《网络安全基础》PPT课件.ppt

第2章 网络安全基础,概 述,本章将介绍最基本的网络安全参考模型，TCP/IP协议族、常用的网络服务和常用的网络命令等。这些都是信息安全的基础知识。,目 录,一. OSI参考模型 二. TCP/IP参考模型 三. 常用的网络服务 四. 常用的网络命令,名词 internet 和 Internet,以小写字母 i 开始的 internet（互联网或互连网）是一个通用名词，它泛指由多个计算机网络互连而成的虚拟网络。 以大写字母 I 开始的的 Internet（因特网）则是一个专用名词，它指当前全球最大的、开放的、由众多网络相互连接而成的特定计算机网络，它采用 TCP/IP 协议族，且其前身是美国的 ARPANET。,2.1 OSI参考模型,OSI参考模型分为7层，分别是物理层，数据链路层，网络层，传输层，会话层，表示层和应用层。如图2.1所示为OSI参考模型及通信协议。,2.1 OSI参考模型,1. 物理层(Physical Layer) 要传递信息就要利用一些物理媒体，如双纽线、同轴电缆等，但具体的物理媒体并不在OSI的7层之内，有人把物理媒体当作第0层，物理层的任务就是为它的上一层提供一个物理连接，以及它们的机械、电气、功能和过程特性。 如规定使用电缆和接头 的类型，传送信号的电压等。在这一层，数据还没有被组织，仅作为原始的位流或电气电压处理，单位是比特。,2.1 OSI参考模型,2. 数据链路层(Data Link Layer) 数据链路层负责在两个相邻结点间的线路上，无差错的传送以帧为单位的数据。每一帧包括一定数量的数据和一些必要的控制信息。和物理层相似，数据链路层要负责建立、维持和释放数据链路的连接。在传送数据时，如果接收点检测到所传数据中有差错，就要通知发方重发这一帧。,2.1 OSI参考模型,3. 网络层(Network Layer) 在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路，也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点， 确保数据及时传送。网络层将数据链路层提供的帧组成数据包，包中封装有网络层包头，其中含有逻辑地址信息，包括源站点和目的站点地址的网络地址。,2.1 OSI参考模型,4. 传输层(Transport Layer) 该层的任务时根据通信子网的特性最佳的利用网络资源，并以可靠和经济的方式，为两个端系统（也就是源站和目的站）的会话层之间，提供建立、维护和取消传输连接的功能，负责可靠地传输数据。在这一层，信息的传送单位是报文。,2.1 OSI参考模型,5. 会话层(Session Layer) 这一层也可以称为会晤层或对话层，在会话层及以上的高层次中，数据传送的单位不再另外命名，统称为报文。会话层不参与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。,2.1 OSI参考模型,6. 表示层(Presentation Layer) 这一层主要解决拥护信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法，转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩，加密和解密等工作都由表示层负责。,2.1 OSI参考模型,7. 应用层(Application Layer) 应用层确定进程之间通信的性质以满足用户需要以及提供网络与用户应用软件之间的接口服务。,2.2 TCP/IP参考模型,ISO制定的OSI参考模型的过于庞大、复杂招致了许多批评。与此对照，由技术人员自己开发的TCP/IP协议栈获得了更为广泛的应用。如图2.3所示，是TCP/IP参考模型和OSI参考模型的对比示意图。,2.2 TCP/IP参考模型,TCP/IP参考模型分为四个层次：应用层、传输层、网络互连层和主机到网络层。如图2.4所示。,2.2 TCP/IP参考模型,1. 主机到网络层 实际上TCP/IP参考模型没有真正描述这一层的实现，只是要求能够提供给其上层-网络互连层一个访问接口，以便在其上传递IP分组。由于这一层次未被定义，所以其具体的实现方法将随着网络类型的不同而不同。,2.2 TCP/IP参考模型,2. 网络互连层 网络互连层是整个TCP/IP协议栈的核心。它的功能是把分组发往目标网络或主机。同时，为了尽快地发送分组，可能需要沿不同的路径同时进行分组传递。因此，分组到达的顺序和发送的顺序可能不同，这就需要上层必须对分组进行排序。