網(wǎng)絡協(xié)議與安全第2章

網(wǎng)絡協(xié)議與安全第2章網(wǎng)絡協(xié)議與安全OSI模型OSI模型，即開放式通信系統(tǒng)互聯(lián)參考模型(OpenSystemInterconnectionReferenceModel)，是國際標準化組織(ISO)提出的一個試圖使各種計算機在世界范圍內(nèi)互連為網(wǎng)絡的標準框架，簡稱OSIApplicationPresentationSessionTransportNetworkDataLinkPhysicalOSI參考模型中的數(shù)據(jù)封裝過程TCP/IP和OSI的對應關系TCP/IP協(xié)議體系結構TCP/IP的工作過程動畫FTP、TELNET、SMTP、HTTPTCP、UDPIP、ARP、RARP、ICMP各種設備驅動程序和網(wǎng)絡接口應用層傳輸層網(wǎng)絡層鏈路層網(wǎng)絡協(xié)議安全問題（TCP/IP數(shù)據(jù)封裝動畫演示）ARP協(xié)議功能：負責將某個IP地址解析成對應的MAC地址視頻地址解析過程：ARP緩存：靜態(tài)項和動態(tài)項相關命令：RARP協(xié)議漏洞：無連接；無認證常見攻擊：ARP欺騙；拒絕服務攻擊解決辦法:IP協(xié)議提供無連接的數(shù)據(jù)報datagram傳送服務數(shù)據(jù)報路由選擇和差錯控制Datagram和fragementIP協(xié)議支持的最長datagram為65535byteIP協(xié)議將Datagram封裝為符合物理網(wǎng)絡要求的幀格式的分片fragementIP報文格式IP協(xié)議的安全問題針對IP協(xié)議漏洞的攻擊IP欺騙分片重組漏洞：Teardrop攻擊、FragmentOverlap攻擊、bonkRIP路由選擇攻擊（RIPRoutingAttacks）源路由選擇欺騙（sourceroutingspoofing）定向廣播數(shù)據(jù)保密性依靠上層協(xié)議IPSec：實現(xiàn)加密的安全通信路由體系中的應用可以保證路由廣播、重定向報文等來自授權路由TCP協(xié)議提供面向連接的可靠傳輸?shù)姆眨惶峁┲嘏臝P數(shù)據(jù)包順序，超時確認等功能；建立TCP連接：三次握手。TCP下的握手過程以及TCP下的IP欺騙端口號和套接字端口號套接字端口分類和常見端口FTP:2120SSH:22Telnet:23SMTP:25POP3:110HTTP:80HTTPS:443DNS:53NETBIOSnameservice:137,138,139SNMP:161SOCKS:1080網(wǎng)絡狀態(tài)的查看：netstatC:\DocumentsandSettings\Administrator>netstat-aActiveConnectionsProtoLocalAddressForeignAddressStateTCPWStation:epmapWStation:0LISTENINGTCPWStation:microsoft-dsWStation:0LISTENINGTCPWStation:netbios-ssnWStation:0LISTENINGTCPWStation:105550:CLOSE_WAITTCPWStation:108283:ESTABLISHEDTCPWStation:10847:ESTABLISHEDTCPWStation:10857:ESTABLISHEDTCPWStation:109947:sTIME_WAITTCPWStation:110047:sESTABLISHEDTCPWStation:netbios-ssnWStation:0LISTENINGUDPWStation:microsoft-ds*:*UDPWStation:ntp*:*UDPWStation:netbios-ns*:*UDPWStation:netbios-dgm*:*連接狀態(tài)StateLISTEN 偵聽來自遠程TCP端口的連接請求，這是服務器 端才有的狀態(tài)；SYN_SENT 在發(fā)送連接請求后等待匹配的連接請求；SYN_RECEIVED 在收到和發(fā)送一個連接請求后等待對連接請求的 確認；ESTABLISHED 代表一個打開的連接，數(shù)據(jù)可以傳送給用戶，表 示兩機正在通訊；FIN_WAIT_1 等待遠程TCP的連接中斷請求，或先前的連接中 斷請求的確認；FIN_WAIT_2 從遠程TCP等待連接中斷請求；CLOSE_WAIT 等待從本地用戶發(fā)來的連接中斷請求；CLOSING 等待遠程TCP對連接中斷的確認；LAST_ACK 等待原來發(fā)向遠程TCP的連接中斷請求的確認；TIME_WAIT 等待足夠的時間以確保遠程TCP接收到連接中斷 請求的確認；CLOSED 沒有任何連接狀態(tài)；

