第2章TCPIP協(xié)議

1、第第2 2章章 TCP/IPTCP/IP協(xié)議協(xié)議 講師：韓立剛講師：韓立剛MSN:MSN:第第2 2章章 TCP/IPTCP/IP協(xié)議協(xié)議 2.1 OSI和DoD模型 2.2 傳輸層協(xié)議 2.3 應(yīng)用層協(xié)議 2.4 應(yīng)用層協(xié)議和服務(wù) 2.5 配置服務(wù)器網(wǎng)絡(luò)安全 2.6 網(wǎng)絡(luò)層協(xié)議 2.7 使用捕包工具排除網(wǎng)絡(luò)故障 第第2 2章章 TCP/IPTCP/IP協(xié)議協(xié)議傳輸控制協(xié)議/因特網(wǎng)協(xié)議（TCP/IP）組是由美國國防部（DoD）所創(chuàng)建的，主要用來確保數(shù)據(jù)的完整性及在毀滅性戰(zhàn)爭中維持通信。如果能進(jìn)行正確的設(shè)計和應(yīng)用，TCP/IP網(wǎng)絡(luò)將是可靠的并富有彈性的網(wǎng)絡(luò)。本章將詳細(xì)闡述TCP/IP的層次結(jié)構(gòu)，

2、以及每層包含的協(xié)議，講解了傳輸層兩個協(xié)議TCP和UDP協(xié)議應(yīng)用場景，應(yīng)用層協(xié)議和傳輸層協(xié)議的關(guān)系，應(yīng)用層協(xié)議和服務(wù)之間的關(guān)系。并且演示了在Windows Server 2003上安裝配置FTP服務(wù)、Web服務(wù)、POP3服務(wù)、SMTP服務(wù)和DNS服務(wù)，啟用服務(wù)器的遠(yuǎn)程桌面，并且配置客戶端連接這些服務(wù)器。第第2 2章章 TCP/IPTCP/IP協(xié)議協(xié)議配置Windows防火墻保護(hù)Window XP安全和使用TCP/IP篩選配置服務(wù)器安全，防止主動入侵計算機(jī)。配置IPSec嚴(yán)格控制進(jìn)出服務(wù)器的數(shù)據(jù)流量，避免木馬程序造成威脅。同時展示使用捕包工具排除網(wǎng)絡(luò)故障。 TCP/IP協(xié)議和DoD模型 傳輸層協(xié)議

3、 應(yīng)用層協(xié)議 應(yīng)用層協(xié)議和服務(wù)的關(guān)系 配置服務(wù)器網(wǎng)絡(luò)安全 使用捕包工具排除網(wǎng)絡(luò)故障。TCP/IP（Transmission Control Protocol/Internet Protocol）的簡寫，中文譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又叫網(wǎng)絡(luò)通訊協(xié)議，這個協(xié)議是Internet最基本的協(xié)議、Internet國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，簡單地說，就是由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成的。 2.1 OSI2.1 OSI和和DoDDoD模型模型DoD模型基本上是OSI模型的一個濃縮版本，它只有4個層次，而不足7個，它們是： 應(yīng)用層 傳輸層 網(wǎng)絡(luò)層 網(wǎng)絡(luò)接口層其中，如果在功能上和OSI參考模型

4、互相對應(yīng)的話，如下圖所示 2.1 OSI2.1 OSI和和DoDDoD模型模型DoD模型的Process/Application層對應(yīng)OSI參考模型的最高3層DoD模型的Host-to-Host層對應(yīng)OSI參考模型的Transport層DoD模型的Internet層對應(yīng)OSI參考模型的Network層DoD模型的Network Access層對應(yīng)OSI參考模型的最底2層2.2 2.2 傳輸層協(xié)議傳輸層協(xié)議 在網(wǎng)絡(luò)上的通信有這兩種情況： 一種情況是一個數(shù)據(jù)包就能完成通信任務(wù)，例如QQ聊天，一個數(shù)據(jù)包就能完成任務(wù)。 一種情況是一個數(shù)據(jù)包不能完成的通信任務(wù)。比如QQ傳文件，需要將文件分段，編號，然后

5、再傳遞到客戶端。在TCP/IP協(xié)議棧，傳輸層有兩個協(xié)議TCP和UDP。TCP（Transmission Control Protocol，傳輸控制協(xié)議）協(xié)議，一個數(shù)據(jù)不能完成通信任務(wù)的通信大多使用TCP協(xié)議。UDP（User Data Protocol，用戶數(shù)據(jù)報協(xié)議）協(xié)議，一個數(shù)據(jù)包就能完成任務(wù)大多使用UDP協(xié)議，不可靠傳輸，不建立會話，數(shù)據(jù)不分段，不編號。2.2 2.2 傳輸層協(xié)議傳輸層協(xié)議 2.2.1 傳輸控制協(xié)議（TCP）傳輸控制協(xié)議（TCP）通常從應(yīng)用程序中得到大段的信息數(shù)據(jù)，然后將它分割成若干個數(shù)據(jù)段。TCP會為這些數(shù)據(jù)段編號并排序，這樣，在目的方的TCP協(xié)議棧才可以將這些數(shù)據(jù)段再

