讲网络安全协议基础PPT课件.ppt

第3讲网络安全协议基础 课程主要内容 TCP协议概述UDP协议与应用ICMP协议与应用常见网络服务常用网络命令使用 TCP是一种面向连接的 可靠的传输层协议 TCP协议建立在不可靠的网络层IP协议之上 IP不能提供任何可靠性机制 TCP的可靠性完全由自己实现 TCP采用的最基本的可靠性技术是 确认与超时重传 流量控制 传输控制协议TCP TCP协议的主要特点 TCP协议与其他协议的层次关系 TCP的端口号分配和Socket地址 TCP常用的熟知端口号 TCP报文的发送过程 TCP报文段格式 源端口和目的端口字段 各占2字节 端口是运输层与应用层的服务接口 运输层的复用和分用功能都要通过端口才能实现 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 序号字段 占4字节 TCP连接中传送的数据流中的每一个字节都编上一个序号 序号字段的值则指的是本报文段所发送的数据的第一个字节的序号 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 确认号字段 占4字节 是期望收到对方的下一个报文段的数据的第一个字节的序号 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 数据偏移 占4bit 它指出TCP报文段的数据起始处距离TCP报文段的起始处有多远 数据偏移 的单位不是字节而是32bit字 4字节为计算单位 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 保留字段 占6bit 保留为今后使用 但目前应置为0 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 紧急比特URG 当URG为1时 表明紧急指针字段有效 它告诉系统此报文段中有紧急数据 应尽快传送 相当于高优先级的数据 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 确认比特ACK 只有当ACK为1时确认号字段才有效 当ACK为0时 确认号无效 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 推送比特PSH PuSH 接收TCP收到推送比特置1的报文段 就尽快地交付给接收应用进程 而不再等到整个缓存都填满了后再向上交付 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 复位比特RST ReSeT 当RST为1时 表明TCP连接中出现严重差错 如由于主机崩溃或其他原因 必须释放连接 然后再重新建立运输连接 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 同步比特SYN 同步比特SYN置为1 就表示这是一个连接请求或连接接受报文 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 终止比特FIN FINal 用来释放一个连接 当FIN为1时 表明此报文段的发送端的数据已发送完毕 并要求释放运输连接 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 窗口字段 占2字节 窗口字段用来控制对方发送的数据量 单位为字节 TCP连接的一端根据设置的缓存空间大小确定自己的接收窗口大小 然后通知对方以确定对方的发送窗口的上限 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 检验和 占2字节 检验和字段检验的范围包括首部和数据这两部分 在计算检验和时 要在TCP报文段的前面加上12字节的伪首部 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 紧急指针字段 占16bit 紧急指针指出在本报文段中的紧急数据的最后一个字节的序号 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 选项字段 TCP只规定了一种选项 即最大报文段长度MSS MaximumSegmentSize MSS告诉对方TCP 我的缓存所能接收的报文段的数据字段的最大长度是MSS个字节 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 填充字段 这是为了使整个首部长度是4字节的整数倍 TCP首部 20字节固定首部 目的端口 数据偏移 检验和 选项 长度可变 源端口 序号 紧急指针 窗口 确认号 