? 关于数字签名作业
? 申请数字凭证的 EMAIL地址和需要签名的一致
? 发送数字签名邮件的工具,
Outlook Express或 Outlook
? 关于答疑和期中考
? 期中和期末两次答疑
? 期中考试和期末考试的题型一样
第六章 TCP/IP服务与 WWW安全
6.1 TCP/IP协议及服务
6.2 WWW的安全性
6.3 Java的安全性
5.1 TCP/IP协议及服务
?TCP/IP协议
?TCP/IP协议的定义
?TCP/IP协议的层次结构
?TCP/IP协议的内容
?常用 TCP/IP服务及安全性
?Telnet远程登录
?FTP文件传输
?HTTP网页浏览
?DNS域名服务
什么是 TCP/IP协议
TCP/IP协议的定义,
TCP/IP是 Transmission Control Protocol/Internet
Protocol的缩写,中文译名为传输控制协议 /互联网络
协议,TCP/IP协议是 Internet最基本的协议。
TCP/IP协议是 Internet通信协议集的总称,含有上百
个协议,而 TCP和 IP本身只是该协议集最基本的两个
协议。
TCP/IP协议的层次结构
TCP/IP通常被认为是一个四层协议系统,应用层、
运输层、网络层和链路层 。
TCP/IP协议的层次结构
?链路层 —— 也称作数据链路层或网络接口层,通常
包括操作系统中的设备驱动程序和计算机中对应的网
络接口卡;
?应用层 —— 负责处理特定的应用程序细节。
?网络层 —— 有时也称作互连网层,处理分组在网络
中的活动;
?运输层 —— 主要为两台主机上的应用程序提供端到
端的通信;
TCP/IP的工作方式
示例:局域网上运行 FTP的两台主机
定义 ——
有时也称作数据链路层或网络接口层,通常包括操作
系统中的设备驱动程序和计算机中对应的网络接口卡。
链路层
作用 ——
?为 IP模块发送和接收 IP数据报;
?为 ARP模块发送 ARP请求和接收 ARP应答;
?为 RARP模块发送 RARP请求和接收 RARP应答。
以太网( Ethernet)
数字设备公司( Digital Equipment Corp.),英特
尔公司( Intel Corp.) 和 Xerox公司在 1982年联合公
布的一个标准。
以太网是当今 TCP/IP采用的主要的局域网技术。
以太网链路层协议
ARP协议和 RARP协议
?ARP—— Address Resolution Protocol,地址解析
协议,为 IP地址到对应的硬件地址之间提供动态映射。
?RARP—— Reverse Address Resolution Protocol,
逆 地址解析协议。
ARP协议和 RARP协议
?IP地址,32 bit,如 192.168.254.31
?物理地址( MAC),48 bit,如 00-02-b3-4f-fd-11
ARP协议应用
? 获取本机网卡地址,
ipconfig /all
定义 ——
有时也称作互连网层,处理分组在网络中的活动,例
如分组的路由选择。包括 IP协议(网际协议 ),
ICMP协议( Internet互连网控制报文协议),以及
IGMP协议( Internet组管理协议)。
网络层
作用 ——
? 将数据封装成 IP协议所需的数据包
? 选择合适的发送路径,将数据发送到接收方
IP地址
? 从 IP协议看
? IP地址是由四个 8位二进制数字域组成的,总长
度为 4个字节的 32位二进制数 (理论上可组成
232≈40 多亿个不同的 IP地址,实际上少得多 )
? 从用户使用看
? IP地址是由四个用小数点隔开的十进制数字域
组成,其中每个域的十进制取值在 0~255之间
, 点分法,
? IP地址 —— 用于标记计算机
如 162.105.129.12,192.168.100.3
IP地址的分类
IP地址可以分为 5类,A,B,C,D,E
IP地址类型 —— A类地址
A类地址
0
?A类地址用于大型网络,例如 Microsoft公司的网络。
微软网站的 IP地址,80.15.235.143
?A类地址的最高位为 0,接下来的 7位完成网络 ID,剩余的 24位
代表主机 ID。 A类地址允许 126个网络,每个网络大约一千七百
万台主机( 224-2=16777214),第一个数字是 1~126。十进制可
写成 001.x.y.z~ 126.x.y.z。
?127是一个特殊的网络 ID,又称本机网络。 127.0.0.1
IP地址类型 —— B类地址
B类地址
?B类地址用于 中型到大型的网络,例如 Cernet网的各地区网管
中心。
?B类地址的最高位为 10,接下来的 14位完成网络 ID,剩余的 16
位二进制位代表主机 ID。 B类地址允许 16384( 214)个网络,每
个网络有 65534( 216-2)台主机 ;第一个数字是 128~191。十进制
可写成 128.x.y.z~ 191.x.y.z。
