New Computer Network Security · 2018. 2. 22. · COMP1049 - Bảo mật và An ninh Mạng –Network Security C2 –Part 1 - 3 HIENLTH Nội dung •Nhắc lại kiến thức về

COMP1049 - Bảo mật và An ninh Mạng – Network Security C2 – Part 1 - 1 HIENLTH

Computer Network Security

Lương Trần Hy Hiến


Chương 2:

Nhắc lại kiến thức TCP/IP


Nội dung

• Nhắc lại kiến thức về TCP/IP, IP Packet

• Trao đổi thông tin của một số giao thức TCP/IP

• Router, Switch

• DNS


Computer Network


Mô hình OSI

• Mô hình truyền thông OSI (Open System Interconnect) do tổ chức ISO (International Standards Organization) đề xuất (1982)

• Các tầng trong mô hình OSI:– Tầng ứng dụng (Application Layer)

– Tầng trình bày (Presentation Layer)

– Tầng giao dịch (Session Layer)

– Tầng vận chuyển (Transport Layer)

– Tầng mạng (Network Layer)

– Tầng liên kết dữ liệu (Data Link Layer)

– Tầng vật lý (Physical Layer)


Mô hình OSI

• Có thể chia thành 2 loại

– Application layers: liên quan tới ứng dụng

– Dataflow layers: đảm bảo việc trao đổi dữ liệu

Application Layers Application

Presentation

Session

Dataflow Layers Transport

Network

Datalink

Physical


Mô hình OSI

Application

Presentation

Session

Transport

Network

Datalink

Physical

Network

Datalink

Physical

Network

Datalink

Physical

Application

Presentation

Session

Transport

Network

Datalink

Physical

Liên kết vật lý

Liên lạc

Liên lạc

NODE

HOP


Tầng vật lý

Physical

• Vận chuyển các bit dữ liệu giữa hai node

kế cận.

1010110101010 1010110101010


Tầng liên kết dữ liệu

Data link

• Đảm bảo liên kết trực tiếp giữa hai thiết bị.

IEEE 802.01

Ethernet


Tầng mạng

Network

• Đảm bảo các gói tin đi từ máy tính này đến máy tính kia trong môi trường liên mạng


Tần vận chuyển

Transport

• Đảm bảo một liên kết giữa hai tiến trình

Process A

Process B


Tầng phiên

• Quản lý các yêu cầu giữa các ứng dụng.

• Điều khiển đối thoại và đồng bộ hóa tiến

trình.


Tầng trình bày

representation

• Chuyển đổi dữ liệu, mã hóa, nén.


Tầng ứng dụng

• Giao tiếp với người dùng, ứng dụng khác

(User-OSI).

• Cung cấp dịch vụ.

• Ví dụ: HTTP, DNS


Mô hình OSI

Nhận xét

• Cồng kềnh

• Thường dùng trong dạy học


OSI và TCP/IP


TCP/IP Layers & Protocols

LayersProtocols

Network Access = Host-to-network = Data link + Physical

Network = Internet


CÁC GIAO THỨC THÔNG DỤNG

APPLICATION HTTP, FTP, SMTP, SSL, DNS

TRANSPORT UDP, TCP

INTERNET IP, IPSEC

NETWORK ACCESS ARP


Internet Data

applicationtransportnetwork

linkphysical


linkphysical


linkphysical


linkphysical

networklink

physical

data

data


Encapsulation

Introduction

source

applicationtransportInternet

N.AccHtHn M

segment Ht

datagram

destination

applicationtransportInternet

N.AccHtHnHl M

HtHn M

Ht M

M

networkN.AccHtHnHl M

HtHn M

HtHn M

HtHnHl M

router

switch

message M

Ht M

Hn

frame


Đóng gói dữ liệu


Router – vai trò của bộ định tuyến

• Vai trò của router trong mạng nội bộ LAN (Local Area

Network):

– Kết nối các mạng nội bộ

– Giảm kích thước quảng bá – broadcast domain, để giảm các lưu

lượng mạng không cần thiết.

Router

``

`

`

``

`

`


Router – vai trò của bộ định tuyến

• Vai trò của router trong mạng diện rộng WAN (Wide

Area network): Kết nối mạng LAN với Internet.

internet

Router

``

`

`

Modem

LAN


Switch - Hub

http://bp0.blogger.com/_oQM1i8Qd1bE/RbhMFeQB09I/AAAAAAAAACM/yrKR8BKOIJ4/s1600-h/hub(1).jpg

http://bp0.blogger.com/_oQM1i8Qd1bE/RbhMFeQB09I/AAAAAAAAACM/yrKR8BKOIJ4/s1600-h/hub(1).jpg


Switch – Hub, vấn đề ?

