网络与信息安全IP安全.pdfVIP

TCP/IP契约栈 ​ 1 TCP/IP配置实例 ​ 2 TCP/IP契约栈封装过程 ​ 3 IPv4报头 版本（4bit ）：版本号,值为4 版本（4bit ）：版本号,值为 4 首部长度（4bit ）：以32bit为单位的首部长度 首部长度（4bit ）：以32bit为单位的首部长度 服务类型（8bit ）：指明相对优先级,如最小延迟、最大吞吐量、最高可靠性和最小费用等 服务类型（8bit ）：指明相对优先级,如最小延迟、最大吞吐量、最高可靠性和最小费用等 总长度（16bit ）：以字节为单位的整个IP包长度 总长度（16bit ）：以字节为单位的整个IP包长度 标识符（16bit ） ：IP包的序号 标识符（16bit ） ：IP包的序号 标志（3bit ）：指明是否可分片 标志（3bit ）：指明是否可分片 分片偏移量（13bit ） 分片偏移量（13bit ） ​ 4 IPv4报头 寿命（TTL, 8bit ）：数据包可以经过的最多路由器数目,说明允许包在网络上存在多久 寿命（TTL, 8bit ）：数据包可以经过的最多路由器数目,说明允许包在网络上存在多久 契 （8bit ） ：指出更高一层的契,如 TCP 契 （8bit ） ：指出更高一层的契,如 TCP 报头校验和（16bit ） 报头校验和（16bit ） 源地址（32bit ） 源地址（32bit ） 目的地址（32bit ） 目的地址（32bit ） 选项（可变长度）：设置一些选项 选项（可变长度）：设置一些选项 填充（可变长度）：保证包头的长度是32bit的整数倍 填充（可变长度）：保证包头的长度是32bit的整数倍 ​ 5 IPv4的安全缺陷 缺乏对通信双方身份真实性的认证能力 缺乏对通信双方身份真实性的认证能力 缺乏对传输数据的完整性和性保护的机制 缺乏对传输数据的完整性和性保护的机制 由于IP地址可软件配置以及缺乏基于源IP地址 由于IP地址可软件配置以及缺乏基于源IP地址 的认证机制,IP层存在业务流被监听和捕获、 的认证机制,IP层存在业务流被监听和捕获、 IP地址欺骗、信息泄露和数据项篡改等进攻 IP地址欺骗、信息泄露和数据项篡改等进攻 ​ 6 IPv6报头 版本（4bit ）：版本号,值为6 版本（4bit ）：版本号值为, 6 通信量类型（8bit ）：类型及优先级说明 通信量类型（8bit ）：类型及优先级说明 流标号（20bit ）：对请求特殊处理的包作标记 流标号（20bit ）：对请求特殊处理的包作标记 有效载荷长度（16bit ）：以字节为单位的首部之后剩余部分的长度 有效载荷长度（16bit ）：以字节为单位的首部之后剩余部分的长度 ​ 7 IPv6报头 Next Header （8bit ） ：紧接着IPv6头下一个Header的类型 Next Header （8bit ） ：紧接着IPv6头下一个Header的类型 跳数限制（8bit ）：即生存寿命TTL 跳数限制（8bit ）：即生存寿命TTL 源地址（128bit ） 源地址（128bit ） 目的地址（128bit ）