沈鑫剡计算机网络技术及应用传输层
合集下载
沈鑫剡编著《计算机网络工程》第2章配套课件
192.1.6.2/30 终端 B
192.1.3.254/24
192.1.3.0/24
路由器自动给出用于指明通往 这些直接连接的网络的传输路 径的路由项,这些路由项称为 直连路由项。
终端 C
计算机网络工程
网络系统设计方法
一、路由项分类
表 2.2 路由器 R1 直连路由项 目的网络 192.1.1.0/24 192.1.4.0/30 192.1.5.0/30 输出接口 1 2 3 下一跳 直接 直接 直接
NET3 NET4 NET5
NET6
NET1和NET2合并为27位的CIDR地址块,NET4和NET5合并为27位的CIDR地址 块,合并后的CIDR地址块又可以和NET6合并为26位的CIDR地址块。合并后 的CIDR地址块与NET4、NET5、NET6合并后的CIDR地址块合并为25位的CIDR 地址块。
R21 R11 NET1 NET2 R12 NET7 R13 AS1 R14 NET8 R33 R31 NET6 R32 AS3 R34 NET9 NET3 R23 AS2 R24 R22 NET4
NET5
分层路由结构
计算机网络工程
网络系统设计方法
四、BGP
分层路由原因 不同自治系统是由不同管理机构负责管理; 出于安全考虑; IP分组传输过程中选择自治系统时,更多考虑 政策和安全因素; 用划分区域的方法很难解决互连网络规模与路 由消息传输开销及计算路由项的计算复杂度之 间的矛盾。
计算机网络工程
网络系统设计方法
2.2 编址
本讲主要内容 分类编址、VLSM和CIDR; 地址分配过程; NAT和私有地址。
计算机网络工程
沈鑫剡编著(网络安全)教材配套课件第2章
计算机网络安全
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全
黑客攻击机制
二、集线器和嗅探攻击
集线器
终端 A 终端 B 黑客终端 :终端 A 至终端 B 的 MAC 帧
由于集线器接收到 MAC帧后,通过除接收端 口以外的所有其他端口输 出该MAC帧,因此,在有 黑客终端接入集线器的情 况下,集线器完成终端A 至终端B的MAC帧传输过程 的同时,将该MAC帧传输 给黑客终端。
网络安全
第二章
© 2006工程兵工程学院 计算机教研室
第2章网络攻击
本章主要内容 网络攻击定义和分类; 嗅探攻击; 截获攻击; 拒绝服务攻击; 欺骗攻击; 非法接入和登录; 黑客入侵; 病毒。
黑客攻击机制
计算机网络安全
黑客攻击机制
2.1 网络攻击定义和分类
本讲主要内容 网络攻击定义; 网络攻击分类。
对于无线通信过程,嗅探攻击是无法避免 的,这种情况下,需要对传输的信息进行加密, 使得黑客终端即使嗅探到信息,也因为无法对 信息解密而无法破坏信息的保密性。
计算内容 截获攻击原理和后果; MAC地址欺骗攻击; DHCP欺骗攻击; ARP欺骗攻击; 生成树欺骗攻击; 路由项欺骗攻击。
3 2
1 3 MAC C
1
终端 A 终端 B 终端 C 黑客终端 MAC A MAC B MAC C MAC A
一是接入以太 网,黑客终端通过 连接到交换机S3的 端口3接入以太网。 二是将自己的MAC 地址修改为终端A 的MAC地址MAC A。 三是发送以MAC A 为源MAC地址、以 广播地址为目的 MAC地址的MAC帧。
沈鑫剡计算机网络技术及应用第8章传输层
因此,如果发送某个报文后,长时间没有接收到该报文 的确认应答,说明该报文传输出错!
