《網(wǎng)絡(luò)安全概述》

網(wǎng)絡(luò)平安根底教程與實訓主講：劉洋2024/3/17編輯ppt第2章網(wǎng)絡(luò)監(jiān)聽與TCP/IP協(xié)議分析網(wǎng)絡(luò)監(jiān)聽與數(shù)據(jù)分析網(wǎng)絡(luò)層協(xié)議報頭結(jié)構(gòu)傳輸層協(xié)議報頭結(jié)構(gòu)TCP會話平安TCP/IP報文捕獲與分析本章主要講授：編輯ppt網(wǎng)絡(luò)監(jiān)聽與TCP/IP協(xié)議分析2.1網(wǎng)絡(luò)監(jiān)聽與數(shù)據(jù)分析 以太網(wǎng)工作方式：播送2.1.1網(wǎng)絡(luò)監(jiān)聽的根本原理通常一個網(wǎng)絡(luò)接口只接收1、與自己硬件地址相匹配的數(shù)據(jù)幀。2、發(fā)向所有主機的播送數(shù)據(jù)幀。網(wǎng)卡的接收方式：播送方式、組播方式、直接方式、混雜方式2024/3/17編輯ppt網(wǎng)絡(luò)監(jiān)聽與TCP/IP協(xié)議分析2024/3/17編輯ppt2.1.2網(wǎng)絡(luò)監(jiān)聽工具Sniffer軟件支持協(xié)議豐富，解碼速度快。支持各種windows平臺主要功能：1、捕獲網(wǎng)絡(luò)流量進行詳細分析2、利用專家分析系統(tǒng)診斷問題3、實時監(jiān)控網(wǎng)絡(luò)活動4、收集網(wǎng)絡(luò)利用率和錯誤等2024/3/17編輯ppt2.2網(wǎng)絡(luò)層協(xié)議報頭結(jié)構(gòu)網(wǎng)絡(luò)層協(xié)議將數(shù)據(jù)包封裝成IP數(shù)據(jù)報，并運行必要的路由算法。4種互聯(lián)協(xié)議1、IP(網(wǎng)際協(xié)議)2、ARP〔地址解析協(xié)議〕3、ICMP〔網(wǎng)際控制報文協(xié)議〕4、IGMP〔互聯(lián)組管理協(xié)議〕2024/3/17編輯ppt2.2.1IP數(shù)據(jù)報結(jié)構(gòu)面向無連接2024/3/17編輯ppt2.2.1IP數(shù)據(jù)報結(jié)構(gòu)盡力效勞〔不可靠〕2024/3/17編輯ppt2.2.1IP數(shù)據(jù)報結(jié)構(gòu)IP數(shù)據(jù)報頭2024/3/17編輯ppt2.2.1IP數(shù)據(jù)報結(jié)構(gòu)TTL是IP協(xié)議包中的一個值，它告訴網(wǎng)絡(luò),數(shù)據(jù)包在網(wǎng)絡(luò)中的時間是否太長而應(yīng)被丟棄。有很多原因使包在一定時間內(nèi)不能被傳遞到目的地。解決方法就是在一段時間后丟棄這個包，然后給發(fā)送者一個報文，由發(fā)送者決定是否要重發(fā)。TTL的初值通常是系統(tǒng)缺省值，是包頭中的8位的域。TTL的最初設(shè)想是確定一個時間范圍，超過此時間就把包丟棄。由于每個路由器都至少要把TTL域減一，TTL通常表示包在被丟棄前最多能經(jīng)過的路由器個數(shù)。當記數(shù)到0時，路由器決定丟棄該包，并發(fā)送一個ICMP報文給最初的發(fā)送者。2024/3/17編輯ppt2.2.2ARPARP協(xié)議是“AddressResolutionProtocol〞〔地址解析協(xié)議〕的縮寫。在局域網(wǎng)中，網(wǎng)絡(luò)中實際傳輸?shù)氖恰皫?，幀里面是有目標主機的MAC地址的。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。所謂“地址解析〞就是主機在發(fā)送幀前將目標IP地址轉(zhuǎn)換成目標MAC地址的過程。ARP協(xié)議的根本功能就是通過目標設(shè)備的IP地址，查詢目標設(shè)備的MAC地址，以保證通信的順利進行。2024/3/17編輯ppt2.2.2ARP2024/3/17編輯ppt2.2.2ARP

