第二章网络协议安全分析.ppt

第二章 TCP IP的安全分析 主要内容 TCP IP网络协议体系以太网帧的分析IP协议数据包的分析ARP协议数据包的分析ICMP协议数据包的分析TCP UDP协议数据包的分析TCP IP协议安全分析Sniffer软件的应用 2 0网络协议 网络协议 一系列规则和约定 控制 并规范了网络中所有设备之间如何进行信息交流 分层模型 将网络通信任务分解 汽车生产流水线 主要协议 针对分层任务而设计协议封装 为完成协议功能而定义 信件封装 任何协议的数据包最终都是以以太网数据帧格式收发 2 1网络协议 数据链路层 前导码 8Byte 由0 1间隔代码组成 用以通知接收端作好接收准备 目标地址 6Byte 接收端的网卡MAC地址 源地址 6Byte 发送端的网卡MAC地址 类型 2Byte 上层协议类型 ARP 0X0806IP OX0800 数据 上层协议数据包 以太网帧的数据长度46 1500Byte 以太网数据帧最长1500 6 6 2 1514Byte 帧校验序列 4Byte 循环冗余校验值 CRC 发送端计算生成 接收端重新计算校验 以确定帧在传送过程中是否被损坏 以太网数据帧 2 1网络协议 Sniffer分析 2 2网络协议 网络层 IP协议 IP协议功能 采用IP地址网络定位 并基于IP地址为每个数据报寻找一条从源主机到目的主机的传输路径 提供无连接的尽力而为的数据传输服务 路由 家庭地址 IP协议原理 网络通信分为两步 网际层IP协议负责根据目的IP地址确定下一跳 包括网关 路由数据链路层负责封装网际层指定的下一跳设备的MAC地址 收发 2 2网络协议 网络层 IP协议 为什么要设置该数据项 该数据项是怎样起作用 IP数据报 2 2网络协议 网络层 IP协议 版本 4bits 版本号规定了数据报的格式 IPv4版本号为0 x4 IPv6版本号为0 x6 报头长度 4bits 按32bits标定的报头长度 0 x5 报文长度 16bits 按Byte标定数据报 报头 报文 的总长 服务级别 8bits 实现QoS 提供区分服务 需路由器支持 如电信服务优先级 表示本数据报的重要程度 服务类型 表示本数据报所期望的传输类型 标识符 16bits 与目的IP地址 源IP地址一起唯一标识数据报 标志 3bits 分段偏移 13bits 数据报分片重组 如何实现 生存期TTL 8bits 数据报在因特网中允许存在的最大生存时间 如何实现 上层协议号 8bits 数据报封装什么数据 TCP 6 UDP 17 ICMP 1 IGMP 2 报头校验和 16bits 确保报头的正确性和完整性 如何校验 源IP地址 32bits 目的IP地址 32bits 可选项 可支持排错 测量以及安全等措施 增强IP协议的功能 填充项 可变长度 保证IP报头以32位为边界对齐 报头长度按32bit计 2 2网络协议 网络层 IP协议 数据报分片与重组原因 运输 网络数据 IP数据报 最终都是通过物理网络帧 网络接口 传输 在理想的情况下 整个数据报被封装在一个物理帧中传输时网络效率最高 但是 不同的物理网络技术上所采用的最大帧长 最大传输单元MTU 是相异的 当数据报分组从一个MTU较大的网络经路由器中继到一个MTU较小的网络上时 由于分组过长 路由器就会要么拒绝中继 要么将数据报分片后再传送 数据项 数据报标识 同一数据报分片成为若干数据报 标识采用原数据报标识 便于接收端重组标志 Don tFragment 1不允许分片0允许分片便于中间节点处理More 1不是最后数据片0最后数据片便于接收端重组分段偏移 新数据报中的分片数据在原数据报中相对于数据开始处的偏移量 64bit为单位 实现 2 2网络协议 网络层 IP协议 2 2网络协议 网络层 IP协议 数据报生存原因 数据报可能因为路由表不可靠而选择了一个循环路由 