第五章

應(yīng)用層協(xié)議安全第五章

應(yīng)用層協(xié)議安全5.1應(yīng)用層協(xié)議概述5.2

DNS協(xié)議5.3

HTTP協(xié)議5.4郵件傳輸協(xié)議安全5.5DHCP協(xié)議安全5.6FTP協(xié)議安全應(yīng)用層協(xié)議概述5.1PARTONE

5.1應(yīng)用層協(xié)議定義應(yīng)用層協(xié)議是一種面向應(yīng)用程序的通信協(xié)議，負(fù)責(zé)在網(wǎng)絡(luò)中的不同應(yīng)用程序之間傳輸數(shù)據(jù)

5.1應(yīng)用層協(xié)議分類應(yīng)用層協(xié)議主要包括以下幾種：中文名應(yīng)用層協(xié)議端口號(hào)用途域名系統(tǒng)DNS53將域名轉(zhuǎn)換為IP地址，是互聯(lián)網(wǎng)域名解析的基礎(chǔ)服務(wù)超文本傳輸協(xié)議HTTP80用于從服務(wù)器傳輸超文本到本地瀏覽器的標(biāo)準(zhǔn)協(xié)議簡(jiǎn)單郵件傳輸協(xié)議SMTP25用于發(fā)送電子郵件郵件讀取協(xié)議POP3110用于從郵件服務(wù)器上接收郵件郵件讀取協(xié)議IMAP143用于從郵件服務(wù)器上接收、讀取和管理電子郵件動(dòng)態(tài)主機(jī)配置協(xié)議DHCP67（服務(wù)器）68（客戶端）自動(dòng)分配IP地址給網(wǎng)絡(luò)中的設(shè)備文件傳輸協(xié)議FTP20（數(shù)據(jù)連接）21（控制連接）用于在網(wǎng)絡(luò)上進(jìn)行文件傳輸

5.1應(yīng)用層協(xié)議分類應(yīng)用層協(xié)議分為公用協(xié)議和專用協(xié)議公用協(xié)議由RFC文檔定義，位于公共領(lǐng)域。例如，web應(yīng)用層的協(xié)議超文本傳輸協(xié)議HTTP（RFC2616）專用協(xié)議則是不能隨意應(yīng)用于公共領(lǐng)域。例如，P2P文件共享系統(tǒng)所使用的協(xié)議屬于專用協(xié)議5.1應(yīng)用層協(xié)議重要性與挑戰(zhàn)重要性：（1）作為不同系統(tǒng)之間進(jìn)行數(shù)據(jù)交流的橋梁，應(yīng)用層協(xié)議安全性關(guān)系到個(gè)體用戶的隱私，更關(guān)系到整個(gè)系統(tǒng)和組織的穩(wěn)定運(yùn)行，以及對(duì)抵御各種惡意攻擊的能力（2）應(yīng)用層協(xié)議安全涵蓋了多個(gè)方面，包括但不限于認(rèn)證、授權(quán)、數(shù)據(jù)完整性、機(jī)密性和抗拒否認(rèn)等安全屬性5.1應(yīng)用層協(xié)議重要性與挑戰(zhàn)挑戰(zhàn)：（1）應(yīng)用層協(xié)議涉及到的安全技術(shù)復(fù)雜多樣，難以統(tǒng)一管理和維護(hù)（2）隨著攻擊手段的不斷升級(jí)，應(yīng)用層協(xié)議的安全漏洞也不斷被發(fā)現(xiàn)（3）移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興領(lǐng)域的應(yīng)用層協(xié)議安全問(wèn)題也日益凸顯DNS協(xié)議5.2PARTTWO5.2.1域名系統(tǒng)域名系統(tǒng)DNS（DomainNameSystem，DNS）由三大要素組成：（1）域：由地理位置或業(yè)務(wù)類型而聯(lián)系在一起的計(jì)算機(jī)集合（2）域名：由字符和（或）數(shù)字組成的名稱，用于替代主機(jī)的IP地址（3）域名服務(wù)器：提供域名解析服務(wù)（將域名映射IP地址）的主機(jī)5.2.1域名系統(tǒng)域名結(jié)構(gòu)：域名的實(shí)質(zhì)是標(biāo)識(shí)和定位計(jì)算機(jī)或資源層次結(jié)構(gòu)的名字，通常按照從右到左的順序，由多個(gè)標(biāo)號(hào)組成，標(biāo)號(hào)之間用點(diǎn)號(hào)（.）分隔整個(gè)域名體系是一個(gè)樹(shù)形結(jié)構(gòu)，從根域名開(kāi)始，通過(guò)一系列的子域名形成完整的域名層次結(jié)構(gòu)。域名由英文字母和數(shù)字構(gòu)成，每個(gè)子域名的長(zhǎng)度不超過(guò)63個(gè)字符，為便于記憶，建議不超過(guò)12個(gè)字符5.2.1域名系統(tǒng)域名結(jié)構(gòu)：域名由英文字母和數(shù)字構(gòu)成，每個(gè)子域名的長(zhǎng)度不超過(guò)63個(gè)字符，為便于記憶，建議不超過(guò)12個(gè)字符域名從左至右，級(jí)別由低至高排列，由多個(gè)標(biāo)號(hào)組成，標(biāo)號(hào)之間用點(diǎn)號(hào)（.）分隔，最右邊是最高級(jí)別的頂級(jí)域名。整個(gè)域名的總長(zhǎng)度不得超過(guò)255個(gè)字符各級(jí)域名由其上級(jí)域名管理機(jī)構(gòu)負(fù)責(zé)管理，頂級(jí)域名則由ICANN統(tǒng)一管理頂級(jí)域名（TLD）二級(jí)域名三級(jí)域名5.2.1域名系統(tǒng)域名結(jié)構(gòu)：如圖展示了互聯(lián)網(wǎng)域名體系的結(jié)構(gòu)，它形似一棵倒置的樹(shù)。樹(shù)的頂端是根節(jié)點(diǎn)，但并沒(méi)有具體的名稱在根節(jié)點(diǎn)下方的一級(jí)節(jié)點(diǎn)，代表了最高級(jí)別的頂級(jí)域名。由于根節(jié)點(diǎn)本身無(wú)名，所以其直接下屬的域名就被稱作頂級(jí)域名頂級(jí)域名可以繼續(xù)向下劃分，形成二級(jí)域名。隨后，可以進(jìn)一步細(xì)分為三級(jí)域名、四級(jí)域名等5.2.1域名系統(tǒng)域名服務(wù)器：是互聯(lián)網(wǎng)中的核心組件，負(fù)責(zé)將易于記憶的域名轉(zhuǎn)換為計(jì)算機(jī)能夠識(shí)別的IP地址根據(jù)它們?cè)谙到y(tǒng)中的功能，域名服務(wù)器可以分為以下四種主要類型：（1）根域名服務(wù)器：位于域名系統(tǒng)的最高層級(jí)。所有根域名服務(wù)器都存儲(chǔ)著頂級(jí)域名服務(wù)器的域名和IP地址信息。無(wú)論哪個(gè)本地域名服務(wù)器在解析互聯(lián)網(wǎng)上的域名時(shí)，如果遇到無(wú)法直接解析的情況，都會(huì)首先向根域名服務(wù)器發(fā)起查詢請(qǐng)求5.2.1域名系統(tǒng)域名服務(wù)器：是互聯(lián)網(wǎng)中的核心組件，負(fù)責(zé)將易于記憶的域名轉(zhuǎn)換為計(jì)算機(jī)能夠識(shí)別的IP地址根據(jù)它們?cè)谙到y(tǒng)中的功能，域名服務(wù)器可以分為以下四種主要類型：（2）頂級(jí)域名服務(wù)器：該類服務(wù)器專門管理注冊(cè)在其下的二級(jí)域名。當(dāng)接收到DNS查詢時(shí)，它們會(huì)提供相應(yīng)的響應(yīng)，這可能直接是查詢結(jié)果，即域名對(duì)應(yīng)的IP地址；或者指引查詢者下一步應(yīng)該聯(lián)系的域名服務(wù)器的IP地址5.2.1域名系統(tǒng)域名服務(wù)器：是互聯(lián)網(wǎng)中的核心組件，負(fù)責(zé)將易于記憶的域名轉(zhuǎn)換為計(jì)算機(jī)能夠識(shí)別的IP地址根據(jù)它們?cè)谙到y(tǒng)中的功能，域名服務(wù)器可以分為以下四種主要類型：（3）權(quán)限域名服務(wù)器：該類服務(wù)器承擔(dān)著存儲(chǔ)特定域名的DNS記錄，并提供官方認(rèn)證信息的職責(zé)。當(dāng)客戶端發(fā)起域名解析請(qǐng)求，授權(quán)域名服務(wù)器將響應(yīng)這些請(qǐng)求，提供與域名相關(guān)的詳細(xì)信息5.2.1域名系統(tǒng)域名服務(wù)器：是互聯(lián)網(wǎng)中的核心組件，負(fù)責(zé)將易于記憶的域名轉(zhuǎn)換為計(jì)算機(jī)能夠識(shí)別的IP地址根據(jù)它們?cè)谙到y(tǒng)中的功能，域名服務(wù)器可以分為以下四種主要類型：（4）本地域名服務(wù)器：這是用戶或組織在網(wǎng)絡(luò)內(nèi)部部署的DNS服務(wù)器。它通常由互聯(lián)網(wǎng)服務(wù)提供商或企業(yè)網(wǎng)絡(luò)管理員進(jìn)行設(shè)置和配置，主要作用是為本網(wǎng)絡(luò)內(nèi)的用戶設(shè)備提供域名解析服務(wù)，并且作為這些設(shè)備的首選DNS服務(wù)器5.2.1域名系統(tǒng)域名服務(wù)器：為確保域名解析服務(wù)的穩(wěn)定性，DNS系統(tǒng)將數(shù)據(jù)在多個(gè)服務(wù)器上進(jìn)行備份一個(gè)服務(wù)器作為主域名服務(wù)器，負(fù)責(zé)存儲(chǔ)和管理原始的DNS記錄。其他服務(wù)器則作為輔助域名服務(wù)器，用于數(shù)據(jù)備份在主服務(wù)器發(fā)生故障時(shí)，輔助服務(wù)器能夠接管服務(wù)，確保域名解析的連續(xù)性不受影響。主服務(wù)器會(huì)定期將更新后的DNS記錄同步到輔助服務(wù)器，而所有數(shù)據(jù)的修改和更新只能在主服務(wù)器上執(zhí)行，以此確保數(shù)據(jù)的準(zhǔn)確性和一致性。