第2章-网络的体系结构及协议基础-课件.ppt

1、第2章 网络体系结构及协议基础本章本章学习目标学习目标l 了解OSI模型及安全体系l 了解TCP/IP网络模型及安全体系结构l 掌握常用的网络协议和网络命令l 掌握协议分析工具的使用方法2.1 网络的体系结构2.1.1 2.1.1 网络的层次结构网络的层次结构 N+1 层 N 层 N-1 层 N/N+1 层接口 N-1/N 层接口 分层是系统分解的最好方法之一l 层次结构的好处在于使每一层实现一种相对独立的功能，l 每一层向上一层提供服务，同时接受下一层提供的服务。l 每一层不必知道下面一层是如何实现的，只要知道下层通过层间接口提供的服务是什么，以及本层向上层提供什么样的服务，就能独立地设计。

2、这就是常说的网络层次结构 2.1.2 服务、接口和协议服务、接口和协议l 网络协议 在某层上进行通信所使用的规则、标准或约定的集合就称为协议(Protocol)。各层协议按层次顺序排列而成的协议序列称为协议栈。协议主要由下列三个要素组成：(1)语义(Semantics)：涉及用于协调与差错处理的控制信息。(2)语法(Syntax)：涉及数据及控制信息的格式、编码及信号电平等。(3)定时(Timing)：涉及速度匹配和排序等。l 不同系统中的对等实体是没有直接通信能力的，它们间的 通信必须通过其下各层的通信间接完成。l 第N层实体向第N+1层实体提供的在第N层上的通信能力称为第N层的服务。l 在

3、接口处规定了下层向上层提供的服务，以及上下层实体请求或提供服务所使用的形式规范语句（服务原语）。2.2 OSI模型及其安全体系 应 用 层 表 示 层 会 话 层 传 输 层 网 络 层 数 据 链 路 层 物 理 层 应 用 层 表 示 层 会 话 层 传 输 层 网 络 层 数 据 链 路 层 物 理 层 主 机 A 主 机 B 节 点 机 节 点 机 网 络 层 数 据 链 路 层 物 理 层 网 络 层 数 据 链 路 层 物 理 层 通 信 子 网 1OSI-RM的层次结构 2OSI-RM的数据格式 数据H7数据H7H6数据H7H6H5数据H7H6H5H4数据H7H6H5H4H3数据

4、H7H6H5H4H3H2T2数据H7H6H5H4H3H2T276543217654321A主机 B主机对等层通信2.2.2 OSI模型的安全服务 1认证 2访问控制 3数据机密性 4数据完整性5抗否认 2.2.3 OSI模型的安全机制 1加密机制 2数字签名机制 3访问控制机制 4数据完整性机制5鉴别交换机制 6通信流量填充机制 7路由选择控制机制 8公证机制 2.3 TCP/IP模型及其安全体系1TCP/IP参考模型的层次结构 ICPM Enthernet ARPANET PDN 其它 IP RARP ARP UDP TCP Telnet FTP SMPT DNS 其它 57 4 3 12

5、TCP/IP协议族 OSI层次 2.3.2 TCP/IP的安全体系1链路层安全 2网络层安全3传输层保护的网络4应用层安全性 2.4 常用网络协议和服务 2.4.1 常用网络协议1IP协议 2TCP协议 3UDP协议 4ICMP协议 1.2 网络体系结构及各层的安全性 1.2.1 网络结构 1.2.2 OSI-RM及所提供的安全服务 1.2.3 TCP/IP参考模型1.2.1 网络结构 1网络的层次结构 N+1 层 N 层 N-1 层 N/N+1 层接口 N-1/N 层接口 层次结构的好处:l每一层实现一种相对独立的功能l每一层向上一层提供服务l接受下一层提供的服务。1.2.2 OSI-RM及

