TCPIP协议族及其安全隐患研讨.ppt

UDP协议 UDP源端口 消息长度 数据 UDP目的端口 校验和 0 15 31 UDP协议的特点 无连接的协议 传输数据之前，源端和目的端无需建立连接。 不可靠的协议 如果在从发送方到接收方的传递过程中出现数据报的丢失，协议本身并不能做出任何检测或提示 不保序的协议 不能确保数据的发送和接收顺序 UDP的安全威胁 04 服务器 03 01 可信客户端 ① UDP请求源地址 01 ② UDP应答 UDP的安全威胁(Cont.) 04 服务器 03 01 可信客户端 ① UDP请求 ② 填充UDP应答源地址 04 UDP应答 域名服务协议 com org cn edu net/org/uk/… edu com/org/… uestc www bbs ccse me/ee/… 域名服务协议(Cont.) 客户端 本地DNS服务器 0 其他DNS ① DNS查询 ? ② DNS查询 ? ③ DNS应答 0 ④ DNS应答 0 ⑤HTTP请求 ⑥HTTP应答 域名服务协议安全威胁 DNS服务器 受害客户端 ①? ID=111 ② ? ID=36 ③ = 和一些其他被篡改的记录，ID=36 ④ = ID=111 域名服务协议安全威胁(Cont.) DNS服务器 受害客户端 ①? ID=111 ② = ID=111 攻击者 域名服务协议安全威胁(Cont.) DNS服务器 受害客户端 ② = ID=xxxx 大量猜测ID的伪造应答数据包 攻击者 ①?ID=xxxx 发出大量查询 ③ ? ④ = 域名服务协议安全威胁(Cont.) DNS服务器组 攻击者 被攻击者 ①?ID=xxxx 发出大量查询，From IP= ② = 大量应答 超文本传输协议 本地DNS服务器 2 客户端 HTTP协议安全威胁 本地DNS服务器 2 客户端 3 HTTP协议安全威胁(Cont.) 持久性跨站（persistent XSS or stored XSS） 攻击数据存放于服务器。当用户访问正常网页时，服务端会将恶意的指令夹杂在正常网页中传回给用户 非持久性跨站（non-persistent XSS or reflected XSS） 当服务端未能正确地过滤客户端发出的数据，并根据用户提交的恶意数据生成页面时，就有可能生成非持久性跨站攻击。 DOM 跨站（DOM-based XSS） 如果客户端脚本（例如JavaScript）动态生成 HTML的时候，没有严格检查和过滤参数，则可以导致 DOM 跨站攻击。 第2章 TCP/IP协议族及其安全隐患 计算机网络的演变 第一阶段：理论基础研究的基础 第二阶段：新型分组交换技术的诞生 标志着计算机网络与通信技术的结合基本成型 第三阶段：TCP／IP 协议的提出 标志着通信与计算机技术的结合基本完成 计算机网络的概念 能够相互共享资源的方式互连起来的自治计算机系统的集合 通信技术 计算机技术 计算机网络 技术角度 资源共享角度 对信息的存储和处理 实现计算机与计算机之间的互连、互通 计算机网络的的性质 分散性 计算机网络所连接的计算机系统可以是分布在不同地理位置的多台独立的计算机系统。 异构性 计算机网络中所包含的计算机不论是在组成上，还是功能上，都可以有显著的不同。 自治性 参与连接计算机网络的计算机应该是“自治计算机系统”，即所有计算机应该实行自我管理。 计算机网络协议 用来规定信息格式 语法 用来说明通信双方应当怎么做 语义 详细说明事件的先后顺序 时序规则 网络协议包含三个基本要求 计算机网络分类 广播式网络（Broadcast Networks） 点对点网络（Point-to-Point Networks） 按传输技术分类 局域网（LAN） 城域网（MAN） 广域网（WAN ） 按网络的覆盖范围与规模分类 计算机网络的组成与结构 资源子网 通信子网 主机 局域网 主机 局域网 主机 局域网 大型机 终端 路由器 路由器 路由器 路由器 路由器 路由器 终端 常见计算机网络拓扑结构 总线型结构 常见计算机网络拓扑结构 环状结构 网络连接设备 常见计算机网络拓扑结构 星状结构 常见计算机网络拓扑结构 树状结构 常见计算机网络拓扑结构 网状结构 常见计算机网络拓扑结构 无线接入设备 无线终端 无线终端 无线通信基站 无线通信基站 地面接受天线 卫星 无线通信与卫星通信网络结构 TCP/IP协议基础—— OSI参考模型(Cont.) 应用进程访问网络服务的窗口 应用层 解释不同控制码、字符集和图形字符等 表示层 负责建立、维护和同步通信设备之间的交互操作 会话层 负责整个消息无差错、按顺序地的从信源到信宿传递过程 传输层 负责数据包成功和有效率地经过多条链路、 由信源到信宿的传递过程 网