沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章_第1頁(yè)
沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章_第2頁(yè)
沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章_第3頁(yè)
沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章_第4頁(yè)
沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章_第5頁(yè)
已閱讀5頁(yè),還剩47頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)安全第九章第9章互連網(wǎng)安全技術(shù)本章主要內(nèi)容互連網(wǎng)安全技術(shù)概述;安全路由;流量管制;NAT;VRRP。

9.1互連網(wǎng)安全技術(shù)概述本講主要內(nèi)容路由器和互連網(wǎng)結(jié)構(gòu);互連網(wǎng)安全技術(shù)范疇和功能。一、路由器和互連網(wǎng)結(jié)構(gòu)1.互連網(wǎng)結(jié)構(gòu)一、路由器和互連網(wǎng)結(jié)構(gòu)1.互連網(wǎng)結(jié)構(gòu)多個(gè)不同類型的網(wǎng)絡(luò)通過(guò)路由器連接在一起,路由器采用數(shù)據(jù)報(bào)交換方式,通過(guò)路由項(xiàng)指出通往每一個(gè)網(wǎng)絡(luò)的傳輸路徑,路由表是路由項(xiàng)的集合。連接在不同傳輸網(wǎng)絡(luò)上的兩個(gè)主機(jī)之間的傳輸路徑分為兩個(gè)層次,一是傳輸網(wǎng)絡(luò)建立的連接在同一傳輸網(wǎng)絡(luò)上的兩個(gè)結(jié)點(diǎn)之間的傳輸路徑。二是IP傳輸路徑,由源和目的主機(jī)、路由器和傳輸網(wǎng)絡(luò)組成。一、路由器和互連網(wǎng)結(jié)構(gòu)2.路由器作用路由器的作用主要有三個(gè),一是通過(guò)多個(gè)連接不同類型的傳輸網(wǎng)絡(luò)的接口實(shí)現(xiàn)不同類型傳輸網(wǎng)絡(luò)的互連,二是建立用于指明通往互連網(wǎng)中每一個(gè)網(wǎng)絡(luò)的傳輸路徑的路由項(xiàng),三是實(shí)現(xiàn)IP分組的轉(zhuǎn)發(fā)過(guò)程。一、路由器和互連網(wǎng)結(jié)構(gòu)黑客攻擊行為可以分為針對(duì)主機(jī)的攻擊行為、針對(duì)傳輸網(wǎng)絡(luò)的攻擊行為和針對(duì)路由器的攻擊行為。3.針對(duì)路由器的攻擊路由項(xiàng)欺騙攻擊;拒絕服務(wù)攻擊。二、互連網(wǎng)安全技術(shù)范疇和功能1.互連網(wǎng)安全技術(shù)范疇互連網(wǎng)安全技術(shù)可以分為三類,第一類是有著專門用途的安全技術(shù),如防火墻、入侵檢測(cè)系統(tǒng)和虛擬專用網(wǎng)(VPN)等。第二類是有著一般用途的安全技術(shù),如防路由項(xiàng)欺騙、NAT、流量管制等。第三類是用于提高互連網(wǎng)可靠性、容錯(cuò)性的技術(shù),如虛擬路由器冗余協(xié)議(VRRP)等。二、互連網(wǎng)安全技術(shù)范疇和功能只討論有著一般用途的安全技術(shù)和用于提高互連網(wǎng)可靠性、容錯(cuò)性的技術(shù)。2.互連網(wǎng)安全技術(shù)功能安全路由;流量管制;NAT;VRRP。9.2安全路由本講主要內(nèi)容防路由項(xiàng)欺騙攻擊機(jī)制;路由項(xiàng)過(guò)濾;單播反向路徑驗(yàn)證;策略路由。一、防路由項(xiàng)欺騙攻擊機(jī)制1.路由項(xiàng)欺騙攻擊過(guò)程一、防路由項(xiàng)欺騙攻擊機(jī)制1.路由項(xiàng)欺騙攻擊過(guò)程黑客終端發(fā)送一項(xiàng)LAN4與其直接相連的路由項(xiàng);路由器R1將通往LAN4傳輸路徑上的下一跳改為黑客終端;路由器R1將目的網(wǎng)絡(luò)是LAN4的IP分組轉(zhuǎn)發(fā)給黑客終端。一、防路由項(xiàng)欺騙攻擊機(jī)制2.路由項(xiàng)源端鑒別和完整性檢測(cè)路由器接收到路由消息后,必須確認(rèn)是合法路由器發(fā)送的,且路由消息包含的路由項(xiàng)沒(méi)有被篡改后,才對(duì)路由消息進(jìn)行處理,并根據(jù)處理結(jié)果修改路由表。一、防路由項(xiàng)欺騙攻擊機(jī)制2.路由項(xiàng)源端鑒別和完整性檢測(cè)