计算机网络技术及应用
传输层
三、TCP差错控制机制
发送端 接收端 数据 (0) 数据(1250) 数据(2500) 数据(3750) 数据(5000) 数据(6250)
ACK(1250) ACK(1250) ACK(1250) ACK(1250) ACK(1250)
计算机网络技术及应用
传输层
一、TCP的主要特点
面向连接; 面向字节流和可靠传输; 实施流量控制和拥塞控制。
计算机网络技术及应用
传输层
一、TCP的主要特点
TCP是一种具有差错控制和拥塞控制功能的传输层
协议;
为了实现重传,要有出错检验和丢失检测机制;
为了实现拥塞控制,必须有拥塞通知机制和流量
B.TCP报文无法可靠传输
计算机网络技术及应用
传输层
四、TCP拥塞控制机制
发送端一开始发送报文时,如何确定流量,完全按
照接收端的窗口值,还是选择更小的流量?
对未知的情况,总是摸着石头过河!将流量控制在
最小,确认网络没有拥塞后,逐渐加大流量,当然,
加大过程或者达到接收端公告的窗口值,或者网络
发生拥塞时停止,这种方法就是慢启动。
D.UDP设置标识主机进程的端口字段、并对UDP报文中的数 据进行检错,IP没有
选择答案,并简要回答为什么?
计算机网络技术及应用
传输层
8.3 传输控制协议
本讲主要内容 TCP主要特点; TCP报文格式; TCP差错控制机制; TCP拥塞控制机制; TCP建立连接和释放连接的过程。
计算机网络技术及应用
传输层
三、TCP差错控制机制
发送端 接收端 数据 (0) 数据(1250) 数据(2500) 数据(3750) 数据(5000) 数据(6250)
ACK(1250) ACK(1250) ACK(1250) ACK(1250) ACK(1250)
计算机网络技术及应用
传输层
一、TCP的主要特点
面向连接; 面向字节流和可靠传输; 实施流量控制和拥塞控制。
计算机网络技术及应用
传输层
一、TCP的主要特点
TCP是一种具有差错控制和拥塞控制功能的传输层
协议;
为了实现重传,要有出错检验和丢失检测机制;
为了实现拥塞控制,必须有拥塞通知机制和流量
B.TCP报文无法可靠传输
计算机网络技术及应用
传输层
四、TCP拥塞控制机制
发送端一开始发送报文时,如何确定流量,完全按
照接收端的窗口值,还是选择更小的流量?
对未知的情况,总是摸着石头过河!将流量控制在
最小,确认网络没有拥塞后,逐渐加大流量,当然,
加大过程或者达到接收端公告的窗口值,或者网络
发生拥塞时停止,这种方法就是慢启动。
D.UDP设置标识主机进程的端口字段、并对UDP报文中的数 据进行检错,IP没有
选择答案,并简要回答为什么?
计算机网络技术及应用
传输层
8.3 传输控制协议
本讲主要内容 TCP主要特点; TCP报文格式; TCP差错控制机制; TCP拥塞控制机制; TCP建立连接和释放连接的过程。
沈鑫剡编著(网络安全)教材配套课件第5章(10页)
计算机网络安全
3.证书和私钥证书可以证明主体x与公钥PK之间的绑定关系,如果主体x能够证明自己知道与公钥PK对应的私钥SK,就能证明自己是主体x。
网络安全基础
三、单向鉴别过程
1.基于共享密钥主体A只需证明自己知道共享密钥K,即可证明自己身份。
计算机网络安全
网络安全基础
三、单向鉴别过程
2.基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(1) PPP帧结构
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(2)用户身份鉴别协议用用户名和口令标识用户身份;身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令;CHAP防止泄露口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
2.基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令,还需对方证明知道该用户名对应的口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