,2.2 TCP/IP参考模型,3. 传输层 在TCP/IP模型中，传输层的功能是使源端主机和目标端主机上的对等实体可以进行会话。在传输层定义了两种服务质量不同的协议。即：传输控制协议TCP（Transmission Control Protocol）和用户数据报协议UDP（User Datagram Protocol）。,2.2 TCP/IP参考模型,4. 应用层 TCP/IP模型将OSI参考模型中的会话层和表示层的功能合并到应用层实现。应用层面向不同的网络应用引入了不同的应用层协议。其中，有基于TCP协议的，如文件传输协议（File Transfer Protocol，FTP）、虚拟终端协议（TELNET）、超文本链接协议（Hyper Text Transfer Protocol，HTTP），也有基于UDP协议的，如SNMP协议等。,2.3 常用的网络服务,网络上的服务很多，这里介绍常用的四个服务即：Web服务、FTP服务、E-Mail服务和Telnet服务。,2.3 常用的网络服务,WEB服务也称为WWW(World Wide Web)服务，主要功能是提供网上信息浏览服务。WWW也可以简称为 Web，中文名字为“万维网”。,2.3 常用的网络服务,1. Microsoft IIS Microsoft的Web服务器产品为Internet Information Server (IIS)， IIS 是允许在公共Intranet或Internet上发布信息的Web服务器。,2.3 常用的网络服务,2. IBM WebSphere WebSphere Application Server 是一种功能完善、开放的Web应用程序服务器，是IBM电子商务计划的核心部分，它是基于 Java 的应用环境，用于建立、部署和管理 Internet和Intranet Web应用程序。,2.3 常用的网络服务,3. BEA WebLogic BEA WebLogic Server是一种多功能、基于标准的Web应用服务器，为企业构建自己的应用提供了坚实的基础。,2.3 常用的网络服务,4. Apache Apache仍然是世界上用的最多的Web服务器，市场占有率达60%左右。它源于NCSA httpd服务器，当NCSA WWW服务器项目停止后，那些使用NCSA WWW服务器的人们开始交换用于此服务器的补丁，这也是Apache名称的由来(Pache 补丁),2.3 常用的网络服务,5. Tomcat Tomcat是一个开放源代码、运行Servlet和JSP Web应用软件的基于Java的Web应用软件容器。Tomcat Server是根据Servlet和JSP规范进行执行的，因此我们就可以说Tomcat Server也实行了Apache-Jakarta规范且比绝大多数商业应用软件服务器要好。图2.9 Tomcat的图标如图所示。,2.3 常用的网络服务,2.3.2 FTP服务 FTP（File Transfer Protocol）是文件传输协议的简称。正如其名所示：FTP的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序）察看远程计算机有哪些文件，然后把文件从远程计算机上拷到本地计算机，或把本地计算机的文件送到远程计算机去。,2.3 常用的网络服务,2.3.2 FTP服务 常用的FTP工具有很多如CuteFTP、LeapFTP、FlashFXP、TurboFTP、ChinaFTP、AceFTP等。CuteFTP的界面如图2.10所示。,2.3 常用的网络服务,另外，微软也提供FTP服务，如图2.11所示。,2.3 常用的网络服务,电子邮件（E-mail，也被大家昵称为“伊妹儿“）是Internet应用最广的服务。具统计，每天80%上网的人都要使用这个服务。电子邮件地址的典型格式是abcxyz，这里之前是您自己选择代表您的字符组合或代码，之后是为您提供电子邮件服务的服务商名称，如。常用的邮件系统包括Outlook Express(如图2.12所示)和Foxmail(如图2.13所示)等。,2.3 常用的网络服务,Foxmail。,2.3 常用的网络服务,Foxmail软件上的邮件服务器的设置如图2.14所示。,2.3 常用的网络服务,Outlook中的SMTP和POP3设置,2.3 常用的网络服务,2.3.4 Telnet服务 Telnet是TCPIP网络的登录和仿真程序。它最初是由ARPANET开发的，现在它主要用于Internet会话。它的基本功能是，允许用户登录进入远程主机系统。起初，它只是让用户的本地计算机与远程计算机连接，从而成为远程主机的一个终端。