计算机三级网络技术PPT教程第7章
合集下载
计算机网络安全技术第7章 身份鉴别技术
(4)第四方是攻击者,可以窃听或伪装声称者骗取验 证者的信任。
实体鉴别与消息鉴别的差别
(1)实体鉴别一般都是实时的,消息鉴别一般不提供 时间性。
(2)实体鉴别只证实实体的身份,消息鉴别除了消息 的合法和完整外,还需要知道消息的含义。
(3)数字签字是实现身份识别的有效途径。但在身份 识别中消息的语义是基本固定的,一般不是“终 生”的,签字是长期有效的。
7.2 鉴别机制
鉴别机制主要有:非密码的鉴别机制、基于密码 算法的鉴别机制和零知识证明协议鉴别机制。
交换联系起来。
实体鉴别实现安全目标的方式
(1) 作为访问控制服务的一种必要支持,访问控制 服务的执行依赖于确知的身份,即访问控制服务 直接对达到机密性、完整性、可用性及合法使用 目标提供支持;
(2)当它与数据完整性机制结合起来使用时,作为提 供数据起源认证的一种可能方法;
(3) 作为对责任原则的一种直接支持,例如,在审 计追踪过程中做记录时,提供与某一活动相联系 的确知身份。
鉴别的目的是验明用户或信息的正身,就是验证 用户身份的合法性和用户间传输信息的完整性与 真实性。
鉴别服务提供了关于某个实体身份的保证,所有 其它的安全服务都依赖于该服务。
鉴别是最重要的安全服务之一。
基于不同的认证目的,鉴别还可分为实体鉴别和 数据源发鉴别两种情形。
7.1.1 实体鉴别和数据源发鉴别 7.1.2 单向散列函数
第7章 身份鉴别技术
本章要求
了解数据鉴别的服务类型 掌握数据鉴别的基本方法 了解Internet中常见的数据鉴别技术,包括
KERBEROS系统、GSSAPIv2
本章主要内容
7.1 鉴别概述 7.2 鉴别机制 7.3 KERBEROS系统 7.4 GSSAPIv2
实体鉴别与消息鉴别的差别
(1)实体鉴别一般都是实时的,消息鉴别一般不提供 时间性。
(2)实体鉴别只证实实体的身份,消息鉴别除了消息 的合法和完整外,还需要知道消息的含义。
(3)数字签字是实现身份识别的有效途径。但在身份 识别中消息的语义是基本固定的,一般不是“终 生”的,签字是长期有效的。
7.2 鉴别机制
鉴别机制主要有:非密码的鉴别机制、基于密码 算法的鉴别机制和零知识证明协议鉴别机制。
交换联系起来。
实体鉴别实现安全目标的方式
(1) 作为访问控制服务的一种必要支持,访问控制 服务的执行依赖于确知的身份,即访问控制服务 直接对达到机密性、完整性、可用性及合法使用 目标提供支持;
(2)当它与数据完整性机制结合起来使用时,作为提 供数据起源认证的一种可能方法;
(3) 作为对责任原则的一种直接支持,例如,在审 计追踪过程中做记录时,提供与某一活动相联系 的确知身份。
鉴别的目的是验明用户或信息的正身,就是验证 用户身份的合法性和用户间传输信息的完整性与 真实性。
鉴别服务提供了关于某个实体身份的保证,所有 其它的安全服务都依赖于该服务。
鉴别是最重要的安全服务之一。
基于不同的认证目的,鉴别还可分为实体鉴别和 数据源发鉴别两种情形。
7.1.1 实体鉴别和数据源发鉴别 7.1.2 单向散列函数
第7章 身份鉴别技术
本章要求
了解数据鉴别的服务类型 掌握数据鉴别的基本方法 了解Internet中常见的数据鉴别技术,包括
KERBEROS系统、GSSAPIv2
本章主要内容
7.1 鉴别概述 7.2 鉴别机制 7.3 KERBEROS系统 7.4 GSSAPIv2
计算机网络与信息安全课件-第7章-防火墙基础
第七章防火墙技术防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。
与防火墙一起起作用的就是“门”。
如果没有门,各房间的人将无法沟通。
当火灾发生时,这些人还须从门逃离现场。
这个门就相当于我们这里所讲的防火墙的“安全策略”,所以在此我们所说的防火墙实际并不是一堵实心墙,而是带有一些小门的墙。
这些小门就是用来留给那些允许进行的通信,在这些小门中安装了过滤机制。
网络防火墙是借鉴了古代真正用于防火的防火墙的喻义,它指的是隔离在本地网络与外界网络之间的一道防御系统。
防火墙可以使企业内部局域网(LAN)网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络,防止发生不可预测的、潜在破坏性的侵入。
典型的防火墙具有以下三个方面的基本特性:(1)内部网络和外部网络之间的所有网络数据流都必须经过防火墙这是防火墙所处网络位置特性,同时也是一个前提。
因为只有当防火墙是内、外部网络之间通信的唯一通道,才可以全面、有效地保护企业内部网络不受侵害。
根据美国国家安全局制定的《信息保障技术框架》,防火墙适用于用户网络系统的边界,属于用户网络边界的安全保护设备。
所谓网络边界即是采用不同安全策略的两个网络的连接处,比如用户网络和Internet之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。
防火墙的目的就是在网络连接之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
(2)只有符合安全策略的数据流才能通过防火墙防火墙最基本的功能是确保网络流量的合法性,并在此前提下将网络的流量快速地从一条链路转发到另外的链路上去。
从最早的防火墙模型开始谈起,原始的防火墙是一台“双穴主机”,即具备两个网络接口,同时拥有两个网络层地址。
防火墙将网络流量通过相应的网络接口接收上来,按照协议栈的层次结构顺序上传,在适当的协议层进行访问规则和安全审查,然后将符合通过条件的报文从相应的网络接口送出,而对于那些不符合通过条件的报文则予以阻断。
计算机三级网络技术PPT教程第7章
2、网络层提供的服务
数据报(无连接的) 虚电路(面向连接的)
连接设置
不需要 每个分组需要完整的源和 目的地址 有路由表,无连接表
需要 每个分组包含一个虚电路 号 连接表
地址
状态信息
路由选择 路由器失败的影 响
传输质量
每个包独立选择
丢失失败时的分组 同一报文会出现乱序、重 复、丢失
虚电路建立后勿需路由 所有经过失败路由器的虚 电路失效
(1) 网间网的网络地址: 128.101.0.0 ( B类网络) (2)子网部分: 从原主机部分划出一个字节作为子网部分
每个子网的网络地址: 128.101.0.0 + 子网部分
(3)主机部分: 剩下的一个字节作为划分后的主机部分
(4) 子网掩码: 255.255.255.0
子网掩码的另一种写法,如 128.101.1.12 / 24
网络部分占24位,即255.255.255.0。
6、网络地址翻译
NAT(Network Address Translation),进行私有IP地 址与公网上IP地址之间的转换。 实现私有地址的结点与外部公网结点之间的相互通信。 具有NAT功能上的设备运行在内部网络与外部网络的 边界上。
7.3 ARP与RARP
原主机部分 网络部分==网络标识(也称网间网标识)+子网部分
子网中的位数 1 2 3 4 5 6 7 8 9 …
子网数量 21=2 22=4 23=8 24=16 25=32 26=64 27=128 28=256 29=512 ….