3.基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明,且用户A和用户B能够证明自己知道公钥对应的私钥。
计算机网络安全
网络安全基础
三、单向鉴别过程
3.基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
1.基于共享密钥每一方不仅需要证明自己知道共享密钥,还需证明对方知道共享密钥。
3.证书和私钥证书可以证明主体x与公钥PK之间的绑定关系,如果主体x能够证明自己知道与公钥PK对应的私钥SK,就能证明自己是主体x。
网络安全基础
三、单向鉴别过程
1.基于共享密钥主体A只需证明自己知道共享密钥K,即可证明自己身份。
计算机网络安全
网络安全基础
三、单向鉴别过程
2.基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(1) PPP帧结构
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(2)用户身份鉴别协议用用户名和口令标识用户身份;身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令;CHAP防止泄露口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
2.基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令,还需对方证明知道该用户名对应的口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
3.基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明,且用户A和用户B能够证明自己知道公钥对应的私钥。
计算机网络安全
网络安全基础
三、单向鉴别过程
3.基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
1.基于共享密钥每一方不仅需要证明自己知道共享密钥,还需证明对方知道共享密钥。
计算机网络安全课件(沈鑫剡)第4章PPT课件
LAN 4
终端 A IP A
R1 IP H
LAN4 1
黑客终端
R2
R3
终端 B
IP B
黑客终端伪造路由项过程
• 黑客终端伪造和LAN4直接相连的路由项,并通过路由消息将该路由 项组播给路由器R1、R2;
• 路由器R1将通往LAN4传输路径的下一跳改为黑客终端; • 所有LAN1中终端发送给LAN4中终端的IP分组都被错误地转发给黑客
路由器 R1 正确路由表
路由器 R1 错误路由表
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 3
下一跳 直接 直接
IP R IP R
子网 距离 LAN 1 1 LAN 2 1 LAN 3 2 LAN 4 2
下一跳 直接 直接
IP R IP HLAN 1LAN 2 IP RLAN 3
第1页/共38页
4.1 以太网安全技术
• 以太网接入控制 ➢ 访问控制列表; ➢ 安全端口; ➢ 802.1X接入控制过程。 • 以太网其他安全功能 ➢ 防站表溢出攻击功能; ➢ 防DHCP欺骗; ➢ 防ARP欺骗攻击。
第2页/共38页
以太网接入控制
• 黑客攻击内部网络的第一步是接入内部网络,而以太网是最常见的直接用于接入用 户终端的网络,只允许授权用户终端接入以太网是抵御黑客攻击的关键步骤;
IP 接口
VLAN 2 VLAN 3
192.1.2.254 192.1.3.254
192.1.2.0/24
192.1.3.0/24
终端 B 终端 C
Web 接口 192.1.1.0/24
终端 A
终端 A 终端 B 终端 C 终端 D
物理网络
路由和交换技术沈鑫剡第五章课后习题答案
5.1为什么说IP是一种网际协议?IP实现链接在不同传输网络上的终端之间的通信基础是什么?答:IP用于解决的是属于两个不同网络的终端之间的通信问题。
技术基础体现在以下几个方面:独立于传输网络的分组形式和地址格式;构建由源和目的终端及路由器组成的传输路径;IpoverX技术连接在传输网络X上的当前跳至下一跳的IP分组传输过程。