Telnet的应用不仅方便了我们进行远程登录，也给hacker们提供了又一种入侵手段和后门。如图2.16所示为在DOS下使用Telnet进行登录。,2.3 常用的网络服务,使用Telnet协议进行远程登陆时需要满足以下条件：在本的计算机上必须装有包含Telnet协议的客户程序；必须知道远程主机的IP地址或域名；必须知道登录标识与口令。Telnet远程登录服务分为以下4个过程： 1. 本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的IP地址或域名。 2. 将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报。,2.3 常用的网络服务,3. 将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果。 4. 最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。,2.4 常用的网络命令,Windows是从简单的DOS字符界面发展过来的。虽然平时在使用Windows操作系统的时候，主要是对图形界面进行操作，但是DOS命令仍然非常有用，特别是在计算机安全故障诊断与排除过程中，这些命令就显得更为重要了。本小节介绍这些命令的作用，同时学习如何使用这些命令的技巧。 2.4.1 ping命令 Ping命令利用的原理 网络上的机器都有唯一的IP 地址，给目标发送一个数据包，对方就要返回一个同样大小的数据包，根据返回的数据包可以确定目标主机的存在、可以初步判断目标主机的操作系统和连接到对方主机的速度等。,2.4.1 ping命令,1. pingIP 例如ping，如图2.17所示。,2.4.1 ping命令,2. ping URL 如ping 新浪网，如图2.18所示。,2.4.1 ping命令,3. ping IP -t 连续对IP地址执行ping命令，直到被用户以Ctrl+C中断。例如ping -t，如图2.19所。中断如图2.20所示。,2.4.1 ping命令,图2.20 使用Ctrl+C中断pingIP-t命令,2.4.2 ipconfig命令,ipconfig可用于显示当前的TCP/IP配置的设置值。这些信息一般用来检验人工配置的TCP/IP设置是否正确。但是，如果计算机和所在的局域网使用了动态主机配置协议（DHCP），这个程序所显示的信息会更加实用。这时，ipconfig可以了解自己的计算机是否成功的租用到一个IP地址，如果租用到则可以了解它目前分配到的是什么地址。了解计算机当前的IP地址、子网掩码和缺省网关实际上是进行测试和故障分析的必要项目。,2.4.1 ping命令,4. pingIP-l3000 指定ping命令中的数据长度为3000字节，而不是缺省的32字节。该命令的使用如图2.21所示。,2.4.1 ping命令,5. pingIPncount 执行特定次数(count次)的ping命令。如图2.22所示为执行100次的ping命令。,2.4.2 ipconfig命令,1. ipconfig 当使用ipconfig不带任何参数选项时，它为每个已经配置了的接口显示IP地址、子网掩码和缺省网关值。如图2.23所示，显示的IP地址为90，子网掩码为，默认为。,2.4.2 ipconfig命令,2. ipconfig/all 当使用all参数时，ipconfig能为DNS和WINS服务器显示它已配置且所要使用的附加信息（如IP地址等），并且显示内置于本地网卡中的物理地址（MAC）。如果IP地址是从DHCP服务器租用的，ipconfig将显示DHCP服务器的IP 地址和租用地址预计失效的日期。如图2.24所示为ipconfig/all命令的使用。,2.4.3 netstat命令,1. netstat -a 本选项显示一个所有的有效连接信息列表，包括已建立的连接（ESTABLISHED），也包括监听连接请求（LISTENING）的那些连接，如图2.25所示。,2.4.3 netstat命令,2. netstat -n 显示所有已建立的有效连接，如图2.26所示。,2.4.3 netstat命令,3. netstat -r 本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的信息。除了显示有效路由外，还显示当前有效的连接。如图2.27所示。,2.4.3 netstat命令,这些命令也可以连接使用，如netstat -an如图2.28所示。