息

平安体系结构——平安机制加密：用加密算法对信息加密。保护信息的机密性数字签名：用签名算法对信息进行计算，计算结果附加于信息单元。用于身份认证、数据完整性和非否认效劳访问控制：用于实施资源访问权限的机制数据完整性：用于确保信息的完整性身份认证：确保信息交换的实体是所声称的实体流量填充：填充信息，防止流量分析路由控制：能够为特定数据选择特定路由公证：采用可信任的第三方以确保一些信息交换的性质平安体系结构——平安效劳认证〔Authentication〕:提供某个实体的身份保证对等实体认证数据源认证访问控制〔Accesscontrol〕:保护资源，防止对它的非法使用和操纵数据机密性〔Dataencryption〕:保护信息不被泄露数据完整性〔Integrity〕:保护信息以防止非法篡改不可否认性〔No-repudiation〕:防止参与通信的一方事后否认可用性〔Availability〕：确保系统的可用网络平安模型算法机制协议身份认证信息的机密性、完整性、不可否认性SecurityProtocols(Services)Standards-basedSecurityProtocolsProprietarySecurityProtocolsSSLIPSecPrivateWireBigBrotherMechanismsEncryptionSignatureHashingKeyExchangeAlgorithmsSymmetricAsymmetricAsymmetricSymmetricMD-5SHA-1Diffie-HellmanDESAESRSAECCDSARSADESMACServices,Mechanisms,Algorithms网络访问平安模型FirewallsandSecurityGatewaysIDSVPN保证网络的可用性、可控性网络各层的相关平安协议解剖TCP/IP模型TCP/IP组的四层、OSI参考模型和常用协议的对应关系如图2-3所示。抓取Ping指令发送的数据包按照第一章Sniffer的设置抓取Ping指令发送的数据包，命令执行如图2-4所示。抓取Ping指令发送的数据包抓取Ping指令发送的数据包其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图2-6所示。IPv4的IP地址分类IPv4地址在1981年9月实现标准化的。根本的IP地址是8位一个单元的32位二进制数。为了方便人们的使用，对机器友好的二进制地址转变为人们更熟悉的十进制地址。IP地址中的每一个8位组用0～255之间的一个十进制数表示。这些数之间用点“.〞隔开，因此，最小的IPv4地址值为，最大的地址值为，然而这两个值是保存的，没有分配给任何系统。IP地址分成五类：A类地址、B类地址、C类地址、D类地址和E类地址。每一个IP地址包括两局部：网络地址和主机地址，上面五类地址对所支持的网络数和主机数有不同的组合。传输控制协议协议TCPTCP是传输层协议，提供可靠的应用数据传输。TCP在两个或多个主机之间建立面向连接的通信。TCP支持多数据流操作，提供错误控制，甚至完成对乱序到达的报文进行重新排序。一次完整的FTP会话首先开启目标主机的FTP效劳，如图2-7所示。一次完整的FTP会话启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP效劳器，连接过程如图2-8所示。一次完整的FTP会话一次完整的FTP会话登录FTP的过程是一次典型的TCP连接，因为FTP效劳使用的是TCP协议。分析TCP报头的结构如图2-10所示。传输控制协议〔TCP〕的特点传输控制协议〔TCP〕的特点是：提供可靠的、面向连接的数据报传递效劳。传输控制协议可以做到如下的六点：1、确保IP数据报的成功传递。2、对程序发送的大块数据进行分段和重组。3、确保正确排序以及按顺序传递分段的数据。4、通过计算校验和，进行传输数据的完整性检查。5、根据数据是否接收成功发送消息。通过有选择确实认，也对没有收到的数据发送确认。6、为必须使用可靠的基于会话的数据传输的程序提供支持，如数据库效劳和电子邮件效劳。TCP协议的工作原理TCP提供两个网络主机之间的点对点通讯。TCP从程序中接收数据并将数据处理成字节流。首先将字节分成段，然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先相互建立会话。TCP会话通过三次握手的完成初始化。TCP在建立连接的时候需要三次确认，俗称“三次握手〞，在断开连接的时候需要四次确认，俗称“四次挥手〞。TCP协议的三次“握手〞TCP协议的三次“握手〞这个过程在FTP的会话过程中也明显的显示出来，如图2-12所示。第一次“握手〞首先分析建立“握手〞第一个过程包的结构，如图2-13所示。SYN=1,ACK=0第二次“握手〞SYN为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包。ACK=1,SYN=1第三次“握手〞ACK=1,SYN=0这个时候需要源计算机确实认就可以建立连接了。TCP协议的四次“挥手〞需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图2-16所示。第一次“挥手〞第一次交互过程的数据报结构第二次“挥手〞第一次交互中，首先发送一个FIN=1的请求，要求断开，目标主机在得到请求后发送ACK=1进行确认第三次“挥手〞在确认信息发出后，就发送了一FIN=1的包，与源主机断开。第四次“挥手〞随后源主机返回一条ACK=1的信息，这样一次完整的TCP会话就结束了。用户数据报协议UDPUDP为应用程序提供发送和接收数据报的功能。某些程序〔比方腾讯的OICQ〕使用的是UDP协议，UDP协议在TCP/IP主机之间建立快速、轻便、不可靠的数据传输通道。UDP和TCP传递数据的差异UDP和TCP传递数据的差异类似于和明信片之间的差异。TCP就像，必须先验证目标是否可以访问后才开始通讯。UDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。UDP通常由每次传输少量数据或有实时需要的程序使用。在这些情况下，UDP的低开销比TCP更适合。UDP与TCP提供的效劳和功能直接比照UDP和TCP传递数据的比较UDP协议TCP协议无连接的服务；在主机之间不建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列化数据。TCP通过确认和按顺序传递数据来确保数据的传递。使用

