《网络协议安全》 课件 第五章 应用层协议安全

第五章

应用层协议安全第五章

应用层协议安全5.1应用层协议概述5.2

DNS协议5.3

HTTP协议5.4邮件传输协议安全5.5DHCP协议安全5.6FTP协议安全应用层协议概述5.1PARTONE

5.1应用层协议定义应用层协议是一种面向应用程序的通信协议，负责在网络中的不同应用程序之间传输数据

5.1应用层协议分类应用层协议主要包括以下几种：中文名应用层协议端口号用途域名系统DNS53将域名转换为IP地址，是互联网域名解析的基础服务超文本传输协议HTTP80用于从服务器传输超文本到本地浏览器的标准协议简单邮件传输协议SMTP25用于发送电子邮件邮件读取协议POP3110用于从邮件服务器上接收邮件邮件读取协议IMAP143用于从邮件服务器上接收、读取和管理电子邮件动态主机配置协议DHCP67（服务器）68（客户端）自动分配IP地址给网络中的设备文件传输协议FTP20（数据连接）21（控制连接）用于在网络上进行文件传输

5.1应用层协议分类应用层协议分为公用协议和专用协议公用协议由RFC文档定义，位于公共领域。例如，web应用层的协议超文本传输协议HTTP（RFC2616）专用协议则是不能随意应用于公共领域。例如，P2P文件共享系统所使用的协议属于专用协议5.1应用层协议重要性与挑战重要性：（1）作为不同系统之间进行数据交流的桥梁，应用层协议安全性关系到个体用户的隐私，更关系到整个系统和组织的稳定运行，以及对抵御各种恶意攻击的能力（2）应用层协议安全涵盖了多个方面，包括但不限于认证、授权、数据完整性、机密性和抗拒否认等安全属性5.1应用层协议重要性与挑战挑战：（1）应用层协议涉及到的安全技术复杂多样，难以统一管理和维护（2）随着攻击手段的不断升级，应用层协议的安全漏洞也不断被发现（3）移动互联网、物联网等新兴领域的应用层协议安全问题也日益凸显DNS协议5.2PARTTWO5.2.1域名系统域名系统DNS（DomainNameSystem，DNS）由三大要素组成：（1）域：由地理位置或业务类型而联系在一起的计算机集合（2）域名：由字符和（或）数字组成的名称，用于替代主机的IP地址（3）域名服务器：提供域名解析服务（将域名映射IP地址）的主机5.2.1域名系统域名结构：域名的实质是标识和定位计算机或资源层次结构的名字，通常按照从右到左的顺序，由多个标号组成，标号之间用点号（.）分隔整个域名体系是一个树形结构，从根域名开始，通过一系列的子域名形成完整的域名层次结构。域名由英文字母和数字构成，每个子域名的长度不超过63个字符，为便于记忆，建议不超过12个字符5.2.1域名系统域名结构：域名由英文字母和数字构成，每个子域名的长度不超过63个字符，为便于记忆，建议不超过12个字符域名从左至右，级别由低至高排列，由多个标号组成，标号之间用点号（.）分隔，最右边是最高级别的顶级域名。整个域名的总长度不得超过255个字符各级域名由其上级域名管理机构负责管理，顶级域名则由ICANN统一管理顶级域名（TLD）二级域名三级域名5.2.1域名系统域名结构：如图展示了互联网域名体系的结构，它形似一棵倒置的树。树的顶端是根节点，但并没有具体的名称在根节点下方的一级节点，代表了最高级别的顶级域名。由于根节点本身无名，所以其直接下属的域名就被称作顶级域名顶级域名可以继续向下划分，形成二级域名。随后，可以进一步细分为三级域名、四级域名等5.2.1域名系统域名服务器：是互联网中的核心组件，负责将易于记忆的域名转换为计算机能够识别的IP地址根据它们在系统中的功能，域名服务器可以分为以下四种主要类型：（1）根域名服务器：位于域名系统的最高层级。所有根域名服务器都存储着顶级域名服务器的域名和IP地址信息。无论哪个本地域名服务器在解析互联网上的域名时，如果遇到无法直接解析的情况，都会首先向根域名服务器发起查询请求5.2.1域名系统域名服务器：是互联网中的核心组件，负责将易于记忆的域名转换为计算机能够识别的IP地址根据它们在系统中的功能，域名服务器可以分为以下四种主要类型：（2）顶级域名服务器：该类服务器专门管理注册在其下的二级域名。当接收到DNS查询时，它们会提供相应的响应，这可能直接是查询结果，即域名对应的IP地址；或者指引查询者下一步应该联系的域名服务器的IP地址5.2.1域名系统域名服务器：是互联网中的核心组件，负责将易于记忆的域名转换为计算机能够识别的IP地址根据它们在系统中的功能，域名服务器可以分为以下四种主要类型：（3）权限域名服务器：该类服务器承担着存储特定域名的DNS记录，并提供官方认证信息的职责。当客户端发起域名解析请求，授权域名服务器将响应这些请求，提供与域名相关的详细信息5.2.1域名系统域名服务器：是互联网中的核心组件，负责将易于记忆的域名转换为计算机能够识别的IP地址根据它们在系统中的功能，域名服务器可以分为以下四种主要类型：（4）本地域名服务器：这是用户或组织在网络内部部署的DNS服务器。它通常由互联网服务提供商或企业网络管理员进行设置和配置，主要作用是为本网络内的用户设备提供域名解析服务，并且作为这些设备的首选DNS服务器5.2.1域名系统域名服务器：为确保域名解析服务的稳定性，DNS系统将数据在多个服务器上进行备份一个服务器作为主域名服务器，负责存储和管理原始的DNS记录。其他服务器则作为辅助域名服务器，用于数据备份在主服务器发生故障时，辅助服务器能够接管服务，确保域名解析的连续性不受影响。主服务器会定期将更新后的DNS记录同步到辅助服务器，而所有数据的修改和更新只能在主服务器上执行，以此确保数据的准确性和一致性。5.2.1域名系统域名解析过程：当主机需要查询域名对应的IP地址时，它会向本地域名服务器发起查询请求，这个过程通常采用如图5-2（a）和图5-2（b）所示的递归查询的方式5.2.1域名系统域名解析过程：迭代查询当根域名服务器接收到来自本地域名服务器的迭代查询请求时，它将根据查询的域名提供相应的响应5.2.1域名系统域名解析过程：迭代查询如果根域名服务器拥有该域名的IP地址信息，它将直接返回这个IP地址5.2.1域名系统域名解析过程：迭代查询如果它没有这个信息，它将指导本地域名服务器下一步应该向哪个域名服务器发起查询5.2.1域名系统域名解析过程：迭代查询图（a）本地域名服务器通过连续三次迭代查询（步骤②至⑦），最终从权限域名服务器获得了主机的IP地址5.2.1域名系统域名解析过程：迭代查询查询完成后，本地域名服务器将这一结果传递回最初发起查询的主机5.2.1域名系统域名解析过程：迭代查询整个查询流程共涉及8个UDP数据报，用于在服务器之间传递查询请求和响应5.2.1域名系统域名解析过程：迭代查询迭代查询要求本地域名服务器在每次接收到根域名服务器或其他上级域名服务器的指引后，都要自行进行下一步的查询5.2.1域名系统域名解析过程：递归查询如果本地域名服务器没有存储所查询域名的IP地址信息，它将自动代表主机向其他上级DNS服务器进行查询，而不需要主机自己进行进一步的查询操作5.2.1域名系统域名解析过程：递归查询图（b）本地域名服务器仅需向根域名服务器发起一次查询请求5.2.1域名系统域名解析过程：递归查询随后的查询操作则在其他域名服务器之间依次进行（步骤③至⑥）5.2.1域名系统域名解析过程：递归查询在步骤⑦，本地域名服务器从根域名服务器获取了所需的正确地址信息。