TCPIP协议簇及安全性分析课件.pptx

《TCPIP协议簇及安全性分析课件.pptx》由会员分享，可在线阅读，更多相关《TCPIP协议簇及安全性分析课件.pptx（95页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第2章TCP/IP协议簇及安全性分析2.1TCP/IP2.1TCP/IP协议概述协议概述2.22.2网络接口层面临的安全威胁网络接口层面临的安全威胁2.32.3网络层面临的安全威胁网络层面临的安全威胁2.42.4传输层面临的安全威胁传输层面临的安全威胁2.52.5应用层面临的安全威胁应用层面临的安全威胁2.62.6网络监听网络监听第2章TCP/IP协议簇及安全性分析教学目标教学目标1.1.掌握掌握TCP/IPTCP/IP协议模型的特点及所采用的安全机制；协议模型的特点及所采用的安全机制；2.2.掌掌握握物物理理层层次次、网网络络层层、传传输输层层、应应用用层层上上使使用用的的主主要安全协议、安

2、全机制、工作原理和基本处理过程；要安全协议、安全机制、工作原理和基本处理过程；3.3.了了解解协协议议的的基基本本认认知知，掌掌握握IPIP协协议议、TCPTCP协协议议、UDPUDP协议、协议、DNSDNS协议、协议、HTTPHTTP协议；协议；4.4.掌握常用网络服务使用的协议和端口号；掌握常用网络服务使用的协议和端口号；5.5.了了解解网网络络攻攻击击技技术术中中的的网网络络扫扫描描和和监监听听技技术术原原理理，掌掌握网络监听工具的使用。握网络监听工具的使用。2.1TCP/IP协议概述以以TCP/IPTCP/IP协协议议为为核核心心的的计计算算机机网网络络是是重重要要的的基基础础设设施施

3、之之一一,且且已已成成为为信信息息交交流流与与共共享享的的基基础础。但但是是,TCP/IP,TCP/IP协协议议在在设设计计之之初初未未考考虑虑安安全全问问题题，自自然然存存在在漏漏洞洞和和脆脆弱弱性性。掌掌握握TCP/IPTCP/IP网网络络的的安安全全风风险险，有有利利于于防防范范恶恶意意网网络络攻攻击击、排排除除系系统统与与网网络络漏漏洞洞，为为网网民民提提供供个个安安全全可可靠靠的的网网络络环环境。境。分分层层是是TCP/IPTCP/IP乃乃至至网网络络通通信信最最核核心心的的策策略略和和模模式式，分分层层使使得得所所有有的的网网络络应应用用程程序序不不用用关关心心底底层层链链路路传传

4、输输的的细细节节，也也使使得得不不同同类类型型的的网网络络有有效效地地互互通通。这这是是一一种种典典型型的的化化繁繁为为简简，把把复复杂杂的的事事情情分分解解到到不不同同层层面面的的策策略略，层层与与层层之之间间是是服服务务与与被被服服务务的的关关系系，每每层层只只需需关关注注所所在在维维度度的事情。的事情。2.1TCP/IP协议概述TCP/IPTCP/IP是是一一套套用用于于计计算算机机机机通通信信的的协协议议，它它规规范范了了网网络络上上的的所所有有通通信信设设备备，尤尤其其是是主主机机与与另另一一个个主主机机之之间间的的数数据据往往来来格格式式以以及及传传输输方方式式，TCP/IPTCP

5、/IP是是一一个个4 4层层协协议议栈栈，包包括括网网络络接接口口层层、网网络络（互互联联网网）层层、送送输输（传输）（传输）层和应用层和应用层层。如如2-12-1中中，主主机机A(A(信信源源)和和主主机机B(B(信信宿宿)之之间间的的TCP/IPTCP/IP通通信信,逻逻辑辑传传输输线线路表明了数据传输的方向，实际传输线路表明了数据的真实传输链路路表明了数据传输的方向，实际传输线路表明了数据的真实传输链路应应用用层层直直接接为为网网络络提提供供服服务务,使使得得应应用用程程序序能能通通过过网网络络收收发发数数据据;应应用用层层定义了到运输层的套接字接口定义了到运输层的套接字接口(Socke

6、t),(Socket),并且与操作系统无关。并且与操作系统无关。运运输输（传传输输）层层负负责责向向应应用用层层提提供供两两种种服服务务，即即面面向向连连接接的的服服务务T TCPCP和无连接的服务和无连接的服务UUDPDP。网网络络层层负负责责对对数数据据包包提提供供路路由由选选择择，所所谓谓路路由由选选择择是是指指决决定定一一个个数数据据包的具体传输路径，并以最高的效率抵达目的地。包的具体传输路径，并以最高的效率抵达目的地。2.1TCP/IP协议概述TCP/IP协议工作原理协议工作原理TCP/PTCP/P协协议议族族中中，IPIP和和TCPTCP功功能能不不相相同同，它它们们是是在在同同一

