网络基础、常见网络设备及安全技术PPT课件

OSI七层模型
传输层（Transport Layer）
• 负责将上层数据分段并提供端到端的、可靠的或不可靠的传输，
此外，传输层还要处理端到端的差错控制和流量控制问题
• 数据的单位称为数据段（segment） • 典型代表：TCP、UDP等
会话层（Session Layer）
• 管理主机之间的会话进程，即负责建立、管理、终止进程之间的
offset end
new offset
len = end - newoffset < 0
TCP/IP脆弱性分析
1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析
ICMP 消息格式
ICMP（Internet Control Message Protocol）
Network Congestion
目标
（udpflooding工具）
TCP/IP脆弱性分析
1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析
TCP 协议
TCP 提供一种可靠的、面向连接的服务: • 在规定的时间内没有收到“收到确认”信息，
1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析
TCP/IP协议族模型
TCP/IP模型与OSI模型
• 七层 VS 四层
TCP/IP四层模型
• 网络接口层；(PPP、ARP) • 互联层；(IP、ICMP) • 传输层；(TCP、UDP) • 应用层；(HTTP，SNMP，
protocol
header checksum
source IP address (4 (4 bytes)
options field (variable length, max length 40 bytes)
data
31
20 bytes
数据封装与传送
TCP/IP协议简介
TCP协议和IP协议指两个用在Internet上的网络协
议（或数据传输的方法）。它们分别是传输控制 协议和互连网协议。这两个协议属于众多的 TCP/IP 协议组中的一部分。
TCP/IP协议组中的协议保证Internet上数据的传
输，提供了几乎现在上网所用到的所有服务。这 些服务包括：电子邮件的传输 文件传输 新闻 组的发布 访问万维网。
会话
• 典型代表：NETBIOS、ZIP（appletalk区域信息协议）等
表示层
• 对上层数据或信息进行变换以保证一个主机应用层信息可以被另
一个主机的应用程序理解
• 典型代表：ASCII、JPEG、MPEG等
应用层（Application Layer）
• 为操作系统或网络应用程序提供访问网络服务的接口 • 代表包括：telnet、ftp、http、snmp等
TCP/IP脆弱性分析
1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析
数据报的分片与组装
datagrams MTU limited
fragments
•数据报到达目的地时才会进行组装 •需要组装在一起的数据分片具有同样 的标志号 •通过分片位移位标志数据分片在的数 据报组装过程中的序列位置 •除了最后的数据片，其他的数据片均 会置“MF”位
所有 TCP, UDP, ICMP 数据通过IP数据包封装进
行传输。
IP数据报的传输是不可靠的。 IP 网络是面向无连接的。
TCP/IP脆弱性分析
1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析
IP地址划分
receiving computer’s fragment reassembly buffer
Ping o’ Death 攻击
Internet 构建分片 攻击者
重组分片 buffer 65535 bytes
接收分片
目标
last frag is too large causing 16-bit variables to overflow
server
UDP 数据报格式
0
16
31
source port number
destination port number
UDP datagram length
UDP checksum
optional data
UDP Flood攻击
攻击者
intermediary
chargen port 19
echo port 7
0
8
16
31
type
code
checksum
contents depend on type and code
example specific format: echo request/reply
0
8
16
31
type
code
checksum
identifier
sequence number optional data
路由器的优点
优点： • 适用于大规模的网络环境 • 适应复杂的网络拓扑结构 • 安全性高 • 子网隔离，抑制网络广播风暴
IP地址滥用
在同一个网段里，用户可以随意改变自己的IP地
址；黑客可以利用工具构建特殊的IP报，并指定 IP地址。
IP伪装能做什么？
• DoS(主机、路由器） • 伪装成信任主机 • 切断并接管连接 • 绕过防火墙
IP伪装给黑客带来的好处
• 获得访问权。 • 不留下踪迹。（synflooding工具）
服务器接收到客户请求后回复用户。 用户被确定后，就可登入服务器。
SYN 欺骗
用户传送众多要求确认的信息到服务器，使服务
器里充斥着这种无用的信息。所有的信息都有需 回复的虚假地址
（synflooding工具）
SYN 欺骗
达到“拒绝服务”攻击的效果： • 当服务器试图回传时，却无法找到用户。服务
器于是暂时等候，有时超过一分钟，然后再切 断连接。
FTP，SMTP，DNS，Telnet )
IP 数据报格式
0
16
version hdr lnth type of service
total length of datagram
