lecture2-网络安全体系结构.pptVIP

网络安全体系结构 王丽苹 * 华东师范大学软件学院 Outline 1 TCP/IP协议分析 TCP/IP协议栈 IP包结构回顾 TCP和UDP数据包分析 2 ICMP协议 ICMP协议介绍 ICMP协议的实例 3 互联网结构分析 网络服务 端口 非军事化区域 网络地址转换 TCP/IP overview List 协议栈 一些数据包的格式(IPV4) IP数据包 TCP/UDP数据包 常用的上层协议 [参考]TCP/IP Illustrated Volume 1：The Protocols W.Richard Stevens 著 TCP/IP协议栈 协议栈各层数据包的结构 IP数据包格式 Note：IP首部说明（1） 版本号，目前取值4 首部长度，4个字节为单位，取值范围5～15 服务类型，指定传输的优先级、传输速度、可靠性和吞吐量(最小延迟、最大吞吐量、最高可靠性和最小费用）等 报文总长度，最大长度为65535字节 报文标识，唯一标识一个数据报，如果数据报分段，则每个分段的标识都一样 标志，最高位未使用，定义为0，其余两位为DF（不分段）和MF（更多分段） 段偏移量，以8个字节为单位，指出该分段的第一个数据字在原始数据报中的偏移位置 Note：IP首部说明（2） 生存时间，取值0～255，以秒为单位，每经过一个路由节点减1，为0时被丢弃 协议，指明该数据报的协议类型，1为ICMP，4为IP，6为TCP，17为UDP等 首部校验和，每通过一次网关都要重新计算该值，用于保证IP首部的完整性 选项，长度可变，提供某些场合下需要的控制功能，IP首部的长度必须是4个字节的整数倍，如果选项长度不是4的整数倍，必须填充数据。包括控制、保留、调试和测量选项。 IP数据包解析(1) 准备工作： 安装： IRIS-windows下的网络监测工具 环境要求 Windows 95/98/NT/2000/XP Internet Explorer 5.x or higher 主要功能： 抓数据包 分析统计数据包 数据包重新编码 数据包过滤 日志，敏感信息报警等 软件类别共享软件，版本5.0 Trial 15 天 IP数据包解析(2) 在“开始”菜单“所有程序”下选择iris启动程序。 （1）设置iris的过滤策略：选择Filter菜单下的edit filter选项，出现过滤规则设置界面如下图所示,选择只抓取21端口的数据包。 IP数据包解析(3) (2) 分析大家访问FTP服务器时，通信数据包中的信息。 学生公用帐号: seistu 公用密码:seistu123 FTP地址:19/ IP数据包解析(4) (3) 在iris中抓取数据包，并分析IP头部的数据 TCP数据包格式 Note: TCP协议头部信息（1） 源端口号和目的端口号：源和目的主机的IP地址加上端口号构成一个TCP连接 序号和确认号：序号为该TCP数据段的第一个数据字在所发送的数据流中的偏移量；确认号为希望接收的下一个数据字的序号； 首部长度，以4个字节为单位，基本长度为20个字节 6个标志位： –URG：如果使用了紧急指针，URG置1，紧急指针为当前序号到紧急数据位置的偏移量 –ACK：为1表示确认号有效，为0表示该TCP数据包不包含确认信息 –PSH：表示是带有PUSH标志的数据，接收到数据后不必等缓冲区满再发送 Note: TCP协议头部信息（2） RST：用于连接复位，也可用于拒绝非法的数据或拒绝连接请求 SYN：用于建立连接，连接请求时SYN＝1，ACK=0；响应连接请求时SYN=1，ACK=1 FIN：用于释放连接，表示发送方已经没有供发送的数据 窗口大小：表示在确认字节后还可以发送字节数，用于流量控制 校验和：覆盖了整个数据包，包括对数据包的首部和数据. 选项：常见的选项是MSS (Maximum Segment Size) TCP的三次握手过程 TCP连接的建立和终止时序图 TCP数据包解析(1) （1）设置iris的过滤策略：选择Filter菜单下的edit filter选择，出现过滤规则设置界面, 选择只抓取tcp数据的21端口的包，如下图所示： TCP数据包解析(2) (2) 在iris的主界面中，点击 ，开始抓取数据包。 (3) 打开一个新的窗口访问学院的FTP服务器。如果已经在访问FTP服务器，请关闭所有的已经打开的FTP窗口。 请用iris抓取FTP连接过程中的数据包。 TCP数据包解析(4) (5) 在iris中查看并分析数据：分析tcp头部的数据信息，分析tcp连接的前三个报文的信息。 UDP数据包格式 Note: UDP协议头部信息 （1）源端口（Source Port）：16位的源端口