Đụng độ


Switch - Switch

Star topology

Truyền với tốc độ tối đa

(full-duplex, dedicated access):

+ A to A’

+ B to B’

+ C to C’


Switch - Switch

http://bp1.blogger.com/_oQM1i8Qd1bE/RbhMOuQB0-I/AAAAAAAAACU/l-lE_bpYe1g/s1600-h/switch(1).jpg

http://bp1.blogger.com/_oQM1i8Qd1bE/RbhMOuQB0-I/AAAAAAAAACU/l-lE_bpYe1g/s1600-h/switch(1).jpg


Hub + switch + router


Quá trình xử lý Packet tại

switch, router và host


Tổng kết một số đặc tính của hub,

router, switch

hubs routers switches

traffic

isolation

no yes yes

plug & play yes no yes

optimal

routing

no yes no

cut

through

yes no yes


DNS – Định nghĩa

• DNS (Domain Name System)

– Là hệ thống dịch tên miền (dễ nhớ đối vớicon người) sang địa chỉ IP mà máy tính làmviệc.

• Domain

– Đối với Internet miền là tập hợp các máy tínhcó chung vị trí địa lý hay lĩnh vực kinh doanh


Các thành phần DNS

• DNS Domain Name Space

• Zones

• Name Servers

• DNS của Internet


DNS – Không gian tên miền

• DNS root (topmost level) của InternetDomain namespace được quản lý bởiInternet Corporation for Assigned Namesand Numbers (ICANN).

• Có 3 loại top-level domains tồn tại– Organization domains

– Geographical domains

– Reverse domains: có những domain đặc biệt,tên là in-addr.arpa, sử dụng cho ánh xạ từ địachỉ IP sang tên.


DNS – Không gian tên miền Internet

• 11/2000, ICANN công bố thêm 7 top-leveldomain:

– .biz

– .coop

– .info

– .museum

– .name

– .pro

– .aero



• Hệ thống DNS là một hệ thống có cấu trúcphân cấp.

– Gốc của Domain Root Domain nằm trêncùng và được kí hiệu “.”

• Root Domain (root layer): Gồm 13 siêu máytính có tốc độ cực cao.

• Top layer: bao gồm các tên miền .com, .vn,...

• Second level: có thể là subdomain (vd: .com.vn)hoặc hostname (vd: microsoft.com.)





• Công thức tổng quát của tên miền

– Hostname + Domain Name + Root• Domain Name = Subdomain. Second Level Domain. Top Level

Domain. Root



– Ví dụ

Webserver.training.microsoft.com.

– Trong đó:

Webserver là tên Host

Training là Subdomain

Microsoft là Second Level Domain

Com là Top Level Domain

Dấu chấm là Root




DNS – Không gian tên miền nội bộ

• Một tổ chức có thể có không gian tênmiền nội bộ độc lập với không gian tênmiền của Internet.

• Private name có thể không được phân giảitrên Internet.

Ví dụ: mycompany.local


Zone trong DNS

• Hệ thống tên miền được chia ra các phầnnhỏ hơn để dễ quản lý đó là các Zone.

• Primary Zone

– Một máy chủ chứa dữ liệu Primary Zone làmáy chủ có thể toàn quyền trong việc updatedữ liệu Zone.

• Secondary Zone

– Là một bản copy của Primary Zone


Name Server

• máy chủ chứa dữ liệu Primary Zone


DNS – Hoạt động


DNS – Các kiểu bản ghi

• A (host name): Địa chỉ IP -> hostname

• PTR (pointer): hostname -> địa chỉ IP

• SOA (Start Of Authority): DNS server, đầu tiên cóquyền yêu cầu trả lời DNS client

• NS (Name Server): Máy chủ quản lý DNS Zone

• CNAME: Tên thay thế (bí danh)

• MX: Xác định mail server nhận mail cho domaintương ứng

• .......


IPv4 Addressing

• 202.155.43.2

• 11001010.10011011.00101011.00000010

ID NETWORK HOST


Địa chỉ IPv4

• Đây là thông tin dùng để định danh các “thiếtbị” trên mạng.

• Gồm 4 byte (32 bits) được chia làm 2 phần:

– NetID.

– HostID.

• Subnet mask: Dùng để xác định NetID vàHostID trong địa chỉ IPv4.