最终，在步骤⑧，本地域名服务器将查询结果反馈给主机5.2.1域名系统域名解析过程：递归查询整个查询过程共使用了8个UDP数据包5.2.1域名系统域名解析过程：递归查询递归查询确保了主机不需要直接与多个DNS服务器交互，简化了查询流程5.2.2DNS报文格式DNS报文是DNS协议中传输数据的基本单元，用于在客户端和DNS服务器之间传递查询请求和响应信息报文的前六个字段，即事务ID（ID）、标志（Flags）、问题数（QDCOUNT）、回答资源记录数（ANCOUNT）、授权资源记录数（NSCOUNT）和额外资源记录数（ARCOUNT），每个字段的长度固定为2字节（Byte），总共占用12字节5.2.2DNS报文格式DNS报文是DNS协议中传输数据的基本单元，用于在客户端和DNS服务器之间传递查询请求和响应信息后四个字段，即问题部分、回答部分、权限部分和附加部分的记录数，它们的长度是可变的，取决于报文中实际包含的资源记录的数量和类型5.2.2DNS报文格式问题区：这是报文的起始部分，由查询者提供，包含三个基本元素：（1）查询域名：用户希望查询的域名（2）查询类型：指定查询的资源类型，例如A记录、MX记录等（3）查询类：指定查询的类别，通常为IN，代表Internet5.2.2DNS报文格式答案区：这个区域通常出现在响应报文中，包含对问题区提出的查询的回答。资源记录的形式与查询请求相对应，提供了查询域名的IP地址或其他相关信息权威区：此区域也主要出现在响应报文中，它包括与查询域相关的权威域名服务器的信息5.2.2DNS报文格式附加信息区：这个区域提供了与问题直接相关的一些额外信息，例如，如果查询是关于邮件服务器的MX记录，附加信息区可能包含指向的邮件交换服务器的A记录5.2.2DNS报文格式在DNS响应报文中，这四个区域共同工作，提供查询所需的全部信息，确保客户端能够获得详尽的响应。问题区是每个DNS查询报文必须包含的部分，而后三个区域则根据查询的类型和响应的需要而出现5.2.4

DNS面临的安全威胁DNS欺骗攻击细节：数据窃听和篡改：DNS协议在传输过程中不加密，使得数据容易被截获和修改ID猜测和请求预测：攻击者通过预测技术构造假冒的响应名字连锁攻击：也称为DNS链式解析攻击，是一种利用DNS协议特性的复杂攻击手段信任服务器背叛：DNS服务器配置常由ISP提供，用户通过DHCP自动获取时，ISP会分配DNS服务器地址。但若ISP的DNS服务器故障或被恶意攻击者掌控，攻击者可能利用信任关系漏洞，向用户提供非法或错误的DNS响应，这种情况称为信任服务器背叛5.2.4

DNS面临的安全威胁DNS欺骗攻击细节：否认域名的存在：当客户端发起DNS查询请求时，攻击者可能会采用策略来操纵响应，这种做法可以误导客户端，使其认为所查询的域名不存在，这种攻击方式被称为拒绝服务攻击（DoS）或更具体地，域名存在性否认攻击通配符：DNS协议支持用星号（*）作为通配符，可简化多个子域名管理，统一指向邮件流量。但这也可能隐藏邮件真实来源，使验证复杂，增加邮件欺诈和钓鱼攻击风险5.2.5常见的DNS攻击攻击方式攻击原理攻击后果DNS欺骗修改DNS缓存、劫持DNS请求网络钓鱼、信息窃取DNS隐蔽信道利用DNS数据包封装信息发送恶意指令，窃取隐私信息DNSDDoS攻击直接耗尽服务器带宽资源丧失网络服务能力DNS反射放大攻击间接耗尽服务器带宽资源丧失网络服务能力恶意DGA域名使用DGA生成大量恶意域名存在大量恶意域名，破坏安全性DNS攻击对比分析：5.2.5常见的DNS攻击DNS攻击对比分析：DNS欺骗，也被称为域名劫持，是一种网络攻击手段，它通过篡改用户请求的域名对应的IP地址，将用户引导到一个伪造的、恶意的网站5.2.5常见的DNS攻击DNS攻击对比分析：DNS欺骗通常通过两种主要方式实施：DNS缓存中毒和DNS信息劫持5.2.5常见的DNS攻击DNS攻击对比分析：DNS缓存中毒攻击中，攻击者通过非法手段篡改DNS服务器的缓存记录，将合法域名本应指向的IP地址更改为一个恶意IP地址，诱使用户访问到一个仿冒的钓鱼网站5.2.5常见的DNS攻击DNS攻击对比分析：DNS信息劫持攻击并不修改DNS服务器的缓存记录，而是在DNS服务器向用户发送响应之前，通过某种方式截获并篡改用户的DNS请求，使其指向恶意的IP地址5.2.5常见的DNS攻击DNS攻击对比分析：DNS隐蔽信道是通过在DNS数据包中隐藏信息实现数据传输的技术。由于DNS主要功能非数据传输，常被忽视其可能用于恶意通信或数据泄露。防火墙和入侵检测系统通常允许DNS流量通过，以免干扰正常连接。这种开放性使DNS隐蔽信道成为攻击者理想的命令与控制通道，用于秘密收发指令和数据恶意DGA域名通过周期性生成大量域名并结合快速变化的IP地址，增加隐蔽性和不可预测性，使传统黑名单过滤失效，给恶意软件检测带来重大挑战5.2.5常见的DNS攻击DNS攻击对比分析：DNSDDoS攻击具有特别显著的破坏性。DNS的分布式架构容易受到单点故障的影响，一旦攻击者成功攻击了某个根域，那么依赖于该根域的所有网络服务都可能遭受连锁反应，导致整个网络服务的瘫痪DNSDDoS攻击5.2.5常见的DNS攻击DNS攻击对比分析：DNS反射放大攻击是一种利用DNS协议特性进行的DDoS攻击手段，它通过利用DNS响应包通常比请求包大得多的特点，来耗尽目标的网络资源DNS反射放大攻击过程5.2.6DNS安全防护DNS安全防护：DNS去中心化（1）基于P2P网络的DNS去中心化：设计一种基于P2P网络的DNS解析系统，利用其分布式特性和负载均衡优势，所有节点地位平等，资源和服务分散，避免单点故障，增强对DDoS攻击的抵御能力（2）基于区块链的DNS去中心化：区块链的去中心化和不可篡改特性可增强DNS的抗DDoS攻击能力和记录安全性，但也面临兼容性问题和“51%攻击”风险的挑战（3）基于根联盟的DNS根去中心化：通过分散解析权限到多个子根服务器，减轻了对特定域名的攻击风险，但仍依赖IANA，未能完全消除权力滥用风险5.2.6DNS安全防护DNS安全防护：DNS加密认证传统开放式DNS解析缺乏数据真实性和完整性保护，易受欺骗攻击，而DNSSec、DNSCurve、DOT和DOH等加密技术的应用可增强DNS的安全性和可靠性。