7、一时时期期作作为为一一个个协协议议来来设设计计的的,并并且且在在功功能能上上也也是是互互补补的的。虽虽然然它它们们可可以以分分开开单单独独使使用用，但但是是只只有有两两者者结结合合才才能能保保证证InternetInternet在在复复杂杂的的环环境境下下正正常常远远行行。连连接接InternetInternet的的计计算算机机的的必必须须同同时时安安装装和和使使用用这这两两个个协协议议，因因此此在在实实际际中中常常把把这这两两个个协协议议统统称称为为T TC CP P/IPIP协协议议。ICPICP/IPIP协协议议族族各各关关系系如如图图2-22-2TCP/IP协议工作原理协议工作原理网网

8、络络层层：ICMPICMP是是IPIP的的附附属属协协议议,IP,IP用用它它来来与与其其他他主主机机或或路路由由器器交交换换错错误误报报文文或或其其他他摘摘要要信信息息。IGMPIGMP是是InternetInternet组组管理协议，它用来把一个管理协议，它用来把一个UUDDP P数据包多播到多个主机。数据包多播到多个主机。链链路路层层：ARPARP和和RARPRARP是是以以太太网网网网络络接接口口使使用用的的特特殊殊协协议议，它们用来转换网络接口的它们用来转换网络接口的MACMAC地址和对应的地址和对应的IPIP地址。地址。TCP/IP协议工作原理TCP/IP协议工作原理协议工作原理封

9、装和分用封装和分用为为了了实实现现和和支支持持分分层层策策略略，TCP/IPTCP/IP在在数数据据包包设设计计上上采采用用封封装装和和分分用用的的策策略略，所所谓谓封封装装就就是是在在应应用用程程序序在在发发送送数数据据的的过过程程中中，每每一一层层都都增增加加一一些些首首部部信信息息，这这些些信信息息用用于于和和接接收端同层次进行沟通。收端同层次进行沟通。目目的的主主机机在在接接收收端端的的处处理理过过程程就就正正好好相相反反（与与封封装装比比较较），也也就就是是所所谓谓的的分分用用策策略略，数数据据从从底底层层到到最最上上层层的的应应用用程程序序过过程程中中，数数据据被被逐逐层层拆拆分分

10、，每每一一层层取取出出自自己己所所需需要要的的信信息息。每每层层协协议议盒盒都都要要去去检检查查报报文文首首部部中中的的标标识识协协议议，以以确确定定接接收数据的上层协议。这个过程称为收数据的上层协议。这个过程称为分用分用，如图，如图2-32-3所示。所示。TCP/IP协议协议套接字通信套接字通信应应用用层层通通过过运运输输（传传输输）层层进进行行数数据据通通信信时时,TCP,TCP和和UDPUDP会会遇遇到到同同时时为为多多个个进进程程提提供供并并发发服服务务的的问问题题。多多个个TCPTCP进进程程或或连连接接需需要要通通过过同同一一个个TCPTCP协协议议端端口口传传输输数数据据，为为了

11、了区区别别不不同同的的进进程程或或连连接接，操操作作系系统统为为进进程程与与 TCP/IPTCP/IP交交互互提提供供称称为为套套接接字字(Socket)(Socket)的的接接口口。套套接接字字分分为为流流式式套套接字接字和和数据报套接字数据报套接字两类。两类。流流式式套套接接字字用用于于TCPTCP协协议议.为为需需要要可可靠靠连连接接的的应应用用程程序序设设计计,这这些些程程序序通通常常使使用用连连续续的的数数据据流流，一一些些应应用用层层协协议议如如HTTPHTTP、FTPFTP、SMTPSMTP、POP3POP3使用它。使用它。数数据据报报套套接接字字用用于于UDPUDP协协议议，是

12、是无无连连接接的的,为为对对可可靠靠性性要要求求不不高高的的应应用用程程序序而而设设计计，不不保保证证数数据据会会到到达达终终端端,也也不不保保证证以以正正确确的的顺顺序序到到达达；数数据据报报套套接接字字传传输输效效率率相相当当高高,用用于于音音频频或或视视频频应应用用程程序序,这这些些程程序序要要求求速速度比可靠性更加重要。度比可靠性更加重要。2.TCP/IP协议套接字通信TCP/IP协议协议套接字通信套接字通信区区分分不不同同应应用用程程序序进进程程间间的的网网络络通通信信，主主要要有有3 3个个参参数数，即即目目的的IPIP地地址址、传输层协议传输层协议(TCP(TCP或或UDP)UD

