第2章网络协议的安全性选读.ppt

* 交换机互联链路层各逻辑网段的特点—分隔冲突域！ HUB共享冲突域和广播域，switch共享广播域，router都不共享 * 提出交换机在链路层对帧的转发原理，看似路由问题。 路由是特指路由器在网络层根据分组的目的IP地址匹配IP路由表表项来选择转发IP接口。路由表是一个目的网络地址与下一跳路由器IP接口地址（对应该路由器的IP接口地址）的映射表。 交换机转发是在链路层根据帧的目的MAC地址匹配交换表表项选择转发接口。交换表是一个交换机接口号与接口下属MAC地址的映射表。 * 交换机的源 MAC地址自学习 — 获取每个帧的源MAC地址，建立（ MAC地址, 接口）交换表。 * 注意：了解只有在节点开机运行网络接口发送数据帧后，交换机才能自学习到该节点的源MAC地址，建立该节点源MAC地址的对应交换机接口表项。 通过实例来认识交换机的工作原理—源MAC地址自学习与帧转发。 * 注意：了解只有在节点开机运行网络接口发送数据帧后，交换机才能自学习到该节点的源MAC地址，建立该节点源MAC地址的对应交换机接口表项。 通过实例来认识交换机的工作原理—源MAC地址自学习与帧转发。 * * 注意：了解只有在节点开机运行网络接口发送数据帧后，交换机才能自学习到该节点的源MAC地址，建立该节点源MAC地址的对应交换机接口表项。 通过实例来认识交换机的工作原理—源MAC地址自学习与帧转发。 交换机表的每个表项包括三个字段：节点的MAC地址；该MAC地址对应的端口；该表项在表中的时间。交换机通过自学习功能来建立交换机表，即通过观察帧的源MAC地址和到达端口来建立MAC地址和端口的映射关系。 * 解决方案： 入口过滤 出口过滤 IP 回溯技术 ???程序分歧fork()??????fork()会产生一个与父程序相同的子程序，唯一不同之处在於其process?id(pid)。????如果我们要撰写守护神程序，或是例如网路伺服器，需要多个行程来同时提供多个连线，可以利用fork()来产生多个相同的行程。 * 计算机系统配置不当可能造成系统运行不正常，甚至根本不能运行。攻击者通过改变或者破坏系统的配置信息，阻止其他合法用户使用计算机网络提供的服务。 * 一个简单的攻击类型是广播风暴。攻击者可以生成这样一个消息，它将指示每一个收到数据报的主机回答或者重发这个消息。结果网络饱和，并且不能使用。广播风暴很少是由故意的攻击所致，它通常是由于硬件或者软件的缘故，例如，正在开发之中，存在错误或者没有正确地安装。 * * 攻击的具体原理是，在TCP连接的三次握手中，假设一个用户向服务器发送了SYN数据报后突然死机或掉线，那么服务器在发出SYN/ACK应答数据报后是无法收到客户端的ACK数据报的(第三次握手无法完成)，这种情况下服务器端通常会重试，再次发送SYN/ACK给客户端，并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒到2分钟)；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN/ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃，既使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去响应，这种情况就称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。 * 防范 SYN 洪泛攻击的手段较多，其中比较有效的方式是 SYN cookie 发动攻击的主机只要发送较少的、源地址经过伪装而且无法通过路由达到的SYN连接请求至目标主机提供TCP服务的端口，将目的主机的TCP缓存队列填满，就可以实施一次成功的攻击。实际情况下，发动攻击时往往是持续且高速的。这里需要使用经过伪装且无法通过路由达到的源IP地址。由此可以看到，这种攻击方式利用了现有TCP/IP协议本身的薄弱环节，而且攻击者可以通过IP伪装有效的隐蔽自己。但对于目的主机来说，由于无法判断攻击的真正来源，而不能采取有效的防御措施。 * IP数据报的首部长度和数据长度都是可变长的，但总是4字节的整数倍。对于IPv4，4位版本字段是4。 4位首部长度的数值是以4字节为单位的，最小值为5，也就是说首部长度最小是4x5=20字节，也就是不带任何选项的IP首部，4位能表示的最大值是15，也就是说首部长度最大是60字节。 8位TOS字段有3个位用来指定IP数据报的优先级（目前已经废弃不用），还有4个