DNS解析限制（1）设置开放服务器查询权限：通过设置权限，可以限制只有合法和可信的来源才能向服务器发送请求，从而减少恶意DNS请求的数量（2）设置权威服务器响应速率：权威域名服务器通过设置响应速率阈值，限制同一来源的DNS查询频率，可有效抵御DDoS和DNS反射放大攻击，增强服务器防护能力HTTP协议5.3PARTTHREE5.3.1HTTP协议发展历程HTTP/0.9：HTTP/0.9是HTTP的第一个版本，于1991年发布只支持GET请求方法，响应为HTML格式的文本，没有请求头和响应头。这个版本的HTTP被设计为一种简单的文件传输协议，它只能传输静态文本文件，没有任何动态内容5.3.1HTTP协议发展历程HTTP/1.0：1996年，http1.0发布支持多种请求方法，包括GET、POST、PUT、DELETE等，这使得HTTP变得更加灵活引入了请求头和响应头，这些头部信息可以包含很多有用的数据，如内容长度、缓存控制等5.3.1HTTP协议发展历程HTTP/1.0不足：每个请求都需要建立一个新的TCP连接，TCP是个重协议，这会导致很多的网络开销HTTP/1.0没有处理并发请求的机制，这会导致浏览器需要等待前一个请求完成后才能发送下一个请求5.3.1HTTP协议发展历程HTTP/1.1：1997年发布通过在header中引入Connection:keep-alive，支持持久连接。它允许多个请求和响应在同一个TCP连接中进行，这避免了每个请求都需要建立一个新的TCP连接的问题支持管道化技术，它可以让浏览器同时发送多个请求，不用等待服务器返回5.3.1HTTP协议发展历程HTTP/1.1不足：队头堵塞，HTTP/1.1所有的数据通信都是按次序完成的，服务器只有处理完一个请求，才会处理下一个请求，如果前面的请求处理特别慢，后面就会有很多请求排队等着，严重影响整个页面加载5.3.1HTTP协议发展历程HTTP/2：基于Google发布的SPDY协议，HTTP/2于2015年发布减少头部信息数据大小，通过HPACK算法将头信息压缩后再发送减少信息发送次数，客户端和服务端同时维护一张头信息表，所有字段都会存入这个表，以后请求只要发送不同字段即可，这样就提高速度了5.3.1HTTP协议发展历程HTTP/2：基于Google发布的SPDY协议，HTTP/2于2015年发布支持多路复用，通过单一连接可以发送多个的请求-响应消息，不用按照顺序一一对应，这就避免了队头堵塞问题，每个请求或回应的所有数据包，称为一个数据流（stream），每个数据流都有一个独一无二的编号来区分。数据流的最小单位是帧，帧会组成消息数据包，多个消息数据包组成流，一个tcp连接里，可并发许多流5.3.1HTTP协议发展历程HTTP/2：基于Google发布的SPDY协议，HTTP/2于2015年发布支持服务端推送，即允许服务端未经请求，主动向客户端发送资源。从此浏览器告别longpolling,这可以减少浏览器的请求次数和等待时间，从而提高页面加载速度5.3.1HTTP协议发展历程HTTP/3：2022年发布HTTP/3采用QUIC协议，QUIC协议是一种基于UDP协议的新型协议，它可以减少连接建立的延迟和丢包率，从而提高网络性能支持连接迁移，它可以让客户端在不同网络无缝的切换，而tcp在切换网络的时候要不断的重连，无法做到那么丝滑。5.3.2HTTP报文结构HTTP协议定义了两种类型的报文：请求报文：由客户端发起，向服务器发送的报文，用以请求服务器中的资源或服务，如图(a)。响应报文：服务器返回给客户端的报文，包含了对客户端请求的处理结果或所请求的资源，如图(b)5.3.2HTTP报文结构HTTP的请求报文和响应报文均由三个主要部分组成，它们的主要区别在于开始行的内容不同5.3.2HTTP报文结构开始行：用于区分报文是请求还是响应（1）请求报文的开始行称为请求行，包含请求方法、请求的资源URL和HTTP版本。（2）响应报文的开始行称为状态行，包含HTTP版本、状态码和状态消息。开始行的字段之间用空格分隔，行尾使用回车（CR）和换行（LF）作为结束5.3.2HTTP报文结构首部行：包含关键的元信息，如浏览器信息、服务器信息或报文主体的属性。首部行可以有多行，也可以没有。每行首部行包含字段名和字段值，每行结束时使用回车和换行作为分隔。首部行结束后，有一个空行（只包含CRLF）作为首部行和实体主体之间的分隔5.3.2HTTP报文结构实体主体：在请求报文中通常不使用，但在响应报文中可能包含，如返回的HTML页面、图片数据等5.3.2HTTP报文结构HTTP方法：HTTP方法定义了要对资源执行的操作，常用的HTTP方法包括GET、POST、PUT、DELETE等，每种方法对应不同的操作语义方法(操作)意义OPTION请求一些选项的信息GET请求读取由URL所标志的信息HEAD请求读取由URL所标志的信息的首部POST给服务器添加信息(例如，注释)PUT在指明的URL下存储一个文档DELETE删除指明的URL所标志的资源TRACE用来进行环回测试的请求报文CONNECT用于代理服务器5.3.2HTTP报文结构HTTP响应状态码：用于表示请求的处理结果1xx（信息性状态码）：表示请求已接收，继续处理中2xx（成功状态码）：表示请求正常处理完毕，其中200OK是最常见的成功状态码3xx（重定向状态码）：表示需要进一步操作以完成请求，例如301MovedPermanently或302Found4xx（客户端错误状态码）：表示请求包含错误或无法被服务器理解，例如404NotFound或400BadRequest5xx（服务器错误状态码）：表示服务器在尝试处理请求时遇到错误，例如500InternalServerError或503ServiceUnavailable这些状态码为客户端提供了关于请求结果的重要信息，使得客户端能够根据响应采取适当的行动5.3.4常见的HTTP协议攻击HTTP协议默认不加密且无状态，服务器通过Cookie和Session技术跟踪用户会话。Cookie存储在客户端，随请求发送；Session存储在服务器端，通过SessionID关联。