13、P)和端口号。和端口号。将将这这3 3个个参参数数与与SocketSocket绑绑定定,应应用用层层和和传传输输层层通通过过套套接接字字接接口口，可可以以区区分分来自不同应用程序进程或网络连接的通信来自不同应用程序进程或网络连接的通信,从而实现数据传输的并发服务。从而实现数据传输的并发服务。与与SocketSocket套接字相关的系统调用有：套接字相关的系统调用有：socket(socket(创建一个套接字创建一个套接字)close(close(关闭一个套接字关闭一个套接字)connect(connect(在两个套接字之间创建连接在两个套接字之间创建连接)bind(bind(将一个服务器套接字

14、绑定一个地址将一个服务器套接字绑定一个地址)listen(listen(设置一个套接字为接受连接状态设置一个套接字为接受连接状态)accepl(accepl(接受接受-个连接请求个连接请求,并为新建立的连接创建一个新的套接字并为新建立的连接创建一个新的套接字)。2.2网络接口层面临的安全威胁TCP/IPTCP/IP分分层层体体系系中中，数数据据链链路路层层和和物物理理层层合合称称为为网网络络接接口口层层。网网络络接接口口层层将将上上层（网络层）协议数据发送到网络媒介上，并从网络媒介接收数据。层（网络层）协议数据发送到网络媒介上，并从网络媒介接收数据。最最常常见见的的网网络络接接口口技技术术是是

15、以以太太网网。以以太太网网采采用用星星状状拓拓扑扑结结构构，使使用用交交换换机机连连接接网网络络节节点点。交交换换机机以以帧帧的的概概念念进进行行工工作作,根根据据交交换换机机表表来来决决定定把把到到达达的的帧帧发发送送到到哪哪个个端端口口，而而不不是是广广播播接接收收到到的的帧帧。正正是是由由于于这这个个原原理理，不不同同的的端端口口对对之之间间可可以以同同时时进进行行数数据据交交换换，提提高高了了网网络络的的性性能能。交交换换机机表表的的每每个个表表项项包包括括3 3个个字字段段，即即节节点点的的MACMAC地地址址、该该MACMAC地地址址对对应应的的端端口口、该该表表项项在在表表中中的

16、的时时间间。交交换换机机通通过过自自学学习习功功能能建建立立交交换换机机表表，即即通通过过观观察察帧帧的的源源MACMAC地地址址和和达达到到端端口口来来建建立立MACMAC地地址址和和端端口口的的映映射射关关系系。由由于于交交换换机机不不采采用用广广播播方方式式进进行行数数据据传传送送，因因此此能能在在-定定程程度度上上降降低低被被窃窃听听的的风风险险。但但是是,对对于于以以下下两两种种情情况况,交交换换机机会会采采用用广广播播方式发送数据方式发送数据:第一，如果帧的目的第一，如果帧的目的MACMAC地址为广播地址地址为广播地址第二，如果帧的目的第二，如果帧的目的MACMAC地址在交换机表中

17、查不到对应的表项，则广播该帧。地址在交换机表中查不到对应的表项，则广播该帧。2.2网络接口层面临的安全威胁由由此此可可见见，在在交交换换式式以以太太网网中中仍仍然然可可以以嗅嗅探探到到一一些些其其他他节节点点之之间间交交换换的的数数据据帧帧。同同时时，交交换换机机表表的的空空间间是是有有限限，新新的的“MACMAC地地址址-端端口口”映映射射对对的的到到达达会会替替换换旧旧的的表表项项。如如果果攻攻击击者者发发送送大大量量不不同同伪伪造造源源MACMAC地地址址的的帧帧，由由于于交交换换机机的的自自学学习习功功能能,这这些些新新的的“MAC“MAC地地址址-端端口口”映映射射对对会会填填充充整

18、整个个交交换换机机表表.而而这这些些表表项项都都是是无无效效的的,结结果果交交换换机机完完全全退退化化为为广广播播模模式式，使使攻攻击击者者达达到到窃窃听听数数据据的的目目的的，该该攻攻击击称称为为交换机毒化交换机毒化。以以太太网网以以帧帧作作为为协协议议数数据据单单元元,最最常常用用的的帧帧格格式式是是类类型型II II以以太太网网帧帧格格式式，如如图图2-52-5所所示。其中：示。其中：前同步码和前同步码和CRCCRC校验由硬件进行处理，因此通过抓包工具校验由硬件进行处理，因此通过抓包工具WiresharkWireshark得不到这两个字段的信息。得不到这两个字段的信息。目目的的MACMA

