電子商務(wù)安全技術(shù)：第六章 TCPIP服務(wù)與安全

第六章TCP/IP服務(wù)與安全6.1TCP/IP協(xié)議及服務(wù)6.2WWW的安全性TCP/IP協(xié)議及服務(wù)TCP/IP協(xié)議TCP/IP協(xié)議的定義TCP/IP協(xié)議的層次結(jié)構(gòu)TCP/IP協(xié)議的內(nèi)容常用TCP/IP服務(wù)及安全性Telnet遠(yuǎn)程登錄FTP文件傳輸HTTP網(wǎng)頁(yè)瀏覽DNS域名服務(wù)什么是TCP/IP協(xié)議TCP/IP協(xié)議的定義：TCP/IP是TransmissionControlProtocol/InternetProtocol的縮寫，中文譯名為傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議，TCP/IP協(xié)議是Internet最基本的協(xié)議。TCP/IP協(xié)議是Internet通信協(xié)議集的總稱，含有上百個(gè)協(xié)議，而TCP和IP本身只是該協(xié)議集最基本的兩個(gè)協(xié)議。TCP/IP協(xié)議的層次結(jié)構(gòu)TCP/IP通常被認(rèn)為是一個(gè)四層協(xié)議系統(tǒng)：應(yīng)用層、運(yùn)輸層、網(wǎng)絡(luò)層和鏈路層。

TCP/IP協(xié)議的層次結(jié)構(gòu)鏈路層——也稱作數(shù)據(jù)鏈路層或網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡；

應(yīng)用層——負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。網(wǎng)絡(luò)層——有時(shí)也稱作互連網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)；運(yùn)輸層——主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信；TCP/IP的工作方式定義——有時(shí)也稱作數(shù)據(jù)鏈路層或網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡。鏈路層作用——為IP模塊發(fā)送和接收IP數(shù)據(jù)報(bào)；為ARP模塊發(fā)送ARP請(qǐng)求和接收ARP應(yīng)答；為RARP模塊發(fā)送RARP請(qǐng)求和接收RARP應(yīng)答。以太網(wǎng)（Ethernet）數(shù)字設(shè)備公司（DigitalEquipmentCorp.）、英特爾公司（IntelCorp.）和Xerox公司在1982年聯(lián)合公布的一個(gè)標(biāo)準(zhǔn)。以太網(wǎng)是當(dāng)今TCP/IP采用的主要的局域網(wǎng)技術(shù)。以太網(wǎng)鏈路層協(xié)議ARP協(xié)議和RARP協(xié)議ARP——AddressResolutionProtocol，地址解析協(xié)議，為IP地址到對(duì)應(yīng)的硬件地址之間提供動(dòng)態(tài)映射。RARP——Reverse

AddressResolutionProtocol，逆地址解析協(xié)議。ARP協(xié)議和RARP協(xié)議IP地址：32

bit，如1物理地址（MAC）：48bit，如00-02-b3-4f-fd-11ARP協(xié)議應(yīng)用

獲取本機(jī)網(wǎng)卡地址：ipconfig/all定義——有時(shí)也稱作互連網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的路由選擇。包括IP協(xié)議（網(wǎng)際協(xié)議），ICMP協(xié)議（Internet互連網(wǎng)控制報(bào)文協(xié)議），以及IGMP協(xié)議（Internet組管理協(xié)議）。網(wǎng)絡(luò)層作用——將數(shù)據(jù)封裝成IP協(xié)議所需的數(shù)據(jù)包選擇合適的發(fā)送路徑，將數(shù)據(jù)發(fā)送到接收方IP地址從IP協(xié)議看IP地址是由四個(gè)8位二進(jìn)制數(shù)字域組成的,總長(zhǎng)度為4個(gè)字節(jié)的32位二進(jìn)制數(shù)(理論上可組成232≈40多億個(gè)不同的IP地址，實(shí)際上少得多)從用戶使用看IP地址是由四個(gè)用小數(shù)點(diǎn)隔開的十進(jìn)制數(shù)字域組成，其中每個(gè)域的十進(jìn)制取值在0~255之間

“點(diǎn)分法”

IP地址——用于標(biāo)記計(jì)算機(jī)