6、重新組成原來應(yīng)用數(shù)據(jù)的結(jié)構(gòu)。由于TCP采用的是虛電路連接方式，這些數(shù)據(jù)段在被發(fā)送出去后，發(fā)送方的TCP會等待接收方TCP給出一個確認(rèn)性應(yīng)答，那些沒有收到確認(rèn)應(yīng)答的數(shù)據(jù)段將被重新發(fā)送。 2.2 2.2 傳輸層協(xié)議傳輸層協(xié)議 當(dāng)發(fā)送方主機(jī)開始沿分層模型向下發(fā)送數(shù)據(jù)段時，發(fā)送方的TCP協(xié)議會通知目的方的TCP協(xié)議去建立一個連接，這種通信方式被稱為是面向連接的。在這個初始化的握手協(xié)商期間，雙方的TCP層需要對接收方在返回確認(rèn)應(yīng)答之前，連續(xù)發(fā)送多少數(shù)量的信息達(dá)成一致。TCP是一個全雙工的、面向連接的、可靠的并且是精確控制的協(xié)議，但是要建立所有這些條件和環(huán)境并附加差錯控制，在網(wǎng)絡(luò)開銷方面是昂貴的。然而，由

7、于如今的網(wǎng)絡(luò)傳輸同以往的網(wǎng)絡(luò)相比，已經(jīng)可以提供更高的可靠性，因此，TCP所附加的可靠性就顯得不那么必要了。 2.2 2.2 傳輸層協(xié)議傳輸層協(xié)議2.2.2用戶數(shù)據(jù)報協(xié)議（UDP） UDP協(xié)議適用于一個數(shù)據(jù)包就能完成的數(shù)據(jù)通信任務(wù)，比如QQ聊天發(fā)送的數(shù)據(jù)，域名解析（DNS）這類通信不需要在客戶端和服務(wù)器端建立會話，節(jié)省服務(wù)器資源。UDP協(xié)議也廣泛應(yīng)用到多播和廣播應(yīng)用，比如多媒體教室程序?qū)⑵聊粡V播給學(xué)生的計算機(jī)，教室中的計算機(jī)接收教師計算機(jī)電腦屏幕。這類通信雖然一個數(shù)據(jù)包不能完成數(shù)據(jù)包通信，但是這類通信不需要客戶端和服務(wù)器端連接會話。 2.2 2.2 傳輸層協(xié)議傳輸層協(xié)議UDP不排序所要發(fā)送的數(shù)據(jù)

8、段，而且不關(guān)心這些數(shù)據(jù)段到達(dá)目方時的順序，在發(fā)送完數(shù)據(jù)段后，就忘記它們，它不去進(jìn)行核對數(shù)據(jù)，或安全抵達(dá)確認(rèn)的后續(xù)工作，它完全放棄了可以保障傳送可靠性的操作。正是因為這樣，UDP被稱為是一個不可靠的協(xié)議。但這并不意味著UDP就是無效率的，它僅僅表明，UDP是一個不處理傳送可靠性的協(xié)議。2.2 2.2 傳輸層協(xié)議傳輸層協(xié)議UDP不去創(chuàng)建虛電路，并且在數(shù)據(jù)傳送前也不聯(lián)系對方，正因為這一點，它又被稱為是無連接的協(xié)議。由于UDP假定應(yīng)用程序會保證數(shù)據(jù)傳送的可靠性，因而它不需要對此做任何的工作。如果你正在使用語音IP（VoIP），那么你就不再會使用UDP，因為如果數(shù)據(jù)段未按順序到達(dá)，那么這些數(shù)據(jù)段將只會以

9、它們被接收到的順序傳遞給下一個OSI（DoD）層面。而與之不同的，TCP則會以正確的順序來重組這些數(shù)據(jù)段，以保證秩序上的正確，UDP是不能做到這一點的。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議 傳輸層協(xié)議添加端口就可以標(biāo)識應(yīng)用層協(xié)議。應(yīng)用層協(xié)議代表著服務(wù)器上的服務(wù)，服務(wù)器上的服務(wù)如果對客戶端提供服務(wù)，必須在TCP或UDP端口偵聽客戶端的請求。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議 2.3.1 應(yīng)用層協(xié)議和傳輸層協(xié)議關(guān)系 傳輸層的協(xié)議TCP或UDP加上端口就可以標(biāo)識一個應(yīng)用層協(xié)議，TCP/IP協(xié)議中的端口的范圍是從0 到65535。 端口作用 ： 一臺擁有IP地址的主機(jī)可以提供許多服務(wù)，比如Web

10、服務(wù)、FTP服務(wù)、SMTP服務(wù)等，這些服務(wù)完全可以通過1個IP地址來實現(xiàn)。那么，主機(jī)是怎樣區(qū)分不同的網(wǎng)絡(luò)服務(wù)呢？顯然不能只靠IP地址，因為IP 地址與網(wǎng)絡(luò)服務(wù)的關(guān)系是一對多的關(guān)系。實際上是通過“IP地址+端口號”來區(qū)分不同的服務(wù)的。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議 2.3.1 應(yīng)用層協(xié)議和傳輸層協(xié)議關(guān)系服務(wù)器一般都是通過知名端口號來識別的。對于每個TCP/IP實現(xiàn)來說，F(xiàn)TP服務(wù)器的TCP端口號都是21，每個Telnet服務(wù)器的TCP端口號都是23，每個TFTP（簡單文件傳送協(xié)議）服務(wù)器的UDP端口號都是69。任何TCP/IP實現(xiàn)所提供的服務(wù)都用知名的11023之間的端口號。知名端口即眾

