网络安全第二章

总长
标识
标志
片偏移
生成时间
协议
头标校验和
信源IP地址
信宿IP地址
选项
填充域
报 头
数据区
IP数据报格式
抓取Ping指令发送的数据包
按照第一章Sniffer的设置抓取Ping指令发送的数据包，命令执行如 下图所示。
抓取Ping指令发送的数据包
抓取Ping指令发送的数据包
其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取 的数据报和理论上的数据报一致，分析如下图所示。
1.数据报格式 IP数据报分为报头和数据区两部分，符合典型分组的一般格式。
报头长度取32比特字长的整数倍，由IP协议处理，是IP协议的体现； 数据区用于封装上层（传输层）数据。IP数据报是为实现它的无 连接传输机制和IP层的无连接服务而设计的。
IP数据报
0
4
8
16 19 24
31
版本 头标长 服务类型
（2）TCP目的端口（Destination Port）：16位的目的端口域定义传输的目的。这个端口指明 报文接收计算机上的应用程序地址接口。
（3）序列号（Sequence Number）：TCP连线发送方向接收方的封包顺序号。 （4）确认序号（Acknowledge Number）：接收方回发的应答顺序号。 （5）头长度（Header Length）：以32比特为单位的段头标长度。该域是针对变长的选项域设
数据库服务和电子邮件服务。
计的。 （6）URG：是否使用紧急指针，0为不使用，1为使用。 （7）ACK：请求/应答状态。0为请求，1为应答。 （8）PSH：以最快的速度传输数据。 （9）RST：连线复位，首先断开连接，然后重建。 （10）SYN：同步连线序号，用来建立连线。 （11）FIN：结束连线。如果FIN为0是结束连线请求，FIN为1表示结束连线。 （12）窗口大小（Window）：目的机使用16位的域告诉源主机，它想收到的每个TCP数据段
传输控制协议可以做到如下的六点：
确保IP数据报的成功传递。 对程序发送的大块数据进行分段和重组。 确保正确排序以及按顺序传递分段的数据。 通过计算校验和，进行传输数据的完整性检查。 根据数据是否接收成功发送消息。通过有选择的确认，也对
没有收到的数据发送确认。 为必须使用可靠的基于会话的数据传输的程序提供支持，如
头长度（4位）
URG
ACK
PSH
窗口大小（2字节）
紧急指针（16位）
数据
目的端口（2字节）
确认序号（4字节）
保留（6位）
RST
SYN
FIN
校验和（16位）
选项（可选）
TCP协议的头结构
TCP协议的头结构都是固定的：
（1）TCP源端口（Source Port）：16位的源端口包含初始化通信的端口号。源端口和IP地址 的作用是标识报文的返回地址。
IPv4的IP地址分类
A类地址 B类地址 C类地址 D类地址 E类地址
互联网控制消息协议ICMP
通过ICMP协议，主机和路由器可以报告错误并交换 相关的状态信息。在下列情况中，通常自动发送 ICMP消息：
IP数据报无法访问目标。 IP路由器（网关）无法按当前的传输速率转发数据报。 IP路由器将发送主机重定向为使用更好的到达目标的路。
传输控制协议协议TCP
TCP是传输层协议，提供可靠的应用数据传输。 TCP在两个或多个主机之间建立面向连接的通
信。 TCP支持多数据流操作，提供错误控制，甚至
完成对乱序到达的报文进行重新排序。
TCP协议的头结构
和IP一样，TCP的功能受限于其头中携带的信息。
来源端口（2字节）
序号（4字节）
4、应用层 应用层协议提供远程访问和资源共享。应用包括Telnet服务、FTP 服务、SMTP服务和HTTP服务等，很多其他应用程序驻留并运行 在此层，并且依赖于底层的功能。该层是最难保护的一层。
解剖TCP/IP模型
TCP/IP组的四层、OSI参考模型和常用协议的对应关系如图所示。
网络协议IP
一次完整的FTP会话
