<4D F736F F F696E74202D203033CDF8C2E7BBF9B4A1D6AACAB6D3EBD2F2CCD8CDF E707074>

Computer System Security 张载龙主讲南京邮电大学信息网络技术研究所江苏省通信与网络技术工程研究中心 Email:zlzhang@njupt.edu.cn Total 125 Computer System Security 1 CH.3 网络基础知识与 Internet 3.1 网络参考模型 OSI 3.1.1 分层通信 3.1.2 信息格式 3.2 网络互联设备 3.2.1 中继器和集线器 3.2.2 网桥 3.2.3 路由器 3.2.4 网关 3.3 LAN 技术 3.3.1 以太网和 IEEE 802.3 3.3.2 令牌环和 IEEE 802.5 3.3.3 FDDI 3.4 WAN 技术 3.4.1 WAN 基本技术 3.4.2 WAN 协议 3.5 TCP/IP 协议基础 3.5.1 TCP/IP 与 OSI 参考模型 3.5.2 网络层 (IP 层 ) 3.5.3 传输层 (TCP 和 UDP) 3.5.4 应用层协议 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 3.6.2 文件传输服务 3.6.3 电子邮件服务 3.6.4 Usenet 新闻服务 3.6.5 WWW 服务 3.6.6 网络用户信息查询服务 3.6.7 实时会议服务 3.6.8 DNS 服务 3.6.9 网管服务 3.6.10 NFS 文件系统 Total 125 Computer System Security 2 3.1 网络参考模型 OSI 分层可以带来如下好处 : (1) 各层之间是独立的 (2) 灵活性好 (3) 结构上可分割开 (4) 易于实现和维护 (5) 能促进标准化工作 OSI 协议栈通信中数据流程 Total 125 Computer System Security 3 7 6 5 4 应用层表示层会话层传输层 OSI 七层模型 Application All Presentation People Session Seems Transport To 减少复杂性使接口标准化简易模块工程确保互相沟通技术加速技术的发展 3 网络层 Need 简化教学 2 数据链路层 Data Link Data 一般来说, 上五 1 物理层层由软件实现, Physical Processing 而下两层则由硬 Total 125 Computer System Security 件和软件实现 4 各层的功能对等层通讯 7 运用层处理应用软件主机 A 主机 B 6 表示层数据表示应用层应用层 5 会话层主机间的通讯表示层表示层 4 3 2 1 传输层网络层数据链路层物理层点到点的连接定位和最佳路径媒体访问比特流传输会话层传输层网络层数据链路层物理层数据段数据分组数据帧比特流会话层传输层网络层数据链路层物理层 Total 125 Computer System Security 5 Total 125 Computer System Security 6 1

Application Presentation Session Transport Data Link Physical 数据封装 Application Header Presentation Header Session Header Transport Header Header Frame Header Data Data Data Data Data Data 0101101010110001 Application Presentation Session Transport Data Link Physical Total 125 Computer System Security 7 3.1.1 分层通信 (1) 应用层 : 是应用进程访问网络服务的窗口该层直接为网络用户或应用程序提供各种各样的网络服务, 是计算机网络与最终用户间的接口应用层提供的网络服务包括 : 文件服务打印服务报文服务目录服务网络管理以及数据库服务等 (2) 表示层 : 保证了通信设备间的互操作性该层使得两台内部数据表示结构都不同的计算机能实现通信它提供了一种对不同控制码字符集和图形字符等的解释, 而这种解释是使两台设备都能以相同方式理解相同的传输内容所必需的它还负责为安全性引入的数据提供加密与解密, 以及为提高传输效率提供必需的数据压缩及解压等功能 (3) 会话层 : 是网络对话控制器, 它建立维护和同步通信设备间的交互操作, 保证每次会话都正常关闭而不会突然断开, 使用户被挂起在一旁它建立和验证用户间的连接, 包括口令和登录确认 ; 它也控制数据的交换, 决定以何种顺序将对话单元传送到传输层, 以及在传输过程的哪一点需要接收端的确认 Total 125 Computer System Security 8 (4) 传输层 : 负责整个消息从信源到信宿 ( 端到端 ) 的传递过程, 同时保证整个消息无差错按顺序地到达目的地, 并在信源和信宿的层次上进行差错控制和流量控制 (5) 网络层 : 负责数据包经过多条链路由信源到信宿的传递过程, 并保证每个数据包能成功和有效率地从出发点到达目的地为实现端到端的传递, 网络层提供两种服务 : 电路交换是在物理链路之间建立临时的连接, 每个数据包都通过该临时链路进行传输 ; 路由选择是选择数据包传输的最佳路径此时, 每个数据包都可通过不同的路由到达目的地, 然后再在目的地重新按原始顺序组装起来 (6) 数据链路层 : 从网络层接收数据, 并加上有意义的比特位形成报文头和尾部 ( 用来携带地址和其他控制信息 ) 这些附加信息的数据单元称为帧数据链路层负责将数据帧无差错地从一个站点送达下一个相邻站点, 即通过一些数据链路层协议完成在不太可靠的物理链路上实现可靠的数据传输 (7) 物理层 : 它建立在物理通信介质的基础上, 作为系统和通信介质的接口, 用来实现数据链路实体间透明的 bit 流传输为建立维持和拆除物理连接, 物理层规定了传输介质的机 3.1.2 信息格式 Total 125 Computer System Security 9 Total 125 Computer System Security 10 械特性电气特性功能特性和过程特性 CH.3 网络基础知识与 Internet 3.1 网络参考模型 OSI 3.1.1 分层通信 3.1.2 信息格式 3.2 网络互联设备 3.2.1 中继器和集线器 3.2.2 网桥 3.2.3 路由器 3.2.4 网关 3.3 LAN 技术 3.3.1 以太网和 IEEE 802.3 3.3.2 令牌环和 IEEE 802.5 3.3.3 FDDI 3.4 WAN 技术 3.4.1 WAN 基本技术 3.4.2 WAN 协议 3.5 TCP/IP 协议基础 3.5.1 TCP/IP 与 OSI 参考模型 3.5.2 网络层 (IP 层 ) 3.5.3 传输层 (TCP 和 UDP) 3.5.4 应用层协议 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 3.6.2 文件传输服务 3.6.3 电子邮件服务 3.6.4 Usenet 新闻服务 3.6.5 WWW 服务 3.6.6 网络用户信息查询服务 3.6.7 实时会议服务 3.6.8 DNS 服务 3.6.9 网管服务 3.6.10 NFS 文件系统 Total 125 Computer System Security 11 3.2 网络互联设备网络互联设备用于 LAN 的网段, 它们有四种主要的类型 : OSI 层次互连设备作用物理层中继器在电缆段间复制比特数据链路层网桥在 LAN 之间存储转发帧网络层路由器在不同的网络间存储转发分组运输层及以上网关提供不同体系间互连接口 Total 125 Computer System Security 12 2

