[互联网]CISP0204协议及网络架构安全.ppt
《[互联网]CISP0204协议及网络架构安全.ppt》由会员分享,可在线阅读,更多相关《[互联网]CISP0204协议及网络架构安全.ppt(108页珍藏版)》请在三一文库上搜索。
1、网络协议及架构安全 培训机构名称 讲师名字 课程内容 2 知识域:网络协议安全 v知识子域:TCP/IP协议安全 理解开放互联系统模型ISO/OSI七层协议模型 理解TCP/IP协体系结构和工作原理及其安全特性,了解 IPV6的安全优势 什么是协议 v定义 协议是网络中计算机或设备之间进行通信的一系 列规则的集合 v 理解重点:规则 交通中的红绿黄灯:红灯停、绿灯行就是规则 我国汽车靠右行驶是规则、香港、西方国家靠左 行驶也是规则 4 vOSI七层结构模型 vOSI参考模型的各层 ISO/OSI开放互联模型 5 ISO/OSI七层模型结构 6 物理层物理层 网络层网络层 传输层传输层 会话层会
2、话层 表示层 应用层应用层 数据链路层数据链路层 应用层(高) 数据流层 分层结构的优点 v促进标准化工作 v各层间相互独立,某一层的变化不会影响其他层 v使网络易于实现和维护 -例子:想象你给远在国外的朋友寄去一个手机的情形 手机盒-标准邮局箱子-邮包-集装箱 7 数据链路层数据链路层 v 作用 定义物理链路的电气、机械、通信规程 、功能要求等; 电压,数据速率,最大传输距离, 物理连接器; 线缆,物理介质; 将比特流转换成电压; v 典型物理层设备 光纤、双绞线、中继器、集线器等; v 物理层协议 100BaseT, OC-3, OC-12, DS1, DS3, E1, E3; 第一层:物
3、理层 8 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 v 作用 物理寻址,网络拓扑,线路规章等; 错误检测和通告(但不纠错); 将比特聚成帧进行传输; 流量控制(可选) v 寻址机制 使用数据接收设备的硬件地址(物理地址 )寻址(如MAC地址) v 典型数据链路层设备 网卡、网桥和交换机 v 数据链路层协议 PPP, HDLC, F.R, Ethernet, Token Ring, FDDI, ISDN, ARP, RARP, L2TP, PPTP 第二层:数据链路层 9 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应
4、用层应用层 第二层:数据链路层(两个子层) vMAC(Media Access Control) 物理地址; 烧录到网卡ROM; 48比特; 唯一性; vLLC(Logical Link Control) 为上层提供统一接口; 使上层独立于下层物理介质; 提供流控、排序等服务; 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 10 第三层:网络层 v 作用 逻辑寻址; 路径选择; 网络问题管理(如拥塞); MTU; v 寻址机制 使用网络层地址进行寻址(如IP地址) v 网络层典型设备 路由器 三层交换机 11 数据链路层数据链路层 物理层物
5、理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第四层:传输层 v 作用 提供端到端的数据传输服务; 建立逻辑连接; v 寻址机制 应用程序的界面端口(如端口号) v 传输层协议 TCP (Transmission Control Protocol) 状态协议; 按序传输; 纠错和重传机制; Socket; UDP (User Datagram Protocol) 无状态协议; SPX 12 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第五层:会话层 v作用 不同应用的数据隔离; 会话建立,维持,终止; 同步服务;
6、名称标识和识别; 会话控制(单向或双向); v会话层协议 NFS, SQL, RPC; SSL/TLS,SSH; 13 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第六层:表示层 v作用 数据格式表示; 协议转换; 字符转换; 数据加密/解密; 数据压缩等; v表示层数据格式 ASCII, MPEG, TIFF,GIF, JPEG; 14 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 第七层:应用层 v作用 应用接口; 网络访问流处理; 流控; 错误恢复; v应用层协议 FTP, Te
