计算机网络安全基础-第01章

2018年7月28日5时20分,计算机网络安全基础,第1章 网络基础知识与Internet,本章是计算机网络安全的第一课，在这一章里将要介绍：网络参考模型OSI网络互联设备局域网技术广域网协议 TCPIP与Internet提供的主要服务,2018年7月28日5时20分,计算机网络安全基础,1.1 网络参考模型OSI,1.1.1 分层通信 （1）应用层。这是OSI模型的最高层。它是应用进程访问网络服务的窗口。这一层直接为网络用户或应用程序提供各种各样的网络服务，它是计算机网络与最终用户间的界面。应用层提供的网络服务包括文件服务、打印服务、报文服务、目录服务、网络管理以及数据库服务等。 （2）表示层。表示层保证了通信设备之间的互操作性。该层的功能使得两台内部数据表示结构都不同的计算机能实现通信。它提供了一种对不同控制码、字符集和图形字符等的解释，而这种解释是使两台设备都能以相同方式理解相同的传输内容所必需的。表示层还负责为安全性引入的数据提供加密与解密，以及为提高传输效率提供必需的数据压缩及解压等功能。,2018年7月28日5时20分,计算机网络安全基础,1.1 网络参考模型OSI,（3）会话层。会话层是网络对话控制器，它建立、维护和同步通信设备之间的交互操作，保证每次会话都正常关闭而不会突然断开，使用户被挂起在一旁。会话层建立和验证用户之间的连接，包括口令和登录确认；它也控制数据的交换，决定以何种顺序将对话单元传送到传输层，以及在传输过程的哪一点需要接收端的确认。 （4）传输层。传输层负责整个消息从信源到信宿（端到端）的传递过程，同时保证整个消息无差错、按顺序地到达目的地，并在信源和信宿的层次上进行差错控制和流量控制。,2018年7月28日5时20分,计算机网络安全基础,1.1 网络参考模型OSI,（5）网络层。网络层负责数据包经过多条链路、由信源到信宿的传递过程，并保证每个数据包能够成功和有效率地从出发点到达目的地。为实现端到端的传递，网络层提供了两种服务：线路交换和路由选择。线路交换是在物理链路之间建立临时的连接，每个数据包都通过这个临时链路进行传输；路由选择是选择数据包传输的最佳路径。在这种情况下，每个数据包都可以通过不同的路由到达目的地，然后再在目的地重新按照原始顺序组装起来。 （6）数据链路层。数据链路层从网络层接收数据，并加上有意义的比特位形成报文头和尾部（用来携带地址和其他控制信息）。这些附加信息的数据单元称为帧。数据链路层负责将数据帧无差错地从一个站点送达下一个相邻站点，即通过一些数据链路层协议完成在不太可靠的物理链路上实现可靠的数据传输。,2018年7月28日5时20分,计算机网络安全基础,1.1 网络参考模型OSI,（7）物理层。物理层是OSI的最低层，它建立在物理通信介质的基础上，作为系统和通信介质的接口，用来实现数据链路实体间透明的比特（bit）流传输。为建立、维持和拆除物理连接，物理层规定了传输介质的机械特性、电气特性、功能特性和过程特性。在上述七层中，上五层一般由软件实现，而下面的两层是由硬件和软件实现的。,2018年7月28日5时20分,计算机网络安全基础,1.1 网络参考模型OSI,1.1.2 信息格式,2018年7月28日5时20分,计算机网络安全基础,1.2 网络互联设备,网络互联设备用于局域网（LAN）的网段，它们有四种主要的类型：中继器网桥路由器网关,2018年7月28日5时20分,计算机网络安全基础,2018年7月28日5时20分,计算机网络安全基础,1.2 网络互联设备,1.2.1 中继器和集线器 中继器的主要功能在于延长电缆的有效连接长度，因为在传输过程中信号的衰减会限制电缆的有效连接长度。此外，中继器还能起到改变以太网的拓扑结构的作用。集线器（Hub）与中继器类似，是能够集中完成多台设备连接的专用设备。,2018年7月28日5时20分,计算机网络安全基础,1.2 网络互联设备,1.2.2 网桥 网桥（Bridge）是一种在数据链路层实现互联的存储转发设备。 网桥从一个网段将数据帧段转发至另一个网段。网桥工作在OSI参考模型的数据链路层。 1.2.3 路由器路由器实现网络互联是发生在网络层。主要功能有路由选择，多路重发以及出错检测等 。,2018年7月28日5时20分,计算机网络安全基础,1.2 网络互联设备,1.2.4 网关 网关（Gateway）实现的网络互联发生在网络层之上，它是网络层以上的互联设备的总称。 目前，典型的网络结构通常是由一主干网和若干段子网组成，主干网与子网之间通常选用路由器进行连接，子网内部往往有若干个局域网，这些局域网之间采用中继器或网桥来进行连接。校园网、公用交换网、卫生网络和综合业务数字网络等，一般都采用网关进行互联。,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术,目前，流行的局域网主要有三种： 以太网 令牌环网 FDDI,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术,1.3.1 以太网和IEEE 802.3以太网是由施乐公司于七十年代开发，IEEE 802.3发表于1980年，它是以以太网作为技术基础。如今以太网和IEEE 802.3占据了局域网市场的最大份额，而以太网通常指所有采用载波监听多路访问冲突检测（CSMACD）的局域网，包括IEEE 802.3。