物理层数据链路层 3.2.1 中继器和集线器中继器的主要功能在于延长电缆的有效连接长度, 因为在传输过程中信号的衰减会限制电缆的有效连接长度此外, 中继器还能起到改变以太网的拓扑结构的作用集线器 (Hub) 与中继器类似, 是能集中完成多台设备连接的专用设备网络层 Total 125 Computer 传输层及以上层 System Security 13 Total 125 Computer System Security 14 3.2.2 网桥网桥 (Bridge) 是一种在数据链路层实现互联的存储转发设备网桥从一个网段将数据帧段转发至另一个网段网桥工作在 OSI 参考模型的数据链路层 3.2.3 路由器路由器实现网络互联是发生在网络层主要功能有路由选择, 多路重发以及出错检测等路由器技术综述 CISCO 路由器安全配置 Total 125 Computer System Security 15 Total 125 Computer System Security 16 3.2.4 网关网关 (Gateway) 实现的网络互联发生在网络层之上, 它是网络层以上的互联设备的总称目前, 典型的网络结构通常是由一主干网和若干段子网组成, 主干网与子网之间通常选用路由器进行连接, 子网内部往往有若干个 LAN, 这些 LAN 之间采用中继器或网桥来进行连接校园网公用交换网卫生网络和综合业务数字网络等, 一般都采用网关进行互联网络互联设备 - 交换机交换技术是一个具有简化低价高性能和高端口密集特点的交换产品, 体现了桥接技术的复杂交换技术在 OSI 参考模型的第二层操作与桥接器一样, 交换机按每一个包中的 MAC 地址相对简单地决策信息转发而这种转发决策一般不考虑包中隐藏的更深的其他信息与桥接器不同的是交换机转发延迟很小, 操作接近单个 LAN 性能, 远远超过了普通桥接互联网络之间的转发性能 Total 125 Computer System Security 17 Total 125 Computer System Security 18 3

三种交换技术 1. 端口交换端口交换技术最早出现在插槽式的集线器中, 这类集线器的背板通常划分有多条以太网段 ( 每条网段为一个广播域 ), 不用网桥或路由连接, 网络之间是互不相通的以太主模块插入后通常被分配到某个背板的网段上, 端口交换用于将以太模块的端口在背板的多个网段之间进行分配平衡根据支持的程度, 端口交换还可细分为 : 模块交换 ; 端口组交换 ; 端口级交换. Total 125 Computer System Security 19 2. 帧交换帧交换是目前应用最广的 LAN 交换技术, 它通过对传统传输媒介进行微分段, 提供并行传送的机制, 以减小冲突域, 获得高的带宽对网络帧的处理方式一般有 : 直通交换 : 提供线速处理能力, 交换机只读出网络帧的前 14 个字节, 便将网络帧传送到相应的端口上存储转发 : 通过对网络帧的读取进行验错和控制 Total 125 Computer System Security 20 3. 信元交换 ATM 技术代表了网络和通讯技术发展的未来方向, 也是解决目前网络通信中众多难题的一剂良药 ATM 采用固定长度 53 个字节的信元交换由于长度固定, 因而便于用硬件实现 ATM 采用专用的非差别连接, 并行运行, 可以通过一个交换机同时建立多个节点, 但并不会影响每个节点之间的通信能力 ATM 还容许在源节点和目标节点间建立多个虚拟链接, 以保障足够的带宽和容错能力 ATM 采用了统计时分电路进行复用, 因而能大大提高通道的利用率 ATM 的带宽可以达到 25M 155M 622M 甚至数 Gb 的传输能力 Total 125 Computer System Security 21 LAN 交换机分类 LAN 交换机根据使用的网络技术可以分为 : 以大网交换机 ; 令牌环交换机 ; FDDI 交换机 ; ATM 交换机 ; 快速以太网交换机等若按交换机应用领域来划分, 可分为 : 台式交换机 ; 工作组交换机 ; 主干交换机 ; 企业交换机 ; 分段交换机 ; 端口交换机 ; 网络交换机等 Total 125 Computer System Security 22 (1) 交换端口的数量 ; (2) 交换端口的类型 ; (3) 系统的扩充能力 ; (4) 主干线连接手段 ; (5) 交换机总交换能力 ; 选择交换机的注意事项 (6) 是否需要路由选择能力 ; (7) 是否需要热切换能力 ; (8) 是否需要容错能力 ; (9) 能否与现有设备兼容, 顺利衔接 ; (10) 网络管理能力 Total 125 Computer System Security 23 交换机应用中值得注意的问题 1. 交换机网络中的瓶颈问题 2. 网络中的广播帧 3. 虚拟网的划分虚拟网是交换机的重要功能, 通常虚拟网的实现形式有三种 : 静态端口分配动态虚拟网多虚拟网端口配置 Total 125 Computer System Security 24 4

地址学习数据的转发交换机环的处理交换机应用 CISCO3550 交换机配置手册交换机地址学习交换机是通过 MAC 地址来转发数据包的, 在交换机内部维护着一张 MAC 地址表刚开始交换机的 MAC 地址表是空的 MAC 地址表 A B 0260.8c01.1111 E0 E1 0260.8c01.3333 C E2 E3 D 0260.8c01.2222 0260.8c01.4444 Total 125 Computer System Security 25 Total 125 Computer System Security 26 地址学习 1 当工作站 A 发送数据给工作站 C 时, 源地址 A 就被记录下来, 对应的接口是 E0 因为交换机的 MAC 地址表中没有目的地址 C 的对应记录, 所以交换机就会往所有的接口转发这个数据包 MAC 地址表 A 0260.8c01.1111 C 0260.8c01.2222 E0 E2 E0: 0260.8c01.1111 0260.8c01.3333 0260.8c01.4444 Total 125 Computer System Security 27 E1 E3 B D 地址学习 2 通过一段时间的学习以后, 在交换机中就会形成一张比较完整的 MAC 地址表表中指明每个 MAC 地址所对应的接口 A 0260.8c01.1111 C 0260.8c01.2222 MAC 地址表 E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 E3: 0260.8c01.4444 E0 E2 0260.8c01.3333 0260.8c01.4444 Total 125 Computer System Security 28 E1 E3 B D 数据的转发当工作站 A 发送数据给工作站 C 时, 交换机检查数据分组的目的地地址, 在找到对应的 MAC 地址项以后, 数据分组从对应的接口 E2 转发出去, 其它接口不转发 MAC 地址表广播的转发交换机不具有过滤广播的功能, 交换机在接受到一个广播分组时, 会往所有的接口转发这个广播 MAC 地址表 A E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 E3: 0260.8c01.4444 B A 广播 E0: 0260.8c01.1111 E2: 0260.8c01.2222 E1: 0260.8c01.3333 E3: 0260.8c01.4444 B 0260.8c01.1111 C 0260.8c01.2222 E0 E2 X X E1 E3 0260.8c01.3333 D 0260.8c01.4444 0260.8c01.1111 C 0260.8c01.2222 E0 E2 E1 E3 0260.8c01.3333 D 0260.8c01.4444 Total 125 Computer System Security 29 Total 125 Computer System Security 30 5

