基于UDP協(xié)議的分析和改進課程設(shè)計

1、網(wǎng)絡(luò)安全協(xié)議課程設(shè)計基于UDP協(xié)議的分析和改進指導(dǎo)老師2014年07月01日目錄1733345555666677777899910101111111111121213、F、.前言第 1 章 UDP 協(xié)議的概述1.1UDP 協(xié)議1.2UDP 協(xié)議的數(shù)據(jù)報格式 1.3 針對 UDP 協(xié)議的攻擊 第2章 需求分析2.1UDP 協(xié)議的優(yōu)缺點 2.1.1UDP 協(xié)議的優(yōu)勢：2.1.2 UDP 協(xié)議的不足 :2.2 與 TCP 協(xié)議的比較 2.2.1TCP 協(xié)議的擁賽控制 222TC P協(xié)議的往返時延 第3章UDP協(xié)議的改進 3.1 設(shè)計目標 3.2模塊的設(shè)計概述 3.3總體設(shè)計3.3.1 體系結(jié)構(gòu)3.3

2、.2報文結(jié)構(gòu) 第 4 章 協(xié)議的實現(xiàn)機制4.1 協(xié)議實現(xiàn)采用的方法4.1.1 建立連接4. 1 .2關(guān)閉連接4. 1 .3差錯檢測4. 1 .4確認技術(shù)4.1.5序列號4.1.6 超時重發(fā) 第 5 章 安全性分析5.1 協(xié)議的功能 5.2協(xié)議存在的安全隱患第 6 章 小結(jié)參考文獻刖言2 1世紀將是一個以網(wǎng)絡(luò)為核心的信息時代，一般把I n ter net定義為一個 技術(shù)名詞，指遵守TCP / I P協(xié)議，用各種計算機物理連接方式集合在一起的計算機網(wǎng)絡(luò)及單機的總和。T CP/ I P I n ter ne t協(xié)議族已經(jīng)成為計算機工業(yè)中開放系統(tǒng)互連的事實上的標準。在 T CP/I P協(xié)議族中，在數(shù)據(jù)

3、鏈路層、網(wǎng)絡(luò)層，傳 輸層和應(yīng)用層存在很多的已知安全缺陷，選擇其中一個存在安全缺陷的協(xié)議一UDP協(xié)議，針對此協(xié)議進行優(yōu)化。用戶數(shù)據(jù)報協(xié)議U DP提供應(yīng)用程序之間傳送數(shù)據(jù)報的基本機制基于目。前UDP通信的不足：不可靠的無連接服務(wù)，在參 考T CP/ I P協(xié)議及I SO 7層協(xié)議的基礎(chǔ)上，設(shè)計了一套基于 U DP的可靠數(shù) 據(jù)傳輸。第1章UDP協(xié)議的概述1.1UDP協(xié)議UDP是User Datagram Protocol的簡稱，中文名是用戶數(shù)據(jù)報協(xié)議， 是OSI參考模型中一種無連接的傳輸層協(xié)議，提供面向事務(wù)的簡單不可靠信息傳送服務(wù)，IETF RFC768是UDP的正式規(guī)范。在TCP/IP模型中，UD

4、P為網(wǎng)絡(luò)層(network layer)以下和應(yīng)用層(application layer)以上提供了一個簡單的接口。1.2 UDP數(shù)據(jù)報的格式UDP數(shù)據(jù)報是UDP協(xié)議的數(shù)據(jù)傳輸?shù)幕締挝?，格式見下圖:泅HPife址I 目的 IFfe址 I 0，目的舞口1栓度驗和致 據(jù)UDP數(shù)據(jù)報1.端口（兩個）源端口（ 16bit ）:指源主機上運行的進程使用的端口地址。目的端口（ 16bit ）:指目的主機上運行的進程使用的端口地址。UDP使用端口對給定主機上的多個目標進行區(qū)分。源端口是可選域，當其有 意義時，指的是發(fā)送應(yīng)用程序的 UDP端 口。如果不使用它，貝恠此域中填 Oo目 的端口在有特定的目的網(wǎng)絡(luò)地