?CNNIC网站的 IP地址,159.226.1.19
10
IP地址类型 —— C类地址
C类地址
?C类地址用于 小型本地网络,例如校园网 。
?C类地址的最高位为 110,接下来的 21位完成网络 ID,剩余的 8
位二进制位代表主机 ID。 C类地址允许大约二百万个网络( 221),
每个网络有 254( 28-2)台主机;第一个数字是 192~223。十进
制可写成 192.x.y.z~ 223.x.y.z。
?浙江大学网站的 IP地址,210.32.0.9
110
IP地址类型 —— D类地址
D类地址
?D类地址用于 多播。一个多播地址可能包括 1台或更多主机,
或根本没有。
?D类地址的最高位为 1110;第一个数字是 224~239。剩余的位设
计客户机参加的特定组。在多播操作中没有网络或主机位,数
据包将传送到网络中选定的主机子集中。
1110
IP地址类型 —— E类地址
E类地址
?E类地址留待后用 。
?E类地址的最高位为 11110;第一个数字是 240-247。
11110
IP地址类型汇总
我国的 IP地址分配情况
CNNIC2003年 7月的第 12次 中国互联网络发展状况
统计报告 中显示,
我国大陆 IP地址总数为,32084480个, 折合
1A+233B+146C
单位名称
地址数
折合数
中国电信集团公司
11337728
173B
中国教育和科研计算机网
6201344
94B+160C
中国网络通信集团公司
5726208
87B+96C
中国联合通信有限公司
1875968
28B+160C
中国网络通信 (控股 )有限公司
1048576
16B
中国移动通信集团公司
889856
13B+148C
ICMP协议
ICMP( Internet Control Message Protocol),
互连网控制报文协议, 它是 IP层的一个协议, 传递差错
报文以及其他需要注意的信息 ( 主机不可达, 端口不可
达等 ) 。
PING—— ICMP协议主要应用
Ping命令的格式,
ping 目的地址 [ 参数 1] [ 参数 2] ……
其中目的地址是指被测试计算机的 IP地址或域名 。
PING命令介绍
Ping命令主要参数有,
A,解析主机地址 。
N,数据, 发出的测试包的个数, 缺省值为 4。
L,数值, 所发送缓冲区的大小 。
T,继续执行 Ping命令, 直到用户按 Ctrl+C终止 。
有关 Ping的其他参数, 可通过在 MS-DOS提示符下运行 Ping或
Ping /? 命令来查看 。
利用 PING命令获取主机信息
Ping命令返回的 TTL
TTL( Time To Live) —— 生存时间, 指数据包被路由器丢弃
之前允许通过的网段数量 。
设置 TTL的目的:以防止数据包不断在互联网上永不终止地循
环 。 在转发 IP数据包时, 一般要求路由器将 TTL至少减 1。
常见操作系统设置的 TTL值,
?Windows NT/2000—— 128
?UNIX系列 —— 255
利用 PING命令获取主机信息
例如,
Ping sina.com.cn得到返回结果,
Reply from 202.106.184.200,bytes=32 time=350ms TTL=240
说明新浪的主机有可能是一台 UNIX的操作系统, 连接到新浪的主机可
能经过了 255-240=15个路由器 。
定义 ——
也称作传输层,主要为两台主机上的应用程序提供端
到端的通信。在 TCP/IP协议组件中,有两个互不相同
的传输协议,TCP( 传输控制协议)和 UDP( 用户数据
报协议)。
运输层
作用 ——
为应用程序提供不同质量的服务,
?TCP,可靠,用于传输大量数据,如 ftp等;
?UDP,不可靠,用于即时传输少量数据,如 QQ等。
TCP( Transmission Control Protocol)
特点,可靠,面向连接
TCP为两台主机提供高可靠性的数据通信。它所做的
工作包括把应用程序交给它的数据分成合适的小块交
给下面的网络层,确认接收到的分组,设置发送最后
确认分组的超时时钟等。由于运输层提供了高可靠性
的端到端的通信,因此应用层可以忽略所有这些细节。
TCP协议
端口 —— 端口是一个软件结构,被客户程序或服务进
程用来发送和接收信息。一个端口对应一个 16比特的
数。服务进程通常使用一个固定的端口。
TCP协议 —— 端口
端口的分类
1,保留端口,0—— 1023
2,动态端口,1024—— 49151
3,私有端口,49152—— 65535
TCP协议 —— 端口
服务 端口
FTP 21
TELNET 23
SMTP 25
HTTP 80
POP3 110
MSN客户端 1863
QQ客户端 4000
常用端口表,
TCP协议 —— 端口
WIN2000中的端口 描述文件,
系统目录下的 /drivers/etc/services文件
netstat命令,
netstat命令的功能是显示网络连接、网络端口信息,可以