5.2.1域名系統(tǒng)域名解析過(guò)程：當(dāng)主機(jī)需要查詢域名對(duì)應(yīng)的IP地址時(shí)，它會(huì)向本地域名服務(wù)器發(fā)起查詢請(qǐng)求，這個(gè)過(guò)程通常采用如圖5-2（a）和圖5-2（b）所示的遞歸查詢的方式5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢當(dāng)根域名服務(wù)器接收到來(lái)自本地域名服務(wù)器的迭代查詢請(qǐng)求時(shí)，它將根據(jù)查詢的域名提供相應(yīng)的響應(yīng)5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢?nèi)绻蛎?wù)器擁有該域名的IP地址信息，它將直接返回這個(gè)IP地址5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢?nèi)绻鼪](méi)有這個(gè)信息，它將指導(dǎo)本地域名服務(wù)器下一步應(yīng)該向哪個(gè)域名服務(wù)器發(fā)起查詢5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢圖（a）本地域名服務(wù)器通過(guò)連續(xù)三次迭代查詢（步驟②至⑦），最終從權(quán)限域名服務(wù)器獲得了主機(jī)的IP地址5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢查詢完成后，本地域名服務(wù)器將這一結(jié)果傳遞回最初發(fā)起查詢的主機(jī)5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢整個(gè)查詢流程共涉及8個(gè)UDP數(shù)據(jù)報(bào)，用于在服務(wù)器之間傳遞查詢請(qǐng)求和響應(yīng)5.2.1域名系統(tǒng)域名解析過(guò)程：迭代查詢迭代查詢要求本地域名服務(wù)器在每次接收到根域名服務(wù)器或其他上級(jí)域名服務(wù)器的指引后，都要自行進(jìn)行下一步的查詢5.2.1域名系統(tǒng)域名解析過(guò)程：遞歸查詢?nèi)绻镜赜蛎?wù)器沒(méi)有存儲(chǔ)所查詢域名的IP地址信息，它將自動(dòng)代表主機(jī)向其他上級(jí)DNS服務(wù)器進(jìn)行查詢，而不需要主機(jī)自己進(jìn)行進(jìn)一步的查詢操作5.2.1域名系統(tǒng)域名解析過(guò)程：遞歸查詢圖（b）本地域名服務(wù)器僅需向根域名服務(wù)器發(fā)起一次查詢請(qǐng)求5.2.1域名系統(tǒng)域名解析過(guò)程：遞歸查詢隨后的查詢操作則在其他域名服務(wù)器之間依次進(jìn)行（步驟③至⑥）5.2.1域名系統(tǒng)域名解析過(guò)程：遞歸查詢?cè)诓襟E⑦，本地域名服務(wù)器從根域名服務(wù)器獲取了所需的正確地址信息。最終，在步驟⑧，本地域名服務(wù)器將查詢結(jié)果反饋給主機(jī)5.2.1域名系統(tǒng)域名解析過(guò)程：遞歸查詢整個(gè)查詢過(guò)程共使用了8個(gè)UDP數(shù)據(jù)包5.2.1域名系統(tǒng)域名解析過(guò)程：遞歸查詢遞歸查詢確保了主機(jī)不需要直接與多個(gè)DNS服務(wù)器交互，簡(jiǎn)化了查詢流程5.2.2DNS報(bào)文格式DNS報(bào)文是DNS協(xié)議中傳輸數(shù)據(jù)的基本單元，用于在客戶端和DNS服務(wù)器之間傳遞查詢請(qǐng)求和響應(yīng)信息報(bào)文的前六個(gè)字段，即事務(wù)ID（ID）、標(biāo)志（Flags）、問(wèn)題數(shù)（QDCOUNT）、回答資源記錄數(shù)（ANCOUNT）、授權(quán)資源記錄數(shù)（NSCOUNT）和額外資源記錄數(shù)（ARCOUNT），每個(gè)字段的長(zhǎng)度固定為2字節(jié)（Byte），總共占用12字節(jié)5.2.2DNS報(bào)文格式DNS報(bào)文是DNS協(xié)議中傳輸數(shù)據(jù)的基本單元，用于在客戶端和DNS服務(wù)器之間傳遞查詢請(qǐng)求和響應(yīng)信息后四個(gè)字段，即問(wèn)題部分、回答部分、權(quán)限部分和附加部分的記錄數(shù)，它們的長(zhǎng)度是可變的，取決于報(bào)文中實(shí)際包含的資源記錄的數(shù)量和類型5.2.2DNS報(bào)文格式問(wèn)題區(qū)：這是報(bào)文的起始部分，由查詢者提供，包含三個(gè)基本元素：（1）查詢域名：用戶希望查詢的域名（2）查詢類型：指定查詢的資源類型，例如A記錄、MX記錄等（3）查詢類：指定查詢的類別，通常為IN，代表Internet5.2.2DNS報(bào)文格式答案區(qū)：這個(gè)區(qū)域通常出現(xiàn)在響應(yīng)報(bào)文中，包含對(duì)問(wèn)題區(qū)提出的查詢的回答。資源記錄的形式與查詢請(qǐng)求相對(duì)應(yīng)，提供了查詢域名的IP地址或其他相關(guān)信息權(quán)威區(qū)：此區(qū)域也主要出現(xiàn)在響應(yīng)報(bào)文中，它包括與查詢域相關(guān)的權(quán)威域名服務(wù)器的信息5.2.2DNS報(bào)文格式附加信息區(qū)：這個(gè)區(qū)域提供了與問(wèn)題直接相關(guān)的一些額外信息，例如，如果查詢是關(guān)于郵件服務(wù)器的MX記錄，附加信息區(qū)可能包含指向的郵件交換服務(wù)器的A記錄5.2.2DNS報(bào)文格式在DNS響應(yīng)報(bào)文中，這四個(gè)區(qū)域共同工作，提供查詢所需的全部信息，確?？蛻舳四軌颢@得詳盡的響應(yīng)。問(wèn)題區(qū)是每個(gè)DNS查詢報(bào)文必須包含的部分，而后三個(gè)區(qū)域則根據(jù)查詢的類型和響應(yīng)的需要而出現(xiàn)5.2.4

DNS面臨的安全威脅DNS欺騙攻擊細(xì)節(jié)：數(shù)據(jù)竊聽(tīng)和篡改：DNS協(xié)議在傳輸過(guò)程中不加密，使得數(shù)據(jù)容易被截獲和修改ID猜測(cè)和請(qǐng)求預(yù)測(cè)：攻擊者通過(guò)預(yù)測(cè)技術(shù)構(gòu)造假冒的響應(yīng)名字連鎖攻擊：也稱為DNS鏈?zhǔn)浇馕龉?，是一種利用DNS協(xié)議特性的復(fù)雜攻擊手段信任服務(wù)器背叛：DNS服務(wù)器配置常由ISP提供，用戶通過(guò)DHCP自動(dòng)獲取時(shí)，ISP會(huì)分配DNS服務(wù)器地址。但若ISP的DNS服務(wù)器故障或被惡意攻擊者掌控，攻擊者可能利用信任關(guān)系漏洞，向用戶提供非法或錯(cuò)誤的DNS響應(yīng)，這種情況稱為信任服務(wù)器背叛5.2.4

DNS面臨的安全威脅DNS欺騙攻擊細(xì)節(jié)：否認(rèn)域名的存在：當(dāng)客戶端發(fā)起DNS查詢請(qǐng)求時(shí)，攻擊者可能會(huì)采用策略來(lái)操縱響應(yīng)，這種做法可以誤導(dǎo)客戶端，使其認(rèn)為所查詢的域名不存在，這種攻擊方式被稱為拒絕服務(wù)攻擊（DoS）或更具體地，域名存在性否認(rèn)攻擊通配符：DNS協(xié)議支持用星號(hào)（*）作為通配符，可簡(jiǎn)化多個(gè)子域名管理，統(tǒng)一指向郵件流量。但這也可能隱藏郵件真實(shí)來(lái)源，使驗(yàn)證復(fù)雜，增加郵件欺詐和釣魚(yú)攻擊風(fēng)險(xiǎn)5.2.5常見(jiàn)的DNS攻擊攻擊方式攻擊原理攻擊后果DNS欺騙修改DNS緩存、劫持DNS請(qǐng)求網(wǎng)絡(luò)釣魚(yú)、信息竊取DNS隱蔽信道利用DNS數(shù)據(jù)包封裝信息發(fā)送惡意指令，竊取隱私信息DNSDDoS攻擊直接耗盡服務(wù)器帶寬資源喪失網(wǎng)絡(luò)服務(wù)能力DNS反射放大攻擊間接耗盡服務(wù)器帶寬資源喪失網(wǎng)絡(luò)服務(wù)能力惡意DGA域名使用DGA生成大量惡意域名存在大量惡意域名，破壞安全性DNS攻擊對(duì)比分析：5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNS欺騙，也被稱為域名劫持，是一種網(wǎng)絡(luò)攻擊手段，它通過(guò)篡改用戶請(qǐng)求的域名對(duì)應(yīng)的IP地址，將用戶引導(dǎo)到一個(gè)偽造的、惡意的網(wǎng)站5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNS欺騙通常通過(guò)兩種主要方式實(shí)施：DNS緩存中毒和DNS信息劫持5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNS緩存中毒攻擊中，攻擊者通過(guò)非法手段篡改DNS服務(wù)器的緩存記錄，將合法域名本應(yīng)指向的IP地址更改為一個(gè)惡意IP地址，誘使用戶訪問(wèn)到一個(gè)仿冒的釣魚(yú)網(wǎng)站5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNS信息劫持攻擊并不修改DNS服務(wù)器的緩存記錄，而是在DNS服務(wù)器向用戶發(fā)送響應(yīng)之前，通過(guò)某種方式截獲并篡改用戶的DNS請(qǐng)求，使其指向惡意的IP地址5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNS隱蔽信道是通過(guò)在DNS數(shù)據(jù)包中隱藏信息實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募夹g(shù)。由于DNS主要功能非數(shù)據(jù)傳輸，常被忽視其可能用于惡意通信或數(shù)據(jù)泄露。防火墻和入侵檢測(cè)系統(tǒng)通常允許DNS流量通過(guò)，以免干擾正常連接。