5、址時有意義，指目標應(yīng)用程序的UDP端 口。UDP的著名端口UDP的端口號關(guān)鍵字描述53DOMAIN域名服務(wù)器67BOOTPS引導(dǎo)協(xié)議服務(wù)器68BOOPTPC引導(dǎo)協(xié)議客戶機69TFT P簡單文件傳送161SNMP簡單網(wǎng)絡(luò)管理協(xié)議162SNMPTRA P簡單網(wǎng)絡(luò)管理協(xié)議陷 阱2.長度UDP數(shù)據(jù)報的總長度（首部+數(shù)據(jù)），用八進制表示（這表明最小的數(shù)據(jù)報長度是8）0UDP數(shù)據(jù)報總長度也可以通過下式進行計算：UDP數(shù)據(jù)報總長度=IP總長度-IP首部長度3. 校驗和用于校驗整個UDP數(shù)據(jù)報出現(xiàn)的差錯。它是一種簡單的數(shù)學(xué)運算，即對IP頭、 UDP頭和數(shù)據(jù)中信息包頭的數(shù)位取反之和，再取反得到的。在計算校驗和時

6、要在UDP數(shù)據(jù)報之前增加12B的偽首部（臨時加上），其中第 三字段全 0，第四字段為 IP 首部中的協(xié)議字段（ 17：UDP）。1.3 針對 UDP 協(xié)議的攻擊UDP Flood是日漸猖厥的流量型DoS攻擊（拒絕服務(wù)攻擊），原理也很簡單。 常見的情況是利用大量UDP、包沖擊DNS服務(wù)器或Radius認證服務(wù)器、流媒體視頻服務(wù)器。 100k pps 的 UDPFlood 經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱， 造成整個網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù)，在UDFFlood攻擊中, 攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性 的,所以只要開了一個UDP的端

7、口提供相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù) 進行攻擊。正常應(yīng)用情況下，UDP包雙向流量會基本相等，而且大小和內(nèi)容都是隨機的， 變化很大。出現(xiàn)UDP Flood的情況下，針對同一目標IP的UDP包在一側(cè)大量出 現(xiàn)，并且內(nèi)容和大小都比較固定。第 2 章 需求分析2.1UDP 協(xié)議的優(yōu)缺點2.1.1UDP 協(xié)議的優(yōu)勢：（ 1 ）系統(tǒng)開銷小、速度快；（2） 對于絕大多數(shù)居于消息傳遞的應(yīng)用程序來說，基于幀的通信（UDP比基于 流的通信（TCP更為直接和有效：（3）對應(yīng)用部分實現(xiàn)系統(tǒng)冗余、人物分擔提供了極大易實現(xiàn)及可操作性：（4）對等的通信實體、 應(yīng)用部分可方便的根據(jù)需要構(gòu)造成客戶 / 服務(wù)器模型及分布處

8、理模型 , 大大加強應(yīng)用在可操作性及維護性的能力 ;( 5) 可實現(xiàn)完全圖模型的網(wǎng)狀網(wǎng)絡(luò)拓撲結(jié)構(gòu) , 可大大增強系統(tǒng)的容錯性。2.1.2 UDP 協(xié)議的不足 :(1) 依賴IP協(xié)議傳送報文；(2) 不確認報文是否到達， 不對報文進行排序也不進行流量控制， 對于順序 錯誤或丟失的包，不做糾錯或重傳；(3) 沒有建立初始化連接。2.2 與 TCP 協(xié)議的比較221TC P協(xié)議的擁賽控制隨著網(wǎng)絡(luò)帶寬時延乘積 ( B D P ) 的增加，通常的 T C P 協(xié)議開始變的低效。這是因 為它的 A M ID ( A d d i t i v e I n c re a s e M u i t ip l i c

9、 a t i v e D e c r e a s e，即當 T C P 發(fā)送方感受到端到端路徑無擁塞時就線性的增加其發(fā)送速度，當察覺到路徑擁塞時就 乘性減小其發(fā)送速 度，簡稱“和式增加，積式減少 ” )算法雖然減少了 T C P 擁塞窗口，但不能快 速的恢復(fù)可用帶寬。理論上的流量分析表明 T C P 在 B D P 增加到很高的時候 比 較容易受數(shù)據(jù)包丟失的影響。222TC P協(xié)議的往返時延，往總共經(jīng)T C P 擁塞控制的不公平的 R T T ( R o u n d T r i p T i m e返時延，表示從發(fā)送端發(fā)送數(shù)據(jù)開始， 到發(fā)送端收到來自接收端的確認， 歷的時延 ) 也成為在分布式數(shù)

