《网络安全概述》PPT课件
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2019/11/25
2.2.3 ICMP
2019/11/25
2.2.4 IGMP
Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协
议,用于 IP 主机向任一个直接相邻的路由器报告他们的组成员情况。
IGMP 信息封装在 IP 报文中,其 IP 的协议号为 2。
它用来在ip主机和与其直接相邻的组播路由器之间建立、维护组播组
2019/11/25
2.2.1 IP数据报结构
面向无连接
2019/11/25
ቤተ መጻሕፍቲ ባይዱ 2.2.1 IP数据报结构
尽力服务(不可靠)
2019/11/25
2.2.1 IP数据报结构
IP数据报头
2019/11/25
2.2.1 IP数据报结构
TTL是IP协议包中的一个值,它告诉网络,数据包在网络中 的时间是否太长而应被丢弃。有很多原因使包在一定时 间内不能被传递到目的地。解决方法就是在一段时间后 丢弃这个包,然后给发送者一个报文,由发送者决定是 否要重发。TTL的初值通常是系统缺省值,是包头中的 8位的域。TTL的最初设想是确定一个时间范围,超过 此时间就把包丢弃。由于每个路由器都至少要把TTL域 减一,TTL通常表示包在被丢弃前最多能经过的路由器 个数。当记数到0时,路由器决定丢弃该包,并发送一 个ICMP报文给最初的发送者。
2019/11/25
2.2.3 ICMP
ICMP 提供控制和错误消息,由 ping 和 traceroute 实用程序使用。虽然 ICMP 使用 IP 的 基本支持,看起来好象是上层协议 ICMP,但它实 际上是 TCP/IP 协议簇中独立的第 3 层协议。 可能发送的 ICMP 消息包括: 主机确认 无法到达目的或服务器 超时 路由重定向 源抑制
2019/11/25
2.2.2 ARP
2019/11/25
2.2.2 ARP
为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。这里举一个简单的PING例 子。
假设我们的计算机IP地址是192.168.1.1,要执行这个命令:ping192.168.1.2。该命令会通 过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤:
2019/11/25
2.2.2 ARP
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局 域网中,网络中实际传输的是“帧”,帧里 面是有目标主机的MAC地址的。在以太网 中,一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个 目标MAC地址是如何获得的呢?它就是通 过地址解析协议获得的。所谓“地址解析” 就是主机在发送帧前将目标IP地址转换成目 标MAC地址的过程。ARP协议的基本功能 就是通过目标设备的IP地址,查询目标设备 的MAC地址,以保证通信的顺利进行。
网络安全基础教程与实训
2019/11/25
第2章 网络监听与TCP/IP协议分析
本章主要讲授:
网络监听与数据分析 网络层协议报头结构 传输层协议报头结构 TCP会话安全 TCP/IP报文捕获与分析
网络监听与TCP/IP协议分析
2.1 网络监听与数据分析 以太网工作方式 : 广播
接收者,即组成员。而主机方只需要保存自己加入了哪些组播组。
igmp在主机与路由器之间是不对称的:主机需要响应组播路由器的
成员关系。igmp不包括组播路由器之间的组成员关系信息的传播与维护,
这部分工作由各组播路由协议完成。所有参与组播的主机必须实现igmp。
参与ip组播的主机可以在任意位置、任意时间、成员总数不受限制地
加入或退出组播组。组播路由器不需要也不可能保存所有主机的成员关系,
它只是通过igmp协议了解每个接口连接的网段上是否存在某个组播组的
2.1.1 网络监听的基本原理 通常一个网络接口只接收 1、与自己硬件地址相匹配的数据帧。 2、发向所有主机的广播数据帧。