這種開(kāi)放性使DNS隱蔽信道成為攻擊者理想的命令與控制通道，用于秘密收發(fā)指令和數(shù)據(jù)惡意DGA域名通過(guò)周期性生成大量域名并結(jié)合快速變化的IP地址，增加隱蔽性和不可預(yù)測(cè)性，使傳統(tǒng)黑名單過(guò)濾失效，給惡意軟件檢測(cè)帶來(lái)重大挑戰(zhàn)5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNSDDoS攻擊具有特別顯著的破壞性。DNS的分布式架構(gòu)容易受到單點(diǎn)故障的影響，一旦攻擊者成功攻擊了某個(gè)根域，那么依賴于該根域的所有網(wǎng)絡(luò)服務(wù)都可能遭受連鎖反應(yīng)，導(dǎo)致整個(gè)網(wǎng)絡(luò)服務(wù)的癱瘓DNSDDoS攻擊5.2.5常見(jiàn)的DNS攻擊DNS攻擊對(duì)比分析：DNS反射放大攻擊是一種利用DNS協(xié)議特性進(jìn)行的DDoS攻擊手段，它通過(guò)利用DNS響應(yīng)包通常比請(qǐng)求包大得多的特點(diǎn)，來(lái)耗盡目標(biāo)的網(wǎng)絡(luò)資源DNS反射放大攻擊過(guò)程5.2.6DNS安全防護(hù)DNS安全防護(hù)：DNS去中心化（1）基于P2P網(wǎng)絡(luò)的DNS去中心化：設(shè)計(jì)一種基于P2P網(wǎng)絡(luò)的DNS解析系統(tǒng)，利用其分布式特性和負(fù)載均衡優(yōu)勢(shì)，所有節(jié)點(diǎn)地位平等，資源和服務(wù)分散，避免單點(diǎn)故障，增強(qiáng)對(duì)DDoS攻擊的抵御能力（2）基于區(qū)塊鏈的DNS去中心化：區(qū)塊鏈的去中心化和不可篡改特性可增強(qiáng)DNS的抗DDoS攻擊能力和記錄安全性，但也面臨兼容性問(wèn)題和“51%攻擊”風(fēng)險(xiǎn)的挑戰(zhàn)（3）基于根聯(lián)盟的DNS根去中心化：通過(guò)分散解析權(quán)限到多個(gè)子根服務(wù)器，減輕了對(duì)特定域名的攻擊風(fēng)險(xiǎn)，但仍依賴IANA，未能完全消除權(quán)力濫用風(fēng)險(xiǎn)5.2.6DNS安全防護(hù)DNS安全防護(hù)：DNS加密認(rèn)證傳統(tǒng)開(kāi)放式DNS解析缺乏數(shù)據(jù)真實(shí)性和完整性保護(hù)，易受欺騙攻擊，而DNSSec、DNSCurve、DOT和DOH等加密技術(shù)的應(yīng)用可增強(qiáng)DNS的安全性和可靠性。DNS解析限制（1）設(shè)置開(kāi)放服務(wù)器查詢權(quán)限：通過(guò)設(shè)置權(quán)限，可以限制只有合法和可信的來(lái)源才能向服務(wù)器發(fā)送請(qǐng)求，從而減少惡意DNS請(qǐng)求的數(shù)量（2）設(shè)置權(quán)威服務(wù)器響應(yīng)速率：權(quán)威域名服務(wù)器通過(guò)設(shè)置響應(yīng)速率閾值，限制同一來(lái)源的DNS查詢頻率，可有效抵御DDoS和DNS反射放大攻擊，增強(qiáng)服務(wù)器防護(hù)能力HTTP協(xié)議5.3PARTTHREE5.3.1HTTP協(xié)議發(fā)展歷程HTTP/0.9：HTTP/0.9是HTTP的第一個(gè)版本，于1991年發(fā)布只支持GET請(qǐng)求方法，響應(yīng)為HTML格式的文本，沒(méi)有請(qǐng)求頭和響應(yīng)頭。這個(gè)版本的HTTP被設(shè)計(jì)為一種簡(jiǎn)單的文件傳輸協(xié)議，它只能傳輸靜態(tài)文本文件，沒(méi)有任何動(dòng)態(tài)內(nèi)容5.3.1HTTP協(xié)議發(fā)展歷程HTTP/1.0：1996年，http1.0發(fā)布支持多種請(qǐng)求方法，包括GET、POST、PUT、DELETE等，這使得HTTP變得更加靈活引入了請(qǐng)求頭和響應(yīng)頭，這些頭部信息可以包含很多有用的數(shù)據(jù)，如內(nèi)容長(zhǎng)度、緩存控制等5.3.1HTTP協(xié)議發(fā)展歷程HTTP/1.0不足：每個(gè)請(qǐng)求都需要建立一個(gè)新的TCP連接，TCP是個(gè)重協(xié)議，這會(huì)導(dǎo)致很多的網(wǎng)絡(luò)開(kāi)銷HTTP/1.0沒(méi)有處理并發(fā)請(qǐng)求的機(jī)制，這會(huì)導(dǎo)致瀏覽器需要等待前一個(gè)請(qǐng)求完成后才能發(fā)送下一個(gè)請(qǐng)求5.3.1HTTP協(xié)議發(fā)展歷程HTTP/1.1：1997年發(fā)布通過(guò)在header中引入Connection:keep-alive，支持持久連接。它允許多個(gè)請(qǐng)求和響應(yīng)在同一個(gè)TCP連接中進(jìn)行，這避免了每個(gè)請(qǐng)求都需要建立一個(gè)新的TCP連接的問(wèn)題支持管道化技術(shù)，它可以讓瀏覽器同時(shí)發(fā)送多個(gè)請(qǐng)求，不用等待服務(wù)器返回5.3.1HTTP協(xié)議發(fā)展歷程HTTP/1.1不足：隊(duì)頭堵塞，HTTP/1.1所有的數(shù)據(jù)通信都是按次序完成的，服務(wù)器只有處理完一個(gè)請(qǐng)求，才會(huì)處理下一個(gè)請(qǐng)求，如果前面的請(qǐng)求處理特別慢，后面就會(huì)有很多請(qǐng)求排隊(duì)等著，嚴(yán)重影響整個(gè)頁(yè)面加載5.3.1HTTP協(xié)議發(fā)展歷程HTTP/2：基于Google發(fā)布的SPDY協(xié)議，HTTP/2于2015年發(fā)布減少頭部信息數(shù)據(jù)大小，通過(guò)HPACK算法將頭信息壓縮后再發(fā)送減少信息發(fā)送次數(shù)，客戶端和服務(wù)端同時(shí)維護(hù)一張頭信息表，所有字段都會(huì)存入這個(gè)表，以后請(qǐng)求只要發(fā)送不同字段即可，這樣就提高速度了5.3.1HTTP協(xié)議發(fā)展歷程HTTP/2：基于Google發(fā)布的SPDY協(xié)議，HTTP/2于2015年發(fā)布支持多路復(fù)用，通過(guò)單一連接可以發(fā)送多個(gè)的請(qǐng)求-響應(yīng)消息，不用按照順序一一對(duì)應(yīng)，這就避免了隊(duì)頭堵塞問(wèn)題，每個(gè)請(qǐng)求或回應(yīng)的所有數(shù)據(jù)包，稱為一個(gè)數(shù)據(jù)流（stream），每個(gè)數(shù)據(jù)流都有一個(gè)獨(dú)一無(wú)二的編號(hào)來(lái)區(qū)分。數(shù)據(jù)流的最小單位是幀，幀會(huì)組成消息數(shù)據(jù)包，多個(gè)消息數(shù)據(jù)包組成流，一個(gè)tcp連接里，可并發(fā)許多流5.3.1HTTP協(xié)議發(fā)展歷程HTTP/2：基于Google發(fā)布的SPDY協(xié)議，HTTP/2于2015年發(fā)布支持服務(wù)端推送，即允許服務(wù)端未經(jīng)請(qǐng)求，主動(dòng)向客戶端發(fā)送資源。從此瀏覽器告別longpolling,這可以減少瀏覽器的請(qǐng)求次數(shù)和等待時(shí)間，從而提高頁(yè)面加載速度5.3.1HTTP協(xié)議發(fā)展歷程HTTP/3：2022年發(fā)布HTTP/3采用QUIC協(xié)議，QUIC協(xié)議是一種基于UDP協(xié)議的新型協(xié)議，它可以減少連接建立的延遲和丟包率，從而提高網(wǎng)絡(luò)性能支持連接遷移，它可以讓客戶端在不同網(wǎng)絡(luò)無(wú)縫的切換，而tcp在切換網(wǎng)絡(luò)的時(shí)候要不斷的重連，無(wú)法做到那么絲滑。5.3.2HTTP報(bào)文結(jié)構(gòu)HTTP協(xié)議定義了兩種類型的報(bào)文：請(qǐng)求報(bào)文：由客戶端發(fā)起，向服務(wù)器發(fā)送的報(bào)文，用以請(qǐng)求服務(wù)器中的資源或服務(wù)，如圖(a)。響應(yīng)報(bào)文：服務(wù)器返回給客戶端的報(bào)文，包含了對(duì)客戶端請(qǐng)求的處理結(jié)果或所請(qǐng)求的資源，如圖(b)5.3.2HTTP報(bào)文結(jié)構(gòu)HTTP的請(qǐng)求報(bào)文和響應(yīng)報(bào)文均由三個(gè)主要部分組成，它們的主要區(qū)別在于開(kāi)始行的內(nèi)容不同5.3.2HTTP報(bào)文結(jié)構(gòu)開(kāi)始行：用于區(qū)分報(bào)文是請(qǐng)求還是響應(yīng)（1）請(qǐng)求報(bào)文的開(kāi)始行稱為請(qǐng)求行，包含請(qǐng)求方法、請(qǐng)求的資源URL和HTTP版本。（2）響應(yīng)報(bào)文的開(kāi)始行稱為狀態(tài)行，包含HTTP版本、狀態(tài)碼和狀態(tài)消息。開(kāi)始行的字段之間用空格分隔，行尾使用回車（CR）和換行（LF）作為結(jié)束5.3.2HTTP報(bào)文結(jié)構(gòu)首部行：包含關(guān)鍵的元信息，如瀏覽器信息、服務(wù)器信息或報(bào)文主體的屬性。首部行可以有多行，也可以沒(méi)有。每行首部行包含字段名和字段值，每行結(jié)束時(shí)使用回車和換行作為分隔。