PPT下载
TCP知识提纲
传输层实现的是端到端的通信 网络层的点到点 某一个局域网的主机——某一个局域网的主机
端口号的概念
传输层的端口号,有两个作用,它代表的是程序地址;他还标明了上层协议
范围0~65535
- a)公有端口号0~1023 已经固定的标准公有协议所对应的端口号
- b)注册端口号1024~49151 公众所熟知,并经常使用,经过IANA注册的端口号(eg:OICQ)
- c)动态端口号49152~65535
端到端通信过程中
发送
目标端口号,是固定的 HTTP(80)HTTPS(443)
源端口号是>1023的随机端口号
回复
目标端口号,是给发送方的端口号
源端口号是,自己服务器的固定端口号(对调)
为什么源端口号一定要随机?
因为上层的应用协议有不同的会话,所以源端口号必须是随机的不重复的端口号,这样在回报的过程中,才能正确的将资源返回给指定的会话页面
windows查看端口号:netstat –ano
端口扫描
主要作用:进行信息收集
向大范围的主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务
主要工具,nmap纯命令行的工具,Zenmap图形化界面(底层就是nmap)
部署一个服务的时候,要遵行最小化安装原则(不安装无关的服务)
传输层的主要协议:可控、可靠(TCP)或不可靠(UDP)
1、可靠TCP
面向连接,双方在通信之前,一定要确保连接能够建立,数据实时交互(打电话)
-
a) 三次握手和四次挥手
-
i. 三次握手
意义:确保通信的双方能够可靠的建立连接并且传输数据
标志:SYN请求建立连接,在FLAGS字段里置位为1
-
ii. 四次挥手
意义:确保连接结束后,及时断开,释放资源
标志:FIN表示断开连接,在flag字段中
为什么断开连接一定是四次?
半关闭状态,就是为了确保双方能够将所有的数据发送完毕再断开
-
-
b) 分段和重组(让数据在传输的过程中更高效)
- i. 数据分段的依据是MSS MAX SEGMENT SIZE
- ii. MSS=MTU-网络层头部-传输层头部 1500-20-20=1460(MSS在三次握手时候就协商好了)
- iii. 数据流协议和数据报协议的区别:网络层分片的第二个原因,是因为传输层没有使用TCP协议
- iv. 重组靠序列号
-
c) 确认和重传(确保双方一定能收到对方的数据)
- i. 确认的依据是确认序列号ACKOWLEGEMENT NUMBER
- ii. 确认序列号的规律是,在SEQ的基础上加1,
eg:ACK=10表示收到序列号为9的数据,并且下一个发送10 - iii. 重传的依据:时间是往返的时间
-
d) 滑动窗口机制
滑动:窗口的值是可变的
窗口:window size规定了对方能够一次性发送的数据分段的大小 -
e) 拥塞控制机制
慢启动
2、不可靠UDP
面向无连接,双方在通信时,不要建立连接,并且只是尽力的去传送数据(没有任何可靠机制,报文及其简单)
3、TCP/UDP的区别
- a) 是否连接:面向连接/面向无连接
- b) 传输可靠性:可靠的/不可靠的
- c) 应用场合:对数据传输要求高/传输效率高,速度要求快
- d) 速度:慢/快
传输层面临的安全威胁
- 1、DOS/DDOS 拒绝服务攻击/分布式拒绝服务攻击
通过无用,无意义的数据包,连接等,占用目标主机的资源(带宽,CPU,内存资源等),以此来实现目标主机无法给正常用户提供的目标 - 2、CC攻击 也是DOS攻击的一种
- 3、TCP SYN半开连接(利用TCP三次握手机制的缺陷,利用最后一个ACK,不给最后一个回确认数据,耗尽服务器的资源)
- 4、UDP洪水攻击:攻击者通过向服务器发送大量的UDP保温,占用服务器的链路带宽,导致服务器负担过重而不能正常
- 5、针对flag字段的异常攻击,造成服务器TCP/IP协议栈处理异常
TCP SYN 半开链接 实验
-
1、ENSP搭建实验拓扑 ,三朵云,桥接V1网卡,连接XP虚拟机、win7虚拟机和KALI虚拟机
-
2、启动KALI和XP虚拟机,并且配置好网卡,IP地址,能够互相通信
-
3、KALI上输入
hping3 -q -n -a x.x.x.x -S -s 53 --keep -p 445 --flood x.x.x.x
hping3 -q -n -a 伪造源IP -S -s 伪造源端口 --keep -p 目的端口 --flood 目的IP -
4、持续监控XP的CPU利用率和抓包信息
