《【网络通信安全管理员认证-中级】第二章计算机网络基础18980.pptx》由会员分享,可在线阅读,更多相关《【网络通信安全管理员认证-中级】第二章计算机网络基础18980.pptx(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络通信安全管理员认证计算机网络基础 Copyright2010Mazhao计算机网络基础-网络的形成、发展与定义 计算机网络(Computer Network)是计算机技术和通信技术紧密结合的产物。四个阶段:1、面向终端的远程联机系统 2、ARPAnet,分组交换时代 3、OSI参考模型 4、Internet迅猛发展计算机网络的定义和演变 计算机网络的定义把分布在不同地理位置计算机、终端,通过通信设备和线路连接起来,以功能完善的网络软件(网络通信协议,信息交换方式及网络操作系统等),实现互相通信及网络资源共享的系统。核心内容:资源共享。计算机网络是由多个具有独立自主功能的计算机系统,通过各种
2、通信手段相互连接,进行信息交流、资源共享和协同工作的集合没有严格的定义,没有严格的定义,内涵也不断变化。内涵也不断变化。通信装置通信装置通信装置终端主机前置机 公用电话网计算机网络基础-网络分类及组成分类:广播式(总线型、环形)、点对点(树型、星型、网型)局域网、城域网、广域网总线型、星型、树型、混合型、网状型电路交换式、报文交换式、分组交换式双绞线网络、同轴电缆网络、光纤网络、无线网络等组成:通信子网 通信子网提供网络通信功能,能完成网络主机之间的数据传输、交换、通信控制和信号变换等通信处理工作,由通信控制处理机CCP、通信线路和其它通信设备组成的数据通信系统。资源子网资源子网为用户提供了访
3、问网络的能力,它由主机系统、终端控制器、请求服务的用户终端、通信子网的接口设备、提供共享的软件资源和数据资源(如数据库和应用程序)构成。计算机网络的二级结构网络的二级结构通信子网资源子网资源子网v通信子网负责数据通信v资源子网提供各种软、硬件资源v实现交换的方法主要有:电路交换、报文交换、分组交换。呼叫请求呼叫应答数据A B C D分组1分组2分组3报文A B C D A B C D寻路延迟排队延迟线路交换 报文交换 分组交换v通信交换技术分为两类:一是线路交换,二是存储转发。存储转发又分为两类:一是报文交换,二分组交换。分组交换又分两类:一是虚电路交换,二是数据报交换。主机A通信子网主机D数
4、据报方式主机C主机Bq 分组交换方式1:数据报方式主机A主机C通信子网主机D虚电路方式主机Bq 分组交换方式2:虚电路方式计算机网络基础-OSI七层参考模型国际标准化组织于1979年公布了开放系统互连参考模型OSI/RM。OSI模型分为7层,在同一个结点上,下层为上层提供服务,在两个结点之间,对等层之间通过该层协议进行通信通信子网结点2 结点1系统B物理层链路层网络层传输层会话层表示层应用层系统A传输介质物理层链路层网络层物理层链路层网络层物理层链路层网络层传输层会话层表示层应用层物理层数据链路层网络层传输层会话层表示层应用层PB系统B物理层数据链路层网络层传输层会话层表示层应用层PA系统A物
5、理层数据链路层网络层物理层数据链路层网络层传输介质报文分组帧结点2 结点1OSI中的数据流“你好”“Hello”传真中国教师翻译秘书“Hallo”“Hello”传真德国教师翻译秘书对交谈内容的共识用英语对话使用传真通信P3P2P1物理通信线路对等通信示例:中德教师之间的对话问题:中国教师与德国教师之间、翻译之间,他们是在直接通信吗?翻译、秘书各向谁提供什么样的服务?中德教师、翻译各使用谁提供的什么服务?几个概念v服务访问点(SAP):接口上相邻两层实体交换信息之处接口数据单元(IDU):相邻两层实体之间交换的信息单元接口控制信息(ICI):相邻两层实体之间交换信息时的 控制信息服务数据单元(S
6、DU):来自上一层,需要在本层与对等 实体交换的信息协议数据单元(PDU):对等实体之间交换的信息单元协议控制信息(PCI):对等实体之间交换信息时的控制 信息优点 v 简化了协议,便于实现、调试和维护,分而治之。v 各层相互独立,某一层只需知道下一层通过接口所提供的服务,而不需了解其实现的细节。v 功能的追加和变更,限定在相关的层中,使得功能扩充比较灵活性。v 结构上可分割开,各层都可以选则最适合的实现技术。服务第n层第n-1层系统 系统A A服务第n层第n-1层系统 系统B B第n-1层协议第n层协议v1.网络应该具有哪些层次?每一层的功能是什么?(分层与功能)2.各层之间的关系是怎样的?