19、C用用于于指指明明这这个个数数据据帧帧的的目目的的节节点点,而而源源MACMAC用用于于指指明明这这个个帧帧的的发发送送者者,这这两两个个字字段段分分别别占占用用4848位。位。以太类型以太类型,该字段说明帧的有效载荷类型，常见的以太类型的含义如表该字段说明帧的有效载荷类型，常见的以太类型的含义如表2-12-1所示。所示。在在图图2-52-5中中，该该帧帧的的目目的的MACMAC地地址址为为FF-FF-FF-FF-FF-FF,FF-FF-FF-FF-FF-FF,表表示示这这个个帧帧是是广广播播帧帧;而而源源MACMAC地地址址为为00-1F-CA-5D-E3-55;00-1F-CA-5D-E3

20、-55;类类型型字字段段为为0 x08060 x0806，表表明明这这个个帧帧承承载载的的是是ARPARP数据。数据。ffffffffffff001fca5de35508060001080006040001001fca5de3553cffc8010000000000003cffc9730000000000000000000000000000000048位48位48位16位461500字节32位前同步码目的MAC源MAC类型IPv4,IPv6ARP,RARPCRC校验2.2.1以太网面临的安全威胁常见以太网类型含义以太类型有效载荷的类型0 x0800IPv4协议包0 x0806ARP协议包0 x

21、86DDIPv6协议包0 x8035RARP协议包综综上上所所述述，以以太太网网所所面面临临的的安安全全威威胁胁主主要要是是窃窃听听，即即可可能能对对数数据据通通信信的的机机密密性性造造成成威威胁胁。对对于于采采用用集集线线器器连连接接的的以以太太网网，这这种种威威胁胁是是难难以以避避免免的的；对对于于通通过过交交换换机连接的以太网，可以在一定程度上降低这种风险。机连接的以太网，可以在一定程度上降低这种风险。2.2.2ARP面临的安全威胁1.ARP工作原理在在TCP/IPTCP/IP协协议议栈栈中中,网网络络层层数数据据需需要要通通过过下下层层的的物物理理网网络络传传输输到到下下一一节节点点,

22、因因此此需需要要将将IPIP地地址址映映射射到到物物理理地地址址,即即地地址址解解析析。对对于于以以太太网网来来说说,ARPARP实实现现IPIP地地址址映映射射到到MACMAC地地址址,RARPRARP实实现现MACMAC地地址址映映射射到到IPIP地地址址。ARPARP协协议议包包括括两两种种类类型型的的包包，即即ARPARP请请求求和和ARPARP应应答答。ARPARP请请求求报报文文包包括括IPIP地地址址,ARP,ARP应应答答报报文文提提供供MACMAC地地址址。ARPARP消息的格式如图消息的格式如图2-62-6所示。所示。(1)(1)硬件类型硬件类型:表示硬件地址的类型，它的值

23、为表示硬件地址的类型，它的值为1 1表示以太网地址。表示以太网地址。(2)(2)协议类型协议类型:表示要映射的协议地址类型表示要映射的协议地址类型,它的值为它的值为0 x08000 x0800即表示即表示IPv4IPv4地址。地址。(3)(3)硬硬件件地地址址长长度度和和协协议议地地址址长长度度:分分别别指指出出硬硬件件地地址址和和协协议议地地址址的的长长度度，以以字字节节为为单单位位:对对于于以以太太网网上上IPIP地地址的址的ARPARP请求或应答来说，它们的值分别为请求或应答来说，它们的值分别为6 6和和4 4。(4)(4)操作类型操作类型:1:1表示表示ARPARP请求请求,2,2表示

24、表示ARPARP应答。应答。(5)(5)发送方硬件地址发送方硬件地址:发送方设备的发送方设备的MACMAC地址。地址。(6)(6)发送方协议地址发送方协议地址:发送方设备的发送方设备的IPIP地址。地址。(7)(7)接收方硬件地址接收方硬件地址:接收方设备的接收方设备的MACMAC地址。地址。(8)(8)接收方协议地址接收方协议地址:接收方设备的接收方设备的IPIP地址。地址。07815硬件类型HwType协议类型ProtoType硬件地址长度HwSize协议地址长度ProtoSize操作OP发送方硬件地址SHA发送方协议地址SPA接收方硬件地址THA接收方协议地址SPAHwTypeProto

25、TypeHwSizeProtoSizeOP SHA SPA THA SPAARP消息的一种更简洁的表示方式消息的一种更简洁的表示方式A ARPRP工作工作过程：（假设：过程：（假设：主机主机A A的的IPIP地址为地址为192.168.1.192.168.1.1 10101，主机，主机C C的的IPIP地址为地址为192.168.1.192.168.1.1 10303；）当当主主机机A A要要与与主主机机C C通通信信时时，地地址址解解析析协协议议可可以以将将主主机机C C的的IPIP地地址址（192.168.1.192.168.1.1 10303）解解析析成成主主机机C C的的MACMAC地