让用户得知目前都有哪些网络连接正在进行。
该命令的一般格式为,
netstat [选项 ]
例如,
-a 显示所有连接, 包括正在监听的。
-n 以网络 IP地址代替名称,显示出网络连接情形。
UDP( User Datagram Protocol)
用户数据报协议为应用层提供一种非常简单的服务。
它只是把称作数据报的分组从一台主机发送到另一台
主机,但并不保证该数据报能到达另一端。任何必需
的可靠性必须由应用层来提供。
UDP协议
类比
?TCP,电话服务
?UDP,邮政服务
定义 ——
应用层负责处理特定的应用程序细节。
应用层
作用 ——
应用程序进入网络的通道。在应用层有许多 TCP/IP工
具和服务,如,Telnet,FTP,HTTP,SMTP,POP3等
等。
? Telnet远程登录
? FTP文件传输
? HTTP网页浏览
? DNS域名服务
常用 TCP/IP服务及安全性
Telnet远程登录
帐号和口令
Telnet协




INTERNET
?Telnet是标准的提供 远程登录 功能的应用,几乎每
个 TCP/IP的实现都提供这个功能。它能够运行在不同
操作系统的主机之间。
Telnet远程登录
?Telnet是一种最老的 Internet应用,起源于 1969年
的 ARPANET。 它的名字是, 电信网络协议
( telecommunication network protocol),的缩写
词。
Telnet远程登录
Telnet远程登录采用客户 -服务器模式。图中显示的是
一个 Telnet客户和服务器的典型连接图。
Telnet远程登录
Telnet远程登录的一般步骤,
1)本地与远程主机建立连接。该过程实际上是建立一个 TCP连接,
用户必须知道远程主机的 Ip地址或域名;
2)将本地终端上输入的用户名和口令及以后输入的任何命令或
字符以 NVT( Net Virtual Terminal) 格式传送到远程主机。该
过程实际上是从本地主机向远程主机发送一个 IP数据报;
3)将远程主机输出的 NVT格式的数据转化为本地所接受的格式送
回本地终端,包括输入命令回显和命令执行结果;
4)最后,本地终端对远程主机进行撤消连接。该过程是撤销一
个 TCP连接。
Telnet远程登录
?Telnet应用
电子公告牌 BBS( Bulletin Board System) —— 最常用的
Telnet应用,它利用 Telnet 协议,提供信息分类讨论,
收发邮件,聊天交流等功能。
?Telnet工具
? telnet客户端,telnet命令
? telnet://bbs.zju.edu.cn
? NetTerm,CTerm等工具
Telnet远程登录
?Telnet的安全性
?没有口令保护,远程用户的登录传送的帐号和密码
都是明文,这是 Telnet致命 的弱点;
?认证过程简单,只是验证连接者的帐户和密码;
?传送的数据没有加密。
这就意味着在网络上 Telnet是不安全的,使用网络嗅
探器可以截取 Telnet传送的数据。
?要使用 FTP,就需要有登录服务器的注册账号,或者
通过允许匿名 FTP的服务器来使用。
FTP文件传输
?FTP( File Transfer Protocol) 是另一个常见的应
用程序,它是用于 文件传输 的 Internet标准。由 FTP
提供的文件传送是将一个完整的文件从一个系统复制
到另一个系统中。
FTP文件传输
FTP与 Telnet应用不同, 它采用两个 TCP连接来传输一
个文件 。
1) 控制连接,控制连接以通常的客户服务器方式建立 。
服务器以被动方式打开众所周知的用于 FTP的端口
( 21), 等待客户的连接 。 客户则以主动方式打开 TCP
端口 21,来建立连接 。
2) 数据连接,每当一个文件在客户与服务器之间传输
时,就创建一个数据连接。
FTP文件传输
FTP文件传输
? 对比 Telnet传输
? 仅传输 NVT ASCII码数据
? FTP传输的文件类型
? ASCII码文件类型(默认选择) 文本文件
? 二进制文件类型 图象文件等
FTP文件传输
? FTP工具
? 服务端,
? Win2000 IIS( Internet Information Server)
? Serv-U 可在 Win98下安装
? 客户端,
? ftp命令
? IE ftp://grs.zju.edu.cn
? CuteFTP,LeapFTP等
FTP文件传输
? FTP的安全性
? 未加密,易被窃听;
? 匿名帐号的设置;
? 权限控制;
? 路径设置。
FTP文件传输
?FTP服务器的安全性
? 未经授权的用户禁止在服务器上进行 FTP操作。
? FTP用户不能读取未经系统所有者允许的文件或目录。
? 未经允许,FTP用户不能在服务器上建立文件或目录。
? FTP用户不能删除服务器上的文件或目录。
HTTP网页浏览
?超文本传输协议 HTTP( HyperText Transfer