有效子网数量 2-2=0 4-2=2 8-2=6 16-2=14 32-2=30 64-2=62 128-2=126 256-2=254 512-2=510 …
计算机等级考试三级网络教程第7章 网络应用
2. “一站式”电子政务服务的实现流程概念: 主要掌握概念:
电子商务 电子政务 EDI (电子数据交换) 电子数据交换) SET(安全电子交易) (安全电子交易) B to B 、 B to C、 C to C 、 电子支付(电子现金、电子信用卡、电子支票) 电子支付(电子现金、电子信用卡、电子支票)
第7章 网络应用
电子商务/政务 第7章 网络应用 电子商务 政务 章 网络应用---电子商务
7.1 电子商务(P.185) 电子商务( ) 7.1.1 电子商务的基本概念 7.1.2 电子商务的系统结构 7.1.3 电子支付技术
1.电子商务? 电子商务? 电子商务 2.电子商务的优越性(1)-(5) 电子商务的优越性( ) ( ) 电子商务的优越性 3.EDI与电子商务 与
第7章 网络应用
THANK YOU VERY MUCH !
本章到此结束, 本章到此结束, 谢谢! 谢谢!
第7章 网络应用
7.2 电子政务(P.202) 电子政务( )
7.2.1 电子政务的基本概念 7.2.2 电子政务的系统结构
7.2.3 “一站式”电子政务服务 一站式”
1.电子政务? 电子政务? 电子政务 2.电子政务的特点(1)-(4) 电子政务的特点( ) ( ) 电子政务的特点 3. 电子政务发展历程 4. 国家电子政务的机遇和挑战 1.电子政务的分层逻辑模型 电子政务的分层逻辑模型 2.电子政务的网络体系结构 电子政务的网络体系结构 3. 电子政务的网络安全结构设计 1. “一站式”电子政务服务的概念 一站式”
4.电子商务的发展和存在的问题 电子商务的发展和存在的问题
1.电子商务系统结构 电子商务系统结构 2.电子商务的应用系统 电子商务的应用系统
电子商务 电子政务 EDI (电子数据交换) 电子数据交换) SET(安全电子交易) (安全电子交易) B to B 、 B to C、 C to C 、 电子支付(电子现金、电子信用卡、电子支票) 电子支付(电子现金、电子信用卡、电子支票)
第7章 网络应用
电子商务/政务 第7章 网络应用 电子商务 政务 章 网络应用---电子商务
7.1 电子商务(P.185) 电子商务( ) 7.1.1 电子商务的基本概念 7.1.2 电子商务的系统结构 7.1.3 电子支付技术
1.电子商务? 电子商务? 电子商务 2.电子商务的优越性(1)-(5) 电子商务的优越性( ) ( ) 电子商务的优越性 3.EDI与电子商务 与
第7章 网络应用
THANK YOU VERY MUCH !
本章到此结束, 本章到此结束, 谢谢! 谢谢!