26、地址址，以下为工作流程：以下为工作流程：第第1 1步步：根根据据主主机机A A上上的的ARPARP缓缓存存内内容容，IPIP确确定定用用于于访访问问主主机机C C的的转转发发IPIP地地址址是是192.168.1.192.168.1.1 10303。然然后后A A主主机机在在自自己的本地己的本地ARPARP缓存中检查主机缓存中检查主机C C的匹配的匹配MACMAC地址。地址。第第2 2步步：如如果果主主机机A A在在ARPARP缓缓存存中中没没有有找找到到映映射射，它它将将询询问问192.168.1.192.168.1.1 10303的的硬硬件件地地址址，从从而而将将ARPARP请请求求帧帧广

27、广播播到到本本地地网网络络上上的的所所有有主主机机。源源主主机机A A的的IPIP地地址址和和MACMAC地地址址都都包包括括在在ARPARP请请求求中中。本本地地网网络络上上的的每每台台主主机机都都接接收收到到ARPARP请请求求并并且且检检查查是是否否与与自自己己的的IPIP地地址址匹匹配配。如如果果主主机机发发现现请请求求的的IPIP地地址址与与自自己己的的IPIP地地址址不不匹匹配配，它它将将丢丢弃弃ARPARP请求。请求。第第3 3步步：主主机机B B确确定定ARPARP请请求求中中的的IPIP地地址址与与自自己己的的IPIP地地址址匹匹配配，则则将将主主机机A A的的IPIP地地址

28、址和和MACMAC地地址址映映射射添添加加到到本本地地ARPARP缓存中。缓存中。第第4 4步：主机步：主机C C将包含其将包含其MACMAC地址的地址的ARPARP回复消息直接发送回主机回复消息直接发送回主机A A。第第5 5步步：当当主主机机A A收收到到从从主主机机C C发发来来的的ARPARP回回复复消消息息时时，会会用用主主机机C C的的IPIP和和MACMAC地地址址映映射射更更新新ARPARP缓缓存存。本本机机缓缓存存是是有有生生存存期期的的，生生存存期期结结束束后后，将将再再次次重重复复上上面面的的过过程程。主主机机C C的的MACMAC地地址址一一旦旦确确定定，主主机机A A

29、就就能能向向主主机机C C发发送送IPIP通信了。通信了。A ARPRP缓缓 存存 表表 中中 的的 内内 容容（IP-IP-MACMAC映射表）：映射表）：在在命命令令提提示示符符中中输输人人“arp-arp-a”a”命命令令,则则输输出出ARPARP缓缓存存中中的内容。的内容。ARPARP表表中中的的表表项项分分为为两两类类，即静态和动态。即静态和动态。静静态态ARPARP表表项项具具有有永永久久的的生生命命期期，在在WindowsWindows下下可可以以通通过过“arp-aarp-aipipmac”mac”命命令令来来添加添加;而而动动态态表表项项是是通通过过对对ARPARP响响应获得

30、的应获得的IP-MACIP-MAC映射。映射。2.ARP欺骗 正正正正常常常常情情情情况况况况下下下下,假假假假定定定定主主主主机机机机A(192.A(192.168.0.168.0.4)4)想想想想要要要要通通通通过过过过网网网网关关关关(192.168.(192.168.0.2)0.2)访访访访问问问问因因因因特特特特网网网网。它它它它以以以以广广广广播播播播方方方方式式式式发发发发送送送送ARPARP请请请请求求求求,要要要要求求求求获获获获得得得得网网网网关关关关的的的的MACMAC地地地地址址址址。交交交交换换换换机机机机收收收收到到到到ARPARP请请请请求求求求,并并并并将将将将

31、请请请请求求求求包包包包转转转转发发发发给给给给各各各各个个个个主主主主机机机机。同同同同时时时时,交交交交换换换换机机机机将将将将更更更更新新新新MACMAC地地地地址址址址和和和和端端端端口口口口之之之之间间间间的的的的映映映映射射射射表表表表，主主主主机机机机A A将将将将绑绑绑绑定定定定它它它它所所所所连连连连接接接接的的的的端端端端口口口口。网网网网关关关关收收收收到到到到ARPARP请请请请求求求求后后后后，发发发发出出出出带带带带有有有有网网网网关关关关的的的的MACMAC地地地地址址址址的的的的ARPARP响响响响应应应应，网网网网关关关关更更更更新新新新ARPARP缓缓缓缓存