首部行結(jié)束后，有一個(gè)空行（只包含CRLF）作為首部行和實(shí)體主體之間的分隔5.3.2HTTP報(bào)文結(jié)構(gòu)實(shí)體主體：在請(qǐng)求報(bào)文中通常不使用，但在響應(yīng)報(bào)文中可能包含，如返回的HTML頁(yè)面、圖片數(shù)據(jù)等5.3.2HTTP報(bào)文結(jié)構(gòu)HTTP方法：HTTP方法定義了要對(duì)資源執(zhí)行的操作，常用的HTTP方法包括GET、POST、PUT、DELETE等，每種方法對(duì)應(yīng)不同的操作語(yǔ)義方法(操作)意義OPTION請(qǐng)求一些選項(xiàng)的信息GET請(qǐng)求讀取由URL所標(biāo)志的信息HEAD請(qǐng)求讀取由URL所標(biāo)志的信息的首部POST給服務(wù)器添加信息(例如，注釋)PUT在指明的URL下存儲(chǔ)一個(gè)文檔DELETE刪除指明的URL所標(biāo)志的資源TRACE用來(lái)進(jìn)行環(huán)回測(cè)試的請(qǐng)求報(bào)文CONNECT用于代理服務(wù)器5.3.2HTTP報(bào)文結(jié)構(gòu)HTTP響應(yīng)狀態(tài)碼：用于表示請(qǐng)求的處理結(jié)果1xx（信息性狀態(tài)碼）：表示請(qǐng)求已接收，繼續(xù)處理中2xx（成功狀態(tài)碼）：表示請(qǐng)求正常處理完畢，其中200OK是最常見(jiàn)的成功狀態(tài)碼3xx（重定向狀態(tài)碼）：表示需要進(jìn)一步操作以完成請(qǐng)求，例如301MovedPermanently或302Found4xx（客戶端錯(cuò)誤狀態(tài)碼）：表示請(qǐng)求包含錯(cuò)誤或無(wú)法被服務(wù)器理解，例如404NotFound或400BadRequest5xx（服務(wù)器錯(cuò)誤狀態(tài)碼）：表示服務(wù)器在嘗試處理請(qǐng)求時(shí)遇到錯(cuò)誤，例如500InternalServerError或503ServiceUnavailable這些狀態(tài)碼為客戶端提供了關(guān)于請(qǐng)求結(jié)果的重要信息，使得客戶端能夠根據(jù)響應(yīng)采取適當(dāng)?shù)男袆?dòng)5.3.4常見(jiàn)的HTTP協(xié)議攻擊HTTP協(xié)議默認(rèn)不加密且無(wú)狀態(tài)，服務(wù)器通過(guò)Cookie和Session技術(shù)跟蹤用戶會(huì)話。Cookie存儲(chǔ)在客戶端，隨請(qǐng)求發(fā)送；Session存儲(chǔ)在服務(wù)器端，通過(guò)SessionID關(guān)聯(lián)。但這些信息若泄露，攻擊者可能劫持或固定會(huì)話，獲取用戶信息5.3.4常見(jiàn)的HTTP協(xié)議攻擊會(huì)話劫持：是一種網(wǎng)絡(luò)攻擊手段，攻擊者通過(guò)非法途徑獲取用戶的SessionID，然后利用這個(gè)SessionID來(lái)冒充合法用戶，獲取目標(biāo)用戶的登錄會(huì)話。會(huì)話固定：是一種網(wǎng)絡(luò)攻擊技術(shù)，攻擊者引導(dǎo)受害者使用一個(gè)由攻擊者預(yù)先設(shè)定的會(huì)話標(biāo)識(shí)（SessionID）來(lái)創(chuàng)建會(huì)話5.3.4常見(jiàn)的HTTP協(xié)議攻擊會(huì)話劫持的攻擊步驟通常包括：（1）目標(biāo)用戶正常登錄網(wǎng)站。（2）登錄成功后，用戶獲得由網(wǎng)站頒發(fā)的SessionID，通常存儲(chǔ)在Cookie中。（3）攻擊者利用網(wǎng)絡(luò)嗅探、跨站腳本攻擊（XSS）等手段捕獲目標(biāo)用戶的SessionID。（4）攻擊者使用捕獲到的SessionID訪問(wèn)網(wǎng)站，冒充目標(biāo)用戶獲得合法會(huì)話網(wǎng)絡(luò)嗅探：攻擊者在網(wǎng)絡(luò)中捕獲數(shù)據(jù)包，提取其中的SessionID。XSS攻擊：攻擊者通過(guò)XSS漏洞在用戶瀏覽器中執(zhí)行惡意腳本，將用戶的Cookie等信息發(fā)送到攻擊者控制的服務(wù)器。5.3.4常見(jiàn)的HTTP協(xié)議攻擊會(huì)話固定攻擊過(guò)程通常分為以下三個(gè)階段：（1）會(huì)話建立：如圖中的第一步和第二步所示，攻擊者在目標(biāo)服務(wù)器上創(chuàng)建一個(gè)陷阱會(huì)話，并采取措施保持該會(huì)話的活躍狀態(tài)，防止其超時(shí)5.3.4常見(jiàn)的HTTP協(xié)議攻擊會(huì)話固定攻擊過(guò)程通常分為以下三個(gè)階段：（2）會(huì)話固定：如圖中的第三步所示，攻擊者將陷阱會(huì)話的SessionID傳遞給目標(biāo)用戶，使其瀏覽器接受并使用這個(gè)SessionID5.3.4常見(jiàn)的HTTP協(xié)議攻擊會(huì)話固定攻擊過(guò)程通常分為以下三個(gè)階段：（3）會(huì)話進(jìn)入：如圖中的第四步和第五步所示，攻擊者利用已經(jīng)被固定的SessionID，等待或誘導(dǎo)用戶使用該SessionID登錄，從而獲得用戶會(huì)話的訪問(wèn)權(quán)限5.3.4常見(jiàn)的HTTP協(xié)議攻擊會(huì)話固定的方法：（1）建立會(huì)話和獲取SessionID：攻擊者可以通過(guò)截取網(wǎng)絡(luò)傳輸、預(yù)測(cè)SessionID生成算法或嘗試蠻力破解等手段來(lái)獲取SessionID（2）傳遞SessionID：攻擊者可以通過(guò)在Cookie中設(shè)置SessionID、在URL參數(shù)中包含SessionID或在隱藏的表單字段中使用SessionID等方式，將陷阱會(huì)話的SessionID傳遞給用戶瀏覽器。這可能涉及利用客戶端腳本、Meta標(biāo)簽或構(gòu)造特殊的URL來(lái)實(shí)現(xiàn)（3）利用XSS漏洞：如果目標(biāo)網(wǎng)站存在跨站腳本（XSS）漏洞，攻擊者可以在網(wǎng)站上注入惡意腳本，創(chuàng)建包含隱藏SessionID的表單，誘導(dǎo)用戶提交5.3.5HTTP協(xié)議防御措施會(huì)話劫持防御措施：（1）更改Session標(biāo)識(shí)符名稱：在某些編程語(yǔ)言中，如PHP，Session的默認(rèn)Cookie名稱是PHPSESSID。通過(guò)更改Session的默認(rèn)名稱，可以使SessionID不那么容易被識(shí)別和預(yù)測(cè)，從而提高安全性（2）避免URL中的SessionID：不應(yīng)通過(guò)URL傳遞SessionID，這種做法被稱為透明化SessionID，它增加了SessionID被截獲的風(fēng)險(xiǎn)（3）使用HttpOnly標(biāo)志：設(shè)置Cookie時(shí)，將HttpOnly屬性設(shè)置為true可以阻止客戶端腳本（如JavaScript）訪問(wèn)Cookie，這有助于減少XSS攻擊導(dǎo)致的SessionID泄露（4）引入Token驗(yàn)證機(jī)制：在客戶端和服務(wù)器之間增加一個(gè)Token驗(yàn)證步驟，可以檢查請(qǐng)求的合法性5.3.5HTTP協(xié)議防御措施會(huì)話劫持防御措施：（5）使用安全的傳輸層協(xié)議：通過(guò)HTTPS來(lái)加密客戶端和服務(wù)器之間的通信，防止SessionID在傳輸過(guò)程中被截獲。（6）設(shè)置Cookie的Secure屬性：確保Cookie僅通過(guò)HTTPS傳輸，避免在不安全的HTTP連接中泄露。（7）限制Session生命周期：為Session設(shè)置合理的過(guò)期時(shí)間，減少SessionID被濫用的機(jī)會(huì)。（8）使用復(fù)雜的SessionID生成算法：采用難以預(yù)測(cè)的算法來(lái)生成SessionID，提高會(huì)話標(biāo)識(shí)的安全性。（9）監(jiān)控異常會(huì)話活動(dòng)：通過(guò)監(jiān)控系統(tǒng)檢測(cè)異常的會(huì)話行為，及時(shí)發(fā)現(xiàn)并響應(yīng)潛在的會(huì)話劫持嘗試5.3.5HTTP協(xié)議防御措施會(huì)話固定防御措施：會(huì)話建立過(guò)程中的防御措施（1）服務(wù)器控制會(huì)話標(biāo)識(shí)生成：確保服務(wù)器是會(huì)話標(biāo)識(shí)的唯一生成者，不使用用戶輸入或可預(yù)測(cè)的值（2）加強(qiáng)會(huì)話標(biāo)識(shí)的保密性：通過(guò)加密傳輸和使用強(qiáng)隨機(jī)數(shù)生成器來(lái)創(chuàng)建難以預(yù)測(cè)的會(huì)話標(biāo)識(shí)（3）檢查Referrer：對(duì)來(lái)源可疑的請(qǐng)求進(jìn)行限制，例如，當(dāng)Referrer不是來(lái)自本服務(wù)器時(shí)，拒絕會(huì)話請(qǐng)求（4）綁定會(huì)話標(biāo)識(shí)與用戶IP：將SessionID與用戶的IP地址綁定，以減少會(huì)話標(biāo)識(shí)被濫用的風(fēng)險(xiǎn)（5）避免通過(guò)GET/POST傳遞SessionID：防止SessionID通過(guò)URL泄露，不在日志和歷史記錄中留下痕跡5.3.5HTTP協(xié)議防御措施會(huì)話固定防御措施：會(huì)話固定過(guò)程中的防御措施（1）登錄后更新會(huì)話標(biāo)識(shí)：用戶登錄成功后，服務(wù)器應(yīng)生成一個(gè)新的SessionID，避免攻擊者利用舊的SessionID。（2）及時(shí)銷毀會(huì)話：確保在用戶退出或會(huì)話超時(shí)時(shí)，服務(wù)器端徹底刪除會(huì)話信息。