5.2为路由器接口分配地址的用处,是在组建大中型的局域网,满足下级设备互联,同级设备通信。
5.3作为中间系统,转发器、网桥、路由器和网关都有何区别?答:中间设备又称为中间系统或中继(relay)系统。
物理层中继系统:转发器(repeater)。
数据链路层中继系统:网桥或桥接器(bridge)。
网络层中继系统:路由器(router)。
网桥和路由器的混合物:桥路器(brouter)。
网络层以上的中继系统:网关(gateway)。
5.3转发器一层设备,其实就是中继器,它是用来将信号放大的,远距离传输时,信号会衰减,所以需要加一个中继器,这样可以传输的更远。
网桥二层设备,网桥具有学习功能,它可以根据第二层地址mac来转发帧,在数据通过网桥时,网桥会根据mac来决定是否转发。
路由器三层设备,可以根据IP地址进行路径选择和包交换。
主要用来路由选择。
5.4(百度不到,硬着头皮写的。
希望有更好答案跟我交流)网桥(Bridge)是一种在链路层实现局域网互连的存储转发设备。
网桥从一个局域网接收MAC帧,拆封、校对、校验之后,按另一个局域网的格式重新组装,发往它的物理层。
由于网桥是链路层设备,因此不处理数据链路层以上层次协议所加的报头。
ATM所使用的信元网桥无法识别和封装为mac帧,因而无法实现其互连。
5.5路由器与网桥的区别(文库)1.工作层次不同2.端口配置不同网桥俩个局域网端口超过俩个端口的网桥叫交换机。
路由器:局域网和广域网端口3.用途不同网桥唯一的作用是把被许多正在共享的物理网络分割成多个小部分,一次来减少广播风暴,而路由器是在拆分不同子网后,通过网络协议又可进行互相通信,即便是不同网络4.适用范围不同网桥:同一局域网不同子网路由器:不同局域网子网,不同网络5.智能化程度不同网桥共作在数据链路层,不能理解任何网络协议一条链路路由器多个路由,支持各协议6.可管理性不同网桥纯物理硬件,不具有可管理性路由器:软件和硬件5.5 解释路由器和网桥的主要区别。
沈鑫剡计算机网络技术及应用第6章IP和网络互连.ppt
计算机网络技术及应用
IP和网络互连
三、无分类编址
子网掩码举例
10.1.1.8/255.255.255.0 10.1.1.8/255.255.0.0 10.0.0.0/255.0.0.0 10.0.0.0/8 10/8
计算机网络技术及应用
IP和网络互连
三、无分类编址
11000000 00000010 00000000 00000000 11000000 00000010 00000001 00000000 11000000 00000010 00000010 00000000 11000000 00000010 00000011 00000000 11000000 00000010 00000100 00000000 11000000 00000010 00000101 00000000 1 192.1.1.0 1 11000000 00000010 00000110 00000000 2 11000000 00000010 00000111 00000000 192.1.1.1
计算机网络技术及应用 (第2版)
第六章
计算机教研室教授 沈鑫剡
© 2006工程兵工程学院 计算机教研室
IP和网络互连
第6章 IP和网络互连
本章主要内容 网络互连; 网际协议(IP); 路由协议建立路由表过程; IP over 以太网技术; Internet控制报文协议(ICMP)。
(4)IP地址分类的原因是 A.减少路由表中的路由项数目 B.适应不同类型传输网络互连 C.实现逐跳转发 D.允许不同的传输网络有着不同的终端数量 。
选择答案,并简要回答为什么?
计算机网络技术及应用
IP和网络互连
计算机网络安全-沈鑫剡-第6章
响。
计算机网络安全
VPN发展过程
虚拟专用网络
LAN 1 R1
隧道
LAN 2 R2
IP 网络
隧道
隧道
LAN 3
R3
用IP隧道互连子网的VPN结构
IP隧道是基于IP网络的虚拟点对点链路,用于传输用本地地址封装的IP分组; 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路,因此,传输安