如2,IP地址的分類IP地址可以分為5類：A、B、C、D、EIP地址類型——A類地址A類地址0A類地址用于大型網(wǎng)絡(luò)，例如Microsoft公司的網(wǎng)絡(luò)。微軟網(wǎng)站的IP地址：43A類地址的最高位為0，接下來的7位完成網(wǎng)絡(luò)ID，剩余的24位代表主機(jī)ID。A類地址允許126個(gè)網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)大約一千七百萬臺(tái)主機(jī)（224-2=16777214），第一個(gè)數(shù)字是1~126。十進(jìn)制可寫成001.x.y.z～126.x.y.z。127是一個(gè)特殊的網(wǎng)絡(luò)ID，又稱本機(jī)網(wǎng)絡(luò)。

IP地址類型——B類地址B類地址B類地址用于中型到大型的網(wǎng)絡(luò)，例如Cernet網(wǎng)的各地區(qū)網(wǎng)管中心。B類地址的最高位為10，接下來的14位完成網(wǎng)絡(luò)ID，剩余的16位二進(jìn)制位代表主機(jī)ID。B類地址允許16384（214）個(gè)網(wǎng)絡(luò)，每個(gè)網(wǎng)絡(luò)有65534（216-2）臺(tái)主機(jī);第一個(gè)數(shù)字是128~191。十進(jìn)制可寫成128.x.y.z～191.x.y.z。CNNIC網(wǎng)站的IP地址：910IP地址類型——C類地址C類地址C類地址用于小型本地網(wǎng)絡(luò)，例如校園網(wǎng)。C類地址的最高位為110，接下來的21位完成網(wǎng)絡(luò)ID，剩余的8位二進(jìn)制位代表主機(jī)ID。C類地址允許大約二百萬個(gè)網(wǎng)絡(luò)（221），每個(gè)網(wǎng)絡(luò)有254（28-2）臺(tái)主機(jī)；第一個(gè)數(shù)字是192~223。十進(jìn)制可寫成192.x.y.z～223.x.y.z。

110IP地址類型——D類地址D類地址D類地址用于多播。一個(gè)多播地址可能包括1臺(tái)或更多主機(jī)，或根本沒有。D類地址的最高位為1110;第一個(gè)數(shù)字是224~239。剩余的位設(shè)計(jì)客戶機(jī)參加的特定組。在多播操作中沒有網(wǎng)絡(luò)或主機(jī)位，數(shù)據(jù)包將傳送到網(wǎng)絡(luò)中選定的主機(jī)子集中。1110IP地址類型——E類地址E類地址E類地址留待后用。E類地址的最高位為11110;第一個(gè)數(shù)字是240-247。11110IP地址類型匯總ICMP協(xié)議

ICMP（InternetControlMessageProtocol）：

互連網(wǎng)控制報(bào)文協(xié)議，它是IP層的一個(gè)協(xié)議，傳遞差錯(cuò)報(bào)文以及其他需要注意的信息（主機(jī)不可達(dá)、端口不可達(dá)等）。

PING——ICMP協(xié)議主要應(yīng)用

Ping命令的格式：ping目的地址［參數(shù)1］［參數(shù)2］……其中目的地址是指被測(cè)試計(jì)算機(jī)的IP地址或域名。PING命令介紹Ping命令主要參數(shù)有：A：解析主機(jī)地址。N：數(shù)據(jù)，發(fā)出的測(cè)試包的個(gè)數(shù)，缺省值為4。L：數(shù)值，所發(fā)送緩沖區(qū)的大小。T：繼續(xù)執(zhí)行Ping命令，直到用戶按Ctrl+C終止。有關(guān)Ping的其他參數(shù)，可通過在MS-DOS提示符下運(yùn)行Ping或Ping/？命令來查看。利用PING命令獲取主機(jī)信息Ping命令返回的TTLTTL（TimeToLive）——生存時(shí)間，指數(shù)據(jù)包被路由器丟棄之前允許通過的網(wǎng)段數(shù)量。設(shè)置TTL的目的：以防止數(shù)據(jù)包不斷在互聯(lián)網(wǎng)上永不終止地循環(huán)。在轉(zhuǎn)發(fā)IP數(shù)據(jù)包時(shí)，一般要求路由器將TTL至少減1。常見操作系統(tǒng)設(shè)置的TTL值：WindowsNT/2000——128UNIX系列——255利用PING命令獲取主機(jī)信息例如：Ping得到返回結(jié)果：Replyfrom00:bytes=32time=350msTTL=240說明新浪的主機(jī)有可能是一臺(tái)UNIX的操作系統(tǒng)，連接到新浪的主機(jī)可能經(jīng)過了255-240=15個(gè)路由器。Tracert命令：