网卡的接收方式: 广播方式、组播方式、直接方式、混杂方
式
2019/11/25
网络监听与TCP/IP协议分析
2019/11/25
2.1.2网络监听工具
Sniffer软件支持协议丰富,解 码速度快。支持各种 windows平台
主要功能: 1、捕获网络流量进行详细分析 2、利用专家分析系统诊断问题 3、实时监控网络活动 4、收集网络利用率和错误等
2019/11/25
2.2网络层协议报头结构
网络层协议将数据包封装成IP数据报,并运行必要的路由算法。 4种互联协议 1、IP (网际协议) 2、ARP(地址解析协议) 3、ICMP(网际控制报文协议) 4、IGMP (互联组管理协议 )
1、应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序); 2、内核检查是否能够转化该IP地址为MAC地址,也就是在本地的ARP缓存中查看IPMAC对应表[1]; 3、如果存在该IP-MAC对应关系,那么跳到步骤7;如果不存在该IP-MAC对应关系,那么 接续下面的步骤; 4、内核进行ARP广播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令类型为 REQUEST(1),其中包含有自己的MAC地址; 5、当192.168.1.2主机接收到该ARP请求后,将源主机的IP地址及MAC更新至自己的arp缓 冲中,然后发送一个ARP的REPLY(2)命令,其中包含自己的MAC地址; 6、本地获得192.168.1.2主机的IP-MAC地址对应关系,并保存到ARP缓存中; 7、内核将把IP转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去; 使用arp-a命令就可以查看本地的ARP缓存内容,所以,执行一个本地的PING命令后, ARP缓存就会存在一个目的IP的记录了。当然,如果你的数据包是发送到不同网段的目的地, 那么就一定存在一条网关的IP-MAC地址对应的记录。 知道了ARP协议的作用,就能够很清楚地知道,数据包的向外传输很依靠ARP协议,当然, 也就是依赖ARP缓存。要知道,ARP协议的所有操作都是内核自动完成的,同其他的应用程序 没有任何关系。同时需要注意的是,ARP协议只使用于本网络。
2.2.3 ICMP
2019/11/25
2.2.4 IGMP
Internet 组管理协议(IGMP)是因特网协议家族中的一个组播协
议,用于 IP 主机向任一个直接相邻的路由器报告他们的组成员情况。
IGMP 信息封装在 IP 报文中,其 IP 的协议号为 2。
它用来在ip主机和与其直接相邻的组播路由器之间建立、维护组播组
2019/11/25
2.2.1 IP数据报结构
面向无连接
2019/11/25
ቤተ መጻሕፍቲ ባይዱ 2.2.1 IP数据报结构
尽力服务(不可靠)
2019/11/25
2.2.1 IP数据报结构
IP数据报头
2019/11/25
2.2.1 IP数据报结构
TTL是IP协议包中的一个值,它告诉网络,数据包在网络中 的时间是否太长而应被丢弃。有很多原因使包在一定时 间内不能被传递到目的地。解决方法就是在一段时间后 丢弃这个包,然后给发送者一个报文,由发送者决定是 否要重发。TTL的初值通常是系统缺省值,是包头中的 8位的域。TTL的最初设想是确定一个时间范围,超过 此时间就把包丢弃。由于每个路由器都至少要把TTL域 减一,TTL通常表示包在被丢弃前最多能经过的路由器 个数。当记数到0时,路由器决定丢弃该包,并发送一 个ICMP报文给最初的发送者。
2019/11/25
2.2.3 ICMP
ICMP 提供控制和错误消息,由 ping 和 traceroute 实用程序使用。虽然 ICMP 使用 IP 的 基本支持,看起来好象是上层协议 ICMP,但它实 际上是 TCP/IP 协议簇中独立的第 3 层协议。 可能发送的 ICMP 消息包括: 主机确认 无法到达目的或服务器 超时 路由重定向 源抑制
2019/11/25
2.2.2 ARP
2019/11/25
2.2.2 ARP