冗余拓扑冗余拓扑可以消除单点故障引起的网络无法通讯但是冗余拓扑也会引起广播风暴路由表不稳定等问题主机 X 路由器 Y 网段 1 广播风暴因为交换机不具有过滤广播的功能, 当有一个广播进入交换机环时, 就会引起广播风暴主机 X 广播路由器 Y 网段 1 交换机 A 广播交换机 B 网段 2 Total 125 Computer System Security 31 网段 2 Total 125 Computer System Security 32 CH.3 网络基础知识与 Internet 3.1 网络参考模型 OSI 3.1.1 分层通信 3.1.2 信息格式 3.2 网络互联设备 3.2.1 中继器和集线器 3.2.2 网桥 3.2.3 路由器 3.2.4 网关 3.3 LAN 技术 3.3.1 以太网和 IEEE 802.3 3.3.2 令牌环和 IEEE 802.5 3.3.3 FDDI 3.4 WAN 技术 3.4.1 WAN 基本技术 3.4.2 WAN 协议 3.5 TCP/IP 协议基础 3.5.1 TCP/IP 与 OSI 参考模型 3.5.2 网络层 (IP 层 ) 3.5.3 传输层 (TCP 和 UDP) 3.5.4 应用层协议 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 3.6.2 文件传输服务 3.6.3 电子邮件服务 3.6.4 Usenet 新闻服务 3.6.5 WWW 服务 3.6.6 网络用户信息查询服务 3.6.7 实时会议服务 3.6.8 DNS 服务 3.6.9 网管服务 3.6.10 NFS 文件系统 Total 125 Computer System Security 33 3.3 LAN 技术目前, 流行的 LAN 主要有三种 : 以太网 (Ethernet) 令牌环网 (Token Ring) FDDI( 光纤分布式数据接口 ) Total 125 Computer System Security 34 LAN 连接拓扑使用 LAN 协议 802.3 Ethernet Token Ring 等一般是网络设备直接连接 : 总线型环型 Total 125 Computer System Security 35 星型扩展星型 Total 125 Computer System Security 36 6

3.3.1 以太网和 IEEE 802.3 以太网是由施乐公司于七十年代开发,IEEE 802.3 发表于 1980 年, 它是以以太网作为技术基础的如今以太网和 IEEE 802.3 占据了 LAN 市场的最大份额, 而以太网通常指所有采用载波监听多路访问 / 冲突检测 (CSMA/CD) 的 LAN, 包括 IEEE 802.3 物理连接 IEEE 802.3 规定了几种不同类型的物理层, 而以太网仅仅定义了一种物理层, 每一种 IEEE 802.3 物理层协议都有一个概括它们自身特点的名称数据帧格式 Frame Check Sequence Start Of Format contro Total 125 Computer System Security 37 Total 125 Computer System Security 38 LAN 的数据链路层拆分成两个子层, 即逻辑链路控制 LLC (Logical Link Control) 子层媒体接入控制 MAC (Medium Access Control) 子层与接入到传输媒体有关的内容都放在 MAC 子层, 而 LLC 子层则与传输媒体无关, 不管采用何种协议的 LAN 对 LLC 子层来说是都透明的 MAC 层的硬件地址在 LAN 中, 硬件地址又称为物理地址或 MAC 地址名字指出我们所要寻找的那个资源, 地址指出那个资源在何处, 路由告诉我们如何到达该处严格地讲, 名字应当与系统的所在地无关 802 标准所说的地址严格地讲应当是每一个站的名字或标识符 Total 125 Computer System Security 39 Total 125 Computer System Security 40 24 bits 组织标识 00 60 2F2 CISCO MAC 地址 24 bits 系列号 3D D 07 BA 设备编号 Total 125 Computer System Security 41 Linux 系统获得 MAC 地址的方法典型地, 在 Linux 系统中, 以太网的地址称为 eth0 为找到以太网设备的 MAC 地址, 首先你必须成为超级用户, 即 root, 这一过程可通过使用 su 命令实现然后键入 ifconfig -a 并查看返回信息例如 : # ifconfig -a eth0 Link encap:ethernet HWaddr 00:60:08:C4:99:AA inet addr:131.225.84.67 Bcast:131.225.87.255 Mask:255.255.248.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:15647904 errors:0 dropped:0 overruns:0 TX packets:69559 errors:0 dropped:0 overruns:0 Interrupt:10 Base address:0x300 注意 :MAC 地址就是第一行 Hwaddr 所列的地址, 本例中为 : 00:60:08:C4:99:AA Total 125 Computer System Security 42 7

Windows 系统获得 MAC 地址的方法 Windows 95 /98 若安装了 TCP/IP 协议, 则先单击开始, 然后点击运行, 然后再在输入栏键入 winipcfg 运行 winipcfg 一旦程序运行, 标注 Adapter Address 的栏目就是要找的 MAC 地址 Windows NT 若安装了 TCP/IP 协议, 则在 MS-DOS shell 窗口中, 运行 ipconfig /all 命令, 将显示你需要的 MAC 地址 Windows 2000 若安装了 TCP/IP 协议, 则在命令行窗口中, 运行 ipconfig /all 命令, 将显示你需要的 MAC 地址和其他一些信息, 比如机器名等 Total 125 Computer System Security 43 现在 IEEE 的注册管理委员会 RAC (Registration Authority Committee) 是 LAN 全球地址的法定管理机构, 它负责分配地址字段的六个字节中的前三个字节 ( 即高位 24bit) 世界上凡要生产 LAN 网卡的厂家都必须向 IEEE 购买由这三个字节构成的一个号 ( 即地址块 ), 这个号的正式名称是机构惟一标识符 OUI (Organizationally Unique Identifier), 通常也叫做公司标识符 (company_id) 目前的价格是 1250 美元买一个地址块例如,3Com 公司生产的网卡的 MAC 地址的前六个字节是 02-60-8C 1 地址字段中的后三个字节 ( 即低位 24bit) 则是由厂家自行指派, 称为扩展标识符 (extended identifier), 只要保证生产出的网卡没有重复地址即可 Total 125 Computer System Security 44 LAN 上发往本站的帧类型 : 单播 (unicast) 帧 ( 一对一 ): 收到的帧的 MAC 地址与本站的硬件地址相同两种不同的 MAC 帧格式以太网的 MAC 帧格式有两种 :DIX Ethernet V2 标准和 IEEE 的 802.3 标准下图给出了这两种不同 MAC 帧格式广播 (broadcast) 帧 ( 一对全体 ): 发送给所有站点的帧 ( 全 1 地址 ) 多播 (multicast) 帧 ( 一对多 ): 发送给一部分站点的帧 Total 125 Computer System Security 45 Total 125 Computer System Security 46 IEEE 802.3 标准规定的 MAC 帧和以太网 V2 的 MAC 帧的区别 : (1) 第三个字段是长度 / 类型字段根据长度 / 类型字段的数值大小, 这个字段可表示 MAC 客户数据字段的长度 ( 注意 : 不是整个数据帧的长度 ), 也可等同于以太网 V2 的类型字段 (2) 当长度 / 类型字段表示类型时,802.3 的 MAC 帧和以太网 V2 的 MAC 帧一样, 它的 MAC 客户数据字段装的是来自 IP 层的 IP 数据报从 MAC 子层向下传到物理层时还要在帧的前面插入八个字节 ( 由硬件生成 ), 它由两个字段构成第一个字段共七个字节, 称为前同步码 (1 和 0 交替的码 ) 前同步码的作用是使接收端在接收 MAC 帧时能迅速实现比特同步第二个字段是帧开始定界符, 定义为 10101011, 表示在这后面的信息就是 MAC 帧了 Total 125 Computer System Security 47 3.3.2 令牌环和 IEEE 802.5 令牌的传递 : 令牌环传递网络的主要特点是在网络上传递一个比较小的数据帧, 即令牌, 若网络上的某个节点拥有令牌, 就表示它拥有传输数据的权力若一个接到令牌的网络站点没有数据需要传递时, 令牌就被简单地传递到下一个网络站点, 在允许的最大时间范围内可将令牌保留在手中物理连接优先级 : 网络站点优先权决定了它能俘获令牌的概率, 只有网络站点的优先权等于或高于令牌包含的优先权值时, 该网络站点才能俘获令牌错误管理机制 : 令牌环网络采用多种机制来检测和恢复网络中产生的错误 Total 125 Computer System Security 48 8