某個(gè)路由器組播路由消息時(shí),該路由器根據(jù)路由消息和密鑰K計(jì)算散列消息鑒別碼(HMAC),并將HMAC附在路由消息后面一起組播給其他相鄰路由器。一、防路由項(xiàng)欺騙攻擊機(jī)制2.路由項(xiàng)源端鑒別和完整性檢測(cè)

其他相鄰路由器接收到該路由消息后,首先根據(jù)路由消息和密鑰K計(jì)算HMAC,然后將計(jì)算結(jié)果和附在路由消息后面的HMAC比較,如果相同,表明發(fā)送者和接收者具有相同密鑰,且路由消息在傳輸過(guò)程中沒(méi)有被篡改。二、路由項(xiàng)過(guò)濾路由項(xiàng)過(guò)濾技術(shù)就是在公告的路由消息中屏蔽掉和過(guò)濾器中目的網(wǎng)絡(luò)匹配的路由項(xiàng),這樣做的目的是為了保證一些內(nèi)部網(wǎng)絡(luò)的對(duì)外部路由器的透明性。三個(gè)網(wǎng)絡(luò),其中兩個(gè)是內(nèi)部網(wǎng)絡(luò)。過(guò)濾器中的目的網(wǎng)絡(luò)包含兩個(gè)內(nèi)部網(wǎng)絡(luò)。路由消息中不包含被過(guò)濾器屏蔽掉的兩個(gè)內(nèi)部網(wǎng)絡(luò)。三、單播反向路徑驗(yàn)證單播反向路徑驗(yàn)證的目的是丟棄偽造源IP地址的IP分組;路由器通過(guò)檢測(cè)接收IP分組的端口和通往源終端的端口是否相同確定源IP地址是否偽造。193.1.1.5193.1.1.7193.1.1.5四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳輸路徑,這種特殊的傳輸路徑往往不是根據(jù)路由協(xié)議產(chǎn)生的通往該IP分組目的地的傳輸路徑。策略路由項(xiàng)分為兩部分,一部分是IP分組分類條件,它由IP首部和TCP首部字段值組成,和這些字段值相同的IP分組作為符合分類條件的IP分組。另一部分是下一跳地址。9.3流量管制本講主要內(nèi)容拒絕服務(wù)攻擊和流量管制;信息流分類;管制算法;流量管制抑止拒絕服務(wù)攻擊機(jī)制。一、拒絕服務(wù)攻擊和流量管制SYN泛洪攻擊過(guò)程一、拒絕服務(wù)攻擊和流量管制分布式拒絕服務(wù)(DDoS)攻擊過(guò)程一、拒絕服務(wù)攻擊和流量管制拒絕服務(wù)攻擊的共同點(diǎn)是黑客終端向攻擊目標(biāo)超量發(fā)送報(bào)文,因此,只要能夠限制某類報(bào)文的流量,就能夠抑制拒絕服務(wù)攻擊。二、信息流分類信息流分類是要從IP分組流中分離出屬于特定應(yīng)用的一組IP分組,如需要分離出建立TCP連接過(guò)程中的第一個(gè)請(qǐng)求報(bào)文,需要從IP分組流中分離出具有如下特征的IP分組:IP首部協(xié)議字段值:6(TCP);TCP首部控制標(biāo)志位:SYN=1,ACK=0。三、管制算法漏斗管制算法保證信息流恒速輸出;突發(fā)性信息流存儲(chǔ)在分組輸出隊(duì)列,隊(duì)列穩(wěn)定器以指定速率輸出分組;如果分組輸出隊(duì)列溢出,丟棄后續(xù)分組,如果分組輸出隊(duì)列空,輸出鏈路空閑。漏斗漏斗管制算法實(shí)現(xiàn)過(guò)程三、管制算法令牌生成器恒速生成令牌(每秒V令牌),但一旦令牌桶溢出,丟棄后續(xù)令牌,每一個(gè)令牌對(duì)應(yīng)K字節(jié),令牌桶容量為U令牌;如果分組輸出隊(duì)列頭的分組的字節(jié)數(shù)>(P-1)×K,則只當(dāng)令牌桶中包含的令牌數(shù)≥P時(shí),才允許輸出該分組,并從令牌桶中取走P個(gè)令牌,如果令牌桶中令牌數(shù)<P,停止輸出,直到令牌桶中令牌數(shù)≥P;平均輸出速率=V×K/s(單位字節(jié)),突發(fā)性數(shù)據(jù)長(zhǎng)度=U×K(單位字節(jié))。四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)物理結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)邏輯結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制SYN泛洪攻擊的流量管制器分類標(biāo)準(zhǔn)(1)目的IP地址=IPA或IPB(2)IP首部協(xié)議字段值=6(TCP)(3)TCP首部控制標(biāo)志位:SYN=1,ACK=0速率限制:平均傳輸速率=64kbps,突發(fā)性數(shù)據(jù)長(zhǎng)度=8000B四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制DDoS攻擊流量管制器分類標(biāo)準(zhǔn)(1)目的IP地址=IPA或IPB(2)IP首部協(xié)議字段值=1(ICMP)(3)ICMP類型字段值:8(ECHO請(qǐng)求)或0(ECHO響應(yīng))速率限制:平均傳輸速率=64kbps,突發(fā)性數(shù)據(jù)長(zhǎng)度=8000B9.4NAT本講主要內(nèi)容NAT概述;動(dòng)態(tài)PAT和靜態(tài)PAT;動(dòng)態(tài)NAT和靜態(tài)NAT;NAT的弱安全性。一、NAT概述NAT就是一種對(duì)從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的IP分組實(shí)現(xiàn)源IP地址內(nèi)部本地地址至內(nèi)部全球地址的轉(zhuǎn)換、目的IP地址外部本地地址至外部全球地址的轉(zhuǎn)換,對(duì)從外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的IP分組實(shí)現(xiàn)源IP地址外部全球地址至外部本地地址的轉(zhuǎn)換、目的IP地址內(nèi)部全球地址至內(nèi)部本地地址的轉(zhuǎn)換的技術(shù)。