启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标 主机上的FTP服务器，连接过程如图所示。
一次完整的FTP会话
一次完整的FTP会话
登录FTP的过程是一次典型的TCP连接。
传输控制协议（TCP）的特点
传输控制协议（TCP）的特点是：提供可靠的、面向 连接的数据报传递服务。
2、网络层（Internet层） 网络层由在两个主机之间通信所必须的协议和过程组成。这意味着 数据报文必须是可路由的。
解剖TCP/IP模型
3、传输层 这一层支持的功能包括：为了在网络中传输对应用数据进行分段， 执行数学检查来保证所收数据的完整性，为多个应用同时传输数据 多路复用数据流(传输和接收)。这意味着该层能识别特殊应用，对 乱序收到的数据进行重新排序。 当前的主机到主机层包括两个协议实体：传输控制协议(TCP)和用 户数据报协议(UDP)。
ICMP协议与IP协议的关系
如同其它高层协议一样，ICMP也是封装在IP数据报的数据部分中 传输的。包含ICMP报文的IP数据报报头协议域指出数据区内容为ICMP 报文。
ICMP头标
ICMP数据
ICMP报文
IP报头
IP数据区 ICMP数据的封装
IP数据报
ICMP协议与IP协议的关系
虽然ICMP报文由IP数据报传输，但人们并不把ICMP看作是比IP 更高层的协议。事实上，ICMP的信宿总是信宿机上的IP软件，ICMP软 件只是作为IP软件的一个模块而存在。IP软件一旦接收到差错或控制 报文，立即交给ICMP模块处理。从这种意义上说，也可以把ICMP看作 不同机器的IP软件间相互通信的机制。
物理层可能受到的安全威胁是搭线窃听和监听，可以利 用数据加密、数据标签加密，数据标签，流量填充等方 法保护物理层的安全。
2、数据链路层（Data Link Layer）
OSI参考模型的第二层称为数据链路层。与其 他层一样，它肩负两个责任：发送和接收数据。
还要提供数据有效传输的端到端连接。在发送 方，数据链路层负责将指令、数据等包装到帧 中，帧是该层的基本结构。
7 应用层 6 表示层 5 会话层 4 传输层 3 网络层 2 数据链路层 1 物理层
OSI参考模型
很少有产品是完全的OSI模式，然而OSI参考 模型为网络的结构提供了可行的机制。
OSI模型将通信会话需要的各种进程划分成7 个相对独立的层次。
1、物理层（Physical Layer）
帧中包含足够的信息，确保数据可以安全地通 过本地局域网到达目的地。
3、网络层（Network Layer）
网络层（Network Layer）的主要功能是完成网络中主机 间的报文传输。在广域网中，这包括产生从源端到目的端 的路由。
当报文跨越两个或多个网络时，会产生一些问题。例如第 二个网络的寻址方法可能不同于第一个网络；第二个网络 也可能因为第一个网络的报文太长而无法接收；两个网络 使用的协议也可能不同等。网络层必须解决这些问题，使 异构网络能够互连。
ICMP报文格式分为头标和数据区两部分。头标包含“类型”、 “代码”和“校验和”三个域。类型域（TYPE）占一个字节，以一 个整数来表示报文的类型，
字节
0
12
34
格式 类型 代码 校验和
头标
n
数据区
ICMP报文格式
ICMP报文类型
类型域 0 3 4 5 8 11 12 13 14 17 18
ICMP报文类型 回应应答 信宿不可到达 源抑制 重定向 回应请求 数据报超时 数据报参数错 时戳请求 时戳应答 地址模请求 地址模响应
大小。 （13）校验和（Check Sum）：这个校验和和IP的校验和有所不同，不仅对头数据进行校验还
对封包内容校验。 （14）紧急指针（Urgent Pointer）：当URG为1的时候才有效。TCP的紧急方式是发送紧急数
据的一种方式。
一次完整的FTP会话
首先开启目标主机的FTP服务。