3.3.3 FDDI 光纤分布式数据接口 (FDDI) 标准是由 ANSI X3T9.5 标准委员会在八十年代中期制定的它规定了传输速度为 100Mbps 采用令牌传递方式, 以及使用光纤作为介质的双环 LAN FDDI 技术最重要的特征之一就是采用光纤作为传输介质, 其优点包括安全性可靠性以及传输速度等方面较传统的介质要好得多 FDDI 标准 :FDDI 的规范说明包括下列四个单独部分 : (1) 介质访问控制 (MAC) (2) 物理层协议 (PHY) (3) 物理层介质 (PHM) (4) 站点管理 (SMT) 物理连接 FDDI 规定采用双环连接, 其中一个环作为主环, 通常用于数据传输, 另一个作为副环, 作为备份双环上数据的传输是互为反向的 Total 125 Computer System Security 49 CH.3 网络基础知识与 Internet 3.1 网络参考模型 OSI 3.1.1 分层通信 3.1.2 信息格式 3.2 网络互联设备 3.2.1 中继器和集线器 3.2.2 网桥 3.2.3 路由器 3.2.4 网关 3.3 LAN 技术 3.3.1 以太网和 IEEE 802.3 3.3.2 令牌环和 IEEE 802.5 3.3.3 FDDI 3.4 WAN 技术 3.4.1 WAN 基本技术 3.4.2 WAN 协议 3.5 TCP/IP 协议基础 3.5.1 TCP/IP 与 OSI 参考模型 3.5.2 网络层 (IP 层 ) 3.5.3 传输层 (TCP 和 UDP) 3.5.4 应用层协议 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 3.6.2 文件传输服务 3.6.3 电子邮件服务 3.6.4 Usenet 新闻服务 3.6.5 WWW 服务 3.6.6 网络用户信息查询服务 3.6.7 实时会议服务 3.6.8 DNS 服务 3.6.9 网管服务 3.6.10 NFS 文件系统 Total 125 Computer System Security 50 3.4 WAN 技术 3.4.1 WAN 基本技术 1. 分组交换 (packet switching): 在发送前先将报文划分成一个个组, 加上首部信息后构成一个个分组 ( 包 ), 通过结点交换机和链路进行信息传送结点交换机的处理过程 : 将收到的分组先放入缓冲区, 再查找路由表 (routing table), 然后确定将该分组交给某个端口转发出去 2.WAN 的构成 : 由一些结点交换机以及连接这些交换机的链路组成 4.WAN 的物理编址 :WAN 中一般都采用层次结构的编址 (hierarchical addressing) 最简单的层次结构编址就是把一个用二进制数表示的主机地址划分为前后两部分, 如下图所示 : 前一部分的二进制数表示该主机所连接的分组交换机的编号, 是第一层地址后一部分的二进制数表示所连接的分组交换机的端口号, 或主机 3. Total 存储转发 125 : 存入交换机的内存中 Computer System Security 51 Total 125 Computer System Security 52 5. 下一站转发 : 分组的目的地址路由表中的路由地址 6. 源地址独立性 : 下一站转发仅依赖于分组的目的地址 7. 层次地址与路由的关系 : 路由路由表 8.WAN 中的路由 : 完整的路由路由优化 Total 125 Computer System Security 53 3.4.2 WAN 协议 1. 同步数据链路 (SDLC) 及其派生协议 SDLC 协议主要用于 IBM 的系统网络体系结构 (SNA) 环境中它基于同步机制采用了面向二进制位的操作方法 SDLC (Synchronous Data Link Control) SDLC 协议支持各种各样链路类型和网络拓扑结构, 包括点对点链路环形拓扑和总线型拓扑半双工和全双工传输设备, 以及电路交换和封包交换网络 SDLC 协议通常设有两种类型的站点, 即主动型站点和从动型站点 SDLC 协议的主动型站点与从动站点的连接可根据下面的方式进行连接 : (1) 点对点连接 (2) 多点连接 (3) 集线式连接 SDLC 协议的帧格式为 : Total 125 Computer System Security 54 9

SDLC (Synchronous( Data Link Control) 协议的帧格式 Total 125 Computer System Security 55 SDLC (Synchronous Data Link Control) 派生协议 (1)HDLC(High level Data Link Control, 高层级数据链路控制协议 ) (2)LAP(Link Access Protocol, 链路访问过程,SDLC 协议的子集 ) (3)LAPB(Link Access Protocol Balanced, 平衡电路访问过程 ) (4)QLLC 协议 ( 增强逻辑链路控制协议 ) Total 125 Computer System Security 56 2. 点对点协议点对点协议 (PPP) 的组成 PPP 提供了一种点对点链路传输数据报文的方法 PPP 协议的数据帧格式 : 3. 分组交换 X.25 X.25 是一组协议, 它规定了 WAN 如何通过公用数据网进行连接 X.25 定义的是数据终端设备 (DTE) 和数据电路设备 (DCE) 之间的接口标准 DTE 主要指用户终端或主机设备等, 而 DCE 通常指调制解调器分组交换机或其它与公用数据网连接的端口等点对点的链路控制协议点对点技术中的链路控制协议 (LCP) 提供用于建立配置维护和关闭点对点连接的方法, 与其它类型的网络协议类似, LCP 也有自己的数据帧格式, 通常情况下有如下三种协议帧 : 链路建立帧用于建立和配置数据链路链路关闭帧用于关闭数据链路链路维护帧用于管理和维护数据链路 Total 125 Computer System Security 57 Total 125 Computer System Security 58 X.25 和 ISO 参考模式数据帧格式数据帧的第三层分组由一个分组头字段和用户数据字段组成 ; 第二层分组由帧的控制字段和帧的寻址字段帧检查序列 (FCS) 字段组成 Total 125 Computer System Security 59 Total 125 Computer System Security 60 10

