返回
internet安全体系结构之二

internet安全体系结构之二

ID:36201424

大小:2.19 MB

页数:137页

时间:2019-05-07

internet安全体系结构之二_第1页
internet安全体系结构之二_第2页
internet安全体系结构之二_第3页
internet安全体系结构之二_第4页
internet安全体系结构之二_第5页
资源描述:

《internet安全体系结构之二》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章Internet安全体系结构 之二传输层定义网络层和面向应用层的接口。建立应用间的端到端连接,并且为数据传输提供可靠或不可靠的连接服务功能包括:连接管理、分组组装、服务识别、流量控制等。传输层的两个核心成分:传输层端口和序列。7.1传输层核心功能TCP协议TCP协议是面向连接的端到端的可靠的传输层协议。支持多种网络应用程序,同时假定下层只能提供不可靠的数据报服务,可在多种硬件构成的网络上运行。在实现TCP的主机上,TCP不直接和网络打交道,控制网络的任务由专门的设备驱动模块完成。TCP只是调用IP接口,IP向TCP提供所有TCP需要的服务。TCP首部源端口和目标端口用于定

2、位源端的应用进程和目的端的应用进程。序列号和确认号(32比特):TCP发送的流中的每个字节都是编号的头长度(4比特):以4字节为单位表示TCP头的大小。标志(6比特):标志字段部分包含6个标志位,它说明了其他字段含有有意义的数据或说明某种控制功能。窗口(16比特):此字段告诉接收这个段的TCP实体,除了那些已被确认的,它还可以发送多少数据字节。校验和(16比特):用于传输层差错检测。紧急指针(16比特):是一个正的偏移量,和序号字段中的值相加表示紧急数据最后一个字节的序号。选项字段用于确定TCP实体可从其他实体收到的段的最大尺寸。数据(可变大小):用户提供的数据。URG紧急指针

3、有效ACK确认序列号有效PSH接收方应当尽快将这个报文交给应用层RST连接复位SYN同步序列号用来发起一个连接FIN发送端完成发送任务发送SYN(seq=Nctl=SYN)接收SYNTCP的连接建立1发送SYN(seq=Nctl=SYN)接收SYN发送SYN,ACK(seq=Mack=N+1ctl=syn,ack)接收SYN12TCP连接建立发送SYN(seq=Nctl=SYN)接收SYN发送SYN,ACK(seq=Mack=N+1ctl=syn,ack)建立会话(seq=N+1ack=M+1ctl=ack)123接收SYNTCP连接建立7.1.1端口和套接字套接字(Socke

4、t):主机上的进程是通过端口号来区别的。计算机中的不同进程可能同时进行通信,它们用端口号来区别,由网络地址和端口号的组合达到唯一标识的目的。发送套接字=源IP地址+源端口号接收套接字=目的IP地址+目的端口号传输层使用网络层来建立结点之间的连接,网络层路由提供网络套接字。套接字有主动和被动的两种。主动套接字指示建立网络连接,服务器使用被动套接字,等待和监听网络连接。端口号TCP端口号F T P传输层T E L N E TD N SS N M PT F T PS M T PUDP应用层2123255369161R I P5207.1.2排序传输层从高层接收数据块,并将其分组,每个

5、分组赋予一个唯一的序列标识,用来跟踪分组。传输层保持一些已经用于端口的序列号表,以防止序列号重复。7.1.3序列拦截攻击者要观察传输层分组必须识别序列,以插入或拦截连接。序列号的产生最好不要依次渐增,否则攻击者易于预测下一个分组的序列号。随机初始序列号通常用于传输连接的开始,以阻止攻击者猜测第一个分组。解决传输层拦截的方法大部分需要的安全服务是依靠高层协议来做连接的身份鉴别。7.2传输层风险7.2.1传输层拦截传输层拦截攻击需要两个条件:攻击者必需对某种类型的网络层破坏;攻击者必需识别传输序列。没有拦截和继续传输序列的能力,分组无法得到回答响应,新的分组也不能接受。为完成一次拦

6、截,攻击者必需伪装网络层通信。7.2.2一个端口和多个端口的比较减少结点的端口数,能减少攻击因素。加固的服务器将开放的端口数减少到只有基本服务。少量端口打开的系统更安全。但是某些服务支持多路端口,或基于服务需求打开新的端口。7.2.3静态端口赋值和动态端口赋值远程客户连接到服务器需要两个条件:服务器的网络地址;传输协议和端口。客户启动服务器连接时,通常连接到服务器的周知端口。某些高层协议不使用固定端口号,不用单个端口于全部通信,控制服务使用周知端口,数据传输则用动态端口。但动态端口会引起不安全的风险,因为大范围的端口必需都可以访问网络。7.2.4端口扫描端口扫描的任务是企图连接

7、到主机的每一个端口。扫描方法一般有两种:一种是目标端口扫描,用以测试特定的端口;一种是端口扫除,用以测试主机上所有可能的端口。防御扫描的方法有:非标准端口;无回答防御;总是回答防御;敲打协议;主动扫描检测以及故意延迟。7.2.5信息泄露一般传输层对传输的数据不进行加密,因此传输层协议本身并不对信息保护。通常通过高层提供身份鉴别和加密。7.3TCP侦察大部分TCP的实施允许参数定制以优化连接。这些值的默认选择是由操作系统定的。它能识别专门的操作系统版本和补丁的级别。1.初始窗口大小不同操作系统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。