《电子商务安全技术 第07章 www与web服务安全》由会员分享,可在线阅读,更多相关《电子商务安全技术 第07章 www与web服务安全(68页珍藏版)》请在金锄头文库上搜索。
1、第六章 TCP/IP服务与WWW安全,6.1 TCP/IP协议及服务 6.2 WWW的安全性,6.1 TCP/IP协议及服务,TCP/IP协议 TCP/IP协议的定义 TCP/IP协议的层次结构 TCP/IP协议的内容 常用TCP/IP服务及安全性 Telnet远程登录 FTP文件传输 HTTP网页浏览 DNS域名服务,什么是TCP/IP协议,TCP/IP协议的定义: TCP/IP是Transmission Control Protocol/Internet Protocol的缩写,中文译名为传输控制协议/互联网络协议,TCP/IP协议是Internet最基本的协议。,TCP/IP协议是Int
2、ernet通信协议集的总称,含有上百个协议,而TCP和IP本身只是该协议集最基本的两个协议。,TCP/IP协议的层次结构,TCP/IP通常被认为是一个四层协议系统:应用层、运输层、网络层和链路层。,TCP/IP协议的层次结构,链路层也称作数据链路层或网络接口层,通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡;,应用层负责处理特定的应用程序细节。,网络层有时也称作互连网层,处理分组在网络中的活动;,运输层主要为两台主机上的应用程序提供端到端的通信;,TCP/IP的工作方式,示例:局域网上运行FTP的两台主机,定义 有时也称作数据链路层或网络接口层,通常包括操作系统中的设备驱动程序和计
3、算机中对应的网络接口卡。,链路层,作用 为IP模块发送和接收IP数据报; 为ARP模块发送ARP请求和接收ARP应答; 为RARP模块发送RARP请求和接收RARP应答。,以太网(Ethernet) 数字设备公司(Digital Equipment Corp.)、英特尔公司(Intel Corp.)和Xerox公司在1982年联合公布的一个标准。 以太网是当今TCP/IP采用的主要的局域网技术。,以太网链路层协议,ARP协议和RARP协议 ARPAddress Resolution Protocol,地址解析协议,为IP地址到对应的硬件地址之间提供动态映射。 RARPReverse Addre
4、ss Resolution Protocol,逆地址解析协议。,ARP协议和RARP协议,IP地址:32 bit,如192.168.254.31 物理地址(MAC):48 bit,如00-02-b3-4f-fd-11,ARP协议应用,获取本机网卡地址:ipconfig /all,定义 有时也称作互连网层,处理分组在网络中的活动,例如分组的路由选择。包括IP协议(网际协议),ICMP协议(Internet互连网控制报文协议),以及IGMP协议(Internet组管理协议)。,网络层,作用将数据封装成IP协议所需的数据包选择合适的发送路径,将数据发送到接收方,IP地址,从IP协议看 IP地址是由四
5、个8位二进制数字域组成的,总长度为4个字节的32位二进制数(理论上可组成23240多亿个不同的IP地址,实际上少得多) 从用户使用看 IP地址是由四个用小数点隔开的十进制数字域组成,其中每个域的十进制取值在0255之间 “点分法”,IP地址用于标记计算机如162.105.129.12, 192.168.100.3,IP地址的分类,IP地址可以分为5类:A、B、C、D、E,IP地址类型A类地址,A类地址,A类地址用于大型网络,例如Microsoft公司的网络。微软网站的IP地址:80.15.235.143A类地址的最高位为0,接下来的7位完成网络ID,剩余的24位代表主机ID。A类地址允许126
6、个网络,每个网络大约一千七百万台主机(224-2=16777214),第一个数字是1126。十进制可写成001.x.y.z126.x.y.z。127是一个特殊的网络ID,又称本机网络。127.0.0.1,IP地址类型B类地址,B类地址,B类地址用于中型到大型的网络,例如Cernet网的各地区网管中心。B类地址的最高位为10,接下来的14位完成网络ID,剩余的16位二进制位代表主机ID。B类地址允许16384(214)个网络,每个网络有65534(216-2)台主机;第一个数字是128191。十进制可写成128.x.y.z191.x.y.z。CNNIC网站的IP地址:159.226.1.19,I
7、P地址类型C类地址,C类地址,C类地址用于小型本地网络,例如校园网。C类地址的最高位为110,接下来的21位完成网络ID,剩余的8位二进制位代表主机ID。C类地址允许大约二百万个网络(221),每个网络有254(28-2)台主机;第一个数字是192223。十进制可写成192.x.y.z223.x.y.z。 浙江大学网站的IP地址:210.32.0.9,IP地址类型D类地址,D类地址,D类地址用于多播。一个多播地址可能包括1台或更多主机,或根本没有。D类地址的最高位为1110;第一个数字是224239。剩余的位设计客户机参加的特定组。在多播操作中没有网络或主机位,数据包将传送到网络中选定的主机子
8、集中。,IP地址类型E类地址,E类地址,E类地址留待后用。E类地址的最高位为11110;第一个数字是240-247。,IP地址类型汇总,我国的IP地址分配情况,ICMP协议,ICMP(Internet Control Message Protocol):互连网控制报文协议,它是IP层的一个协议,传递差错报文以及其他需要注意的信息(主机不可达、端口不可达等)。,PINGICMP协议主要应用Ping命令的格式: ping 目的地址 参数1参数2其中目的地址是指被测试计算机的IP地址或域名。,PING命令介绍,Ping命令主要参数有: A:解析主机地址。 N:数据,发出的测试包的个数,缺省值为4。