协议分析 X.25 第三层分组的头字段由一个通用格式标识符 (GFI) 一个逻辑通道标识符 (LCI) 和一个分组类型标识符 (PTI) 组成一个字节长的 GFI 用于指明分组头的通用格式,LCI 用于标识虚拟电路, 其长度为 3 个字节,PTI 主要用于区分 X.25 的 17 种分组类型 X.25 在第三层使用了三个虚拟电路操作过程 : (1) 建立会话 (2) 传输数据 (3) 消除会话 4. 帧中继帧中继提供一种统计复用手段, 使同一物理链路上可以有多个逻辑会话 ( 称为虚电路 ), 它提供了对带宽的灵活有效的利用帧的格式 Total 125 Computer System Security 61 Total 125 Computer System Security 62 信令协议帧中继网络中目前有三种信令协议在使用, 它们是 : (1) 本地管理接口 (LMI) (2)CCITT 标准 Q.922, 基于原始 LMI (3)ANSI 标准 TI.617, 基于原始 LMI 阻塞的防止帧中继采用如下几个方面的手段处理阻塞 : (1) 本地管理接口 (LMI): 提供一种基于 PVC (Permanent Virtual Circuit) 的简单流控机制, 当缓冲区将要满时, 可向外部设备发出一个 LMI 信息 (RNR 位置 1), 要求停发数据, 当缓冲区空时, 另一个 LMI 信息 (RNR 位置 0), 通知外部设备, 允许发送数据 (2) 直接阻塞通知, 向外部设备报告阻塞 Total 125 Computer System Security 63 CH.3 网络基础知识与 Internet 3.1 网络参考模型 OSI 3.1.1 分层通信 3.1.2 信息格式 3.2 网络互联设备 3.2.1 中继器和集线器 3.2.2 网桥 3.2.3 路由器 3.2.4 网关 3.3 LAN 技术 3.3.1 以太网和 IEEE 802.3 3.3.2 令牌环和 IEEE 802.5 3.3.3 FDDI 3.4 WAN 技术 3.4.1 WAN 基本技术 3.4.2 WAN 协议 3.5 TCP/IP 协议基础 3.5.1 TCP/IP 与 OSI 参考模型 3.5.2 网络层 (IP 层 ) 3.5.3 传输层 (TCP 和 UDP) 3.5.4 应用层协议 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 3.6.2 文件传输服务 3.6.3 电子邮件服务 3.6.4 Usenet 新闻服务 3.6.5 WWW 服务 3.6.6 网络用户信息查询服务 3.6.7 实时会议服务 3.6.8 DNS 服务 3.6.9 网管服务 3.6.10 NFS 文件系统 Total 125 Computer System Security 64 3.5 TCP/IP 协议基础互联网协议 (IP) 和传输控制协议 (TCP) 是互联网协议族中最为有名的两个协议, 其应用非常广泛, 它能够用于任何相互连接的计算机网络系统之间的通信, 对 LAN 和 WAN( 广域网 ) 都有非常好的效果 3.5.1 TCP/IP 与 OSI 参考模型 TCP/IP 协议和 OSI 模型的对应关系 TCP/IP 协议 FTP, TELNET, SMTP, RPC, SNMP, DNS, TFTP, BOOTP, HTTP TCP, UDP IP(ICMP, IGMP), (ARP, RARP) OSI 模型应用层传输层网络层 Total 125 Computer System Security 65 Total 125 Computer System Security 66 11

TCP/IP 的主要协议之间的相关性图中每个封闭的多边形对应了一个协议, 并且位于它所直接使用的协议之上如 SMTP 依赖于 TCP, 而 TCP 依赖于 IP Total 125 Computer System Security 67 Total 125 Computer System Security 68 协议说明 TELNET- 远程终端访问 HTTP- 超文本传输协议 TFTP-Trivial File Transfer Protocol 简单文件传输协议 SNMP- 简单网络管理协议 DNS- 域名解析协议 TCP- 传输控制协议 IP-- 网际互连协议 ICMP- 报文控制协议 ARP- 地址解析协议 SLIP-Serial Line Internet Protocol 串行接口协议 Total 125 Computer System Security 69 Total 125 Computer System Security 70 示 RPC- 远程过程调用 FTP- 文件传输协议 SMTP- 简单邮件传输协议 BOOTP- 自举协议 NFS/PRC- 远程文件管理协议 UDP- 用户数据报协议 IGMP-Internet Group Management Protocol 组管理协议 RARP- 逆向地址解析协议 PPP- 点到点协议 XDR-eXternal Data Representation 外部数据表 TCP/IP 最早是由美国国防部提出来的, 刚开始的时候只有美国国防部和几所比较著名的大学使用, 现在成为了 Internet 专用的基本协议 TCP/IP 只分四层 : 应用层传输层 inter 网层网络访问层 TCP/IP 的层次结构 l. 应用层 : 向用户提供一组常用的应用程序 2. 传输层 (TCP 和 UDP): 提供应用程序间的通信, 提供了可靠的传输等 (UDP 不能提供可靠的传输 ) 3. 网络层 (IP): 负责数据包的寻径功能, 以保证数据包可靠到达目标主机, 若不能到达, 则向源主机发送差错控制报文 4. 网络接口层 : 这是 TCP/IP 软件的最低层, 负责接收 IP 数据包并通过网络发送之, 或者从网络上接收物理帧, 抽出 IP 数据包, 并把它交给 IP 层 3.5.2 网络层 (IP 层 ) 将所有的低层的物理实现隐藏起来, 作用是将数据包从源主机发送出去, 并且使这些数据包独立地到达目的主机在数据包传送过程中, 即使是连续的数据包, 也可能走过不同的路径, 到达目的主机的顺序也会不同于它们被发送时的顺序 Total 125 Computer System Security 71 Total 125 Computer System Security 72 12