為了解釋ARP協(xié)議的作用，就必須理解數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程。這里舉一個簡單的PING例子。假設(shè)我們的計算機IP地址是，要執(zhí)行這個命令：ping。該命令會通過ICMP協(xié)議發(fā)送ICMP數(shù)據(jù)包。該過程需要經(jīng)過下面的步驟：1、應(yīng)用程序構(gòu)造數(shù)據(jù)包，該例如是產(chǎn)生ICMP包，被提交給內(nèi)核〔網(wǎng)絡(luò)驅(qū)動程序〕；2、內(nèi)核檢查是否能夠轉(zhuǎn)化該IP地址為MAC地址，也就是在本地的ARP緩存中查看IP-MAC對應(yīng)表[1]；3、如果存在該IP-MAC對應(yīng)關(guān)系，那么跳到步驟7；如果不存在該IP-MAC對應(yīng)關(guān)系，那么接續(xù)下面的步驟；4、內(nèi)核進行ARP播送，目的地的MAC地址是FF-FF-FF-FF-FF-FF，ARP命令類型為REQUEST〔1〕，其中包含有自己的MAC地址；5、當主機接收到該ARP請求后，將源主機的IP地址及MAC更新至自己的arp緩沖中，然后發(fā)送一個ARP的REPLY〔2〕命令，其中包含自己的MAC地址；6、本地獲得主機的IP-MAC地址對應(yīng)關(guān)系，并保存到ARP緩存中；7、內(nèi)核將把IP轉(zhuǎn)化為MAC地址，然后封裝在以太網(wǎng)頭結(jié)構(gòu)中，再把數(shù)據(jù)發(fā)送出去；使用arp-a命令就可以查看本地的ARP緩存內(nèi)容，所以，執(zhí)行一個本地的PING命令后，ARP緩存就會存在一個目的IP的記錄了。當然，如果你的數(shù)據(jù)包是發(fā)送到不同網(wǎng)段的目的地，那么就一定存在一條網(wǎng)關(guān)的IP-MAC地址對應(yīng)的記錄。知道了ARP協(xié)議的作用，就能夠很清楚地知道，數(shù)據(jù)包的向外傳輸很依靠ARP協(xié)議，當然，也就是依賴ARP緩存。要知道，ARP協(xié)議的所有操作都是內(nèi)核自動完成的，同其他的應(yīng)用程序沒有任何關(guān)系。同時需要注意的是，ARP協(xié)議只使用于本網(wǎng)絡(luò)。2024/3/17編輯ppt2.2.3ICMP ICMP提供控制和錯誤消息，由ping和traceroute實用程序使用。雖然ICMP使用IP的根本支持，看起來好象是上層協(xié)議ICMP，但它實際上是TCP/IP協(xié)議簇中獨立的第3層協(xié)議。可能發(fā)送的ICMP消息包括：主機確認無法到達目的或效勞器超時路由重定向源抑制2024/3/17編輯ppt2.2.3ICMP

2024/3/17編輯ppt2.2.4IGMP Internet組管理協(xié)議〔IGMP〕是因特網(wǎng)協(xié)議家族中的一個組播協(xié)議，用于IP主機向任一個直接相鄰的路由器報告他們的組成員情況。IGMP信息封裝在IP報文中，其IP的協(xié)議號為2。它用來在ip主機和與其直接相鄰的組播路由器之間建立、維護組播組成員關(guān)系。igmp不包括組播路由器之間的組成員關(guān)系信息的傳播與維護，這局部工作由各組播路由協(xié)議完成。所有參與組播的主機必須實現(xiàn)igmp。參與ip組播的主機可以在任意位置、任意時間、成員總數(shù)不受限制地參加或退出組播組。組播路由器不需要也不可能保存所有主機的成員關(guān)系，它只是通過igmp協(xié)議了解每個接口連接的網(wǎng)段上是否存在某個組播組的接收者，即組成員。而主機方只需要保存自己參加了哪些組播組。igmp在主機與路由器之間是不對稱的：主機需要響應(yīng)組播路由器的igmp查詢報文，即以igmpmembershipreport報文響應(yīng)；路由器周期性發(fā)送成員資格查詢報文，然后根據(jù)收到的響應(yīng)報文確定某個特定組在自己所在子網(wǎng)上是否有主機參加，并且當收到主機的退出組的報告時，發(fā)出特定組的查詢報文〔igmp版本2〕，以確定某個特定組是否已無成員存在。2024/3/17編輯ppt2.3傳輸層協(xié)議報頭結(jié)構(gòu)2.3.1TCP(傳輸控制協(xié)議)TCP通信的可靠性在于使用了面向連接的會話。主機使用TCP協(xié)議發(fā)送數(shù)據(jù)到另一主機前，傳輸層會啟動一個進程，用于創(chuàng)立與目的主機之間的連接。通過該連接，可以跟蹤主機之間的會話或者通信數(shù)據(jù)流。同時，該進程還確保每臺主機都知道并做好了通信準備。完整的TCP會話要求在主機之間創(chuàng)立雙向會話。

2024/3/17編輯ppt2.3.1TCP2024/3/17編輯ppt2.3.1TCP

2024/3/17編輯ppt2.3.1TCP2024/3/17編輯ppt2.3.1TCP2024/3/17編輯ppt2.3.1TCP2024/3/17編輯ppt2.3.1TCP2024/3/17編輯ppt2.3.1TCP2024/3/17編輯ppt2.3.2UDPUDP是一種簡單協(xié)議，提供了根本的傳輸層功能。與TCP相比，UDP的開銷極低，因為UDP是無連接的，并且不提供復(fù)雜的重新傳輸、排序和流量控制機制。不過，這并不說明使用UDP的應(yīng)用程序不可靠，而僅僅是說明，作為傳輸層協(xié)議，UDP不提供上述幾項功能，如果需要這些功能，必須通過其它方式來實現(xiàn)。2024/3/17編輯ppt2.3.2UDPUDP提供根本的傳輸層功能低開銷UDP是無連接的，并且不提供復(fù)雜的重新傳輸、排序和流量控制機制使用UDP的應(yīng)用:域名系統(tǒng)(DNS)簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)動態(tài)主機配置協(xié)議(DHCP)路由信息協(xié)議(RIP)簡單文件傳輸協(xié)議(TFTP)網(wǎng)絡(luò)游戲2024/3/17編輯ppt2.3.2UDPUDP僅僅是將接收到的數(shù)據(jù)按照先來后到的順序轉(zhuǎn)發(fā)到應(yīng)用程序2024/3/17編輯ppt2.3.2UDP也使用端口號來標識特定的應(yīng)用層進程并將數(shù)據(jù)報發(fā)送到正確的效勞或應(yīng)用2024/3/17編輯ppt