网络安全的协议基础.ppt

第2章 网络安全的协议基础 本章重点与难点 OSI参考模型和TCP/IP体系结构中各层的主要功能； 数据包的结构，实现数据包捕获的方式以及对数据包中数据的分析。 教学要求 理解OSI参考模型、TCP/IP体系结构和数据包的结构； 能够使用数据包捕获工具Sniffer对网络数据包进行捕获； 熟练掌握对数据包中的数据进行分析。 2.1 OSI参考模型与TCP/IP协议族 为了解决这些问题，人们迫切希望出台一个统一的国际标准。为此，国际标准化组织（international standards organization，ISO）和一些科研机构、规模大的网络公司做了大量的工作，提出了开放式系统互连参考模型(international standards organization/open system interconnect reference model)和TCP/IP体系结构。 该标准的目标是希望所有的网络系统都向此标准靠拢，消除不同系统之间因协议不同而造成的通信障碍，使得在互联网范围内，不同的网络系统可以不需要专门的转换装置就能够进行通信。 2.1.1 OSI参考模型 OSI/RM只给出了计算机网络的一些原则性说明，并不是一个具体的网络。它将整个网络的功能划分成七个层次（如图2-1）。层与层之间的联系是通过各层之间的接口来进行的，上层通过接口向下层提出服务请求，而下层通过接口向上层提供服务。 2.1.2 OSI七层模型功能简介 物理层，为数据链路层提供物理连接，在其上串行传送比特流，即所传送数据的单位是比特。此外，该层中还具有确定连接设备的电气特性和物理特性等功能。 数据链路层，负责在网络节点间的线路上通过检测、流量控制和重发等手段，无差错地传送以帧为单位的数据。为做到这一点，在每一帧中必须同时带有同步、地址、差错控制及流量控制等控制信息。 网络层，为了将数据分组从源（源端系统）送到目的地（目标端系统），网络层的任务就是选择合适的路由和交换节点，使源的传输层传下来的分组信息能够正确无误地按照地址找到目的地，并交付给相应的传输层，即完成网络的寻址功能。 传输层，传输层是高低层之间衔接的接口层。数据传输的单位是报文，当报文较长时将它分割成若干分组，然后交给网络层进行传输。传输层是计算机网络协议分层中的最关键一层，该层以上各层将不再管理信息传输问题。 2.1.2 OSI七层模型功能简介 会话层，该层对传输的报文提供同步管理服务。在两个不同系统的互相通信的应用进程之间建立、组织和协调交互。例如，确定是双工还是半双工工作。 表示层，该层的主要任务是把所传送的数据的抽象语法变换为传送语法，即把不同计算机内部的不同表示形式转换成网络通信中的标准表示形式。此外，对传送的数据加密（或解密）、正文压缩（或还原）也是表示层的任务。 应用层，该层直接面向用户，是OSI中的最高层。它的主要任务是为用户提供应用的接口，即提供不同计算机间的文件传送、访问与管理，电子邮件的内容处理，不同计算机通过网络交互访问的虚拟终端功能等。 2.1.3 TCP/IP协议族 TCP/IP也是一个分层的网络协议，不过它与OSI模型所分的层次有所不同。TCP/IP从底至顶分为网络接口层、网际层、传输层、应用层等4个层次。TCP/IP的分层情况如表2-1所示。 2.1.4 OSI参考模型与TCP/IP协议的对比 OSI参考模型与TCP/IP协议都采用了分层结构，都是基于独立的协议栈的概念。OSI参考模型有7层，而TCP/IP协议只有4层，即TCP/IP协议没有了表示层和会话层，并且把数据链路层和物理层合并为网络接口层。不过，二者的分层之间有一定的对应关系，如表2-2所示。 2.2 分组交换与数据包的结构 分组交换技术是在计算机技术发展到一定程度，人们除了打电话直接沟通，通过计算机和终端实现计算机与计算机之间的通信，在传输线路质量不高、网络技术手段还较单一的情况下，应运而生的一种交换技术。 它支持网络设备通过载波共享一个点到点连接，以将数据包从源节点传送到目的节点。网络可以通过数据报（面向非连接）和虚电路（面向连接）的方法来管理这些分组。值得注意虚电路在传送之前建立站与站之间的一条路径。这样做并不是说它向电路交换那样有一条通路，分组在每个节点上仍然需要为每个分组要缓冲，并在线路上进行输出排队。它与数据报方法之间的差别在与，各节点不需要为每个分组作路径选择判定。 2.2.1 分组交换 该分组发往何地址，然后由交换机根据每个分组的地址标志，将他们转发至目的地，这一过程称为分组交换。进行分组交换的通信网称为分组交换网。 分组交换实质上是在“存储-转发”基础上发展起来的。它兼有电路交换和报文交换的优点。分组交换在线路上采用动态复用技术传送按一定长度分割为许多小段的数据分