一、NAT概述三組私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共網(wǎng)絡(luò)使用的全球地址空間中不允許包含屬于這三組IP地址的地址空間一、NAT概述局域網(wǎng)接入Internet過(guò)程N(yùn)AT應(yīng)用一一、NAT概述內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互連NAT應(yīng)用二一、NAT概述內(nèi)部網(wǎng)絡(luò)之間相互通信NAT應(yīng)用三二、動(dòng)態(tài)PAT和靜態(tài)PAT內(nèi)部網(wǎng)絡(luò)終端發(fā)送的IP分組,進(jìn)入Internet時(shí),以邊緣路由器連接Internet端口的全球IP地址為源IP地址,為了正確鑒別源終端,用內(nèi)部網(wǎng)絡(luò)唯一的源端口號(hào)取代IP分組終端唯一的源端口號(hào)。內(nèi)部網(wǎng)絡(luò)唯一的源端口號(hào)和內(nèi)部網(wǎng)絡(luò)終端之間的綁定以會(huì)話為單位,會(huì)話開始時(shí)通過(guò)地址轉(zhuǎn)換表建立綁定,會(huì)話結(jié)束時(shí)取消綁定;端口地址轉(zhuǎn)換技術(shù)只能用于IP分組凈荷是運(yùn)輸層報(bào)文的情況。二、動(dòng)態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器的過(guò)程,需要靜態(tài)配置服務(wù)器本地地址與局域網(wǎng)內(nèi)唯一端口號(hào)之間的映射三、動(dòng)態(tài)NAT和靜態(tài)NAT動(dòng)態(tài)地址轉(zhuǎn)換以會(huì)話為單位,會(huì)話開始時(shí)在全球IP地址池中分配一個(gè)未使用的IP地址,并在地址轉(zhuǎn)換表中將全球IP地址和本地地址之間的綁定與會(huì)話關(guān)聯(lián)在一起,會(huì)話結(jié)束時(shí)取消綁定和關(guān)聯(lián);IP分組進(jìn)入Internet時(shí),用全球IP地址取代本地地址。IP分組進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí),用本地地址取代全球IP地址;動(dòng)態(tài)NAT不需改動(dòng)源端口號(hào),因此,原則可用于IP分組凈荷不是運(yùn)輸層報(bào)文的情況。三、動(dòng)態(tài)NAT和靜態(tài)NAT端口地址轉(zhuǎn)換和動(dòng)態(tài)NAT在建立本地地址和全球IP地址之間綁定前,內(nèi)部網(wǎng)絡(luò)終端對(duì)外部網(wǎng)絡(luò)是透明的。而且,建立本地地址和全球IP地址之間綁定的操作由內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間會(huì)話的過(guò)程實(shí)現(xiàn),因此,只允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間的會(huì)話,這樣,增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性,但不允許外部網(wǎng)絡(luò)終端發(fā)起和內(nèi)部網(wǎng)絡(luò)終端之間的會(huì)話;靜態(tài)NAT將建立本地地址和全球IP地址的固定關(guān)聯(lián),這樣,允許外部網(wǎng)絡(luò)終端隨時(shí)通過(guò)該全球IP地址訪問(wèn)和該全球IP地址建立固定關(guān)系的本地地址所標(biāo)識(shí)的內(nèi)部網(wǎng)絡(luò)終端。四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外,在內(nèi)部網(wǎng)絡(luò)終端發(fā)起某個(gè)會(huì)話前,外部網(wǎng)絡(luò)終端是無(wú)法訪問(wèn)到內(nèi)部網(wǎng)絡(luò)終端的,因此,也無(wú)法發(fā)起對(duì)內(nèi)部網(wǎng)絡(luò)終端的攻擊,這是NAT被作為網(wǎng)絡(luò)安全機(jī)制的主要原因。9.5VRRP本講主要內(nèi)容容錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu);VRRP工作原理;VRRP應(yīng)用實(shí)例。一、容錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu)每一個(gè)以太網(wǎng)內(nèi)部通過(guò)鏈路冗余和生成樹協(xié)議保證在發(fā)生單條鏈路故障的情況下仍然保持連接在同一以太網(wǎng)上的終端之間的連通性。同時(shí),路由器R1和R2分別有接口連接到兩個(gè)以太網(wǎng),保證在其中一個(gè)路由器發(fā)生故障的情況下仍然保持連接在不同以太網(wǎng)上的終端之間的連通性。二、VRRP工作原理多個(gè)有接口連接在同一個(gè)網(wǎng)絡(luò)上的VRRP路由器構(gòu)成一個(gè)虛擬路由器,這些VRRP路由器中只有一個(gè)VRRP路由器是主路由器,其他路由器為備份路由器,每一個(gè)虛擬路由器分配唯一的8位二進(jìn)制數(shù)的虛擬路由器標(biāo)識(shí)符,對(duì)虛擬路由器配置多虛擬IP地址,虛擬IP地址與MAC地址00-00-5E-00-01-{VRID}綁定。二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的虛擬路由器分別為路由器R1和R2的接口1分配IP地址為路由器R1和R2的接口1分配優(yōu)先級(jí)為VRID為2的虛擬路由器分配虛擬IP地址該IP地址成為連接在網(wǎng)絡(luò)上的終端的默認(rèn)網(wǎng)關(guān)地址虛擬路由器根據(jù)VRID=2生成虛擬MAC地址00-00-5E-00-01-02

