网络安全原理与应用(第二版) 第2章 网络体系结构及协议

• D类地址用于在IP网络中的组播（Multicasting）。D类组播地址机 制仅有有限的用处。一个组播地址是一个惟一的网络地址。它能 指导报文到达预定义的IP地址组。 • 因此，一台机器可以把数据流同时发送到多个接收端，这比为每 个接收端创建一个不同的流有效得多。组播长期以来被认为是IP 网络最理想的特性，因为它有效地减小了网络流量。 • D类地址空间，和其他地址空间一样，有其数学限制，D类地址的 前4位恒为1110，预置前3位为1意味着D类地址开始于128+64+32 等于224。第4位为0意味着D类地址的最大值为 128+64+32+8+4+2+1为239，因此D类地址空间的范围从224.0.0.0 到239.255.2 55.254。
• 最后的16位（2个8位组）标识可能的主机地址。每一个B 类地址能支持64,534个惟一的主机地址，这个数由2的16次 方减2得到，B类网络有16,382个。
3、C类地址
• C类地址用于支持大量的小型网络。这类地址可以认为与A类地址正好相反。 A类地址使用第一个8位组表示网络号，剩下的3个表示主机号，而C类地址 使用三个8位组表示网络地址，仅用一个8位组表示主机号。 C类地址的前3位数为110，前两位和为192(128+64)，这形成了C类地址空间 的下界。第三位等于十进制数32，这一位为0限制了地址空间的上界。不能 使用第三位限制了此8位组的最大值为255-32等于223。因此C类网络地址范 围从192.0.1.0至223.255.254.0。 最后一个8位组用于主机寻址。每一个C类地址理论上可支持最大2 5 6个主机 地址(0～255)，但是仅有254个可用，因为0和255不是有效的主机地址。可以 有2,097,150个不同的C类网络地址。 在IP地址中，0和255是保留的主机地址。IP地址中所有的主机地址为0用于 标识局域网。同样，全为1表示在此网段中的广播地址。
1、A类地址
• 一个A类IP地址仅使用第一个8位组表示网络地址。剩 下的3个8位组表示主机地址。A类地址的第一个位总为 0，这一点在数学上限制了A类地址的范围小于127，因 此理论上仅有127个可能的A类网络，而0.0.0.0地址又 没有分配，所以实际上只有126个A类网。技术上讲， 127.0.0.0也是一个A类地址，但是它已被保留作闭环 （Look Back）测试之用而不能分配给一个网络。 • A类地址后面的24位表示可能的主机地址，A类网络地 址的范围从1.0.0.0到126.0.0.0。每一个A类地址能支持 16,777,214个不同的主机地址，这个数是由2的24次方 再减去2得到的。减2是必要的，因为IP把全0保留为表 示网络而全1表示网络内的广播地址。
IP地址 子网掩码 IP地址与子网掩码按位“与”运 算 运算的结果转化为十进制
11010000.10101000.00000000.11111110 11111111.11111111.11111111.00000000 11000000.10101000.00000000.00000000 192.168.0.0
IP地址与子网掩码按位“与”运算
运算的结果转化为十进制
11000000.10101000.00000000.00000000
192.168.0.0
子网掩码
• 计算机B的IP地址为192.168.0.254，子网掩码为 255.255.255.0，将转化为二进制进行“与”运算。运算过 程如表2-4所示。
• UDP的结构如图所示。
UDP和TCP传递数据的差异
• UDP和TCP传递数据的差异类似于电话和明信 片之间的差异。
N+1 层 N/N+1 层接口 N层 N-1/N 层接口 N-1 层
2.1.2 服务、接口和协议
在某层上进行通信所使用的规则、标准或约定的 集合就称为协议(Protocol)。各层协议按层次 顺序排列而成的协议序列称为协议栈。协议主 要由下列三个要素组成： (1)语义(Semantics)。涉及用于协调与差错处理 的控制信息。 (2) 语法 (Syntax) 。涉及数据及控制信息的格式、 编码及信号电平等。 (3)定时(Timing)。涉及速度匹配和排序等。
