第2章网络协议的安全性选读.ppt

  1. 1、本文档共103页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* 交换机互联链路层各逻辑网段的特点—分隔冲突域! HUB共享冲突域和广播域,switch共享广播域,router都不共享 * 提出交换机在链路层对帧的转发原理,看似路由问题。 路由是特指路由器在网络层根据分组的目的IP地址匹配IP路由表表项来选择转发IP接口。路由表是一个目的网络地址与下一跳路由器IP接口地址(对应该路由器的IP接口地址)的映射表。 交换机转发是在链路层根据帧的目的MAC地址匹配交换表表项选择转发接口。交换表是一个交换机接口号与接口下属MAC地址的映射表。 * 交换机的源 MAC地址自学习 — 获取每个帧的源MAC地址,建立( MAC地址, 接口)交换表。 * 注意:了解只有在节点开机运行网络接口发送数据帧后,交换机才能自学习到该节点的源MAC地址,建立该节点源MAC地址的对应交换机接口表项。 通过实例来认识交换机的工作原理—源MAC地址自学习与帧转发。 * 注意:了解只有在节点开机运行网络接口发送数据帧后,交换机才能自学习到该节点的源MAC地址,建立该节点源MAC地址的对应交换机接口表项。 通过实例来认识交换机的工作原理—源MAC地址自学习与帧转发。 * * 注意:了解只有在节点开机运行网络接口发送数据帧后,交换机才能自学习到该节点的源MAC地址,建立该节点源MAC地址的对应交换机接口表项。 通过实例来认识交换机的工作原理—源MAC地址自学习与帧转发。 交换机表的每个表项包括三个字段:节点的MAC地址;该MAC地址对应的端口;该表项在表中的时间。交换机通过自学习功能来建立交换机表,即通过观察帧的源MAC地址和到达端口来建立MAC地址和端口的映射关系。 * 解决方案: 入口过滤 出口过滤 IP 回溯技术 ? ??程序分歧fork()???? ??fork()会产生一个与父程序相同的子程序,唯一不同之处在於其process?id(pid)。?? ??如果我们要撰写守护神程序,或是例如网路伺服器,需要多个行程来同时提供多个连线,可以利用fork()来产生多个相同的行程。 * 计算机系统配置不当可能造成系统运行不正常,甚至根本不能运行。攻击者通过改变或者破坏系统的配置信息,阻止其他合法用户使用计算机网络提供的服务。 * 一个简单的攻击类型是广播风暴。攻击者可以生成这样一个消息,它将指示每一个收到数据报的主机回答或者重发这个消息。结果网络饱和,并且不能使用。广播风暴很少是由故意的攻击所致,它通常是由于硬件或者软件的缘故,例如,正在开发之中,存在错误或者没有正确地安装。 * * 攻击的具体原理是,在TCP连接的三次握手中,假设一个用户向服务器发送了SYN数据报后突然死机或掉线,那么服务器在发出SYN/ACK应答数据报后是无法收到客户端的ACK数据报的(第三次握手无法完成),这种情况下服务器端通常会重试,再次发送SYN/ACK给客户端,并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒到2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN/ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃,既使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。 * 防范 SYN 洪泛攻击的手段较多,其中比较有效的方式是 SYN cookie 发动攻击的主机只要发送较少的、源地址经过伪装而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口,将目的主机的TCP缓存队列填满,就可以实施一次成功的攻击。实际情况下,发动攻击时往往是持续且高速的。这里需要使用经过伪装且无法通过路由达到的源IP地址。由此可以看到,这种攻击方式利用了现有TCP/IP协议本身的薄弱环节,而且攻击者可以通过IP伪装有效的隐蔽自己。但对于目的主机来说,由于无法判断攻击的真正来源,而不能采取有效的防御措施。 * IP数据报的首部长度和数据长度都是可变长的,但总是4字节的整数倍。对于IPv4,4位版本字段是4。 4位首部长度的数值是以4字节为单位的,最小值为5,也就是说首部长度最小是4x5=20字节,也就是不带任何选项的IP首部,4位能表示的最大值是15,也就是说首部长度最大是60字节。 8位TOS字段有3个位用来指定IP数据报的优先级(目前已经废弃不用),还有4个

文档评论(0)

希望之星 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档