但这些信息若泄露，攻击者可能劫持或固定会话，获取用户信息5.3.4常见的HTTP协议攻击会话劫持：是一种网络攻击手段，攻击者通过非法途径获取用户的SessionID，然后利用这个SessionID来冒充合法用户，获取目标用户的登录会话。会话固定：是一种网络攻击技术，攻击者引导受害者使用一个由攻击者预先设定的会话标识（SessionID）来创建会话5.3.4常见的HTTP协议攻击会话劫持的攻击步骤通常包括：（1）目标用户正常登录网站。（2）登录成功后，用户获得由网站颁发的SessionID，通常存储在Cookie中。（3）攻击者利用网络嗅探、跨站脚本攻击（XSS）等手段捕获目标用户的SessionID。（4）攻击者使用捕获到的SessionID访问网站，冒充目标用户获得合法会话网络嗅探：攻击者在网络中捕获数据包，提取其中的SessionID。XSS攻击：攻击者通过XSS漏洞在用户浏览器中执行恶意脚本，将用户的Cookie等信息发送到攻击者控制的服务器。5.3.4常见的HTTP协议攻击会话固定攻击过程通常分为以下三个阶段：（1）会话建立：如图中的第一步和第二步所示，攻击者在目标服务器上创建一个陷阱会话，并采取措施保持该会话的活跃状态，防止其超时5.3.4常见的HTTP协议攻击会话固定攻击过程通常分为以下三个阶段：（2）会话固定：如图中的第三步所示，攻击者将陷阱会话的SessionID传递给目标用户，使其浏览器接受并使用这个SessionID5.3.4常见的HTTP协议攻击会话固定攻击过程通常分为以下三个阶段：（3）会话进入：如图中的第四步和第五步所示，攻击者利用已经被固定的SessionID，等待或诱导用户使用该SessionID登录，从而获得用户会话的访问权限5.3.4常见的HTTP协议攻击会话固定的方法：（1）建立会话和获取SessionID：攻击者可以通过截取网络传输、预测SessionID生成算法或尝试蛮力破解等手段来获取SessionID（2）传递SessionID：攻击者可以通过在Cookie中设置SessionID、在URL参数中包含SessionID或在隐藏的表单字段中使用SessionID等方式，将陷阱会话的SessionID传递给用户浏览器。这可能涉及利用客户端脚本、Meta标签或构造特殊的URL来实现（3）利用XSS漏洞：如果目标网站存在跨站脚本（XSS）漏洞，攻击者可以在网站上注入恶意脚本，创建包含隐藏SessionID的表单，诱导用户提交5.3.5HTTP协议防御措施会话劫持防御措施：（1）更改Session标识符名称：在某些编程语言中，如PHP，Session的默认Cookie名称是PHPSESSID。通过更改Session的默认名称，可以使SessionID不那么容易被识别和预测，从而提高安全性（2）避免URL中的SessionID：不应通过URL传递SessionID，这种做法被称为透明化SessionID，它增加了SessionID被截获的风险（3）使用HttpOnly标志：设置Cookie时，将HttpOnly属性设置为true可以阻止客户端脚本（如JavaScript）访问Cookie，这有助于减少XSS攻击导致的SessionID泄露（4）引入Token验证机制：在客户端和服务器之间增加一个Token验证步骤，可以检查请求的合法性5.3.5HTTP协议防御措施会话劫持防御措施：（5）使用安全的传输层协议：通过HTTPS来加密客户端和服务器之间的通信，防止SessionID在传输过程中被截获。（6）设置Cookie的Secure属性：确保Cookie仅通过HTTPS传输，避免在不安全的HTTP连接中泄露。（7）限制Session生命周期：为Session设置合理的过期时间，减少SessionID被滥用的机会。（8）使用复杂的SessionID生成算法：采用难以预测的算法来生成SessionID，提高会话标识的安全性。（9）监控异常会话活动：通过监控系统检测异常的会话行为，及时发现并响应潜在的会话劫持尝试5.3.5HTTP协议防御措施会话固定防御措施：会话建立过程中的防御措施（1）服务器控制会话标识生成：确保服务器是会话标识的唯一生成者，不使用用户输入或可预测的值（2）加强会话标识的保密性：通过加密传输和使用强随机数生成器来创建难以预测的会话标识（3）检查Referrer：对来源可疑的请求进行限制，例如，当Referrer不是来自本服务器时，拒绝会话请求（4）绑定会话标识与用户IP：将SessionID与用户的IP地址绑定，以减少会话标识被滥用的风险（5）避免通过GET/POST传递SessionID：防止SessionID通过URL泄露，不在日志和历史记录中留下痕迹5.3.5HTTP协议防御措施会话固定防御措施：会话固定过程中的防御措施（1）登录后更新会话标识：用户登录成功后，服务器应生成一个新的SessionID，避免攻击者利用旧的SessionID。（2）及时销毁会话：确保在用户退出或会话超时时，服务器端彻底删除会话信息。（3）修复Web应用漏洞：定期检查并修复XSS、文件上传漏洞等安全漏洞，减少攻击者利用这些漏洞进行会话固定的机会5.3.5HTTP协议防御措施会话固定防御措施：会话进入过程中的防御措施（1）设置会话超时限制：为会话设置一个合理的超时时间，防止攻击者长时间维持非法会话（2）监控会话一致性：在整个会话期间，检查附加信息（如源IP地址、UserAgent）的一致性，如有异常，立即结束会话（3）使用安全特性：利用Cookie的HttpOnly和Secure属性，防止客户端脚本访问SessionID，并确保SessionID的安全传输5.3.5HTTP协议防御措施会话固定防御措施：会话进入过程中的防御措施（4）实施多因素认证：增加额外的安全层，如短信验证码、电子邮件确认等，以提高会话的安全性（5）会话监控和警报：实施会话活动监控，对异常行为进行警报和响应邮件传输协议安全04PARTFOUR5.4.1邮件传输协议概述1971年，雷·汤姆林森博士奉命寻找一种电子邮箱地址的表现格式，他编写可以把一封信能够从一台主机发送达到另外一台的一段小程序。于是，第一封电子邮件诞生了。雷·汤姆林森被称为“E-Mail”之父5.4.1邮件传输协议概述电子邮件的发送和接收过程发送电子邮件通常涉及三个主要组件：用户代理、发送方邮件客户端以及接收方邮件服务器发送邮件的过程至少涉及两种类型的邮件协议：SMTP用于发送邮件，POP3或IMAP用于接收邮件5.4.1邮件传输协议概述电子邮件的发送和接收过程（1）撰写邮件：用户在邮件客户端撰写邮件，通过SMTP发送到本地邮件服务器（2）邮件入队：本地邮件服务器接收邮件并放入队列（3）查找目标：本地服务器通过DNS的MX记录查找收件人邮件服务器地址（4）转发邮件：本地服务器通过SMTP将邮件转发到收件人邮件服务器（5）存储邮件：收件人邮件服务器接收并存储邮件（6）检索邮件：收件人通过POP3或IMAP协议连接到邮件服务器并验证身份（7）查看邮件：收件人下载并查看邮件5.4.1邮件传输协议概述电子邮件信息的格式：两大部分构成（首部和主体）首部（Header）包含了邮件的元数据，提供了邮件路由和呈现所需的信息。