全性不能保证; IP网络是尽力而为网络,不能保证子网间传输质量(带宽、传输时延、时延抖动
虚拟接入网络(1)-自愿隧道
正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道,如果两 者相距甚远,通信费用很贵;
终端接入Internet,路由器也接入Internet,终端和路由器之间建立基于IP网络的 第2层隧道,该隧道等同于语音信道这样的点对点链路;
由于远程接入用户接入内部网络时,需要由路由器通过PPP完成远程接入用户身 份认证、内部网络本地地址分配等接入控制功能,第2层隧道提供PPP要求的点对 点传输服务。
计算机网络安全
6.2 点对点IP隧道
虚拟专用网络
网络结构;
IP分组传输机制;
安全机制。
多个子网通过点对点IP隧道实现互连,由于这些子 网使用本地地址,因此,必须先封装成以隧道两端 全球IP地址为源和目的地址的隧道格式,为了安全 传输,隧道两端建立双向的安全关联,经过隧道传 输的数据,采用IPSec隧道模式,通过加密和完整 性检测实现数据经过隧道的安全传输。
第 2 层隧道
193.1.2.5
入用户 B
虚拟接入网络结构
远程用户拨号接入内部网络的机制如下:首先建立远程接入用户和路由器之间的 语音信道;然后由路由器通过PPP完成远程接入用户的身份认证、本地IP地址分 配;最后将IP分组封装成PPP帧实现远程接入用户和路由器之间的通信;
计算机网络安全
VPN发展过程
虚拟专用网络
LAN 1 R1
隧道
LAN 2 R2
IP 网络
隧道
隧道
LAN 3
R3
用IP隧道互连子网的VPN结构
IP隧道是基于IP网络的虚拟点对点链路,用于传输用本地地址封装的IP分组; 由于IP隧道和其他端到端传输路径共享分组交换结点和物理链路,因此,传输安
全性不能保证; IP网络是尽力而为网络,不能保证子网间传输质量(带宽、传输时延、时延抖动
虚拟接入网络(1)-自愿隧道
正常的拨号接入需要建立远程接入用户和路由器之间的点对点语音信道,如果两 者相距甚远,通信费用很贵;
终端接入Internet,路由器也接入Internet,终端和路由器之间建立基于IP网络的 第2层隧道,该隧道等同于语音信道这样的点对点链路;
由于远程接入用户接入内部网络时,需要由路由器通过PPP完成远程接入用户身 份认证、内部网络本地地址分配等接入控制功能,第2层隧道提供PPP要求的点对 点传输服务。
计算机网络安全
6.2 点对点IP隧道
虚拟专用网络
网络结构;
IP分组传输机制;
安全机制。
多个子网通过点对点IP隧道实现互连,由于这些子 网使用本地地址,因此,必须先封装成以隧道两端 全球IP地址为源和目的地址的隧道格式,为了安全 传输,隧道两端建立双向的安全关联,经过隧道传 输的数据,采用IPSec隧道模式,通过加密和完整 性检测实现数据经过隧道的安全传输。
第 2 层隧道
193.1.2.5
入用户 B
虚拟接入网络结构
远程用户拨号接入内部网络的机制如下:首先建立远程接入用户和路由器之间的 语音信道;然后由路由器通过PPP完成远程接入用户的身份认证、本地IP地址分 配;最后将IP分组封装成PPP帧实现远程接入用户和路由器之间的通信;
沈鑫剡编著(网络安全)教材配套课件第5章
(3)IPCP IP控制协议(IPCP)的作用是为终端A动态分配IP地 址等网络信息。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
3.PPP接入控制过程
接入控制过程由五个阶 段组成,分别是物理链路停 止、PPP链路建立、用户身份 鉴别、网络层协议配置和终 止PPP链路等。
物理链路停止 建立呼叫连接
标识符字段用来匹配请求和响应报文; 类型
1: 身份 4: CHAP 5: OTP 13:TLS
计算机网络安全
网络安全基础
三、 EAP over PPP
1.PPP封装EAP报文过程
标志 地址 控制 7E 1 FF 1 03 1 2 可变长 2 协议 信息 CRC 标志 7E 1
C227
编码 1
标识符 长度 类型 4 1 2 1
2.终端接入Internet的先决条件
接入网络 终端 A 接入控 制设备 Internet 服务器
终端接入Internet前,必须证明使用终端的用户 是注册用户;
