第二章网络协议与安全.ppt

网络协议与安全 OSI模型 OSI模型 即开放式通信系统互联参考模型 OpenSystemInterconnectionReferenceModel 是国际标准化组织 ISO 提出的一个试图使各种计算机在世界范围内互连为网络的标准框架 简称OSI OSI参考模型中的数据封装过程 TCP IP和OSI的对应关系 TCP IP协议体系结构 TCP IP的工作过程动画 FTP TELNET SMTP HTTP TCP UDP IP ARP RARP ICMP 各种设备驱动程序和网络接口 应用层 传输层 网络层 链路层 网络协议安全问题 TCP IP数据封装动画演示 ARP协议 功能 负责将某个IP地址解析成对应的MAC地址视频地址解析过程 ARP缓存 静态项和动态项相关命令 RARP协议漏洞 无连接 无认证常见攻击 ARP欺骗 拒绝服务攻击解决办法 IP协议 提供无连接的数据报datagram传送服务数据报路由选择和差错控制Datagram和fragementIP协议支持的最长datagram为65535byteIP协议将Datagram封装为符合物理网络要求的帧格式的分片fragement IP报文格式 IP协议的安全问题 针对IP协议漏洞的攻击IP欺骗分片重组漏洞 Teardrop攻击 FragmentOverlap攻击 bonkRIP路由选择攻击 RIPRoutingAttacks 源路由选择欺骗 sourceroutingspoofing 定向广播数据保密性依靠上层协议IPSec 实现加密的安全通信路由体系中的应用可以保证路由广播 重定向报文等来自授权路由 TCP协议 提供面向连接的可靠传输的服务 提供重排IP数据包顺序 超时确认等功能 建立TCP连接 三次握手 TCP下的握手过程以及TCP下的IP欺骗 端口号和套接字 端口号套接字 端口分类和常见端口 FTP 2120SSH 22Telnet 23SMTP 25POP3 110HTTP 80HTTPS 443DNS 53NETBIOSnameservice 137 138 139SNMP 161SOCKS 1080 网络状态的查看 netstat C DocumentsandSettings Administrator netstat aActiveConnectionsProtoLocalAddressForeignAddressStateTCPWStation epmapWStation 0LISTENINGTCPWStation microsoft dsWStation 0LISTENINGTCPWStation netbios ssnWStation 0LISTENINGTCPWStation 1055183 61 23 250 httpCLOSE WAITTCPWStation 1082183 61 32 183 httpESTABLISHEDTCPWStation 1084119 146 200 17 httpESTABLISHEDTCPWStation 1085119 146 200 17 httpESTABLISHEDTCPWStation 1099119 147 32 147 httpsTIME WAITTCPWStation 1100119 147 32 147 httpsESTABLISHEDTCPWStation netbios ssnWStation 0LISTENINGUDPWStation microsoft ds UDPWStation ntp UDPWStation netbios ns UDPWStation netbios dgm 连接状态State LISTEN侦听来自远程TCP端口的连接请求 这是服务器端才有的状态 SYN SENT在发送连接请求后等待匹配的连接请求 SYN RECEIVED在收到和发送一个连接请求后等待对连接请求的确认 ESTABLISHED代表一个打开的连接 数据可以传送给用户 表示两机正在通讯 FIN WAIT 1等待远程TCP的连接中断请求 或先前的连接中断请求的确认 FIN WAIT 2从远程TCP等待连接中断请求 CLOSE WAIT等待从本地用户发来的连接中断请求 CLOSING等待远程TCP对连接中断的确认 LAST ACK等待原来发向远程TCP的连接中断请求的确认 TIME WAIT等待足够的时间以确保远程TCP接收到连接中断请求的确认 CLOSED没有任何连接状态 Netstat C DocumentsandSettings Administrator netstat 显示协议统计信息和当前TCP IP网络连接 NETSTAT a b e n o pproto r s v interval a显示所有连接和监听端口 b显示包含于创建每个连接或监听端口的可执行组件 在某些情况下已知可执行组件拥有多个独立组件 并且在这些情况下包含于创建连接或监听端口的组件序列被显示 这种情况下 可执行组件名在底部的 中 顶部是其调用的组件等等 直到TCP IP部分 注意此选项可能需要很长时间 如果没有足够权限可能失败 e显示以太网统计信息 此选项可以与 s选项组合使用 n以数字形式显示地址和端口号 o显示与每个连接相关的所属进程ID pproto显示proto指定的协议的连接 proto可以是下列协议之一 TCP UDP TCPv6或UDPv6 如果与 s选项一起使用以显示按协议统计信息 proto可以是下列协议之一 IP IPv6 ICMP ICMPv6 TCP TCPv6 UDP或UDPv6 r显示路由表 s显示按协议统计信息 默认地 显示IP IPv6 ICMP ICMPv6 TCP TCPv6 UDP和UDPv6的统计信息 p选项用于指定默认情况的子集 v与 b选项一起使用时将显示包含于为所有可执行组件创建连接或监听端口的组件 