第7章：WWW与Web服务安全.pptVIP

第六章 TCP/IP服务与WWW安全 6.1 TCP/IP协议及服务 从IP协议看 IP地址是由四个8位二进制数字域组成的,总长度为4个字节的32位二进制数(理论上可组成232≈40多亿个不同的IP地址，实际上少得多) 从用户使用看 IP地址是由四个用小数点隔开的十进制数字域组成，其中每个域的十进制取值在0~255之间 “点分法” IP地址可以分为5类：A、B、C、D、E A类地址 B类地址 C类地址 D类地址 E类地址 Telnet远程登录 FTP文件传输 HTTP网页浏览 DNS域名服务 DNS的安全性 可能泄露内部机器主机信息 如操作系统等信息 为保证安全的服务，可使用认证用户而不是主机名或IP地址来验证 6.2 WWW的安全性 参考书籍 UDP（User Datagram Protocol） 用户数据报协议为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机，但并不保证该数据报能到达另一端。任何必需的可靠性必须由应用层来提供。 UDP协议 类比 TCP: 电话服务 UDP: 邮政服务 定义—— 应用层负责处理特定的应用程序细节。 应用层 作用—— 应用程序进入网络的通道。在应用层有许多TCP/IP工具和服务，如： Telnet、FTP、HTTP、SMTP、POP3等等。 常用TCP/IP服务及安全性 Telnet远程登录 帐号和口令 Telnet协议 服务器 INTERNET Telnet是标准的提供远程登录功能的应用，几乎每个TCP/IP的实现都提供这个功能。它能够运行在不同操作系统的主机之间。 Telnet远程登录 Telnet是一种最老的Internet应用，起源于1969年的ARPANET。它的名字是“电信网络协议（telecommunication network protocol）”的缩写词。 Telnet远程登录 Telnet远程登录采用客户-服务器模式。图中显示的是一个Telnet客户和服务器的典型连接图。 Telnet远程登录 Telnet远程登录的一般步骤： 1）本地与远程主机建立连接。该过程实际上是建立一个TCP连接，用户必须知道远程主机的Ip地址或域名；2）将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT（Net Virtual Terminal）格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报； 3）将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端，包括输入命令回显和命令执行结果； 4）最后，本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。  Telnet远程登录 Telnet应用 电子公告牌BBS（Bulletin Board System）——最常用的Telnet应用，它利用 Telnet 协议，提供信息分类讨论，收发邮件，聊天交流等功能。 Telnet工具 telnet客户端：telnet命令 telnet:// NetTerm、CTerm等工具 Telnet远程登录 Telnet的安全性 没有口令保护，远程用户的登录传送的帐号和密码都是明文，这是Telnet致命的弱点； 认证过程简单，只是验证连接者的帐户和密码； 传送的数据没有加密。 这就意味着在网络上Telnet是不安全的，使用网络嗅探器可以截取Telnet传送的数据。 要使用FTP，就需要有登录服务器的注册账号，或者通过允许匿名FTP的服务器来使用。 FTP文件传输 FTP（File Transfer Protocol）是另一个常见的应用程序，它是用于文件传输的Internet标准。由FTP提供的文件传送是将一个完整的文件从一个系统复制到另一个系统中。 FTP文件传输 FTP与Telnet应用不同，它采用两个TCP连接来传输一个文件。 1) 控制连接:控制连接以通常的客户服务器方式建立。服务器以被动方式打开众所周知的用于FTP的端口（21），等待客户的连接。客户则以主动方式打开TCP端口21，来建立连接。 2) 数据连接:每当一个文件在客户与服务器之间传输时，就创建一个数据连接。 FTP文件传输 FTP文件传输 对比Telnet传输 仅传输NVT ASCII码数据 FTP传输的文件类型 ASCII码文件类型（默认选择）文本文件 二进制文件类型 图象文件等 FTP文件传输 FTP工具 服务端： Win2000 IIS（Internet Information Server） Serv-U 可在Win98下安装 客户端： ftp命令 IE CuteFTP、LeapFTP等 FTP文件传输 FTP的安全性 未加密，易被窃听； 匿名帐号的设置；