UDP的程序负责提供传输数据所需的可靠性。使用

TCP的程序能确保可靠的数据传输。UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。TCP比较慢，有更高的开销要求，而且只支持点对点通讯。UDP和

TCP都使用端口标识每个

TCP/IP程序的通讯。UDP数据报分析常用的网络效劳中，DNS使用UDP协议。DNS是域名系统(DomainNameSystem)的缩写当用户在应用程序中输入DNS名称时，DNS效劳可以将此名称解析为与此名称相关的IP地址。

用域名访问用IP地址访问设置DNS解析需要在主机上设置DNS解析的主机，将主机的DNS的解析指向虚拟机，如图2-22所示。自动获取地址中的DNS设置DNS解析虽然虚拟机并没有设置DNS解析，但是只要访问DNS都可以抓到UDP数据报。设置完毕后，在主机的DOS界面中输入命令nslookup，如图2-23所示。UDP报头查看Sniffer抓取的数据报，可以看到UDP报头，如图2-24所示。UDP报头的分析对UDP报头的分析如图2-25所示。互联网控制消息协议ICMP通过ICMP协议，主机和路由器可以报告错误并交换相关的状态信息。在以下情况中，通常自动发送ICMP消息：IP数据报无法访问目标。IP路由器〔网关〕无法按当前的传输速率转发数据报。IP路由器将发送主机重定向为使用更好的到达目标的路。ICMP协议的结构如图2-26所示。ICMP协议的结构ICMP数据报分析使用Ping命令发送ICMP回应请求消息，使用Ping命令，可以检测网络或主机通讯故障并解决常见的TCP/IP连接问题。分析Ping指令的数据报，如图2-27所示。FTP效劳FTP的缺省端口是20〔用于数据传输〕和21〔用于命令传输〕。在TCP/IP中FTP是非常独特的，因为命令和数据能够同时传输，而数据传输是实时的，其他协议不具有这个特性。FTP客户端可以是命令界面的也可以是图形界面的。命令界面的如图2-28所示。命令行等录FTP效劳器图形界面登录FTP效劳器也可以在浏览器中输入“ftp://主机IP地址〞，利用图形界面连接FTP效劳器，如图2-29所示。更改登录用户信息登录FTP可以更改登录用户信息，选择菜单“文件〞下的菜单项“登录〞，出现用户名输入对话框，如图2-30所示。Telnet效劳Telnet是TELecommunicationsNETwork的缩写，其名字具有双重含义，既指应用也是指协议自身。Telnet给用户提供了一种通过网络登录远程效劳器的方式。Telnet通过端口23工作。开启Telnet效劳Telnet要求有一个Telnet效劳器，此效劳器驻留在主机上，等待着远端机器的授权登录。要使用Telnet效劳首先需要在虚拟机上开启Telnet效劳，选择进入Telnet效劳管理器，如图2-31所示。开启Telnet效劳在Telnet效劳管理器中选择4，启动Telnet效劳器，如图2-32所示。连接Telnet效劳器虚拟机上的Telnet效劳器就启动了，然后在主机的DOS窗口中连接虚拟机的Telnet效劳器，如图2-33所示。Email效劳目前Email效劳用的两个主要的协议是：简单邮件传输协议SMTP〔SimpleMailTransferProtocol〕和邮局协议POP3〔PostOfficeProtocol〕。SMTP默认占用25端口，用来发送邮件，POP3占用110端口，用来接收邮件。在Windows平台下，主要利用MicrosoftExchangeServer作为电子邮件效劳器。