基于TTL分析的计算机网络应用研究.pptVIP

基于TTL分析的计算机网络应用研究 指导教师 ：李旸 学 生 ：汪阳 摘 要 本文在对国内外TTL应用情况进行分析的基础上，讨论并模拟实现了TTL在网络故障诊断和网络安全方面的应用。 本文由二大部分组成： 1.网络故障诊断：介绍了两种基于TTL分析的、方便实用的网络故障诊断工具ping命令和tracert命令，对工作原理、使用方法以及在排除网路故障中的实际应用进行了研究。 2.网络安全：提出了一种基于异常TTL值分析的源地址伪造数据包检测方法，同时通过模拟实验对该方法的优缺点进行了分析。 TTL值综述 TTL，全称是Time To Live，中文名为生存时间，它是IP报头中一个非常重要的参数。TTL字段存在于TCP/IP层次模型的网络层的IP数据包中，该字段占8个BIT，即最大值为255，计数单位为跳。 IP数据报结构为： 为什么要有生存周期这个概念 ? 很显然，一个包从一台机器到另一台机器中间需要经过很长的路径，显然这个路径不是单一的，是很复杂的，并且很可能存在环路。如果一个数据包在传输过程中进入了环路，如果不终止它的话，它会一直循环下去，如果很多个数据包都这样循环的话，那对于网络来说这就是灾难了。 所以需要在包中设置这样一个值，包在每经过一个节点，将这个值减1，反复这样操作，最终可能造成2个结果：包在这个值还为正数的时候到达了目的地，或者是在经过一定数量的节点后，这个值减为了0。前者代表完成了一次正常的传输，后者代表包可能选择了一条非常长的路径甚至是进入了环路，这显然不是我们期望的，所以在这个值为0的时候，网络设备将不会再传递这个包而是直接将他抛弃，并发送一个通知给包的源地址，说这个包已死。 TTL分析在国内外的应用情况介绍 网络故障诊断 网络安全 网络拓扑结构搜索 网络拥塞控制 本文主要是在前两个应用方面进行研究。 常用诊断命令的应用（1） 常用诊断命令的应用（2） 常用诊断命令的应用（3） IP矩阵 IP数据包摘要（1） IP数据包摘要（2） 常见的伪造源地址攻击技术 SYN Flooding攻击，即最典型的 DoS攻击技术。TCP连接通过“三次握手”建立。客户A向目标机B发出访问同步请求(SYN)数据包，B收到后回应一个请求确认（SYN/ACK）数据包，并调整自己的连接处于半开状态：设定等待时间上限并在内存队列中加入该请求。正常时，A回应一个确认（ACK）数据包即完成连接过程。但若攻击者始终不发ACK数据包，而不停送出SYN数据包。最后B因耗尽资源而中断一切访问请求。 Smurf攻击，DDoS攻击技术的一种。攻击者伪造源IP地址，先利用某个中介网络向其“广播站” 送出一个源地址为目标机的请求回应数据包，“广播站” 自动将这一请求传播到该网络所有主机处。于是它们都送出各自响应数据包，发送至，目标机并大量消耗其资源。攻击者还可以同时向其它中介网络进行类似操作，于是更大量的数据包涌向受害机处。这里，中介网络起着放大器的作用，故称“反射机”，通常这些中介网络是黑客们用各种手段获得的“肉鸡”。  TCP连接伪造攻击。该攻击的原理是，假设主机B信任主机A，攻击者首先使用DoS攻击主机A使之下线，然后向主机B发送源地址为A的伪造数据包，主机B会向地址A发送包含初始序列号的确认包，攻击者可以猜测该序列号，然后发送一个确认给B，完成三次握手。此时攻击者拥有主机A对主机B的所有权限。该攻击最重要的步骤是攻击者必须能猜测到B发给A的确认包中的初始序列号。 TTL值具有可预测性 本机收到的IP数据包中的TTL字段与很多因素有关，例如TTL初始值，所经过的网络跳数等等，但是在一定程度上还是有规律可循的。 下面提出几个假设条件： (1)当同一源主机发出的两个数据包经过相同的路由到达目标主机时，两个IP包的TTL值的减少量是一样的。 (2)在一个很短的时间间隔内发往同一目标的数据包通常选择同一条路径。 (3)路由变化不频繁。 (4)路由即使变化，新路由的跳数和以前路由的跳数相比，相差不大。 在这三个假设中，假设1是显而易见的。假设2，3，4是在大多数情况下可以成立的，所以说TTL值具有可预测性，至少是在一定范围内可预测。 基于TTL分析的几种检测技术介绍 (1)主动检测技术：当主机接收到一个数据包时，可以向源地址发送与该数据包采用相同协议的探测数据包。如果回应数据包TTL值与要检测的数据包TTL值相等，说明该数据包没有经过伪造。若探测数据包的协议与原数据包不同，例如来的时候是TCP协议，我们返回的是ICMP包等情况。则可以通过比较它们经过的路由跳数是否相等来判别。计算方法如下：使用32，64，128，255其