在确定使用终端的用户是注册用户的前提下,由 接入控制设备完成对终端分配网络信息,建立将终 端的IP地址和终端与接入控制设备之间的传输路径 绑定在一起的路由项的过程。
计算机网络安全
网络安全基础
五、第三方鉴别过程
公钥库 主体名 公钥 主体 A PKA 主体 B PKB … 公钥管 理机构 ①请求‖时间 1 ②DSK(PKB‖请求‖时间 1) ⑤DSK(PKA‖请求‖时间 2) ③EPKB(主体 A‖RA) 主体 A ⑥EPKA(RA‖RB) 主体 B ④请求‖时间 2
(2)用户身份鉴别协议 用用户名和口令标识用户身份; 身份鉴别过程需要向接入控制设备证明自己知道某个授 权用户对应的用户名和口令; CHAP防止泄露口令。
沈鑫剡编著(网络安全)教材配套课件第3章
网络安全基础
二、 RSA公开密钥加密算法
计算机网络安全
RSA公开密钥加密算法也是一种分组密码算法,每一组数据m是0~n-1的整数,n和密钥的长度相关。c=me mod n。m=cd mod n=(me)d mod n=med mod n。
网络安全基础
二、 RSA公开密钥加密算法
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义输入是n位明文m和 b位密钥k,输出是 n位密文c,表示成 Ek(m)=c。
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义
首先对任意长度明文进行填充,使得填充后的明文长度是加密算法要求的长度的整数倍。然后将填充后的明文分割成长度等于加密算法规定长度的数据段,对每一段数据段独立进行加密运算,产生和数据段长度相同的密文,密文序列和明文分段后产生的数据段序列一一对应。
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义分组密码体制的加密算法完成的是n位明文至n位密文之间的映射,同样,解密算 法完成的是n位密文至 n位明文之间的映射。 n位明文至n位密文之 间的映射可以多达2n!,密钥k的值用于在多达 2n!种映射中选择一种 映射,并因此导出2n个明文编码和2n个密文编码之间的对应关系。
计算机网络安全
网络安全基础
AES加密运算过程
二、 分组密码体制
计算机网络安全
网络安全基础
明文分段;每一段单独加密,产生密文;各段密文组合成最终密文如果明文内容有规律重复,密文内容也同样有规律重复,降低保密性。
分组密码操作模式(1)电码本模式
二、 分组密码体制
计算机网络安全
二、 RSA公开密钥加密算法
计算机网络安全
RSA公开密钥加密算法也是一种分组密码算法,每一组数据m是0~n-1的整数,n和密钥的长度相关。c=me mod n。m=cd mod n=(me)d mod n=med mod n。
网络安全基础
二、 RSA公开密钥加密算法
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义输入是n位明文m和 b位密钥k,输出是 n位密文c,表示成 Ek(m)=c。
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义
首先对任意长度明文进行填充,使得填充后的明文长度是加密算法要求的长度的整数倍。然后将填充后的明文分割成长度等于加密算法规定长度的数据段,对每一段数据段独立进行加密运算,产生和数据段长度相同的密文,密文序列和明文分段后产生的数据段序列一一对应。
计算机网络安全
网络安全基础
二、 分组密码体制
1.分组密码体制的本质含义分组密码体制的加密算法完成的是n位明文至n位密文之间的映射,同样,解密算 法完成的是n位密文至 n位明文之间的映射。 n位明文至n位密文之 间的映射可以多达2n!,密钥k的值用于在多达 2n!种映射中选择一种 映射,并因此导出2n个明文编码和2n个密文编码之间的对应关系。
计算机网络安全
网络安全基础
AES加密运算过程
二、 分组密码体制
计算机网络安全
网络安全基础
明文分段;每一段单独加密,产生密文;各段密文组合成最终密文如果明文内容有规律重复,密文内容也同样有规律重复,降低保密性。
分组密码操作模式(1)电码本模式
二、 分组密码体制
计算机网络安全