10、據(jù)密集應(yīng)用中的嚴重問題。擁有不同R T T 的并發(fā)T C P流將不公平地分享帶寬。盡管在 B D P小的網(wǎng)絡(luò)中可以使用通常的T CP 實現(xiàn)來相對平等的共享帶寬，但在擁有大量 B D P 的網(wǎng)絡(luò)中，通常的基于 T CP的程序就必須承受嚴重的不公平的問 題。這個RTT基于的算法嚴重的限制 了其在廣域網(wǎng)分布式應(yīng)用的效率例如互聯(lián)網(wǎng)上的網(wǎng)絡(luò)數(shù)據(jù)備份。綜上所述，一直到今天，對標準的T C P的提高一直都不能在帶寬的利用效率和公平性方面達到一個令人滿意的程度 ) ，這對運行在低速網(wǎng)絡(luò)中的應(yīng)用影響尤為嚴重。 考慮到上面的背景， 需要一種在低速網(wǎng)絡(luò)中支持高效利用可用帶寬 的數(shù)據(jù)傳輸協(xié)議。為此，本文設(shè)計了一個應(yīng)用

11、程序級別的基于 U D P 的數(shù)據(jù)傳 輸協(xié)議。第3章UDP協(xié)議的改進3.1 設(shè)計目標基于 U D P 的可靠傳輸協(xié)議主要目標是效率、穩(wěn)定。應(yīng)該利用所有的可用帶 寬，即使帶寬變化的很劇烈， 以保證在低速網(wǎng)絡(luò)情況下， 能夠為需一定帶寬支持 的應(yīng)用盡可能提供其所需的傳輸速率。穩(wěn)定性要求不能像 T C P 那樣遇到丟包 時產(chǎn)生傳輸速率的大幅波動，分組發(fā)送速率應(yīng)該一直快速會聚可用帶寬。3.2 模塊的設(shè)計概述R T T 估計、超本協(xié)議是數(shù)據(jù)傳輸是單向的，有兩個部分：發(fā)送方和接收方。發(fā)送方根據(jù)流 量控制發(fā)送 （ 和重傳 ）數(shù)據(jù)，觸發(fā)和處理所有的控制事件，如 時檢測和重傳。 接收者接收數(shù)據(jù)分組和控制數(shù)據(jù)報，

12、并根據(jù)接收到的數(shù)據(jù)報發(fā)送 控制數(shù)據(jù)報。接收程序使用一個固定 U D P 端口來發(fā)送和接收。本協(xié)議將應(yīng)用層數(shù)據(jù)封裝成固定的大小進行傳輸，和 T C P 相似的是，稱 這個固定的數(shù)據(jù)報大小叫做 M S S（ 最大分組大小，適宜于快速傳輸大塊數(shù)據(jù) 流 。 M S S 可以通過應(yīng)用程序來設(shè)置， M S S 的選擇對傳輸效率會有影響。通過滑動窗口的流水技術(shù)來進行流量控制， 在參數(shù)合適事能夠充分利用當前 可用帶寬?？紤]到系統(tǒng)開銷， 協(xié)議并沒有引入如流數(shù)據(jù)加密或身份認證等安全機制， 它 依賴于應(yīng)用程序提供的授權(quán)和底層提供的安全機制。然而，由于 U D P 是無連 接的，實現(xiàn)可靠數(shù)據(jù)傳輸時，應(yīng)該檢查所有達到的

