第1章 网络安全基础.doc

第1章 网络安全基础 【教学目标】 1、知识目标 TCP/IP协议工作原理 DNS、FTP、Telnet、HTTP工作原理 2、技能目标 熟练使用Wireshark 能使用Wireshark进行协议分析 1.1 TCP/IP工作原理 1.1.1 网络连接配置信息 双击“网络连接-支持-详细信息”，出现如下界面，出现了、实际地址（Mac地址）、IP地址、子网掩码、默认网关、DNS服务器等信息。 1、MAC(Media Access Control)地址 2、IP地址 互联网协议地址（Internet Protocol Address），缩写为IP地址（IP Address）。子网掩码(subnet mask)又叫网络掩码DNS 是域名系统 (Domain Name Service) 的缩写 TCP/IP是四层模型，ISO是七层模型，在实际网络中是使用TCP/IP四层模型，但在功能上这两种模型是一样的，即TCP/IP协议模型对ISO的七层模型的部分层进行了合并。 2、TCP/IP体系结构各层之间的调用关系 图中每个矩形可以简单理解为一个进程（程序代码执行时就称为进程），可见TCP/IP体系结构每层都有若干个进程组成，每个进程分别处理相应的任务。图中出现了各种协议，而通信是通过数据包的形式传递的，如果这个数据包是按某种协议的格式组织的，就称为某某协议数据包。如TCP包、ARP包、HTTP包。 思考： （1）从图中进程之间的调用关系分析，ARP包是否包含IP地址？ （2）MAC地址存放在什么协议的数据包中？ （3）IP地址存放在什么协议的数据包中？ 3、TCPIP 协议簇的逐层封装和数据包格式 在使用TCP协议的网络程序中，用户数据从产生到从网卡发出去一般要经过如下的逐层封装过程： 从下往上看： （1）链路层通过加固定长度的首部、尾部来封装IP数据报(Datagram) 产生以太网帧(Frame)，其中首部存在对封装数据的标识：是IP(0x0800)，本例) 、ARP(0x0806)。 2）网络层通过加首部来封装TCP段(Segment)产生IP数据报，其中首部存在对封装数据的标识：是ICMP(0x01)、IGMP(0x02)、TCP(0x06，本例)、UDP(0x11)。 3）传输层通过加首部来封装应用数据产生TCP段，其中首部存在对封装数据的标识：端口号，来标识是那个应用程序产生的数据。 4）按这种处理逻辑，在应用层，对于我们要处理的应用数据理所当然的加上固定长度的首部，首部中同样含有某些标识，标识些什么呢？按经验，一般会标识本次数据的业务意义。 1.2 Wireshark分析TCP、UDP、IP协议 1.2.1 安装与工作原理 1、安装 先登录课程网站,然后搜索“网络攻击与防御”，单击“教学材料-网络安全工具，下载wireshark-win32-1.5.0。 本课程用到的大部分安全工具都可以这个地方下载。安装过程中要注意一定要安装winPcap组件，它的作用是使网卡工作在混杂模式下： （1）正常模式：网卡接受目标MAC地址是全1和本机MAC地址的以太网帧 （2）混杂模式：所有经过网卡的以太网帧 2、工作原理 Wirshark使网卡工作在混杂模式下，这样只要经过网卡的以太网帧都能被它捕获，然后可以根据用户需要进行协议分析。思考如下问题： （1）Wireshark能否捕捉所有同一交换机（只有一个子网）下的所有数据包？ 交换机的转发基于mac表，因此同一交换机下所有主机的广播包可以捕获，单播包只能接受发往本机的以太网帧。如果想要捕获整个交换机的数据包，可以在交换机上做端口镜像来实现。 （2）Hub是共享型的，因此能够捕获所有连在HUB下的所有主机的数据包。 1.2.2 简单使用 1、双击启动后，进入如下界面: 2、英文单词 由于是英文版需要熟记如下英文单词： Interface：网卡, packet：数据包, file：文件, open：打开, save：保存, save as：另存为, start：启动, stop：停止, capture：捕捉, source：源, destination：目标, info：信息, protocol：协议，filter:过滤器，address:地址,port:端口号 3、启动和停止捕获 由于软件是通过网卡捕获数据，因此软件首先要选择一块要使用的网卡，单击Capture-Interfaces，出现如下界面： 从图中可见第一块是真实的网卡，其他2块是虚拟网卡，IP地址为6，单击启动（start），出现如下界面，软件一直处在捕获数据状态。 途中主要显示三块内容： （1）第一部分显示被抓获的数据包的概要信息，如序号（No）为295的数据包，源IP地址（S