第15次课ip-tcp udp拒绝服务攻击

建群网培主要内容0102030405IP地址的定义与作用剖析IPv4地址IP地址的层次结构IP地址的分类可变长子网掩码与无分类编址：我能过软考IP地址的定义与作用管理和分配，保证互IPv4地址的定义：IP协议规定的地址叫做IP地址，IP地址由IP地址管理机构进行联网上运行的设备。IPv4地址的作用：★

各种物理网络的地址差异★每种物理网络都有各自的技术特点，其物理地址也各不相同★

物理地址的表示方法不现实★

互联网对各种物理网络地址的“

”通过IP地址在IP层完成4：我能过软考32位的二进制数点分十进制剖析IPv4地址IPv6是128位5：我能过软考二进制与十进制的转换6：我能过软考IPv4地址的层次结构互联网的层次结构互联网网络1网络2网络n……主机主机……主机主机……主机主机……7：我能过软考IPv4地址的层次结构IP地址的组成：网络号netid：标识互联网中一个特定网络。主机号hostid：标示网络中主机的一个特定连接。网络号主机号8：我能过软考IPv4地址的分类9：我能过软考网络数量：1-126，共126个每个网络的主机数量：224-2网络数量：214，共16384个每个网络的主机数量：216-2=65534网络数量：221，共2097152个每个网络的主机数量：28-2=254网络数量10：我能过软考子网掩码——定义网络部分和主机部分IP地址11010000.10101000.00000000.00000001子网掩码11111111.11111111.11111111.00000000IP地址与子网掩码按位“与”运算11000000.10101000.00000000.00000000运算的结果转化为十进制子网掩码：网络号部分用二进制1表示，主机号部分用二进制0表示。A类：B类：C类：子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。两台计算机各自的IP地址与子网掩码进行二进制“与”（AND）运算后，如果得出的结果是相同的，则说明这两台计算机是处于同一个子网络上的，可以进行直接的通讯。

(与运算，逢0得0。)计算机A的IP地址为，子网掩码为，将转化为二进制进行“与”运算，运算过程11：我能过软考IPv4网络中的地址类型网络地址：指代网络的地址。在网络的IPv4地址范围内，最小地址保留为网络地址。此地址的主机部分的每个主机位均为0。如：广播地址：用于向网络中的所有主机发送数据的特殊地址。广播地址使用该网络范围内的最大地址。即主机部分的各比特位全部为1的地址。如：55主机地址：分配给网络中终端设备的地址。回送地址：，指本机地址，一般用来测试，12：我能过软考私有地址

to

55

(

/8)

to

55

(

/12)

to

55

(

/16)公有地址NAT网络地址转换静态转换Static

Nat动态转换Dynamic

Nat端口多路复用OverLoad公有地址和私有地址13：我能过软考子网划分网络ID主机ID网络ID子网ID主机ID扩展子网后的网络ID子网划分（Sub

Networking）是指由网络管理员将一个给定的网络分为若干个更小的部分，这些更小的部分被称为子网（Subnet）。32位14：我能过软考子网划分可变长子网掩码15：我能过软考网络前缀：/8＝/16＝/24

＝

/10

＝?/15

＝?/17

＝?/20

＝?/28

＝?/30

＝?CIDR使用网络前缀代替分类地址中的网络号和子网号，消除了传统的A类、B类和C类地址以及划分子网的概念，更加有效地分配IPv4的地址空间。网络前缀，主机号与00是否可以直接通信？无分类编址CIDR16：我能过软考IP地址的定义与作用剖析IPv4地址IP地址的层次结构IP地址的分类可变长子网掩码与无分类编址小结17建群网培建群网培主要内容0102ﻫIPv4的数据报格式ﻫIP数据报分片实例：我能过软考IPv4的数据报格式20：我能过软考版本号：4位，当前使用的IP版本。首部长度：包头长度，表示包头具有32位字长的数量。IPv4包头的最小长度为20个字节，最大是60个字节。也就是说，选项最多是40个字节。服务类型：8位，

