TCP/IP协议集
DoD模型(美国国防部模型)应用层:各类应用协议、TELNET、FTP、SMTP、DNS、HTTP……
传输层:TCP UDP
网络层:IP ARP RARP(逆向ARP协议) ICMP IGMP
网络接口:各种网络接口
传输层协议
TCP协议:可靠传输 建立会话 编号 丢包重传 流量控制 三次握手UDP协议:不可靠传输 不需要编号 不建立会话 常用于广播、多播
利用TCP会话进行攻击的方式的两个例子。LAND攻击,SYN攻击,都是向服务器请求对话的攻击。LAND使用服务器自身IP请求建立会话,SYN用编造的各类IP地址请求建立会话,使服务器等待建立会话,大量消耗服务器资源。
应用层协议与传输层协议之间的关系
HTTP=TCP+80端口HTTPS=TCP+443端口
POP3=TCP+110端口
FTP=TCP+21端口
SMTP=TCP+25端口
RDP(远程桌面服务)=TCP+3389端口
DNS=UDP+53端口 也可以是TCP+53端口
WINDOWS共享文件夹=TCP+445端口
SQLSERVER=TCP+1433端口
TELNET=TCP+23端口
服务和应用层协议之间的关系
服务运行后,就会在TCP或UDP的某个端口侦听客户端请求查看侦听端口命令netstat -a n b
服务和端口是对应的,使用端口扫描工具扫描出计算机开启的端口可以猜测该计算机对应开启的服务。
可用“TELNET IP地址 端口号”来测试对应计算机是否开启该端口
更改服务的默认端口,能够增加安全性(让入侵者不知道我们到底运行了什么服务),要注意,连接时客户端也要相应的更改。
数据包中目标IP地址定位网络中的计算机
端口定位计算机的服务,端口不能冲突
网络层协议
IP ICMP IGMP ARPIP协议是选择最佳路径的协议,是一个集合(RIP EIGRP OSPF)
ICMP协议运用最多的是大家熟悉的PING命令
ping:参数 -t 一直ping,不停止;-i 定义TTL数;-l 定义数据包大小
TTL(Time To Live):生存时间值,用于限制IP数据包在计算机网络中存在的时间,每经过一个路由器减1
根据默认TTL判断对方是什么系统(但不是绝对):Linux:64
Windows:128
UNIX:256
pathping与tracert命令:
命令格式:pathping(tracert) ip地址或域名区别:pathping计算丢包,tracert不计算机丢包
IGMP协议:组播(多播)协议,在路由器的接口上运行,周期性地扫描本网段是否有绑定某个多播地址的计算机
ARP协议:将IP地址广播解析成MAC地址
使用命令:ARP -a 查看IP地址对应的MAC地址ARP -s IP地址 MAC地址 :用于添加静态ARP
应用ARP协议的软件:网络执法官、ARP防火墙、P2P终结者、cain