（3）修復(fù)Web應(yīng)用漏洞：定期檢查并修復(fù)XSS、文件上傳漏洞等安全漏洞，減少攻擊者利用這些漏洞進(jìn)行會(huì)話固定的機(jī)會(huì)5.3.5HTTP協(xié)議防御措施會(huì)話固定防御措施：會(huì)話進(jìn)入過(guò)程中的防御措施（1）設(shè)置會(huì)話超時(shí)限制：為會(huì)話設(shè)置一個(gè)合理的超時(shí)時(shí)間，防止攻擊者長(zhǎng)時(shí)間維持非法會(huì)話（2）監(jiān)控會(huì)話一致性：在整個(gè)會(huì)話期間，檢查附加信息（如源IP地址、UserAgent）的一致性，如有異常，立即結(jié)束會(huì)話（3）使用安全特性：利用Cookie的HttpOnly和Secure屬性，防止客戶端腳本訪問(wèn)SessionID，并確保SessionID的安全傳輸5.3.5HTTP協(xié)議防御措施會(huì)話固定防御措施：會(huì)話進(jìn)入過(guò)程中的防御措施（4）實(shí)施多因素認(rèn)證：增加額外的安全層，如短信驗(yàn)證碼、電子郵件確認(rèn)等，以提高會(huì)話的安全性（5）會(huì)話監(jiān)控和警報(bào)：實(shí)施會(huì)話活動(dòng)監(jiān)控，對(duì)異常行為進(jìn)行警報(bào)和響應(yīng)郵件傳輸協(xié)議安全04PARTFOUR5.4.1郵件傳輸協(xié)議概述1971年，雷·湯姆林森博士奉命尋找一種電子郵箱地址的表現(xiàn)格式，他編寫(xiě)可以把一封信能夠從一臺(tái)主機(jī)發(fā)送達(dá)到另外一臺(tái)的一段小程序。于是，第一封電子郵件誕生了。雷·湯姆林森被稱為“E-Mail”之父5.4.1郵件傳輸協(xié)議概述電子郵件的發(fā)送和接收過(guò)程發(fā)送電子郵件通常涉及三個(gè)主要組件：用戶代理、發(fā)送方郵件客戶端以及接收方郵件服務(wù)器發(fā)送郵件的過(guò)程至少涉及兩種類型的郵件協(xié)議：SMTP用于發(fā)送郵件，POP3或IMAP用于接收郵件5.4.1郵件傳輸協(xié)議概述電子郵件的發(fā)送和接收過(guò)程（1）撰寫(xiě)郵件：用戶在郵件客戶端撰寫(xiě)郵件，通過(guò)SMTP發(fā)送到本地郵件服務(wù)器（2）郵件入隊(duì)：本地郵件服務(wù)器接收郵件并放入隊(duì)列（3）查找目標(biāo)：本地服務(wù)器通過(guò)DNS的MX記錄查找收件人郵件服務(wù)器地址（4）轉(zhuǎn)發(fā)郵件：本地服務(wù)器通過(guò)SMTP將郵件轉(zhuǎn)發(fā)到收件人郵件服務(wù)器（5）存儲(chǔ)郵件：收件人郵件服務(wù)器接收并存儲(chǔ)郵件（6）檢索郵件：收件人通過(guò)POP3或IMAP協(xié)議連接到郵件服務(wù)器并驗(yàn)證身份（7）查看郵件：收件人下載并查看郵件5.4.1郵件傳輸協(xié)議概述電子郵件信息的格式：兩大部分構(gòu)成（首部和主體）首部（Header）包含了郵件的元數(shù)據(jù)，提供了郵件路由和呈現(xiàn)所需的信息。首部由多行組成，每行包含一個(gè)關(guān)鍵字和隨后的具體內(nèi)容，格式為“關(guān)鍵字：內(nèi)容”主體（Body）：主體是郵件的主要內(nèi)容部分，由用戶撰寫(xiě)，可以包含純文本或格式化文本（如HTML）。主體通常在首部之后，通過(guò)空行與首部分隔首部和主體的分隔：郵件首部和主體之間通過(guò)一個(gè)空行（即兩個(gè)連續(xù)的CRLF）進(jìn)行分隔，這表明首部字段的結(jié)束和主體內(nèi)容的開(kāi)始5.4.1郵件傳輸協(xié)議概述電子郵件信息的格式：兩大部分構(gòu)成（首部和主體）常見(jiàn)的首部字段包括：From：郵件發(fā)送者的地址To：郵件接收者的地址。Cc：抄送地址，表示其他接收者也應(yīng)收到郵件副本Bcc：密送地址，與Cc類似，但其他收件人無(wú)法看到Bcc收件人Subject：郵件的主題，提供郵件內(nèi)容的簡(jiǎn)短描述Date：郵件發(fā)送的日期和時(shí)間Message-ID：郵件的唯一標(biāo)識(shí)符5.4.2郵件傳輸協(xié)議簡(jiǎn)單郵件傳輸協(xié)議SMTP：SMTP概述SMTP是運(yùn)行在TCP之上的應(yīng)用層協(xié)議，用于發(fā)送和中轉(zhuǎn)電子郵件，工作方式由RFC2821定義SMTP服務(wù)器在郵件首部添加類似郵戳的信息，記錄郵件路徑和處理時(shí)間，添加順序?yàn)閺南碌缴?.4.2郵件傳輸協(xié)議簡(jiǎn)單郵件傳輸協(xié)議SMTP：SMTP通信模型基于客戶端/服務(wù)器模型，服務(wù)器默認(rèn)監(jiān)聽(tīng)TCP25端口完整會(huì)話包括三個(gè)階段：建立連接、郵件傳輸和斷開(kāi)連接通信基于文本，命令和響應(yīng)以文本形式交換，以CRLF（\r\n）作為行結(jié)束符5.4.2郵件傳輸協(xié)議簡(jiǎn)單郵件傳輸協(xié)議SMTP：SMTP命令格式格式為：COMMAND<SP><Parameter><CRLF>命令不區(qū)分大小寫(xiě)，但參數(shù)通常區(qū)分大小寫(xiě)SMTP響應(yīng)信息：響應(yīng)信息通常只有一行，以三位數(shù)響應(yīng)代碼開(kāi)頭，后跟簡(jiǎn)短文本說(shuō)明，用于告知客戶端命令執(zhí)行情況5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例登錄網(wǎng)易郵箱，點(diǎn)擊“設(shè)置”，選擇“POP3/SMTP/IMAP”選項(xiàng)，開(kāi)啟POP3/SMTP服務(wù)，并記錄登錄授權(quán)密碼5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例下載安裝Foxmail工具，網(wǎng)址為：/en/，并創(chuàng)建網(wǎng)易郵箱將“接受服務(wù)器類型”設(shè)置為“POP3”，“POP服務(wù)器”與“SMTP服務(wù)器”中的SSL選項(xiàng)取消勾選，點(diǎn)擊創(chuàng)建5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例開(kāi)啟Wireshark，選擇“寫(xiě)郵件”，編輯郵件內(nèi)容，并發(fā)送5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例在Wireshark軟件，先輸入過(guò)濾條件smtp，獲得SMTP服務(wù)器的ip地址為：10，然后輸入過(guò)濾條件ip.addr==10，得到SMTP的基本工作流程如下5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（1）客戶端首先與SMTP服務(wù)器建立TCP連接5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（2）服務(wù)器連接成功后，向客戶端發(fā)送一個(gè)220響應(yīng)碼，表示服務(wù)器已準(zhǔn)備好進(jìn)行通信5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（3）客戶端收到服務(wù)器的響應(yīng)后，發(fā)送EHLO命令以初始化SMTP會(huì)話5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（4）服務(wù)器對(duì)EHLO命令做出響應(yīng)，返回250響應(yīng)碼，表明郵件操作的請(qǐng)求已被接受5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（5）客戶端隨后發(fā)送AUTH命令，選擇認(rèn)證方式5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（6）服務(wù)器以334響應(yīng)碼回應(yīng)，要求客戶端輸入認(rèn)證信息。客戶端輸入認(rèn)證信息后，服務(wù)器以235響應(yīng)碼確認(rèn)用戶認(rèn)證成功5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（7）客戶端通過(guò)MAILFROM命令向服務(wù)器發(fā)送發(fā)信人的郵箱地址5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（8）服務(wù)器以250響應(yīng)碼確認(rèn)命令執(zhí)行成功5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（9）客戶端通過(guò)RCPTTO命令發(fā)送收件人的郵箱地址。如果郵件需要發(fā)送給多個(gè)收件人，可以重復(fù)此命令5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（10）服務(wù)器對(duì)每個(gè)RCPTTO命令都以250響應(yīng)碼確認(rèn)請(qǐng)求已成功處理5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（11）客戶端發(fā)送DATA命令，告知服務(wù)器準(zhǔn)備開(kāi)始傳輸郵件內(nèi)容5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（12）服務(wù)器以354響應(yīng)碼回應(yīng)，表示已準(zhǔn)備好接收郵件數(shù)據(jù)5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（13）客戶端開(kāi)始向服務(wù)器傳輸郵件內(nèi)容，并以連續(xù)兩個(gè)CRLF（回車換行）序列標(biāo)記郵件內(nèi)容的結(jié)束5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（14）郵件內(nèi)容傳輸完成后，服務(wù)器以250響應(yīng)碼確認(rèn)郵件已成功接收5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（15）客戶端發(fā)送QUIT命令，請(qǐng)求結(jié)束SMTP會(huì)話5.4.2郵件傳輸協(xié)議捕獲SMTP協(xié)議：以網(wǎng)易郵箱為例（16）服務(wù)器以221響應(yīng)碼告知SMTP服務(wù)即將關(guān)閉，并結(jié)束會(huì)話。