最底层是物理层，这一层负责传送比特流，它从第二层 数据链路层接收数据帧，并将帧的结构和内容串行发送， 即每次发送一个比特。
物理层只能看Leabharlann Baidu0和1，只与电信号技术和光信号技术的 物理特征相关。这些特征包括用于传输信号电流的电压、 介质类型以及阻抗特征。该层的传输介质是同轴电缆、 光纤、双绞线等，有时该层被称为OSI参考模型的第0层。
6、表示层（Presentation Layer）
表示层完成某些特定的功能，这些功能不必由每个用户自己来实 现。
表示层以下各层只关心从源端机到目标机可靠地传送比特，而表 示层关心的是所传送的信息的语法和语义。
表示层服务的一个典型例子是用一种一致选定的标准方法对数据 进行编码。
大多数用户程序之间并非交换随机的比特，而是交换诸如人名、 日期、货币数量和发票之类的信息。这些对象是用字符串、整型 数、浮点数的形式，以及由几种简单类型组成的数据结构来表示。
5、会话层（Session Layer）
会话层允许不同机器上的用户之间建立会话关系。会话层允许进行 类似传输层的普通数据的传送，在某些场合还提供了一些有用的增 强型服务。
会话层提供的服务之一是管理对话控制。 会话层允许信息同时双向传输，或限制只能单向传输。如果属于后
者，类似于物理信道上的半双工模式，会话层将记录此时该轮到哪 一方。 一种与对话控制有关的服务是令牌管理（Token Management）。
层进行了合并。 OSI模型对层的划分更精确，而TCP/IP模型使
用比较宽的层定义。
解剖TCP/IP模型
TCP/IP协议簇包括四个功能层：应用层、传输层、网络层及网络 接口层。
这四层概括了相对于OSI参考模型中的七层。
1、网络接口层 网络接口层包括用于物理连接、传输的所有功能。OSI模型把这一 层功能分为两层：物理层和数据链路层，TCP/IP参考模型把两层 合在一起。
IP协议已经成为世界上最重要的网际协议。 IP的功能定义在由IP头结构的数据中。IP是网络层
上的主要协议，同时被TCP协议和UDP协议使用。
IP数据报
IP数据报有两层含义：
IP层的无连接数据报传输机制和IP层无连接服务； IP层传输的数据单元及格式。
二者是密切相关的：数据报机制要通过数据报格式来体现，而数 据报格式只有在数据报机制中才真正具有意义。
应用层 表示层 会话层
FTP/SMTP/TELNET/SNMP... 应用程序
传输层
TCP/UDP
网络层
IP/ICMP/IGMP/ARP/RARP
数据链路层 物理层
低层网络协议
TCP/IP协议簇
TCP/IP参考模型实现了OSI模型中的所有功能。 不同之处是TCP/IP协议模型将OSI模型的部分
在单个局域网中，网络层是冗余的，因为报文是直接从一 台计算机传送到另一台计算机的。
4、传输层（Transport Layer）
传输层的主要功能是完成网络中不同主机上的用户进 程之间可靠的数据通信。
最好的传输连接是一条无差错的、按顺序传送数据的 管道，即传输层连接是真正端到端的。
识别连接的信息可以放入传输层的报文头中。
7、应用层（Application Layer）
应用层包含大量人们普遍需要的协议。
FTP TELNET SMTP POP3 ……
TCP/IP协议簇
TCP/IP协议簇模型
和其他网络协议一样，TCP/IP有自己的参考模型用于描述各层的功能。 TCP/IP协议簇参考模型和OSI参考模型的比较如图所示。
第二章 网络安全协议基础
内容提要
本章介绍OSI七层网络模型 TCP/IP协议簇 介绍IP协议、TCP协议、UDP协议和ICMP协
议 介绍常用的网络服务：文件传输服务、Telnet
服务、电子邮件服务和Web服务 介绍常用的网络服务端口和常用的网络命令的
使用
OSI参考模型
OSI参考模型是国际标准化组织ISO(International Standards Organization )制定的模型，把计算机与计算机之间的通信分成七个 互相连接的协议层，结构如图所示。