11、所周知的端口號，范圍從0到1023，這些端口號一般固定分配給一些服務(wù)。比如21端口分配給FTP（文件傳輸協(xié)議）服務(wù)，25端口分配給SMTP（簡單郵件傳輸協(xié)議）服務(wù)，80端口分配給HTTP服務(wù)，135端口分配給RPC（遠(yuǎn)程過程調(diào)用）服務(wù)等等。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議 HTTP默認(rèn)使用TCP的80端口標(biāo)識FTP默認(rèn)使用TCP的21端口標(biāo)識SMTP默認(rèn)使用TCP的25端口標(biāo)識POP3默認(rèn)使用TCP的110端口HTTPS默認(rèn)使用TCP的443端口DNS使用UDP的53端口遠(yuǎn)程桌面協(xié)議（RDP）默認(rèn)使用TCP的3389端口telnet使用TCP的23端口Windows訪問共享資源使用TCP

12、的445端口 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議2.3.2 應(yīng)用層協(xié)議和服務(wù)的關(guān)系 應(yīng)用層協(xié)議代表的是服務(wù)器上的服務(wù)。不管是Windows XP還是Windows 7，無論是Windows Server 2003還是Windows Server 2008都有內(nèi)置的一些服務(wù)。這些服務(wù)有的是為本地計算機(jī)提供服務(wù)的，比如停止了Network Connections服務(wù)，你就不能打開網(wǎng)絡(luò)連接修改IP地址有的是為網(wǎng)絡(luò)中的其他計算機(jī)提供服務(wù)，這類服務(wù)使用TCP或UDP的特定端口偵聽客戶端請求。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議Server服務(wù)器安裝了Web服務(wù)、FTP服務(wù)、SMTP服務(wù)和POP3服務(wù)

13、。Web服務(wù)在TCP的80端口偵聽客戶端請求，SMTP服務(wù)在TCP的25端口偵聽客戶端的請求，POP3在TCP的110段偵聽客戶端請求，F(xiàn)TP在TCP的21端口偵聽客戶端請求。ClientA訪問Server的Web服務(wù)，數(shù)據(jù)包的目標(biāo)端口為80，ClientB訪問Server的FTP服務(wù)，數(shù)據(jù)包的目標(biāo)端口為21。這樣服務(wù)器Server就可以根據(jù)數(shù)據(jù)包的目標(biāo)端口來區(qū)分客戶端要請求的服務(wù)?？偨Y(jié)：數(shù)據(jù)包中的目標(biāo)IP地址用來定位服務(wù)器，而數(shù)據(jù)包中的目標(biāo)端口用來定位服務(wù)器上的服務(wù)。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議2.3.3示例：查看遠(yuǎn)程桌面?zhèn)陕牭亩丝?本實例將會在Server上啟用遠(yuǎn)程桌面，來查看遠(yuǎn)

14、程桌面?zhèn)陕牭亩丝凇?運(yùn)行netstat an可以看到在TCP和UDP偵聽的端口 輸入netstat anb還可以看到偵聽端口的進(jìn)程或程序啟用遠(yuǎn)程桌面查看打開的3389端口 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議2.3.4示例：端口沖突造成服務(wù)啟動失敗服務(wù)器上的服務(wù)偵聽的端口不能沖突。否則將會造成服務(wù)啟動失敗。例如：某家公司的網(wǎng)站不能訪問了，操作系統(tǒng)是Windows2003。當(dāng)點擊“開始”“程序”“管理工具”“Internet信息服務(wù)管理器”，發(fā)現(xiàn)該Web站點停止，右擊默認(rèn)站點，點擊“啟動”，啟動服務(wù)出現(xiàn)錯誤。 2.3 2.3 應(yīng)用層協(xié)議應(yīng)用層協(xié)議 Web站點默認(rèn)使用80端口，但哪個程序占用了這個

15、端口呢？ 需要通過Netstat aonb 這個命令查看偵聽的端口以及偵聽端口的進(jìn)程號和應(yīng)用程序名字. 通過上圖可發(fā)現(xiàn)Web迅雷占用了80端口，這可以造成服務(wù)器Web服務(wù)啟動失敗。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù) 下面就以Web服務(wù)、FTP服務(wù)、SMTP服務(wù)、POP3服務(wù)、遠(yuǎn)程桌面服務(wù)和DNS服務(wù)為例，幫助讀者理解傳輸層協(xié)議和應(yīng)用層協(xié)議的關(guān)系，并深刻理解服務(wù)和應(yīng)用層協(xié)議之間的關(guān)系。 通過更改服務(wù)偵聽的端口，可以迷惑入侵者，入侵者通過端口掃描工具，查看服務(wù)器偵聽的端口，就可以判斷服務(wù)器運(yùn)行的服務(wù)。如果你的服務(wù)器只對內(nèi)網(wǎng)的用戶提供服務(wù)，或者不對Internet上的用戶提供服務(wù)，你都可

16、以更改服務(wù)不適用默認(rèn)端口，這樣可以迷惑攻擊者，增加服務(wù)器的安全。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.1 安裝服務(wù)點擊“開始”“設(shè)置”“控制面板”，在出現(xiàn)的控制面板對話框，點擊“添加或刪除程序”。 在出現(xiàn)的添加或刪除程序?qū)υ捒颍c擊“添加/刪除Windows組件”。 根據(jù)實驗手冊將Web服務(wù)、FTP服務(wù)、SMTP服務(wù)、POP3服務(wù)和DNS服務(wù)安裝好。安裝完成后，在命令提示符下，輸入netstat an 可以查看安裝的服務(wù)偵聽的端口。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.2配置FTP服務(wù)器 FTP （File Transfer Protocol文件傳輸協(xié)議），用于