6、所提供的安全服务1OSI-RM的层次结构 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 主机 A 主机 B 节点机 节点机 网络层 数据链路层 物理层 网络层 数据链路层 物理层 通信子网 1.2.2 OSI-RM及所提供的安全服务OSI协议有三个主要的概念 服务、接口和协议。服务定义了某一层应该做什么 接口则告诉处于上一层的进程如何访问该层 协议则定义实体间数据通信的规则。1.2.2 OSI-RM及所提供的安全服务2OSI-RM的数据格式数据H7数据H7H6数据H7H6H5数据H7H6H5H4数据H7H6H5H4H3数

7、据H7H6H5H4H3H2T2数据H7H6H5H4H3H2T276543217654321A主机 B主机对等层通信3OSI模型的安全服务 认证服务 访问控制 数据机密性服务 数据完整性服务 不可否认服务。1.2.3 TCP/IP参考模型1TCP/IP参考模型的层次结构应用层网络接口层传输层网络层接口头IP头TCP头数据接口校验和IP头TCP头数据TCP头数据数据 TCP/IP网络的层次结构及信息格式1.2.3 TCP/IP参考模型 ICPM Enthernet ARPANET PDN 其它 IP RARP ARP UDP TCP Telnet FTP SMPT DNS 其它 57 4 3 12

8、 TCP/IP协议族 OSI层次 TCP/IP模型各层包括的主要协议及其与OSI层次模型的对应关系1.2.3 TCP/IP参考模型2TCP/IP模型各层的功能 应用层：是面向用户的各种应用软件，是用户访问网络的界面。传输层：实现源主机和目的主机上的实体之间的通信。网络层：负责数据包的路由选择功能 网络接口层：负责接收IP数据包并通过网络传输介质发送数据包。1.2.3 TCP/IP参考模型3.TCP/IP的安全体系(1)链路层安全(2)网络层安全(3)传输层保护的网络(4)应用层安全性IP头的结构版本（版本（4位）位）头长度（头长度（4位）位）服务类型（服务类型（8位）位）封包总长度（封包总长度

9、（16位）位）封包标识（封包标识（16位）位）标志（标志（3位）位）片断偏移地址（片断偏移地址（13位）位）存活时间（存活时间（8位）位）协议（协议（8位）位）校验和（校验和（16位）位）来源来源IP地址（地址（32位）位）目的目的IP地址（地址（32位）位）选项（可选）选项（可选）填充（可选）填充（可选）数据数据IPv4的IP地址分类 l IPv4地址在1981年9月实现标准化的。基本的IP地址是个32位二进制数，以8位为一个单元，分为4组。为了方便使用，把二进制地址转变为人们熟悉的十进制地址。l IP地址中的每一个8位组用0255之间的一个十进制数表示。这些数之间用点“”隔开，因此，最小的

10、IPv4地址值为0.0.0.0，最大的地址值为255.255.255.255，然而这两个值是保留的，没有分配给任何系统。l IP地址分成五类：A类地址、B类地址、C类地址、D类地址和E类地址。l 每一个IP地址包括两部分：网络地址网络地址；主机地址主机地址。上面五类地址对所支持的网络数和主机数有不同的组合。1、A类地址l 一个A类IP地址仅使用第一个8位组表示网络地址。剩下的3个8位组表示主机地址。A类地址的第一个位总为0，这一点在数学上限制了A类地址的范围小于127，因此理论上仅有127个可能的A类网络，而0.0.0.0地址又没有分配，所以实际上只有126个A类网。技术上讲，127.0.0.

11、0也是一个A类地址，但是它已被保留作闭环（Look Back）测试之用而不能分配给一个网络。l A类地址后面的24位表示可能的主机地址，A类网络地址的范围从1.0.0.0到126.0.0.0。每一个A类地址能支持16,777,214个不同的主机地址，这个数是由2的24次方再减去2得到的。减2是必要的，因为因为IPIP把全把全0 0保留为表示网络而全保留为表示网络而全1 1表示网络内的广表示网络内的广播地址。播地址。2、B类地址l 设计B类地址的目的是支持中到大型的网络。B类网络地址范围从128.1.0.0到191.254.0.0。B类地址蕴含的数学逻辑是相当简单的。l 一个B类IP地址使用两个