物理连接 IEEE 802.3规定了几种不同类型的物理层，而以太网仅仅定义了一种物理层，每一种IEEE 802.3物理层协议都有一个概括它们自身特点的名称。,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术,数据帧格式,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术,1.3.2 令牌环和IEEE 802.5 令牌的传递 令牌环传递网络的主要特点是在网络上传递一个比较小的数据帧，即令牌，如果网络上的某个节点拥有令牌，就表示它拥有传输数据的权力。如果一个接到令牌的网络站点没有数据需要传递时，令牌就被简单地传递到下一个网络站点，在允许的最大时间范围内可将令牌保留在手中。 物理连接,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术,优先级网络站点优先权决定了它能够俘获令牌的概率，只有网络站点的优先权等于或高于令牌包含的优先权值时，该网络站点才能俘获令牌， 错误管理机制 令牌环网络采用多种机制来检测和恢复网络中产生的错误。,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术,1.3.3 FDDI光纤分布式数据接口（FDDI）标准是由 ANSI X3T9.5标准委员会在八十年代中期制定的。它规定了传输速度为100Mbps、采用令牌传递方式，以及使用光纤作为介质的双环LAN。 FDDI技术最重要的特征之一就是采用光纤作为传输介质，其优点包括安全性、可靠性以及传输速度等方面较传统的介质要好得多。,2018年7月28日5时20分,计算机网络安全基础,1.3 局域网技术, FDDI标准FDDI的规范说明包括下列四个单独部分： （1）介质访问控制（MAC） （2）物理层协议（PHY） （3）物理层介质（PHM） （4）站点管理（SMT） 物理连接 FDDI规定采用双环连接，其中一个环作为主环，通常用于数据传输，另一个作为副环，作为备份。双环上数据的传输是互为反向的。,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网技术,1.4.1 广域网基本技术1包交换2广域网的构成3存储转发 4广域网的物理编址 5下一站转发6源地址独立性 7层次地址与路由的关系 8广域网中的路由,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,1.4.2 广域网协议1SDLC及其派生协议 同步数据链控制（SDLC）协议主要用于IBM的系统网络体系结构（SNA）环境中。它基于同步机制采用了面向二进制位的操作方法。 SDLCSDLC协议支持各种各样链路类型和网络拓扑结构，包括点对点链路、环形拓扑和总线型拓扑、半双工和全双工传输设备，以及电路交换和封包交换网络。,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,SDLC协议通常设有二种类型的站点，即主动型站点和从动型站点。 SDLC协议的主动型站点与从动站点的连接可以根据下面的方式进行连接：（1）点对点连接 （2）多点连接 （3）集线式连接SDLC协议的帧格式为：,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议, SDLC派生协议 （1）HDLC（高层数据链路控制协议 ）（2）LAP（链路访问过程 ，SDLC协议的子集）（3）LAPB（平衡电路访问过程 ）（4）QLLC协议（增强逻辑链路控制协议 ）,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,2. 点对点协议 PPP的组成 点对点协议（PPP）提供了一种点对点链路传输数据报文的方法。 PPP协议的数据帧格式 ：,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,点对点的链路控制协议 点对点技术中的链路控制协议（LCP）提供用于建立、配置、维护和关闭点对点连接的方法，与其它类型的网络协议类似，LCP也有自己的数据帧格式，通常情况下有如下三种协议帧：链路建立帧用于建立和配置数据链路链路关闭帧用于关闭数据链路链路维护帧用于管理和维护数据链路,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,3. 分组交换X.25X.25是一组协议，它规定了广域网如何通过公用数据网进行连接。X.25定义的是数据终端设备（DTE）和数据电路设备（DCE）之间的接口标准。 DTE主要指用户终端或主机设备等，而DCE通常指调制解调器、分组交换机或其它与公用数据网连接的端口等。,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,X.25和ISO参考模式,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,数据帧格式 数据帧的第三层分组由一个分组头字段和用户数据字段组成；第二层分组由帧的控制字段和帧的寻址字段、帧检查顺序（FCS）字段组成。