17、Internet上的控制文件的雙向傳輸，它也是一個應(yīng)用程序。用戶可以通過它把自己的PC機(jī)與世界各地所有運(yùn)行FTP協(xié)議的服務(wù)器相連，訪問服務(wù)器上的大量程序和信息。FTP的主要作用，就是讓用戶連接上一個遠(yuǎn)程計算機(jī)，察看遠(yuǎn)程計算機(jī)有哪些文件，然后把文件從遠(yuǎn)程計算機(jī)上拷到本地計算機(jī)，或把本地計算機(jī)的文件送到遠(yuǎn)程計算機(jī)去。 2.4.2配置FTP服務(wù)器該節(jié)對應(yīng)實驗手冊將會在Server上創(chuàng)建一個允許匿名訪問的FTP站點，允許上傳和下載。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.3配置Web服務(wù)器 Web服務(wù)器使用HTTP和客戶端通信，默認(rèn)使用TCP的80端口偵聽客戶端的請求。超文本傳輸協(xié)議（H

18、TTP，HyperText Transfer Protocol）是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，所有的WWW文件都必須遵守這個標(biāo)準(zhǔn)。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。2.4.3配置Web服務(wù)器以下步驟將會創(chuàng)建一個Web站點。然后在客戶端使用默認(rèn)端口80訪問Web站點，更改Web站點端口為8080，并在客戶端使用8080訪問Web站點。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.4配置SMTP服務(wù)和POP3服務(wù) SMTP（Simple Mail Transfer Protocol）即簡單郵件傳輸協(xié)議，它是一組用于由源地址到目的地址傳送郵件的規(guī)則，由

19、它來控制信件的中轉(zhuǎn)方式。SMTP協(xié)議屬于TCPIP協(xié)議族，它幫助每臺計算機(jī)在發(fā)送或中轉(zhuǎn)信件時找到下一個目的地。通過SMTP協(xié)議所指定的服務(wù)器，就可以把Email寄到收信人的服務(wù)器上了，整個過程只要幾分鐘。SMTP服務(wù)器則是遵循SMTP協(xié)議的發(fā)送郵件服務(wù)器，用來發(fā)送或中轉(zhuǎn)發(fā)出的電子郵件。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.4配置SMTP服務(wù)和POP3服務(wù) POP3（Post Office Protocol 3）即郵局協(xié)議的第3個版本，它是規(guī)定個人計算機(jī)如何連接到互聯(lián)網(wǎng)上的郵件服務(wù)器進(jìn)行收發(fā)郵件的協(xié)議。它是因特網(wǎng)電子郵件的第一個離線協(xié)議標(biāo)準(zhǔn)，POP3協(xié)議允許用戶從服務(wù)器上把郵件存

20、儲到本地主機(jī)，同時根據(jù)客戶端的操作刪除或保存在郵件服務(wù)器上的郵件，而POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器，用來接收電子郵件的。POP3協(xié)議是TCP/IP協(xié)議族中的一員。本協(xié)議主要用于支持使用客戶端遠(yuǎn)程管理在服務(wù)器上的電子郵件。 2.4.4配置SMTP服務(wù)和POP3服務(wù)該節(jié)對應(yīng)實驗手冊將會配置Server上的SMTP服務(wù)和POP3服務(wù)，并且在Client計算機(jī)上配置郵件服務(wù)器客戶端Outlook Express，收發(fā)電子郵件。該實驗要完成的任務(wù)如下： 配置POP3服務(wù)，創(chuàng)建郵箱。 配置SMTP服務(wù)，創(chuàng)建遠(yuǎn)程域，允許將電子郵件發(fā)送到Internet。 配置服務(wù)器和和客戶端不使用默認(rèn)的

21、端口收郵件。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.5 啟用遠(yuǎn)程桌面且更改默認(rèn)端口 無論Windows XP和Windows7還是Windows Server2003和Windows Server 2008，都提供了遠(yuǎn)程桌面服務(wù)。啟用遠(yuǎn)程桌面后，就可以允許遠(yuǎn)程計算機(jī)通過網(wǎng)絡(luò)連接到計算機(jī)，進(jìn)行遠(yuǎn)程管理。有些服務(wù)沒有提供更改端口的界面，比如遠(yuǎn)程桌面服務(wù)就沒有提供更改端口的界面，遠(yuǎn)程桌面服務(wù)可以通過更改注冊表更改端口。但是有些系統(tǒng)協(xié)議使用固定的端口號，它是不能被改變的，比如139 端口專門用于NetBIOS與TCP/IP之間的通信，不能手動改變。 2.4.5 啟用遠(yuǎn)程桌面且更改默認(rèn)端口