隨后，客戶端和服務(wù)器關(guān)閉TCP連接。5.4.2郵件傳輸協(xié)議郵件讀取協(xié)議POP3：POP3概述POP3是由RFC1939定義的電子郵件協(xié)議，用于離線郵件處理，客戶端下載未讀郵件到本地后通常刪除服務(wù)器上的郵件POP3通信模型基于TCP/IP的傳輸層，采用客戶端/服務(wù)器模型，服務(wù)器默認(rèn)監(jiān)聽(tīng)TCP端口110客戶端通過(guò)TCP連接發(fā)送POP3命令并接收服務(wù)器響應(yīng)5.4.2郵件傳輸協(xié)議郵件讀取協(xié)議POP3：POP3命令格式格式為：COMMAND<SP><Parameter><CRLF>命令不區(qū)分大小寫(xiě)，但參數(shù)通常區(qū)分大小寫(xiě)POP3響應(yīng)信息：響應(yīng)由一行或多行文本組成，以CRLF結(jié)束。首行以+OK（成功）或-ERR（失敗）開(kāi)頭，后跟ASCII文本提供更多信息5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例在Wireshark軟件，先輸入過(guò)濾條件pop，獲得pop服務(wù)器的ip地址為：07，然后輸入過(guò)濾條件ip.addr==07，得到POP3基本工作流程如下5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（1）客戶端通過(guò)TCP三次握手與郵件服務(wù)器建立連接，服務(wù)器在TCP110端口上監(jiān)聽(tīng)5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（2）客戶端發(fā)送USER命令，將郵箱用戶名傳遞給POP3服務(wù)器5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（3）客戶端通過(guò)PASS命令將郵箱密碼發(fā)送給服務(wù)器5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（4）用戶認(rèn)證成功后，客戶端使用STAT命令，請(qǐng)求服務(wù)器提供郵箱的統(tǒng)計(jì)信息5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（5）客戶端通過(guò)LIST命令獲取服務(wù)器上郵件的數(shù)量列表5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（6）客戶端使用RETR命令來(lái)接收郵件。接收后，可以選擇使用DELE命令將郵件標(biāo)記為刪除狀態(tài)，或者選擇保留郵件在服務(wù)器上的備份，不進(jìn)行刪除5.4.2郵件傳輸協(xié)議捕獲POP3協(xié)議：以網(wǎng)易郵箱為例（7）當(dāng)客戶端完成郵件操作后，發(fā)送QUIT命令結(jié)束會(huì)話。此時(shí)，服務(wù)器將刪除所有被標(biāo)記為刪除的郵件。如果連接意外中斷，客戶端和服務(wù)器的會(huì)話也會(huì)自動(dòng)結(jié)束5.4.2郵件傳輸協(xié)議郵件讀取協(xié)議IMAP：IMAP概述IMAP是基于RFC3501的應(yīng)用層協(xié)議，用于從本地郵件客戶端訪問(wèn)遠(yuǎn)程服務(wù)器上的郵件IMAP與POP3的區(qū)別IMAP提供更靈活的郵件處理方式，用戶可在服務(wù)器上直接查看、搜索、管理郵件，無(wú)需下載到本地IMAP支持多客戶端同步，一個(gè)客戶端的操作可實(shí)時(shí)反映到其他客戶端5.4.2郵件傳輸協(xié)議郵件讀取協(xié)議IMAP：IMAP工作模式基于TCP/IP的客戶端/服務(wù)器模式，服務(wù)器默認(rèn)監(jiān)聽(tīng)TCP143端口用戶可在服務(wù)器上標(biāo)記、移動(dòng)、搜索和刪除郵件IMAP的優(yōu)勢(shì)適合多設(shè)備同步、節(jié)省帶寬、高級(jí)郵件管理等需求用戶需確保郵件客戶端支持IMAP并正確配置5.4.2郵件傳輸協(xié)議多用途互聯(lián)網(wǎng)郵件擴(kuò)展MIME：?jiǎn)栴}背景早期電子郵件標(biāo)準(zhǔn)（RFC822和RFC2822）僅支持ASCII編碼，無(wú)法滿足用戶對(duì)多媒體內(nèi)容的需求MIME的作用MIME定義了一套編碼規(guī)則，用于處理非ASCII數(shù)據(jù)，擴(kuò)展電子郵件功能MIME的應(yīng)用和重要性MIME不僅用于電子郵件，還廣泛應(yīng)用于萬(wàn)維網(wǎng)的HTTP協(xié)議，擴(kuò)展了電子郵件的功能，滿足現(xiàn)代通信需求5.4.2郵件傳輸協(xié)議多用途互聯(lián)網(wǎng)郵件擴(kuò)展MIME：關(guān)鍵字段Content-Type：指明郵件主體的數(shù)據(jù)類型，如text/plain（純文本）、image/jpeg（JPEG圖片）等multipart類型：用于創(chuàng)建包含多個(gè)部分的復(fù)合郵件，通過(guò)boundary參數(shù)區(qū)分各部分Content-Transfer-Encoding：定義郵件內(nèi)容的傳輸編碼方式，確保多種類型數(shù)據(jù)的無(wú)縫傳輸5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略SMTP協(xié)議的安全風(fēng)險(xiǎn)：傳統(tǒng)SMTP協(xié)議缺乏數(shù)據(jù)加密，容易被第三方監(jiān)聽(tīng)和截獲郵件內(nèi)容郵件在傳輸過(guò)程中經(jīng)過(guò)多個(gè)服務(wù)器，增加了數(shù)據(jù)被截獲的風(fēng)險(xiǎn)攻擊者可通過(guò)截獲數(shù)據(jù)包恢復(fù)郵件內(nèi)容，導(dǎo)致用戶隱私和敏感數(shù)據(jù)泄露5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略SMTP協(xié)議的防范策略：使用TLS對(duì)SMTP會(huì)話進(jìn)行加密，防止數(shù)據(jù)被截獲和篡改，保護(hù)用戶隱私和數(shù)據(jù)安全使用STARTTLS是一種安全擴(kuò)展協(xié)議5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略TLS主要工作過(guò)程：（1）連接建立：客戶端與服務(wù)器建立TCP連接，告知支持的加密套件和TLS版本（2）證書(shū)和公鑰交換：服務(wù)器提供TLS/SSL證書(shū)和公鑰，客戶端驗(yàn)證證書(shū)確認(rèn)服務(wù)器身份（3）密鑰交換：客戶端使用服務(wù)器公鑰加密共享密鑰并發(fā)送給服務(wù)器（4）加密通信：雙方使用共享密鑰加密和解密郵件數(shù)據(jù)，確保傳輸安全5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略STARTTLS工作過(guò)程：（1)初始連接：客戶端首先與郵件服務(wù)器建立一個(gè)普通的TCP連接，此時(shí)通信尚未加密（2)發(fā)送STARTTLS請(qǐng)求：客戶端通過(guò)發(fā)送STARTTLS命令來(lái)請(qǐng)求服務(wù)器升級(jí)連接為加密通信5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略STARTTLS工作過(guò)程：（3)服務(wù)器響應(yīng)：如果郵件服務(wù)器支持STARTTLS，它會(huì)向客戶端發(fā)送一個(gè)響應(yīng)，表明可以開(kāi)始TLS握手過(guò)程（4)加密升級(jí)：客戶端接收到服務(wù)器的響應(yīng)后，開(kāi)始TLS握手過(guò)程，包括證書(shū)驗(yàn)證、密鑰交換等步驟，從而將連接升級(jí)為加密的TLS會(huì)話（5）加密通信：一旦TLS握手完成，客戶端和服務(wù)器間的所有后續(xù)通信都將被加密5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略POP3協(xié)議的安全風(fēng)險(xiǎn)POP3協(xié)議的安全缺陷初始設(shè)計(jì)未加密傳輸內(nèi)容，攻擊者可截獲明文數(shù)據(jù)（包括用戶名和密碼），存在嚴(yán)重安全風(fēng)險(xiǎn)POP3工作機(jī)制的安全問(wèn)題離線訪問(wèn)安全性：郵件下載到本地后無(wú)需身份驗(yàn)證即可閱讀，可能泄露敏感信息。