identification number
R DF MF fragment offset
time-to-live (ttl)
TCP/IP协议准确的说是一个协议组（协议集合），
其中包含了TCP协议和IP协议及其他的一些协议。
目录
网络基础概念
- TCP/IP协议介绍 - TCP/IP协议族脆弱性分析
常见网络设备及安全技术
- 路由器 - 交换机 - 防火墙 - 入侵检测 - 日志审计 - AAAA认证 - VLAN技术
TCP/IP脆弱性分析
计算机网络也是由硬件和软件构成的。
硬件系统包括
• 网络服务器 • 网络工作站 • 网络适配器 • 传输介质 • 其他网络硬件设备（交换机、路由器、防火墙、入侵检测系统
等。）
软件系统包括
• 网络操作系统软件（windows、unix等系统） • 网络通信协议（TCP/IP、IPX等） • 网络工具软件（网络浏览器、网络下载工具等） • 网络应用软件（酒店管理系统、订单管理系统等）
• 服务器切断连接时，黑客再度传送新一批需要
确认的信息，这个过程周而复始，最终导致服 务器处于瘫痪状态。
SYN flood（洪水攻击）
防御办法： • 增加连接队列大小 • 缩短建立连接超时期限 • 应用厂家的相关软件补丁 • 应用网络IDS
目录
网络基础概念
- TCP/IP协议介绍 - TCP/IP协议族脆弱性分析
ACK
[ACK set for remainder of session] [session proceeds]
server
(port = 23/tcp)
FIN ACK ACK
FIN ACK ACK
客户端与服务 器端都可以发 起关闭序列
正常用户登录
通过普通的网络连线，用户传送信息要求服务器
予以确定,
基于ICMP的欺骗
ICMP sweeps • 原理：Ping命令在测试下一台主机时，先等待
当前系统给出响应或超时；ICMP Sweep技术在 发送ICMP echo request时不等待。
• 工具： - fping,gping,nmap, -Pinger (Rhino 9);Ping
Sweep(SolarWinds);WS_Ping ProPack(IPSwitch)
request；
• 配置路由器不响应directed-broadcast;
Smurf 攻击
攻击者
发送一个echo request 的广播包 源地址伪造成目标主机的地址
目标
中间网络
因为中间网络的众多机器都响应广播包， 目标主机会接收到大量的 echo replies
TCP/IP脆弱性分析
1、协议族模型与格式 2、IP地址滥用与攻击 3、数据报分片与组装 4、基于ICMP的 欺骗 5、UDP协议脆弱分析 6、TCP协议脆弱分析
OSI七层模型
OSI七层模型
物理层（Physical Layer）
• 为上层协议提供了一个传输数据的物理媒体 • 数据的单位称为比特（bit） • 典型代表：EIA/TIA RS-232、V.35、RJ-45等
数据链路层（Data Link Layer）
• 在不可靠的物理介质上提供可靠的传输。该层的作用包括：物理
地址寻址、数据的成帧、流量控制、数据的检错、重发等。
• 数据的单位称为帧（frame） • 典型代表：SDLC、HDLC、PPP、STP、帧中继等
网络层（Network Layer）
• 负责对子网间的数据包进行路由选择。此外，网络层还可以实现
拥塞控制、网际互连等
• 数据的单位称为数据包（packet） • 典型代表：IP、IPX、RIP、OSPF等
常见网络设备及安全技术
- 路由器 - 交换机 - 防火墙 - 入侵检测 - 日志审计 - AAAA认证 - VLAN技术
路由器概要
路由器简介 路由器的优缺点 路由器分类 路由器的功能
路由器简介
路由器工作在OSI模型的第三层，即网络层 路由器利用网络层定义的“逻辑”上的网络地址
（即IP地址）来区别不同的网络，实现网络的互 连和隔离，保持各个网络的独立性 路由器的主要工作就是为经过路由器的每个数据帧 寻找一条最佳传输路径，并将该数据有效地传送 到目的站点
网络安全基础
目录
网络基础概念
- 网络基础 - TCP/IP协议族脆弱性分析
常见网络设备及安全技术
- 路由器 - 交换机 - 防火墙 - 入侵检测 - 日志审计 - AAAA认证 - VLAN技术
什么是网络
网络就是一群通过一定形式连接起来的计算机。
互联网就是由多个局域网和广域网组成的网络。
网络的组成
TearDrop攻击
first frag : 36 bytes
0
24
35
当前包的段偏移在前一包数据内
计算出来的len竟变成了一个
负数，于是memcpy()最终将会把 大量的数据拷贝到内核中
second frag: 4 bytes
memcpy( *dest, *src, len)
unsigned int or unsigned long
• 实例：（FakePing工具）
基于ICMP的欺骗
Broadcast ICMP • Smurf攻击，向网络的广播地址发送echo
requset请求，将得到网络中所有主机的echo reply响应。
对策： • 根据具体需要，可将边界路由器配置deny进入
内网的ICMP echo request；
• 配置关键的UNIX系统不响应ICMP echo
UDP 协议
UDP 是不可靠的: 是指UDP协议不保证每个数据报
都能到达希望的目的
端口号区分发送进程与接收进程 • DNS、QQ、TFTP、SNMP……
client
port = 33987/udp
DNS
port = 53/udp
port = 7070/udp RealAudio port = 7070/udp
TCP 将重发数据报。
• 每个TCP数据报都有唯一的 sequence number ，
用于排序与重传。
与UDP一样,使用 port numbers 来区分收发进程 由标志位的组合指明TCP分组的功能
简单的TCP会话(三次握手)
client
(port = 33623/tcp)
SYN SYN - ACK