,2.4.4 arp命令,arp是地址转换协议的意思，它也是一个重要的命令，用于确定对应IP地址的网卡物理地址。用arp命令，能够查看本地计算机或另一台计算机的arp高速缓存中的当前内容。 arp-a或arp-g。用于查看高速缓存中的所有项目。-a和-g参数的结果是一样的。如图2.29所示，可以看到IP地址和物理地址。,2.4.5 net命令,net命令是一个命令行命令，它有很多函数用于实用和核查计算机之间的NetBIOS连接，可以查看管理网络环境、服务、用户、登陆等信息内容。关于net命令的使用参数也很多，如net view、net user、net use、net time、net start、net share、net print、net name、net group、net computer、net accounts等。最常见的使用方法如下：,2.4.5 net命令,1. netshare 它的作用是用来创建、删除或显示共享资源。如图2.30所示为查看系统中的共享资源，图中显示了一个IPC$空连接共享。,2.4.5 net命令,2. netstart 它的作用是启动服务，或显示已启动服务的列表。命令格式为net start。如图2.31所示。,2.4.6 at命令,at命令是Windows系列操作系统中内置的命令。at命令可在指定时间和日期、在指定计算机上运行命令和程序。 可以在“开始”“运行”出现的DOS提示符下面输入at命令。下面就来看看at命令的一些实例分析。 1. 定时关机 命令：at22:00ShutDownST40 该命令运行后，到了22:00点，电脑会出现“系统关机”对话框，并默认40秒延时自动关机。,2.4.6 at命令,2. 定时提醒 命令：at11:00netsend22“与朋友约会的时间到了，快点准备出发吧! ” 其中netsend是Windows内部程序，可以发送消息到网络上的其他用户、计算机。22是本机电脑的IP地址。这个功能在Windows中也称作“信使服务”。 3自动运行批处理文件 如果公司的数据佷重要，要求在指定的日期/时间进行备份，那么运行： 命令：at2:00AM/Every:SaturdayBackUp.bat,2.4.6 at命令,4、取消已经安排的计划 命令：at5/delete 有时候，已经安排好的计划可能临时变动，这样可以及时地用上述命令删除该计划(5为指派给已计划命令的标识编号），当然，删除该计划后，可以重新安排。,2.4.7 tracert命令,tracert 命令显示用于将数据包从计算机传递到目标位置的一组 IP 路由器，以及每个跃点所需的时间。如果数据包不能传递到目标，tracert 命令将显示成功转发数据包的最后一个路由器。当数据报从计算机经过多个网关传送到目的地时，tracert命令可以用来跟踪数据报使用的路由（路 径）。该实用程序跟踪的路径是源计算机到目的地的一条路径，不能保证或认为数据报总遵循这个路径。,2.4.7 tracert命令,1. tracertip或tracertURL (注：上面的URL表示网址) 该命令返回到达 IP 地址所经过的路由器列表。如图2.32所示为本机到新浪网的所有路由器列表。,2.4.7 tracert命令,2. tracertIPd或tracertURLd 通过使用-d 选项，将更快地显示路由器路径，因为 tracert 不会尝试解析路径中路由器的名称。如图2.33所示为tracertIPd命令的使用。,2.4.8 route命令,1. routeprint 本命令用于显示路由表中的当前项目，在单路由器网段上的输出；由于用IP地址配置了网卡，因此所有的这些项目都是自动添加的。如图2.34所示为routeprint命令的使用。,2.4.8 route命令,2. routeadd 使用本命令，可以将信路由项目添加给路由表。例如，如果要设定一个到目的网络3的路由，其间要经过5个路由器网段，首先要经过本地网络上的一个路由器，器IP为，子网掩码为24，那么应该输入以下命令： routeadd3mask24metric5,2.4.8 route命令,3. routechange 可以使用本命令来修改数据的传输路由。不过，不能使用本命令来改变数据的目的地。下面这个例子可以将数据的路由改到另一个路由器，它采用一条包含3个网段的更直的路径： routeadd3mask2450metric3 (4) routedelete 使用本命令可以从路由表中删除路由。例如：routedelete3。,2.4.9 nbtstat命令,使用 nbtstat 命令释放和刷新 NetBIOS 名称。NBTStat用于提供关于NetBIOS的统计数据。