首部由多行组成，每行包含一个关键字和随后的具体内容，格式为“关键字：内容”主体（Body）：主体是邮件的主要内容部分，由用户撰写，可以包含纯文本或格式化文本（如HTML）。主体通常在首部之后，通过空行与首部分隔首部和主体的分隔：邮件首部和主体之间通过一个空行（即两个连续的CRLF）进行分隔，这表明首部字段的结束和主体内容的开始5.4.1邮件传输协议概述电子邮件信息的格式：两大部分构成（首部和主体）常见的首部字段包括：From：邮件发送者的地址To：邮件接收者的地址。Cc：抄送地址，表示其他接收者也应收到邮件副本Bcc：密送地址，与Cc类似，但其他收件人无法看到Bcc收件人Subject：邮件的主题，提供邮件内容的简短描述Date：邮件发送的日期和时间Message-ID：邮件的唯一标识符5.4.2邮件传输协议简单邮件传输协议SMTP：SMTP概述SMTP是运行在TCP之上的应用层协议，用于发送和中转电子邮件，工作方式由RFC2821定义SMTP服务器在邮件首部添加类似邮戳的信息，记录邮件路径和处理时间，添加顺序为从下到上5.4.2邮件传输协议简单邮件传输协议SMTP：SMTP通信模型基于客户端/服务器模型，服务器默认监听TCP25端口完整会话包括三个阶段：建立连接、邮件传输和断开连接通信基于文本，命令和响应以文本形式交换，以CRLF（\r\n）作为行结束符5.4.2邮件传输协议简单邮件传输协议SMTP：SMTP命令格式格式为：COMMAND<SP><Parameter><CRLF>命令不区分大小写，但参数通常区分大小写SMTP响应信息：响应信息通常只有一行，以三位数响应代码开头，后跟简短文本说明，用于告知客户端命令执行情况5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例登录网易邮箱，点击“设置”，选择“POP3/SMTP/IMAP”选项，开启POP3/SMTP服务，并记录登录授权密码5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例下载安装Foxmail工具，网址为：/en/，并创建网易邮箱将“接受服务器类型”设置为“POP3”，“POP服务器”与“SMTP服务器”中的SSL选项取消勾选，点击创建5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例开启Wireshark，选择“写邮件”，编辑邮件内容，并发送5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例在Wireshark软件，先输入过滤条件smtp，获得SMTP服务器的ip地址为：10，然后输入过滤条件ip.addr==10，得到SMTP的基本工作流程如下5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（1）客户端首先与SMTP服务器建立TCP连接5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（2）服务器连接成功后，向客户端发送一个220响应码，表示服务器已准备好进行通信5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（3）客户端收到服务器的响应后，发送EHLO命令以初始化SMTP会话5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（4）服务器对EHLO命令做出响应，返回250响应码，表明邮件操作的请求已被接受5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（5）客户端随后发送AUTH命令，选择认证方式5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（6）服务器以334响应码回应，要求客户端输入认证信息。客户端输入认证信息后，服务器以235响应码确认用户认证成功5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（7）客户端通过MAILFROM命令向服务器发送发信人的邮箱地址5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（8）服务器以250响应码确认命令执行成功5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（9）客户端通过RCPTTO命令发送收件人的邮箱地址。如果邮件需要发送给多个收件人，可以重复此命令5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（10）服务器对每个RCPTTO命令都以250响应码确认请求已成功处理5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（11）客户端发送DATA命令，告知服务器准备开始传输邮件内容5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（12）服务器以354响应码回应，表示已准备好接收邮件数据5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（13）客户端开始向服务器传输邮件内容，并以连续两个CRLF（回车换行）序列标记邮件内容的结束5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（14）邮件内容传输完成后，服务器以250响应码确认邮件已成功接收5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（15）客户端发送QUIT命令，请求结束SMTP会话5.4.2邮件传输协议捕获SMTP协议：以网易邮箱为例（16）服务器以221响应码告知SMTP服务即将关闭，并结束会话。