网络安全协议基础

第3讲网络安全协议基础主讲：谢昕课程主要内容

TCP协议概述UDP协议与应用ICMP协议与应用常见网络服务常用网络命令使用

TCP是一种面向连接的、可靠的传输层协议；TCP协议建立在不可靠的网络层IP协议之上，IP不能提供任何可靠性机制，TCP的可靠性完全由自己实现；TCP采用的最基本的可靠性技术是： 确认与超时重传； 流量控制。传输控制协议TCPTCP协议的主要特点：TCP协议与其他协议的层次关系TCP的端口号分配和Socket地址TCP常用的熟知端口号端口…发送

TCP

报文段TCP…TCP接收缓存发送缓存报文段…报文段报文段端口发送端接收端向发送缓存写入数据块从接收缓存读取数据块应用进程应用进程TCP报文的发送过程TCP首部20字节的固定首部目的端口数据偏移检验和选项（长度可变）源端口序号紧急指针窗口确认号保留FIN32bitSYNRSTPSHACKURG比特08162431填充TCP数据部分TCP首部TCP报文段IP数据部分IP首部发送在前TCP报文段格式源端口和目的端口字段——各占2字节。端口是运输层与应用层的服务接口。运输层的复用和分用功能都要通过端口才能实现。TCP首部20字节固定首部目的端口数据偏移检验和选项（长度可变）源端口序号紧急指针窗口确认号保留FINSYNRSTPSHACKURG比特08162431填充TCP报文各字段域的含义序号字段——占4字节。TCP连接中传送的数据流中的每一个字节都编上一个序号。序号字段的值则指的是本报文段所发送的数据的第一个字节的序号。TCP首部20字节固定首部目的端口数据偏移检验和选项（长度可变）源端口序号紧急指针窗口确认号保留FINSYNRSTPSHACKURG比特08162431填充TCP报文各字段域的含义确认号字段——占4字节，是期望收到对方的下一个报文段的数据的第一个字节的序号。TCP首部20字节固定首部目的端口数据偏移检验和选项（长度可变）源端口序号紧急指针窗口确认号保留FINSYNRSTPSHACKURG比特08162431填充TCP报文各字段域的含义数据偏移———占4bit，它它指出TCP报文段段的数据起始始处距离TCP报文文段的起始处处有多远。““数据偏移””的单位不是是字节而是32bit字（4字节为计计算单位）TCP首部20字节固定首部目的端端口数据偏移检验和和选项（（长度度可变变）源端口口序号紧急指指针针窗口确认认号号保留FINSYNRSTPSHACKURG比特08162431填充充TCP报文各各字段域的含含义保留字段———占6bit，保留留为今后使用用，但目前应应置为0。。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报文文各字字段域域的含含义紧急比比特URG————当当URG为为1时时，，表明明紧急急指针针字段段有效效。它它告诉诉系统统此报报文段段中有有紧急急数据据，应应尽快快传送送(相相当于于高优优先级级的数数据)。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报文文各字字段域域的含含义确认比比特ACK————只只有当当ACK为为1时时确认认号字字段才才有效效。当当ACK为为0时时，确确认号号无效效TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报文文各字字段域域的含含义推送比比特PSH(PuSH)———接接收收TCP收收到推推送比比特置置1的的报文文段，，就尽尽快地地交付付给接接收应应用进进程，，而不不再等等到整整个缓缓存都都填满满了后后再向向上交交付。。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特特08162431填充充TCP报报文文各各字字段段域域的的含含义义复位位比比特特RST(ReSeT)————当当RST为为1时时，，表表明明TCP连连接接中中出出现现严严重重差差错错（（如如由由于于主主机机崩崩溃溃或或其其他他原原因因）），，必必须须释释放放连连接接，，然然后后再再重重新新建建立立运运输输连连接接。。