保留 FIN SYN RST PSH ACK URG 比特08162431 填充 TCP报文各字段域的含义 TCP协议的三次 握手 主机B 被动打开 主动打开 确认 确认 主机A 连接请求 TCP传输连接建立 建立TCP连接 A的TCP向B发出连接请求报文段 其首部中的同步比特SYN应置为1 并选择序号x 表明传送数据时的第一个数据字节的序号是x B的TCP收到连接请求报文段后 如同意 则发回确认 B在确认报文段中应将SYN置为1 其确认号应为x 1 同时也为自己选择序号y A收到此报文段后 向B给出确认 其确认号应为y 1 A的TCP通知上层应用进程 连接已经建立 当运行服务器进程的主机B的TCP收到主机A的确认后 也通知其上层应用进程 连接已经建立 TCP协议的四次 挥手 TCP连接释放的过程 应用进程释放连接A不再发送报文 主机B 主机A 确认 确认 从A到B的连接就释放了 连接处于半关闭状态 相当于A向B说 我已经没有数据要发送了 但你如果还发送数据 我仍接收 至此 整个连接已经全部释放 TCP传输连接建立举例 TCP传输连接建立 三次握手 TCP传输的连接释放举例 TCP传输连接释放 四次挥手 一次完整的FTP会话 首先开启目标主机的FTP服务 一次完整的FTP会话 启动Sniffer 利用FTP连接目标主机上的FTP服务器 一次完整的FTP会话 一次完整的FTP会话 登录FTP的过程是一次典型的TCP连接 因为FTP服务使用的是TCP协议 其TCP报头的结构 TCP协议的三次 握手 这个过程在FTP的会话中也明显的显示出来 第一次 握手 第二次 握手 SYN为1 开始建立请求连接 需要对方计算机确认 对方计算机确认返回的数据包 第三次 握手 对方计算机返回的数据包中ACK为1并且SYN为1 说明同意连接 这个时候需要源计算机的确认就可以建立连接了 第一次 挥手 第二次 挥手 第一次交互中 首先发送一个FIN 1的请求 要求断开 目标主机在得到请求后发送ACK 1进行确认 第三次 挥手 之后就发送了一个FIN 1的包 与源主机断开 第四次 挥手 随后源主机返回一条ACK 1的信息 一次完整的TCP会话就结束 UDP是一种无连接的 不可靠的传输层协议 在完成进程到进程的通信中提供了有限的差错检验功能 设计比较简单的UDP协议的目的是希望以最小的开销来达到网络环境中的进程通信目的 进程发送的报文较短 同时对报文的可靠性要求不高 那么可以使用UDP协议 用户报文协议UDP UDP协议的主要特点 UDP用户数据报的首部格式 用户数据报UDP有两个字段 数据字段和首部字段 首部字段有8个字节 由4个字段组成 每个字段都是两个字节 UDP用户数据报的首部格式 在计算检验和时 临时把 伪首部 和UDP用户数据报连接在一起 伪首部仅仅是为了计算检验和 UDP用户数据报的首部格式 UDP检验和的检验范围 伪头部 UDP头 应用层数据 UDP端口号 TCP IP协议族中用端口号来标识进程 端口号 16bit 是在0到65535之间的整数 客户程序随机选取的临时端口号 每一种服务器程序被分配了确定的全局一致的熟知端口号 每一个客户进程都知道相应的服务器进程的熟知端口号 2019 12 30 49 UDP使用的熟知端口号 UDP和TCP传递数据的差异 UDP和TCP传递数据的差异类似于电话和明信片之间的差异 TCP就像电话 必须先验证目标是否可以访问后才开始通讯 UDP就像明信片 信息量很小而且每次传递成功的可能性很高 但是不能完全保证传递成功 UDP通常由每次传输少量数据或有实时需要的程序使用 在这些情况下 UDP的低开销比TCP更适合 UDP与TCP提供的服务和功能直接对比 UDP和TCP传递数据的比较 UDP数据报分析 常用的网络服务中 DNS使用UDP协议 DNS是域名系统 DomainNameSystem 的缩写当用户在应用程序中输入DNS名称时 DNS服务可以将此名称解析为与此名称相关的IP地址 设置DNS解析 设置DNS解析 UDP报头 UDP报头的分析 因特网控制报文协议ICMP 为了提高IP数据报交付成功的机会 在网际层使用了ICMP InternetControlMessageProtocol ICMP允许主机或路由器报告差错情况和提供有关异常情况的报告 ICMP不是高层协议 而是IP层的协议 ICMP报文作为IP层数据报的数据 加上数据报的首部 组成IP数据报发送出去 ICMP报文实际上也是一个IP数据报 唯一不同的是 在ICMP报文的IP数据报头部有一个 协议 字段 它指明这是一个ICMP报文 ICMP不是一个独立的协议 而是IP协议的一部分 在每个IP模块中都包含了ICMP的实现代码 因特网控制报文协议ICMP Internet控制报文协议ICMP 当ICMP报文在传输出错时 