12、8位组表示网络号，另外两个8位组表示主机号。B类地址的第1个8位组的前两位总是设置为1和0，剩下的6位既可以是0也可以是1，这样就限制其范围小于等于191，这里的191由128+32+16+8+4+2+1得到。l 最后的16位（2个8位组）标识可能的主机地址。每一个B类地址能支持64,534个惟一的主机地址，这个数由2的16次方减2得到，B类网络有16,382个。3、C类地址l C类地址用于支持大量的小型网络。C类地址使用三个 8位组表示网络地址，仅用一个8位组表示主机号。与A类相反。l C类地址的前3位数为110，前两位和为192(128+64)，这是C类地址空间的下界。第三位等于十进制数3

13、2，这一位为0限制了地址空间的上界。不能使用第三位限制了此8位组的最大值为255-32等于22l 最后一个8位组用于主机寻址。每一个C类地址理论上可支持最大256个主机地址(0255)，但是仅有254个可用，因为0和255不是有效的主机地址。可以有2,097,150个不同的C类网络地址。l 在IP地址中，0和255是保留的主机地址。IP地址中所有的主机地址为0用于标识局域网。全为1表示此网段中的广播地址。4、D类地址l D类地址用于在IP网络中的组播（Multicasting）。D类组播地址机制仅有有限的用处。一个组播地址是一个惟一的网络地址。它能指导报文到达预定义的IP地址组。l 因此，一台

14、机器可以把数据流同时发送到多个接收端，这比为每个接收端创建一个不同的流有效得多。组播长期以来被认为是IP网络最理想的特性，因为它有效地减小了网络流量。l D类地址空间，和其他地址空间一样，有其数学限制，D类地址的前4位恒为1110，预置前3位为1意味着D类地址开始于128+64+32等于224。第4位为0意味着D类地址的最大值为128+64+32+8+4+2+1为239，因此D类地址空间的范围从224.0.0.0到239.255.2 55.254。5、E类地址l E类地址虽被定义为保留研究之用。因此Internet上没有可用的E类地址。l E类地址的前4位为1，因此有效的地址范围从240.0.

15、0.0至255.255.255.255。子网掩码l 子网掩码是用来判断任意两台计算机的IP地址是否 属于同一子网络的根据。l 最为简单的理解就是两台计算机各自的IP地址与子网掩码进行二进制“与”（AND）运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通讯。l 计算机A的IP地址为192.168.0.1，子网掩码为255.255.255.0，将转化为二进制进行“与”运算，运算过程如表2-3所示。子网掩码 计算机A的IP地址为192.168.0.1，子网掩码为255.255.255.0，将转化为二进制进行“与”运算，运算过程如表2-3所示。IP地址1101

16、0000.10101000.00000000.00000001子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制192.168.0.0子网掩码 计算机B的IP地址为192.168.0.254，子网掩码为255.255.255.0，将转化为二进制进行“与”运算。运算过程如表2-4所示。IP地址11010000.10101000.00000000.11111110子网掩码11111111.11111111.11111111.00000000IP地址

17、与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制192.168.0.0子网掩码l 计算机C的IP地址为192.168.0.4，子网掩码为255.255.255.0，将转化为二进制进行“与”运算。运算过程如表2-5所示。IP地址11010000.10101000.00000000.00000100子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制192.168.0.02TCP协议

18、 l TCP是传输层协议，提供可靠的应用数据传输。l TCP在两个或多个主机之间建立面向连接的通信。l TCP支持多数据流操作，提供错误控制，甚至完成对乱序到达的报文进行重新排序。TCP协议的头结构 l 和IP一样，TCP的功能受限于其头中携带的信息。因此理解TCP的机制和功能需要了解TCP头中的内容，表2-6显示了TCP头结构。来源端口（来源端口（2字节）字节）目的端口（目的端口（2字节）字节）序号（序号（4字节）字节）确认序号（确认序号（4字节）字节）头长度（头长度（4位）位）保留（保留（6位）位）URGACKPSHRSTSYNPIN窗口大小（窗口大小（2字节）字节）校验和（校验和（16位