TCP首部部20字节节固定定首部部目的的端端口口数据据偏移移检验验和和选项项（（长长度度可可变变））源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特特08162431填充充TCP报报文文各各字字段段域域的的含含义义同步步比比特特SYN————同同步步比比特特SYN置置为为1，，就就表表示示这这是是一一个个连连接接请请求求或或连连接接接接受受报报文文。。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报报文各字字段域的的含义终止比特特FIN(FINal)———用来来释放一一个连接接。当FIN为为1时时，表表明此报报文段的的发送端端的数据据已发送送完毕，，并要求求释放运运输连接接。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报报文各字字段域的的含义窗口字段段———占2字字节。窗窗口字段段用来控控制对方方发送的的数据量量，单位位为字节节。TCP连连接的一一端根据据设置的的缓存空空间大小小确定自自己的接接收窗口口大小，，然后通通知对方方以确定定对方的的发送窗窗口的上上限。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报报文各字字段域的的含义检验和———占占2字节节。检验验和字段段检验的的范围包包括首部部和数据据这两部部分。在在计算检检验和时时，要在在TCP报报文段的的前面加加上12字字节的伪伪首部。。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报报文各字字段域的的含义紧急指针针字段———占占16bit。。紧急指指针指出出在本报报文段中中的紧急急数据的的最后一一个字节节的序号号。TCP首部20字节固定首部目的的端端口口数据偏移检验验和和选项项（（长度度可可变变）源端端口口序号号紧急急指指针针窗口口确认认号号保留留FINSYNRSTPSHACKURG比特08162431填充充TCP报报文各字字段域的的含义选项字段段：TCP只只规定定了一种种选项，，即最大大报文段段长度MSS(MaximumSegmentSize)。。MSS告诉诉对方TCP：“我我的缓存存所能接接收的报报文段的的数据字字段的最最大长度度是MSS个个字节节。”TCP首部20字节固定首部目的端端口数据偏移检验和和选项（（长度度可变变）源端口口序号紧急指指针针窗口确认认号号保留FINSYNRSTPSHACKURG比特08162431填充充TCP报文各各字段域的含含义填充字段———这是为为了使整个首首部长度是4字节的的整数倍。TCP首部20字节固定首部目的端端口数据偏移检验和和选项（（长度度可变变）源端口口序号紧急指指针针窗口确认认号号保留FINSYNRSTPSHACKURG比特08162431填充充TCP报文各各字段域的含含义TCP协议的的三次“握手手”SYN,SEQ=x主机BSYN,ACK,SEQ=y,ACK=x1ACK,SEQ=x+1,ACK=y1被动打开主动打开确认确认主机A连接请求TCP传输连连接建立建立TCP连接A的TCP向B发出连接接请求报文段段，其首部中中的同步比特特SYN应应置为1，并选择序序号x，表表明传送数据据时的第一个个数据字节的的序号是x。B的TCP收到连连接请求报文文段后，如同同意，则发回回确认。B在确认报报文段中应将将SYN置置为1，，其确认号应应为x1，同时也为为自己选择序序号y。A收到此报报文段后，向向B给出出确认，其确确认号应为y1。A的TCP通知上上层应用进程程，连接已经经建立。当运行服务器器进程的主机机B的TCP收收到主机A的确认后后，也通知其其上层应用进进程，连接已已经建立。TCP协议的的四次“挥手手”TCP连接接释放的过程程FIN,SEQ=xACK,SEQ=y,ACK=x1ACK,SEQ=x+1,ACK=y1应用进程释放连接A不再发送送报文FIN,ACK,SEQ=y+1,ACK=x+1主机B主机A通知主机应用进程①应用进程释放连接B不再发送报文②确认确认从A到B的连接接就释放了，，连接处于半关闭状态。相当于于A向B说：“我已经没有有数据要发送送了。但你如如果还发送数数据，我仍接接收。”至此，整个连连接已经全部部释放。