运用NetBIOS，可以查看本地计算机或远程计算机上的NetBIOS名字表格。Nbstat命令最常见的使用方法如下： 1. nbtstatn 显示寄存在本地的名字和服务程序。如图2.35所示为nbtstatn命令的使用。,2.4.9 nbtstat命令,2. nbtstatc 本命令用于显示NetBIOS名字高速缓存的内容。NetBIOS名字高速缓存用于寸放与本计算机最近进行通信的其他计算机的NetBIOS名字和IP地址对。如图2.36所示为nbtstatc命令的使用。,2.4.9 nbtstat命令,3. nbtstatr 本命令用于清除和重新加载NetBIOS名字高速缓存。如图2.37所示为nbtstatr命令的使用。,2.4.9 nbtstat命令,4. nbtstat-aIP 通过IP显示另一台计算机的物理地址和名字列表，所显示的内容就象对方计算机自己运行nbtstat-n一样。,6.2.1 分类的 IP 地址 1. IP 地址及其表示方法,我们把整个因特网看成为一个单一的、抽象的网络。IP 地址就是给每个连接在因特网上的主机（或路由器）分配一个在全世界范围是惟一的 32 bit 的标识符。 IP 地址现在由因特网名字与号码指派公司ICANN (Internet Corporation for Assigned Names and Numbers)进行分配,IP 地址的编址方法,分类的 IP 地址。这是最基本的编址方法，在 1981 年就通过了相应的标准协议。 子网的划分。这是对最基本的编址方法的改进，其标准RFC 950在 1985 年通过。 构成超网。这是比较新的无分类编址方法。1993 年提出后很快就得到推广应用。,分类 IP 地址,每一类地址都由两个固定长度的字段组成，其中一个字段是网络号 net-id，它标志主机（或路由器）所连接到的网络，而另一个字段则是主机号 host-id，它标志该主机（或路由器）。 两级的 IP 地址可以记为： IP 地址 := , ,:= 代表“定义为”,net-id 24 bit,host-id 24 bit,net-id 16 bit,net-id 8 bit,IP 地址中的网络号字段和主机号字段,0,A 类地址,host-id 16 bit,B 类地址,C 类地址,0,1,1,D 类地址,1 1 1 0,多 播 地 址,E 类地址,保 留 为 今 后 使 用,1 1 1 1 0,0,1,net-id 24 bit,host-id 24 bit,net-id 16 bit,net-id 8 bit,IP 地址中的网络号字段和主机号字段,0,A 类地址,host-id 16 bit,B 类地址,C 类地址,0,1,1,D 类地址,1 1 1 0,多 播 地 址,E 类地址,保 留 为 今 后 使 用,1 1 1 1 0,0,1,A 类地址的网络号字段 net-id 为 1 字节,net-id 24 bit,host-id 24 bit,net-id 16 bit,net-id 8 bit,IP 地址中的网络号字段和主机号字段,0,A 类地址,host-id 16 bit,B 类地址,C 类地址,0,1,1,D 类地址,1 1 1 0,多 播 地 址,E 类地址,保 留 为 今 后 使 用,1 1 1 1 0,0,1,B 类地址的网络号字段 net-id 为 2 字节,net-id 24 bit,host-id 24 bit,net-id 16 bit,net-id 8 bit,IP 地址中的网络号字段和主机号字段,0,A 类地址,host-id 16 bit,B 类地址,C 类地址,0,1,1,D 类地址,1 1 1 0,多 播 地 址,E 类地址,保 留 为 今 后 使 用,1 1 1 1 0,0,1,C 类地址的网络号字段 net-id 为 3 字节,net-id 24 bit,host-id 24 bit,net-id 16 bit,net-id 8 bit,IP 地址中的网络号字段和主机号字段,0,A 类地址,host-id 16 bit,B 类地址,C 类地址,0,1,1,D 类地址,1 1 1 0,多 播 地 址,E 类地址,保 留 为 今 后 使 用,1 1 1 1 0,0,1,A 类地址的主机号字段 host-id 为 3 字节,net-id 24 bit,host-id 24 bit,net-id 16 bit,net-id 8 bit,IP 地址中的网络号字段和主机号字段,0,A 类地址,host-id 16 bit,B 类地址,C 类地址,0,1,1,D 类地址,1 1 1 0,多