资源描述
第二章,高级TCP/IP分析,1,高级TCP/IP分析(一),70年代中期,美国国防部高级计划署开始着手全美范围内异种计算机间的连接 那时,计算机与计算机间的连接使用的还只是点对点专用线路,计算机与计算机的通讯规约采用的是各厂家自行定义的专门协议,可以互连,可以互连,不可互连,2,高级TCP/IP分析(二),如何实现不同网络及计算机间的互操作成为计算机联网的最关键问题 到八十年代末九十年代初,有了肯定的答案:这就是采用TCP/IP协议,3,本章内容,第1节 TCP/IP协议栈 第2节 物理层的安全威胁 第3节 网络层的安全威胁 第4节 传输层的安全威胁 第5节 应用层的安全威胁 第6节 IPSec协议 第7节 IPv6,4,TCP/IP协议栈,TCP/IP协议的起源和发展 TCP/IP协议集 TCP/IP的体系结构和特点 VLSM和CIDR技术,5,协议,协议是为了在两台计算机之间交换数据而预先规定的标准。TCP/IP并不是一个协议,而是许多协议,而TCP和IP只是其中两个基本协议而已 以寄信为例,正确的地址,姓名,邮政编码以及正确的格式才可以让信寄到收信人手中,6,TCP/IP协议的起源和发展,在TCP/IP协议成为工业标准之前,TCP/IP协议经历了近12年的实际测试 1980年,高研署在它的网络上首先采用TCP/IP协议,7,TCP/IP协议集,TCP/IP(传输控制协议/网间协议)是一组网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与另一个主机之间的数据往来格式以及传送方式,8,TCP/IP的体系结构和特点,ISO/OSI网络的七层结构模型 TCP/IP网络的四层结构模型,9,ISO/OSI网络的七层结构模型,网络设计者在解决网络体系结构时经常使用ISO/OSI(国际标准化组织/开放系统互连)七层模型 该模型总分为7层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层 每一层代表一定层次的网络功能,10,OSI七层示意图,OSI参考模型从上到下共分为七层, 最上层为用户面对的应用层 任何一次两个用户之间的通信都需要经过这七层的数据转换,11,电子邮件为例,E-mail软件:Outlook, Netscape,文字!?翻译、加密,会话方式:登录、传送、释放,无误传输:分段重组、保证服务,网络间:寻址、路径选择、交换,数据流:信道争用、数据维护,电气信号:电气、机械、功能等,Application Presentation Session Transport Network Data Link Physical,比特位,数据帧,数据包,数据段,12,ISO/OSI数据流向,Application Process X,Application Process Y,Application Data,Communication Path,Physical Transmission medium,Outgoing Frame construction,Incoming Frame reduction,13,ISO/OSI参考模型各层的功能,14,TCP/IP网络的四层结构模型,OSI参考模型与TCP/IP模型对比,15,TCP/IP层次结构图,16,TCP/IP层次结构(一),17,TCP/IP层次结构(二),18,TCP/IP层次结构(三),19,VLSM和CIDR技术,IP地址 VLSM可变长子网掩码 CIDR无类别编址,20,IP地址(一),IP网络使用32位地址,通常由点分十进制表示如:202.112.14.1 它主要由两部分组成 一部分是用于标识所属网络的网络地址 另一部分是用于标识给定网络上的某个特定的主机的主机地址,21,IP地址(二),22,有类地址的局限性,IPv4使用32位的地址,即在IPv4的地址空间中只有232(4,294,967,296,低于43亿)个地址可用 IPv4的地址是按照网络的大小(所使用的IP地址数)来分类的,它的寻址方案使用“类”的概念。A、B、C三类IP地址的定义很容易理解,也很容易划分,但是在实际网络规划中,他们并不利于有效地分配有限的地址空间,23,子网(一),一般地,32的IP地址被分为两部分,即网络号和主机号 为提高IP地址的使用效率,子网编址的思想是将主机号部分进一步划分为子网号和主机号,引入子网模式后,网络号部分加上子网号才能全局唯一地标识一个物理网络。,24,子网(二),子网编制模式下的路由表条目变为 子网掩码,目的网络地址,下一路由器地址 这样可以用子网掩码的设置来区分不同的情况,使路由算法更为简单,25,子网(三),子网结构 设子网掩码,子网掩码与目的地址相与,获得子网地址 特定主机 掩码32位为全“1”,将32位地址全部截下,26,子网(四),缺省路由 掩码为全“0”,目的地址也为全“0”,将报文直接送往缺省端口地址 无子网结构 掩码中“1”的个数与网络号位数相同,27,可变长子网掩码,VLSM(Variable Length Subnet Mask, 可变长子网掩码) 这是一种产生不同大小子网的网络分配机制。VLSM将允许给点到点的链路分配子网掩码255.255.255.252,而给Ethernet网络分配255.255.255.0。VLSM技术对高效分配IP地址(较少浪费)以及减少路由表大小都起到非常重要的作用。但是需要注意的是使用VLSM时,所采用的路由协议必须能够支持它,这些路由协议包括RIP2,OSPF,EIGRP和BGP,28,CIDR无类别编址(一),CIDR无类别编址(Classless Inter Domain Routing ),29,CIDR无类别编址(二),把许多C类地址合起来作B类地址分配。