TCP传输连连接建立举例例TCP传输连连接建立：““三次握手”TCP传输的的连接释放举举例TCP传输连连接释放：““四次挥手”一次完整的FTP会话首先开启目标标主机的FTP服务。一次完整的FTP会话启动Sniffer，利利用FTP连连接目标主机机上的FTP服务器一次完整的FTP会话一次完整的FTP会话登录FTP的的过程是一次次典型的TCP连接，因因为FTP服服务使用的是是TCP协议议。其TCP报头的结构构:TCP协议的的三次“握手手”这个过程在FTP的会话话中也明显的的显示出来第一次“握手手”第二次“握手手”SYN为1，，开始建立请请求连接，需需要对方计算算机确认，对对方计算机确确认返回的数数据包。第三次“握手手”对方计算机返返回的数据包包中ACK为为1并且SYN为1，说说明同意连接接。这个时候需要要源计算机的的确认就可以以建立连接了了第一次“挥手手”第二次“挥手手”第一次交互中中，首先发送送一个FIN=1的请求求，要求断开开，目标主机机在得到请求求后发送ACK=1进行行确认第三次“挥手手”之后就发送了了一个FIN=1的包，，与源主机断断开第四次“挥手手”随后源主机返返回一条ACK=1的信信息，一次完完整的TCP会话就结束束UDP是一种种无连接的、不可靠的传输层协议议；在完成进程到到进程的通信信中提供了有限的差错检检验功能；设计比较简单单的UDP协协议的目的是是希望以最小小的开销来达达到网络环境境中的进程通通信目的；进程发送的报报文较短，同同时对报文的的可靠性要求求不高，那么么可以使用UDP协议。。用户报文协议议UDPUDP协议的的主要特点UDP用户户数据报的首首部格式伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报用户数据报UDP有有两个字段：：数据字段和首首部字段。首部字段有有8个字字节，由4个字段组组成，每个字字段都是两个个字节。UDP用户户数据报的首首部格式伪首部源端口目的端口长度检验和数据首部UDP长度源IP地址目的IP地址017IP数据报字节44112122222字节发送在前数据首部UDP用户数据报在计算检验和和时，临时把把“伪首部””和UDP用户数据据报连接在一一起。伪首部部仅仅是为了了计算检验和和。UDP用户户数据报的首首部格式UDP检验和和的检验范围围：伪头部、UDP头、应应用层数据据UDP端口号号TCP/IP协议族中用端口号来标标识进程；端口号（16bit）是是在0到65535之间间的整数；客户程序随机机选取的临时端口号；每一种服务器器程序被分配配了确定的全全局一致的熟知端口号；每一个客户进进程都知道相相应的服务器器进程的熟知知端口号。UDP使用的的熟知端口号号UDP和TCP传递数据据的差异UDP和TCP传递数据据的差异类似似于电话和明信片片之间的差异。。TCP就像电电话，必须先先验证目标是是否可以访问问后才开始通通讯。UDP就像明明信片，信息息量很小而且且每次传递成成功的可能性性很高，但是是不能完全保保证传递成功功。UDP通常常由每次传传输少量数数据或有实实时需要的的程序使用用。在这些情况况下，UDP的低低开销比TCP更更适合。UDP与与TCP提提供的服服务和功能能直接对比比UDP和TCP传递递数据的比比较UDP协议TCP协议无连接的服务；在主机之间不建立会话。面向连接的服务；在主机之间建立会话。UDP不能确保或承认数据传递或序列化数据。TCP通过确认和按顺序传递数据来确保数据的传递。使用UDP的程序负责提供传输数据所需的可靠性。使用TCP的程序能确保可靠的数据传输。UDP快速，具有低开销要求，并支持点对点和一点对多点的通讯。TCP比较慢，有更高的开销要求，而且只支持点对点通讯。UDP和TCP都使用端口标识每个TCP/IP程序的通讯。UDP数据据报分析常用的网络络服务中，，DNS使使用UDP协议。DNS是域域名系统(DomainNameSystem)的缩写当用户在应应用程序中中输入DNS名称时时，DNS服务可以以将此名称称解析为与与此名称相相关的IP地址。设置DNS解析设置DNS解析UDP报头头UDP报头头的分析因特网控制制报文协议议ICMP为了提高IP数数据报交付付成功的机机会，在网际层使用了ICMP(InternetControlMessageProtocol)。