计算机网络安全教程第01章简明教程PPT课件

计算机网络安全教程重点内容：TCP/IP参考模型数据在各层协议间的流动链路层协议基本概念网络层协议基本概念传输层协议基本概念应用层协议基本概念PDU、MTU、分片的概念第1章网络协议基础计算机网络安全教程一、网络体系结构如何分层：是指该协议体系中，共分为几个层次，每个层次的名称、功能分别是什么。例如，OSI七层参考模型，包含物理层、链路层等七个层次，而TCP/IP体系结构则分为链路层、网络层、传输层、应用层四个层次。1、网络体系结构的含义各层协议：对等层间进行数据交换等通信动作时，所遵循的规范，则称为网络体系结构的各层协议。层间接口：描述的是同一对象内不同网络层次间进行数据交换时所遵循的规范。计算机网络安全教程一、网络体系结构OSI（OpenSystemInterconnection）开放系统互联参考模型把网络分为七个层次。从下往上，依次称为第一层、第二层，直至第七层。其中物理层、链路层、网络层通常用于数据在网络中的传递，构成整个网络的通信子网。组成资源子网的各类主机，不仅包含第一至第三层协议，还涵盖第三层以上用于保障数据正确传输、实现多种多样网络应用功能的各层协议。2、OSI参考模型计算机网络安全教程一、网络体系结构TCP/IP参考模型分为链路层、网络层、传输层、应用层四个层次。TCP/IP参考模型和OSI七层模型的对应关系如下图。TCP/IP模型简化了OSI模型，这也是TCP/IP成为当前网络协议的事实标准的主要原因。事实上，OSI模型作为国际标准化组织制定的一种网络理论体系结构，从未被真正意义上的产品实现过。3、TCP/IP参考模型计算机网络安全教程一、网络体系结构数据发送过程中，数据由高层流向低层，数据被逐层添加头部信息，到达物理层时，原始应用程序数据已经被加入了应用层头部、传输层头部、网络层头部、链路层头部，并在数据尾部加入了链路层尾部信息，这个过程称为数据封装。数据到达目的地后，数据流向则变为由低层流向高层，此时，数据每上高层流动一层，则被去掉该层的头部信息。3、TCP/IP参考模型计算机网络安全教程二、链路层协议以太网，是局域网的一种。以太网是采用CSMA/CD媒体访问控制协议的一种局域网类型，由一系列IEEE802协议所规范。典型的其它局域网还有令牌环网、FDDI网、ATM网。1、以太网的概念计算机网络安全教程二、链路层协议以太网采用CSMA/CD（CarrierSenseMultipleAccesswithCollisionDetection），意味着按照如下方式来访问共享的信道。MultipleAccess，即多路访问，表明多台主机连接到同一总线上，即多主机共享信道，不能同时发送数据。CarrierSense，载波监听，意指在主机发送数据前，需要先检测总线上是否有其它主机正在发送，如有,则暂时不发送，以免发生冲突（Colission）。1、以太网的概念计算机网络安全教程二、链路层协议链路层发送、接收的数据单位，称为帧（Frame）。以太网的帧结构如下图，长度单位是字节。图中的目的地址、源地址、类型字段，即为链路层的头部信息。校验字段，即为链路层的尾部信息。数据字段，是链路层所运载的高层协议的数据，称为链路层的有效载荷（Payload）。传统以太网最短的帧长度为18＋46＝64字节，最大的帧长度为18＋1500＝1518字节。1、以太网的概念计算机网络安全教程二、链路层协议Windows系统中，使用ifconfig命令来查看网卡的MAC地址。在命令行模式中输入“ipconfig/all”命令并回车。1、以太网的概念计算机网络安全教程二、链路层协议令牌环网的线路由一个环形总线组成。总线空闲时，有一个令牌绕环运行，所有主机只有获得令牌后才能发送数据。获得令牌的主机，在发送数据前，先删除令牌，发出一份数据后，该主机则产生一个新的令牌。令牌环协议的工作原理决定了在这种网络中，不会产生冲突，网络上的所有主机享有均等的发送数据的机会。在通信负载很重的情况下，信道利用率接近100％。2、令牌环网计算机网络安全教程三、网络层协议作为网络层的主要功能，编址和寻址的功能在TCP/IP体系中都是以IP地址来体现的。链路层的物理地址，只能实现单一局域网内不同主机的区分与定位。要实现跨局域网乃至整个Internet范围的主机定位，则必须使用网络层的IP地址。1、网络层主要功能计算机网络安全教程三、网络层协议IP地址是一个32比特的数字。通常按每8位一个字节的方式，用4个十进制数以“.”号隔开，称为IP地址“点分十进制”表示法。例如，家庭上网所使用的宽带路由器，默认的IP地址通常是“192.168.1.1”。2、IP地址计算机网络安全教程三、网络层协议A类IP地址的网络号部分最高位固定位0。B类IP地址的网络号部分最高位固定位10。C类IP地址的网络号部分最高位固定位110。3、A、B、C三类IP地址计算机网络安全教程三、网络层协议A类IP地址的网络号部分最高位固定位0。B类IP地址的网络号部分最高位固定位10。C类IP地址的网络号部分最高位固定位110。3、A、B、C三类IP地址计算机网络安全教程三、网络层协议ARP（AddressResolutionProtocol，地址解析协议）的目的：根据目的地的IP地址，得到目的地的物理地址（我们以MAC地址为主）。