上层协议对处理当前数据包所期望的服务质量，并对数据报按照重要性进行分配。3位：表示优先级，共8级，数字越大，优先级越高。4位：服务类型，D-延迟/delay、T-吞吐量/throughput、R-可靠性/reliability、C-开销/cost1位：保留位IPv4的数据报格式21：我能过软考总长度：16位，指整个IP数据包的字节长度，包括数据和协议头。其最大值是216-1=65535字节。典型的主机可以接收576字节的数据报。标识：包含一个整数，用于识别当前数据报。该字段由发送端分配帮助接收端集中数据报分片。帧的数据域MTU<数据长度时，需要分段，然后需要重组。网络帧的数据域最大字节长度，即最大传输单元MTU,常见的MTU:Ethernet：1500BFDDI:

4352B、Token

Ring

：17914BPPP:296BIPv4的数据报格式22：我能过软考Flags：由3位构成最低位MF：控制分片，1表示存在下一个分片，0代表结束分片。中间位DF：

数据包是否可以进行分片，0表示允许分片。最

保留不适用，但必须为0片偏移：13位，与源数据包的起始端相关的分片数据位置，支持目标IP适当重建源数据报，以8个字节为单位。生存期：是一种计数器，可经过路由器的最大数。为0时，抛弃。协议：长度为8位。指在IP处理过程完成之后，有哪种上层协议接受导入数据包。TCP/UDP/ICMPIPv4的数据报格式23：我能过软考首部校验和：长度为16位。用于校验头标，采用累加求补再取其结果补码的校验方法。若正确到达时，校验和应为零。可选项：长度为0-40字节，支持多种选项，如安全，提供扩展余地。源地址、目标地址：32位，表示源主机和目标主机的网络地址。Data：传递的数据。IPv4的数据报格式24建群网培主要内容0102030405TCP协议的特点TCP分段的格式TCP传输时采用的机制TCP服务的阶段TCP的建立及拆除：我能过软考TCP概述旨在向TCP/IP的应用层提供可靠的、面向连接的端到端数据流传输服务。以虚电路的方式实现应用进程之间端到端的通信。提供了一系列与可靠传输相关的机制：传输层连接的建立与拆除，数据流传输的顺序与确认，差错控制与流量控制，全双工通信的实现等（link）。需要提供大量的控制信息→协议开销较大→常用于需要大量传输交互式报文的应用，如文件传输、虚拟终端服务和邮件服务等。与所有网络协议类似，TCP将所要提供的功能和机制

在了TCP的协议数据单元-分段（segment）之中27：我能过软考TCP拟提供的机制创建会话确保应用程序做好接收数据的准备。可靠传输表示需要重新发送丢失的数据段，确保所接收数据的完整性。同序处理确保按照数据发送的顺序进行处理。流量控制在主机拥堵的情况下管理数据传输。28：我能过软考TCP分段的格式TCP头部数据源端 （16位）目标端 （16位）序号（32位）确认号（32位）头部长度（4位）保留（6位）URGACKPSHRSTSYNFIN窗口大小（16位）校验和（16位）紧急指针（16位）选项及填充015

163129：我能过软考TCP分段中的域TCP头部数据015

1631源端

（16位）目标端

（16位）序号（32位）确认号（32位）头部长度（4位）保留（6位）URGACKPSHRSTSYNFIN窗口大小（16位）校验和（16位）紧急指针（16位）选项及填充源端口：主叫方的端口，长度为16位。目标端口：被叫方的端口，长度为16位。顺序号：分段的序列号，长度为32位，给出该分段数据第一个字节的顺序号，表示该分段在发送数据流中的位置。确认号：长度32位，给出接收端下一个期望接收的TCP分段号。30：我能过软考TCP头部数据源端