22、下面將會演示在Server上啟用遠(yuǎn)程桌面，在Client上使用mstsc連接Server。然后根據(jù)實驗手冊將遠(yuǎn)程桌面服務(wù)的偵聽的端口由默認(rèn)的3389更改為4000。 2.42.4應(yīng)用層協(xié)議和服務(wù)應(yīng)用層協(xié)議和服務(wù)2.4.6 配置DNS服務(wù)器 DNS 是域名系統(tǒng)（Domain Name System）的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計算機(jī)和網(wǎng)絡(luò)服務(wù)。在Internet上域名與IP地址之間是一對一（或者多對一）的，域名雖然便于人們記憶，但機(jī)器之間只能互相認(rèn)識IP地址，它們之間的轉(zhuǎn)換工作稱為域名解析，域名解析需要由專門的域名解析服務(wù)器來完成，DNS就是進(jìn)行域名解析的服務(wù)器。 DNS 命名用于

23、 Internet 等 TCP/IP 網(wǎng)絡(luò)中，通過用戶友好的名稱查找計算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入 DNS 名稱時，DNS 服務(wù)可以將此名稱解析為與之相關(guān)的其他信息，如 IP 地址。因為，你在上網(wǎng)時輸入的網(wǎng)址，是通過域名解析系統(tǒng)解析找到了相對應(yīng)的IP地址，這樣才能上網(wǎng)。其實，域名的最終指向是IP。 2.4.6 配置DNS服務(wù)器該節(jié)實驗手冊將會演示配置企業(yè)自己的DNS服務(wù)器負(fù)責(zé)解析內(nèi)網(wǎng)服務(wù)器的域名和Internet域名。DNS服務(wù)器默認(rèn)有根提示，指向了Internet的根DNS服務(wù)器，內(nèi)網(wǎng)的DNS服務(wù)器只要能夠連接Internet就能解析Internet網(wǎng)站的域名。 2.52.5配置服務(wù)器

24、網(wǎng)絡(luò)安全配置服務(wù)器網(wǎng)絡(luò)安全 以上介紹了應(yīng)用層協(xié)議和傳輸層協(xié)議的關(guān)系，應(yīng)用層協(xié)議和服務(wù)的關(guān)系?，F(xiàn)在進(jìn)一步介紹如何使用這些知識配置服務(wù)器安全?，F(xiàn)在介紹Windows防火墻防止主動入侵，配置服務(wù)器的TCP/IP篩選保護(hù)服務(wù)器的安全，使用IPSec嚴(yán)格控制進(jìn)出服務(wù)器的流量。 2.5.1端口掃描 黑客打算攻擊網(wǎng)絡(luò)上的服務(wù)器，首先使用端口掃描工具，掃描服務(wù)器偵聽的端口，這樣入侵者就能根據(jù)掃描到的端口，知道服務(wù)器運(yùn)行的服務(wù)，就可以嘗試使用專門的攻擊工具入侵服務(wù)器的某個服務(wù)。本節(jié)實驗手冊演示在Client使用端口掃描工具ScanPort掃描服務(wù)器Server端口。2.5.2使用telnet排除網(wǎng)絡(luò)故障 如果員

25、工告訴你，他的計算機(jī)不能訪問網(wǎng)站。你需要斷定是他的計算機(jī)系統(tǒng)出了問題還是IE瀏覽器中了惡意插件，或者是網(wǎng)絡(luò)層面的問題。通過Telnet 服務(wù)器的某個端口，就能斷定是否訪問該服務(wù)器的某個服務(wù)。如果你沒有端口掃描工具，使用Telnet測試遠(yuǎn)程服務(wù)器偵聽的端口，在命令提示符下輸入telnet IPAddress 80 如果telnet成功將會和服務(wù)器在該端口建立會話，再打開命令提示符，可以看到輸入netstat n可以看到建立的會話。 下圖是telnet端口失敗的例子失敗可能的原因有遠(yuǎn)程計算機(jī)防火墻沒有打開相應(yīng)的端口，或遠(yuǎn)程服務(wù)器沒有啟動該端口對應(yīng)的服務(wù)，或服務(wù)器和客戶機(jī)之間的路由器攔截了到服務(wù)器特

26、定端口的數(shù)據(jù)包。不管什么原因，telnet特定端口失敗，就意味著你不能訪問遠(yuǎn)程服務(wù)器上的那個服務(wù)。如果Telnet 80能夠成功，而你的IE瀏覽器打不開該網(wǎng)址，說明是你的IE瀏覽器或計算機(jī)出現(xiàn)問題即應(yīng)用層出現(xiàn)問題，不是網(wǎng)絡(luò)問題。 2.5.3Windows2.5.3Windows防火墻的保護(hù)客戶端安全防火墻的保護(hù)客戶端安全 WindowsXP、Vista和Windows 7都屬于工作站操作系統(tǒng)，即安裝在用戶工作或娛樂用的計算機(jī)操作系統(tǒng)。對于普通使用者來說，要想從網(wǎng)絡(luò)層面保護(hù)計算機(jī)安全，最好啟用Windows防火墻。Windows 防火墻只阻截所有傳入的未經(jīng)請求的流量，對主動請求傳出的流量不作理會

27、。 如果在網(wǎng)絡(luò)層不做任何防護(hù)，入侵者只要知道了你的計算機(jī)的管理員賬號和密碼，就能主動入侵你的系統(tǒng)。 2.5.3Windows2.5.3Windows防火墻的保護(hù)客戶端安全防火墻的保護(hù)客戶端安全 現(xiàn)在使用“DameWare 迷你遠(yuǎn)程控制”來驗證Windows防火墻的作用。實驗步驟如下： 關(guān)閉WindowsXP的防火墻 入侵者使用DameWare 迷你遠(yuǎn)程控制入侵Windows XP 啟用WindowsXP防火墻 入侵者入侵失敗.4使用使用TCP/IPTCP/IP篩選保護(hù)服務(wù)器安全篩選保護(hù)服務(wù)器安全 對于部署在Internet的服務(wù)器，安全是必須要考慮的事情。為了降低服務(wù)器受攻擊危