TCP/IP 数据流程 IP 数据包一个 IP 数据包由包头和数据体两部分组成包头由 20 字节的固定部分和变长的可选项成 Total 125 Computer System Security 73 Total 125 Computer System Security 74 TTL=255 Time To Live (TTL) TTL=254 TTL=253 TTL=252 Time To Live 是一个 IP 数据包的生命周期, 每经过一个路由器就会被减一, 当值为 0 时, 这个数据包就会被丢弃, 防止数据包无休止地传递 Total 125 Computer System Security 75 IP 地址在 Internet 中, 每台主机都有一个唯一的地址, 网关常常有不止一个地址地址由两部分组成 : 网络号和主机号这种组合是唯一的, 以使每一个 IP 地址表示 Internet 中的唯一台主机所有 IPv4 地址都是 32 位长 IPv4 地址分为五类, 平常使用的是 A,B, C 三类地址地址类型 A B C 地址形式 N.H.H.H N.N.H.H N.N.N.H Total 125 Computer System Security 76 IPv4 地址网络部分和主机部分 8,16, or 24 bits Varies with subnet mask 32 bits Host IPv4 地址的地址长度是 32 位, 分为网络部分和主机部分, 为了便于记忆, 又把它分为四部分, 每一部分 8 位, 用十进制数表示, 当中用点号隔开 Total 125 Computer System Security 77 Ethernet IP 地址的网络部分表明地址位于那个网络, 主机部分指明具体的某个设备 Total 125 Computer System Security 78 13

规则 IP 地址分类一台主机的 IP 地址网络部分必须是它所处网络的网络号 Total 125 Computer System Security 79 IP 地址根据网络大小和用途分为 5 类,A B C 类网使用在公网上,D 类为多播地址,E 类保留给科学试验 D 类和 E 类地址在公网上是不使用的 Total 125 Computer System Security 80 A 类地址 B 类地址 C 类地址 (8) 0 10 (16) 110 分类 (24) Host(24) Host(16) Host(8) 通过分析 IP 地址中的第一个 8 位数, 可以判断出这个 IP 地址属于哪一类 Total 125 Computer System Security 81 判断地址分类数值在 0~127, 属于 A 类地址数据在 128~191, 属于 B 类地址数值在 192~223, 属于 C 类地址 IP 31.11.54.34 150.2.92.8 202.12.5.10 10.11.120.4 类 A 类 B 类 C 类 A 类网络部分 31 150.2 202.12.5 10 主机部分 11.54.34 92.8 10 11.120.4 Total 125 Computer System Security 82 A 类地址 : B 类地址 : C 类地址 : 网络地址和广播地址网络地址 11.0.0.0 广播地址 11.255.255.255 150.150.0.0 150.150.255.255 201.130.6.0 201.130.6.255 每个网络都有一个网络地址和一个广播地址, 网络地址用于指明整个网络 ( 不特指某个设备 ), 广播用于发送信息给这个网络中的所有成员主机部分全部为 0 的是网络地址, 主机部分全部为 1 的是广播地址 Total 125 Computer System Security 83 子网在传统无子网的网络中, 地址的分配是按类来分的也就是说若网络比较小, 就分配一个 C 类的网络地址若是比较大的网络, 就分配 B 类地址, 而若是一个超级大网, 就分配 A 类地址按类分配地址的方式经常造成 IP 地址的浪费每个 A 类网可以容纳 1600 多万台主机,B 类可容纳 65000 多台, 多数情况下会浪费 IP 地址 Total 125 Computer System Security 84 14

划分子网无子网 Host 带子网 Subnet Host 划分子网是从原来属于主机部分的地址中, 借用一部分地址位作为子网一个无子网的网络可以划分成许多个子网子网的划分使网络管理员更有弹性地管理网络和节约 IP 地址 Total 125 Computer System Security 85 划分子网相当于把一个比较大的网络划分成多个比较小的网络能够更合理更有效地利用 IP 资源从网络管理角度说, 划分子网使管理更方便 ( 安全病 Total 125 Computer System Security 86 毒故障排除等 ) 寻址问题在 IP 寻址中, 设备和主机首先要先判断出目的地址和自己是否在同一个网络里, 若在同一个网络中, 就直接发送数据包给目的设备, 若不在同一个网络里, 设备或主机会把需要发送的数据交给网关, 由网关来转发这种工作方式要求设备能够过通过计算和比较, 最后判断出是否在同一个网络里在无子网的网络中, 要判断出是否同一个子网是比较简单的, 但是在划分了子网的网络中就很难判断出来子网掩码子网划分是由网络建设者或管理员设定的, 也就是说子网的大小没有固定 ( 不像分类地址那样有统一的大小和格式 ), 完全取决于实际需要而设定的若不知道子网的大小, 主机和网络设备是无法判断出目的地址是否与自己在同一子网, 也就无法正常地寻址和通讯我们利用在设备上设定子网掩码来告诉主机和设备子网的大小设备可以通过计算, 判断出目的地址是否跨网段 Total 125 Computer System Security 87 Total 125 Computer System Security 88 子网的网络地址和广播地址 IP:130.5.2.144 10000010 00000101 00000010 10010000 IP:130.5.2.144 10000010 00000101 00000010 10010000 掩码 :255.255.255.0 11111111 11111111 11111111 00000000 掩码 :255.255.255.0 11111111 11111111 11111111 00000000 网络部分是 130.5.2 主机部分是 144 子网掩码也是一组 32 位的数字, 配合 IP 地址可以计算出网络的大小, 进而判断目的地址是否在同一子网子网掩码中, 数值为 1 的部分是网络部分, 数值为 0 的部分是主机部分 Total 125 Computer System Security 89 网络地址是 130.5.2.0 广播地址是 130.5.2.255 子网的划分使一个网络变成多个网络, 又因为每个网络都有一个网络地址和一个广播地址, 所以使网络地址和广播地址变成有多个子网的网络地址和广播地址规则与不划子网一样主机部分全部为 0 是网络地址, 全部为 1 是广播 Total 125 Computer System Security 90 15

IP:130.5.93.144 掩码 :255.255.240.0 做数学与运算网络地址广播地址 10000010 11111111 地址计算 00000101 11111111 01011101 10010000 11110000 00000000 10000010 00000101 0101 0000 00000000 10000010 00000101 0101 1111 11111111 网络地址是 130.5.80.0 广播地址是 130.5.95.255 子网的计算是通过 IP 地址与子网掩码做与运算, 得出的就是网络地址, 把主机部分全部置 1, 得到广播地址 Total 125 Computer System Security 91 子网计算使用相同子网掩码 255.255.240.0, 130.5.129.144 130.5.145.27 和 130.5.142.30 是否在同一子网? 掩码 :255.255.240.0 IP:130.5.129.144 11111111 10000010 11111111 1111 0000 00000101 10000001 网络地址是 130.5.128.0 00000000 10010000 IP:130.5.145.27 10000010 00000101 10010001 00011011 网络地址是 130.5.144.0 IP:130.5.142.30 10000010 00000101 10001110 00011110 网络地址是 130.5.128.0 具有相同网络号的地址在同一个子网中, 所以 130.5.129.144 Total 125 与 130.5.142.30 Computer System 在同一个子网 Security 92 保留地址 10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 这三组 IP 地址在公共网络上没有被分配, 保留给私人使用, 不需要申请, 但是同时也没办法连接到公网上一种办法就是使用网络地址转换 (NAT) Total 125 Computer System Security 93 内部使用保留地址地址转换 NAT 对外使用真 IP 现在网络增长的速度是 TCP/IP 开发者未预料的, 随着网络的迅速发展,IP 资源不断减少, 为了控制地址的数量, 现在能申请到的地址很少, 一般都不够用, 使用网络地址转换能够解决这个问题 Total 125 Computer System Security 94 IP 层的其它一些协议 ICMP (Internet 控制信息协议 ) 用来传送一些关于网络和主机的控制信息如目标主机是不可到达的路由的重定向等 ARP( 地址解析协议 ) 用来将 IP 地址映射成相应的主机 MAC 地址 RARP( 反向地址解析协议 ) 用来将物理地址映射成 32 位的 IP 地址地址解析协议 (ARP) 一个设备发送数据包到目的设备, 封装的目的 IP 和 MAC 要与目的设备的 IP 和 MAC 都匹配, 才能被目的设备所接收在初始状态下, 是不知道目的设备的 MAC 地址的, 为了使数据包封装正确, 在传送数据包之前, 先使用地址解析协议去获得目的设备的 MAC 地址, 同时在内存中建立一张地址表, 把 IP 地址映射到对应的 MAC 地址, 传送数据时, 从内存中读出并做正确的封装 Total 125 Computer System Security 95 Total 125 Computer System Security 96 16