（16位）目标端

（16位）序号（32位）确认号（32位）头部长度（4位）保留（6位）URGACKPSHRSTSYNFIN窗口大小（16位）校验和（16位）紧急指针（16位）选项及填充015

1631TCP分段中的域头长：分段的头长，长度为4位，给出数据在分段中的开始位置，头长的位置为32位字长（4Byte）。保留：设置为0（6位未用）。编码位：给出关于分段作用及与分段处理相关的控制信息（link）。31：我能过软考TCP头部数据源端

（16位）目标端

（16位）序号（32位）确认号（32位）头部长度（4位）保留（6位）URGACKPSHRSTSYNFIN窗口大小（16位）校验和（16位）紧急指针（16位）选项及填充015

1631TCP分段中的域窗口：长度16位，表示发送方可以接收的数据量，以8位字长为计量单位。使用可变长滑动窗口协议进行流量控制。校验和：长度为16位，校验包括头和数据，用于差错控制。紧急指针：长度16位，给出从当前顺序号到紧急数据位置的偏移量。任选项：提供增加额外设置的方法，如设置最大分段。32：我能过软考TCP分段中的6个编码位当值设为1时，表示分段中包含相应的控制信息编码位（从左到右）的标识该位置“1”的含义URG表示启用了紧急指针字段ACK表示确认字段是有效的PSH请求急迫操作，即分段一到马上送应用程序而不等到接收缓冲区满时才送应用程序RST连接复位。复位因主机

或其他原因而出现错误的连接，也可用于的分段或 连接请求与ACK合用以建立TCP连接。如SYN=1，ACK=0表示连接请求；而SYN=1，ACK=1表示同意建立连接表示发送方已无数据要发送从而

连接，但接收方仍可继续接收发送方此前发送的数据SYNFIN33：我能过软考TCP著名端口著名端是为运行在远端计算机上的服务器进程所规定的。Internet客户进程/本地进程服务器进程/远端进程客户进程的端口由本地主机在当前未用的端口中随机选取端 （十进制）关键字描述20FTP

.

DATA文件传输协议（数据连接）21FTP文件传输协议（控制连接）23NET虚拟终端连接25SMTP简单邮件传输协议80HTTP超文本传输协议110POP3邮局协议111RPC过程调用137NETBIOS命名服务443HTTPS安全的超文本传输协议995Secre

POP3安全的邮局协议表8.2一些TCP著名端口及关键字34：我能过软考TCP端口的交互发送到TCP客户端的服务器响应使用随机端发送到TCP客户端的服务器响应使用公认端作为目的端口。作为源端口。SMTP响应：源端口25目标端口51152HTTP响应：源端口80目标端口49152服务器HTTP请求：源端口49152目标端口80SMTP请求：源端口51152目标端口25发送TCP请求的客户端使用公认端作为目的端口使用随机端 作为源端口HTTP：端口80SMTP：端口25客户端1客户端235：我能过软考TCP

标识与套接字基于TCP的网络应用在进行数据传输之前要先建立一个TCP连接。系统为所建立的连接分配相应的接收缓存和发送缓存→相互通信的进程以此为基础实现分段发送和可靠的顺序接收相当于在源主机的源端口和目标主机的目标端口之间为上层应用建立了一个基于虚电路的逻辑连接或数据流传输“管道”36：我能过软考TCP

标识与套接字网络中有大量的TCP

存在

→

如何标识？引入了套接字（Socket）：IP地址+端[源socket；目标socket]

→[源IP地址，源端口；目标IP地址，目标端口]37：我能过软考TCP服务实现的三个阶段TCP连接的建立：在源与目标进程间建立TCP逻辑连接，保留相关资源，以确保持续的数据流传输服务质量。TCP的数据传输数据在所建立的TCP逻辑或虚连接上传输数据，并被目标进程按正确顺序接收。TCP连接的终止：一旦数据传输完毕，源与目标进程之间的TCP连接被