7、它们如何进行交互?(服务与接口)3.通信双方的数据传输要遵循哪些规则?(协议)层次结构方法包括三个内容:分层及每层功能,服务与层间接口,协议。每层的功能和作用P13页:图2-1 功能层次功能描述通俗解释应用层 与用户应用进程的接口 做什么?表示层 数据格式的转换 对方看起来像什么?会话层 会话的管理与数据传输的同步 轮到哪方传输,从何处开始传输?传输层 从端对端经网络透明地传送报文 数据如何到达对方?网络层 分组传送、路由选择和流量的控制 对方在何处?数据链路层 在连路上无差错的传送数据帧 每一步该如何无差错地走?物理层 将比特流送到物理媒体 信息实际如何传送?应用层Application表示
8、层Presentation会话层session传输层transport物理层Physical数据链路层Data Link网络层Network7654321处理网络应用数据表示主机间通信端到端的连接寻址和最短路径介质访问(接入)二进制传输实现OSI七层模型只说明了做什麼(WHAT TO DO)而未规定 怎样做(HOW TO DO)协议簇的实现:协议栈(软硬件)一台计算机要发送数据到另一台计算机,数据首先必须打包,打包的过程成为封装。封装就是在数据前面加上特定的协议头部。数 据协议头发送邮件的例子:信装入写有源地址和目的地址的信封中发送,还要写明用航空或挂号。数 据数据封装数据 段头数据 段头数据
9、 网络头帧头 段头数据 网络头 帧尾数据段数据包帧比特电脉冲011101000011000010100101111010110封装拆封数据多层封装 TCP头应用层数据应用层数据 TCP头应用层数据IP头帧头 TCP头应用层数据IP头帧尾应用层 传输层 网际层 数链层 实际例子:TCP/IP 协议的封装计算机网络拓扑v课外知识:起初它是几何学的一支,研究几何图形在连续变形下保持不变的性质(a)物理连接(b)拓扑图网络的物理连接与拓扑图结点链路通路星型结构星型结构v 所有结点与中央结点连接v 结构简单、控制简单v 结点出现故障易于隔离v 中央结点的可靠性致关重要环型结构环型结构v 通信控制分散在各
10、个结点,提高了可靠性v 各结点共享环路v 采用令牌控制,重负载时吞吐量较大网状结构网状(不规则)结构v 端结点之间存在多条通路,需选择路径v 可靠性高v 通信控制复杂总线结构总线型结构v 结构简单,可靠性好v 各结点共用总线,广播式传输v 扩充性好,增减结点容易v 总线长度有限还有什么?v树型v混合型TCP/IP协议体系Ethernet,802.3,802.5,FDDI等等TCP/IP支持所有的、标准的物理和数据链路协议网络接口层v功能:比特流传输服务,链路管理,成帧方式,差错控制等v协议:PPP、PPPoEv以太网vMAC地址及其安全性可能用到的概念v比特 一个二进制位叫一个比特(bit)v
11、信道 用于一路信号传输的通道,称为信道,一条物理线路常可以被划分为多个信道 通信方式q 单工通信发送站 接收站信息流向单工通信可能用到的概念发收发收半双工通信发收发收全双工通信q 半双工通信q 全双工通信全双工通信q 串行传输把每个二进制位按顺序排列成串,形成比特流,逐位在信道上传送 同步控制发送端 接收端b0b1b2b3b4b5b6b7串行信道发送时钟 接收时钟串行通信可能用到的概念-传输方式q 可能用到的概念并行传输多个比特以成组的方式在多个并行的信道上同时传输 道信行并b0b7b6b5b4b3b2b1b0b7b6b5b4b3b2b1并行通信可能用到的概念多路复用 频分多路复用信道可用带宽
12、t复 用 器信道A信道C信道D信道BffAfCfDfB复 用 器信号源D信号源B信号源C信号源A保护带可能用到的概念多路复用 时分多路复用D C B A D C B A D C B A时分复用帧t复 用 器信道可用带宽复 用 器f信道D信道A信号源D信号源B信号源C信号源A 波分多路复用在光传输领域中,根据光的不同波长来划分信道,使得在一根光纤中可以同时传输基于不同波长的多路数据,从而达到复用链路,提高总体带宽的目的 可能用到的概念v基带传输 基带传输是在数字信道上直接传送基带信号v频带传输 通常是指在电话网上传输数据 调制与解调 调制是用交流信号承载信息的过程,即用要发送的信息调制载波 解调