第7章 网络应用
7.2 电子政务(P.202) 电子政务( )
7.2.1 电子政务的基本概念 7.2.2 电子政务的系统结构
7.2.3 “一站式”电子政务服务 一站式”
1.电子政务? 电子政务? 电子政务 2.电子政务的特点(1)-(4) 电子政务的特点( ) ( ) 电子政务的特点 3. 电子政务发展历程 4. 国家电子政务的机遇和挑战 1.电子政务的分层逻辑模型 电子政务的分层逻辑模型 2.电子政务的网络体系结构 电子政务的网络体系结构 3. 电子政务的网络安全结构设计 1. “一站式”电子政务服务的概念 一站式”
4.电子商务的发展和存在的问题 电子商务的发展和存在的问题
1.电子商务系统结构 电子商务系统结构 2.电子商务的应用系统 电子商务的应用系统
计算机网络实训教程-第七章-交换机路由器的配置
Trunk模式的端口用于交换机与交换机、交换机与 路由器,大多用于级联网络设备,所以也称为干 道模式。
Access模式多用于接入层,也称为接入模式。如图 所示,可以将交换机的端口工作模式分别设置为 干道模式和接入模式,PC和交换机之间设置为接 入模式,交换机之间设置为干道模式。
interface range可以对一组端口进行统一配置,如果已知端口是直接与 PC连接的,并且没有接路由器、交换机和集线器的情况下可以使用 spanning-tree portfast命令来设置快速端口,快速端口不再经历生成树 的4个状态,直接进入转发状态,以提高接入速度。
拟局域网。通过该技术,虚拟局域网可以限制广 播范围,并能够形成虚拟工作组,动态管理网络。
划分VLAN的方法
基于端口划分VLAN 基于MAC地址划分VLAN 基于网络层协议划分VLAN 基于IP组播划分VLAN 基于策略划分VLAN 基于用户定义、非用户授权划分VLAN
VLAN拓扑图
Cisco 2950交换机Switch1与4台PC主机相连,4台主 机PC1, PC2, PC3和PC4的IP地址分别是192.168.1.1, 192.168.1.2, 192.168.1.3和192.168.1.4。在没有为交 换机划分VLAN的情况下,4台PC主机可以互相连 通。根据要求,可以为Switch1划分VLAN,即要 求:PC1与PC2划分在一个VLAN中,可以互相连 通;PC3与PC4划分在另一个VLAN中,可以互相 连通;VLAN 2中的主机和VLAN 3中的主机不能 互相连通。
第7章 交换机和路由器的配置
路由器和交换机基础 交换机的VLAN配TP配置
7.1 路由器
配置途径
(1) Console口接终端或运行终端仿真软件的 PC;
Access模式多用于接入层,也称为接入模式。如图 所示,可以将交换机的端口工作模式分别设置为 干道模式和接入模式,PC和交换机之间设置为接 入模式,交换机之间设置为干道模式。
interface range可以对一组端口进行统一配置,如果已知端口是直接与 PC连接的,并且没有接路由器、交换机和集线器的情况下可以使用 spanning-tree portfast命令来设置快速端口,快速端口不再经历生成树 的4个状态,直接进入转发状态,以提高接入速度。
拟局域网。通过该技术,虚拟局域网可以限制广 播范围,并能够形成虚拟工作组,动态管理网络。
划分VLAN的方法
基于端口划分VLAN 基于MAC地址划分VLAN 基于网络层协议划分VLAN 基于IP组播划分VLAN 基于策略划分VLAN 基于用户定义、非用户授权划分VLAN
VLAN拓扑图
Cisco 2950交换机Switch1与4台PC主机相连,4台主 机PC1, PC2, PC3和PC4的IP地址分别是192.168.1.1, 192.168.1.2, 192.168.1.3和192.168.1.4。在没有为交 换机划分VLAN的情况下,4台PC主机可以互相连 通。根据要求,可以为Switch1划分VLAN,即要 求:PC1与PC2划分在一个VLAN中,可以互相连 通;PC3与PC4划分在另一个VLAN中,可以互相 连通;VLAN 2中的主机和VLAN 3中的主机不能 互相连通。
第7章 交换机和路由器的配置
路由器和交换机基础 交换机的VLAN配TP配置
7.1 路由器
配置途径
(1) Console口接终端或运行终端仿真软件的 PC;
计算机网络7章
朱明zhubob
7.3 无线广域网WWAN
7.3.3 移动通信系统
1.全球移动通信系统GSM GSM是ETSI于1990年年底制定,由于各个国家 对无线电频率的规定不同,标准允许GSM可以工作 在900MHz、1 800MHz及1 900MHz三个频带上。 GSM系统信号采用电路交换技术,即通信时通 话两端独占一条线路。 GSM的数据传输速率只有9.6kbps,所以利用 GSM平台接入Internet时速度太慢,手机或笔记本上 网时,感到非常的不便。 1998年提出一种新的技术来加速GSM数据传输 的速率,这就是GPRS。
朱明zhubob
7.2 无线传输技术
7.2.2 无线电波传输 2.窄频微波 微波采用高频率短波长(3~30GHz)的电 波传输数据,可提供点对点的远距离无线连接, 缺点是较容易受到外界干扰,各厂商的产品无 法互通。 无线网络使用微波频段时一般不使用公用 频带,需要申请专用频道,而且用非常窄的带 宽(窄频微波)来传输信号。这种窄频微波的 带宽刚好能将信号塞进去,这样不但可以大幅 减少频带的耗用,也可以减轻噪声干扰的问题。
朱明zhubob
7.3 无线广域网WWAN
7.3.3 移动通信系统 5.3G
(1)WCDMA WCDMA基于GSM网,它架设在现有的GSM网 络上,对于系统提供商而言可以较轻易地过渡。 (2)CDMA2000 CDMA2000从原有的窄带CDMA结构直接升级 到3G,建设成本低廉。CDMA2000的支持者不如 WCDMA多。 (3)TD-SCDMA TD-SCDMA由中国独自制定的3G标准,被国际 广泛接受和认可。
朱明zhubob
7.3 无线广域网WWAN
7.3.2 码分多址CDMA技术
CDMA允许所有的使用者同时使用全部频带, 并且把其他发出的信号视为杂讯,不必考虑信号碰 撞的问题。CDMA的优点:一是语音编码技术,其 通话品质比目前的GSM好,而且可以把环境噪声降 低,使通话更为清晰;二是利用扩频通信技术,减 少手机之间的干扰,可以增加用户的容量;三是手 机功率可以做的比较低,使手机电池使用时间更长, 更重要的是降低了电磁波辐射;三是带宽可以扩展 较大,可以传输影像,因此3G网络选用CDMA技术; 四是安全性能较好,CDMA有良好的认证体制,使 用码分多址,增强了防盗听的能力。
三级网络技术课件7章ppt课件
Page 33
代换与置换技术
代换法是将明文字母替换成其他字符、数字或符号的方法。 典型的算法包括Caesar密码、单表代换密码、playfair密 码、Hill密码、多表代换密码以及一次一密等。
置换密码的加密方法是通过置换而形成新的排列。如栅栏 技术,按照对角线的顺序写入明文,而按行的顺序读出作 为密文。
Page 6