它会立即向 差错处理过程 产生一个 异常中断 告诉系统这个出错的IP数据报是一个ICMP报文 不需要再产生另一个ICMP报文来向主机报告IP数据报传输出错情况 ICMP报文的接收方不是目的主机的应用程序或其用户 而是目的主机上的IP层 IP模块 在IP模块中有一部分程序专门用来处理ICMP报文 谁可以产生和发送ICMP报文 最初设计ICMP协议的目的是 使得路由器能向主机报告数据报传输失败的原因 另外 主机也可以使用ICMP报文和另一台主机或是路由器进行通信 ICMP报文的格式 ICMP报文的分类 差错报文 作用 用于路由器或主机向出错数据报的源端报告出错情况 单向传输 分为3类 差错报文 1 超时报文 当路由器收到生存时间为0的数据报时 把该数据报丢弃同时向源主机发送超时ICMP报文 差错报文 2 目的端不可达报文 当出现以下情况时 向源站点发送 目的端不可达报文 网络不可达 0 主机不可达 1 协议不可达 2 端口不可达 3 需要分片但DF为1 4 源路由失败 5 差错报文 3 参数出错报文 当路由器或目的端主机收到的数据报的首部中 如果某个字段的值不正确 则丢弃该报文 并向源站点发送 参数出错报文 控制报文 作用 用于拥塞控制和路由控制 单向传输 分为2类 控制报文 1 源抑制报文 用于拥塞控制 当由于网络拥塞而丢弃报文时 就向源主机发送源抑制报文 使源站点知道应该放慢发送报文的速度 控制报文 2 重定向报文 用于路由控制 路由器使用该报文来告诉主机到达目的地可以走的一条最优路径 请求 应答报文 目的 获得有关网络状态的一些信息 双向传输 分为3类 请求 应答报文 1 回应请求 应答报文 用于测试目的端主机是否可达 如果成功接收到一个应答报文 而且应答报文中的数据和原来请求报文中的数据完全相同 则说明 以IP报文的形式在Internet中传输 目的主机可达 发送主机和接收主机中的ICMP软件 IP软件处于正常工作状态 途中的路由器也处于正常工作状态 请求 应答报文 2 时戳请求 应答报文 用于Internet上各个机算计进行时钟同步 主机使用该报文可以获得路由器的地址掩码模式 从而根据地址掩码来解释子网地址 3 地址掩码请求 应答报文 ICMP差错报告报文的数据字段的内容 首部 IP数据报 ICMP的前8字节 装入ICMP报文的IP数据报 IP数据报首部 ICMP差错报告报文 8字节 收到的IP数据报 IP数据报首部 8字节 ICMP差错报告报文 IP数据报的数据字段 不应发送ICMP差错报告报文的几种情况 对ICMP差错报告报文不再发送ICMP差错报告报文 对第一个分片的数据报片的所有后续数据报片都不发送ICMP差错报告报文 对具有多播地址的数据报都不发送ICMP差错报告报文 对具有特殊地址 如127 0 0 0或0 0 0 0 的数据报不发送ICMP差错报告报文 Ping PacketInterNetGopher PING用来测试两个主机之间的连通性 PING使用了ICMP回送请求与回送应答报文 PING是应用层直接使用网络层ICMP的例子 它没有通过运输层的TCP或UDP 因特网包 分组 探索程序 ICMP数据报分析 使用Ping命令发送ICMP回应请求消息 可以检测网络或主机通讯故障并解决常见的TCP IP连接问题 FTP服务 FTP的缺省端口是20 用于数据传输 和21 用于命令传输 在TCP IP中FTP是非常独特的 因为命令和数据能够同时传输 而数据传输是实时的 其他协议不具有这个特性 FTP客户端可以是命令界面的也可以是图形界面的 登录FTP服务器 在浏览器中输入 ftp 主机IP地址 Telnet服务 Telnet是TELecommunicationsNETwork的缩写 其名字具有双重含义 既指应用也是指协议自身 Telnet给用户提供了一种通过网络登录远程服务器的方式 通过端口23工作 开启Telnet服务 Telnet要求有一个Telnet服务器 此服务器驻留在主机上 等待着远端机器的授权登录 要使用Telnet服务首先需要在虚拟机上开启Telnet服务 选择进入Telnet服务管理器 开启Telnet服务 在Telnet服务管理器中选择4 启动Telnet服务器 连接Telnet服务器 Email服务 目前Email服务用的两个主要的协议是 简单邮件传输协议SMTP SimpleMailTransferProtocol 和邮局协议POP3 PostOfficeProtocol SMTP默认占用25端口 用来发送邮件 POP3占用110端口 用来接收邮件 在Windows平台下 主要利用MicrosoftExchangeServer作为电子邮件服务器 Web服务 Web服务是目前最常用的服务 使用HTTP协议 默认Web服务占用80端口在Wi