第8章-TCPIP协议族-IP协议.pptVIP

第八章 网际协议（IP） 课程目标 掌握IP数据报的格式。 掌握分片、重组的原理。 了解IP碎片攻击 使用Wireshark分析IP数据报分片 第八章 网际协议（IP） 第八章 网际协议（IP） IP是一种不可靠的无连接数据报协议---尽最大努力服务。 源点到终点的多个数据报可能无序、按不同路径到达。 必须与可靠的协议(TCP)配合使用以实现可靠的传输。 8.1 IP 数据报的格式 一个 IP 数据报由首部和数据两部分组成。 首部的前一部分是固定部分，共 20 字节，是所有 IP 数据报必须具有的。 在首部的后一部分为可变部分，可有0－40字节，是一些可选字段。 在首部之后为 IP 数据报的数据部分。 首部和数据两部分总长度最大可达 64KB IP 数据报首部的选项有： 安全性能—数据报的安全等级。 严格路由—以IP地址序列给出从源到宿的完整路径，用于测试和紧急传送。 松散路由—规定源宿之间的某几个路由或路由原则。 路由记录—记录下所经路由的所有IP地址。 时间标签—记录每经过一跳所花费的时间，用于测试路由算法。 8.1 IP 数据报的格式 8.1 IP 数据报的格式 知识巩固 例题：在IP分组中，HLEN值为1000,问分组携带了多少字节的选项？ 例题：到达分组的前几个十六进制如下： ----45000028000100000102---问分组被丢弃前还可传送多少跳？ 8.2 分组分片 最大传输单元（MTU）的定义 各物理网络对帧的数据字段最大字节数限制 由网络硬件决定(如典型的以太网时，MTU=1500) 数据封装提出的问题 ( IP分组用帧封装 ) 适应不同 MTU 的解决方案---分片 以太网：1500 X.25: 576 PPP: 296 FDDI: 4352 令牌环网(4Mbps): 4464 8.2 分组分片 如何检测系统MTU值 Windows系统 ping –f –l bytes gateway_ip Bytes是本机送出去的数据包大小，IP是Gateway的IP，使用-f, 指定数据报不能分片。 Linux系统检测 ping –c count -M do –s bytes IP -c count 指定要被发送（或接收）的回送信号请求的数目 -M hint(do/dont)。do设置不分片位，dont不设置分片位。 IP 数据报的分片与重组 8.2 分组分片 在何处实行分片：路径的中间结点上，若下一链路的 MTU 小于 IP 分组长度时。 8.2 分组分片 分片方法：由标识符、标志、数据报片偏移量这三个字段控制。 标识符—16位字段，与源IP地址唯一地定义数据报。IP协议使用计数器当前值作为标识符值，使用后该值加1，分片时，该值复制到每个分片中。 标志—3位字段，第1为保留，第2位D表示是否可分片位(为1则不能分片，为0表示可以分片)，第3位M表示是否还有分片(1-不是最后分片，0最后分片) 8.2 分组分片 IP 分片举例 1（仅路径上1次分片） IP 分片举例 2 （路径上先后2次分片） 如何分片？ 发送时分组长度选择多长？ 选择合适的分组长度适应不同的 MTU 选择网络中最小的 MTU 在 MTU 较大的网络传输会造成硬件能力浪费 选择网络中最大的 MTU 在 MTU 较小的网络不能实现数据报到帧的封装 如何选择分组长度？如何实现数据封装？ 由于现在绝大多数场合都是使用以太网，因此一般在以太网中发送时，选择 IP 分组长度取以太网链路的 MTU ＝ 1500 字节 分片的传输和控制 传输 每个分片独立选择传输路径，“尽力传递” 控制（定义片头参数） 分片的重组 重组只在信宿机完成 减轻网关（gateway）负担，简化路由协议 简单、高效，体现“尽力传递”设计思想 在接收端设置重组计时器 接收到某分组第一个到达的片段时立即启动定时器； 如果在规定时间内未收到全部片段，则放弃整个分组，向信源机发送出错消息。 分片的重组 8.4 校验和 生成校验和计算举例 8.5 IP 分片攻击 IP分片攻击表现形 方法一：混乱顺序 攻击者故意打乱IP分片包到达目的节点的顺序。如果入侵检测系统以为IP分片包总是严格按照分片顺序到达，那么在重组的过程中就不能正确识别各个分片包的先后顺序，会造成对攻击数据漏报。 8.5 IP 分片攻击 方法二：利用分片包缓冲处理机制问题 在属于同一个原始IP数据包的所有分片包到齐之前，入侵检测系统必须将所有先期到达的分片包放到一个缓冲区中。分片攻击机可能通过故意不发送属于同一个原始IP数据包的一个分片包或者故意发送多个分片包，造成入侵检测系统的IP分片重组模块因为消耗掉所有内