7、lnet, HTTP, SNMP, SMTP, DNS; 15 数据链路层数据链路层 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 数据封装 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 数据链路层数据链路层 Upper Layer Dat Upper Layer Dat TCP Header DataIP Header Data LLC Header 0101110101001000010 DataMAC HeaderFCS FCS Segment Packet Bits Frame PDU 数据解封装 物理层物理层 网络层网络
8、层 传输层传输层 会话层会话层 表示层 应用层应用层 数据链路层数据链路层 Upper Layer Data LLC Hdr + IP + TCP + Upper Layer Data MAC Header IP + TCP + Upper Layer Data LLC Header TCP+ Upper Layer Data IP Header Upper Layer Data TCP Header 0101110101001000010 OSI定义的安全服务 v认证; v访问控制; v数据机密性; v数据完整性; v抗抵赖; OSI定义的安全机制 v加密; v数字签名; v访问控制; v数
9、据完整性; v认证; v流量填充; v路由控制; v公证(notarization); vTCP/IP与OSI的对应 vTCP/IP参考模型的各层 TCP/IP协议模型 20 TCP/IP协议与OSI模型的对应 21 物理层物理层 网络层网络层 传输层传输层 会话层会话层 表示层 应用层应用层 数据链路层数据链路层 互联网络层互联网络层 传输层传输层 应用层应用层 网络接口层网络接口层 TCP/IP协议结构 22 应用层 传输层 互联网络层 网络接口层 应用协议应用协议应用协议应用协议 TCPUDP ICMPIPIGMP ARP硬件接口RARP 网络接口层安全 损坏干扰电磁泄漏 搭线窃听 欺骗
10、 23 网络接口层安全 v损坏:自然灾害、动物破坏、老化、误操作 v干扰:大功率电器/电源线路/电磁辐射 v电磁泄漏:传输线路电磁泄漏 v搭线窃听:物理搭线 v欺骗:ARP欺骗 24 互联网络层体系结构 25 应用层 传输层 互联网络层 网络接口层 应用协议应用协议应用协议应用协议 TCPUDP ICMPIPIGMP ARP硬件接口RARP vIP是TCP/IP协议族中最为核心的协议 v不可靠(unreliable) v无连接(connectionless) IP协议简介 26 版本 (4位) 首部长 度 (4位) 服务类型 (8位) 总长度(16位) 标识(16位)标记段偏移(13位) 生存
11、时间(TTL)协议(8位)首部检验码(16位) 源IP地址(32 位) 目的IP地址(32 位) 选 项 数 据 20字节 IP首部结构 27 v特点:构建在IP报文结构上,但被认为是 与IP在同一层的协议 IP报头ICMP报文 8位类型8位代码16位校验和 内容 ICMP协议 28 internet ICMP查询报文 网关 ICMP差错报文 ping Fing 1.1.1.1 ICMP查询报文 ICMP差错报文 Couldnt find 1.1.1.1 v传递差错报文及其他需要注意的信息 vICMP地址掩码请求与应答 vICMP时间戮请求与应答 ICMP协议的作用 29 互联网层安全 拒绝服
12、务欺骗窃听 伪造 30 互联网络层安全 v拒绝服务:分片攻击(teardrop)/死亡之ping v欺骗:IP 欺骗 v窃听:嗅探 v伪造:IP数据包伪造 31 传输层体系结构 32 应用层 传输层 互联网络层 网络接口层 应用协议应用协议应用协议应用协议 TCPUDP ICMPIPIGMP ARP硬件接口RARP vTCP:传输控制协议 v作用:TCP提供一种面向连接的、可靠的字节流服务 v功能 数据包分块 发送接收确认 超时重发 数据校验 数据包排序 控制流量 TCP协议 33 16位源端口号16位目的端口号 32位序号 32位确认序号 偏移量保留U A P R S F 16位窗口大小 1
13、6位紧急指针16位校验和 数 据 TCP包头数据结构 TCP首部 34 U R G 紧急指针(u rgent pointer )有效 A C K 确认序号有效 P S H 接收方应该尽快将这个报文段交给应用层 R S T 重建连接 S Y N 同步序号,用来发起一个连接。 F I N 发送端完成发送任务 TCP首部-标记位 35 vTCP/UDP 通过16bit端口号来识别应用程序 知名端口号由Internet号分配机构(Internet Assigned Numbers Authority,IANA)来管理 v现状 1255端口号分配给知名的网络服务 2561023分配给Unix操作系统特定