随后，客户端和服务器关闭TCP连接。5.4.2邮件传输协议邮件读取协议POP3：POP3概述POP3是由RFC1939定义的电子邮件协议，用于离线邮件处理，客户端下载未读邮件到本地后通常删除服务器上的邮件POP3通信模型基于TCP/IP的传输层，采用客户端/服务器模型，服务器默认监听TCP端口110客户端通过TCP连接发送POP3命令并接收服务器响应5.4.2邮件传输协议邮件读取协议POP3：POP3命令格式格式为：COMMAND<SP><Parameter><CRLF>命令不区分大小写，但参数通常区分大小写POP3响应信息：响应由一行或多行文本组成，以CRLF结束。首行以+OK（成功）或-ERR（失败）开头，后跟ASCII文本提供更多信息5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例在Wireshark软件，先输入过滤条件pop，获得pop服务器的ip地址为：07，然后输入过滤条件ip.addr==07，得到POP3基本工作流程如下5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（1）客户端通过TCP三次握手与邮件服务器建立连接，服务器在TCP110端口上监听5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（2）客户端发送USER命令，将邮箱用户名传递给POP3服务器5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（3）客户端通过PASS命令将邮箱密码发送给服务器5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（4）用户认证成功后，客户端使用STAT命令，请求服务器提供邮箱的统计信息5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（5）客户端通过LIST命令获取服务器上邮件的数量列表5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（6）客户端使用RETR命令来接收邮件。接收后，可以选择使用DELE命令将邮件标记为删除状态，或者选择保留邮件在服务器上的备份，不进行删除5.4.2邮件传输协议捕获POP3协议：以网易邮箱为例（7）当客户端完成邮件操作后，发送QUIT命令结束会话。此时，服务器将删除所有被标记为删除的邮件。如果连接意外中断，客户端和服务器的会话也会自动结束5.4.2邮件传输协议邮件读取协议IMAP：IMAP概述IMAP是基于RFC3501的应用层协议，用于从本地邮件客户端访问远程服务器上的邮件IMAP与POP3的区别IMAP提供更灵活的邮件处理方式，用户可在服务器上直接查看、搜索、管理邮件，无需下载到本地IMAP支持多客户端同步，一个客户端的操作可实时反映到其他客户端5.4.2邮件传输协议邮件读取协议IMAP：IMAP工作模式基于TCP/IP的客户端/服务器模式，服务器默认监听TCP143端口用户可在服务器上标记、移动、搜索和删除邮件IMAP的优势适合多设备同步、节省带宽、高级邮件管理等需求用户需确保邮件客户端支持IMAP并正确配置5.4.2邮件传输协议多用途互联网邮件扩展MIME：问题背景早期电子邮件标准（RFC822和RFC2822）仅支持ASCII编码，无法满足用户对多媒体内容的需求MIME的作用MIME定义了一套编码规则，用于处理非ASCII数据，扩展电子邮件功能MIME的应用和重要性MIME不仅用于电子邮件，还广泛应用于万维网的HTTP协议，扩展了电子邮件的功能，满足现代通信需求5.4.2邮件传输协议多用途互联网邮件扩展MIME：关键字段Content-Type：指明邮件主体的数据类型，如text/plain（纯文本）、image/jpeg（JPEG图片）等multipart类型：用于创建包含多个部分的复合邮件，通过boundary参数区分各部分Content-Transfer-Encoding：定义邮件内容的传输编码方式，确保多种类型数据的无缝传输5.4.3邮件传输协议的安全风险及防范策略SMTP协议的安全风险：传统SMTP协议缺乏数据加密，容易被第三方监听和截获邮件内容邮件在传输过程中经过多个服务器，增加了数据被截获的风险攻击者可通过截获数据包恢复邮件内容，导致用户隐私和敏感数据泄露5.4.3邮件传输协议的安全风险及防范策略SMTP协议的防范策略：使用TLS对SMTP会话进行加密，防止数据被截获和篡改，保护用户隐私和数据安全使用STARTTLS是一种安全扩展协议5.4.3邮件传输协议的安全风险及防范策略TLS主要工作过程：（1）连接建立：客户端与服务器建立TCP连接，告知支持的加密套件和TLS版本（2）证书和公钥交换：服务器提供TLS/SSL证书和公钥，客户端验证证书确认服务器身份（3）密钥交换：客户端使用服务器公钥加密共享密钥并发送给服务器（4）加密通信：双方使用共享密钥加密和解密邮件数据，确保传输安全5.4.3邮件传输协议的安全风险及防范策略STARTTLS工作过程：（1)初始连接：客户端首先与邮件服务器建立一个普通的TCP连接，此时通信尚未加密（2)发送STARTTLS请求：客户端通过发送STARTTLS命令来请求服务器升级连接为加密通信5.4.3邮件传输协议的安全风险及防范策略STARTTLS工作过程：（3)服务器响应：如果邮件服务器支持STARTTLS，它会向客户端发送一个响应，表明可以开始TLS握手过程（4)加密升级：客户端接收到服务器的响应后，开始TLS握手过程，包括证书验证、密钥交换等步骤，从而将连接升级为加密的TLS会话（5）加密通信：一旦TLS握手完成，客户端和服务器间的所有后续通信都将被加密5.4.3邮件传输协议的安全风险及防范策略POP3协议的安全风险POP3协议的安全缺陷初始设计未加密传输内容，攻击者可截获明文数据（包括用户名和密码），存在严重安全风险POP3工作机制的安全问题离线访问安全性：邮件下载到本地后无需身份验证即可阅读，可能泄露敏感信息。