13、數(shù)據(jù)報是否是預(yù)期的數(shù)據(jù)報。3.3 總體設(shè)計3.3.1體系結(jié)構(gòu)從計算機網(wǎng)絡(luò)層次體系的角度來看，基于U D P的可靠數(shù)據(jù)傳輸協(xié)議的層次結(jié)構(gòu)如圖I所示。因此，本協(xié)議是在原T CP / I P協(xié)議的傳輸層的U D P協(xié)議和應(yīng)用層之間加入了一層。應(yīng)用層 基于UDP勺可靠傳 輸協(xié)議 傳輸層UDP 網(wǎng)絡(luò)層IP 網(wǎng)絡(luò)接口層圖1基于UDP勺可靠傳輸協(xié)議的層次為保證可靠數(shù)據(jù)傳輸而實現(xiàn)的，加入了基于U DP的可靠數(shù)據(jù)傳輸協(xié)議而形成的一個五層體系結(jié)構(gòu)。這樣就可以利用T C P / I P的U D P協(xié)議實現(xiàn)一種基于U DP的面向連接可靠數(shù)據(jù)傳輸機制。332報文結(jié)構(gòu)協(xié)議有兩類數(shù)據(jù)報：應(yīng)用數(shù)據(jù)報和控制數(shù)據(jù)報。它們數(shù)據(jù)報類

14、型域來區(qū)分的。（一）應(yīng)用數(shù)據(jù)報 序列號4字節(jié)時間戳DAT標志類型數(shù)據(jù)字節(jié)字節(jié)圖2 應(yīng)用數(shù)據(jù)報格式數(shù)據(jù)報里含有四個域：序列號，是四個字節(jié)的無符號整數(shù)，每個非重傳的應(yīng)用數(shù)據(jù)報都有一個相對應(yīng)的序列號，且每個非重傳的應(yīng)用數(shù)據(jù)報都序號增加 時間 戳，是一個四字節(jié)的無符號整數(shù)。數(shù)據(jù)報類型域里有數(shù)據(jù)報對應(yīng)的值 A，緊跟在這些數(shù)據(jù)后 面的 是應(yīng)用程序數(shù)據(jù)。序列號時間戳SYN需要傳送的數(shù)文件名標志類型據(jù)報個數(shù)4字節(jié)字節(jié)4（二）控制數(shù)據(jù)報。控制報文有三種:4 字節(jié)1 字節(jié)圖3協(xié)議連接握手報文圖3是建立連接時的數(shù)據(jù)報，其中包含所要傳輸?shù)臄?shù)據(jù)報個數(shù)和文件名。序列號時間戳AC標志類型字節(jié)字節(jié)1 字節(jié)圖4 應(yīng)答報文圖4是

15、應(yīng)答（A C K）報文，序列號域填寫的是希望接收到的下一報文的序 列號。時間戳填入引起此應(yīng)答的數(shù)據(jù)報文的時間戳。序列號4 字節(jié)時間戳字節(jié)FIN標志類型字節(jié)圖5關(guān)閉連接報文確認報文和關(guān)閉連接報文不包含三個域以外的控制信息，圖中的類型域所填 的值是三個宏定義。對于應(yīng)用數(shù)據(jù)報和控制數(shù)據(jù)報來說都不需要增加報文長度域，因為可以從UDP協(xié)議頭中得到實際的數(shù)據(jù)報大小。數(shù)據(jù)報大小信息能被用來得到數(shù)據(jù)報有效載荷和控制數(shù)據(jù)報中的控制信息字段大小。第4章協(xié)議的實現(xiàn)機制4.1協(xié)議實現(xiàn)采用的方法U DP是一個簡單的面向數(shù)據(jù)報的運輸層協(xié)議，它把應(yīng)用程序交給它的數(shù)據(jù) 添加上簡單的包頭就傳給I P層發(fā)送出去，沒有可靠性保證。

16、基于 U D P的可靠 數(shù)據(jù)傳輸協(xié)議是一個面向連接的可靠數(shù)據(jù)傳輸協(xié)議，在分析它的技術(shù)實現(xiàn)問題 時，使用了以下實現(xiàn)可靠數(shù)據(jù)傳輸所必需的關(guān)鍵技術(shù)，并在其中做出了選擇。4.1.1建立連接作為一種面向連接的協(xié)議，在利用協(xié)議進行數(shù)據(jù)通信之前，首先必須在通信的雙 方之間建立一條連接。在的實現(xiàn)中，參考了下圖中 T C P中的3次握手方式。但是由于協(xié)議是單工的,網(wǎng)珞事件服務(wù)器狀態(tài)LISTEN械動打開）主動打開SYN SENTSYN RCVDESTABLISHEDESTABLISHEDTCP三次握手協(xié)議所以在第三個包開始已經(jīng)傳輸應(yīng)用數(shù)據(jù)了。4.1.2關(guān)閉連接關(guān)閉連接也參考了TC P的方式，T C P在關(guān)閉連接時