13、是从载波中还原发送的信息的过程网络层及IP层vIP地址:网络号+主机号、NATvIP数据报格式vIP地址及子网掩码v几类特殊的IP地址vIP安全性 IP地址的概念IP地址是独立于硬件地址的逻辑地址,它是由软件提供的地址。IP地址是网络层地址。IP地址 IP编址方案和分类v IP地址由32位二进制数构成,分为前缀(网络 地址)和后缀(主机地址)v 每台计算机的IP地址是唯一的v 网络地址的分配全球一致,主机地址可以本地 分配IP地址的分类其中A,B,C 三类为基本类0 1 2 3.7 8 15 16 23 24 310前缀 后缀1 1 1 11 1 1 01 1 01 0前缀前缀后缀后缀用于研究
14、和试验多目传送(组播)地址A类E类D类C类B类 前缀位数 最多网络数 后缀位数 最多主机数A类 7 128 24 16777216B类 14 16384 16 65536C类 21 2097152 8 256 A类地址分配给超大型网络:允许27 个网络,每个网络224-2 个主机;v B类地址分配给大型和中型网络:允许214个网络,每个网络216-2个主机;v C类地址分配给小型网络:允许221个网络,每个网络28-2个主机;v D类地址用于多目地址传送,即多个主机共享一个多目 地址,发送到此地址的数据将同时送给这一类主机例如IP地址:11000000 00000101 00110000 00
15、000011可以表示为 192.5.48.3从第1段的值可以知道地址的类型。类 数值范围 A 0 127 0.0.0.0 126.255.255.255 B 128 191 128.0.0.0 191.255.255.255 C 192 223 192.0.0.0 223.255.255.255 D 224 239 E 240 255 点分十进制表示法几个特殊的IP地址q 广播地址 直接广播地址:主机号各个位全为1的地址 例如:128.211.255.255 受限广播地址:网络号和主机号全为1的地址 255.255.255.255q本网络上的特定主机地址:网络号为0 0.0.0.126q回送地
16、址:127.0.0.0127.255.255.255.254q静态IP地址和动态IP地址q单播、组播(多播)、广播子网掩码子网掩码:(subnet mask)又叫网络掩码、地址掩码、子网络遮罩,它是一种用来指明一个IP地址的哪些位标识的是主机所在的子网以及哪些位标识的是主机的位掩码。子网掩码不能单独存在,它必须结合IP地址一起使用。因为屏蔽掉了IP地址的一部分所以叫掩码。方法:32位模式,网络地址:1,主机地址:0 例如:192.168.1.3 255.255.255.0 128.211.0.0/16 和 202.122.23.0/24作用:为了避免IP地址的浪费,可以把多余的主机地址拿出来作
17、为子网的地址来分配1 0网络地址 主机地址B类位0 1 8 16 24 31划分子网前划分子网后1 0网络地址 B类位0 1 8 16 24 31 22子网地址 子网地址 主机地址23若原来的网络地址为128.10.0.0,划分为子网后128.10.2.0 表示第1个子网 128.10.4.0 表示第2个子网 128.10.6.0 表示第3个子网 A类地址的子网掩码为:255.0.0.0B类地址的子网掩码为:255.255.0.0C类地址的子网掩码为:255.255.255.0 10000000 00010101 00000011 00001100(IP地址)11111111 11111111
18、 00000000 00000000(子网掩码)10000000 00010101 00000000 00000000(网络地址)例如:若B类IP地址为128.21.03.12,它与B类地址的子 网掩码“与”的结果若要在B类IP地址中把主机地址的高7位作为子网地址,则子网掩码为:255.255.254.0IP数据报格式版本(4位)头长度(4位)服务类型(8位)封包总长度(16位)封包标识(16位)标志(3位)片断偏移地址(13位)存活时间(8位)协议(8位)校验和(16位)来源IP地址(32位)目的IP地址(32位)选项(可选)填充(可选)数据验证v用sniffer抓一个看看IP安全性vIP欺