2.故障管理
任务是发现和排除故障 主要功能包括
维护并监测错误日志 接收错误监测报告并作出响应 跟踪辨认错误 执行诊断测试和纠正错误 内容包括 障碍管理 故障恢复 预防保障
Page 7
3.性能管理
包括性能监测、性能分析以及性能管理控 制等功能
主要功能:
风险分析功能 安全服务功能 告警功能 日志功能和报告功能 网络管理系统保护功能
Page 10
7.1.3 网络管理模型
网络管理的基本模型
网络管理者:运行在计算机操作系统之上的一组应用程序,负责 从各代理处收集管理信息,进行处理,获取有价值的管理信息, 达到管理的目的。
拒绝服务:禁止通信实体的正常使用或管理。
Page 26
服务攻击和非服务攻击
服务攻击
针对某种特定网络服务的攻击 例如:针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击 原因:TCP/IP协议缺乏认证、保密措施。
非服务攻击
不针对某项具体应用服务,而是基于网络层等低层协议而进行 原因:TCP/IP协议(尤其是IPv4)自身的安全机制不足
代理:位于被管理的设备内部,是被管对象上的管理程序。 管理者和代理之间的信息交换方式:
从管理者到代理的管理操作 从代理到管理者的事件通知
代换与置换技术
代换法是将明文字母替换成其他字符、数字或符号的方法。 典型的算法包括Caesar密码、单表代换密码、playfair密 码、Hill密码、多表代换密码以及一次一密等。
置换密码的加密方法是通过置换而形成新的排列。如栅栏 技术,按照对角线的顺序写入明文,而按行的顺序读出作 为密文。
Page 6
2.故障管理
任务是发现和排除故障 主要功能包括
维护并监测错误日志 接收错误监测报告并作出响应 跟踪辨认错误 执行诊断测试和纠正错误 内容包括 障碍管理 故障恢复 预防保障
Page 7
3.性能管理
包括性能监测、性能分析以及性能管理控 制等功能
主要功能:
风险分析功能 安全服务功能 告警功能 日志功能和报告功能 网络管理系统保护功能
Page 10
7.1.3 网络管理模型
网络管理的基本模型
网络管理者:运行在计算机操作系统之上的一组应用程序,负责 从各代理处收集管理信息,进行处理,获取有价值的管理信息, 达到管理的目的。
拒绝服务:禁止通信实体的正常使用或管理。
Page 26
服务攻击和非服务攻击
服务攻击
针对某种特定网络服务的攻击 例如:针对E-mail服务、Telnet、FTP、HTTP等服务的专门攻击 原因:TCP/IP协议缺乏认证、保密措施。
非服务攻击
不针对某项具体应用服务,而是基于网络层等低层协议而进行 原因:TCP/IP协议(尤其是IPv4)自身的安全机制不足
代理:位于被管理的设备内部,是被管对象上的管理程序。 管理者和代理之间的信息交换方式:
从管理者到代理的管理操作 从代理到管理者的事件通知
网络-第7章_Internet及其应用
Ê ¼ Ó þ ¿ Í » §¶ Ë
Ê ¼ Ó þ þ ·Î ñ Æ ÷
Ê ¼ Ó þ · þ Î ñ Æ ÷
邮件传输协议
在Internet上传输邮件是于发送邮件;
POP3:邮局协议的第3个版本,用于读取邮件;
电子邮件地址 E-mail地址格式为:
使用“<标签>……</标签>”的结构定义内容
例如: <HTML>……</HTML>
下面是一个简单的HTML文档:
<HTML> <HEAD> <TITLE> Internet的特点</TITLE> </HEAD> <BODY> <H1>1. 开放性</H1> <P>Internet对各种类型的计算机都是开放的。任何计算机都可以使用 TCP/IP协议,因此它们都能够连接到Internet。</P> <H1>2. 平等性</H1> <P>Internet不属于任何个人、企业、部门或国家,它覆盖到了世界各地, 覆盖了各行各业。Internet成员可以自由地接入和退出Internet,共享 Internet资源,用户自身的资源也可以向Internet开放。</P> <H1>3. 技术通用性</H1> <P>Internet允许使用各种通信媒介,即计算机通信的线路。把Internet 上数以百万计的计算机连接在一起的电缆包括小型网络的电缆、专用数据 线、本地电话线、全国性的电话网络(通过电缆、微波和卫星传送信号) 和国家间的电话载体。</P> </BODY> </HTML>
计算机网络 第7章 因特网及应用
随着冷战的结束和经济的发展,该网络已不再为 国防项目研究所专用,美国官方也退出了对该网络的 管理与控制。网络由美国国家科学基金委员会 (National Science Foundation, 简称NSF)接手管理, 1985年在美国政府的帮助下美国国家科学基金委员会 组建了第一个网命名为NSFNET,但直到八十年代初期 以前,所有网络用户均为科研机构和大学,网络主要 用于科学家、专家教授和科研人员的通信与交通。 从八十年代中期开始,随着网络用户不断增加, 网络应用有增无减,网络技术与功能得到了很大的发 展,商业机构开始连接到网络上,大量的资金投入带 来了网络开发与应用的飞速发展,覆盖范围遍及全球, 到九十年代初,网络规模已超出了NSF的管理与控制能 力,网络进入了自我发展状态。1995年,NSF被撤消, 美国的商业供应商财团接管了Internet的架构,逐渐 形成了现在的Internet。
3.应用程序
与用户直接发生关系的既不是物理网,也不是网 络协议,而是网络应用软件工具和应用程序。所有的 网络服务都要通过运行实用程序来获得,例如,运行 浏览器程序获得WWW服务,运行Telnet程序获得 Telnet服务,运行邮件服务程序获得E-mail服务等。
4.信息资源
信息在网络世界里好比货物在交通系统中一样,修 建公路(物理网)、设立交通规则(协议)、使用汽 车(应用软件)的目的是为了运输货物(信息),物 理网、协议和应用软件都是为信息的传送服务的。用 户使用Internet的主要目的是共享信息资源,资源的 种类有很多,例如文本、图像、声音与视频等。如何 更好地组织信息资源,使用户方便地获得信息是进一 步的发展方向。通过Internet,我们可以查找到各种 有用的信息、收发信件、网上聊天、网上购物、网络 教育或参与网络游戏等,涉及到人们的工作、生活、 学习和娱乐方式等各方面。
第7章 网络的攻击与防范.ppt
7.1 网络的攻击
• 7.1.3 网络攻击的整体模型描述
攻击模型阶段划分: 4. 目标使用权限获取 获取在目标系统中的普通或特权帐户权限,获得系统管 理员口令,利用系统管理上的漏洞获取控制权,令系统运 行木马程序,窃听帐号口令输入等 5.攻击行为隐藏 隐藏在目标系统中的操作,防止攻击行为被发现.连接 隐藏,冒充其他用户,修改环境变量,修改日志,隐藏进程, 隐藏攻击时产生的信息
的访问 监控对系统的访问和使用,探测未经授权的行为
7.3 网络防范的策略和方法
• 7.3.1 网络安全策略
信息安全策略
信息安全的策略是要保护信息的机密性,真实性,完整性, 因此,应对敏感或机密数据进行加密.