9、L:数值,所发送缓冲区的大小。 T:继续执行Ping命令,直到用户按Ctrl+C终止。 有关Ping的其他参数,可通过在MS-DOS提示符下运行Ping或Ping /?命令来查看。,利用PING命令获取主机信息,Ping命令返回的TTL TTL(Time To Live)生存时间,指数据包被路由器丢弃之前允许通过的网段数量。,设置TTL的目的:以防止数据包不断在互联网上永不终止地循环。在转发IP数据包时,一般要求路由器将TTL至少减1。,常见操作系统设置的TTL值: Windows NT/2000128 UNIX系列255,利用PING命令获取主机信息,例如: Ping 得到返回结果: Rep
10、ly from 202.106.184.200: bytes=32 time=350ms TTL=240 说明新浪的主机有可能是一台UNIX的操作系统,连接到新浪的主机可能经过了255-240=15个路由器。,定义 也称作传输层,主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议组件中,有两个互不相同的传输协议:TCP(传输控制协议)和UDP(用户数据报协议)。,运输层,作用 为应用程序提供不同质量的服务: TCP: 可靠,用于传输大量数据,如ftp等; UDP: 不可靠,用于即时传输少量数据,如QQ等。,TCP(Transmission Control Protocol) 特点:
11、可靠,面向连接TCP为两台主机提供高可靠性的数据通信。它所做的工作包括把应用程序交给它的数据分成合适的小块交给下面的网络层,确认接收到的分组,设置发送最后确认分组的超时时钟等。由于运输层提供了高可靠性的端到端的通信,因此应用层可以忽略所有这些细节。,TCP协议,TCP是一个端到端的传输协议,TCP被称作一种端对端(end to end)协议,这是因为它提供一个直接从一台计算机上的应用进程到另一远程计算机上的应用进程的连接。应用进程能请求TCP构造一个连接,通过这个连接发送和接收数据,以及关闭连接。由TCP提供的连接叫做虚连接(virtual connection),虚连接是由软件实现的。事实上
12、,底层的因特网系统并不对连接提供硬件或软件支持,只是两台机器上的TCP软件模块通过交换消息来实现连接的幻象。,三次握手,为确保连接的建立和终止都是可靠的,TCP使用三次握手(3-way handshake)的方式来建立连接。,端口端口是一个软件结构,被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口。,TCP协议端口,端口的分类 保留端口:01023 动态端口:102449151 私有端口:4915265535,端口是TCP/IP协议族中,应用层进程与传输层协议实体间的通信接口,类似于文件描述符,每个端口都拥有一个叫作端口号(port numb
13、er)的整数型标识符。,端口号的分配机制,TCP/IP协议采用了全局分配(静态分配)和本地分配(动态分配)相结合的分配方法。对于TCP,或者UDP,将它们的全部65535个端口号分为保留端口号和自由端口号两部分。 保留端口的范围是01023,又称为众所周知的端口或熟知端口(well-known port),只占少数,采用全局分配或集中控制的方式,由一个公认的中央机构根据需要进行统一分配,静态地分配给因特网上著名的众所周知的服务器进程,并将结果公布于众。,TCP协议端口,常用端口表:,总之,TCP或UDP端口的分配规则是:端口0:不使用,或者作为特殊的使用;端口1-255:保留给特定的服务,TC
14、P和UDP均规定,小于256的端口号才能分配给网上著名的服务; 端口256-1023:保留给其他的服务,如路由; 端口1024-4999:可以用作任意客户的端口; 端口5000-65535:可以用作用户的服务器端口。,客户机与服务器的第一次通信,TCP协议端口,WIN2000中的端口描述文件: 系统目录下的/drivers/etc/services文件,netstat命令: netstat命令的功能是显示网络连接、网络端口信息,可以让用户得知目前都有哪些网络连接正在进行。 该命令的一般格式为: netstat 选项 例如: -a 显示所有连接,包括正在监听的。 -n 以网络IP地址代替名称,显
15、示出网络连接情形。,UDP(User Datagram Protocol) 用户数据报协议为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机,但并不保证该数据报能到达另一端。任何必需的可靠性必须由应用层来提供。,UDP协议,类比 TCP: 电话服务 UDP: 邮政服务,传输层的用户数据报协议(User Datagram Protocol,UDP)是一种尽力传送的无连接的不保障可靠的传输服务,是一种保护消息边界的数据的传输。,定义 应用层负责处理特定的应用程序细节。,应用层,作用 应用程序进入网络的通道。在应用层有许多TCP/IP工具和服务,如: Telnet、F
16、TP、HTTP、SMTP、POP3等等。,Telnet远程登录 FTP文件传输 HTTP网页浏览 DNS域名服务,常用TCP/IP服务及安全性,Telnet远程登录,帐号和口令,Telnet协议,服务器,Telnet是标准的提供远程登录功能的应用,几乎每个TCP/IP的实现都提供这个功能。它能够运行在不同操作系统的主机之间。,Telnet远程登录,Telnet是一种最老的Internet应用,起源于1969年的ARPANET。它的名字是“电信网络协议(telecommunication network protocol)”的缩写词。,Telnet远程登录,Telnet远程登录采用客户-服务器模式。图中显示的是一个Telnet客户和服务器的典型连接图。,Telnet远程登录,Telnet远程登录的一般步骤:,1)本地与远程主机建立连接。该过程实际上是建立一个TCP连接,用户必须知道远程主机的Ip地址或域名; 2)将本地终端上输入的用户名和口令及以后输入的任何命令或字符以NVT(Net Virtual Terminal)格式传送到远程主机。该过程实际上是从本地主机向远程主机发送一个IP数据报; 3)将远程主机输出的NVT格式的数据转化为本地所接受的格式送回本地终端,包括输入命令回显和命令执行结果; 4)最后,本地终端对远程主机进行撤消连接。该过程是撤销一个TCP连接。,