ICMP允允许主机机或路由器器报告差错错情况和提提供有关异异常情况的的报告。ICMP不不是高层层协议，而而是IP层的协协议。ICMP报报文作为为IP层层数据报报的数据，，加上数据据报的首部部，组成IP数数据报发送送出去。ICMP报报文实际上上也是一个个IP数据据报，唯一一不同的是：在ICMP报报文的IP数据据报头部有有一个“协议”字段，它它指明这是是一个ICMP报文文。ICMP不不是一个个独立的协协议，而是IP协协议的一部部分，在每个IP模模块中都包包含了ICMP的的实现代代码。因特网控制制报文协议议ICMPInternet控控制报文协协议ICMP当ICMP报文文在传输出错时，它会立立即向“差错处理过过程”产生一个个“异常中断”，告诉系系统这个出出错的IP数据据报是一个个ICMP报文文，不需要要再产生另另一个ICMP报报文来向向主机报告告IP数数据报传传输出错情情况。ICMP报报文的接收方不是目的主主机的应用用程序或其其用户，而而是目的主机上上的IP层层（IP模块块），在IP模模块中有一一部分程序序专门用来来处理ICMP报报文。谁可可以以产产生生和和发发送送ICMP报报文文？？最初初设设计计ICMP协协议议的的目目的的是是：：使得得路由由器器能向向主主机机报报告告数数据据报报传传输输失失败败的的原原因因。。另外外，，主机机也可可以以使使用用ICMP报报文文和和另另一一台台主机机或是是路由由器器进行行通通信信。。ICMP报报文文的的格格式式首部ICMP报文0数据部分检验和类型代码（这4个字节取决于ICMP报文的类型）81631IP数据报前4个字节都是一样的ICMP的数据部分（长度取决于类型）ICMP报报文文的的分分类类超时报文目的端不可达报文参数出错报文源抑制报文重定向报文回应请求/应答报文时戳请求/应答报文地址掩码请求/应答报文差错报文控制报文请求/应答报文差错错报报文文作用用：用用于于路由由器器或或主主机机向出出错错数数据据报报的的源源端端报报告告出出错错情情况况。。单向向传输输。。分为为3类类：：超时报文目的端不可达报文参数出错报文差错错报报文文1））超超时时报报文文：当路路由由器器收收到到生存存时时间间为为0的数数据据报报时时：：把该该数数据据报报丢丢弃弃同时时向向源源主主机机发发送送超超时时ICMP报报文文差错错报报文文2））目目的的端端不不可可达达报报文文：：当出出现现以以下下情情况况时时，，向向源源站站点点发发送送““目目的的端端不不可可达达报报文文””。。网络络不不可可达达（（0））主机机不不可可达达（（1））协议议不不可可达达（（2））端口口不不可可达达（（3））需要要分分片片但但DF为为1（（4））源路路由由失失败败（（5））差错错报报文文3））参参数数出出错错报报文文：：当路路由由器器或或目目的的端端主主机机收收到到的的数数据据报报的的首部部中，，如如果果某个个字字段段的的值值不不正正确确，则则丢丢弃弃该该报报文文，，并并向向源源站站点点发发送送““参参数数出出错错报报文文””。。控制制报报文文作用用：：用用于于拥拥塞塞控控制制和和路路由由控控制制。。单向向传输输。。分为为2类类：：源抑制报文重定向报文控制制报报文文1））源源抑抑制制报报文文：：用于于拥塞塞控控制制。当由由于于网网络络拥拥塞塞而而丢丢弃弃报报文文时时，，就就向向源源主主机机发发送送源源抑抑制制报报文文，，使使源源站站点点知知道道应应该该放放慢慢发发送送报报文文的的速速度度。。控制制报报文文2））重重定定向向报报文文：：用于于路由由控制制。。路由由器器使使用用该该报报文文来来告告诉诉主主机机到到达达目目的的地地可可以以走走的的一一条条最优路路径。请求/应答答报文文目的：：获得得有关网网络状状态的一些些信息息。双向传输。。分为3类类：：回应请求/应答报文时戳请求/应答报文地址掩码请求/应答报文请求/应答答报文文1）回回应请请求/应答答报报文：：用于测测试目目的端端主机机是否否可达达。如果成功接接收到一个个应答答报文文，而而且应应答报报文中中的数数据和和原来来请求求报文文中的的数据完完全相相同，则说说明：：以IP报文文的形形式在在Internet中传传输。。目的主主机可可达，发送送主机机和接接收主主机中中的ICMP软软件、IP软软件处于正常工工作状态，，途中中的路由器器也处于于正常工工作状态。。