网络基础与相关攻击解剖.ppt

* 反映在计算机上就是一系列接口，如串口、并口、RJ45等，都是物理层协议特性。 机械特性定义接口 形状，如RJ45是方的。所有的接口都是按照这个标准来做。 每个引脚都有自己的作用，比如发送控制信号，接受信号等等，RJ45有8根引脚 电器特性就是编码方式，用多大的电平表示1等等，每个比特持续的时间 通俗点说，物理层定义的就是我们用什么样的插口，接口应该完成什么功能就是物理层的功能 * 识别帧的标志：我们语句会有逗号、句号。那么DL第一点就是要能够准确判断那里是一个帧的开始，那里是结束。 帧的正确性，如何校验 错误的要扔掉重发，我们没有纠错只是检错。我们上课没听懂要再讲一遍，与此类似。可以回复一个出错信号或者对其出错帧后什么也不作。 正确的帧要确认。 * 协议转换：每种网络采用的协议是不一样的，如以太网-FDDI的转换 链路层这种对超过其协议定义的最大数据字段长度时就进行分片的特性, 就称为MTU(Maximum Transmission Unit). 不同链路层协议, MTU值也不同, 我们已经知道, 对以太网, MTU是1500字节, 而对令牌环(Token Ring)网, MTU是4482字节.对比火车运输转汽车运输货物 根据流量的收费，可以在网络层统计 * Ox24（16进制的24）等于10进制的36，就是不算首部长度后数据包的长度 * * 判断：1. 大量SYN_RECV 2. Ping 来源地址不同，证明是假IP 3. 端口大多几万多，而常用的不会这么大 * * 从页面上分析，钓鱼网和中国银行官方网站几乎一模一样。但是骗子为了获取用户的网银账户密码，特意在右上角添加了“登陆网银 E令升级”的链接 * 虽然钓鱼网做跟中行的官网一模一样，但是如此大的网站，骗子是不会将每一个链接都做出来的。经过分析发现，当用户点击钓鱼网中的相关页面（除了E令升级的链接），网站都会自动跳转到(中国银行官方网站)的其他链接中去。 3、 钓鱼网需要用户输入网银账户密码来获取用户的信息，分析发现，钓鱼网的网银入口只是采用了HTTP协议，稍微懂计算机的朋友应该知道HTTP协议是不可靠，不安全的协议，中国银行官网的网银入口是采用的HTTPS协议。 * 利用可变窗口大小进行流量控制双方确定的窗口值是 400 SEQ = 1 SEQ = 201 SEQ = 401 SEQ = 301 SEQ = 101 SEQ = 501 ACK = 201, WIN = 300 ACK = 601, WIN = 0 ACK = 501, WIN = 200 主机 A 主机 B 允许 A 再发送 300 字节（序号 201 至 500） A 还能发送 200 字节 A 还能发送 200 字节（序号 301 至 500） A 还能发送 300 字节 A 还能发送 100 字节（序号 401 至 500） A 超时重发，但不能发送序号 500 以后的数据 允许 A 再发送 200 字节（序号 501 至 700） A 还能发送 100 字节（序号 501 至 700） 不允许 A 再发送（到序号 600 的数据都已收到） SEQ = 201 丢失！ 用三次握手建立 TCP 连接 SYN, SEQ = x 主机 B SYN, ACK, SEQ = y, ACK= x ? 1 ACK, SEQ = x + 1, ACK = y ? 1 被动打开 主动打开 确认 确认 主机 A 连接请求 TCP 连接释放的过程 FIN, SEQ = x ACK, SEQ = y, ACK= x ? 1 ACK, SEQ = x + 1, ACK = y ? 1 应用进程 释放连接 A 不再发送报文 FIN, ACK, SEQ = y, ACK = x + 1 主机 B 主机 A 通知主机 应用进程 ① 应用进程 释放连接 B 不再发送报文 ② 确认 确认 从 A 到 B 的连接就释放了，连接处于半关闭状态。 相当于 A 向 B 说： “我已经没有数据要发送了。 但你如果还发送数据，我仍接收。” 至此，整个连接已经全部释放。 SYN Flooding TCP/IP栈只能等待有限数量的ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。 攻击者利用伪造的IP地址向目标发出多个连接（SYN）请求  攻击过程 案例 内外网都连接到Web服务器 某天发现内外网的计算机都无法连接Web服务器 改了Web服务器IP后，就可以连上，一个小时后又不能连接 如果拔去Web服务器的外网线，内网的计算机可以连接Web服务器 ARP 响应 A