Protocol) 是用于从 WWW服务器传输超文本到本地浏
览器的传送协议。
?HTTP协议是万维网 WWW(World Wide Web,也简称为
Web)的核心。
?URL(Uniform Resource Locator,统一资源定位符 )
http://www.microsoft.com
HTTP网页浏览
Web客户 -服务器结构
HTTP网页浏览
HTTP协议
?HTTP是一个简单的协议。客户进程建立一条同服务器
进程的 TCP连接,然后发出请求并读取服务器进程的响应。
服务器进程关闭连接表示本次响应结束。
?客户进程 (浏览器 )提供图形界面。 HTTP服务器进程只是
简单返回客户进程所请求的文档,这些文档包括文本、图
片、语音文件、视频文件以及其他格式的文件。
HTTP网页浏览
? WWW工具
? 服务端,
? Win2000 IIS( Internet Information Server)
? Win98 PWS (Personal Web Server)
? 客户端,
? Internet Explorer
? Netscape
HTTP网页浏览
? WEB的安全性
?Web服务器,
?选择安全的 WEB服务器;
?及时安装补丁程序;
?关闭不必要的服务。
?Web浏览器,
?及时安装补丁程序;
?选择合适的安全级别;
?信息加密,防止被截获。
DNS( DOMAIN NAME SERVICE)
域名服务,由于一般用户很难记住数字形式的 IP地址,而
名字则比号码更容易记忆,为此 Internet从 1985年起在原
有 IP地址系统的基础上,开始向用户提供了 DNS域名系统。
DNS域名服务
对比,
? www.zju.edu.cn
? 210.32.0.9
?域名结构及组成
,主机名 +域名, 的多级结构,一般不超过五级
域名系统 DNS
?域名服务器
◆在互联网上,用于完成域名及对应的 IP地址转换的服务器
◆每一个域名服务器保存有在它上面注册的域名与对应的 IP地
址,并组成, 域名数据库, ;将因特网上所有的域名服务器编联
到一起,就组成了域名管理系统。
◆域名服务器的 IP地址是一项重要参数,通常就近选择
例如浙大校网 通常选用, 10.10.0.21
杭州电信宽带首选 DNS,202.101.172.35
DNS-国家名码
两个字母组成
国家名码 国 家 名
au 澳大利亚 (Australia)
ca 加拿大 (Canada)
cn 中国 (China)
de 德国 (Germany)
fr 法国 (France)
jp 日本 (Japan)
nl 荷兰 (Netherlands)
no 挪威 (Norway)
us 美国 (United State)
uk 英国 (United Kingdom)
DNS-国际流行域类型
域类型 适 用 对 象
com 公司或商务组织 (Company,..)
edu 教育机构 (Educational Institution)
gov 政府机构 (Government Body)
mil 军事单位 (Military Site)
net Internet网关或管理主机 (Internet Gateway)
org 非营利组织 (Not-Profit Organization)
DNS-国内流行域类型
团 体 地 区
域类型 适用对象 域类型 适用对象
ac 学术 bj 北京
com 公司或商务组织 sh 上海
edu 教育机构 tj 天津
gov 政府机构 cq 重庆
net 邮电部门 zj 浙江
org 民间组织
DNS域名服务
? DNS的安全性
? 可能泄露内部机器主机信息
如操作系统等信息
? 为保证安全的服务,可使用认证用户而不是主机
名或 IP地址来验证
5.2 WWW的安全性
?WWW面临的四种风险
?存放于 Web服务器文件系统上的机密文件被非法
用户窃取
?由远程用户发送给 Web服务器的私人或保密信息
被截获
?有关 Web服务器主机的详细信息泄露,使侵入者
得以分析,找出漏洞并闯入系统
?服务器存在允许外来者在 Web服务器主机上执行
命令的漏洞,使他们得以改动或破坏系统
?WWW服务器的主要安全漏洞
?物理路径泄露
?源代码泄露
?目录遍历
?执行任意命令
?缓冲区溢出
?拒绝服务( DoS)
WWW服务器的安全漏洞
小结
六,TCP/IP服务与 WWW安全
6.1 TCP/IP协议及服务
? TCP/IP协议
? 常用 TCP/IP服务及安全性
6.2 WWW的安全性
?,TCP/IP详解 卷 1:协议》,TCP/IP
Illustrated,W.Richard Stevens,机械工业
出版社,2000年
参考书籍
?《用 TCP/IP进行网际互联 第一卷:原理、协
议与结构》,Internetworking With TCP/IP,
Douglas E.Comer,电子工业出版社,2001年
作业
1.说明 TCP/IP服务所包括的主要内容和各自面临
的安全问题
谢 谢!