19、）位）紧急指针（紧急指针（16位）位）选项（可选）选项（可选）数据数据TCP协议的工作原理 l TCP提供两个网络主机之间的点对点通讯。TCP从程序中接收数据并将数据处理成字节流。l 首先将字节分成段，然后对段进行编号和排序以便传输。在两个TCP主机之间交换数据之前，必须先相互建立会话。TCP会话通过三次握手的完成初始化。这个过程使序号同步，并提供在两个主机之间建立虚拟连接所需的控制信息。l TCP在建立连接的时候需要三次确认，俗称“三次握手”，在断开连接的时候需要四次确认，俗称“四次挥手”。TCP协议的三次“握手”TCP协议的四次“挥手”l 需要断开连接的时候，TCP也需要互相确认才可以断开

20、连接，四次交互过程如图所示。3.用户数据报协议UDP l UDP为应用程序提供发送和接收数据报的功能。l 某些程序（比如腾讯的OICQ）使用的是UDP协议，UDP协议在TCP/IP主机之间建立快速、轻便、不可靠的数据传输通道。UDP和TCP的区别 l UDP提供的是非连接的数据报服务，意味着UDP 无法保证任何数据报的传递和验证。l UDP的结构如图所示。UDP和TCP传递数据的差异l UDP和TCP传递数据的差异类似于电话和明信片之间的差异。TCP就像电话，必须先验证目标是否可以访问后才开始通讯。UDP就像明信片，信息量很小而且每次传递成功的可能性很高，但是不能完全保证传递成功。l UDP通

21、常由每次传输少量数据或有实时需要的程序使用。l 在这些情况下，UDP 的低开销比TCP 更适合。UDP 与TCP 提供的服务和功能直接对比 UDP和TCP传递数据的比较 UDP协议TCP协议无连接的服务；在主机之间不建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列化数据。TCP 通过确认和按顺序传递数据来确保数据的传递。使用 UDP 的程序负责提供传输数据所需的可靠性。使用 TCP 的程序能确保可靠的数据传输。UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。TCP 比较慢，有更高的开销要求，而且只支持点对点通讯。UDP 和 TCP 都使用端口标识每个

22、 TCP/IP 程序的通讯。UDP协议的头结构 l UDP的头结构比较简单，如表所示。源端口（2字节）目的端口（2字节）封报长度（2字节）校验和（2字节）数据4.ICMP协议的结构 ICMP协议的头结构 l ICMP头结构比较简单，如表所示。类型（类型（8 8位）位）代码（代码（8 8位）位）校验和（校验和（8 8位）位）类型或者代码类型或者代码ICMP数据报分析 使用Ping命令发送ICMP回应请求消息，使用Ping命令，可以检测网络或主机通讯故障并解决常见的TCP/IP连接问题。分析Ping指令的数据报，如图2-27所示。2.2 协议分析工具sniffer的应用 2.2.1 Sniffer

23、 Pro的启动和设置 2.2.2 解码分析 2.2.1 Sniffer Pro的启动和设置 Sniffer软件是NAI公司推出的功能强大的协议分析软件。实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题 同类的网络分析工具：Ethereal、Netxray、Microsoft Net Monitor等 2.2.1 Sniffer Pro的启动和设置1.启动sniffer pro2.2.1 Sniffer Pro的启动和设置2.2.1 Sniffer Pro的启动和设置2.2.1 Sniffer Pro的启动和设置 2、设置任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条