导致数据报在Internet中无休止地流动 垃圾数据报引起网络性能下降 数据报一经产生就必须定义其生存时间 一旦时间小于等于0 便将该数据报从Internet中删除 并向信源机发回出错信息 但精确的计时首先需要因特网中所有节点的时钟精确同步 这是很难做到的 数据项 生存期TTL实现 每当产生一新的数据报时 就为它设置一个最大的生存时间 以路由跳数标记 当数据报经过路由上的每个路由器 路由器处理报头 从存活时间中减去1 当存活时间等于0 路由器决定将该数据报从Internet删除 2 2网络协议 网络层 IP协议 数据报校验和发送方 设校验和初值为0 然后对数据按16位求异或 结果取反 便得校验和接收方 对数据按16位求异或 含校验和 结果取反为0 则数据正确校验和只能检测线路的差错 不能从根本上防范人为的破坏 2 2网络协议 Sniffer分析 2 2网络协议 网络层 ARP协议 ARP协议功能用户进程采用IP地址进行通信 网际层IP协议采用IP地址封装数据报 并根据目的IP地址确定下一跳 路由 网络接口将数据报封装为目的地址为下一跳MAC地址的数据帧 并转发下一跳 ARP协议负责根据主机的IP地址获取主机的MAC地址 是必不可少的辅助协议 ARP协议原理源主机检索本地缓存中的ARP表查找目的主机的MAC地址 若ARP表中找不到 采用学习机制获取目的主机的MAC地址 源主机广播ARP请求 目的主机回送ARP回答 源主机更新ARP表工作过程分析本地目的主机ARP协议获取目的主机MAC地址 网络接口直接将数据帧发送给目的主机 非本地目的主机 传音 逐节点转发 源主机 源主机网关 下一跳节点 目的主机 IP协议根据目的主机IP地址选择下一跳节点 ARP协议获取下一节点的MAC地址 网络接口将数据帧转发给下一跳节点 2 2网络协议 网络层 ARP协议 硬件类型 硬件地址类型 MAC地址类型为0X0001协议类型 协议地址类型 IP地址类型为0X0800硬件地址长度 MAC地址长度0X06字节 48bits 协议地址长度 IP地址长度0X04字节 32bits 操作 请求0X0001回答0X0002 ARP报文 2 2网络协议 Sniffer分析 ARP数据包解析 报文查看分析 ARP ARP请求ARP回答 2 2网络协议 网络层 ICMP协议 ICMP协议功能 IP协议提供的是无连接 不可靠的数据报传送 不可避免出现差错 所以需要向发送端报告差错情况与网络状况 ICMP协议负责向发送端报告差错情况与检测网络状况 只报告 不处理 以便发送端作出相应的处理 ICMP报文含差错报告报文和查询报文 ICMP报文类型差错报告报文 目的站不可达 源站抑制 超时 参数问题 改变路由查询报文 回送请求与应答 时间戳请求与应答 地址掩码请求与应答 路由器与通告ICMP协议原理 Ping原理源端发送 回送请求报文 类型8 目的端收到报文后返回 回送应答报文 类型0 若源端收到来自目的端的 回送应答报文 网络连通 若源端没有成功收到来自目的端的 回送应答报文 根据原因提示超时 主机不存在 目的不可达等错误信息 2 2网络协议 网络层 ICMP协议 类型 ICMP报文类型 0 3 4 5 8 18代码 指定报文类型中一个功能校验和 ICMP报文校验和内容 ICMP报文内容 不同类型报文内容不同 ICMP报文 2 2网络协议 Sniffer分析 2 2网络协议 网络层 IGMP协议 IGMP协议功能 IGMP协议用于多播网络 负责向多播路由器报告主机加入或退出一个多播组 ICMP报文含路由器查询报文和主机报告报文 IGMP协议原理 进程加入一个多播组 主机发送IGMP报告报文向多播路由器报告 多播路由器定时发送IGMP查询报文向主机查询多播组成员 若主机包含进程属于某个多播组必须回送IGMP报告报文若已退出多播组不必回复 2 2网络协议 网络层 IGMP协议 版本 