17、的是以4次握手方 法進行連接的關(guān)閉的，而且在永久連接的鏈路中正常情況下是不需要關(guān)閉連接 的，只有在出現(xiàn)錯誤的情況下才會進行關(guān)閉操作。根據(jù)本協(xié)議特點做了一定的修改，過程如下：發(fā)送方收到接收方對最后一個數(shù)據(jù)報的確認后發(fā)送關(guān)閉連接數(shù) 據(jù)報而后結(jié)束本次連接關(guān)閉完成。接收方發(fā)出 最后的一個數(shù)據(jù)報發(fā)出確認后啟 動定時器等待關(guān)閉連接數(shù)據(jù)報，此過程中如果收到最后一個數(shù)據(jù)報的則發(fā)送相應(yīng) 確認，重啟定時器；若定時器超時則表明 FIN丟失，但是可知在這種情況 無 論超時與否都可知數(shù)據(jù)已正確傳輸完畢。若在傳輸過程中發(fā)送方檢測到發(fā)送多次 超時或接收方檢測到超時，都會導(dǎo)致關(guān)閉連接，并檢測出數(shù)據(jù)沒有發(fā)送成功。4.1.3差錯

18、檢測UD P頭部具有檢驗和域，提供了差錯檢測功能，由于本協(xié)議是調(diào)用U DP提 供的服務(wù)，因此不需要另外增加校驗碼就可提供此功能。4.1.4確認技術(shù)發(fā)送方需要接收方對收到數(shù)據(jù)的反饋來檢測數(shù)據(jù)是否發(fā)送成功。 常用的確認技術(shù) 有逐個確認， 捎帶確認、累積確認和超時確認， 否定確認以及擴展確認這幾種方 式的結(jié)合來實現(xiàn)確認。 綜合考慮開銷，效率和實現(xiàn)復(fù)雜性， 本協(xié)議采用累積確認。4.1.5序列號由于數(shù)據(jù)會以U D P數(shù)據(jù)報的方式傳輸， 而U DP數(shù)據(jù)包的到達可能會失 序，因此 它本協(xié)議的數(shù)據(jù)報的到達也可能失序，如果必要，需要對收到的數(shù)據(jù) 報文進行重新排序，以便能收到的數(shù)據(jù) 以正確的順序交給應(yīng)用層。對報文

19、的丟 失處理方式是重傳， 這樣就引進了報文的重復(fù)， 包括數(shù)據(jù)報和應(yīng)答報文， 序列號 可以解決這些亂序、丟失和重復(fù)的問題。4.1.6 超時重發(fā)數(shù)據(jù)報文和應(yīng)答文都有可能丟失，而且 U D P協(xié)議會丟棄錯誤的數(shù)據(jù)報而不 向本端應(yīng)用層或發(fā)送方提供任何提示信息， 發(fā)送方發(fā)現(xiàn)這些事件的方法是等待確 認時啟動超時重發(fā)定時器， 若發(fā)生超時則判斷為上述三個事件之一發(fā)生， 由于無 法區(qū)分確認丟失還是另外兩個事件發(fā)生， 發(fā)送方選擇的處理策略是萬能的重發(fā)， 當然它會引入新的問題，但序列號可以解決。第 5 章 安全性分析5.1 協(xié)議的功能本協(xié)議提供的主要功能有：( 1 ) 基于數(shù)據(jù)報的收發(fā)功能，協(xié)議調(diào)用傳輸層的 U D