Web效劳Web效劳是目前最常用的效劳，使用HTTP协议，默认Web效劳占用80端口在Windows平台下一般使用IIS〔InternetInformationServer〕作为Web效劳器。常用的网络效劳端口常用效劳端口列表端口协议服务21TCPFTP服务25TCPSMTP服务53TCP/UDPDNS服务80TCPWeb服务135TCPRPC服务137UDPNetBIOS域名服务138UDPNetBIOS数据报服务139TCPNetBIOS会话服务443TCP基于SSL的HTTP服务445TCP/UDPMicrosoftSMB服务3389TCPWindows终端服务常用的网络命令常用的网络命令有：判断主机是否连通的ping指令查看IP地址配置情况的ipconfig指令查看网络连接状态的netstat指令进行网络操作的net指令进行定时器操作的at指令。进行路由跟踪的tracert指令。pingping指令通过发送ICMP包来验证与另一台TCP/IP计算机的IP级连接。应答消息的接收情况将和往返过程的次数一起显示出来。ping指令用于检测网络的连接性和可到达性，如果不带参数，ping将显示帮助，如图2-39所示。pingping可以利用ping指令验证和对方计算机的连通性，使用的语法是“ping对方计算机名或者IP地址〞。如果连通的话，返回的信息如图2-40所示。ipconfig指令ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议〔DHCP,DynamicHostConfigurationProtocol〕和域名系统〔DNS〕设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令。netstat指令netstat指令显示活动的连接、计算机监听的端口、以太网统计信息、IP路由表、IPv4统计信息〔IP、ICMP、TCP和UDP协议〕。使用“netstat-an〞命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。使用的方法如图2-43所示。net指令net指令的功能非常的强大，net指令在网络平安领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络效劳等。利用“netuser〞查看计算机上的用户列表，如图2-44所示。net指令netuse

列出本机网络连接netuse\\IP\ipc$“密码〞/user:帐号

；建立与指定IP的IPC$(空连接)netusez:\\IP\c$“密码〞/user:“帐号〞

；将对方的c盘映射为自己的z盘netuse\\IP\ipc$/del

删除与指定IP的IPC$连接netusez:/del

删除本机映射的z盘netuse*/del

删除本机所有映射和IPC$连接netshare 查看本地主机共享资源nettime\\IP 查看远程主机的当前时间netstart显示本地主机当前效劳net指令利用“netuser用户名密码〞给某用户修改密码，比方把管理员的密码修改成“123456〞，如图2-45所示。案例2-2建立用户并添加到管理员组案例名称：添加用户到管理员组文件名称：2-01.bat

netuserjack123456/add

添加用户netlocalgroupadministratorsjack/add

将用户添加到管