14、的服务 10245000 临时分配的端口号 5000以上端口号保留给应用服务 TCP首部-端口号 36 SYN 1436455621:1436455621(0) SYN 2232456241: 2232456241(0) ack 1436455622 ack 2232456242 客户机服务器 TCP建立连接过程-三次握手 37 v特点:UDP是一个简单的面向数据报的传输层协议 不具备接收应答机制 不能对数据分组、合并 不能重新排序 没有流控制功能 协议简单 占用资源少,效率高 UDP协议 38 16位源端口号16位目的端口号 16位UDP长度16位UDP校验和 数据 UDP协议包头 39 v
15、相同点 同一层的协议,基于IP报文基础上 v不同点 TCP是可靠的,高可用性的协议,但是复杂, 需要大量资源的开销 UDP是不可靠,但是高效的传输协议 UDP与TCP比较 40 传输层安全 拒绝服务欺骗窃听 伪造 41 传输层安全问题 v拒绝服务:syn flood/udp flood、Smurf v欺骗:TCP会话劫持 v窃听:嗅探 v伪造:数据包伪造 42 应用层协议 v域名解析:DNS v电子邮件:SMTP/POP3 v文件传输:FTP v网页浏览:HTTP v 43 应用层安全 拒绝服务欺骗窃听伪造暴力破解 44 应用层协议的安全问题 v 拒绝服务:超长URL链接、 v 欺骗:跨站脚本
16、、钓鱼式攻击、cookie欺骗 v 窃听:嗅探 v 伪造:应用数据篡改 v 暴力破解:应用认证口令暴力破解等 v 45 应用层协议安全问题-明文 用户名:scn 密码:scn4321 46 IPv6安全特性 IPv6安全特性 支持移动性支持移动性 地址数量大地址数量大 支持端支持端到端业到端业 务务模式模式 支持支持QoSQoS和性和性 能问题能问题 强制强制IPSECIPSEC 简化的简化的路由表路由表 配置简单配置简单 47 vIPv6与IPv4的地址数量差异 IPv4地址数量:232,共4294967296个地址 IPv6地址数量:2128,共3.402823*1038 每个人可以分配到
17、整个比原来整个IPv4还多的地址,地球上 每平方米可以分配到一千多个地址 vIPv6 提供的许多增强功能 增强的 IP 编址 简化的报头 移动性和安全性 多种过渡方式 IP地址安全特性 48 IPv4 报头具有 20 个八位二进制数和 12 个基本报头字段, 然后是选项字段和数据部分(通常是传输层数据段) IPv6 报头具有 40 个八位二进制数、三个 IPv4 基本报头字 段和五个附加报头字段 简单报文结构 49 v大多数应用协议需要进行升级 FTP, SMTP, Telnet, Rlogin v需要对下列标准进行修改 全部51个Internet标准中27个 20个草案中的6个 130个标准
18、建议中的25个 IPv6应用问题 50 知识域:网络协议安全 v知识子域:无线网络安全 理解802.11和WAPI无线网络协议原理及其安全特性 v知识子域:移动通信网络安全 了解3G网络(TD-CDMA、CDMA2000、WCDMA)原理及安 全特性 51 无线网络及移动通讯 v无线网络体系及标准 v无线局域网国际标准802.11x安全问题 vWAPI标准介绍 v3G技术概述 52 无线技术 53 PAN (Personal Area Network) LAN (Local Area Network) WAN (Wide Area Network) MAN (Metropolitan Area
19、 Network) PANLANMANWAN Standards Bluetooth 802.15.3 UltraWideBan d (WiMedia) 802.11 802.11 (Wi-Fi) 802.16 (Wi- Max) 802.20 GSM, CDMA, Satellite Speed 1 Mbps11 to 54 Mbps 10-100+ Mbps 10 Kbps2 Mbps RangeShortMediumMedium-LongLong Application s Peer-to-Peer Device-to- Device Enterprise Networks Last M
20、ile Access Mobile Data Devices v无线局域网的传输媒质分为无线电波和光波两类 v无线电波主要使用无线电波和微波,光波主要使用 红外线 v无线电波和微波频率由各个国家的无线电管理部门 规定,分为专用频段和自由频段。专用频段需要经 过批准的独自有偿使用的频段;自由频段主要是指 ISM频段(Industrical,Scientific,Medical) 无线局域网基本概念 54 无线局域网网络结构 AP STA v无线站点(station,STA) 无线网的端头设备,例如笔记 本、掌上电脑等 v无线接入点(Access Point ,AP) 专用的无线接入设备 v分布系
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 互联网 CISP0204 协议 网络 架构 安全
链接地址:https://www.31doc.com/p-1998378.html