,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,协议分析 X.25第三层分组的头字段由一个通用格式识符（GFI）、一个逻辑通道标识符（LCI）和一个分组类型标识（PTI）组成。一个字节长的GFI用于指明分组头的通用格式，LCI用于标识虚拟电路，其长度为3个字节，PTI主要用于区分X.25的17种分组类型。X.25在第三层使用了三个虚拟电路操作过程：（1）建立会话（2）传输数据（3）消除会话,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,4. 帧中继帧中继提供一种统计复用手段，使用同一物理链路上可以有多个逻辑会话（称为虚电路），它提供了对带宽的灵活有效的利用。 帧的格式,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,信令协议 帧中继网络中目前有三种信令协议在使用，它们是：（1）本地管理接口（LMI）（2）CCITT标准Q.922，基于原始 LMI（3）ANSI标准TI.617，基于原始LMI,2018年7月28日5时20分,计算机网络安全基础,1.4 广域网协议,阻塞的防止 帧中继采用如下几个方面的手段处理阻塞：（1）本地管理接口（LMI）。LMI提供一种基于PVC的简单流控机制，当缓冲区将要满时，可向外部设备发出一个LMI信息（RNR位置1），要求停发数据，当缓冲区空时，另一个LMI信息（RNR位置0），通知外部设备，允许发送数据（2）直接阻塞通知，向外部设备报告阻塞。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础,互联网协议（IP）和传输控制协议（TCP）是互联网协议族中最为有名的两个协议，其应用非常广泛，它能够用于任何相互连接的计算机网络系统之间的通信，对局域网（LAN）和广域网（WAN）都有非常好的效果。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础,1.5.1 TCPIP与OSI参考模型 TCP/IP协议和OSI模型的对应关系,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础, TCP/IP的主要协议之间的相关性 图中每个封闭的多边形对应了一个协议，并且位于它所直接使用的协议之上。如 SMTP依赖于TCP，而TCP依赖于IP。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础,TCP/IP的层次结构 l应用层。向用户提供一组常用的应用程序。2传输层（TCP和UDP）。 提供应用程序间的通信，提供了可靠的传输（UDP不能提供可靠的传输）等。3网络层（IP）。负责数据包的寻径功能，以保证数据包可靠到达目标主机，若不能到达，则向源主机发送差错控制报文。4网络接口层 。这是TCPIP软件的最低层，负责接收IP数据包并通过网络发送之，或者从网络上接收物理帧，抽出IP数据包，并把它交给IP层。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础,1.5.2 网络层（IP层） 将所有的低层的物理实现隐藏起来，作用是将数据包从源主机发送出去，并且使这些数据包独立地到达目的主机。在数据包传送过程中，即使是连续的数据包，也可能走过不同的路径，到达目的主机的顺序也会不同于它们被发送时的顺序。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础, TCP/IP数据流程,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础, IP数据包一个IP数据包由包头和数据体两部分组成。包头由20字节的固定部分和变长的可选项成。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础, IP地址在Internet中，每一台主机都有一个唯一的地址，网关常常有不止一个的地址。地址由两部分组成：网络号和主机号。这种组合是唯一的，以使每一个IP地址表示Internet中的唯一台主机。所有IP地址都是32位长。IP地址分为五类，平常使用的是A，B，C三类地址,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础, IP层的其它一些协议 ICMP（Internet控制信息协议）用来传送一些关于网络和主机的控制信息。如目标主机是不可到达的、路由的重定向等。ARP（地址解析协议）用来将IP地址映射成相应的主机 MAC地址。RARP（反向地址解析协议）用来将物理地址映射成32位的IP地址。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础,1.5.3 传输层（TCP和UDP） TCPTCP协议，即传输控制协议，是一个可靠的、面向连接的协议。它允许在Internet上两台主机间信息的无差错传输。 UDP无连接方式，即UDP方式，当源主机有数据时，就发送。