计算机网络协议基础

抓取Ping指令发送的数据包(1/3)
• 按照Sniffer的设置抓取Ping指令发送的数据包，命令执行 如图所示。
抓取Ping指令发送的数据包(2/3)
抓取Ping指令发送的数据包(3/3)
• 其实IP报头的所有属性都在报头中显示出来，可以看出实 际抓取的数据报和理论上的数据报一致，分析如图所示。
– Telnet:明文传输 – SNMP:
• 认证：community Name • 明文传输 • 威胁：信息泄露，Community Name 可猜测性
TCP/IP协议簇
• TCP/IP协议簇模型 – TCP/IP有自己的参考模型用于描述各层的功能。TCP/IP协议 簇参考模型和OSI参考模型的比较如图所示。
7、应用层（Application Layer）
• 应用层包含大量人们普遍需要的协议。虽然，对于需要通信的不同应用 来说，应用层的协议都是必须的。例如，PC（Personal Computer）机用户 使用仿真终端软件通过网络仿真某个远程主机的终端并使用该远程主机 的资源。这个仿真终端程序使用虚拟终端协议将键盘输入的数据传送到 主机的操作系统，并接收显示于屏幕的数据。 • 最难保护的一层 • SMTP,FTP,TELNET,HTTP,SNMP
计算机信息安全
第6章 网络协议基础
内容提要
1、OSI七层网络模型 2、TCP/IP协议簇 3、IP协议、TCP协议、UDP协议和ICMP协议 4、常用的网络服务：文件传输服务、Telnet服务、 电子邮件服务和Web服务 5、常用的网络服务端口和常用的网络命令的使用
OSI参考模型
• OSI参考模型是国际标准化组织ISO (International Standards Organization )制定的模型，把计算机与计算机之间的通信分 成七个互相连接的协议层，结构如图所示。 • 很少有产品是完全的OSI模式，然而OSI参考模型为网络的结 构提供了可行的机制。 7 应用层
– TCP包头标记：SYN,FIN,ACK
• 建立一个TCP连接的过程 • 终止一个TCP连接的过程 • TCP威胁：SYNFLOOD
– UDP:面向非连接的协议
• 端口号分类：知名端口<1024 • 非知名端口>=1024 • 常用的端口21 22 23 80 139等
5、会话层(Session Layer)
• 2、网络层（Internet层）
– 网络层由在两个主机之间通信所必须的协议和过程组 成。这意味着数据报文必须是可路由的。
解剖TCP/IP模型
• 3、传输层 – 这一层支持的功能包括：为了在网络中传输对应用数 据进行分段，执行数学检查来保证所收数据的完整性， 为多个应用同时传输数据多路复用数据流(传输和接收)。 这意味着该层能识别特殊应用，对乱序收到的数据进 行重新排序。 – 当前的主机到主机层包括两个协议实体：传输控制协 议(TCP)和用户数据报协议(UDP)。 • 4、应用层 – 应用层协议提供远程访问和资源共享。应用包括Telnet 服务、FTP服务、SMTP服务和HTTP服务等，很多其他 应用程序驻留并运行在此层，并且依赖于底层的功能。 该层是最难保护的一层。
• 表 TCP/IP数据报的结构
以太网数据包头 IP头 TCP/UDP/ICMP/IGMP头 数据
Biblioteka Baidu
IP头的结构
• • • • 可以看出一条完整数据报由四部分组成 第三部分是该数据报采用的协议 第四部分是数据报传递的数据内容 其中IP头的结构如下表所示。
版本（4位） 封包标识（16位） 存活时间（8位） 协议（8位） 头长度（4位） 服务类型（8位） 标志（3位） 校验和（16位） 封包总长度（16位） 片断偏移地址（13位）
– SMTP:简单邮件传输协议
• 威胁：邮件炸弹，病毒，匿名邮件，木马 • 保护措施：认证，附件病毒扫描，用户安全教育
– FTP:文件传输协议
• 威胁：明文传输，黑客恶意传输非法使用等 • 保护措施：只允许匿名登录，单独的服务器分区，禁止执行程序等
– HTTP:超文本传输协议
