HC110310001HCNA-Security-CBSN第一章网络安全概述V2.0分析.ppt

* UDP报文与TCP报文的格式有所不同，TCP明显比UDP长度更长，因此也相应有更多功能，比如可靠性等。TCP报文格式如下： Sequence Number：即发送序号。发送主机端会在TCP报文封装时，确定一个初始号码，后续报文序号会依次的递增，接收端可以根据此序号来检测报文是否接收完整。 Acknowledgement Number ：即回应序号。接收端接收到TCP报文，通过检验确认之后会根据发送序号产生一个回应序号，发送端根据此序号确定报文被成功接收到。 源端口号（Source port）和目的端口号（Destination port）：用于标识和区分源端设备和目的端设备的应用进程。 Data Offset ：报头固定长度。如果options没设定的话，其长度是20byte。 Reserved ：这是保留区间暂时还没被使用。 Contral Flag：包括六个标记位。 URG为1，表示紧急报文； ACK为1，表示需要回应的报文； PSH为1，此报文所携带的数据会直接上传给上层应用程序而无需经过TCP处理； RST为1，要求重传； SYN为1，表示要求双方进行同步沟通； FIN为1，表示传送结束。 * 窗口大小：称为“滑动视窗(Sliding Window)”。当TCP连接建立起来后，两端都会将窗口大小设定为初始值，然后发送端就会按初始值大小（比如3）向对端发3个TCP报文，然后窗口会往后移动3个报文位，填补发送报文出去之后的空缺。如果接收端能一次处理接收下来的这3个报文的话，就会告诉发送端其窗口值为3，但如果接收端只能处理2个报文，就会告诉发送端其窗口值为2。这时，发送端需要调整其窗口大小为2，视窗则只会往后移动2个报文位，下一次只发送2个TCP报文。 Chechsum ：当发送报文时，发送端会对报文进行计算得出一个检验值并和报文一起发送，接收端收到报文后，会再对报文进行计算，如果得出的值和检验值不一致，则会要求对方重发该个报文。 Urgent Pointer ：如果URG被设定为1，这里就会指示出紧急报文所在位置，不过这种情形非常少见。 Option ：这个选项比较少用。当需要使用同步动作的程序（如Telnet）要处理好终端的交互模式就会使用到option来指定报文的大小，因为telnet使用的报文很少但又需要即时回应。 Option的长度为0,或32bit的整倍数,如果不足则填充到满。 * TCP的连接建立是一个三次握手过程，目的是为了通信双方确认开始序号，以便后续通信的有序进行。主要步骤如下： 连接开始时，连接建立方(Client)发送SYN包，并包含了自己的初始序号a； 连接接受方(Server)收到SYN包以后会回复一个SYN包，其中包含了对上一个a包的回应信息ACK，回应的序号为下一个希望收到包的序号，即a＋1，然后还包含了自己的初始序号b； 连接建立方(Client)收到回应的SYN包以后，回复一个ACK包做响应，其中包含了下一个希望收到包的序号即b＋1。 经过此三次信息交换以后，TCP连接建立成功，就可以进行后续通信了。 * TCP终止连接的四次握手过程如下： 首先进行关闭的一方（即发送第一个FIN）将执行主动关闭，而另一方（收到这个FIN）执行被动关闭。 当服务器收到这个FIN，它发回一个ACK，确认序号为收到的序号加1。和SYN一样，一个FIN将占用一个序号。 同时TCP服务器还向应用程序（即丢弃服务器）传送一个文件结束符。接着这个服务器程序就关闭它的连接，导致它的TCP端发送一个FIN。 客户必须发回一个确认，并将确认序号设置为收到序号加1。 * 随着互联网的不断发展，TCP/IP协议族成为使用最广泛的网络互连协议。但由于协议在设计之初对安全考虑的不够，导致协议存在着一些安全风险问题。Internet首先应用于研究环境，针对少量、可信的的用户群体，网络安全问题不是主要的考虑因素。因此，在TCP/IP协议栈中，绝大多数协议没有提供必要的安全机制，例如： 不提供认证服务 明码传输，不提供保密性服务，不提供数据保密性服务 不提供数据完整性保护 不提供抗抵赖服务 不保证可用性——服务质量（QoS） * TCP/IP协议栈中各层都有自己的协议。由于这些协议在开发之初并未重点考虑安全因素，缺乏必要的安全机制。因此，针对这些协议的安全威胁及攻击行为越来越频繁，TCP/IP协议栈的安全问题也越来越凸显。 设备破坏攻击一般不会容易造成信息的泄密，但通常会造成网络通信服务的中断，通常是一种暴力的攻击手段。 在日益强调网络服务的高可靠性的今天，设备破坏攻击是需要重点关注的。当然即使不是人为的故意破坏，针对各种自然条件下的物理损坏也是需要考虑的，比如中美海底通信光缆的被渔船挂断事故，台湾地震导致的海底光缆中断事