32、存存存表表表表,绑绑绑绑定定定定主主主主机机机机A A的的的的IPIP地地地地址址址址和和和和MACMAC地地地地址址址址。交交交交换换换换机机机机收收收收到到到到网网网网关关关关对对对对主主主主机机机机A A的的的的ARPARP响响响响应应应应后后后后，直直直直找找找找它它它它的的的的MACMAC地地地地址址址址和和和和端端端端口口口口之之之之间间间间的的的的映映映映射射射射表表表表,转转转转发发发发ARPARP数数数数据据据据包包包包到到到到相相相相应应应应端端端端口口口口，同同同同时时时时，交交交交换换换换机机机机更更更更新新新新它它它它的的的的MACMAC地地地地址址址址和和和和端端端

33、端口口口口之之之之间间间间的的的的映映映映射射射射表表表表，即即即即将将将将192.168.0.2192.168.0.2绑绑绑绑定定定定到到到到它它它它所所所所连连连连接接接接的的的的端端端端口口口口，主主主主机机机机A A收收收收到到到到ARPARP响响响响应应应应数数数数据据据据包包包包后后后后.更更更更新新新新ARPARP缓缓缓缓存存存存表表表表,继继继继而而而而绑绑绑绑定定定定网网网网关关关关的的的的IPIP地地地地址址址址和和和和MACMAC地地地地址址址址。主主主主机机机机A A使使使使用用用用更更更更新新新新后后后后的的的的MACMAC地地地地址址址址信信信信息息息息把把把把数数

34、数数据据据据发发发发送给网关送给网关送给网关送给网关,通信信道就此建立。通信信道就此建立。通信信道就此建立。通信信道就此建立。2.ARP欺骗 ARPARP协协议议用用于于IPIP地地址址到到MACMAC地地址址的的转转换换，该该地地址址的的映映像像关关系系存存储储在在ARPARP缓缓存存表表中中。如如果果黑黑客客攻攻击击ARPARP缓缓存存表表,将将导导致致应应该该发发送送给给正正确确主主机机的的数数据据包包由由攻攻击击者者转转发发给给其其他他指指定定的的另另外外的的目标主机目标主机。ARPARP攻攻击击的的攻攻击击原原理理：ARPARP攻攻击击就就是是通通过过伪伪造造IPIP地地址址和和MA

35、CMAC地地址址实实现现ARPARP欺欺骗骗，能能够够在在网网络络中中产产生生大大量量的的ARPARP通通信信量量使使网网络络阻阻塞塞，攻攻击击者者只只要要持持续续不不断断的的发发出出伪伪造造的的ARPARP响响应应包包就就能更改目标主机能更改目标主机ARPARP缓存中的缓存中的IP-MACIP-MAC缓存表缓存表缓存表缓存表，造成网络中断或中间人攻击。，造成网络中断或中间人攻击。对于使用集线器的局域网环境对于使用集线器的局域网环境,攻击者只需把网卡设置为混杂模式攻击者只需把网卡设置为混杂模式即可。即可。对对于于使使用用交交换换机机的的局局域域网网，攻攻击击者者会会试试探探交交换换机机是是否否

36、存存在在失失败败保保护护模模式式。由由于于交交换换机机维维护护IPIP地地址址和和MACMAC地地址址的的映映像像关关系系需需要要花花费费一一定定的的处处理理时时间间，当当网网络络通通信信出出现现大大量量虚虚假假MACMAC地地址址时时,某某些些类类型型的的交交换换机机会会出出现现过过载载情情况况，从从而而转转换换到到失失败败保保护护模模式式,其其工工作作方方式式和和集集线线器器相相同。如果交换机不存在失败保护模式，则攻击者就会使用同。如果交换机不存在失败保护模式，则攻击者就会使用ARPARP欺骗。欺骗。ARPARP欺欺骗骗需需要要攻攻击击者者主主机机具具有有IPIP数数据据包包的的转转发发能

37、能力力，并并拥拥有有两两块块网网卡卡，假假设设IPIP地地址址分分别别是是192.192.168.0.5168.0.5和和192.192.168.0.168.0.6,6,分分别别插插人人交交换换机机的的两两个个端端口口，他他准准备备截截获获目目标标主主机机192.192.16.0.316.0.3和网关和网关192.168.0.2192.168.0.2之间的通信，如图之间的通信，如图2-92-9所示。所示。2.ARP欺骗攻击主机攻击主机192.168.0.6发送发送ARP应答应答包给被攻击主机包给被攻击主机192.168.0.3和网关和网关192.168.0.2，分别修改它们的，分别修改它们的A

38、RPIP-MAC缓存表缓存表,将它们的将它们的IP地址所地址所对应的对应的MAC地址，全修改为攻击主地址，全修改为攻击主机机192.168.0.6的的MAC地址地址，这样它，这样它们之间数据都被攻击主机们之间数据都被攻击主机192.168.0.6截获。截获。2.ARP欺骗在在ARPARP欺欺骗骗的的情情况况下下,攻攻击击者者必必须须诱诱使使目目标标主主机机(192.168.(192.168.O.O.3)3)和和网网关关(192.168.(192.168.0.2)0.2)与与他他通通信信。这这样样,攻攻击击者者就就伪伪装装成成路路由由器器，使使目目标标主主机机和和网网关关之间所有数据通信都经由攻