ICPM
IP
2.3.2 TCP/IP的安全体系
• • • • 1．链路层安全 2．网络层安全 3．传输层保护的网络 4． 应用层安全性
2.4 常用网络协议和服务
2.4.1 常用网络协议 1．IP协议 2．TCP协议 3．UDP协议 4．ICMP协议
IP头的结构
版本（4位） 头长度（4位） 服务类型（8位） 封包总长度（16位） 标志（3位） 校验和（16位） 片断偏移地址（13位）
运算的结果转化为十进制
192.168.0.0
2．TCP协议
• TCP是传输层协议，提供可靠的应用数 据传输。 • TCP在两个或多个主机之间建立面向连 接的通信。 • TCP支持多数据流操作，提供错误控制， 甚至完成对乱序到达的报文进行重新排 序。
TCP协议的头结构
• 和IP一样，TCP的功能受限于其头中携带的信息。因此理解 TCP的机制和功能需要了解TCP头中的内容，表2-6显示了 TCP头结构。
子网掩码
• 计算机C的IP地址为192.168.0.4，子网掩码为255.255.255.0，将转化 为二进制进行“与”运算。运算过程如表2-5所示。
IP地址 子网掩码 IP地址与子网掩码按位“与” 运算
11010000.10101000.00000000. 00000100 11111111.11111111.11111111.00000000 11000000.10101000.00000000.00000000
1．OSI-RM的层次结构
应用层 应用层
表示层
表示层
会话层
会话层
传输层 通信子网 网络层 网络层 网络层
传输层
网络层
数据链路层
数据链路层
数据链路层
数据链路层
物理层 主机 A
物理层 节点机
物理层 节点机
物理层 主机 B
2．OSI-RM的数据格式
A主机 7 6
H6 H7 H7 H7 H7 H7 H7 数据 对等层通信 H7 数据
第2章 网络体系结构及协议基础
l l 构 l l • 学习目标 了解OSI模型及安全体系 了解TCP/IP网络模型及安全体系结 掌握常用的网络协议和网络命令 掌握协议分析工具的使用方法
2.1 网络的体系结构
2.1.1 网络的层次结构
分层就是系统分解的最好方法之一。 层次结构的好处在于使每一层实现 一种相对独立的功能，每一层向上 一层提供服务，同时接受下一层提 供的服务。每一层不必知道下面一 层是如何实现的，只要知道下层通 过层间接口提供的服务是什么，以 及本层向上层提供什么样的服务， 就能独立地设计，这就是常说的网 络层次结构
5、E类地址
• E类地址虽被定义为保留研究之用。因此 Internet上没有可用的E类地址。 • E类地址的前4位为1，因此有效的地址范 围从240.0.0.0至255.255.255.255。
子网掩码
• 子网掩码是用来判断任意两台计算机的IP地址是否 属于同一子网络的根据。 • 最为简单的理解就是两台计算机各自的IP地址与子 网掩码进行二进制“与”（AND）运算后，如果得 出的结果是相同的，则说明这两台计算机是处于同 一个子网络上的，可以进行直接的通讯。 • 计算机A的IP地址为192.168.0.1，子网掩码为 255.255.255.0，将转化为二进制进行“与”运算， 运算过程如表2-3所示。
封包标识（16位） 存活时间（8位） 协议（8位） 来源IP地址（32位） 目的IP地址（32位） 选项（可选） 数据
填充（可选）
IPv4的IP地址分类
• IPv4地址在1981年9月实现标准化的。基本的IP地址是 8位一个单元的32位二进制数。为了方便人们的使用， 对机器友好的二进制地址转变为人们更熟悉的十进制 地址。 • IP地址中的每一个8位组用0～255之间的一个十进制数 表示。这些数之间用点“.”隔开，因此，最小的IPv4地 址值为0.0.0.0，最大的地址值为255.255.255.255，然而 这两个值是保留的，没有分配给任何系统。 • IP地址分成五类：A类地址、B类地址、C类地址、D类 地址和E类地址。 • 每一个IP地址包括两部分：网络地址和主机地址，上 面五类地址对所支持的网络数和主机数有不同的组合。