28、險，停掉不必要的服務(wù)或在本地連接的TCP/IP屬性只開必要的端口。 本節(jié)對應(yīng)實驗配置Server的TCP/IP篩選只允許TCP目標(biāo)端口為80和21的數(shù)據(jù)包進(jìn)入、只允許UDP目標(biāo)端口為53的數(shù)據(jù)包進(jìn)入。 .5使用使用IPSecIPSec保護(hù)服務(wù)器安全保護(hù)服務(wù)器安全 不管是在WindowsXP上啟用防火墻還是WindowsServer配置TCP/IP篩選，都不能嚴(yán)格控制出去的流量。因此如果你的服務(wù)器中了木馬程序，比如中了灰鴿子木馬程序，該程序會主動連接入侵者建立會話，入侵者就能監(jiān)控和控制你的服務(wù)器了。最大化配置服務(wù)器網(wǎng)絡(luò)安全，你可以嚴(yán)格控制進(jìn)出服務(wù)器的流量，比如你的服務(wù)器是Web服

29、務(wù)器，你可以配置只允許TCP的目標(biāo)端口80的數(shù)據(jù)包進(jìn)入服務(wù)器，TCP的源端口為80的數(shù)據(jù)包離開服務(wù)器。這樣即便你的服務(wù)器中了灰鴿子木馬程序，也不能主動連接入侵者。這可以通過配置服務(wù)器IPSec來實現(xiàn)。WindowsXP，Windows Server 2003和Windows Server 2008都支持IPSec。.5使用使用IPSecIPSec保護(hù)服務(wù)器安全保護(hù)服務(wù)器安全 本節(jié)的實驗就通過IPSec配置Web服務(wù)器安全，防止灰鴿子木馬程序。實驗內(nèi)容如下： 入侵者制作木馬程序 在Server上啟用Windows防火墻 安裝木馬程序,入侵者遠(yuǎn)程控制服務(wù)器。 配置IPSec，只允許

30、TCP的目標(biāo)端口為80數(shù)據(jù)包進(jìn)入服務(wù)器，只允許TCP的源端口為80的數(shù)據(jù)包離開服務(wù)器。驗證木馬程序不能連接入侵者。.5使用使用IPSecIPSec保護(hù)服務(wù)器安全保護(hù)服務(wù)器安全結(jié)論：Windows防火墻能夠禁止主動入侵，但是對木馬沒有防護(hù)作用。Windows的TCP/IP篩選和Windows防火墻類似，能夠禁止主動入侵，但是對木馬沒有防護(hù)作用。要想使用嚴(yán)格控制出入服務(wù)器的流量，就可以使用IPSec實現(xiàn)。 2.62.6網(wǎng)絡(luò)層協(xié)議網(wǎng)絡(luò)層協(xié)議 在TCP/IP協(xié)議棧中網(wǎng)絡(luò)層有四個協(xié)議IP、IGMP、ICMP和ARP協(xié)議。在下面的小節(jié)中，我們將描述在因特網(wǎng)層上的協(xié)議： 因特網(wǎng)協(xié)議（IP）

31、因特網(wǎng)控制報文協(xié)議（ICMP） 地址解析協(xié)議（ARP） 逆向地址解析協(xié)議（RARP） 代理ARP2.62.6網(wǎng)絡(luò)層協(xié)議網(wǎng)絡(luò)層協(xié)議2.6.1IP協(xié)議IP是英文Internet Protocol（網(wǎng)絡(luò)之間互連的協(xié)議）的縮寫，也就是為計算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計的協(xié)議。在因特網(wǎng)中，它是能使連接到網(wǎng)上的所有計算機(jī)網(wǎng)絡(luò)實現(xiàn)相互通信的一套規(guī)則，規(guī)定了計算機(jī)在因特網(wǎng)上進(jìn)行通信時應(yīng)當(dāng)遵守的規(guī)則。任何廠家生產(chǎn)的計算機(jī)系統(tǒng)，只要遵守 IP協(xié)議就可以與因特網(wǎng)互連互通。 2.6.1 IP2.6.1 IP協(xié)議協(xié)議因特網(wǎng)協(xié)議（IP）其實質(zhì)就是因特網(wǎng)層,其他的協(xié)議僅僅是建立在其基礎(chǔ)之上用于支持IP協(xié)議的。相互通信的計算

32、機(jī)和網(wǎng)絡(luò)設(shè)備必須統(tǒng)一規(guī)劃網(wǎng)絡(luò)層地址，即IP地址。IP關(guān)注每個數(shù)據(jù)包的地址，網(wǎng)絡(luò)層設(shè)備通過使用路由表，IP可以決定一個數(shù)據(jù)包將發(fā)送給哪一個被選擇好的后續(xù)最佳路徑，那些動態(tài)路由協(xié)議（RIP、EIGRP和OSPF協(xié)議都是IP協(xié)議）。處于DoD模型底部的網(wǎng)絡(luò)接口層協(xié)議不會關(guān)心IP在整個網(wǎng)絡(luò)上的工作，它們只處理（本地網(wǎng)絡(luò)的）物理鏈接。 下面介紹一下計算機(jī)下面介紹一下計算機(jī)A A和計算機(jī)和計算機(jī)B B通信過程。通信過程。 計算機(jī)計算機(jī)A A和計算機(jī)和計算機(jī)B B通信過程通信過程A計算機(jī)首先判斷B計算機(jī)的IP地址和自己的IP地址是否在一個網(wǎng)段，即網(wǎng)絡(luò)部分是否相同，發(fā)現(xiàn)不在一個網(wǎng)段，數(shù)據(jù)包應(yīng)該發(fā)送給有Rout

