网络基础、常见网络设备及安全技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
协议族模型
模型与模型 七层 四层 四层模型 网络接口层;(、) 互联层;(、) 传输层;(、) 应用层;(,,,,, )
数据报格式
0
16
version hdr lnth type of service
total length of datagram
identification number
R DF MF fragment offset
物理地址寻址、数据的成帧、流量控制、数据的检错、重 发等。
数据的单位称为帧() 典型代表:、、、、帧中继等 网络层( ) 负责对子网间的数据包进行路由选择。此外,网络层还可
以实现拥塞控制、网际互连等
数据的单位称为数据包()
七层模型
传输层( ) 负责将上层数据分段并提供端到端的、可靠的或不可靠的
数据报的分片与组装
datagrams MTU limited
fragments
•数据报到达目的地时才会进行组装
•需要组装在一起的数据分片具有同样
的标志号
•通过分片位移位标志数据分片在的数
据报组装过程中的序列位置
•除了最后的数据片,其他的数据片均
会置“”位
’s
o’ 攻击
构建分片 攻击者
重组分片 buffer 65535 bytes
data
31
20 bytes
数据封装与传送
所有 , , 数据通过数据包封装进行传输。 数据报的传输是不可靠的。 网络是面向无连接的。
脆弱性分析
1、协议族模型与格式 2、地址滥用与攻击 3、数据报分片与组装 4、基于的 欺骗 5、协议脆弱分析 6、协议脆弱分析
地址划分
地址滥用
在同一个网段里,用户可以随意改变自己的地址;
网络安全基础
目录Leabharlann Baidu
网络基础概念 网络基础 协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 认证 技术
什么是网络
网络就是一群通过一定形式连接起来的计算机。
互联网就是由多个局域网和广域网组成的网络。
网络的组成
计算机网络也是由硬件和软件构成的。 硬件系统包括 网络服务器 网络工作站 网络适配器 传输介质 其他网络硬件设备(交换机、路由器、防火墙、
黑客可以利用工具构建特殊的报,并指定地址。
伪装能做什么? (主机、路由器) 伪装成信任主机 切断并接管连接 绕过防火墙 伪装给黑客带来的好处 获得访问权。 不留下踪迹。(工具)
脆弱性分析
1、协议族模型与格式 2、地址滥用与攻击 3、数据报分片与组装 4、基于的 欺骗 5、协议脆弱分析 6、协议脆弱分析
消息格式
()
0
8
16
31
type
code
checksum
contents depend on type and code
:
0
8
16
31
type
code
checksum
identifier
sequence number optional data
基于的欺骗
原理:命令在测试下一台主机时,先等待当前系
协议准确的说是一个协议组(协议集合),其中
包含了协议和协议及其他的一些协议。
目录
网络基础概念 协议介绍 协议族脆弱性分析 常见网络设备及安全技术 路由器 交换机 防火墙 入侵检测 日志审计 认证 技术
脆弱性分析
1、协议族模型与格式 2、地址滥用与攻击 3、数据报分片与组装 4、基于的 欺骗 5、协议脆弱分析 6、协议脆弱分析
典型代表:、、等 应用层( ) 为操作系统或网络应用程序提供访问网络服务的接口
协议简介
协议和协议指两个用在上的网络协议(或数据传
输的方法)。它们分别是传输控制协议和互连网 协议。这两个协议属于众多的 协议组中的一部分。
协议组中的协议保证上数据的传输,提供了几乎
现在上网所用到的所有服务。这些服务包括:电 子邮件的传输 文件传输 新闻组的发布 访问 万维网。
入侵检测系统等。)
软件系统包括 网络操作系统软件(、等系统) 网络通信协议(、等)
七层模型
七层模型
物理层( ) 为上层协议提供了一个传输数据的物理媒体 数据的单位称为比特() 典型代表: 232、V.35、45等 数据链路层( ) 在不可靠的物理介质上提供可靠的传输。该层的作用包括:
time-to-live (ttl)
protocol
header checksum
source IP address (4 bytes)
destination IP address (4 bytes)
options field (variable length, max length 40 bytes)
传输,此外,传输层还要处理端到端的差错控制和流量控 制问题
数据的单位称为数据段() 典型代表:、等 会话层( ) 管理主机之间的会话进程,即负责建立、管理、终止进程
之间的会话
典型代表:、(区域信息协议)等 表示层 对上层数据或信息进行变换以保证一个主机应用层信息可
以被另一个主机的应用程序理解
接收分片 目标
16
攻击
first frag : 36 bytes
0
24
35
当前包的段偏移在前一包数据内
计算出来的竟变成了一个
负数,于是()最终将会把
大量的数据拷贝到内核中
:
4
( *, *, )
= - <0
脆弱性分析
1、协议族模型与格式 2、地址滥用与攻击 3、数据报分片与组装 4、基于的 欺骗 5、协议脆弱分析 6、协议脆弱分析
= 33987 = 7070
= 53 = 7070
数据报格式
0
16
31
攻击
攻击者
echo port 7
目标
(工具)
intermediary
统给出响应或超时; 技术在发送 时不等待。
工具: , ( 9) () () 实例:(工具)
基于的欺骗
攻击,向网络的广播地址发送 请求,将得到网络
中所有主机的 响应。
对策: 根据具体需要,可将边界路由器配置进入内网
的;
配置关键的系统不响应 ; 配置路由器不响应;
攻击
攻击者
发送一个 的广播包 源地址伪造成目标主机的地址
目标
中间网络
因为中间网络的众多机器都响应广播包, 目标主机会接收到大量的
脆弱性分析
1、协议族模型与格式 2、地址滥用与攻击 3、数据报分片与组装 4、基于的 欺骗 5、协议脆弱分析 6、协议脆弱分析
协议
是不可靠的: 是指协议不保证每个数据报都能到
达希望的目的
端口号区分发送进程与接收进程 、、、……