Netstat/?C:\DocumentsandSettings\Administrator>netstat/?顯示協(xié)議統(tǒng)計信息和當前TCP/IP網(wǎng)絡連接。NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]-a 顯示所有連接和監(jiān)聽端口。-b 顯示包含于創(chuàng)建每個連接或監(jiān)聽端口的可執(zhí)行組件。在某些情況下已知可執(zhí)行組件擁有多個獨立組件，并且在這些情況下包含于創(chuàng)建連接或監(jiān)聽端口的組件序列被顯示。這種情況下，可執(zhí)行組件名在底部的[]中，頂部是其調(diào)用的組件等等，直到TCP/IP部分。注意此選項可能需要很長時間，如果沒有足夠權限可能失敗。-e 顯示以太網(wǎng)統(tǒng)計信息。此選項可以與-s選項組合使用。-n 以數(shù)字形式顯示地址和端口號。-o 顯示與每個連接相關的所屬進程ID。-pproto 顯示proto指定的協(xié)議的連接；proto可以是下列協(xié)議之一:TCP、UDP、TCPv6或UDPv6。如果與-s選項一起使用以顯示按協(xié)議統(tǒng)計信息，proto可以是下列協(xié)議之一:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。-r 顯示路由表。-s 顯示按協(xié)議統(tǒng)計信息。默認地，顯示IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6的統(tǒng)計信息；-p選項用于指定默認情況的子集。-v 與-b選項一起使用時將顯示包含于為所有可執(zhí)行組件創(chuàng)建連接或監(jiān)聽端口的組件。Interval 重新顯示選定統(tǒng)計信息，每次顯示之間暫停時間間隔(以秒計)。按CTRL+C停止重新顯示 統(tǒng)計信息。如果省略，netstat顯示當前配置信息(只顯示一次)QQ通訊的網(wǎng)絡狀態(tài)C:\DocumentsandSettings\Administrator>netstat-abActiveConnectionsProtoLocalAddressForeignAddressStatePIDTCPWStation:912WStation:0LISTENING144[vmware-authd.exe]TCPWStation:62914:3188ESTABLISHED2472[QQ.exe]TCPWStation:62954:3186ESTABLISHED2472[QQ.exe]TCPWStation:624650:CLOSE_WAIT5472[AlipaySafeTran.exe]TCPWStation:629342:TIME_WAIT0TCPWStation:629442:TIME_WAIT0UDPWStation:1027*:*1184[QQPCRtp.exe]UDPWStation:5240*:*6140[QQProtect.exe]UDPWStation:4001*:*2472[QQ.exe]UDPWStation:5265*:*2472[QQ.exe]UDPWStation:6233*:*3880[QQExternal.exe]TCPviewUDP協(xié)議無連接的傳輸協(xié)議不提供對數(shù)據(jù)傳輸可靠性的保證機制不保證數(shù)據(jù)發(fā)送順序UDP的安全問題TCP和UDP協(xié)議的安全問題DOS（DenialOfService）DDOS（DistributedDenialOfService）常見的DoS攻擊TCP-SYNFloodUDPFloodRst位的DoS攻擊DRDOS攻擊實施DoS攻擊最主要的就是構造需要的TCP數(shù)據(jù)，充分利用TCP協(xié)議。阻止DoS的辦法ICMP協(xié)議InternetControlMessagesProtocol作用：用于在TCP/IP網(wǎng)絡中發(fā)送控制消息，提供可能發(fā)生在通信環(huán)境中的各種問題反饋，通過這些信息，令管理者可以對所發(fā)生的問題作出診斷，然后采取適當?shù)拇胧┤ソ鉀Q它。無連接，ICMP消息都是直接封裝在一個IP數(shù)據(jù)報。ICMP報頭及安全問題費爾南多Gont漏洞Pingofdeath：ping–l65535×××IP報頭類型代碼校驗碼ID序號seqICMP報文類型遠程登錄telnet:tcp23rlogin:tcp513遠程登錄常見的遠程登錄工具：telnetrlogin遠程桌面*安全問題信息泄露：telnet和rlogin明文傳輸簡單驗證，無完整性檢查解決辦法SSHFTP協(xié)議:TCP21TCP20FTP的兩種工作模式：主動模式被動模式安全問題：明文解決辦法：SSHSSH（SecureShell）:TCP22SSH是一種保障網(wǎng)絡通信安全的協(xié)議；SSH最初的版本是為提供一個安全的遠程登錄工具以取代TELNET和其他不安全的遠程登錄模式；SSH也提供C/S服務以及類似文件傳輸和電子郵件的網(wǎng)絡功能；SSH隧道技術：SSH利用端口轉發(fā)，可以將任何非安全的TCP連接轉換為安全的SSH連接，這被稱為SSH隧道技術。SSH的隧道技術域名到IP地址的映射TCP53，UDP53DNS的層次結構DNS域名系統(tǒng)：UDP53，TCP53DNS域名系統(tǒng)：TCP53，UDP53DNS:相關命令nslookupNon-authoritativeanswer:DNS:Hosts文件與域名解析Hosts文件的存放位置C:\Winnt\System32\Drivers\EtcHosts與DNS的解析順序Hosts的作用和使用技巧加快域名解析方便局域網(wǎng)用戶屏蔽網(wǎng)站繞過域名劫持風險靜態(tài)映射惡意修改Internet郵件結構SMTP協(xié)議:TCP25安全問題明文傳輸接受者無法確定收到郵件的安全性接受者無法對發(fā)送者進行身份確認信源抵賴信宿抵賴垃圾郵件：過濾器（攔截率和誤報率）解決辦法PGPS/MIMEDKIM過濾技術PGP（prettygoodprivacy）符號約定Ks會話密鑰，用于對稱加密PR私鑰PU