• 威胁：恶意程序(ActiveX控件，扩展应用(ASP,CGI等))
2、数据链路层（Data Link Layer）
• OSI参考模型的第二层称为数据链路层。与其 他层一样，它肩负两个责任：发送和接收数 据。 • 还要提供数据有效传输的端到端连接。在发 送方，数据链路层负责将指令、数据等包装 到帧中，帧是该层的基本结构。 • 帧中包含足够的信息，确保数据可以安全地 通过本地局域网到达目的地。负责写上自己 与目的网卡的MAC地址。
• 会话层允许不同机器上的用户之间建立会话关系。会话层允 许进行类似传输层的普通数据的传送，在某些场合还提供了 一些有用的增强型服务。允许用户利用一次会话在远端的分 时系统上登录，或者在两台机器间传递文件。 • 会话层提供的服务之一是管理对话控制。 • 会话层允许信息同时双向传输，或限制只能单向传输。如果 属于后者，类似于物理信道上的半双工模式，会话层将记录 此时该轮到哪一方。 • 一种与对话控制有关的服务是令牌管理（Token Management）。有些协议保证双方不能同时进行同样的操作， 这一点很重要。为了管理这些活动，会话层提供了令牌，令 牌可以在会话双方之间移动，只有持有令牌的一方可以执行 某种操作。
6 5 4 3 2 1 表示层 会话层 传输层 网络层 数据链路层 物理层
1、物理层（Physical Layer）
• 最底层是物理层，这一层负责传送比特流，它从第 二层数据链路层接收数据帧，并将帧的结构和内容 串行发送，即每次发送一个比特。 • 物理层只能看见0和1，只与电信号技术和光信号技 术的物理特征相关。这些特征包括用于传输信号电 流的电压、介质类型以及阻抗特征。该层的传输介 质是同轴电缆、光纤、双绞线等。 • 物理层可能受到的安全威胁是搭线窃听和监听，可 以利用数据加密、数据标签加密，数据标签，流量 填充等方法保护物理层的安全。
IPv4的IP地址分类
• IPv4地址在1981年9月实现标准化的。基本的IP地址是8位 一个单元的32位二进制数。为了方便人们的使用，对机器 友好的二进制地址转变为人们更熟悉的十进制地址。 • IP地址中的每一个8位组用0～255之间的一个十进制数表 示。这些数之间用点“.”隔开，因此，最小的IPv4地址值 为0.0.0.0，最大的地址值为255.255.255.255，然而这两个 值是保留的，没有分配给任何系统。 • IP地址分成五类：A类地址、B类地址、C类地址、D类地址 和E类地址。 • 每一个IP地址包括两部分：网络地址和主机地址，上面五 类地址对所支持的网络数和主机数有不同的组合。
解剖TCP/IP模型
• TCP/IP组的四层、OSI参考模型和常用协议的对应关系如图所 示。
网络协议IP
• IP协议已经成为世界上最重要的网际协议。 • IP的功能定义在由IP头结构的数据中。IP是网络层上的 主要协议，同时被TCP协议和UDP协议使用。 • TCP/IP的整个数据报在数据链路层的结构如表所示。
– 32位，唯一性，标志主机 – IP头：20位包含信息和控制手段 – 威胁：IP欺骗攻击
• Internet控制协议:
– IP层检查错误使用 – 威胁：TFN FLOOD,WINNUKE – 保护措施：防火墙过滤，打系统补丁
4、传输层(Transport Layer)
• 传输层的主要功能是完成网络中不同主机上的用户进程之间 可靠的数据通信。 • 最好的传输连接是一条无差错的、按顺序传送数据的管道， 即传输层连接是真正端到端的。 • 由于绝大多数主机都支持多用户操作，因而机器上有多道程 序，这意味着多条连接将进出于这些主机，因此需要以某种 方式区别报文属于哪条连接。识别这些连接的信息可以放入 传输层的报文头中。 • 数据包分段/重组 • 协议：TCP,UDP
应用层 表示层 会话层 传输层 网络层 数据链路层
低层网络协议 TCP/UDP FTP/SMTP/TELNET/SNMP... 应用程序
IP/ICMP/IGMP/ARP/RARP
物理层
TCP/IP协议簇