ARP 的工作访问远端网络中的 ARP 1 要到 10.10.10.4, 但内存中没有相应的 MAC 地址 2 发出 ARP 请求 3 收到 ARP 应答 4 构建地址表 10.10.10.1 ARP 请求 10.10.10.2 10.10.10.3 10.10.10.4 ARP 应答 5 再次传送时, 10.10.10.1 直接从内存读取 MAC IP 02-60-8c-01-02-03 10.10.10.2 00-00-a2-05-09-89 10.10.10.3 09-00-20-67-92-89 10.10.10.4 Total 125 Computer System Security 97 目的地在本地网络目的地不在本地网络 X X X 发 ARP 请求 X 发 ARP 请求 Y Y 发 ARP 应答路由器 A A 发 ARP 应答因为 ARP 是广播, 无法通过路由器, 所以若目的地不在本网络,ARP 请求由路由器来应答, 数据包封装的 Total 125 Computer System Security 98 目的 MAC 地址使用网关的 MAC 地址, 目的 IP 不变 Y X 代理 ARP 路由器 A 在没有使用代理 ARP 时, 主机访问远端主机, 需要预先设置默认网关,ARP 请求的目的 IP 是网关 IP 若没有预先设置默认网关,ARP 请求的目的 IP 是主机 Y 的 IP, 当路由器没有起用代理 ARP 时,ARP 请求无人应答, 当起用了代理 ARP 时, 路由器代替主机 Y 应答, 把自己的 MAC 的返回主机 X Total 125 Computer System Security 99 Y 3.5.3 传输层 (TCP 和 UDP) TCP (Transmission Control Protocol) TCP 协议, 即传输控制协议, 是一个可靠的面向连接的协议它允许在 Internet 上两台主机间信息的无差错传输 UDP (User Datagram Protocol) 无连接方式, 即 UDP 方式, 当源主机有数据时, 就发送它不管发送的数据包是否到达目标主机, 数据包是否出错, 收到数据包的主机也不会告诉发送方是否正确收到了数据, 因此, 这是一种不可靠的数据传输方式 Total 125 Computer System Security 100 TCP (Transmission( Control Protocol ) TCP 协议属于 OSI 中第四层的协议, 负责进行端到端通讯的控制具有以下三个主要功能 TCP 格式区分各种不同的服务和进程保证数据的可靠传输流量控制 TCP 的格式中有很多字段, 我们主要学习端口序列号和确认号窗口 Total 125 Computer System Security 101 Total 125 Computer System Security 102 17

端口序列号和确认号上层应用程序传输层网络层数据链路层物理层 t e l n e t 端口的使用类似于探针, 客户端发送过来一个数据包, 只要检测一下端口字段的数值, 就知道请求什么 Total 125 Computer System Security 103 服务 f t p s m t p t f t p 23 21 25 69 TCP UDP 6 17 IP Packets Frames Bits Sender Send 1 Receive 1 Ack 2 Send 2 Receive 2 Ack 3 Receiver 在 TCP/IP 传输中, 每个数据段中都包含一个序列号和确认号序列号表示自己发送的第几个数据段, 确认号用于告诉对方, 自己收到对方发送的第几个数据段确认号有个提前量为 1, 也就是把收到对方的序列号加 Total 125 Computer System Security 104 1 Sender 数据的可靠传输 Send 1 Receive 1 Ack 2 Send 2 Receive 2 Ack 3 Receiver TCP 利用序列号和确认号来保证数据的可靠传输发送端发送数据是要等待对方一个确认的信号, 若在一段时间内没有收到对方的确认, 判定为数据传输出错, 发送端会再次发送一个相同的数据端 Total 125 Computer System Security 105 3.5.4 应用层协议 Telnet, 也就是虚终端服务它允许一台主机上的用户登录进另一台远程主机, 并在远程主机中工作, 而用户当前所使用的主机好象仅仅是远程主机的一个终端 FTP, 即文件传输协议提供了一个有效的途径, 将数据从一台主机传送到另一台主机文件传输有文本和二进制两种模式文本模式用来传输文本文件, 并实现一些格式转换 SMTP, 即电子邮件服务, 使用缺省的端口 25, 以电子数据的方式, 使用户快速方便地传送信息即使相隔大洲大洋, 电子邮件也可以在短短的几分钟内到达接收方的电子信箱 HTTP, 即超文本传输协议, 用来在 WWW 服务器上取得用超文本标记语言书写的页面 Total 125 Computer System Security 106 简单的网络故障诊断介绍几种网络诊断工具 ipconfig : 显示机器的网络配置信息 (ip mac DNS 等 ) ping : 测试本机到目的地的连通行 tracert : 显示到达目的地的路径 netstat : 显示当前机器所建立的连接 nbtstat : 测试 NetBios 机器解析 ipconfig Total 125 Computer System Security 107 Total 125 Computer System Security 108 18

ping tracert Total 125 Computer System Security 109 Total 125 Computer System Security 110 tracert 原理 PING TTL=1 TTL=2 TTL=3 TTL=4 TTL=1 TTL=2 TTL=3 路由跟踪是利用了 TTL 的特性,TTL 每经过一个路由器就减一, 当为 0 时就丢弃这个数据包, 并返回源一个信息当执行路由跟踪时, 源就发出一个 ping,ttl=1, 接着发 TTL=2 TTL=3. 直到到达目的地 Total 125 Computer System Security 111 Total 125 Computer System Security 112 netstat nbtstat Total 125 Computer System Security 113 Total 125 Computer System Security 114 19