邮件同步问题：早期POP3下载后通常从服务器删除，导致多设备用户无法保留邮件副本；现代POP3虽可保留邮件，但单向工作模式不适合多设备同步需求5.4.3邮件传输协议的安全风险及防范策略POP3协议的安全风险及防范策略：提高POP3安全性和适应性的措施使用加密连接：通过TLS/SSL或STARTTLS加密POP3会话改进客户端设计：邮件客户端应本地加密存储邮件，并支持多设备间安全同步多端同步解决方案：考虑使用支持多端同步的协议（如IMAP）以满足现代需求DHCP协议安全05PARTFIVE5.5.1DHCP协议概述DHCP（动态主机配置协议）:是由互联网工程任务组（IETF）基于RFC2131标准开发设计的协议采用客户机-服务器模式运行DHCP协议在传输层使用UDP进行通信DHCP服务器监听67号端口，而DHCP客户端监听68号端口5.5.1DHCP协议概述DHCP主要提供以下三种IP地址分配方式：自动分配：永久性分配，客户端首次获取后长期保留手动分配：管理员为特定客户端指定固定IP地址动态分配：临时性分配，IP地址在有限时间内有效，使用后需释放回地址池动态分配是DHCP中最常用的IP地址分配方式，其工作过程主要分为四个阶段：发现、提供、请求和确认5.5.1DHCP协议概述DHCP的基本工作过程:发现阶段：客户端广播发送DHCPDiscover报文，查找DHCP服务器并表达获取IP地址的需求提供阶段：服务器收到Discover报文后，通过单播发送DHCPOffer报文，提议一个IP地址给客户端5.5.1DHCP协议概述DHCP的基本工作过程:请求阶段：客户端收到Offer报文后，选择一个（通常是第一个），发送DHCPRequest报文给相应服务器，接受提议的IP地址确认阶段：服务器收到Request报文后：（1）若能分配IP地址，发送DHCPAck报文确认分配成功，客户端可使用该IP地址（2）若无法分配，发送DHCPNak报文，客户端需重新进入发现阶段获取新IP地址5.5.1DHCP协议概述DHCP报文类型:DHCP包含八种类型的报文，分别为：DHCPDiscover、DHCPOffer、DHCPRequest、DHCPAck、DHCPNak、DHCPRelease、DHCPDecline和DHCPInformDHCP报文的封装格式是基于早期的BOOTP报文格式，其具体封装方式如图所示5.5.1DHCP协议概述DHCP报文类型:（1）DHCPRelease：客户端主动释放先前分配的IP地址，通常在不再需要或离开网络时使用（2）DHCPDecline：客户端拒绝接受服务器提供的IP地址，可能因发现IP地址冲突或其他问题（3）DHCPInform：客户端请求服务器提供除IP地址外的其他配置信息（如DNS服务器地址、子网掩码等），即使IP地址已手动配置。5.5.2DHCP报文分析环境配置DHCP服务器静态IP地址：41，子网掩码为/24客户端则配置为自动获取IP地址5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（1）DHCP服务器设置静态ip地址5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（2）添加角色和功能5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（3）DHCP配置5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（4）配置DHCP工具5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（5）配置客户端自动获取ip5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（6）抓取DHCP相关报文命令提示符窗口输入命令ipconfig/release5.5.2DHCP报文分析WindowsServer2016搭建DHCP服务器流程：（6）抓取DHCP相关报文启动Wireshark。单击Start按钮开始捕获数据包命令提示符窗口输入命令ipconfig/renew，以及ipconfig/all5.5.2DHCP报文分析DHCPDiscover报文：客户端通过广播发送DHCPDiscover消息请求IP地址，消息包含客户端的MAC地址和主机名，用于让DHCP服务器识别特定客户端。这是动态IP地址分配的第一步，为后续通信奠定基础5.5.2DHCP报文分析DHCPDiscover报文：第一个数据包即为该DHCPDiscover消息，它包含了客户端的MAC地址和主机名，这些信息允许DHCP服务器识别发出请求的特定客户端5.5.2DHCP报文分析DHCPDiscover报文：第二个数据包即为DHCPOffer报文，在该报文中，服务器根据客户端的MAC地址，为其分配了一个特定的IP地址，并提供了一系列的配置选项服务器为客户端分配的IP地址是435.5.2DHCP报文分析DHCPDiscover报文：序号为3的数据包即是一个DHCPRequest报文，通过分析这个数据包，可以确认客户端正在请求使用的IP地址为435.5.2DHCP报文分析DHCPDiscover报文：序号为4的数据包即为DHCPACK报文。这个报文标志着客户端现在已经正式获得了由服务器分配的IP地址，完成了DHCP动态IP地址分配流程5.5.3常见的DHCP攻击DHCP协议的安全风险:缺乏认证机制：默认无认证，攻击者可冒充合法服务器，向客户端分发错误的IP地址或网络配置信息。基于UDP的传输：运行在不可靠的UDP之上，UDP无连接且不保证报文顺序、完整性和可靠性，攻击者容易构造虚假DHCP报文，增加网络攻击风险潜在后果：客户端可能接收错误IP配置，导致无法接入网络或引发数据泄露等安全问题，给用户带来损失5.5.3常见的DHCP攻击DHCP安全威胁中的典型攻击手段:DHCP饥饿攻击：是攻击者通过不断地向DHCP服务器发起大量IP地址请求，目的在于迅速耗尽服务器的IP地址池。这种攻击行为导致DHCP服务器无法为合法的DHCPClient提供可用的IP地址5.5.3常见的DHCP攻击DHCP安全威胁中的典型攻击手段:DCHPServer仿冒者攻击：策略是攻击者在网络环境中设置一个伪造的DHCPServer，模仿合法DHCPServer的功能5.5.3常见的DHCP攻击DHCP安全威胁中的典型攻击手段:DCHP中间人攻击：策略涉及攻击者使用ARP欺骗技术来操纵DHCP客户端和服务器之间的通信5.5.4DHCP协议防御措施DHCP饥饿攻击防御措施:在网络交换机上启用DHCPSnooping功能，该功能会对DHCP请求报文中的源MAC地址与Chaddr字段进行比对验证。