Tracert（跟蹤路由）是路由跟蹤實(shí)用程序，用于確定IP數(shù)據(jù)報(bào)訪問目標(biāo)所采取的路徑。Tracert命令用IP生存時(shí)間(TTL)字段和ICMP錯(cuò)誤消息來確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。Tracert命令支持多種選項(xiàng)，如下所示。

tracert[-d][-hmaximum_hops][-jhost-list][-wtimeout]target_name-d：指定不將IP地址解析到主機(jī)名稱。

-hmaximum_hops

：定躍點(diǎn)數(shù)以跟蹤到稱為target_name的主機(jī)的路由。

-jhost-list：指定Tracert實(shí)用程序數(shù)據(jù)包所采用路徑中的路由器接口列表。

-wtimeout：等待timeout為每次回復(fù)所指定的毫秒數(shù)。

target_name：目標(biāo)主機(jī)的名稱或IP地址。定義——也稱作傳輸層，主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議組件中，有兩個(gè)互不相同的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和UDP（用戶數(shù)據(jù)報(bào)協(xié)議）。運(yùn)輸層作用——為應(yīng)用程序提供不同質(zhì)量的服務(wù)：TCP:可靠，用于傳輸大量數(shù)據(jù)，如ftp等；UDP:不可靠，用于即時(shí)傳輸少量數(shù)據(jù)，如QQ等。TCP（TransmissionControlProtocol）特點(diǎn)：可靠，面向連接TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時(shí)時(shí)鐘等。由于運(yùn)輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。

TCP協(xié)議端口——端口是一個(gè)軟件結(jié)構(gòu)，被客戶程序或服務(wù)進(jìn)程用來發(fā)送和接收信息。一個(gè)端口對(duì)應(yīng)一個(gè)16比特的數(shù)。服務(wù)進(jìn)程通常使用一個(gè)固定的端口。TCP協(xié)議——端口端口的分類保留端口：0——1023動(dòng)態(tài)端口：1024——49151私有端口：49152——65535TCP協(xié)議——端口服務(wù)端口FTP21TELNET23SMTP25HTTP80POP3110MSN客戶端1863QQ客戶端4000常用端口表：TCP協(xié)議——端口WIN2000中的端口描述文件：系統(tǒng)目錄下的/drivers/etc/services文件netstat命令：netstat命令的功能是顯示網(wǎng)絡(luò)連接、網(wǎng)絡(luò)端口信息，可以讓用戶得知目前都有哪些網(wǎng)絡(luò)連接正在進(jìn)行。該命令的一般格式為：

netstat[選項(xiàng)]

例如：

-a顯示所有連接，包括正在監(jiān)聽的。

-n以網(wǎng)絡(luò)IP地址代替名稱，顯示出網(wǎng)絡(luò)連接情形。

UDP（UserDatagramProtocol）用戶數(shù)據(jù)報(bào)協(xié)議為應(yīng)用層提供一種非常簡(jiǎn)單的服務(wù)。它只是把稱作數(shù)據(jù)報(bào)的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。任何必需的可靠性必須由應(yīng)用層來提供。UDP協(xié)議類比TCP:電話服務(wù)UDP:郵政服務(wù)定義——應(yīng)用層負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。應(yīng)用層作用——應(yīng)用程序進(jìn)入網(wǎng)絡(luò)的通道。在應(yīng)用層有許多TCP/IP工具和服務(wù)，如：Telnet、FTP、HTTP、SMTP、POP3等等。Telnet遠(yuǎn)程登錄FTP文件傳輸HTTP網(wǎng)頁(yè)瀏覽DNS域名服務(wù)常用TCP/IP服務(wù)及安全性Telnet遠(yuǎn)程登錄帳號(hào)和口令Telnet協(xié)議服務(wù)器INTERNETTelnet是標(biāo)準(zhǔn)的提供遠(yuǎn)程登錄功能的應(yīng)用，幾乎每個(gè)TCP/IP的實(shí)現(xiàn)都提供這個(gè)功能。它能夠運(yùn)行在不同操作系統(tǒng)的主機(jī)之間。

