網(wǎng)絡(luò)通信安全基礎(chǔ)

前言－網(wǎng)絡(luò)通信的安全1OSI七層模型2內(nèi)容網(wǎng)絡(luò)通信的安全：通信線路和層次結(jié)構(gòu)的安全性。TCP/IP協(xié)議存在的安全威脅：協(xié)議協(xié)議的安全問題捕獲協(xié)議的原理。3重點(diǎn)：TCP/IP協(xié)議存在的安全威脅。41.網(wǎng)絡(luò)通信的安全

網(wǎng)絡(luò)的開放性和黑客的攻擊是網(wǎng)絡(luò)不安全的主要原因。Internet在設(shè)計(jì)之初就缺乏對安全性的總體設(shè)計(jì)和構(gòu)想，所用的TCP/IP協(xié)議是建立在可信任環(huán)境之下的。51.1網(wǎng)絡(luò)通信線路的安全性：概括計(jì)算機(jī)網(wǎng)絡(luò)上的通信面臨4種威脅。竊聽(interception)：一個(gè)非授權(quán)方介入系統(tǒng)的攻擊，破壞保密性。非授權(quán)方可以是一個(gè)人、一個(gè)程序、一臺(tái)微機(jī)。包括搭線竊聽文件或程序的不正當(dāng)拷貝。也叫截獲中斷(interruption)：使信息系統(tǒng)被毀壞或不能使用，對可用性進(jìn)行攻擊。如部分硬盤的毀壞；通信線路的切斷；文件管理系統(tǒng)的癱瘓等。也叫截取6篡改(modification)：一個(gè)非授權(quán)方不僅介入系統(tǒng)而且在系統(tǒng)中進(jìn)行攻擊，破壞信息的完整性。包括改變數(shù)據(jù)文件；改變程序使之不能正確執(zhí)行，修改信件內(nèi)容等。偽造(fabrication)：一個(gè)非授權(quán)方將偽造的客體插入系統(tǒng)中，破壞真實(shí)性的攻擊。包括網(wǎng)絡(luò)中插入假信件；或在文件中追加記錄等。7。。8上述四種威脅可劃分為兩大類，即被動(dòng)攻擊和主動(dòng)攻擊。破壞保密性91.2網(wǎng)絡(luò)層次結(jié)構(gòu)的安全性：應(yīng)用層——主機(jī)安全措施、身份認(rèn)證、加密、數(shù)字簽名。傳輸層——身份認(rèn)證、口令、訪問控制、加密網(wǎng)絡(luò)層——身份認(rèn)證、訪問控制、加密、一致性檢查、防火墻、IPSec。102、TCP/IP協(xié)議存在的安全威脅

2.1.TCP/IP協(xié)議概述：11Telnet：遠(yuǎn)程登錄協(xié)議。SMTP：簡單郵件傳輸協(xié)議。RIP：路由信息協(xié)議。IGMP：Internet組管理協(xié)議。ICMP：Internet控制報(bào)文協(xié)議。122.2TCP/IP協(xié)議的安全問題

（一）網(wǎng)上信息易被截?。篒nternet網(wǎng)上的大多數(shù)信息是沒有經(jīng)過加密的。

互聯(lián)網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)，說到底它是一種類局域網(wǎng)。雖然互聯(lián)網(wǎng)上的傳輸是點(diǎn)對點(diǎn)的，但一般互聯(lián)網(wǎng)上的主機(jī)往往是處于某一個(gè)局域網(wǎng)中，局域網(wǎng)都是廣播型網(wǎng)絡(luò)，網(wǎng)上任何一臺(tái)機(jī)器都可以收到這個(gè)消息。一般，以太網(wǎng)卡收到別人的消息時(shí)候會(huì)自動(dòng)丟棄，而不向上（本機(jī)）傳送，但是以太網(wǎng)卡的接收模式可以設(shè)置成為混合型，這樣網(wǎng)卡就會(huì)把這些信息向本機(jī)傳送。13（二）IP的缺陷導(dǎo)致易被欺騙：

1、IP包中的源地址可以偽造：

IP地址可以用軟件配置，就存在著地址冒充和地址欺騙；14

2、IP包中的”生成時(shí)間”可以偽造：由于發(fā)送者極易更改主機(jī)的系統(tǒng)時(shí)間，而接收者又不作時(shí)間核實(shí)，它相信發(fā)送者的時(shí)間，這也容易導(dǎo)致偽造和欺騙。15