信息加密过程是由形形色色的加密算法来具体实施,它以 很小的代价提供很大的安全保护.
目前,信息加密仍然是保证信息机密性的主要方法. 网络加密常用的方法有链路加密,端点加密和节点加密3种.
对于一台连网的计算机,只需要安装一个监听软件,就可以浏览监听到 信息
最简单的监听软件包括内核部分和用户分析部分.内核部分负责从网 络中捕获和过滤数据,用户分析部分负责界面,数据转化与处理,格式化, 协议分析.
一个较为完整的网络监听程序一般包括以下步骤
数据包获取 数据包过滤与分解 数据分析
7.2网络攻击实施和技术分析
7.1 网络的攻击
• 目前网络攻击技术,攻击工具发展
攻击行为越来越隐蔽
攻击者已经具备了反侦破,动态行为,攻击工具更加成熟等特点. 反侦破是指黑客越来越多地采用具有隐蔽攻击工具特性的技术, 使安全专家需要耗费更多的时间来分析新出现的攻击工具和了 解新的攻击行为.动态行为是指现在的自动攻击工具可以根据 随机选择,预先定义的决策路经或通过入侵者直接管理,来变化 他们的模式和行为,而不是像早期的攻击工具那样,仅能够以单 一确定的顺序执行攻击步骤.
计算机网络原理与应用PPT第7章 网络管理技术
2020/9/23
1. 系统的功能。即一个网络管理系统应具有哪些功能。 2. 网络资源的表示。网络管理很大一部分是对网络中资源 的管理。网络中的资源就是指网络中的硬件、软件以及所提供的 服务等。而一个网络管理系统必须在系统中将它们表示出来,才 能对其进行管理。 3. 网络管理信息的表示。网络管理系统对网络的管理主要 靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、 怎样传递、传送的协议是什么?这都是一个网络管理系统必须考 虑的问题。 4. 系统的结构。即网络管理系统的结构是怎样的。
2020/9/23
一般,网络故障管理包括故障检测、隔离和纠正三方面,具体 应包括以下典型功能:
– 维护并检查错误日志; – 接受错误检测报告并做出响应; – 跟踪、辨认错误; – 执行诊断测试; – 纠正错误。 – 对网络故障的检测依据,是对网络组成部件状态的监测。不
严重的简单故障通常被记录在错误日志中,并不作特别处理; 而严重一些的故障则需要通知网络管理器,即所谓的“警 报”。 一般网络管理器应根据有关信息对警报进行处理,排 除故障。当故障比较复杂时,网络管理器应能执行一些诊断 测试来辨别故障原因。
– 创建、删除、控制安全服务和机制; – 与安全相关信息的分布; – 与安全相关事件的报告。
2020/9/23
7.3 网络管理的协议原理
要进行网络管理,网络管理器首先要获取网络中各被管设 备的运行状态数据。这些数据的获取与传输是通过网络管理协议 来实现的。网络管理协议是综合网络管理系统中最重要的部分, 它定义了网络管理器与被管设备间的通信方法。在网络管理协议 产生以前的相当长的时间里,管理者要学习各种从不同网络设备 获取数据的方法。因为各个生产厂家使用专用的方法收集数据, 相同功能的设备,不同的生产厂商提供的数据采集方法可能大相 径庭。因此,制定一个网络管理协议的行业标准非常重要。基于 这种需要,逐渐地形成如下几种常用的网络管理协议标准。
1. 系统的功能。即一个网络管理系统应具有哪些功能。 2. 网络资源的表示。网络管理很大一部分是对网络中资源 的管理。网络中的资源就是指网络中的硬件、软件以及所提供的 服务等。而一个网络管理系统必须在系统中将它们表示出来,才 能对其进行管理。 3. 网络管理信息的表示。网络管理系统对网络的管理主要 靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、 怎样传递、传送的协议是什么?这都是一个网络管理系统必须考 虑的问题。 4. 系统的结构。即网络管理系统的结构是怎样的。
2020/9/23
一般,网络故障管理包括故障检测、隔离和纠正三方面,具体 应包括以下典型功能:
– 维护并检查错误日志; – 接受错误检测报告并做出响应; – 跟踪、辨认错误; – 执行诊断测试; – 纠正错误。 – 对网络故障的检测依据,是对网络组成部件状态的监测。不
严重的简单故障通常被记录在错误日志中,并不作特别处理; 而严重一些的故障则需要通知网络管理器,即所谓的“警 报”。 一般网络管理器应根据有关信息对警报进行处理,排 除故障。当故障比较复杂时,网络管理器应能执行一些诊断 测试来辨别故障原因。
– 创建、删除、控制安全服务和机制; – 与安全相关信息的分布; – 与安全相关事件的报告。
2020/9/23
7.3 网络管理的协议原理