19、骗vIP包碎片(泪滴)攻击vPing floodingvsmurf传输层vTCP和UDP的区别:一起回答。vUDP报文格式vTCP报文格式v三次握手、四次挥手UDPv熟知端口、注册端口、临时端口v使用UDP的协议包括:TFTP、SNMP、NFS、DNS等源端口(2字节)目的端口(2字节)封报长度(2字节)校验和(2字节)数据源端口 目的端口 长度 校验和 数据16b 16b 16b 16bTCP五元组、可靠性保障8 0 24 32 16源端口号 目的端口号序号确认号首部长度 窗口大小校验和 紧急指针选项数据保留 标识填充源端口(Source Port):呼叫端口的编号目的端口(Destinat
20、ion Port):被叫端口的编号顺序号(Sequence Number):数据的第一个字节的顺序号确认号(Acknowledgment Number):所期待的下一段的顺序号报头长度(HLEN):以32字节为单位的报头的长度保留域(Reserved):设置为0编码位(Code Bits):用于控制段的传输(如会话的建立和中止)包括:URG、ACK、PSH、RST、SYN、FIN六个位窗口大小(Window):接收方能够继续接收的字节数校验和(Checksum):包括TCP报头和数据在内的校验和紧急指针(Urgent Pointer):当前顺序号到紧急数据位置的偏移量选项(Option):数据
21、(Data):上层协议数据端口号TCP和UDP都用端口(socket)号把信息传到上层。端口号指示了正在使用的上层协议。FTPSMTPTFTPDNSTelnetSNMP21 23 25 53 69 161TCP UDP应用层传输层TCP UDP6 17IP传输层网际层IP数据报的协议域确定目的端的上层协议抓一个FTP包看看TCP连接的建立三次握手例如:A、B两个主机要建立连接AB方向 消息 含义ABABABSYNSYNACKACK我的序号是X序号用于跟踪通信顺序,确保多个包传输时无数据丢失。通信双方在建立连接时必须互相交换各自的初始序号。知道了,你的序号是X我的序号是Y知道了,你的序号是Y握手
22、123合并1.2.3.4.A B发送SYN消息(SEQ=x)接收SYN消息(SEQ=x)发送SYN消息(SEQ=y,ACK=x+1)接收SYN消息(SEQ=y,ACK=x+1)发送确认(ACK=y+1)接收确认(ACK=y+1)TCP通过三次握手/建立连接序号来达到同步第一次“握手”v首先分析建立“握手”第一个过程包的结构,如图所示。第二次“握手”v SYN为1,开始建立请求连接,需要对方计算机确认,对方计算机确认返回的数据包如图所示。第三次“握手”v对方计算机返回的数据包中ACK为1并且SYN为1,说明同意连接。v这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构如图所示。四次挥手
23、第一次“挥手”v第一次交互过程的数据报结构如图所示。第二次“挥手”v第一次交互中,首先发送一个FIN=1的请求,要求断开,目标主机在得到请求后发送ACK=1进行确认,如图所示。第三次“挥手”v在确认信息发出后,就发送了一个FIN=1的包,与源主机断开,如图所示。第四次“挥手”v随后源主机返回一条ACK=1的信息,这样一次完整的TCP会话就结束了。如图所示。应用层 电子邮件的传送过程发送方 接收方发送方邮件服务器A接收方邮件服务器BInternetURL请求网页Web服务器 数据库服务器 客户端结果数据请求网络互联设备v线缆:双绞线、同轴电缆、光纤v中继器(集线器)v网桥(交换机)v路由器(L3
24、交换机)v网关v冲突域、广播域 双绞线内导体芯线绝缘箔屏蔽铜屏蔽外套-螺旋绞合的双导线,1mm-每根4对、25对、1800对-典型连接距离100m(LAN)-RJ45插座、插头-优缺点:成本低 密度高、节省空间 安装容易(综合布线系统)平衡传输(高速率)抗干扰性一般 连接距离较短屏蔽双绞线(STP)非屏蔽双绞线(UTP)v 以铝箔屏蔽以减少 干扰和串音3类、5类、6类(16M、155M、1200M)双绞线外没有任何附加屏蔽两种常见的组网方式v对等网(PeertoPeer)vC/S网(表示层(Browser)、功能层(WebServer)与数据库服务层(DATABASEServer)和网络操作系统常用的网络命令和几个常用工具v谁用谁知道局域网安全防范及故障诊断排除v嗅探、监听、IP欺骗、ARP欺骗、SYN攻击、中间人劫持v故障诊断:流程图法和因果图法v故障排除:软硬件相结合、经验交流谢谢观看/欢迎下载BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES.BY FAITH I BY FAITH