20、 P 協(xié)議提供的服務(wù)， 因而它會將數(shù)據(jù)分割成合適發(fā)送的大小來發(fā)送。(2 )處理比特差錯，U D P本身具有的校驗功能，能夠檢測出數(shù)據(jù)包的錯誤 并丟棄出錯的數(shù)據(jù)報。( 3 ) 處理重復(fù)的數(shù)據(jù)報。處理亂序的數(shù)據(jù)報 。( 5 )( 6 ) 可靠傳輸。動態(tài)估計 R T T 。超時重發(fā)功能，采用和 T C P 類似的超時重發(fā)機制來保證數(shù)據(jù)分組的5.2 協(xié)議存在的安全隱患可能存在的安全缺陷：1. 由于使用序列號，可能會引起類似于TCP序列號猜測的攻擊，如果攻擊者 能夠猜測到正確的序列號，他就可以產(chǎn)生他自己的能被目標主機接收的消息片 段。2. 由于協(xié)議借鑒了 TCP*、議的建立連接所使用的三次握手，攻擊者可

21、能會利用SYhFlood攻擊，實現(xiàn)拒絕服務(wù)攻擊，而且在許多情況下，黑客常利用SYN攻擊作為其他復(fù)雜欺騙和攻擊的基礎(chǔ)。3. 由于超時重發(fā)可能引起報文消息的大量重復(fù)，會加大系統(tǒng)處理報文的負 擔，而且攻擊者會趁機發(fā)起重放攻擊，引起系統(tǒng)癱瘓。4. 基于UD協(xié)議本身的特點，我們知道UDP Flood攻擊是最常見的UD攻擊， 會造成服務(wù)、網(wǎng)絡(luò)和服務(wù)器超載等嚴重后果。第 6 章 小結(jié)在本次課程設(shè)計的實習(xí)中， 通過在網(wǎng)絡(luò)上查詢資料和對平時學(xué)習(xí)的總結(jié)， 我 更加深刻的理解了 TCPIP 協(xié)議族存在的安全隱患，通過自身的努力對已有的協(xié) 議進行改進， 對于規(guī)范、科學(xué)地完成一個安全協(xié)議的設(shè)計有了系統(tǒng)的體驗， 也深 刻

22、的意識到自身的不足。在改進協(xié)議的過程中我深刻的體會到整體系統(tǒng)的設(shè)計 時，方方面面的問題必須協(xié)調(diào)處理，不能夠為了彌補系統(tǒng)協(xié)議已經(jīng)存在的缺陷， 而為增強這方面的能力做過多的設(shè)計， 雖然改善了缺陷， 卻對于系統(tǒng)的整體性能 的提高不起作用， 反而增加了系統(tǒng)處理問題的開銷。 但是對于協(xié)議的實現(xiàn)把理論 課與實驗課所學(xué)內(nèi)容做一綜合這一方面還做得不足， 不能夠用編程語言， 開發(fā)設(shè) 計原型系統(tǒng)軟件， 完成完整的協(xié)議功能的實現(xiàn)， 所以在實際動手能力和創(chuàng)新能力 方面還需要提高。 在今后的學(xué)習(xí)中我會更加努力提高自身的動手實踐能力， 努力 做到學(xué)以致用，理論與實踐并重。作為一名學(xué)生， 我想學(xué)習(xí)的目的不在于通過考試獲得學(xué)

23、分， 而是為了獲取知，沒有付出，就識，獲取工作技能，換句話說，在學(xué)校學(xué)習(xí)是為了能夠適應(yīng)社會的需要，通過學(xué) 習(xí)保證能夠完成將來的工作， 為社會做出貢獻。 再者，通過本次課程設(shè)計的學(xué)習(xí)， 不但獲取了知識， 更加提高了自身的精神境界， 端正自己的學(xué)習(xí)態(tài)度， 只有真正 下功夫去學(xué)習(xí)，才能有所收獲，正所謂“一分耕耘，一分收獲” 沒有回報！參考文獻 1 2008.陳性元，楊艷，任志宇 . 網(wǎng)絡(luò)安全通信協(xié)議 . 北京：高等教育出版社，.2008謝希仁.計算機網(wǎng)絡(luò)M.5版.北京：電子工業(yè)出版社馮登國.安全協(xié)議-理論與實踐.北京：清華大學(xué)出版社 .2011 秦科，張小松. ，郝玉潔.成都：電子科技大學(xué)出版社， 2008課程設(shè)計評價課