不同系统中的对等实体是没有直接通信能 力的，它们间的通信必须通过其下各层 的通信间接完成。第N层实体向第N+1层 实体提供的在第N层上的通信能力称为第 N层的服务。 在接口处规定了下层向上层提供的服务， 以及上下层实体请求或提供服务所使用 的形式规范语句（服务原语）。
2.2 OSI模型及其安全体系
• • • • • • • • 1．加密机制 2．数字签名机制 3．访问控制机制 4．数据完整性机制 5．鉴别交换机制 6．通信流量填充机制 7．路由选择控制机制 8．公证机制
2.3 TCP/IP模型及其安全体系
1．TCP/IP参考模型的层次结构
TCP/IP 协议族 Telnet TCP FTP SMP T DNS UDP 其它 OSI 层次 5~7 4 3 ARP Enthernet ARPAN ET PDN RARP 其它 1~2
TCP协议的三次“握手”
172.18.25.110 172.18.25.109
我可以连接到你吗？
当然可以 那我就不客气了
TCP协议的四次“挥手”
• 需要断开连接的时候，TCP也需要互相确认才可以断 开连接，四次交互过程如图所示。
172.18.25.110 172.18.25.109
我要结束连接
当然可以 终止了 好，收到
• 首先将字节分成段，然后对段进行编号和排序以 便传输。在两个TCP主机之间交换数据之前，必 须先相互建立会话。TCP会话通过三次握手的完 成初始化。这个过程使序号同步，并提供在两个 主机之间建立虚拟连接所需的控制信息。 • TCP在建立连接的时候需要三次确认，俗称“三 次握手”，在断开连接的时候需要四次确认，俗 称“四次挥手”。
3.用户数据报协议UDP
• UDP为应用程序提供发送和接收数据报 的功能。 • 某些程序（比如腾讯的OICQ）使用的是 UDP协议，UDP协议在TCP/IP主机之间 建立快速、轻便、不可靠的数据传输通 道。
UDP和TCP的区别
• UDP提供的是非连接的数据报服务，意味着UDP无法 保证任何数据报的传递和验证。
2、B类地址
• 设计B类地址的目的是支持中到大型的网络。B类网络地址 范围从128.1.0.0到191.254.0.0。B类地址蕴含的数学逻辑是 相当简单的。 • 一个B类IP地址使用两个8位组表示网络号，另外两个8位组 表示主机号。B类地址的第1个8位组的前两位总是设置为1 和0，剩下的6位既可以是0也可以是1，这样就限制其范围 小于等于191，这里的191由128+32+16+8+4 +2+1得到。
来源端口（2字节） 序号（4字节） 头长度（4位） URG ACK PSH 窗口大小（2字节）
目的端口（2字节） 确认序号（4字节） 保留（6位） RST SYN PIN 校验和（16位）
紧急指针（16位）
数据
选项（可选）
TCP协议的工作原理
• TCP提供两个网络主机之间的点对点通讯。TCP从 程序中接收数据并将数据处理成字节流。
B主机 7 6 5
H5 H6 H6 H6 H6 H6 数据
5 4
H4 H5 H5 H5 H5 数据
4 3
H3 H4 H4 H4 数据
3 2
H2 H3 H3 数据 数据 T2
2 1
H2 T2
1
2.2.2 OSI模型的安全服务
• 1．认证 2．访问控制 3．数据机密性 4．数据完整性 5．抗否认
2.2.3 OSI模型的安全机制
子网掩码
• 计算机A的IP地址为192.168.0.1，子网掩码为255.255.255.0， 将转化为二进制进行“与”运算，运算过程如表2-3所示。
IP地址 子网掩码
11010000.10101000.00000000.00000001 11111111.11111111.11111111.00000000