第 2 章 网络安全协议基础

  1. 简述 OSI 参考模型的结构
    答:
    OSI 参考模型是国际标准化组织( International Standards Organization,ISO)制定的模型,把计算机与计算机之间的通信分成 7个互相连接的协议层,自顶向下分别为应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。
    (1)物理层:物理层是最底层,这一层负责传送比特流,它从第二层数据链路层接
    收数据帧,并将帧的结构和内容串行发送,即每次发送一个比特。
    (2)数据链路层:它肩负两个责任:发送和接收数据,还要提供数据有效传输的端
    到端连接。
    (3)网络层:主要功能是完成网络中主机间的报文传输。
    (4)传输层:主要功能是完成网络中不同主机上的用户进程之间可靠的数据通信。
    (5)会话层:允许不同机器上的用户之间建立会话关系。会话层允许进行类似传输
    层的普通数据的传送, 在某些场合还提供了一些有用的增强型服务。 允许用户利用一次会话在远端的分时系统上登录, 或者在两台机器间传递文件 。会话层提供的服务之一是管理对话控制。
    (6)表示层:表示层完成某些特定的功能,这些功能不必由每个用户自己来实现。表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。
    (7)应用层:包含大量人们普遍需要的协议。
  2. 简述 TCP/IP 协议族的基本结构,并分析每层可能受到的威胁及如何防御。
    答:
    讨论 TCP/IP 的时候 ,总是按五层来看 ,即物理层 ,数据链路层 ,网络层 ,传输层和应用层
    (1)物理层 :这里的威胁主要是窃听 ,那使用防窃听技术就可以了 ;
    物理层可能受到的威胁是未授权用户的接入(内部人员、外部人员)、物理盗窃、涉密信息被复制或破坏等等。保护措施主要体现在实时存档和监测网络,提高通信线路的可靠性(线路备份、网管软件、传输介质)、软硬件设备安全性(替换设备、拆卸设备、增加设备)、防干扰能力,保证设备的运行环境(温度、湿度、烟尘),不间断电源保障,等等。
    (2)数据链路层:有很多工具可以捕获数据帧 ,如果有条件的话 ,可以使用数据加密机 ;
    数据链路层可能受到的威胁是内容录址存储器表格淹没、 VLAN 中继、操纵生成树协议、 MAC 地址欺骗、 ARP 攻击、专用 VLAN 、DHCP 耗竭等。保护措施是,在交换机上配置端口安全选项可以防止 CAM 表淹没攻击。正确配置 VLAN 可以防止 VLAN 中继攻击。使用根目录保护和 BPDU保护加强命令来保持网络中主网桥的位置不发生改变,可防止操纵生成树协议的攻击,同时也可以强化生成树协议的域边界。使用端口安全命令可以防止 MAC 欺骗攻击。对路由器端口访问控制列表 (ACL )进行设置可以防止专用 VLAN 攻击。通过限制交换机端口的 MAC 地址的数目,防止 CAM 表淹没的技术也可以防止 DHCP 耗竭。
    (3)网络层 :针对 IP 包的攻击是很多的 ,主要是因为 IPv4 的数据包本身是不经过加密处理的 ,所以里面的信息很容易被截获 ,现在可以使用 IPSec 来提供加密机制 ;
    (4)传输层 :针对 TCP 的攻击也多了 ,在这里一般使用进程到进程 (或者说端到端的 )加密,也就是在发送信息之前将信息加密 ,接收到信息后再去信息进行解密 ,但一般会使用SSL;
    传输层可能受到的威胁是拒绝服务( DOS)和分布式拒绝( DDOS)服务的攻击,其中包括 TCP SYN 淹没攻击、 SSL 中间人攻击、 Land 攻击、UDP 淹没攻击、端口扫描攻击等,保护措施是正确设置客户端 SSL,使用防火墙对来源不明的有害数据进行过渡等。网络层可能受到的威胁是 IP 欺骗攻击,保护措施是使用防火墙过滤和打系统补丁。网络接口层又可分为数据链路层和物理层。
    (5)应用层 :在应用层能做的事情太多 ,所以在这里做一些安全措施也是有效的;
    应用层中很多应用程序驻留并运行在此层,并且依赖于底层的功能,使得该层是最难保护的一层。简单邮件传输协议( SMTP)容易受到的威胁是:邮件炸弹,病毒,匿名邮件和木马等。保护措施是认证、附件病毒扫描和用户安全意识教育。文件传输协议( FTP)容易受到的威胁是:明文传输、黑客恶意传输非法使用等。保护的措施是不许匿名登录,单独的服务器分区,禁止执行程序等。超文本传输协议( HTTP)容易受到的威胁是:恶意程序( ActiveX 控件, ASP 程序和 CGI 程序等)。
  3. 抓取Telnet的数据报,并分析IP头的结构。(上机完成)
  4. 抓取Telnet的数据报,并分析TCP头的结构、分析TCP的“三次握手”和“四次握手”的过程。(上机完成)
  5. 简述常用的网络服务及提供服务的默认端口。
    答:
    常见服务及提供服务的默认端口和对应的协议如下表所示
    端口    协议         服务
    21       TCP         FTP服务
    25       TCP         SMTP服务
    53       TCP/UDP DNS服务
    80       TCP         Web服务
    135     TCP         RPC服务
    137     UDP         NetBIOS 域名服务
    138     UDP         NetBIOS 数据报服务
    139     TCP         NetBIOS 会话服务
    443     TCP         基于 SSL的 HTTP服务
    445     TCP/UDP Microsoft SMB 服务
    3389   TCP         Windows终端服务
  6. 简述 ping 指令、 ipconfig 指令、 netstat指令、 net指令、 at 指令、tracert指令的功能和用途。
    答:
    (1)ping 指令:ping 是用来侦测网络上的远端主机是否存在 ,并判断网络状况是否正常的网络侦测工具校验与远程计算机或本地计算机的连接。 只有在安装 TCP/IP 协议之后才能使用该命令;通过发送 ICMP 包来验证与另一台 TCP/IP 计算机的 IP级连接。应答消息的接收情况将和往返过程的次数一起显示出来。 ping 指令用于检测网络的连接性和可到达性。
    (2)ipconfig 指令:查看当前电脑的 ip 配置,显示所有 TCP/IP 网络配置信息、刷新动态主机配置协议 (DHCP)和域名系统 (DNS)设置,使用不带参数的 ipconfig 可以显示所有适配器的 IP 地址、子网掩码和默认网关。在 DOS命令行下输入 ipconfig 指令;
    (3)netstat指令:用来查看当前电脑的活动会话;显示活动的连接、计算机监听的端口、以太网统计信息、 IP 路由表、 IPv4 统计信息( IP,ICMP,TCP 和 UDP 协议)。使用“ netstat -an”命令可以查看目前活动的连接和开放的端口,是网络管理员查看网络是否被入侵的最简单方法。
    (4)net指令:在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。
    (5)at 指令:使用 at 命令建立一个计划任务,并设置在某一刻执行,但是必须首先与对方建立信任连接。
    (6)tracert指令:用来追踪路由, 用户确定 IP 数据访问目标所采取的路径。 Tracert指令用IP 生存时间字段和 ICMP 错误信息来确定一个主机到网络上其他主机的路由;