沈鑫剡编著(网络安全)教材配套课件第12章
计算机网络安全
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
七、入侵检测系统不足
主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
入侵防御系统
三、网络入侵检测机制
Web 服务器 请求终端 SYN,SEQ=X SYN,SEQ=Y,ACK(X+1) ACK(Y+1) HTTP 请求 HTTP 响应 FIN,SEQ=U ACK(U+1) FIN,SEQ=V ACK (V+1)
计算机网络安全
应用层协议 检测将监测HTTP 请求、响应过程 是否如图所示, 响应消息内容和 请求消息内容是 否一致,一旦发 现异常,确定为 攻击信息。
计算机网络安全
入侵防御系统
四、入侵检测系统的两种应用方式
关键链路 关键链路 IDS 关键链路 IDS
在线方式
杂凑方式
在线方式下,IDS位于关键链路的中间,所以经过该 关键链路传输的信息必须经过IDS。 杂凑方式下,IDS不会影响信息流在关键链路的传输 过程,只是被动地获取信息,对获取的信息进行检测。
无法防御以下攻击过程 内部网络终端遭受的 XSS攻击; 内部网络蔓延蠕虫病毒; 内部网络终端发送垃圾 邮件。
计算机网络安全
入侵防御系统
二、引出IDS的原因
引入入侵检测系统(IDS),IDS可以获取流 经内部网络中和非军事区中的关键链路的信息, 能够对这些信息进行检测,发现包含在这些信息 中与实施上述攻击过程有关的有害信息,并予以 反制。
计算机网络安全
入侵防御系统
七、入侵检测系统不足
主机入侵防御系统是被动防御,主动防御 是在攻击信息到达主机前予以干预,并查 出攻击源,予以反制。另外,每一台主机 安装主机入侵防御系统的成本和使安全策 略一致的难度都是主机入侵防御系统的不 足; 网络入侵防御系统能够实现主动防御,但 只保护部分网络资源,另外对未知攻击行 为的检测存在一定的难度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ATM
以太网
网络接口层
TCP/IP体系结构
计算机网络技术及应用
传输层
8.1 传输层端口的概念
IP地址是终端地址,只能惟一标识某个物理终端; 但通信对象是进程,而且对于多任务系统,一个物
理终端可以同时运行多个进程; 因此,必须在IP地址的基础上增加用于标识进程的
信息,它们就是端口; IP地址和端口一起(称为插口)唯一标识某个进程。
计算机网络技术及应用 (第2版)
第八章
计算机教研室教授 沈鑫剡
© 2006工程兵工程学院 计算机教研室
传输层
第8章 传输层
本章主要内容 传输层端口的概念 用户数据报 传输控制协议
计算机网络技术及应用
传输层
第8章 传输层
为什么需要传输层? 传输层实现哪些功能?
IP提供的服务 终端间传输 只对首部进行出错校验 尽力而为(类似平信服务)
计算机网络技术及应用
传输层
8.1 传输层端口的概念
32位IP地址
IP 地址 192.1.1.1
192.1.1.1
端口号 1500
16位端口号
1500
插口
48位插口计算机网络技术及应用输层8.2 用户数据报
本讲主要内容 UDP报文格式; UDP用途。
计算机网络技术及应用
传输层
一、 UDP报文格式
程TC。P 保 U A P
首部
RC S
长度 留 G K H
检验和
序号 确认序号
窗口用于给出接收
端能够接收的字节 数。
RS F
SY I
窗口
T 发 序N送号序指N 号明对被标 位发确志送认的的数数紧据据急编。指号针,接收
4位,以4B为
单位给出首部
可选项
长度。
用于检测包括数据
在内的TCP 报文在数据
传输过程中发生的
计算机网络技术及应用
二、UDP用途
幅值
幅值
幅值
传输层
时间
时间
时间
(a)原始语音信号 (b)空置 4ms 语音信号的情况 (c)等待发送端重发出错 UDP 报文的情况
假定语音信号的采样频率为 8000Hz,每一个UDP报文包含 32B,则丢失或传输出错一个 UDP报文将造成4ms时间 的语音信号损失。
D.UDP设置标识主机进程的端口字段、并对UDP报文中的数 据进行检错,IP没有
选择答案,并简要回答为什么?