。38：我能过软考TCP连接的建立TCP连接通过三次握手方法建立；第一次握手可以由任何一方发起，通常由客户进程发起；只有在完成三次相应的分段交互之后，主机A和主机B的传输层才会分别通知各自的应用层传输连接成功建立HOSTASend

SYN（seq=x）Receive

SYN（seq=x）Send

SYN（seq=y，ack=x+1）Receive

SYN（seq=y，ack=x+1）Send

ACK（ack=y+1）Receive

ACK（ack=y+1）编码位：SYN=1，ACK=0编码位：SYN=1，ACK=1ACK=1第一次握手交谈吧”第二次握手第三次握手SYN=1，ACK=0，SEQ=1200客户进程HOSTB

主机A

主机B服务器进程“我希望开始一次新的会话”“很高兴你愿意交谈，开始吧”SYN=1，ACK=1，SEQ=4800，AN=1201

“好吧，让ACK=1，SEQ=1201，AN=480139：我能过软考TCP连接的

建立若主机B

建立连接，则在收到主机A的连接请求后，发送一个置RST=“1”的应答分段在第三次握手阶段，发送第一次握手的主机A还有机会

建立连接：发送一个置RST=“1”的应答分段HOSTAHOSTBSend

SYN（seq=x）Receive

SYN（seq=x）Send

SYN（seq=y，acK=x+1）Receive

SYN（seq=y，ACK=x+1）Send

ACK（ack=y+1）Receive

ACK（ack=y+1）编码位：SYN=1，ACK=0编码位：RST=1，ACK=1编码位：RST=1，ACK=1编码位：

RST=1ACK=1编码位：

RST=1ACK=140：我能过软考TCP连接的拆除TCP使用修改的3次握手（4次握手）来关闭连接。对应于TCP连接的全双工性，一个完整TCP连接的拆除涉及两个单向连接的拆除。一个方面的连接拆除后，在反方向上仍可发送数据。当两个单向连接都被关闭→所建立的TCP连接被完全这次连接”第一次握手第二次握手第三次握手FIN=1，SEQ=2500客户进程主机A

主机B服务器进程“希望 这次连接”“

这次连接”ACK=1，SEQ=6000，AN=2501ACK=1，SEQ=2501，AN=6002“知道你的想法”第四次握手FIN=1，SEQ=6001，AN=2501“同意主机1主机2网络报文接收FIN分段，发送序列号=y，确认号=x+1的分段（通知应用）（应用关闭连接）发送FIN=1，序列号=y+1，确认号=x+1的分段接收ACK分段，主机1到主机2的连接关闭发送FIN=1，序号=x的分段接收ACK分段接收FIN+ACK分段，发送序列号=x+1，确认号=y+2的分段41：我能过软考TCP服务实现的三个阶段TCP连接的建立：在源与目标进程间建立TCP逻辑连接，保留相关资源，以确保持续的数据流传输服务质量。TCP的数据传输数据在所建立的TCP逻辑或虚连接上传输数据，并被目标进程按正确顺序接收。TCP连接的终止：一旦数据传输完毕，源与目标进程之间的TCP连接被

。42：我能过软考TCP拥塞控制策略（1）慢开始和拥塞避免因为当主机开始发送数据时，如果立即将较大的发送窗口中的全部数据字节都注入到网络，由于还不清楚网络的状况，有可能引起网络拥塞。经验证明，较好的方法是试探一下，即由小到大逐渐增大发送端的拥塞窗口数值，就是所谓的慢开始算法。慢开始的工作过程：通常在刚刚开始发送报文段时可先将拥塞窗口cwnd设置为一个最大报文段的MSS（ um