39、击者的主机转发之间所有数据通信都经由攻击者的主机转发,攻击者就能对数据进行随意处理。攻击者就能对数据进行随意处理。如如果果攻攻击击者者执执行行两两次次ARPARP欺欺骗骗,打打开开两两个个命命令令界界面面，就就能能同同时时欺欺骗骗目目标标主主机机和和网关。网关。ARPARP欺骗的防御方法是：欺骗的防御方法是：利利用用MACMAC地地址址静静态态（IP-MACIP-MAC）绑绑定定的的方方式式，将将需需要要通通信信双双方方的的MACMAC地地址绑定在该主机上址绑定在该主机上安装的杀毒软件（比如安装的杀毒软件（比如360360、腾讯电脑管家开启、腾讯电脑管家开启ARPARP防火墙）防火墙）修改本机

40、修改本机MACMAC地址，骗过攻击者地址，骗过攻击者2.ARP欺骗ARPARP欺骗的几个目的欺骗的几个目的阻断主机之间的通信阻断主机之间的通信如如果果攻攻击击者者的的目目的的是是阻阻断断受受骗骗主主机机的的通通信信，那那么么ARPARP欺欺骗骗包包指指定定的的网网卡卡一一般般是是局局域域网网内内不不存存在在的的一一块块网网卡卡，使使主主机机将将数数据据包包全全都都发发送送给给一一个个不不存存在在的的地地址址，造造成成通通信信失败。并且攻击目标只有一台受骗主机失败。并且攻击目标只有一台受骗主机阻断主机与互联网的连接（对内网阻断主机与互联网的连接（对内网PCPC的网关欺骗）的网关欺骗）它它通通知知

41、路路由由器器一一系系列列错错误误的的内内网网MACMAC地地址址，并并按按照照一一定定的的频频率率不不断断进进行行，使使真真实实的的地地址址信信息息无无法法通通过过更更新新保保存存在在路路由由器器中中，结结果果路路由由器器的的所所有有数数据据只只能能发发送送给给错错误误的的MACMAC地址，造成正常地址，造成正常PCPC无法收到信息。无法收到信息。通过通过ARPARP欺骗对受骗主机的流量进行嗅探，使数据流量重定向欺骗对受骗主机的流量进行嗅探，使数据流量重定向攻攻击击者者的的目目的的是是重重定定向向受受骗骗主主机机的的流流量量从从而而嗅嗅探探的的话话，那那么么ARPARP欺欺骗骗包包就就必必须须

42、指指定定自自己己的的网网卡卡，并并且且同同时时指指定定通通信信的的双双方方为为攻攻击击目目标标。也也就就是是我我们们常常说说的的，一一个个完完整整的的ARPARP欺骗是欺骗是“欺上瞒下欺上瞒下”的。的。2.3网络层面临的安全威胁1.IP1.IP协议协议IPIP协协议议是是 InternetInternet上上一一个个关关键键的的网网际际协协议议，通通过过IPIP协协议议可可使使InternetInternet成成为为一一个个连连接接异异构构计计算算机机系系统统的的网网络络。IPIP协协议议负负责责将将数数据据从从源源传传送送到到目目的的地地，但但不不保保证证传传送送的的可可靠靠性性，也也不不提

43、提供供流流量量控控制制、包包顺顺序序和和其其他他对对于于主主机机到到主主机机协协议议来来说很普通的服务。说很普通的服务。利利用用IPIP协协议议，可可以以将将多多个个包包交交换换网网络络连连接接起起来来，在在源源地地址址和和目目的的地地址址之之间间传传送送数数据据报报，并并提提供供数数据据包包的的重重新新组组装装功功能，以适应不同网络对包大小的要求。能，以适应不同网络对包大小的要求。2.3网络层面临的安全威胁IPIP协协议议由由主主机机到到主主机机协协议议调调用用，而而此此协协议议负负责责调调用用本本地地网网络协议将数据报传送至下一个网络或目的主机。络协议将数据报传送至下一个网络或目的主机。I

44、PIP协议能够实现两个基本功能，即寻址和分段。协议能够实现两个基本功能，即寻址和分段。IPIP协协议议可可以以根根据据数数据据报报报报头头中中包包括括的的目目的的地地址址将将数数据据报报传传送送到到目目的的地地址址，在在此此过过程程中中IPIP协协议议负负责责选选择择传传送送的的路路径，这种选择路径的功能称为路由功能。径，这种选择路径的功能称为路由功能。在在有有些些网网络络内内只只能能传传送送小小数数据据报报,IP,IP协协议议支支持持将将数数据据报报重重新新组组装装并并在在报报头头域域内内注注明明。IPIP模模块块中中包包含含这这些些基基本本功功能能，这这些些模模块块位位于于网网络络中中的的