采用这种分配多个IP地址的方式,使其能够将路由表中的许多表项归并(summarization)成更少的数目。要使用这种归并,必须满足以下三种特性 为进行选路要对多个IP地址进行归并时,这些IP地址必须具有相同的高位地址比特; 路由表和选路算法必须扩展成根据32位IP地址和32位掩码做出选路决策的算法; 必须扩展选路协议使其除了32位地址外,还要有32位掩码。OSPF和RIP-2都能够携带第4版BGP所提出的32位掩码。,30,TCP/IP协议栈,31,物理层的安全威胁,物理层介绍 物理层的安全风险分析,32,物理层介绍,第一层称为物理层(Physical Layer),这一层负责传送比特流 提供建立、维护和拆除物理链路所需的机械、电气、功能和规程特性 通过传输介质进行数据流的物理传输,故障检测和物理层管理,33,物理层的安全风险分析,网络分段 网络拓扑,34,网络分段,网络分段可分为物理分段和逻辑分段两种方式,物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯 目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段,35,网络拓扑,安全管理员必须了解他们保护的网络的所有布局。黑客最常用的攻击和渗透到网络中的种方法是在公司内部主机上安装一个packetsniffer。记住物理定义了介质上的电子信号。局域网使用基带传输,任何线缆上传输的数据将可被任何可以物理连接的人得到。理解你的网络布局可以帮助阻止未知的sniffer 发生。最普通的网络拓扑结构是星型,总线型,环型,和复合型,36,网络层的安全威胁,网络层介绍 网络层的安全威胁 网络层的安全性 网络层的安全防护,37,网络层介绍,网络层主要用于寻址和路由。它并不提供任何错误纠正和流控制的方法。网络层使用较高效的服务来传送数据报文,38,Internet 协议(IP),0 7 15 2 3 3 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |版本号| IHL | 服务类型 | 总长度 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 识别码 |标志 | 片偏置位 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 寿命 | 协议 | 报头校验和 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 源地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 目的地址 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 选项 | 填空 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+,39,网络层的安全威胁,IP 欺骗 Internet 控制信息协议(ICMP),40,IP 欺骗(一),黑客经常利用一种叫做IP 欺骗的技术,把源IP 地址替换成个错误的IP 地址。接收主机不能判断源IP 地址是不正确的 使用IP 欺骗的一种攻击很有名的一种是Smurf攻击 Smurf 攻击是种拒绝服务攻击,41,IP 欺骗(二),一个Smurf 攻击向大量的远程主机发送一系列的ping 请求命令。黑客把源IP 地址换成想要攻击目标主机的IP 地址。所有的远程计算机都响应这些ping 请求,然后对目标地址进行回复而不是回复给攻击者的IP 地址用。目标IP 地址将被大量的ICMP 包淹没而不能有效的工作,42,Internet 控制信息协议(ICMP),当用户ping 一台主机想看它是否运行时,用户端就正在产生了一条ICMP 信息。远程主机将用它自己的ICMP 信息对ping 请求作出回应。这种过程在多数网络中不成问题。然而,ICMP 信息能够被用于攻击远程网络或主机,43,网络层的安全性,主要优点:透明性,也就是说,安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动 主要缺点:网络层一般对属于不同进程和相应条例的包不作区别。对所有去往同一地址的包,它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能,也会导致性能下降,44,网络层的安全威胁,网络分段,网络安全扫描技术,入侵检测技术,VPN技术,加密技术 、数字签名和认证技术,防火墙服务,VLAN的实现,网络层的安全防护,45,传输层的安全威胁,传输层介绍 传输层的安全性,46,传输层介绍,传输层控制主机间传输的数据流。传输层存在两个协议,传输控制协议(TCP)和用户数据报协议(UDP),47,传输层TCP 和 UDP,TCP 是一个面向连接的协议 UDP是一个非面向连接的协议,48,传输控制协议(TCP)(一),传输层协议,由上层协议接收任意长度的报文,并提供面向连接的传输服务 TCP接收数据流,并分成段,然后将这些段送给IP,因IP为无连接的,所以TCP必须为每个段提供顺序同步,49,传输控制协议(TCP)(二),50,TCP 握手,51,用户数据报协议(UDP),传输层协议,为无确认的数据报服务,只是简单的接收和传输数据 UDP比TCP传输数据快,52,传输层的安全性,传输层安全机制的缺点 要对传输层IPC界面和应用程序两端都进行修改 基于UDP的通信很难在传输层建立起安全机制来 传输层安全机制的主要优点它提供基于进程对进程的(而不是主机对主机的)安全服务,53,应用层的安全威胁,应用层介绍 