如果两者一致，交换机将允许该报文通过；如果不一致，则交换机会拒绝该报文5.5.4DHCP协议防御措施DCHPServer仿冒者攻击防御措施通过DHCPSnooping技术，将交换机端口划分为信任端口和非信任端口，仅允许信任端口接收的DHCP报文转发，自动丢弃非信任端口的DHCP报文，从而防止仿冒DHCPServer攻击5.5.4DHCP协议防御措施DCHP中间人攻击防御措施启用交换机上的ARP与DHCPSnooping联动功能，通过维护DHCPSnooping绑定表验证ARP报文的源IP和源MAC地址，不一致时拒绝报文，从而有效防止ARP欺骗和DHCP中间人攻击FTP协议安全06PARTSIXFTP概述FTP是用于网络文件传输的标准协议，工作在OSI模型的应用层和TCP/IP模型的第四层，依赖TCP协议实现可靠、面向连接的传输，连接建立前需经过三次握手5.6.1FTP的应用场景FTP的一些主要应用场景：（1）网站管理：FTP是网站管理员上传网页文件、图片、脚本和其他媒体类型到服务器的标准工具（2）数据交换：企业和组织之间经常需要交换大量数据，FTP提供了一种简便的交换方式（3）备份与存档：企业常通过FTP进行远程数据备份和存档，以防止数据丢失（4）软件分发：软件公司经常使用FTP服务器来发布软件更新和补丁，用户可以下载最新版本的软件（5）远程工作：远程工作人员可以通过FTP访问公司服务器，获取或上传与工作相关的文件5.6.2FTP的工作过程基于客户/服务器模式，使用TCP协议建立稳定会话进行文件传输需要两组连接：控制连接和数据连接控制连接：持续存在，用于传输FTP命令和响应信息默认端口为TCP21数据连接:临时连接，用于实际文件数据传输，传输完成后关闭5.6.2FTP的工作过程工作模式：主动模式：客户端发送PORT命令，服务器从TCP20端口主动连接到客户端指定端口被动模式：客户端发送PASV命令，服务器打开临时端口，客户端主动连接到该端口被动模式的优势：适用于客户端位于防火墙内的情况，避免防火墙阻止外部连接5.6.3匿名FTPFTP身份验证：用户需通过用户名和密码验证后才能上传或下载文件需要两组连接：控制连接和数据连接匿名FTP服务：提供“anonymous”账号，允许用户无需注册即可下载文件登录时用户名为“anonymous”，密码可为任意字符串（如邮箱地址）安全限制：匿名FTP服务限制用户访问范围，仅开放特定目录供公众下载文件其他系统目录保持隐藏，保护服务器数据安全和隐私5.6.4FTP协议分析环境配置：服务器端运行的是WindowsServer2006操作系统，IP地址为41，子网掩码为/24客户端运行的是Windows10操作系统，IP地址为43，同样使用/24子网掩码5.6.4FTP协议分析主动模式：在Windows操作系统中，如果使用命令行工具连接FTP服务器，而没有特别指定模式，系统将默认采用主动模式捕获过程：（1）启动Wireshark并设置过滤器：打开Wireshark，在“CaptureOptions”中设置捕捉过滤器在“CaptureFilter”栏输入：ip.host==41andip.host==43点击“Start”按钮开始捕获数据包5.6.4FTP协议分析主动模式：捕获过程：（2）执行FTP操作：在客户端机器上打开命令提示符使用FTP命令连接到FTP服务器，输入账号和密码进行身份验证执行FTP命令（如列出目录、上传或下载文件）5.6.4FTP协议分析主动模式：捕获过程：（3）分析数据包：在Wireshark中观察捕获的数据包，分析FTP的控制连接和数据连接建立过程。完成FTP操作后，点击“Stop”按钮停止捕获。5.6.4FTP协议分析主动模式FTP通信的过程：FTP先通过TCP的三次握手建立控制连接序号1至3的数据包展示了FTP通过TCP的三次握手过程，建立控制连接一过程。在这个过程中，客户端使用端口50140，而服务器端使用其熟知的端口21；5.6.4FTP协议分析主动模式FTP通信的过程：FTP先通过TCP的三次握手建立控制连接序号4的数据包是FTP的220响应，表明服务器已经准备好接收客户端的指令；5.6.4FTP协议分析主动模式FTP通信的过程：FTP先通过TCP的三次握手建立控制连接序号6至13的数据包记录了客户端使用账号登录FTP服务器的过程5.6.4FTP协议分析主动模式FTP通信的过程：客户端在命令提示符窗口输入dir命令，以显示当前目录的文件和子目录列表5.6.4FTP协议分析主动模式FTP通信的过程：序号14的数据包是客户端发送的FTP命令PORT，其中包含客户端的IP地址43和指定的临时端口号，计算得出为50105。这表明客户端希望采用主动模式建立数据连接5.6.4FTP协议分析主动模式FTP通信的过程：序号14的数据包是客户端发送的FTP命令PORT，其中包含客户端的IP地址43和指定的临时端口号，计算得出为50105。这表明客户端希望采用主动模式建立数据连接5.6.4FTP协议分析主动模式FTP通信的过程：序号15、17、18的数据包展示了服务器向客户端发送SYN-ACK包，以确认数据连接的建立，并等待客户端的最终确认。客户端随后发送ACK包，完成三次握手，成功建立数据连接5.6.4FTP协议分析主动模式FTP通信的过程：序号16的数据包是服务器对PORT命令的响应，内容为200PORTcommandsuccessful.，表示PORT命令已成功执行5.6.4FTP协议分析主动模式FTP通信的过程：序号19的数据包是客户端发送的FTP命令LIST，请求列出当前目录下的文件列表5.6.4FTP协议分析主动模式FTP通信的过程：序号20的数据包是FTP的120响应，表示数据连接已经建立，文件传输即将开始5.6.4FTP协议分析主动模式FTP通信的过程：序号21的数据包展示了在数据连接上进行的文件列表数据传输，协议标记为FTP-DATA5.6.4FTP协议分析主动模式FTP通信的过程：序号22至23的数据包显示客户端在控制连接上发送FIN包，以关闭到服务器的数据传输方向。服务器回应ACK包，确认收到FIN包，随后控制连接的数据传输方向关闭5.6.4FTP协议分析主动模式FTP通信的过程：序号24的数据包是FTP的226响应，表示数据传输成功完成，并且数据连接已经关闭5.6.4FTP协议分析主动模式FTP通信的过程：客户端在命令提示符窗口输入gettest.txt命令，请求下载当前目录下的test.txt文件5.6.4FTP协议分析主动模式FTP通信的过程：客户端在命令提示符窗口输入gettest.txt命令，请求下载当前目录下的test.txt文件5.6.4FTP协议分析主动模式FTP通信的过程：序号33的数据包包含FTP的PORT命令，使用主动模式，客户端IP地址为43，临时端口号计算为501065.6.4FTP协议分析主动模式FTP通信的过程：序号34、36、37的数据包