它不管发送的数据包是否到达目标主机，数据包是否出错，收到数据包的主机也不会告诉发送方是否正确收到了数据，因此，这是一种不可靠的数据传输方式。,2018年7月28日5时20分,计算机网络安全基础,1.5 TCPIP协议基础,1.5.4 应用层协议Telnet，也就是虚终端服务。它允许一台主机上的用户登录进另一台远程主机，并在远程主机中工作，而用户当前所使用的主机好象仅仅是远程主机的一个终端。FTP，即文件传输协议。提供了一个有效的途径，将数据从一台主机传送到另一台主机。文件传输有文本和二进制两种模式。文本模式用来传输文本文件，并实现一些格式转换。SMTP，即电子邮件服务使用缺省的端口25，以电子数据的方式，使用户快速、方便地传送信息。即使相隔大洲、大洋，电子邮件也可以在短短的几分钟内到达接收方的电子信箱。HTTP，即超文本传输协议，用来在WWW服务器上取得用超文本标记语言书写的页面。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.1 远程终端访问服务 Telnet是一种因特网远程终端访问标准。它真实地模仿远程终端，但是不具有图形功能，它仅提供基于字符应用的访问。Telnet允许为任何站点上的合法用户提供远程访问权，而不需要做特殊约定。Telnet并不是一种非常安全的服务，虽然在登录时要求用户认证。由于Telnet发送的信息都未加密，所以它容易被网络监听。只有当远程机和本地站点之间的网络通信是安全时，Telnet才是安全的。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.2 文件传输服务 文件传输协议（FTP）是为进行文件共享而设计的因特网标准协议。 匿名FTP服务器的功能：更好更完善的日志，它可记录、装载、下载或传送它的每个命令。提供路径的信息，当用户访问那个路径时，为用户显示关于路径内容的有关信息。能对用户分类。对某类用户可加以限制，如限制同时访问服务器的匿名用户的个数，此限制可按某天什么时间或某周哪一天进行调整。使用这些限制能控制FTP服务器的负荷。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,在传输文件时，具有压缩、tar和自动处理文件的能力。非匿名chroot访问。只需限制对机器访问的用户，这就允许建立一个特别账号访问一些文件。 保护匿名FTP区不受滥用的干扰措施： （1）确保入站路径只可写。 （2）取消创建子路径和某些文件的权力。 （3）预定装载。 （4）文件及时转移。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.3 电子邮件服务电子邮件是最流行和最基本的网络服务之一。它的危险性相对小些，但并不是没有风险。 简单邮件传输协议（SMTP）是收发电子邮件的一种因特网标准协议。一般来说，SMTP本身不存在安全问题，但SMTP服务器则可能有安全问题。发送邮件给用户所用的程序通常也应当能被任何一个接收邮件的用户所运行，这就使它得到广泛的应用，同时也为侵袭者提供了目标。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.4 Usenet新闻服务Usenet新闻组和电子邮件具有很大的相似性，但是它适合于多个用户之间的通讯。新闻组是因特网上的公告牌，它是为多用户对多用户通讯而设计的。邮件列表也支持多对多通讯，但效率低、用户少，原因是没有简单的办法找到列表的所有用户，而且对每个收信者都要做信息拷贝。 网络新闻传输协议（NNTP）是用来在因特网上传输新闻的。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.5 WWW服务WWW 即 World Wide Web，中文称为环球信息网，也简称为Web，二者实际上是同一含义。创建WWW是为了解决Internet上的信息传递问题，在WWW创建以前，几乎所有的信息发布都是通过E-mail，FTP，Archie和Gopher实现的。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.6 网络用户信息查询服务可以用finger和whois来获得网上成员的一些信息。finger服务可查询在目标主机上有账号的用户的个人信息，而不论这个用户当前是否登录在被查询的机器上。这些信息包括登录名、最近在何时何地登录的情况以及用户自己提供的简介。whois服务类似于finger，但它可得到主机、网络、域及它们的管理员的信息。,2018年7月28日5时20分,计算机网络安全基础,l.6 Internet提供的主要服务,1.6.7 实时会议服务实时会议服务通常包括talk IRC，以及通过MBONE。所有这些服务为人们提供一种相互交流的途径。电子邮件和Usenet新闻是为促进异步通信而设计的，即使参与者没有登录，它们也能工作，他们在下次登录时，可以阅读E-mail信息或新闻。与此相反，实时会议服务是为在线伙伴交互式会话而设计的。 talk是因特网上最早使用的实时会议系统。 因特网联机聊天（IRC）类似于一个文化沙龙，很多人可以利用它相互交谈。 MBONE是新的网络服务资源，它主要是同时扩展实时会议