二、VRRP工作原理二、VRRP工作原理每一個(gè)VRRP路由器啟動(dòng)后,處于初始化狀態(tài),如果該VRRP路由器是IP地址擁有者,立即成為主路由器,發(fā)送圖VRRP報(bào)文,然后,周期性地發(fā)送VRRP報(bào)文

主路由器接收到VRRP報(bào)文,如果發(fā)送VRRP報(bào)文的路由器的優(yōu)先級(jí)更高,主路由器立即轉(zhuǎn)換為備份路由器,停止發(fā)送VRRP報(bào)文備份路由器接收到VRRP報(bào)文,如果備份路由器的優(yōu)先級(jí)更高,且備份路由器允許搶占方式,轉(zhuǎn)換為主路由器,發(fā)送VRRP報(bào)文

二、VRRP工作原理主路由器功能必須對(duì)請(qǐng)求解析虛擬IP地址的ARP請(qǐng)求報(bào)文做出響應(yīng);必須對(duì)封裝在以虛擬MAC地址為目的MAC地址的MAC幀中的IP分組進(jìn)行轉(zhuǎn)發(fā)操作;在成為主路由器時(shí),立即發(fā)送將所有虛擬IP地址綁定到虛擬MAC地址的ARP報(bào)文,使得網(wǎng)絡(luò)內(nèi)的所有終端將默認(rèn)網(wǎng)關(guān)地址與虛擬MAC地址綁定在一起。備份路由器功能不對(duì)請(qǐng)求解析虛擬IP地址的ARP請(qǐng)求報(bào)文做出響應(yīng);丟棄接收到的以虛擬MAC地址為目的地址的MAC幀;丟棄接收到的以虛擬IP地址為目的地址的IP分組。二、VRRP工作原理如果終端在ARP緩存中找不到與默認(rèn)網(wǎng)關(guān)地址綁定的MAC地址,會(huì)發(fā)送一個(gè)請(qǐng)求解析該默認(rèn)網(wǎng)關(guān)地址的ARP請(qǐng)求報(bào)文,該ARP請(qǐng)求報(bào)文在終端所連接的網(wǎng)絡(luò)中廣播,連接在該網(wǎng)絡(luò)上的所有VRRP路由器都接收到該ARP請(qǐng)求報(bào)文,但只有主路由器對(duì)該ARP請(qǐng)求報(bào)文做出響應(yīng),并在ARP響應(yīng)報(bào)文中將虛擬MAC地址與默認(rèn)網(wǎng)關(guān)地址綁定在一起。

二、VRRP工作原理當(dāng)路由器R2成為主路由器時(shí),立即發(fā)送一個(gè)VRRP報(bào)文,該VRRP報(bào)文最終被封裝成

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論