CH.3 网络基础知识与 Internet 3.1 网络参考模型 OSI 3.1.1 分层通信 3.1.2 信息格式 3.2 网络互联设备 3.2.1 中继器和集线器 3.2.2 网桥 3.2.3 路由器 3.2.4 网关 3.3 LAN 技术 3.3.1 以太网和 IEEE 802.3 3.3.2 令牌环和 IEEE 802.5 3.3.3 FDDI 3.4 WAN 技术 3.4.1 WAN 基本技术 3.4.2 WAN 协议 3.5 TCP/IP 协议基础 3.5.1 TCP/IP 与 OSI 参考模型 3.5.2 网络层 (IP 层 ) 3.5.3 传输层 (TCP 和 UDP) 3.5.4 应用层协议 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 3.6.2 文件传输服务 3.6.3 电子邮件服务 3.6.4 Usenet 新闻服务 3.6.5 WWW 服务 3.6.6 网络用户信息查询服务 3.6.7 实时会议服务 3.6.8 DNS 服务 3.6.9 网管服务 3.6.10 NFS 文件系统 Total 125 Computer System Security 115 3.6 Internet 提供的主要服务 3.6.1 远程终端访问服务 Telnet 是一种因特网远程终端访问标准它真实地模仿远程终端, 但是不具有图形功能, 它仅提供基于字符应用的访问 Telnet 允许为任何站点上的合法用户提供远程访问权, 而不需要做特殊约定 Telnet 并不是一种非常安全的服务, 虽然在登录时要求用户认证但 Telnet 发送的信息都未加密, 所以它容易被网络监听只有当远程机和本地站点之间的网络通信是安全时,Telnet 才是安全的 Total 125 Computer System Security 116 3.6.2 文件传输服务 FTP 是为进行文件共享而设计的因特网标准协议匿名 FTP 服务器的功能 : 更好更完善的日志, 它可记录装载下载或传送它的每个命令提供路径的信息, 当用户访问那个路径时, 为用户显示关于路径内容的有关信息能对用户分类对某类用户可加以限制, 如限制同时访问服务器的匿名用户的个数, 此限制可按某天什么时间或某周哪一天进行调整使用这些限制能控制 FTP 服务器的负荷在传输文件时, 具有压缩 tar 和自动处理文件的能力非匿名 chroot 访问只需限制对机器访问的用户, 这就允许建立一个特别账号访问一些文件保护匿名 FTP 区不受滥用的干扰措施 : (1) 确保入站路径只可写 (3) 预定装载 Total 125 Computer System Security 117 (2) 取消创建子路径和某些文件的权力 (4) 文件及时转移 3.6.3 电子邮件服务电子邮件是最流行和最基本的网络服务之一它的危险性相对小些, 但并不是没有风险简单邮件传输协议 (SMTP) 是收发电子邮件的一种因特网标准协议一般来说,SMTP 本身不存在安全问题, 但 SMTP 服务器则可能有安全问题发送邮件给用户所用的程序通常也应当能被任何一个接收邮件的用户所运行, 这就使它得到广泛的应用, 同时也为侵袭者提供了目标 Total 125 Computer System Security 118 3.6.4 Usenet 新闻服务 Usenet 新闻组和电子邮件具有很大的相似性, 但是它适合于多个用户之间的通讯新闻组是因特网上的公告牌, 它是为多用户对多用户通讯而设计的邮件列表也支持多对多通讯, 但效率低用户少, 原因是没有简单的办法找到列表的所有用户, 而且对每个收信者都要做信息拷贝网络新闻传输协议 (NNTP, News Transfer Protocol ) 是用来在因特网上传输新闻的 Total 125 Computer System Security 119 3.6.5 WWW 服务 WWW 即 World Wide Web, 中文称为环球信息网, 也简称为 Web, 二者实际上是同一含义创建 WWW 是为了解决 Internet 上的信息传递问题, 在 WWW 创建以前, 几乎所有的信息发布都是通过 E-mail,FTP,Archie 和 Gopher 实现的 Archie: 互联网提供的一种为 FTP 资源服务的检查工具, 具有自动采集索引分发信息的功能 Gopher: 专门用于浏览互联网资源的菜单式查询软件, 它以菜单方式显示各种资源, 用户通过菜单选择就可实现对互联网资源的远程访问 Total 125 Computer System Security 120 20

3.6.6 网络用户信息查询服务可以用 finger 和 whois 来获得网上成员的一些信息 finger 服务 : 可查询在目标主机上有账号的用户的个人信息, 而不论这个用户当前是否登录在被查询的机器上这些信息包括登录名最近在何时何地登录的情况以及用户自己提供的简介 whois 服务 : 类似于 finger, 但它可得到主机网络域及它们的管理员的信息 3.6.7 实时会议服务实时会议服务通常包括 talk IRC, 以及通过 MBONE 所有这些服务为人们提供一种相互交流的途径电子邮件和 Usenet 新闻是为促进异步通信而设计的, 即使参与者没有登录, 它们也能工作, 他们在下次登录时, 可以阅读 E-mail 信息或新闻与此相反, 实时会议服务是为在线伙伴交互式会话而设计的 talk: 因特网上最早使用的实时会议系统因特网联机聊天 (IRC): 类似于一个文化沙龙, 很多人可以利用它相互交谈 MBONE: 是新的网络服务资源, 它主要是同时扩展实时会议服务功能 Total 125 Computer System Security 121 Total 125 Computer System Security 122 3.6.8 DNS 服务名字服务是指在人们使用的主机名与机器使用的数字 IP 地址之间进行转换 3.6.9 网管服务有许多种服务软件用来管理和维护网络简单网络管理协议 (SNMP) 是为集中管理网络设备而设计的一种协议 ( 路由器网桥集中器集线器及其一些扩展设备甚至主机 ),SNMP 管理站可用 SNMP 从网络设备上查询信息, 也可用来控制网络设备的某些功能 ( 启动或关闭某个接口设置参数, 等等 ) 同时利用 SNMP, 网络设备也可以向 SNMP 管理站提供紧急信息 ( 例如, 掉线信息, 某条网线出现大量错误等 ) Total 125 Computer System Security 123 Total 125 Computer System Security 124 3.6.10 NFS 文件系统几乎所有版本的 UNIX, 都有 NFS 的存在通过 NFS 机制, 服务器端可以将自己的一部分目录或文件调出, 让多个客户主机透明地使用服务器上的文件和目录 NFS 是一个高层的协议, 构筑在一些低层协议之上协议的模型如下 : RPC: 提供了一套机制, 使得一台主应用层 NFS 机可产生一个系统调用, 调用类似于表示层 XDR 本地进程的一部分, 但实际上却是在会话层 RPC 网络中的另一台主机中执行传输层 UDP XDR (external Data Representation): 网络层 IP 表示层用于支持结构化的或数据类型与网络相关部分更为复杂的字节流的传送, 提供将要 Total 125 Computer System Security 125 传送的数据编码和解码的一系列服务 21