Segment

Size）的数值。而在每收到一个对新的报文段的确认后，将拥塞窗口增加至多一个MSS的数值，如图3-19所示。用这样的方法逐步增大发送端的拥塞窗口cwnd，可以使分组注入到网络的速率更加合理。当然，在这种机制下，拥塞窗口也不会一直成指数增长，通常会设置一个慢开始门限值ssthresh，当拥塞窗口达到此值时，就变成线性增长，执行拥塞避免算法。在整个过程中一旦出现数据传输超时，就会把拥塞窗口重新回到1，并再次开始慢开始算法TCP的拥塞控制主要有以下四种方法慢开始拥塞避免快重传快恢复43：我能过软考TCP拥塞控制策略TCP的拥塞控制主要有以下四种方法慢开始拥塞避免快重传快恢复（2）快重传和快恢复快重传和快恢复是TCP拥塞控制机制中为了进一步提高网络性能而设置的两个算法。快重传算

定，发送端只要一连收到三个重复的ACK即可断定有分组丢失了，就应立即重传丢失的报文段而不必继续等待为该报文段设置的重传计时器的超时，具体过3-20所示。不难看出，快重传并非取消重传计时器，而是在某些情况下可更早地重传丢失的报文段，从而提高吞吐率。44：我能过软考TCP拥塞控制策略45：我能过软考TCP拥塞控制策略（3）随机早期检测RED（Random

Early

Detection）TCP拥塞管理的另

法是预防性分组丢弃。使用这种方法，路由器在输出缓存完全装满之前，即网络发生拥塞之前，准确地说是检测到网络拥塞的早期征兆时（路由器

的平均队列长度超过一定的门限值），就丢弃一个或多个分组，以便改进网络的性能。预防性分组丢弃的最重要的例子是随机早期检测。46：我能过软考UDP协议发送数据之前不需要建立连接。UDP的主机不需要维持复杂的连接状态表UDP用户数据报只有8个字节的首部开销网络出现的拥塞不会使源主机的发送速率降低，这对某些实时应用是很重要的47：我能过软考UDP的尽力而为服务48：我能过软考UDP端口客户端端

以本地分配方式实现，从本机上当前未用的

端

中随机选取服务器端

决定于服务的类型：公共服务：使用IANA

的著名端

；厂商

的协议或应用：使用厂商向IANA

获得的

端端（十进制）关键字描述53服务67Bootps引导协议服务器69TFTP简易文件传输协议111SUNRPCSun

系统中的 过程调用123NTP网络时间协议161SNMP简单网络管理协议表8.3一些常用的TCP端口及关键字49：我能过软考UDP端口的交互服务器RADIUS响应：源端口1812目的端口51152服务器DNS响应：源端口53目的端口49152服务器客户端1的DNS请求：源端口49152目的端口53客户端2的RADIUS用户

验证请求：源端口51152目的端口1812发送到UDP服务器的客户端请求使用公认端

作为目的端口。使用随机端

作为源端口。发送到UDP客户端的服务器响应使用公认端

作为源端口。DNS：端口53RADIUS：端口1812客户端1客户端250：我能过软考TCP协议和UDP协议的应用51建群网培主要内容0102030405字典文件口令 类型口令

器口令口令 的保护：我能过软考目标时常常把破译口令

是网络最简单、最普遍的一种形式，普通用户的作为 的开始字典文件：根据用户的各种信息建立一个用户可能使用的口令列表文件。比如：用户的名字、生日、

、

号码、所居住街道的名字等。另外，有些用户喜欢用英文单词作为自己常用的口令。字典中的口令是根据人们设置自己账号口令的 总结出来的常用口令对 者来说， 的口令在这字典文件中的可能性很大。口令54：我能过软考字典使用一个包含大多数词典单词的文件，用这些单词猜测用户口令。强行用速度足够快的计算机尝试字母、数字、特殊字符所有的组合，将最终能