3、薄弱的認(rèn)證環(huán)節(jié)：

TCP/IP網(wǎng)絡(luò)中常把IP包中的信源/信宿地址作為許多服務(wù)的認(rèn)證的基礎(chǔ)，這樣的認(rèn)證是不可靠的。

16（三）TCP和UDP端口結(jié)構(gòu)的缺陷：端口是一個(gè)軟件結(jié)構(gòu)，被客戶程序或服務(wù)進(jìn)程用來發(fā)送和接收消息。一個(gè)端口對應(yīng)于一個(gè)16位的數(shù)。其中1024個(gè)端口號(hào)已分配給專門的服務(wù)，用戶的應(yīng)用程序可使用的端口號(hào)為1024～65535。17

21－FTP；

23－Telnet；

25－SMTP；

53－DNS；

80－WEB；常用的服務(wù)端口號(hào)是公開的。因?yàn)樵诮⑻囟ǖ闹鳈C(jī)或服務(wù)的連接時(shí)，需要這些地址和端口號(hào)。這也為攻擊者提供了公開的秘密。18（四）、TCP/IP協(xié)議明碼傳送信息導(dǎo)致易被監(jiān)視：

1、黑客可以通過探測工具（Sniffer、Tcpdump、Snoop）來竊聽以太網(wǎng)中的明文；

2、用戶使用Telnet和FTP連接遠(yuǎn)程主機(jī)時(shí)，在Internet上傳輸?shù)目诹钍菦]有經(jīng)過加密的，黑客可以通過監(jiān)視攜帶用戶名和口令的IP包獲??；19（五）提供不安全的服務(wù)：

WWW、FTP、Email等等服務(wù)在一定程度上都存在安全缺陷。202.3.常用的網(wǎng)絡(luò)命令

（1）Ping指令：通過發(fā)送ICMP包來驗(yàn)證與另一臺(tái)TCP/IP計(jì)算機(jī)的相連接。用于檢測網(wǎng)絡(luò)的連接性和可到達(dá)性。應(yīng)答的消息的接收情況和往返過程的次數(shù)一起顯示出來。

Ping0821命令格式

-t—有這個(gè)參數(shù)時(shí)，當(dāng)你ping一個(gè)主機(jī)時(shí)系統(tǒng)就不停的運(yùn)行ping這個(gè)命令，直到你按下Ctrl-C。

-a—解析主機(jī)的NETBIOS主機(jī)名，如果你想知道你所ping的要機(jī)計(jì)算機(jī)名則要加上這個(gè)參數(shù)了，一般是在運(yùn)用ping命令后的第一行就顯示出來。

22

-ncount—定義用來測試所發(fā)出的測試包的個(gè)數(shù)，缺省值為4。通過這個(gè)命令可以自己定義發(fā)送的個(gè)數(shù)，對衡量網(wǎng)絡(luò)速度很有幫助，比如我想測試發(fā)送20個(gè)數(shù)據(jù)包的返回的平均時(shí)間為多少，最快時(shí)間為多少，最慢時(shí)間為多少就可以通過執(zhí)行帶有這個(gè)參數(shù)的命令獲知。

-llength—定義所發(fā)送緩沖區(qū)的數(shù)據(jù)包的大小，在默認(rèn)的情況下windows的ping發(fā)送的數(shù)據(jù)包大小為32byt，也可以自己定義，但有一個(gè)限制，就是最大只能發(fā)送65500byt，超過這個(gè)數(shù)時(shí)，對方就很有可能因接收的數(shù)據(jù)包太大而死機(jī)，所以微軟公司為了解決這一安全漏洞于是限制了ping的數(shù)據(jù)包大小。23（2）Tracert（廣域網(wǎng)中診斷經(jīng)過的路由信息）

tracert[ip_addr/域名/主機(jī)名]D:\>tracert

Tracingrouteto[2]overamaximumof30hops:115ms<10ms16ms215ms16ms<10ms13<10ms16ms15ms1416ms<10ms16ms775<10ms16ms16ms^C24（3）ipconfig指令：顯示所有TCP/IP網(wǎng)絡(luò)配置信息，DHCP和DNS設(shè)置?？梢燥@示所有網(wǎng)卡的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)。參數(shù)”/all”的功能是顯示所有網(wǎng)卡的完整TCP/IP配置信息。25（4）netstat指令：顯示活動(dòng)的連接、計(jì)算機(jī)監(jiān)聽的端口、以太網(wǎng)統(tǒng)計(jì)信息、IP路由表、IPv4統(tǒng)計(jì)信息。使用“netstat–an”命令可以查看目前活動(dòng)的連接和開放的端口，是網(wǎng)絡(luò)管理員查看網(wǎng)絡(luò)是否被入侵的最簡單方法。狀態(tài)為“l(fā)istening”表示某端口正在監(jiān)聽，還沒有和其他計(jì)算機(jī)建立連接；“establishing”表示正在和某計(jì)算機(jī)進(jìn)行通信，并將通信計(jì)算機(jī)的IP地址和端口號(hào)顯示出來。