33、er1，再有Router1轉(zhuǎn)發(fā)。計算機(jī)A配置了網(wǎng)關(guān)，A計算機(jī)發(fā)出去的數(shù)據(jù)幀源IP地址為，目標(biāo)IP地址為，源MAC地址為M1，目標(biāo)MAC地址為M2。這樣交換機(jī)SW1將會這個根據(jù)MAC地址表將數(shù)據(jù)幀轉(zhuǎn)發(fā)到路由器Router1的接口。路由器Router1查看數(shù)據(jù)包的目標(biāo)IP地址，根據(jù)路由表，決定數(shù)據(jù)包下一跳應(yīng)該發(fā)往何處。本示例Router1將數(shù)據(jù)包轉(zhuǎn)發(fā)到Router2。Router1將數(shù)據(jù)幀的目標(biāo)MAC地址更改為M4，源MAC地址更改為M3，這樣Router2就能接受該數(shù)據(jù)幀。同樣路由器Router2接收到數(shù)據(jù)幀后，查看數(shù)據(jù)包的目標(biāo)IP地址，根據(jù)路由表

34、轉(zhuǎn)發(fā)，數(shù)據(jù)幀的源MAC地址更改為M5，目標(biāo)MAC地址更改為M6。這樣數(shù)據(jù)幀就能夠被交換機(jī)SW2轉(zhuǎn)發(fā)到計算機(jī)B。 數(shù)據(jù)包傳輸過程數(shù)據(jù)包傳輸過程 2.6.2 IP2.6.2 IP數(shù)據(jù)報的格式數(shù)據(jù)報的格式 一個IP數(shù)據(jù)報由首部和數(shù)據(jù)兩部分組成,首部的前一部分是固定長度，共20字節(jié)，是所有IP數(shù)據(jù)報必須具有的。在首部的固定部分的后面是一些可選字段，其長度是可變的。 2.6.2 IP2.6.2 IP數(shù)據(jù)報的格式數(shù)據(jù)報的格式構(gòu)成IP報頭的字段如下。版本 IP版本號。報頭長度 32位字的報頭長度（HLEN）。優(yōu)先級和服務(wù)類型 服務(wù)類型描述數(shù)據(jù)報將如何被處理。前3位表示優(yōu)先級位?？傞L度 包括報頭和數(shù)據(jù)的數(shù)據(jù)包

35、長度。標(biāo)識 唯一的IP數(shù)據(jù)包值。標(biāo)志 說明是否有數(shù)據(jù)被分段。分段偏移 如果數(shù)據(jù)包在裝入幀時太大，則需要進(jìn)行分段和重組。分段功能允許在因特網(wǎng)上存在有大小不同的最大傳輸單元（MUT）。存活期（TTL） 存活期是在數(shù)據(jù)包產(chǎn)生時建立在其內(nèi)部的一個設(shè)置。如果這個數(shù)據(jù)包在這個TTL到期時仍沒有到達(dá)它要去的目的地，那么它將被丟棄。這個設(shè)置將防止IP包在尋找目的地的時候在網(wǎng)絡(luò)中不斷循環(huán)。協(xié)議 上層協(xié)議的端口（TCP是端口6，UDP是端口17（十六進(jìn)制）。同樣也支持網(wǎng)絡(luò)層協(xié)議，如ARP和ICMP。在某些分析器中被稱為類型字段。報頭校驗和 只針對報頭的循環(huán)冗余校驗（CRC）。源IP地址 發(fā)送站的32位IP地址。目

36、的IP地址 數(shù)據(jù)包目的方站點的32位IP地址。選項 用于網(wǎng)絡(luò)檢測、調(diào)試、安全以及更多的內(nèi)容。數(shù)據(jù) 在IP選項字段后面的就是上層數(shù)據(jù)類型字段是很重要的，它實際上是一個協(xié)議字段，在這里，分析儀將它視為IP類型字段。如果在數(shù)據(jù)包的報頭中沒有為下一層載有這個協(xié)議信息，IP將不知道在本數(shù)據(jù)包中被裝載的數(shù)據(jù)是用來做什么的。 在這個示例中，協(xié)議字段的內(nèi)容告訴IP將此數(shù)據(jù)發(fā)送給TCP的端冂6或UDP的端口17（兩個都是十六進(jìn)制地址）。然而，如果數(shù)據(jù)是一個前往上層服務(wù)或應(yīng)用程序的數(shù)據(jù)流中的一部分，則這個數(shù)據(jù)就只是一個UDP或TCP段。這個數(shù)據(jù)也可以簡單地被指定為因特網(wǎng)控制報文協(xié)議（ICMP）、地址解析協(xié)議（AR