所有的口令。可以先从字母a开始，尝试aa、ab、ac等，…者，也可以利用分布式

，提高

的速度。组合使用词典单词但在单词尾部串接几个字母和数字，即为组合

。很多管理员要求用户使用字母和数字，用户的对策是在口令后面添加几个数字，如：把口令abc变为abc123，并错误认为

者需要使用强行

。口令

类型55：我能过软考，因为很多加密算法是不可逆。即，从加密的数据和口令

器一般不是真正去加密算法，无法还原出明文。口令

器一般是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现一个单词经过加密后的结果和要

的数据一样，从而找出了

。口令

器56：我能过软考电子邮件的发送、传送和接收整个过程中的每个环节，都可能存在薄弱环节，

者利用其

，就能轻易地 出帐号，获得邮件内容。利用邮件服务器操作系统的利用邮件服务器

本身的在邮件的传输过程中口令57：我能过软考要有效防范口令

，需要选择一个好口令，并要注意保护口令的安全。好口令是防范口令

的最基本、最有效的方法。如：采用大小写字母、数字、特殊字符的组合，同时有一定的长度。注意口令的保护①

口令写在纸上或

在计算机文件中；②

不要告诉其他人；③

不要在不同的系统中使用相同的口令；④

在输

令时，应确保无人在身边窥视⑤

定期更改口令⑥

……口令

的防护58：我能过软考字典文件口令

类型口令

器口令口令

的保护小结59建群网培建群网培主要内容0102030405服务

概述服务 分类服务端口电子邮件轰炸分布式 服务

DDoS：我能过软考服务

DoS(Denial

of

Service)是 或

合法使用者存取网络服务器的一种破坏性

方式。这种

往往是针对TCP/IP协议中的某个弱点，或者系统存在的某些

，对目标系统发起的大规模进攻使服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致目标网络或系统不胜负荷以至于瘫痪而无法向合法的用户提供正常的服务。对服务器实施

服务

，实质上的方式有两个：服务器的缓冲区满，不接收新的请求使用IPDOS，迫使服务器把合法用户的连接复位，影响合法用户的连接的实施方式：资源消耗、服务中止、物理破坏服务

概述62：我能过软考方式消耗资源网络带宽、空间、CPU等破坏或改变配置信息物理破坏或者改变网络部件利用服务程序中的处理错误使服务失效发起方式传统的

服务分布式

服务

（Distributed

Denial

of

Service）服务

分类63：我能过软考服务端口同步包风暴（SYNFlooding）Smurf利用处理程序错误的

服务of

Death\Teardrop\Land等利用IP和ICMP协议LDOS电子邮件轰炸低速率

服务分布式

服务DDOS服务

分类64：我能过软考同步包风暴

服务

具有以下特点：①针对TCP/IP协议的薄弱环节进行②发动

时，只要很少的数据流量就可以产生显著的效果③

来源无法定位④在服务端无法区分TCP连接请求是否合法SYN

Flooding的应对措施：①优化系统配置，如缩短超时时间、增加本连接队列列表等②优化路由器配置，配置路由器的 卡，丢弃那些来自外部网而源IP地址具有网络地址的包；配置路由器的内网卡，丢弃那些即将发到外部网而源IP地址不具有

网络地址的包。③使用

，采用半透明网技术的防火强能有效防范同步包风暴

。④主动监视，监视TCP/IP流量，收集通信控制信息，分析状态，辨别

行为。⑤完善基础设施

，改造整个网络体系结构，使得可以对源IP地址进行检查同步包风暴65：我能过软考结合使用IP

和ICMP回复方法，使大量网络数据充斥目标系统，导致目标系统为正常请求进行服务。Smurf实际发起应对策略：的网络过滤掉源地址为其他网络的数据包。被

者利用的中间网络配置路由器

IP广播包。被

的目标与ISP协商，由ISP暂时这些流量。Smurf66：我能过软考DOS解释ofDeath许多操作系统的TCP/IP协议栈规定ICMP包大小为64KB（65535），“

ofDeath”就是故意产生畸形的测试 包，声称自己的尺寸超过ICMP上限，也就是加载的尺寸超过64KB上限，使未采取保护措施的网络系统出现内存分配错误，导致TCP/IP协议栈 ，最终接收方宕机。Teardrop分段 。向被 者发送多个分片的IP包，某