郵件同步問(wèn)題：早期POP3下載后通常從服務(wù)器刪除，導(dǎo)致多設(shè)備用戶無(wú)法保留郵件副本；現(xiàn)代POP3雖可保留郵件，但單向工作模式不適合多設(shè)備同步需求5.4.3郵件傳輸協(xié)議的安全風(fēng)險(xiǎn)及防范策略POP3協(xié)議的安全風(fēng)險(xiǎn)及防范策略：提高POP3安全性和適應(yīng)性的措施使用加密連接：通過(guò)TLS/SSL或STARTTLS加密POP3會(huì)話改進(jìn)客戶端設(shè)計(jì)：郵件客戶端應(yīng)本地加密存儲(chǔ)郵件，并支持多設(shè)備間安全同步多端同步解決方案：考慮使用支持多端同步的協(xié)議（如IMAP）以滿足現(xiàn)代需求DHCP協(xié)議安全05PARTFIVE5.5.1DHCP協(xié)議概述DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）:是由互聯(lián)網(wǎng)工程任務(wù)組（IETF）基于RFC2131標(biāo)準(zhǔn)開(kāi)發(fā)設(shè)計(jì)的協(xié)議采用客戶機(jī)-服務(wù)器模式運(yùn)行DHCP協(xié)議在傳輸層使用UDP進(jìn)行通信DHCP服務(wù)器監(jiān)聽(tīng)67號(hào)端口，而DHCP客戶端監(jiān)聽(tīng)68號(hào)端口5.5.1DHCP協(xié)議概述DHCP主要提供以下三種IP地址分配方式：自動(dòng)分配：永久性分配，客戶端首次獲取后長(zhǎng)期保留手動(dòng)分配：管理員為特定客戶端指定固定IP地址動(dòng)態(tài)分配：臨時(shí)性分配，IP地址在有限時(shí)間內(nèi)有效，使用后需釋放回地址池動(dòng)態(tài)分配是DHCP中最常用的IP地址分配方式，其工作過(guò)程主要分為四個(gè)階段：發(fā)現(xiàn)、提供、請(qǐng)求和確認(rèn)5.5.1DHCP協(xié)議概述DHCP的基本工作過(guò)程:發(fā)現(xiàn)階段：客戶端廣播發(fā)送DHCPDiscover報(bào)文，查找DHCP服務(wù)器并表達(dá)獲取IP地址的需求提供階段：服務(wù)器收到Discover報(bào)文后，通過(guò)單播發(fā)送DHCPOffer報(bào)文，提議一個(gè)IP地址給客戶端5.5.1DHCP協(xié)議概述DHCP的基本工作過(guò)程:請(qǐng)求階段：客戶端收到Offer報(bào)文后，選擇一個(gè)（通常是第一個(gè)），發(fā)送DHCPRequest報(bào)文給相應(yīng)服務(wù)器，接受提議的IP地址確認(rèn)階段：服務(wù)器收到Request報(bào)文后：（1）若能分配IP地址，發(fā)送DHCPAck報(bào)文確認(rèn)分配成功，客戶端可使用該IP地址（2）若無(wú)法分配，發(fā)送DHCPNak報(bào)文，客戶端需重新進(jìn)入發(fā)現(xiàn)階段獲取新IP地址5.5.1DHCP協(xié)議概述DHCP報(bào)文類型:DHCP包含八種類型的報(bào)文，分別為：DHCPDiscover、DHCPOffer、DHCPRequest、DHCPAck、DHCPNak、DHCPRelease、DHCPDecline和DHCPInformDHCP報(bào)文的封裝格式是基于早期的BOOTP報(bào)文格式，其具體封裝方式如圖所示5.5.1DHCP協(xié)議概述DHCP報(bào)文類型:（1）DHCPRelease：客戶端主動(dòng)釋放先前分配的IP地址，通常在不再需要或離開(kāi)網(wǎng)絡(luò)時(shí)使用（2）DHCPDecline：客戶端拒絕接受服務(wù)器提供的IP地址，可能因發(fā)現(xiàn)IP地址沖突或其他問(wèn)題（3）DHCPInform：客戶端請(qǐng)求服務(wù)器提供除IP地址外的其他配置信息（如DNS服務(wù)器地址、子網(wǎng)掩碼等），即使IP地址已手動(dòng)配置。5.5.2DHCP報(bào)文分析環(huán)境配置DHCP服務(wù)器靜態(tài)IP地址：41，子網(wǎng)掩碼為/24客戶端則配置為自動(dòng)獲取IP地址5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（1）DHCP服務(wù)器設(shè)置靜態(tài)ip地址5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（2）添加角色和功能5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（3）DHCP配置5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（4）配置DHCP工具5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（5）配置客戶端自動(dòng)獲取ip5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（6）抓取DHCP相關(guān)報(bào)文命令提示符窗口輸入命令ipconfig/release5.5.2DHCP報(bào)文分析WindowsServer2016搭建DHCP服務(wù)器流程：（6）抓取DHCP相關(guān)報(bào)文啟動(dòng)Wireshark。單擊Start按鈕開(kāi)始捕獲數(shù)據(jù)包命令提示符窗口輸入命令ipconfig/renew，以及ipconfig/all5.5.2DHCP報(bào)文分析DHCPDiscover報(bào)文：客戶端通過(guò)廣播發(fā)送DHCPDiscover消息請(qǐng)求IP地址，消息包含客戶端的MAC地址和主機(jī)名，用于讓DHCP服務(wù)器識(shí)別特定客戶端。這是動(dòng)態(tài)IP地址分配的第一步，為后續(xù)通信奠定基礎(chǔ)5.5.2DHCP報(bào)文分析DHCPDiscover報(bào)文：第一個(gè)數(shù)據(jù)包即為該DHCPDiscover消息，它包含了客戶端的MAC地址和主機(jī)名，這些信息允許DHCP服務(wù)器識(shí)別發(fā)出請(qǐng)求的特定客戶端5.5.2DHCP報(bào)文分析DHCPDiscover報(bào)文：第二個(gè)數(shù)據(jù)包即為DHCPOffer報(bào)文，在該報(bào)文中，服務(wù)器根據(jù)客戶端的MAC地址，為其分配了一個(gè)特定的IP地址，并提供了一系列的配置選項(xiàng)服務(wù)器為客戶端分配的IP地址是435.5.2DHCP報(bào)文分析DHCPDiscover報(bào)文：序號(hào)為3的數(shù)據(jù)包即是一個(gè)DHCPRequest報(bào)文，通過(guò)分析這個(gè)數(shù)據(jù)包，可以確認(rèn)客戶端正在請(qǐng)求使用的IP地址為435.5.2DHCP報(bào)文分析DHCPDiscover報(bào)文：序號(hào)為4的數(shù)據(jù)包即為DHCPACK報(bào)文。這個(gè)報(bào)文標(biāo)志著客戶端現(xiàn)在已經(jīng)正式獲得了由服務(wù)器分配的IP地址，完成了DHCP動(dòng)態(tài)IP地址分配流程5.5.3常見(jiàn)的DHCP攻擊DHCP協(xié)議的安全風(fēng)險(xiǎn):缺乏認(rèn)證機(jī)制：默認(rèn)無(wú)認(rèn)證，攻擊者可冒充合法服務(wù)器，向客戶端分發(fā)錯(cuò)誤的IP地址或網(wǎng)絡(luò)配置信息?；赨DP的傳輸：運(yùn)行在不可靠的UDP之上，UDP無(wú)連接且不保證報(bào)文順序、完整性和可靠性，攻擊者容易構(gòu)造虛假DHCP報(bào)文，增加網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)潛在后果：客戶端可能接收錯(cuò)誤IP配置，導(dǎo)致無(wú)法接入網(wǎng)絡(luò)或引發(fā)數(shù)據(jù)泄露等安全問(wèn)題，給用戶帶來(lái)?yè)p失5.5.3常見(jiàn)的DHCP攻擊DHCP安全威脅中的典型攻擊手段:DHCP饑餓攻擊：是攻擊者通過(guò)不斷地向DHCP服務(wù)器發(fā)起大量IP地址請(qǐng)求，目的在于迅速耗盡服務(wù)器的IP地址池。這種攻擊行為導(dǎo)致DHCP服務(wù)器無(wú)法為合法的DHCPClient提供可用的IP地址5.5.3常見(jiàn)的DHCP攻擊DHCP安全威脅中的典型攻擊手段:DCHPServer仿冒者攻擊：策略是攻擊者在網(wǎng)絡(luò)環(huán)境中設(shè)置一個(gè)偽造的DHCPServer，模仿合法DHCPServer的功能5.5.3常見(jiàn)的DHCP攻擊DHCP安全威脅中的典型攻擊手段:DCHP中間人攻擊：策略涉及攻擊者使用ARP欺騙技術(shù)來(lái)操縱DHCP客戶端和服務(wù)器之間的通信5.5.4DHCP協(xié)議防御措施DHCP饑餓攻擊防御措施:在網(wǎng)絡(luò)交換機(jī)上啟用DHCPSnooping功能，該功能會(huì)對(duì)DHCP請(qǐng)求報(bào)文中的源MAC地址與Chaddr字段進(jìn)行比對(duì)驗(yàn)證。