• Ví dụ: 192.168.1.1/24, 172.29.70.2/16. …


Địa Chỉ IPv4 – 2

Ip Address

Subnet mask

Cấu hình IP Trong Windows


IP CLASSES

• Class A 1-126

• Class B 128-191

• Class C 192 – 223

• Class D 224 – 239

• Class E 240 – 247

• Private

– 10.0.0.0 – 10.255.255.255

– 172.16.0.0 – 172.16.255.255

– 192.168.0.0 – 192.168.255.255

– 169.254.x.y


Subnet Mask

• Class A 255.0.0.0

• Class B 255.255.0.0

• Class C 255.255.255.0

• 10100011.00011011.11100010.00001111

• 11111111.11111111.00000000.00000000

= 255.255.0.0 (subnet mask)


Subnet mask quick refernce


Subnetting

• Broadcasting

• IP: 165.134.8.123

• Network: 165.134.0.0/16

• Subnet mask: 255.255.0.0

• Broadcast: 165.134.255.255


Bài tập 1

• Công ty HPT có 5 chi nhánh. Theo yêu

cầu mỗi chi nhánh phải VLAN riêng với địa

chỉ Public IP. Biết rằng HPT có sở hữu

(thuê) dãy địa chỉ 163.134.0.0.

1. Phải sử dụng thêm bao nhiêu bits cho

subnet mask để có đủ 5 VLAN?

2. Số lượng tối đa IP thật mà mỗi office có

thể có?

Bài làm cá nhân, nộp theo link trên Module, hạn chót: 21/09/2013


SOCKET

• Cổng dịch vụ 0-65535

• Well-Known 0-1023

• Registered 1024 – 49151

• Dynamic 49152 - 65535

• Tổ hợp (IP, PORTs)

• HTTP:80, SMTP:25;POP3:110; FTP:20,21

• WIN SHARED: 137

• DNS:53; Telnet:23; SSL:443


TCP HEADER

0 - 15 16 - 31

Source Port Destination Port

Sequence Number

Acknowledgment number

IHL Resrved u

r

g

a

c

k

p

s

h

r

s

t

s

y

n

f

i

n

Windows size

TCP Check sume Urgent Pointer

Option


TCP FLAG

• SYN – Khởi tạo kết nối

• ACK – phản hồi

• FIN – Kết thúc phiên kết nối

• RESET – khởi tạo lại

• PUSH – chuyển dữ liệu không qua buffer

• URG – Thể hiện quyền ưu tiên của dữ liệu

• Sequence number : 32 bit sinh ra từng 4ms

• Acknowledgment number: 32 bit


IP Protocol

• ICMP - 1

• TCP - 6

• UDP - 17


Quy tắc bắt tay 3 bước


Quy tắc bắt tay 3 bước

• Bước 1

- Host A gửi segment cho Host B có: SYN =1, ACK = 0, SN = X, ACKN=0.

• Bước 2

- Sau khi nhận từ A, Host B trả lời SYN=1, ACK=1, SN=Y, ACKN=X+1

• Bước 3

- Host A gửi tiếp đến B với SYN=0, ACK=1, SN=X+1, ACKN=y+1


Kết thúc kết nối

• 1. FIN=1, ACK=1, SN=x, ACKN=y

• 2. FIN=0, ACK=1, ACKN=x+1

• 3. FIN=1, ACK=1, SN=y, ACKN=x+1

• 4. FIN=0, ACK=1, ACKN=y+1


Bài tập 2

Sau khi dùng phần mềm Sniffer để phân tích gói thông tin gửi đi từ host AGói 1:• Protocol : UDP• Destination Port : 53• Source IP : 192.168.3.8• Destination IP : 203.162.4.1Gói 2:• Protocol : TCP• Destination Port : 80• Source IP : 192.168.3.8• Destination IP : 203.162.4.1SYN=1, ACK=0

Mô tả quá trình làm việc của host A, có nhận xét gì từ Source IP của host A


IPv6

• 128 bits Address

• 8 block 16bits

• Được thể hiện ở cơ số 16

71ab:1234:0:fdac:234f:2314:acde:0

• Chuyển đổi từ IPv4 sang IPv6

• 203.123.3.6::ffff:203.123.3.6

• ::1 –loopback

• ff01::1, ff02::01 - Multicasting

• ff01::02, ff02::02 - to all Gateways


IP HEADERS

0-7 8-15 16 - 31

Version IHL Services Length

Indenfitication Flags Fragment offset

Time to Live Protocol Header checksum

Source Address

Destination Address

Options

Data


IP HEADERS

• IHL – Số word (32 bits) của Header thông thường IHL =5

• Type Of Services – chất lượng dịch vụ• Length – chiều dài headers tính theo bytes• Identification – Số thứ tự Datagram (packets)• Flags – 3 bits, 0, DF=Don’t fragment, MF = More