为了解释ARP协议的作用,就必须理解数据在网络上的传输过程。这里举一个简单的PING例 子。
假设我们的计算机IP地址是192.168.1.1,要执行这个命令:ping192.168.1.2。该命令会通 过ICMP协议发送ICMP数据包。该过程需要经过下面的步骤:
2019/11/25
2.2.2 ARP
ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写。在局 域网中,网络中实际传输的是“帧”,帧里 面是有目标主机的MAC地址的。在以太网 中,一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个 目标MAC地址是如何获得的呢?它就是通 过地址解析协议获得的。所谓“地址解析” 就是主机在发送帧前将目标IP地址转换成目 标MAC地址的过程。ARP协议的基本功能 就是通过目标设备的IP地址,查询目标设备 的MAC地址,以保证通信的顺利进行。
网络安全基础教程与实训
2019/11/25
第2章 网络监听与TCP/IP协议分析
本章主要讲授:
网络监听与数据分析 网络层协议报头结构 传输层协议报头结构 TCP会话安全 TCP/IP报文捕获与分析
网络监听与TCP/IP协议分析
2.1 网络监听与数据分析 以太网工作方式 : 广播
接收者,即组成员。而主机方只需要保存自己加入了哪些组播组。
igmp在主机与路由器之间是不对称的:主机需要响应组播路由器的
成员关系。igmp不包括组播路由器之间的组成员关系信息的传播与维护,
这部分工作由各组播路由协议完成。所有参与组播的主机必须实现igmp。
参与ip组播的主机可以在任意位置、任意时间、成员总数不受限制地
加入或退出组播组。组播路由器不需要也不可能保存所有主机的成员关系,
它只是通过igmp协议了解每个接口连接的网段上是否存在某个组播组的
2.1.1 网络监听的基本原理 通常一个网络接口只接收 1、与自己硬件地址相匹配的数据帧。 2、发向所有主机的广播数据帧。
网卡的接收方式: 广播方式、组播方式、直接方式、混杂方
式
2019/11/25
网络监听与TCP/IP协议分析
2019/11/25
2.1.2网络监听工具
Sniffer软件支持协议丰富,解 码速度快。支持各种 windows平台
主要功能: 1、捕获网络流量进行详细分析 2、利用专家分析系统诊断问题 3、实时监控网络活动 4、收集网络利用率和错误等
2019/11/25
2.2网络层协议报头结构
网络层协议将数据包封装成IP数据报,并运行必要的路由算法。 4种互联协议 1、IP (网际协议) 2、ARP(地址解析协议) 3、ICMP(网际控制报文协议) 4、IGMP (互联组管理协议 )
1、应用程序构造数据包,该示例是产生ICMP包,被提交给内核(网络驱动程序); 2、内核检查是否能够转化该IP地址为MAC地址,也就是在本地的ARP缓存中查看IPMAC对应表[1]; 3、如果存在该IP-MAC对应关系,那么跳到步骤7;如果不存在该IP-MAC对应关系,那么 接续下面的步骤; 4、内核进行ARP广播,目的地的MAC地址是FF-FF-FF-FF-FF-FF,ARP命令类型为 REQUEST(1),其中包含有自己的MAC地址; 5、当192.168.1.2主机接收到该ARP请求后,将源主机的IP地址及MAC更新至自己的arp缓 冲中,然后发送一个ARP的REPLY(2)命令,其中包含自己的MAC地址; 6、本地获得192.168.1.2主机的IP-MAC地址对应关系,并保存到ARP缓存中; 7、内核将把IP转化为MAC地址,然后封装在以太网头结构中,再把数据发送出去; 使用arp-a命令就可以查看本地的ARP缓存内容,所以,执行一个本地的PING命令后, ARP缓存就会存在一个目的IP的记录了。当然,如果你的数据包是发送到不同网段的目的地, 那么就一定存在一条网关的IP-MAC地址对应的记录。 知道了ARP协议的作用,就能够很清楚地知道,数据包的向外传输很依靠ARP协议,当然, 也就是依赖ARP缓存。要知道,ARP协议的所有操作都是内核自动完成的,同其他的应用程序 没有任何关系。同时需要注意的是,ARP协议只使用于本网络。