要进行网络管理,网络管理器首先要获取网络中各被管设 备的运行状态数据。这些数据的获取与传输是通过网络管理协议 来实现的。网络管理协议是综合网络管理系统中最重要的部分, 它定义了网络管理器与被管设备间的通信方法。在网络管理协议 产生以前的相当长的时间里,管理者要学习各种从不同网络设备 获取数据的方法。因为各个生产厂家使用专用的方法收集数据, 相同功能的设备,不同的生产厂商提供的数据采集方法可能大相 径庭。因此,制定一个网络管理协议的行业标准非常重要。基于 这种需要,逐渐地形成如下几种常用的网络管理协议标准。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第7章 网络层
内容提要
• 网络层提供的服务 • IP协议
• IP地址
• 子网划分
• 子网掩码 • Internet控制协议 • 路由与路由协议 • 路由器在网 Nhomakorabea互连中的作用
• IPv6
本章基本要求
掌握IP地址的规划及子网划分技术 掌握网络层中源到目标分组传输的实现机理 理解网络层的主要功能 理解路径选择的作用与实现
协议字段:发送端的传输层所使用的协议类型,如TCP或
UDP。再如ICMP、EGP、IGP、OSPF等。
头部校验和字段:用来校验头部。
3、IP地址
是用以标识网络中主机的逻辑地址,可以唯一地标识 Internet中的一台主机。 是转发设备(如路由器)将分组转发到目的网络的依据。 当分组到达目的网络后,根据目的IP地址求得目的主机 的物理地址(MAC地址),然后再将帧传送给该目的主机。
服务。(8bit,优先级3bit、时延1bit、吞吐量1bit、可靠性 1bit、费用1bit
总长字段:头部长度+数据部分长度。 标识字段:让目标主机判断分段属于哪个分组,所有属于
同一分组的分段包含同样的标识值。
DF位:表示不要分段。MF位:表示还有进一步的分段。 分段偏移:说明分段在当前数据报中的位置。
例如,
一个C类网络最多只能安装254台机器,当超过这个 数时,就要另外申请一个C类网络。
一个B类网络最多可容纳65 534台主机,如此大规 模的单一的物理网络几乎是不可能的。
(1)子网编址技术: 将原主机部分划分为子网部分和主机部分,以便将原网络划
分为多个子网,图示如下: 网络标识 子网部分 主机号
网络部分占24位,即255.255.255.0。
6、网络地址翻译
NAT(Network Address Translation),进行私有IP地 址与公网上IP地址之间的转换。 实现私有地址的结点与外部公网结点之间的相互通信。 具有NAT功能上的设备运行在内部网络与外部网络的 边界上。
7.3 ARP与RARP
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 局域网中的广播 网络 127 1 1 1 11 1 1 1 任意值 1 1 1 11 1 1 1 对一个远程网的广播 回送地址
(1)A类地址:
高8位表示网络地址,低24位为主机号。
C类私有地址
192.168.0.0--192.168.255.255
若要访问Internet,则必须采用网络地址转换NAT (Network address translation)或应用代理(proxy)进行转 换,转换为Internet上可以识别的IP地址。
4、子网划分
一个网络中可容纳的最大主机数。
(3)C类地址:
高24位表示网络地址,所以共有221个C类网。低8位表示主 机地址,所以一个C类网络内最多只能有28-2台主机。
110NNNNNNNNNNNNNNNNNNNNNHHHHHHHH
C类地址的第一个打点十进制值为192--223。
(3)私有地址(private address) 私有地址仅供网络内部使用,其地址范围包括三个部分, 即 A类私有地址 B类私有地址 10.0.0.0 --10.255.255.255 172.16.0.0--172.31.255.255
0
版本
4
IHL
8
服务类型 标识
16
总长 D M F F 协议 源 IP 地址 目的 IP 地址 选项 „„ 分段偏移 头校验和
31
生命期
报 头
数 据 区
版本字段:个协议的版本。
IHL字段:头部长度,以32位为一个单位,最小值为5。 服务类型字段(Type Of Service):告诉子网想要什么样的
(2)如何划分子网部分与主机部分?
不同网点的情况不同:有些网点网络多,但每个网络
上的主机少;有些网点网络少,但每个网络上的主机多。
需要多少个子网?
每个子网中最多拥有多少台主机?
--确定网络部分和主机部分的二进制位个数的依据。
例如,单位申请了一个C类网络,单位主机总数小于254 。 下图中每个网段主机台数不超过30台,由此可知主机部分 只需要5个二进制位即可(25-2=30) 。 同时可知,子网部分只有3个二进制位(8-5=3),可用子 网个数为28-2=6。又知单位主机总数小于254 ,故一个C类网络 即可满足。
原主机部分 网络部分==网络标识(也称网间网标识)+子网部分
子网中的位数 1 2 3 4 5 6 7 8 9 …
子网数量 21=2 22=4 23=8 24=16 25=32 26=64 27=128 28=256 29=512 ….