Telnet遠(yuǎn)程登錄Telnet是一種最老的Internet應(yīng)用，起源于1969年的ARPANET。它的名字是“電信網(wǎng)絡(luò)協(xié)議（telecommunicationnetworkprotocol）”的縮寫詞。Telnet遠(yuǎn)程登錄Telnet遠(yuǎn)程登錄采用客戶-服務(wù)器模式。圖中顯示的是一個(gè)Telnet客戶和服務(wù)器的典型連接圖。Telnet遠(yuǎn)程登錄Telnet遠(yuǎn)程登錄的一般步驟：1）本地與遠(yuǎn)程主機(jī)建立連接。該過程實(shí)際上是建立一個(gè)TCP連接，用戶必須知道遠(yuǎn)程主機(jī)的Ip地址或域名；

2）將本地終端上輸入的用戶名和口令及以后輸入的任何命令或字符以NVT（NetVirtualTerminal）格式傳送到遠(yuǎn)程主機(jī)。該過程實(shí)際上是從本地主機(jī)向遠(yuǎn)程主機(jī)發(fā)送一個(gè)IP數(shù)據(jù)報(bào)；

3）將遠(yuǎn)程主機(jī)輸出的NVT格式的數(shù)據(jù)轉(zhuǎn)化為本地所接受的格式送回本地終端，包括輸入命令回顯和命令執(zhí)行結(jié)果；

4）最后，本地終端對(duì)遠(yuǎn)程主機(jī)進(jìn)行撤消連接。該過程是撤銷一個(gè)TCP連接。

Telnet遠(yuǎn)程登錄Telnet應(yīng)用電子公告牌BBS（BulletinBoardSystem）——最常用的Telnet應(yīng)用，它利用Telnet協(xié)議，提供信息分類討論，收發(fā)郵件，聊天交流等功能。

Telnet工具telnet客戶端：telnet命令telnet://NetTerm、CTerm等工具Telnet遠(yuǎn)程登錄Telnet的安全性沒有口令保護(hù)，遠(yuǎn)程用戶的登錄傳送的帳號(hào)和密碼都是明文，這是Telnet致命的弱點(diǎn)；認(rèn)證過程簡(jiǎn)單，只是驗(yàn)證連接者的帳戶和密碼；傳送的數(shù)據(jù)沒有加密。這就意味著在網(wǎng)絡(luò)上Telnet是不安全的，使用網(wǎng)絡(luò)嗅探器可以截取Telnet傳送的數(shù)據(jù)。要使用FTP，就需要有登錄服務(wù)器的注冊(cè)賬號(hào)，或者通過允許匿名FTP的服務(wù)器來使用。FTP文件傳輸FTP（FileTransferProtocol）是另一個(gè)常見的應(yīng)用程序，它是用于文件傳輸?shù)腎nternet標(biāo)準(zhǔn)。由FTP提供的文件傳送是將一個(gè)完整的文件從一個(gè)系統(tǒng)復(fù)制到另一個(gè)系統(tǒng)中。FTP文件傳輸FTP與Telnet應(yīng)用不同，它采用兩個(gè)TCP連接來傳輸一個(gè)文件。1)控制連接:控制連接以通常的客戶服務(wù)器方式建立。服務(wù)器以被動(dòng)方式打開眾所周知的用于FTP的端口（21），等待客戶的連接?？蛻魟t以主動(dòng)方式打開TCP端口21，來建立連接。2)數(shù)據(jù)連接:每當(dāng)一個(gè)文件在客戶與服務(wù)器之間傳輸時(shí)，就創(chuàng)建一個(gè)數(shù)據(jù)連接。FTP文件傳輸FTP文件傳輸對(duì)比Telnet傳輸僅傳輸NVTASCII碼數(shù)據(jù)FTP傳輸?shù)奈募愋虯SCII碼文件類型（默認(rèn)選擇）文本文件