如果兩者一致，交換機(jī)將允許該報(bào)文通過(guò)；如果不一致，則交換機(jī)會(huì)拒絕該報(bào)文5.5.4DHCP協(xié)議防御措施DCHPServer仿冒者攻擊防御措施通過(guò)DHCPSnooping技術(shù)，將交換機(jī)端口劃分為信任端口和非信任端口，僅允許信任端口接收的DHCP報(bào)文轉(zhuǎn)發(fā)，自動(dòng)丟棄非信任端口的DHCP報(bào)文，從而防止仿冒DHCPServer攻擊5.5.4DHCP協(xié)議防御措施DCHP中間人攻擊防御措施啟用交換機(jī)上的ARP與DHCPSnooping聯(lián)動(dòng)功能，通過(guò)維護(hù)DHCPSnooping綁定表驗(yàn)證ARP報(bào)文的源IP和源MAC地址，不一致時(shí)拒絕報(bào)文，從而有效防止ARP欺騙和DHCP中間人攻擊FTP協(xié)議安全06PARTSIXFTP概述FTP是用于網(wǎng)絡(luò)文件傳輸?shù)臉?biāo)準(zhǔn)協(xié)議，工作在OSI模型的應(yīng)用層和TCP/IP模型的第四層，依賴TCP協(xié)議實(shí)現(xiàn)可靠、面向連接的傳輸，連接建立前需經(jīng)過(guò)三次握手5.6.1FTP的應(yīng)用場(chǎng)景FTP的一些主要應(yīng)用場(chǎng)景：（1）網(wǎng)站管理：FTP是網(wǎng)站管理員上傳網(wǎng)頁(yè)文件、圖片、腳本和其他媒體類型到服務(wù)器的標(biāo)準(zhǔn)工具（2）數(shù)據(jù)交換：企業(yè)和組織之間經(jīng)常需要交換大量數(shù)據(jù)，F(xiàn)TP提供了一種簡(jiǎn)便的交換方式（3）備份與存檔：企業(yè)常通過(guò)FTP進(jìn)行遠(yuǎn)程數(shù)據(jù)備份和存檔，以防止數(shù)據(jù)丟失（4）軟件分發(fā)：軟件公司經(jīng)常使用FTP服務(wù)器來(lái)發(fā)布軟件更新和補(bǔ)丁，用戶可以下載最新版本的軟件（5）遠(yuǎn)程工作：遠(yuǎn)程工作人員可以通過(guò)FTP訪問(wèn)公司服務(wù)器，獲取或上傳與工作相關(guān)的文件5.6.2FTP的工作過(guò)程基于客戶/服務(wù)器模式，使用TCP協(xié)議建立穩(wěn)定會(huì)話進(jìn)行文件傳輸需要兩組連接：控制連接和數(shù)據(jù)連接控制連接：持續(xù)存在，用于傳輸FTP命令和響應(yīng)信息默認(rèn)端口為TCP21數(shù)據(jù)連接:臨時(shí)連接，用于實(shí)際文件數(shù)據(jù)傳輸，傳輸完成后關(guān)閉5.6.2FTP的工作過(guò)程工作模式：主動(dòng)模式：客戶端發(fā)送PORT命令，服務(wù)器從TCP20端口主動(dòng)連接到客戶端指定端口被動(dòng)模式：客戶端發(fā)送PASV命令，服務(wù)器打開(kāi)臨時(shí)端口，客戶端主動(dòng)連接到該端口被動(dòng)模式的優(yōu)勢(shì)：適用于客戶端位于防火墻內(nèi)的情況，避免防火墻阻止外部連接5.6.3匿名FTPFTP身份驗(yàn)證：用戶需通過(guò)用戶名和密碼驗(yàn)證后才能上傳或下載文件需要兩組連接：控制連接和數(shù)據(jù)連接匿名FTP服務(wù)：提供“anonymous”賬號(hào)，允許用戶無(wú)需注冊(cè)即可下載文件登錄時(shí)用戶名為“anonymous”，密碼可為任意字符串（如郵箱地址）安全限制：匿名FTP服務(wù)限制用戶訪問(wèn)范圍，僅開(kāi)放特定目錄供公眾下載文件其他系統(tǒng)目錄保持隱藏，保護(hù)服務(wù)器數(shù)據(jù)安全和隱私5.6.4FTP協(xié)議分析環(huán)境配置：服務(wù)器端運(yùn)行的是WindowsServer2006操作系統(tǒng)，IP地址為41，子網(wǎng)掩碼為/24客戶端運(yùn)行的是Windows10操作系統(tǒng)，IP地址為43，同樣使用/24子網(wǎng)掩碼5.6.4FTP協(xié)議分析主動(dòng)模式：在Windows操作系統(tǒng)中，如果使用命令行工具連接FTP服務(wù)器，而沒(méi)有特別指定模式，系統(tǒng)將默認(rèn)采用主動(dòng)模式捕獲過(guò)程：（1）啟動(dòng)Wireshark并設(shè)置過(guò)濾器：打開(kāi)Wireshark，在“CaptureOptions”中設(shè)置捕捉過(guò)濾器在“CaptureFilter”欄輸入：ip.host==41andip.host==43點(diǎn)擊“Start”按鈕開(kāi)始捕獲數(shù)據(jù)包5.6.4FTP協(xié)議分析主動(dòng)模式：捕獲過(guò)程：（2）執(zhí)行FTP操作：在客戶端機(jī)器上打開(kāi)命令提示符使用FTP命令連接到FTP服務(wù)器，輸入賬號(hào)和密碼進(jìn)行身份驗(yàn)證執(zhí)行FTP命令（如列出目錄、上傳或下載文件）5.6.4FTP協(xié)議分析主動(dòng)模式：捕獲過(guò)程：（3）分析數(shù)據(jù)包：在Wireshark中觀察捕獲的數(shù)據(jù)包，分析FTP的控制連接和數(shù)據(jù)連接建立過(guò)程。完成FTP操作后，點(diǎn)擊“Stop”按鈕停止捕獲。5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：FTP先通過(guò)TCP的三次握手建立控制連接序號(hào)1至3的數(shù)據(jù)包展示了FTP通過(guò)TCP的三次握手過(guò)程，建立控制連接一過(guò)程。在這個(gè)過(guò)程中，客戶端使用端口50140，而服務(wù)器端使用其熟知的端口21；5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：FTP先通過(guò)TCP的三次握手建立控制連接序號(hào)4的數(shù)據(jù)包是FTP的220響應(yīng)，表明服務(wù)器已經(jīng)準(zhǔn)備好接收客戶端的指令；5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：FTP先通過(guò)TCP的三次握手建立控制連接序號(hào)6至13的數(shù)據(jù)包記錄了客戶端使用賬號(hào)登錄FTP服務(wù)器的過(guò)程5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：客戶端在命令提示符窗口輸入dir命令，以顯示當(dāng)前目錄的文件和子目錄列表5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)14的數(shù)據(jù)包是客戶端發(fā)送的FTP命令PORT，其中包含客戶端的IP地址43和指定的臨時(shí)端口號(hào)，計(jì)算得出為50105。這表明客戶端希望采用主動(dòng)模式建立數(shù)據(jù)連接5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)14的數(shù)據(jù)包是客戶端發(fā)送的FTP命令PORT，其中包含客戶端的IP地址43和指定的臨時(shí)端口號(hào)，計(jì)算得出為50105。這表明客戶端希望采用主動(dòng)模式建立數(shù)據(jù)連接5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)15、17、18的數(shù)據(jù)包展示了服務(wù)器向客戶端發(fā)送SYN-ACK包，以確認(rèn)數(shù)據(jù)連接的建立，并等待客戶端的最終確認(rèn)?？蛻舳穗S后發(fā)送ACK包，完成三次握手，成功建立數(shù)據(jù)連接5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)16的數(shù)據(jù)包是服務(wù)器對(duì)PORT命令的響應(yīng)，內(nèi)容為200PORTcommandsuccessful.，表示PORT命令已成功執(zhí)行5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)19的數(shù)據(jù)包是客戶端發(fā)送的FTP命令LIST，請(qǐng)求列出當(dāng)前目錄下的文件列表5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)20的數(shù)據(jù)包是FTP的120響應(yīng)，表示數(shù)據(jù)連接已經(jīng)建立，文件傳輸即將開(kāi)始5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)21的數(shù)據(jù)包展示了在數(shù)據(jù)連接上進(jìn)行的文件列表數(shù)據(jù)傳輸，協(xié)議標(biāo)記為FTP-DATA5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)22至23的數(shù)據(jù)包顯示客戶端在控制連接上發(fā)送FIN包，以關(guān)閉到服務(wù)器的數(shù)據(jù)傳輸方向。服務(wù)器回應(yīng)ACK包，確認(rèn)收到FIN包，隨后控制連接的數(shù)據(jù)傳輸方向關(guān)閉5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)24的數(shù)據(jù)包是FTP的226響應(yīng)，表示數(shù)據(jù)傳輸成功完成，并且數(shù)據(jù)連接已經(jīng)關(guān)閉5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：客戶端在命令提示符窗口輸入gettest.txt命令，請(qǐng)求下載當(dāng)前目錄下的test.txt文件5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：客戶端在命令提示符窗口輸入gettest.txt命令，請(qǐng)求下載當(dāng)前目錄下的test.txt文件5.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)33的數(shù)據(jù)包包含F(xiàn)TP的PORT命令，使用主動(dòng)模式，客戶端IP地址為43，臨時(shí)端口號(hào)計(jì)算為501065.6.4FTP協(xié)議分析主動(dòng)模式FTP通信的過(guò)程：序號(hào)34、36、37的數(shù)據(jù)包