请求/应答答报文文2）时时戳请请求/应答答报文文：用于Internet上上各个个机算算计进进行时钟同同步。主机使使用该该报文文可以以获得路路由器器的地地址掩掩码模模式，从而而根据据地址址掩码码来解解释子子网地地址。。3）地地址掩掩码请请求/应答答报文文：ICMP差差错错报告告报文文的数数据字字段的的内容容首部IP数数据据报ICMP的的前8字字节装入ICMP报报文的的IP数数据据报IP数数据据报首部ICMP差差错错报告告报文文8字节收到的的IP数数据据报IP数数据据报首部8字节ICMP差差错错报告告报文文IP数数据据报的的数据据字段段不应发发送ICMP差差错报报告报报文的的几种种情况况对ICMP差差错错报告告报文文不再再发送送ICMP差差错错报告告报文文。对第一一个分分片的的数据据报片片的所所有后后续数数据报报片都都不发发送ICMP差差错报报告报报文。。对具有有多播播地址址的数数据报报都不不发送送ICMP差差错错报告告报文文。对具有有特殊殊地址址（如如或或））的数数据报报不发发送ICMP差差错报报告报报文。。Ping(PacketInterNetGopher)PING用用来来测试试两个个主机机之间间的连连通性性。PING使使用用了ICMP回回送请请求与与回送送应答答报文文。PING是是应应用层层直接接使用用网络络层ICMP的的例子子，它它没有有通过过运输输层的的TCP或或UDP。。因特网网包（（分组组）探探索程程序ICMP数数据报报分析析使用Ping命命令发发送ICMP回回应请请求消消息，，可以以检测测网络络或主主机通通讯故故障并并解决决常见见的TCP/IP连连接问问题FTP服务务FTP的缺缺省端端口是是20（用用于数数据传传输））和21（（用于于命令令传输输）。。在TCP/IP中FTP是非非常独独特的的，因因为命命令和和数据据能够够同时时传输输，而而数据据传输输是实实时的的，其其他协协议不不具有有这个个特性性。FTP客户户端可可以是是命令令界面面的也也可以以是图图形界界面的的。登录FTP服务务器在浏览览器中中输入入“ftp://主主机IP地地址Telnet服服务Telnet是是TELecommunicationsNETwork的缩缩写，，其名名字具具有双双重含含义，，既指指应用用也是是指协协议自自身。。Telnet给给用户户提供供了一一种通通过网网络登登录远远程服服务器器的方方式。。通过过端口口23工作。。开启Telnet服服务Telnet要要求有有一个个Telnet服务务器，，此服服务器器驻留留在主主机上上，等等待着着远端端机器器的授授权登登录。。要使使用Telnet服服务首首先需需要在在虚拟拟机上上开启启Telnet服务务，选选择进进入Telnet服服务管管理器器。开启Telnet服服务在Telnet服务务管理理器中中选择择4，，启动动Telnet服务务器连接Telnet服服务器器Email服务务目前Email服务务用的的两个个主要要的协协议是是：简简单邮邮件传传输协协议SMTP（（SimpleMailTransferProtocol））和邮邮局协协议POP3（（PostOfficeProtocol）。。SMTP默默认占占用25端端口，用来来发送送邮件件，POP3占占用110端口，，用来来接收收邮件件。在Windows平平台下下，主主要利利用MicrosoftExchangeServer作为为电子子邮件件服务务器。。Web服务务Web服务务是目目前最最常用用的服服务，，使用用HTTP协议议，默默认Web服务务占用用80端口口在Windows平平台下下一般般使用用IIS（（InternetInformationServer））作为为Web服服务器器。常用的的网络络服务务端口口端口协议服务21TCPFTP服务25TCPSMTP服务53TCP/UDPDNS服务80TCPWeb服务135TCPRPC服务137UDPNetBIOS域名服务138UDPNetBIOS数据报服务139TCPNetBIOS会话服务443TCP基于SSL的HTTP服务445TCP/UDPMicrosoftSMB服务3389TCPWindows终端服务常用的的网络络命令令常用的的网络络命令令有：：判断主主机是是