应用层的安全性 应用层的安全防护,54,应用层介绍,简单邮件传输协议(SMTP) 文件传输协议(FTP) 超文本传输协议(HTTP) 远程连接服务标准协议(Telnet) 简单网络管理协议(SNMP) 域名系统(DNS),DNS,SNMP,Telnet,HTTP,FTP,SMTP,55,应用层的安全性,想要区分一个具体文件的不同的安全性要求,那就必须借助于应用层的安全性 提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段 应用层提供安全服务 对每个应用(及应用协议)分别进行修改,56,应用层的安全防护,实施强大的基于用户的身份认证 实施数据加密,访问控制的理想位置 加强数据的备份和恢复措施 对资源的有效性进行控制,资源包括各种数据和服务,57,IPSec协议(一),IPSec细则首先于1995年在互联网标准草案中颁布 IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全 IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,58,IPSec协议(二),IPSec提供三种形式来保护通过IP网络传送的私有数据 数据认证-可以确定所接受的数据与所发送的数据在数据完整性方面是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的 完整-保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变 机密性-使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容,59,IPv6,从IPv4向IPv6过渡 IPv6发展现状,60,从IPv4向IPv6过渡,通过双协议栈实现过渡 双协议栈是保证能对IPv6和IPv4服务访问的关键,61,双协议栈方案的工作方式,62,IPv6技术,隧道技术 翻译器技术,63,隧道技术,所谓隧道,就是在一方将IPv6的包封装在IPv4包里,然后在目的地将其解封,得到IPv6包,64,翻译器技术,65,IPv6发展现状,IETF正在制定大量的IPv6相关标准,包括地址结构、域名解析、安全、自动配置、邻居发现、路由协议等方面 IETF于1996年建立了全球范围的试验床(Testbed),称作6Bone 1998年6月我国国家教育科研网CERNET也加入了6Bone,并于同年12月成为其骨干成员 2003年IPv6网络将进入大规模实施阶段,之后IPv4和IPv6将保持长时间共存,并最终过渡到IPv6,66,IPv6的特点,与原有的IPv4相比,IPv6有如下优点 更大的地址:将32比特的地址增大为128比特; 灵活的首部格式:IPv6使用一种全新的不兼容的数据报格式 增强的选项:IPv6允许数据报包含可选的控制信息,也可以提供新的设施 支持资源分配:IPv6允许对网络资源的预分配,这些新的机制支持实时视像等应用 对协议扩展的保障:允许协议新增特性,这样协议就从要全面描述所有细节的状况中摆脱出来,67,IPv6数据报的一般形式,具有多个首部的IPv6数据报的一般形式。只有基本 首部是必需的,扩展首部是可选的。,68,IPv6基本首部格式,数据报首部的变化反映了协议的变化 对齐已经从32比特的整数倍改为64比特的整数倍 取消了首部长度自段,数据报长度字段被PAYLOAD LENGTH字段所取代。 源地址和目的地址字段的大小都被增加成每个字段16个八位组 分片信息已从基本首部的固定字段移到了一个扩展首部中 TIME-TO-LIVE字段改为HOP LIMIT字段 SERVICE TYPE字段改为FLOW LABEL字段 PROTOCOL字段改为一个新的字段,用来指明下一个首部的类型,69,IPv6的扩展首部,IPv6的扩展首部同IPv4的任选项相似 每个数据报包含的扩展首部只提供那些它所需要使用的设施,70,IPv6数据报的分析,71,IPv6的分片和重组,当数据报要穿越某个网络,而数据报的长度对该网络的MTU又太大时,IPv4要求中间的路由器对数据报进行分片,而在IPv6中,分片被限制为由最初的源站来完成。IPv6基本首部中并不像IPv4首部那样包含有用于分片的字段,而是在需要分片时,源站便在每每一数据报片的基本首部之后插入一个小的扩展首部,下一首部,保留,片偏移,MF,数据报标识符,72,端到端分片的后果,该方法可以减少路由器的开销,并允许路由器在单位时间内处理更多的帧 改变了Internet 的基本假设 使用端到端分片的互联网协议要求发送端发现到达每个目的站的路径MTU,并将发出的大于此路径MTU的数据报分片。端到端的分片并不适应用于路由变更,73,IPv6地址空间的大小,在IPv6中每个地址占据16个八位组,是一个IPv4地址长度的四倍。可以承受任何合理的地址分配策略 地球上的每个人都可以具有足够的地址来构成他们各自的、像目前这个Internet一样大的互联网 一个16个八位组的整数可以容纳2128个值,因此地址空间大于3.4*1038。如果每秒分配一百万个地址的速率进行,需要二十年的时间才有可能分配完,74,三种基本IPv6地址类型,报文的目的地址可以归为以下三类之一 单播(Unicast):目的地址指明一个单一的计算机(主机或路由器);数据报将选择一条最短的路径到达目的站 群集(Cluster):目的站是共享一个地址前缀的计算机的集合(如,挂在同一个物理网络上);数据报将选择一条最短的路径到达改组,然后只提供给组中的一个成员 组播(Multicast):目的站是一组计算机,他们可能位于不同的地方。数据报将通过硬件组播或广播投递给每一个成员,75,
展开阅读全文