Interval重新显示选定统计信息 每次显示之间暂停时间间隔 以秒计 按CTRL C停止重新显示统计信息 如果省略 netstat显示当前配置信息 只显示一次 QQ通讯的网络状态 C DocumentsandSettings Administrator netstat abActiveConnectionsProtoLocalAddressForeignAddressStatePIDTCPWStation 912WStation 0LISTENING144 vmware authd exe TCPWStation 6291192 168 1 64 3188ESTABLISHED2472 QQ exe TCPWStation 6295192 168 1 64 3186ESTABLISHED2472 QQ exe TCPWStation 6246183 61 23 250 httpCLOSE WAIT5472 AlipaySafeTran exe TCPWStation 6293121 11 67 142 httpTIME WAIT0TCPWStation 6294121 11 67 142 httpTIME WAIT0UDPWStation 1027 1184 QQPCRtp exe UDPWStation 5240 6140 QQProtect exe UDPWStation 4001 2472 QQ exe UDPWStation 5265 2472 QQ exe UDPWStation 6233 3880 QQExternal exe TCPview UDP协议 无连接的传输协议不提供对数据传输可靠性的保证机制不保证数据发送顺序UDP的安全问题 TCP和UDP协议的安全问题 DOS DenialOfService DDOS DistributedDenialOfService 常见的DoS攻击TCP SYNFloodUDPFloodRst位的DoS攻击DRDOS攻击实施DoS攻击最主要的就是构造需要的TCP数据 充分利用TCP协议 阻止DoS的办法 ICMP协议InternetControlMessagesProtocol 作用 用于在TCP IP网络中发送控制消息 提供可能发生在通信环境中的各种问题反馈 通过这些信息 令管理者可以对所发生的问题作出诊断 然后采取适当的措施去解决它 无连接 ICMP消息都是直接封装在一个IP数据报 ICMP报头及安全问题 费尔南多Gont漏洞Pingofdeath ping l65535 ICMP报文类型 远程登录telnet tcp23rlogin tcp513 远程登录常见的远程登录工具 telnetrlogin远程桌面 安全问题信息泄露 telnet和rlogin明文传输简单验证 无完整性检查解决办法SSH FTP协议 TCP21TCP20 FTP的两种工作模式 主动模式被动模式安全问题 明文解决办法 SSH SSH SecureShell TCP22 SSH是一种保障网络通信安全的协议 SSH最初的版本是为提供一个安全的远程登录工具以取代TELNET和其他不安全的远程登录模式 SSH也提供C S服务以及类似文件传输和电子邮件的网络功能 SSH隧道技术 SSH利用端口转发 可以将任何非安全的TCP连接转换为安全的SSH连接 这被称为SSH隧道技术 SSH的隧道技术 域名到IP地址的映射TCP53 UDP53DNS的层次结构 DNS域名系统 UDP53 TCP53 DNS域名系统 TCP53 UDP53 DNS查询方式WHOIS协议漏洞动态IP域名劫持无连接不可靠 DNS 相关命令 nslookupC DocumentsandSettings Administrator Server cache Address 202 96 128 166Non authoritativeanswer Name Addresses 183 60 49 235 183 60 49 237 183 60 49 25 183 60 48 241183 60 48 252 183 60 49 11 183 60 49 191 183 60 49 192 183 60 49 193183 60 49 205 183 60 49 206 183 60 49 219 183 60 49 220 183 60 49 222183 60 49 223 183 60 49 227 DNS Hosts文件与域名解析 Hosts文件的存放位置C Winnt System32 Drivers EtcHosts与DNS的解析顺序Hosts的作用和使用技巧加快域名解析方便局域网用户屏蔽网站绕过域名劫持风险静态映射恶意修改 Internet邮件结构 SMTP协议 TCP25 安全问题明文传输接受者无法确定收到邮件的安全性接受者无法对发送者进行身份确认信源抵赖信宿抵赖垃圾邮件 过滤器 拦截率和误报率 解决办法PGPS MIMEDKIM过滤技术 PGP prettygoodprivacy 符号约定 Ks会话密钥 用于对称加密PR私钥PU公钥EP公钥加密DP公钥解密EC对称加密DC对称解密HHash函数Z压缩算法 S MIME SMTP 由RFC821定义 支持RFC5322的消息格式 文本 存在以下限制 不能传输可执行文件和其他二进制对象 不能传输含有国际语言字符的文本数据 因为这些字符是8位码表示 但SMTP限于7位的ASCII码 限制邮件的大小 MIME是RFC5322的扩展 目的是解决一些因使用SMTP或其他邮件传输协议S MIME是Secure MIME 与PGP非常相似 二者均提供了签名和加密消息的功能 还支持签收等增强安全性服务 DKIM DomainKeysIdentifiedMail DKIM是一个用密码学方法签名电子邮件的规范 作为因特网标准 RFC4871 被广泛接纳 DKIM规定