有效子网数量 2-2=0 4-2=2 8-2=6 16-2=14 32-2=30 64-2=62 128-2=126 256-2=254 512-2=510 …
即127.x.y.z又称回送地址,用作回路(loopback)测试,因此,
(2)B类地址:
高16位表示网络地址,所以共有214个B类网。低16位表示主
机地址,所以一个B类网络内最多只能有216-2台主机。 10NNNNNNNNNNNNNNHHHHHHHHHHHHHHHH B类地址的第一个打点十进制值为128-191。
1、网络层的主要功能 (1)建立、维持和拆除网络连接 在网络层的虚电路服务中,要涉及到虚电路的建立、 维持和拆除过程。 (2)分组的组装和拆封(组包/拆包) 网络层的协议数据单元称为分组(Packet)。 (3)路由选择 通过一定的路由算法为分组选择最佳路径。 (4)拥塞控制和负载平衡 拥塞问题的产生原因,如网络负载过重、带宽不够等。 (5)异构网络互连 在所连的网络类型不同的情况下,网络层要解决这种异 构网络的互连问题。
生命期TTL(Time To Live)或称生存时间:限制分组的最
大生存时间,最大值为255,协议推荐以秒为单位。实际上, TTL值是节点数。 分组经过每个结点时,TTL都被递减(若排队等待转发, 则会成倍递减)。一旦TTL的值小于等于0,便将该分组从 网中删除,并向信源机发回一个出错信息。TTL可以防止分 组在网间网中无休止地流动。
网络标识 32 Bits
主机标识
主机标识部分:如果主机标识中所有的位全为1, 则表示本网的广播地址,而全为0则表示本网。
位于同一网络中的主机必然具有相同的网络标识。 网络标识全0表示本网中的主机。
一些特殊的保留地址:
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 本机 00 00 主机 本网中的主机
注意: 同一个网络中网络部分相同,子网掩码也相同。
目的网络地址的确定: IP地址与子网掩码按位“与”之后,便得到一个完整的 网络地址。
由同一个网络所划分的子网中,网间网标识相同,但是 由于子网部分不能相同,因此每一个子网的网络地址都是惟 一的。 网络地址=网间网标识 + 子网部分
例如,一个单位申请了一个B类网络,其部分子网如下所示。
网络1
网络2
网络3
引入子网划分技术可以有效地提高IP地址的利 用率,从而可节省宝贵的IP地址资源。
5、子网掩码(subnet mask)
如何确定目的子网?
IP协议规定: 每一个使用子网的网点都选择一个32位的位模式与32位的 IP地址相对应。对应网络部分的各位都为“1” ,对应主机部 分的各位都为“ 0”。 如, 从子网掩码255.255.255.0可知,网络部分占 前3个字节,主机部分占1个字节。 从255.255.252.0 可知,网络部分占22位,主机部分 占10位。
网间网其余部分 128.11.10.1
R1
128.101.1.0 128.101.1.11
128.101. 1.12
128.101.1.14
R2 R3 128.101.3.1 R4
128.101.1.16
128.101.2.1
128.101.4.1
128.101.2.0
128.101.4.0
128.101.3.0
Internet控制协议
除了用于数据传送的IP协议外, Internet还有多个用于 网络层的控制协议,包括 ICMP 、ARP和RARP等。
理解IP协议、ARP协议和ICMP协议的作用
理解路由器的功能 了解拥塞控制的概念
了解IP报文的格式
了解静态路由与动态路由的特点及实现方法。
7.1网络层功能概述
网络层的重要位置:
主机X APDU PPDU SPDU 分段 分组 帧 位 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 主机Y 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
第n个子网 1
地址范围
202.11.2.0202.11.2.31 202.11.2.32202.11.2.63 202.11.2.64202.11.2.95 202.11.2.96202.11.2.127 202.11.2.128202.11.2.159 202.11.2.160202.11.2.191 202.11.2.192202.11.2.223 202.11.2.224202.11.2.255
同一报文的不同分组不会 出现乱序、重复、丢失
3、 TCP/IP的网络层
应用层 FTP HTTP SMTP TELNET DNS TFTP
传输层
TCP
UDP
在网际层识别 IP地址。
网际层
IP
ICMP
内容提要
• 网络层提供的服务 • IP协议
• IP地址
• 子网划分
• 子网掩码 • Internet控制协议 • 路由与路由协议 • 路由器在网 Nhomakorabea互连中的作用
• IPv6
本章基本要求
掌握IP地址的规划及子网划分技术 掌握网络层中源到目标分组传输的实现机理 理解网络层的主要功能 理解路径选择的作用与实现
协议字段:发送端的传输层所使用的协议类型,如TCP或
UDP。再如ICMP、EGP、IGP、OSPF等。
头部校验和字段:用来校验头部。
3、IP地址
是用以标识网络中主机的逻辑地址,可以唯一地标识 Internet中的一台主机。 是转发设备(如路由器)将分组转发到目的网络的依据。 当分组到达目的网络后,根据目的IP地址求得目的主机 的物理地址(MAC地址),然后再将帧传送给该目的主机。
服务。(8bit,优先级3bit、时延1bit、吞吐量1bit、可靠性 1bit、费用1bit
总长字段:头部长度+数据部分长度。 标识字段:让目标主机判断分段属于哪个分组,所有属于
同一分组的分段包含同样的标识值。
DF位:表示不要分段。MF位:表示还有进一步的分段。 分段偏移:说明分段在当前数据报中的位置。
例如,
一个C类网络最多只能安装254台机器,当超过这个 数时,就要另外申请一个C类网络。
一个B类网络最多可容纳65 534台主机,如此大规 模的单一的物理网络几乎是不可能的。
(1)子网编址技术: 将原主机部分划分为子网部分和主机部分,以便将原网络划
分为多个子网,图示如下: 网络标识 子网部分 主机号
网络部分占24位,即255.255.255.0。
6、网络地址翻译
NAT(Network Address Translation),进行私有IP地 址与公网上IP地址之间的转换。 实现私有地址的结点与外部公网结点之间的相互通信。 具有NAT功能上的设备运行在内部网络与外部网络的 边界上。
7.3 ARP与RARP
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 局域网中的广播 网络 127 1 1 1 11 1 1 1 任意值 1 1 1 11 1 1 1 对一个远程网的广播 回送地址
(1)A类地址:
高8位表示网络地址,低24位为主机号。
C类私有地址
192.168.0.0--192.168.255.255
若要访问Internet,则必须采用网络地址转换NAT (Network address translation)或应用代理(proxy)进行转 换,转换为Internet上可以识别的IP地址。
4、子网划分
一个网络中可容纳的最大主机数。
(3)C类地址:
高24位表示网络地址,所以共有221个C类网。低8位表示主 机地址,所以一个C类网络内最多只能有28-2台主机。
110NNNNNNNNNNNNNNNNNNNNNHHHHHHHH
C类地址的第一个打点十进制值为192--223。
(3)私有地址(private address) 私有地址仅供网络内部使用,其地址范围包括三个部分, 即 A类私有地址 B类私有地址 10.0.0.0 --10.255.255.255 172.16.0.0--172.31.255.255
0
版本
4
IHL
8
服务类型 标识
16
总长 D M F F 协议 源 IP 地址 目的 IP 地址 选项 „„ 分段偏移 头校验和
31
生命期
报 头
数 据 区
版本字段:个协议的版本。
IHL字段:头部长度,以32位为一个单位,最小值为5。 服务类型字段(Type Of Service):告诉子网想要什么样的
(2)如何划分子网部分与主机部分?