• TCP/IP参考模型实现了OSI模型中的所有功 能。 • 不同之处是TCP/IP协议模型将OSI模型的部 分层进行了合并。 • OSI模型对层的划分更精确，而TCP/IP模型 使用比较宽的层定义。
1、A类地址
• 一个A类IP地址仅使用第一个8位组表示网络地址。 剩下的3个8位组表示主机地址。A类地址的第一个 位总为0，这一点在数学上限制了A类地址的范围小 于127，因此理论上仅有127个可能的A类网络，而 0.0.0.0地址又没有分配，所以实际上只有126个A类 网。技术上讲，127.0.0.0也是一个A类地址，但是它 已被保留作闭环（Look Back）测试之用而不能分配 给一个网络。 • A类地址后面的24位表示可能的主机地址，A类网络 地址的范围从1.0.0.0到126.0.0.0。每一个A类地址能 支持16,777,214个不同的主机地址，这个数是由2的 24次方再减去2得到的。减2是必要的，因为IP把全0 保留为表示网络而全1表示网络内的广播地址。
来源IP地址（32位）
目的IP地址（32位）
选项（可选） 数据 填充（可选）
IP头结构
• IP头结构在所有协议中都是固定的，对上表说明如下： 1. 字节和数字的存储顺序是从右到左，依次是从低位到高位，而网络存储顺 序是从左到右，依次从高位到低位。 2. 版本：占第一个字节的高四位。头长度：占第一个字节的低四位。 3. 服务类型：前3位为优先字段权，现在已经被忽略。接着4位用来表示最小 延迟、最大吞吐量、最高可靠性和最小费用。 4. 封包总长度：整个IP报的长度，单位为字节。 5. 存活时间：就是封包的生存时间。通常用通过的路由器的个数来衡量，比 如初始值设置为32，则每通过一个路由器处理就会被减一，当这个值为0 的时候就会丢掉这个包，并用ICMP消息通知源主机。 6. 协议：定义了数据的协议，分别为：TCP、UDP、ICMP和IGMP。 7. 检验和：校验的首先将该字段设置为0，然后将IP头的每16位进行二进制 取反求和，将结果保存在校验和字段。 8. 来源IP地址：将IP地址看作是32位数值则需要将网络字节顺序转化位主机 字节顺序。转化的方法是：将每4个字节首尾互换，将2、3字节互换。 9. 目的IP地址：转换方法和来源IP地址一样。 • 在网络协议中，IP是面向非连接的，所谓的非连接就是传递数据的时候， 不检测网络是否连通。所以是不可靠的数据报协议，IP协议主要负责在主 机之间寻址和选择数据包路由。
解剖TCP/IP模型
• TCP/IP协议簇包括四个功能层：应用层、传输层、 网络层及网络接口层。 • 这四层概括了相对于OSI参考模型中的七层。 • 1、网络接口层
– 网络接口层包括用于物理连接、传输的所有功能。OSI 模型把这一层功能分为两层：物理层和数据链路层， TCP/IP参考模型把两层合在一起。
3、网络层(Network Layer)
• 网络层（Network Layer）的主要功能是完成网络中主机间的报 文传输。在广域网中，这包括产生从源端到目的端的路由。当 报文不得不跨越两个或多个网络时，又会产生很多新问题。例 如第二个网络的寻址方法可能不同于第一个网络；第二个网络 也可能因为第一个网络的报文太长而无法接收；两个网络使用 的协议也可能不同等。网络层必须解决这些问题，使异构网络 能够互连。负责决定数据报传送的线路图。 • 在单个局域网中，网络层是冗余的，因为报文是直接从一台计 算机传送到另一台计算机的。 • 协议：IP,ICMP,IGMP(组播),ARP,RARP • IP协议：
6、表示层(Presentation Layer)
• 表示层完成某些特定的功能，这些功能不必由每个用户自 己来实现。 • 值得一提的是，表示层以下各层只关心从源端机到目标机 可靠地传送比特，而表示层关心的是所传送的信息的语法 和语义。 • 表示层服务的一个典型例子是用一种一致选定的标准方法 对数据进行编码。 • 大多数用户程序之间并非交换随机的比特，而是交换诸如 人名、日期、货币数量和发票之类的信息。这些对象是用 字符串、整型数、浮点数的形式，以及由几种简单类型组 成的数据结构来表示。 • 将数据加密/压缩/翻译