版本1 版本2 版本3类型 查询报文1 报告报文2校验和 IGMP报文校验和组地址 D类地址 224 239 查询报文为全0 所有组 报告报文为要参加的组地址 IGMP报文 2 3网络协议 传输层 TCP UDP协议 UDP协议基于计算机网络的通信功能 网际层 网络接口 为应用进程之间提供非连接的 尽力而为的数据传输服务 TCP协议基于计算机网络的通信功能 网际层 网络接口 为应用进程之间提供面向连接的 可靠的数据传输服务 2 3网络协议 传输层 TCP UDP协议 UDP协议原理端 端通信 端口 直接利用IP协议的数据报服务为网络应用进程提供的通信 发送方 接收方TCP协议原理可靠的面向连接的端 端通信可靠的确认机制支持差错控制窗口机制支持流量控制面向连接的3次握手机制建立 拆除连接端 端通信 2 3网络协议 传输层 TCP UDP协议 UDP报文 TCP报文 2 3网络协议 传输层 TCP协议 源端口 SourcePort 发送进程端口目的端口 DestinationPort 接收进程端口 序列号 Sequencenumber 该TCP报文的首字节序号 确认号 Acknowledgementnumber 两层含义确认号N 通知对端N 1及其之前的字节都已收到并确认 确认号N 通知对端已准备好接收N字节 即对端下一个TCP报文的序列号 首字节序号 报头长度 Headerlength 报文首部长度 单位32bit 码位 Flags 报文类型 窗口 WindowsSize 滑动窗口机制中的允许对方传送窗口大小 单位Byte 校验和 Checksum 伪首部 首部 数据校验和 保证地址 端口号正确 紧急指针 UrgentPointer 码位URG 1时 指向紧急数据最后一个字节 结束位置 可选项 Options 大报文长度 Maximumsegmentsize 单位Byte窗口比例因子F Windowscalefactor WindowSize单位为2F时间戳 Timestamp 确认报文与被确认报文的时间戳相同以监控往返时间 2 3网络协议 传输层 TCP协议 数据传输 端 端通信 为网络应用进程提供数据传输服务 2 3网络协议 传输层 TCP协议 确认机制 对接收的报文进行确认 未成功确认 发送方重发 实现差错控制 序列号序列号 报文首字节序号报文尾字节序号 报文首字节序号 数据长度 字节 1数据长度 下一个报文序列号 首字节序号 前一个报文尾字节序号 1确认号确认号N表示序号N 1之前的所有字节已确认 期待对端发送序列号为N的报文 确认号 1 已经接收并确认的对端报文尾字节序号确认号 期待接收的对端报文序列号 首字节序号 数据传输 2 3网络协议 传输层 TCP协议 窗口机制 知识传授 站点根据系统的当前状况 授权对端可以连续发送未确认的字节数 实现流量控制 窗口窗口 授权对端可以连续发送未确认的字节数对端发送字节范围 确认号 确认号 窗口 1窗口位置随确认号自动滑动 数据传输 2 3网络协议 Sniffer分析 TCP数据包解析 应用进程 报文查看分析 IP TCP 2 3网络协议 传输层 TCP协议 建立 拆除连接 2 3网络协议 Sniffer分析 报文查看分析 IP TCP 设置捕获条件 捕获数据包列表 2 3网络协议 Sniffer分析 TCP数据包解析 建立连接 3次握手 报文查看分析 IP TCP 2 3网络协议 Sniffer分析 TCP数据包解析 拆除连接 报文查看分析 IP TCP 2 3网络协议 Sniffer分析 TCP数据包解析 拆除连接 报文查看分析 IP TCP 2 4网络协议安全分析 TCP IP协议注重异构网的互联 缺乏安全问题的考虑 网络接口安全网络接口负责网络数据的收发 由于以太网 共享 采用广播方式传送信号 信息 数据帧 传递会暴露无遗 安全措施 采用交换式局域网 VLAN 划分子网将两个网络