45、每每台台主主机机和和网网关关上上，而而且且这这些些模模块有路由选择和其他服务功能块有路由选择和其他服务功能。2.3网络层面临的安全威胁IPIP使使用用4 4个个关关键键技技术术提提供供服服务务，即即服服务务类类型型、生生存存时时间间、选选项项和和报报头头校校验码。验码。服服务务类类型型：指指希希望望得得到到的的服服务务功功能能，它它是是一一个个参参数数集集，这这些些参参数数是是InternetInternet能能够够提提供供的的典典型型功功能能，这这种种服服务务类类型型由由网网关关使使用用，用用于于在在特特定定的的网网络络，或或是是用用于于在在下下一一个个要要经经过过的的网网络络，或或是是下下

46、一一个个要要对对这这数数据据报进行路由的网关上选择实际的传送参数。报进行路由的网关上选择实际的传送参数。生生存存时时间间：是是数数据据报报可可以以生生存存的的最最长长时时间间,它它由由发发送送者者设设置置，由由路路由由经经过的地方处理过的地方处理.如果未到达时生存时间为零如果未到达时生存时间为零.则抛弃此数据报。则抛弃此数据报。选项：包括时间截、安全和特殊路由。选项：包括时间截、安全和特殊路由。报头校验码：用于保证数据的正确传输。报头校验码：用于保证数据的正确传输。2.3网络层面临的安全威胁IPIP不不能能保保证证提提供供的的传传输输服服务务可可靠靠，也也不不提提供供端端到到端端或或点点到到点

47、点的的确确认认,对对数数据据未未进进行行差差错错控控制制,它它只只使使用用报报头头的的校校验验码码,不不提提供供重重发发和和流流量量控控制制功功能。如果出错可以通过能。如果出错可以通过ICMPICMP报告报告,ICMP,ICMP在在IPIP模块中实现。模块中实现。IPIP协协议议提提供供了了能能适适应应各各种种各各样样网网络络硬硬件件的的灵灵活活性性,对对底底层层网网络络硬硬件件几几乎乎没没有有任任何何要要求求,任任何何一一个个网网络络只只要要可可以以从从一一个个地地点点向向另另一一个个地地点点传传送送二二进进制制数数据据，就就可可以以使使用用IPIP协协议议加加入入InternetInter

48、net。IPIP协协议议对对于于网网络络通通信信有有着着重重要要的的意意义义，网网络络中中的的计计算算机机通通过过安安装装IPIP软软件件，使使许许多多局局域域网网共共同同构构成成一一个个并并不不存存在在的的虚虚拟拟网网络络,利利用用IPIP协协议议可可以以把把全全世世界界所所有有愿愿意意接接人人InternetInternet的的计计算算机机局局域域网网连连接接起起来来，使使得得它它们们彼彼此此之之间间都都能能够够互互相相通通信。信。IPIP协协议议包包头头格格式式如如图图2-102-10所所示示。IPIP数数据据包包由由头头部部和和数数据据构构成成。头头部部有有20B20B的固定长度和一个

49、可选项的固定长度和一个可选项,可选项长度不定可选项长度不定,最长为最长为60B60B。版本号（4）包头长度（4）服务类型（8）总长度（16）标识（16）标志（3）分段移位标志（13）生存期（8）协议标识（8）报头校验和（16）源IP地址（32）目的IP地址（32）选项（如果有）填充位数据1.IP协议2.3网络层面临的安全威胁各字段含义如下各字段含义如下：(1)(1)版版本本号号。4 4位位,该该字字段段用用来来表表明明包包头头格格式式所所遵遵循循的的版版本本信信息息。目目前前所所用用版版本本是是IPIP版版本本4(4(即即IPv4)IPv4)因此其值为因此其值为01000100。(2)(2)包

50、包头头长长度度(IHL)(IHL)。4 4位位,Internet,Internet包包头头长长度度是是以以3232位位为为单单位位的的IPIP包包的的包包头头长长度度(包包括括选选项项)。包包头头长长度度的的实实际际作作用用在在于于指指向向了了IPIP数数据据报报中中载载荷荷(即即数数据据)的的开开始始位位置置,IHL,IHL的的最最小小值值为为5,5,最最大大值值不不超超过过1515，一般情况下其值就是最小值，一般情况下其值就是最小值5 5。(3)(3)服服务务类类型型(TOS)(TOS)。8 8位位,TOS,TOS字字段段用用于于设设定定服服务务质质量量(QoS)(QoS)的的参参数数,这