计算机网络技术及应用
传输层
8.3 传输控制协议
本讲主要内容 TCP主要特点; TCP报文格式; TCP差错控制机制; TCP拥塞控制机制; TCP建立连接和释放连接的过程。
计算机网络技术及应用
16位,用于 标识发送进 程。
16位,以字 节为单位给 出UDP报文 长度。
源端口号 UDP 报文长度
目的端口号 检验和
用户数据
UDP首部格式
16位,用于 标识接收进 程。
16位,用于对 包括数据的UDP 报文进行检错。
UDP 报文在IP分组的基础上,增加了源和目的端口号、检验 和,因此可以解决发送进程和接收进程的标识问题,包括数据在 内的UDP报文传输出错检验问题,但缺乏重传机制和拥塞控制机制。
错误。
计算机网络技术及应用
传输层
三、TCP差错控制机制
8000 字节长度的字节流
8000
7001
3000
2001 2000
1001 1000
1
8000
70017001 3000
2001 2001 2000
1001 1001 1000
数据 TCP 首部
数据 TCP 首部
数据 TCP 首部
11 数据 TCP
数据(0) 数据(1) 数据(2) 数据(3) 数据(4) 数据(5)
接收端
ACK(1) ACK(2) ACK(3) ACK(4) ACK(5) ACK(6)
允许发送端 在接收到确 认应答前连 续发送多组 数据
连续ARQ
计算机网络技术及应用
传输层
三、TCP差错控制机制
差错控制机制的要素是检错、 确认应答和重传;
应用进程的要求 进程间通信 对数据实现差错控制 传输过程实施拥塞控制
端口:标识进程 出错检验+重传:差错控制 拥塞通知+流量管制:拥塞控制
计算机网络技术及应用
传输层
第8章 传输层
HTTP TELNET FTP SMTP 应用层
TCP
UDP
传输层
IP
网际层
IP over SDH SDH
IP over ATM IP over 以太网
传输层
一、TCP的主要特点
(2)下述
项不是TCP具有的功能。
A.增加标识主机中进程的标识信息
B.保证端到端按序、可靠传输
C.绕开存在过载链路的传输路径
D.根据网络拥塞状态调整发送窗口
选择答案,并简要回答为什么?
计算机网络技术及应用
传输层
二、TCP报文格式
源端口号
目的端口号
用于标识数
据的发送进
程和接收进
错序引发接收端重发确认序
号与前一个相同的确认应答;
传输时延抖动会引发错序。
丢失引发的 错序情况
DATA(0001)
ACK(1001) DATA(1001) DATA(2001)
传输层
一、TCP的主要特点
面向连接; 面向字节流和可靠传输; 实施流量控制和拥塞控制。
计算机网络技术及应用
传输层
一、TCP的主要特点
TCP是一种具有差错控制和拥塞控制功能的传输层 协议;
为了实现重传,要有出错检验和丢失检测机制; 为了实现拥塞控制,必须有拥塞通知机制和流量
调节能力。
计算机网络技术及应用
首部
应用层数据作为字节流, 每一字节都被编号,称 为序号。
TCP分段过程
计算机网络技术及应用
三、TCP差错控制机制
发送端
接收端
传输层
数据(0) 数据(1)
•检错和确认 ACK(1) •定时重发
•序号防止重复接收
ACK(0)
效率问题!
停止等待算法
计算机网络技术及应用
传输层
三、TCP差错控制机制
发送端
接收端在开始播放 语音信号时,对丢 失或传输出错的UDP 报文可以有两种处 理方法:跳过。
停止播放,等待 发送端再次发送 丢失或传输出错 的UDP报文。
计算机网络技术及应用
传输层
二、UDP用途
(1)UDP和IP不同处是
。
A.UDP保证按序、可靠传输,IP不是
B.UDP需要建立连接,IP不需要
C.UDP根据网络拥塞状况动态调整发送窗口,IP不是
源 TCP 进程
目的 TCP 进程
发送端保留发送的数据报文,
接收端对接收到的数据报文 检错,如果没有错误,则发
逐个确认
送确认应答,发送端在规定 时间内接收不到确认应答,
累积确认
重发数据报文。
TCP采用连续ARQ传输机制; 传输时延抖
TCP用确认序号给出接收端已 动引发的错
经成功接收的字节流;
序情况