24、件链路层捕获IP层捕获数据流方向链路层捕获地址条件任意捕获条件编辑协议捕获编辑缓冲区编辑基本捕获条件链路层捕获IP层捕获数据流方向链路层捕获地址条件定义过滤器 2.2.1 Sniffer Pro的启动和设置选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件选择要捕获的协议捕获帧长度条件错误帧是否捕获保存过滤规则条件选择捕获协议、类型及长度2.2.1 Sniffer Pro的启动和设置设置触发器 2.2.1 Sniffer Pro的启动和设置2OSI-RM的数据格式数据H7数据H7H6数据H7H6H5数据H7H6H5H4数据H7H6H5H4H3数据H7H6H5H4H3H2T2数据H7H

25、6H5H4H3H2T276543217654321A主机 B主机对等层通信2.2.1 Sniffer Pro的启动和设置 报文捕获解析 捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获面板2.2.1 Sniffer Pro的启动和设置捕获报文统计捕获报文统计 捕获报文数捕获报文的数据缓冲大小详细统计信息捕获报文数捕获报文的数据缓冲大小详细统计信息捕获报文统计 2.2.2 解码分析捕获的报文报文解码二进制内容捕获的报文报文解码二进制内容解码分析界面 2.2.2 解码分析通过Sniffer解码的ARP报

26、文的结构 2.2.2 解码分析Sniffer对IP协议首部的解码分析结构2.4.2 常用网络服务1.FTP服务 FTP的缺省端口是20（用于数据传输）和21（用于命令传输）。在TCP/IP中FTP是非常独特的，因为命令和数据能够同时传输，而数据传输是实时的，其他协议不具有这个特性。FTP客户端可以是命令界面的也可以是图形界面的。命令界面的如图2-28所示。命令行等录FTP服务器 2.Telnet服务 l Telnet是TELecommunications NETwork的缩写，其名字具有双重含义，既指应用也是指协议自身。l Telnet给用户提供了一种通过网络登录远程服务器的方式。l Teln

27、et通过端口23工作。开启Telnet服务 Telnet要求有一个Telnet服务器，此服务器驻留在主机上，等待着远端机器的授权登录。要使用Telnet服务首先需要在虚拟机上开启Telnet服务，选择进入Telnet服务管理器，如图所示。开启Telnet服务l 在Telnet服务管理器中选择4，启动Telnet服务器，如图2-32所示。3.Email服务 目前Email服务用的两个主要的协议是：简单邮件传输协议SMTP（Simple Mail Transfer Protocol）和邮局协议POP3（Post Office Protocol）。SMTP默认占用25端口，用来发送邮件，POP3占用

28、110端口，用来接收邮件。在Windows平台下，主要利用Microsoft Exchange Server作为电子邮件服务器。4.Web服务 Web服务是目前最常用的服务，使用HTTP协议，默认Web服务占用80端口 在Windows平台下一般使用IIS（Internet Information Server）作为Web服务器。5.常用的网络服务端口 常用服务端口列表 端口协议服务21TCPFTP服务25TCPSMTP服务53 TCP/UDPDNS服务80TCPWeb服务135TCPRPC服务137UDPNetBIOS域名服务138UDPNetBIOS数据报服务139TCPNetBIOS会话

29、服务2.5 Windows常用的网络命令 ping 可以利用ping指令验证和对方计算机的连通性，使用的语法是“ping 对方计算机名或者IP地址”。如果连通的话，返回的信息如图2-40所示。ipconfig指令 ipconfig指令显示所有TCP/IP网络配置信息、刷新动态主机配置协议（DHCP,Dynamic Host Configuration Protocol）和域名系统（DNS）设置。使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令。netstat指令 netstat指令显示活动的连接、计算机监听的端口、以太网统

30、计信息、IP 路由表、IPv4统计信息（IP、ICMP、TCP和UDP协议）。使用“netstat-an”命令可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单方法。使用的方法如图2-43所示。net指令 net指令的功能非常的强大，net指令在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。利用“net user”查看计算机上的用户列表，如图2-44所示。net指令 利用“net user 用户名 密码”给某用户修改密码，比如把管理员的密码修改成“123456”，如图2-45所示。net share不带参数的net share 显示当前主机上的所有共享资源。如图2-25所示：