不同网点的情况不同:有些网点网络多,但每个网络
上的主机少;有些网点网络少,但每个网络上的主机多。
需要多少个子网?
每个子网中最多拥有多少台主机?
--确定网络部分和主机部分的二进制位个数的依据。
例如,单位申请了一个C类网络,单位主机总数小于254 。 下图中每个网段主机台数不超过30台,由此可知主机部分 只需要5个二进制位即可(25-2=30) 。 同时可知,子网部分只有3个二进制位(8-5=3),可用子 网个数为28-2=6。又知单位主机总数小于254 ,故一个C类网络 即可满足。
原主机部分 网络部分==网络标识(也称网间网标识)+子网部分
子网中的位数 1 2 3 4 5 6 7 8 9 …
子网数量 21=2 22=4 23=8 24=16 25=32 26=64 27=128 28=256 29=512 ….
有效子网数量 2-2=0 4-2=2 8-2=6 16-2=14 32-2=30 64-2=62 128-2=126 256-2=254 512-2=510 …
即127.x.y.z又称回送地址,用作回路(loopback)测试,因此,
(2)B类地址:
高16位表示网络地址,所以共有214个B类网。低16位表示主
机地址,所以一个B类网络内最多只能有216-2台主机。 10NNNNNNNNNNNNNNHHHHHHHHHHHHHHHH B类地址的第一个打点十进制值为128-191。
1、网络层的主要功能 (1)建立、维持和拆除网络连接 在网络层的虚电路服务中,要涉及到虚电路的建立、 维持和拆除过程。 (2)分组的组装和拆封(组包/拆包) 网络层的协议数据单元称为分组(Packet)。 (3)路由选择 通过一定的路由算法为分组选择最佳路径。 (4)拥塞控制和负载平衡 拥塞问题的产生原因,如网络负载过重、带宽不够等。 (5)异构网络互连 在所连的网络类型不同的情况下,网络层要解决这种异 构网络的互连问题。
生命期TTL(Time To Live)或称生存时间:限制分组的最
大生存时间,最大值为255,协议推荐以秒为单位。实际上, TTL值是节点数。 分组经过每个结点时,TTL都被递减(若排队等待转发, 则会成倍递减)。一旦TTL的值小于等于0,便将该分组从 网中删除,并向信源机发回一个出错信息。TTL可以防止分 组在网间网中无休止地流动。
网络标识 32 Bits
主机标识
主机标识部分:如果主机标识中所有的位全为1, 则表示本网的广播地址,而全为0则表示本网。
位于同一网络中的主机必然具有相同的网络标识。 网络标识全0表示本网中的主机。
一些特殊的保留地址:
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 本机 00 00 主机 本网中的主机
注意: 同一个网络中网络部分相同,子网掩码也相同。
目的网络地址的确定: IP地址与子网掩码按位“与”之后,便得到一个完整的 网络地址。
由同一个网络所划分的子网中,网间网标识相同,但是 由于子网部分不能相同,因此每一个子网的网络地址都是惟 一的。 网络地址=网间网标识 + 子网部分
例如,一个单位申请了一个B类网络,其部分子网如下所示。
网络1
网络2
网络3
引入子网划分技术可以有效地提高IP地址的利 用率,从而可节省宝贵的IP地址资源。
5、子网掩码(subnet mask)
如何确定目的子网?
IP协议规定: 每一个使用子网的网点都选择一个32位的位模式与32位的 IP地址相对应。对应网络部分的各位都为“1” ,对应主机部 分的各位都为“ 0”。 如, 从子网掩码255.255.255.0可知,网络部分占 前3个字节,主机部分占1个字节。 从255.255.252.0 可知,网络部分占22位,主机部分 占10位。
网间网其余部分 128.11.10.1
R1
128.101.1.0 128.101.1.11
128.101. 1.12
128.101.1.14
R2 R3 128.101.3.1 R4
128.101.1.16
128.101.2.1
128.101.4.1
128.101.2.0
128.101.4.0
128.101.3.0
Internet控制协议
除了用于数据传送的IP协议外, Internet还有多个用于 网络层的控制协议,包括 ICMP 、ARP和RARP等。
理解IP协议、ARP协议和ICMP协议的作用
理解路由器的功能 了解拥塞控制的概念
了解IP报文的格式
了解静态路由与动态路由的特点及实现方法。
7.1网络层功能概述
网络层的重要位置:
主机X APDU PPDU SPDU 分段 分组 帧 位 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 网络层 数据链路层 物理层 主机Y 应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
第n个子网 1
地址范围
202.11.2.0202.11.2.31 202.11.2.32202.11.2.63 202.11.2.64202.11.2.95 202.11.2.96202.11.2.127 202.11.2.128202.11.2.159 202.11.2.160202.11.2.191 202.11.2.192202.11.2.223 202.11.2.224202.11.2.255
同一报文的不同分组不会 出现乱序、重复、丢失
3、 TCP/IP的网络层
应用层 FTP HTTP SMTP TELNET DNS TFTP
传输层
TCP
UDP
在网际层识别 IP地址。
网际层
IP
ICMP