二進(jìn)制文件類型圖象文件等FTP文件傳輸

FTP工具

服務(wù)端：

Win2000IIS（InternetInformationServer）Serv-U可在Win98下安裝

客戶端：

ftp命令

IECuteFTP、LeapFTP等FTP文件傳輸FTP的安全性未加密，易被竊聽；匿名帳號(hào)的設(shè)置；權(quán)限控制；路徑設(shè)置。FTP文件傳輸FTP服務(wù)器的安全性未經(jīng)授權(quán)的用戶禁止在服務(wù)器上進(jìn)行FTP操作。FTP用戶不能讀取未經(jīng)系統(tǒng)所有者允許的文件或目錄。未經(jīng)允許，F(xiàn)TP用戶不能在服務(wù)器上建立文件或目錄。FTP用戶不能刪除服務(wù)器上的文件或目錄。

HTTP網(wǎng)頁(yè)瀏覽超文本傳輸協(xié)議HTTP（HyperTextTransferProtocol）是用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議。HTTP協(xié)議是萬維網(wǎng)WWW(WorldWideWeb，也簡(jiǎn)稱為Web)的核心。URL(UniformResourceLocator，統(tǒng)一資源定位符)

HTTP網(wǎng)頁(yè)瀏覽Web客戶-服務(wù)器結(jié)構(gòu)

HTTP網(wǎng)頁(yè)瀏覽HTTP協(xié)議HTTP是一個(gè)簡(jiǎn)單的協(xié)議?？蛻暨M(jìn)程建立一條同服務(wù)器進(jìn)程的TCP連接，然后發(fā)出請(qǐng)求并讀取服務(wù)器進(jìn)程的響應(yīng)。服務(wù)器進(jìn)程關(guān)閉連接表示本次響應(yīng)結(jié)束。

客戶進(jìn)程(瀏覽器)提供圖形界面。HTTP服務(wù)器進(jìn)程只是簡(jiǎn)單返回客戶進(jìn)程所請(qǐng)求的文檔，這些文檔包括文本、圖片、語音文件、視頻文件以及其他格式的文件。HTTP網(wǎng)頁(yè)瀏覽

WWW工具

服務(wù)端：

Win2000IIS（InternetInformationServer）Win98PWS(PersonalWebServer)Apache

客戶端：

InternetExplorer

NetscapeHTTP網(wǎng)頁(yè)瀏覽WEB的安全性Web服務(wù)器：選擇安全的WEB服務(wù)器；及時(shí)安裝補(bǔ)丁程序；關(guān)閉不必要的服務(wù)。Web瀏覽器：及時(shí)安裝補(bǔ)丁程序；選擇合適的安全級(jí)別；信息加密，防止被截獲。DNS（DOMAINNAMESERVICE）域名服務(wù)：由于一般用戶很難記住數(shù)字形式的IP地址，而名字則比號(hào)碼更容易記憶，為此Internet從1985年起在原有IP地址系統(tǒng)的基礎(chǔ)上，開始向用戶提供了DNS域名系統(tǒng)。DNS域名服務(wù)對(duì)比：

域名結(jié)構(gòu)及組成“主機(jī)名+域名”的多級(jí)結(jié)構(gòu)，一般不超過五級(jí)域名系統(tǒng)DNS域名服務(wù)器◆在互聯(lián)網(wǎng)上，用于完成域名及對(duì)應(yīng)的IP地址轉(zhuǎn)換的服務(wù)器◆每一個(gè)域名服務(wù)器保存有在它上面注冊(cè)的域名與對(duì)應(yīng)的IP地址，并組成“域名數(shù)據(jù)庫(kù)”；將因特網(wǎng)上所有的域名服務(wù)器編聯(lián)到一起，就組成了域名管理系統(tǒng)?！粲蛎?wù)器的IP地址是一項(xiàng)重要參數(shù)，通常就近選擇DNS-國(guó)家名碼兩個(gè)字母組成國(guó)家名碼國(guó)家名au澳大利亞(Australia)ca加拿大(Canada)cn中國(guó)(China)de德國(guó)(Germany)