在Windows/Unix/Linux操作系统中，查看ARP表项的命令如下图：4、ARP协议计算机网络安全教程四、传输层协议网络层实现的是主机端到端的传输能力。网络层编址、寻址（即路由）功能，数据能从一台主机到达网络中任意其它主机，单数据到达目的主机后，由目的主机的哪个应用程序来处理，则不是网络层协议所能解决的。传输层提供的是应用程序端到端的传输能力。网络数据的发送、接收，最终都必须由特定的应用程序来完成，因此，必须引用新的机制，来实现网络数据与应用程序的关联，这就是传输层的端口（Port）所要做的。1、传输层功能计算机网络安全教程四、传输层协议端口，是一个16比特的数字，端口号的最小值为0，最大值为65535。0～1023，称为熟知端口（Well-KnownPort），熟知端口通常用于关联常用的网络服务。例如：80端口常用于关联Web服务，以提供网页浏览;53端口常用于关联DNS服务，以提供域名解析。注意：TCP/IP的网络层提供了两套服务－TCP和UDP，因此对应就有两套端口机制。TCP有一套端口，从0到65535；UDP也有一套端口，从0到65535。在一些需要严密表述的场合，仅指出端口号是不够的，还应当指明是TCP端口，还是UDP端口。前文所述Web服务的80端口，是指TCP的80端口，而DNS服务的53端口，通常是指UDP的53端口。2、端口的概念计算机网络安全教程四、传输层协议IP地址、端口，用“：”连接起来，称为套接字（Socket）。套接字用于描述一个网络应用程序附着点例如：“192.168.1.1：80”。查看当前操作系统中的套接字：3、套接字的概念计算机网络安全教程四、传输层协议TCP连接的建立，需要由称为“三次握手”的三个TCP报文段（TCPSegment）来实现，如下图。客户端首先打开一个用于建立连接的端口，然后向服务端的特定端口发送一个包含SYN标记（表示连接建立请求）的报文段。若服务端相应端口处于监听状态，则向客户端返回一个包含SYN和ACK标记的报文段，ACK标记表示确认客户端的连接请求。正常情况下，客户端再向服务端发送一个包含ACK标记的报文段，以通知服务端当前连接已被客户端确认。4、三次握手建立TCP连接计算机网络安全教程四、应用层协议DNS（DomainNameService，域名服务）是一种命名系统。提供由IP地址到域名，或由域名到IP地址的解析服务。网络通信最终都是以IP地址来识别不同计算机，但IP是一串数字，难于理解和记忆。DNS系统可为IP地址分配一个（或多个）易于记忆的中英文字符串，即IP地址对应的域名。1、DNS计算机网络安全教程四、应用层协议自1990年起，HTTP（HypertextTransferProtocol，超文本传输协议）就已经被应用于（WorldWideWeb，万维网）。HTTP目前依然是Internet上应用最为广泛的应用层协议。HTTP是一种请求/响应式的协议。客户机与服务器建立连接后，发送一个请求给服务器；服务器接到请求后，给予相应的响应信息。2、HTTP计算机网络安全教程四、应用层协议浏览过程中，Web浏览器是客户端程序，向Web服务程序发出浏览请求，Web服务程序根据请求内容将存放在Web服务器上的Web页面封装成HTTP协议报文的格式，返回给Web浏览器。在Web服务器上，一系列Web页面以及相关的图片、视频等其它媒体的集合，即称为Web站点。2、HTTP计算机网络安全教程四、应用层协议FTP（FileTransferProtocol，文件传输协议）是Internet上以C/S（Client/Server,客户端/服务器）方式处理文件的协议。客户端可以向服务器上传文件，也可以从服务器下载文件。FTP进行文件传输需要用到两个TCP连接，控制连接和数据连接。若数据连接是由服务器向客户端发起的TCP连接，则这种工作模式称为主动模式（ActiveMode）。若数据连接是由客户端向服务器发起的，则这种工作模式称为被动模式（PassiveMode）。3、FTP计算机网络安全教程五、相关基本概念PDU（ProtocolDataUnit，协议数据单元）是各协议层次所处理数据的基本单位，协议层次不同，PDU的称谓、格式均不相同。物理层的PDU是二进制位（Bit，又称比特）；链路层的PDU是帧（Frame）；网络层的PDU是IP数据包（Packet）；传输层的PDU是报文段（Segment）；应用层的PDU是报文（Message）。1、PDU计算机网络安全教程五、相关基本概念以太网帧的有效载荷数据区最多能包含1500字节，称为MTU（MaximumTransferUnit，最大传输单元）。由于上一层的PDU－IP数据包整个都被封装在链路层帧的数据区，因而单个IP数据包的最大长度即为1500字节。IP数据包分为头部和有效载荷数据区，头部长度为20字节，故IP数据包的数据区最大长度为1500－20＝1480字节。若网络层有超出1480字节的数据需要发送，则需要将数据以1480为单位，分为多个IP数据包发送，这个过程称为IP数据包分片（Fragmenting）2、MTU、分片