37、P），或一些其他類型的網(wǎng)絡(luò)層協(xié)議。 2.6.3 ICMP2.6.3 ICMP協(xié)議協(xié)議 ICMP是（Internet Control Message Protocol）Internet控制報文協(xié)議。它是TCP/IP協(xié)議族的一個子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。當(dāng)遇到IP數(shù)據(jù)無法訪問目標(biāo)、IP路由器無法按當(dāng)前的傳輸速率轉(zhuǎn)發(fā)數(shù)據(jù)包等情況時，會自動返回相應(yīng)的ICMP消息。在計算機(jī)上檢測網(wǎng)絡(luò)層故障經(jīng)常用到的ping和pathping命令就是使用ICMP協(xié)議。下面介紹ping和pathping的使用。 2.6.4 ping2

38、.6.4 ping命令診斷網(wǎng)絡(luò)故障命令診斷網(wǎng)絡(luò)故障 PING（Packet Internet Grope），因特網(wǎng)包探索器，用于測試網(wǎng)絡(luò)連接量的程序。Ping發(fā)送一個ICMP回聲請求消息給目的地并報告是否收到所希望的ICMP回聲應(yīng)答。 ping指的是端對端連通，通常用來作為可用性的檢查， 但是某些病毒木馬會強(qiáng)行大量遠(yuǎn)程執(zhí)行ping命令搶占你的網(wǎng)絡(luò)資源，導(dǎo)致系統(tǒng)變慢，網(wǎng)速變慢。 嚴(yán)禁ping入侵作為大多數(shù)防火墻的一個基本功能提供給用戶進(jìn)行選擇。如果你打開IE瀏覽器訪問網(wǎng)站失敗，你可以通過ping命令測試到Internet的網(wǎng)絡(luò)連通，可以為你排除網(wǎng)絡(luò)故障提供線索，下面展示ping命令返回的信息以及

39、分析其原因。 目標(biāo)主機(jī)不可到達(dá)目標(biāo)主機(jī)不可到達(dá) 目標(biāo)網(wǎng)絡(luò)不可到達(dá)目標(biāo)網(wǎng)絡(luò)不可到達(dá) 請求超時請求超時 通過延遲評估網(wǎng)絡(luò)帶寬通過延遲評估網(wǎng)絡(luò)帶寬 2.6.5 Pathping2.6.5 Pathping跟蹤數(shù)據(jù)包的路徑跟蹤數(shù)據(jù)包的路徑 使用ping能夠判斷網(wǎng)絡(luò)通還是不通，比如請求超時，你就不能判斷什么位置出現(xiàn)的網(wǎng)絡(luò)故障造成的請求超時。使用pathping命令能跟蹤數(shù)據(jù)包的路徑，能夠查出故障點，并且能夠計算路由器轉(zhuǎn)發(fā)丟包率和鏈路丟包率以及延遲，據(jù)此能夠判斷出網(wǎng)絡(luò)擁塞情況。 在命令行下輸入pathping 可以看到數(shù)據(jù)包到達(dá)目的地途經(jīng)的路由器和計算的延遲和丟包率。丟包率有路由器轉(zhuǎn)發(fā)丟包率，如圖D處所示

40、丟包率是路由器收到數(shù)據(jù)包后路徑選擇轉(zhuǎn)發(fā)時的丟包率，轉(zhuǎn)發(fā)丟包率高則表明這些路由器已經(jīng)超載，表明路由器的處理能力不夠。還有鏈路丟包率，如圖E處所示，是指的路由器B到路由器C鏈路上的丟包率，鏈路上的丟包率反應(yīng)的是造成路徑上轉(zhuǎn)發(fā)數(shù)據(jù)包丟失的鏈路擁擠狀態(tài)。 .6使用使用pathpingpathping判斷網(wǎng)絡(luò)故障點判斷網(wǎng)絡(luò)故障點 藁城水科院和正定水科院都與石家莊水科院連接，如圖2-197所示，在藁城水科院部署了一臺流媒體服務(wù)器，一天，正定水科院的人反映訪問藁城的流媒體服務(wù)器點播視頻非常不連貫。如果你是藁城水科院的網(wǎng)絡(luò)管理員，如何斷定是網(wǎng)絡(luò)出現(xiàn)了網(wǎng)絡(luò)擁塞還是流媒體服務(wù)器過載? 2.6.62

41、.6.6使用使用pathpingpathping判斷網(wǎng)絡(luò)故障點判斷網(wǎng)絡(luò)故障點出現(xiàn)問題的網(wǎng)絡(luò)無外乎是藁城水科院局域網(wǎng)、連接石家莊的A廣域網(wǎng)、連接石家莊和正定的B廣域網(wǎng)，以及正定水科院局域網(wǎng)。斷定網(wǎng)絡(luò)是否擁塞的辦法就是，在正定水科院的計算機(jī)C上ping 藁城水科院的流媒體服務(wù)器的IP地址，如果響應(yīng)時間很短，則網(wǎng)絡(luò)沒問題，有可能是否流媒體服務(wù)器的性能差造成響應(yīng)客戶端請求慢，從而造成的視頻播放不連貫。如果有請求超時數(shù)據(jù)包或響應(yīng)延遲超長，比如大于500ms，則有可能是網(wǎng)絡(luò)擁塞造成的問題。然后使用pathping服務(wù)器的IP地址，根據(jù)pathping的結(jié)果查看那段網(wǎng)絡(luò)丟包嚴(yán)重。就能斷定那段網(wǎng)絡(luò)擁塞。 2.6.7 IGMP2.6.7