第二章 网络安全基础.ppt

第2章 网络安全基础 IP网络互联基本概念 IP机制的理解 TCP机制的理解 应用层协议简介 1 IP网络互联 1.1 ISO-OSI RM 1.2 TCPIP协议体系 1.3 网络互联 1.1 ISO-OSI RM 1.2 TCPIP协议体系 相同点： 1.都是基于独立的协议栈概念。 2.两者都有功能相似的应用层、传输层、网络层。 不同点： 1.在OSI模型中，严格地定义了服务、接口、协议；在TCP/IP模型中，并没有严格区分服务、接口与协议。 2.OSI模型支持非连接和面向连接的网络层通信，但在传输层只支持面向连接的通信；TCP/IP模型只支持非连接的网络层通信，但在传输层有支持非连接和面向连接的两种协议可供用户选择。 3.TCP/IP模型中不区分、甚至不提起物理层和数据链路层。 1.3 网络互联 网络互联设备用于局域网（LAN）的网段，它们有四种主要的类型： 2 数据链路层 2.1 数据链路层通信 2.2 ARP/RARP 2.1 数据链路层通信 两台计算机通过一条链路进行通信的简化模型 2.2 ARP/RARP ARP/RARP 实现IP 地址与网络物理地址的映射： IP 地址统一了网际通信的地址形式（IP 层以上的软件都使用 IP 地址），隐藏了原有的物理网络地址；但在网络内部，IP 层通信的实现依赖于底层的物理网络技术，底层必然还要使用物理地址。为了保证通信的一致性，必须要建立各结点 IP 地址与网络物理地址之间的映射，称为地址解析（resolution）。 地址解析协议（ARP－Address Resolution Protocol）用于 IP 地址到物理地址的映射；逆向地址解析协议（RARP – Reverse Address Resolution Protocol）用于物理地址到 IP 地址的映射。地址解析是在物理地址上加的一层地址机制，通常被看作是 IP 层以下的功能，可认为是物理网络的一部分。 ARP协议过程： ARP/RARP 的报文格式 ARP/RARP 的报文分组格式是统一的 ARP/RARP 分组封装在物理网络的数据帧中传送 3 网络层协议 3.1 IP 3.2 ICMP 3.3 路由协议 3.1 IP IP的功能 分组的传输：使用IP分组格式，按照IP地址进行传输差错处理与控制 路由的选择和维护：根据IP地址，使用路由协议进行路由的选择和维护。 IP 的特点 IP 层属于通信子网，位于通信子网的最高层。 提供无连接的分组传输：简单、不能保证传输的可靠性 IP 协议是点到点的：对等 IP 层实体间的通信不经过其它结点 IP地址： IP地址IP 协议定义的，对每个物理终端来说在全网唯一的通用 32 位地址格式 ，IP 地址解决互联网络（Internet）中的寻址问题；IP 地址在网络层上屏蔽了异种网络之间物理地址等特性的差异，利于网间通信的实现；IP 地址的分配是在网络信息中心（NIC）的统一的管理下进行 IP 地址的结构 各类型IP地址的范围 IP 分组的构成：IP包头 +IP数据 最大传输单元（MTU - maximum transfer unit） 各种物理网络技术都限制了一个物理帧的大小，这个限值被称为最大传输单元；不同物理网络技术的 MTU 不同。 对于一个网络而言，其 MTU 值是由其采用的物理技术决定的，而且通常保持不变 IP分组的分片问题： 在小 MTU 的网络上将较大分组分割后进行传输称为IP包分片 IP头中有3个单元与分片有关： ID(Identification)：该分组的唯一标识，以便进行分片的重组 MF(More Fragment，Flags 字段的 Bit 0)：MF=1 表示还有更多分片 FO(Fragment Offset)：本片起始位置在原始分组数据区中的偏移量 分组的分片传输：在分组的传输通路上，分片操作只能出现在两个 MTU 不同的网络的交界处，也就是出现在路由器上；进入一个新网络时，若新网络的 MTU 小于原有网络的 MTU，则可能需要进行分片；若新 MTU 值不小于原有 MTU 就不必进行分片。 片重组（reassembly）是分片的逆过程。所有片重组操作都在目的主机上进行。其简单过程如下： 当目的主机收到 MF=1 的分片时，首先将其进行缓存 当收到 MF=0 的分片时，计算原始 IP 分组的长度： 原始分组长 = 本分片的偏移 + 本分片的数据长度 利用原始分组长度检查是否收到全部分片；若是，则按照各片的偏移值重新组装成 IP 分组，提交给高层软件；否则将等待，直到收到该分组的全部分片 为了防止无限等待，在接收端设置重组定时器；当接收到分组的第一片时启动该定时器，如果在指定的时间内未能完成分组重组，将放弃整个重组、释放资源 3.2 ICMP 网际控