Fragment• Fragment Offset – Số thứ tự FM trong Datagram (bắt

đầu từ 0)• TTL – Thời gian sống tạo bởi sender và giảm dần khi đi

qua từng gateways.• Option – dữ liệu bổ sung và được chèn thêm cho đủ 32

bits


UDP Headers

0 - 15 16 - 31

S.Port D.Port

UDP Length Checksum

Data


ICMP Headers

0 - 15 16 - 31

TYPE CODE CHECKSUM

Contents


ICMP

Type Code description

0 0 echo reply (ping)

3 0 dest. network unreachable

3 1 dest host unreachable

3 2 dest protocol unreachable

3 3 dest port unreachable

3 6 dest network unknown

3 7 dest host unknown

4 0 source quench (congestion

control - not used)

8 0 echo request (ping)

9 0 route advertisement

10 0 router discovery

11 0 TTL expired

12 0 bad IP header


BÀI TẬP 3

Type Code description

0 0 echo reply (ping)

3 0 dest. network

unreachable

3 1 dest host unreachable

3 2 dest protocol

unreachable

3 3 dest port unreachable

3 6 dest network unknown

3 7 dest host unknown

4 0 source quench

(congestion control - not used)

8 0 echo request (ping)

9 0 route advertisement

10 0 router discovery

11 0 TTL expired

12 0 bad IP header

Bạn cần cấm việc dò

quét từ mạng khác theo

giao thức ICMP.

Bạn phải set lệnh deny

ICMP với tham số nào?


Packet Fragmentation

• MTU – Maximum Transmission Unit

• MDS – Maximum Datagram Size

• MSS – Maximum Segment Size

• Default MDS=576, MSS=536

• Một số MTU (bytes)

• PPP=296, Ethernet=1500

• FDDI = 4352, Token Ring 4464


ARP – Address Resolution Protocol

• MAC – Media Access Control

• MAC Address – 48 bits địa chỉ


LAN Addresses and ARPEach adapter on LAN has unique LAN address

Broadcast address =

FF-FF-FF-FF-FF-FF

= adapter

1A-2F-BB-76-09-AD

58-23-D7-FA-20-B0

0C-C4-11-6F-E3-98

71-65-F7-2B-08-53

LAN

(wired or

wireless)


LAN Address (more)

• MAC address allocation administered by IEEE

• manufacturer buys portion of MAC address space (to assure uniqueness)

• Analogy:

(a) MAC address: like Social Security Number

(b) IP address: like postal address

• MAC flat address ➜ portability

– can move LAN card from one LAN to another

• IP hierarchical address NOT portable

– depends on IP subnet to which node is attached


• Each IP node (Host, Router) on LAN has ARP table

• ARP Table: IP/MAC address mappings for some LAN nodes< IP address; MAC address; TTL>

– TTL (Time To Live): time after which address mapping will be forgotten (typically 20 min)

ARP: Address Resolution Protocol

Question: how to determineMAC address of Bknowing B’s IP address?

1A-2F-BB-76-09-AD

58-23-D7-FA-20-B0

0C-C4-11-6F-E3-98

71-65-F7-2B-08-53

LAN

137.196.7.23

137.196.7.78

137.196.7.14

137.196.7.88


ARP protocol: Same LAN (network)

• A wants to send datagram to

B, and B’s MAC address not

in A’s ARP table.

• A broadcasts ARP query

packet, containing B's IP

address

– Dest MAC address = FF-

FF-FF-FF-FF-FF

– all machines on LAN

receive ARP query

• B receives ARP packet,

replies to A with its (B's)

MAC address

– frame sent to A’s MAC

address (unicast)

• A caches (saves) IP-to-MAC

address pair in its ARP table

until information becomes old

(times out)

– soft state: information that

times out (goes away)

unless refreshed

• ARP is “plug-and-play”:

– nodes create their ARP

tables without intervention

from net administrator


walkthrough: send datagram from A to B via Rassume A know’s B IP address

Two ARP tables in router R, one for each IP network (LAN)

In routing table at source Host, find router 111.111.111.110 In ARP table at source, find MAC address E6-E9-00-17-BB-4B,

etc

Routing to another LAN

A

RB


Về nhà - Nhắc nhở

• Cập nhật danh sách nhóm chọn đề tài, hạn chót: Thứ tư ngày 03/10/2015 (khóa sổ).

• Hạn chót nộp bài tập – chủ nhật ngày 04/10/2015.


Q & A


THE END

Documents

New Computer Network Security · 2018. 2. 22. · COMP1049 - Bảo mật và An ninh Mạng –Network Security C2 –Part 1 - 3 HIENLTH Nội dung •Nhắc lại kiến thức về