Netstat-an26（5）net指令：用來查看計(jì)算機(jī)上的用戶列表、添加和刪除用戶、與對方計(jì)算機(jī)建立連接、啟動(dòng)或停止某網(wǎng)絡(luò)服務(wù)等。使用“netuser”查看計(jì)算機(jī)上的用戶列表。使用“netuser用戶名密碼”給某用戶修改密碼。使用“netuser用戶名密碼/add

可以給某用戶添加密碼

27使用“netuse\\ip地址\IPC$用戶名/user：密碼”建立信任連接，一旦建立信任連接，就可以在命令行下完全控制對方計(jì)算機(jī)。使用“nettime\\ip地址”可以查看對方的時(shí)間。使用“netstarttelnet”和“netstop”可以遠(yuǎn)程啟動(dòng)和停止本地計(jì)算機(jī)上的服務(wù)。28netuseradministrator12345netuserjack12345/add;netuse\\08\ipc$administrator

/user:12345

netstarttelnetnetuser*/del;nettime\\08;29（7）netsend命令

netsend2hello要先打開messenger服務(wù)。302.4.網(wǎng)絡(luò)協(xié)議的捕獲（使用Win網(wǎng)絡(luò)監(jiān)視器、Sniffer）TCP/IP數(shù)據(jù)報(bào)的結(jié)構(gòu)31⑴

IP地址：

A：1~127B：128~191C：192~223D：224~239E：240~2543233子網(wǎng)掩碼：子網(wǎng)掩碼是用來判斷任意兩臺(tái)計(jì)算機(jī)的IP地址是否屬于同一子網(wǎng)絡(luò)的根據(jù)。

兩臺(tái)計(jì)算機(jī)各自的IP地址與子網(wǎng)掩碼進(jìn)行二進(jìn)制“與”（AND）運(yùn)算后，如果得出的結(jié)果是相同的，則說明這兩臺(tái)計(jì)算機(jī)是處于同一個(gè)子網(wǎng)絡(luò)上的，可以進(jìn)行直接的通訊。34例/16（子網(wǎng)掩碼為：）

00000035（2）IP報(bào)文格式：一個(gè)IP數(shù)據(jù)包由包頭和數(shù)據(jù)體兩部分組成。包頭由20字節(jié)的固定部分和變長的可選項(xiàng)組成。3637IP頭結(jié)構(gòu)在所有協(xié)議中都是固定的1）版本：占第一個(gè)字節(jié)的高四位。

2）首部長度：占第一個(gè)字節(jié)的低四位。3）服務(wù)類型：前3位為優(yōu)先字段權(quán)，第4位：最小延遲；

5：最大吞吐量；

6：最高可靠性

7：最小費(fèi)用。4）封包總長度：整個(gè)IP報(bào)的長度，單位為字節(jié)。38

5）存活時(shí)間：就是封包的生存時(shí)間。通常用通過的路由器的個(gè)數(shù)來衡量，比如初始值設(shè)置為32，則每通過一個(gè)路由器處理就會(huì)被減一，當(dāng)這個(gè)值為0的時(shí)候就會(huì)丟掉這個(gè)包，并用ICMP消息通知源主機(jī)。6）協(xié)議：定義了數(shù)據(jù)的協(xié)議，分別為：TCP、UDP、ICMP和IGMP。定義為：UDP:17；TCP:6；ICMP:1；EGP:8；IGP:9；OSPF:89。7）檢驗(yàn)和：校驗(yàn)的首先將該字段設(shè)置為0，然后將IP頭的每16位進(jìn)行二進(jìn)制取反求和，將結(jié)果保存在校驗(yàn)和字段。39

8）源IP地址：

9）目的IP地址：40思考報(bào)文格式固定，在網(wǎng)絡(luò)監(jiān)聽中的弊端是什么？41在網(wǎng)絡(luò)協(xié)議中，IP是面向非連接的，所謂的非連接就是傳遞數(shù)據(jù)的時(shí)候，不檢測網(wǎng)絡(luò)是否連通。所以是不可靠的數(shù)據(jù)報(bào)協(xié)議，IP協(xié)議主要負(fù)責(zé)在主機(jī)之間尋址和選擇數(shù)據(jù)包路由。在傳輸層上的TCP協(xié)議是面相連接的協(xié)議。42（3）TCP報(bào)文格式（開通FTP服務(wù)器，抓FTP報(bào)文。源端口（16b）目的端口（16b）序號(hào)確認(rèn)序號(hào)：接收者回發(fā)的應(yīng)答順序頭長度（4b）保留6b）URG|ACK|PSH|RST|SYN|FIN窗口大?。耗繕?biāo)主機(jī)告訴源主機(jī)，想收到的每個(gè)TCP數(shù)據(jù)段