TCPIP汇.pptVIP

第二章TCP/IP协议安全基础 TCP/IP协议安全基础 网络层协议的安全性 ARP协议 IP协议 ICMP协议 IGMP协议 传输层协议的安全性 UDP协议 TCP协议 应用层协议的安全性 (FTP、HTTP、SMTP、SNMP、DNS ) TCP/IP协议集与分层模型 TCP/IP的安全来由 力求简单高效的设计初衷使TCP/IP协议集的许多安全因素未得以完善 安全缺陷的一些表现: TCP/IP协议数据流采用明文传输 TCP/IP协议以IP地址作为网络节点的唯一标识，此举并不能对节点上的用户进行有效的身份认证 协议本身的特点被利用实施网络攻击 ……… 网络层协议的安全性 ARP协议 IP协议 ICMP协议 IGMP协议 ARP协议 ARP: 将IP地址转化成MAC地址的一种协议, ARP在 IP 层之下,一般认为其属网络层,但它利用数据链路层工作---分层并不严格 以太网的传输靠mac地址决定,即主机响应ip包依靠ip包中所包含的mac地址来识别: 主机在发送一个ip包之前，它要到该转换表中寻找和ip包对应的mac地址。如果没有找到，该主机就发送一个ARP广播包，看起来象这样子： 　　我是主机xxx.xxx.xxx.xxx , mac是xxxxxxxxxxx ,ip为xxx.xxx.xxx.xx1的主机请告之你的mac来 　　ip为xxx.xxx.xxx.xx1的主机响应这个广播，应答ARP广播为： 　　我是xxx.xxx.xxx.xx1,我的mac为xxxxxxxxxx2  *ARP的查询包为广播包，而 ARP的应答包为单播包 ARP协议安全问题 针对ARP的攻击主要有两种，一种是DOS,一种是Spoof DOS:大量的arp 请求报文的攻击 假冒ARP应答 ---DOS:冒充B向A应答,使得A与B的通信不成功 点对点的假冒查询:显充A向B发包更新B的ARP表,使B与A的通信不成功 自动定时ARP欺骗 : 对网关的干扰 推测ARP解析时间 解决ARP协议安全 网络安全信任关系不要单纯建立在ip或mac基础上 设置静态的mac--ip对应表，不要让主机刷新你设定好的转换表 使用ARP服务器:确保该机安全,通过该机查找自己的ARP转换表来响应其他机器的ARP广播 使用proxy代理ip的传输 使用硬件屏蔽主机,交换机和网桥无法阻止ARP欺骗 定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性 使用防火墙连续监控网络 IP协议 网际协议， TCP/IP 协议族中的主要网络层协议，与 TCP 协议结合组成整个因特网协议的核心协议。 包含寻址信息和控制信息 ，可使数据包在网络中路由。 IP 适用于 LAN 和 WAN 通信。除了 ARP 和 RARP ，其它所有 TCP/IP 族中的协议都是使用 IP 传送主机与主机间的通信 两个基本任务：提供无连接的和最有效的数据包传送；提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。 IP 协议只用于发送包， TCP 协议负责将其按正确顺序排列 IP协议结构 IP协议结构 Version – 4位字段，指出当前使用的 IP 版本。 IP Header Length （IHL） ― 指数据报协议头长度，具有32位字长。指向数据起点。正确协议头最小值为5。 Type-of-Service ― 指出上层协议对处理当前数据报所期望的服务质量，并对数据报按照重要性级别进行分配。这些8位字段用于分配优先级、延迟、吞吐量以及可靠性。 Total Length ― 指定整个 IP 数据包的字节长度，包括数据和协议头。其最大值为65,535字节。典型的主机可以接收576字节的数据报。 Identification ― 包含一个整数，用于识别当前数据报。该字段由发送端分配帮助接收端集中数据报分片。 Flags ― 由3位字段构成，其中低两位（最不重要）控制分片。低位指出数据包是否可进行分片。中间位指出在一系列分片数据包中数据包是否是最后的分片。第三位即最高位不使用。 Fragment Offset ― 13位字段，指出与源数据报的起始端相关的分片数据位置，支持目标IP适当重建源数据报。 Time-to-Live ― 是一种计数器，在丢弃数据报的每个点值依次减1直至减少为0。这样确保数据包无止境的环路过程。 Protocol ― 指出在 IP 处理过程完成之后，有哪种上层协议接收导入数据包。 Header Checksum ― 帮助确保 IP 协议头的完整性。由于某些协议头字段的改变，如生存期（Time to Live），这就需要对每个点重新计算和检验。Internet 协议头需要进行处理。 Source Address ― 指定发送代码。