[网络安全讲义第2章.ppt

第2章 IP数据报结构 2.1 流量监控与数据分析 2.2 网络层协议报头结构 2.3 传输层协议报头结构 2.4 TCP会话安全 信息技术系 * 2.1 流量监控与数据分析 2.2 网络层协议报头结构 2.3 传输层协议报头结构 2.4 TCP会话安全 2.5 数据流捕捉与分析 教学要求：了解流量监控和数据分析的概念，掌握网络层协议和传输层协议的报头结构，熟悉Sniffer Pro的安装和基本操作方法，熟练掌握使用Sniffer Pro进行抓包并分析的步骤。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 以太网的通信是基于广播式的，即同一个网段的所有网络接口都可以访问到物理媒体上传输的数据。 IP地址 MAC地址 ARP协议 RARP协议 1）一个网络接口响应两种数据帧： 与自己硬件地址相匹配的数据帧；发向所有机器的广播数据帧。 2）网卡的接收方式： 广播方式：接收网络中的广播信息 组播方式：接收组播数据 直接方式：只有目的网卡才能接收该数据 混杂方式：接收一切通过它的数据 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 3）数据帧的接收过程（P17图2.1） 正常的通信方式：以太网的工作机制是把要发生的数据包发往连接在同一网段中的所有主机，在包头中包括有目标主机的MAC地址，每一台主机的网络接口都拿目标主机的MAC和自己的MAC地址进行比较，只有两个地址相同或者目标主机的地址为广播地址时，网络中的这台主机才接受该信息。 网络监听的原理：将监听机的网卡接收模式设为混杂，即不管数据包的MAC地址是否与自己相同，一律接收。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1.1 局域网数据流量的控制 1 检测网络监听 方法一：用正确的IP和错误的MAC地址ping，运行监听程序的机器会有响应。 方法二：向网上发大量不存在的MAC地址的包，以破坏监听机器的性能。 方法三：使用反监听工具。如antisniff，用于检测本地网络是否有机器处于混杂模式(即监听模式)。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2 网络监听的防范措施 1）利用交换机实现（如二层或三层交换机可实现一对一的数据报传送；使用交换式集线器；划分VLAN ） 2）加密 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2.1.2 Sniffer工具介绍 捕获在网络上传输的数据信息成为sniffering（窃听）。 Sniffer是NAI公司推出的协议分析软件。主要功能有：捕获网络流量进行详细分析；利用专家分析系统诊断问题；实时监控网络活动；收集网络利用率和错误等。 Sniffer通常运行在路由器或有路由功能的主机上，将系统的网络接口设定为混杂模式，用于监听所有流经同一以太网段的数据包。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 网络层协议将数据包封装成IP数据报，并运行必要的路由算法，它有4个互联协议。 (1) 网际协议(IP)：在主机和网络之间进行数据包的路由转发。 (2) 地址解析协议(ARP)：获得同一物理网络中的硬件主机地址。 (3) 网际控制报文协议(ICMP)：发送消息，并报告有关数据包的传送错误。 (4) 互联组管理协议(IGMP)：IP主机向本地多路广播路由器报告主机组成员。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.