网络安全讲义第2章.ppt

第2章 IP数据报结构 2.1 流量监控与数据分析 2.2 网络层协议报头结构 2.3 传输层协议报头结构 2.4 TCP会话安全 信息技术系 * 2.1 流量监控与数据分析 2.2 网络层协议报头结构 2.3 传输层协议报头结构 2.4 TCP会话安全 2.5 数据流捕捉与分析 教学要求：了解流量监控和数据分析的概念，掌握网络层协议和传输层协议的报头结构，熟悉Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。 以太网的通信是基于广播式的，即同一个网段的所有网络接口都可以访问到物理媒体上传输的数据。 IP地址 MAC地址 ARP协议 RARP协议 1）一个网络接口响应两种数据帧： 与自己硬件地址相匹配的数据帧；发向所有机器的广播数据帧。 2）网卡的接收方式： 广播方式：接收网络中的广播信息 组播方式：接收组播数据 直接方式：只有目的网卡才能接收该数据 混杂方式：接收一切通过它的数据 3）数据帧的接收过程（P17图2.1） 正常的通信方式：以太网的工作机制是把要发生的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的MAC地址，每一台主机的网络接口都拿目标主机的MAC和自己的MAC地址进行比较，只有两个地址相同或者目标主机的地址为广播地址时，网络中的这台主机才接受该信息。 网络监听的原理：将监听机的网卡接收模式设为混杂，即不管数据包的MAC地址是否与自己相同，一律接收。 2.1.1 局域网数据流量的控制 1 检测网络监听 方法一：用正确的IP和错误的MAC地址ping，运行监听程序的机器会有响应。 方法二：向网上发大量不存在的MAC地址的包，以破坏监听机器的性能。 方法三：使用反监听工具。如antisniff，用于检测本地网络是否有机器处于混杂模式(即监听模式)。 2 网络监听的防范措施 1）利用交换机实现（如二层或三层交换机可实现一对一的数据报传送；使用交换式集线器；划分VLAN ） 2）加密 2.1.2 Sniffer工具介绍 捕获在网络上传输的数据信息成为sniffering（窃听）。 Sniffer是NAI公司推出的协议分析软件。主要功能有：捕获网络流量进行详细分析；利用专家分析系统诊断问题；实时监控网络活动；收集网络利用率和错误等。 Sniffer通常运行在路由器或有路由功能的主机上，将系统的网络接口设定为混杂模式，用于监听所有流经同一以太网段的数据包。 网络层协议将数据包封装成IP数据报，并运行必要的路由算法，它有4个互联协议。 (1) 网际协议(IP)：在主机和网络之间进行数据包的路由转发。 (2) 地址解析协议(ARP)：获得同一物理网络中的硬件主机地址。 (3) 网际控制报文协议(ICMP)：发送消息，并报告有关数据包的传送错误。 (4) 互联组管理协议(IGMP)：IP主机向本地多路广播路由器报告主机组成员。 2.2.1 IP IP负责在主机间寻址并为数据包设定路由。IP协议面向无连接，不可靠。 IP数据报的格式： 传输时按“网络字节序”传输 1）4位版本号 2）4位首部长度 3）8位服务类型，包括3位优先权字段、4位TOS字段和一位0） 4）16位总长度（整个IP数据报的总长度） 5）16位标识用于唯一标识每一个数据报 6）3位标志，只用到2位，标识是否分组，是否是最后一组 7）13位片偏移标识分段后的分组在原组中的相对位置。 8）8位生存时间设置了数据报可以经过的最多路由器数 9）8位协议指示TCP或UDP协议等 10）16位首部校验和 2.2.2 ARP ARP用于将主机IP地址映射为硬件地址MAC 1）本地IP地址解析为MAC地址的过程： 初始化ARP请求，若该IP地址是本地时，源主机在ARP缓存中查找目标主机对应的MAC 若找不到，则ARP建立一个请求，通过广播发送到所有本地主机上 该网段上的所有主机都收到，并寻找相符的IP地址 若目标主机确定请求中的IP与自己相符时，发送一个ARP答复，将自己的MAC给源主机，源主机更新缓存。建立通信。 2）远程IP解析为MAC过程 初始化ARP请求，得知为远程主机地址，源主机在本地路由表中查找，若无，则认为是默认网关，在ARP缓存中找网关对应的MAC 若没找到，则ARP广播请求网关地址，路由器回应MAC，将数据发到路由器，以便转发 在路由器上，再次确定目的主机是本地还是远程。。。。 可用arp –a命令查看当前的ARP缓存 ARP包的结构 1）硬件类型：表明ARP实现在何种类型的网络上。 2）协议类型：代表解析协议（上层协议）。这里，一般是0800，即IP。 3）硬件地址长度：MAC地址长度，此处为6个字节。 4）协议地址长度：IP地址长度，此处为4个字节