沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章

網(wǎng)絡(luò)安全第九章網(wǎng)絡(luò)安全第九章第9章互連網(wǎng)安全技術(shù)本章主要內(nèi)容互連網(wǎng)安全技術(shù)概述；安全路由；流量管制；NAT；VRRP。

第9章互連網(wǎng)安全技術(shù)本章主要內(nèi)容29.1互連網(wǎng)安全技術(shù)概述本講主要內(nèi)容路由器和互連網(wǎng)結(jié)構(gòu)；互連網(wǎng)安全技術(shù)范疇和功能。9.1互連網(wǎng)安全技術(shù)概述本講主要內(nèi)容3一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)4一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)多個不同類型的網(wǎng)絡(luò)通過路由器連接在一起，路由器采用數(shù)據(jù)報交換方式，通過路由項指出通往每一個網(wǎng)絡(luò)的傳輸路徑，路由表是路由項的集合。連接在不同傳輸網(wǎng)絡(luò)上的兩個主機(jī)之間的傳輸路徑分為兩個層次，一是傳輸網(wǎng)絡(luò)建立的連接在同一傳輸網(wǎng)絡(luò)上的兩個結(jié)點之間的傳輸路徑。二是IP傳輸路徑，由源和目的主機(jī)、路由器和傳輸網(wǎng)絡(luò)組成。一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)5一、路由器和互連網(wǎng)結(jié)構(gòu)2．路由器作用路由器的作用主要有三個，一是通過多個連接不同類型的傳輸網(wǎng)絡(luò)的接口實現(xiàn)不同類型傳輸網(wǎng)絡(luò)的互連，二是建立用于指明通往互連網(wǎng)中每一個網(wǎng)絡(luò)的傳輸路徑的路由項，三是實現(xiàn)IP分組的轉(zhuǎn)發(fā)過程。一、路由器和互連網(wǎng)結(jié)構(gòu)2．路由器作用6一、路由器和互連網(wǎng)結(jié)構(gòu)黑客攻擊行為可以分為針對主機(jī)的攻擊行為、針對傳輸網(wǎng)絡(luò)的攻擊行為和針對路由器的攻擊行為。3．針對路由器的攻擊路由項欺騙攻擊；拒絕服務(wù)攻擊。一、路由器和互連網(wǎng)結(jié)構(gòu)黑客攻擊行為可以分為針對主7二、互連網(wǎng)安全技術(shù)范疇和功能1．互連網(wǎng)安全技術(shù)范疇互連網(wǎng)安全技術(shù)可以分為三類，第一類是有著專門用途的安全技術(shù)，如防火墻、入侵檢測系統(tǒng)和虛擬專用網(wǎng)（VPN）等。第二類是有著一般用途的安全技術(shù)，如防路由項欺騙、NAT、流量管制等。第三類是用于提高互連網(wǎng)可靠性、容錯性的技術(shù)，如虛擬路由器冗余協(xié)議（VRRP）等。二、互連網(wǎng)安全技術(shù)范疇和功能1．互連網(wǎng)安全技術(shù)范疇8二、互連網(wǎng)安全技術(shù)范疇和功能只討論有著一般用途的安全技術(shù)和用于提高互連網(wǎng)可靠性、容錯性的技術(shù)。2．互連網(wǎng)安全技術(shù)功能安全路由；流量管制；NAT；VRRP。二、互連網(wǎng)安全技術(shù)范疇和功能只討論有著一般用途的99.2安全路由本講主要內(nèi)容防路由項欺騙攻擊機(jī)制；路由項過濾；單播反向路徑驗證；策略路由。9.2安全路由本講主要內(nèi)容10一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程11一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程黑客終端發(fā)送一項LAN4與其直接相連的路由項；路由器R1將通往LAN4傳輸路徑上的下一跳改為黑客終端；路由器R1將目的網(wǎng)絡(luò)是LAN4的IP分組轉(zhuǎn)發(fā)給黑客終端。一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程12一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測路由器接收到路由消息后，必須確認(rèn)是合法路由器發(fā)送的，且路由消息包含的路由項沒有被篡改后，才對路由消息進(jìn)行處理，并根據(jù)處理結(jié)果修改路由表。一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測13一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測

某個路由器組播路由消息時，該路由器根據(jù)路由消息和密鑰K計算散列消息鑒別碼（HMAC），并將HMAC附在路由消息后面一起組播給其他相鄰路由器。一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測14一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測

其他相鄰路由器接收到該路由消息后，首先根據(jù)路由消息和密鑰K計算HMAC，然后將計算結(jié)果和附在路由消息后面的HMAC比較，如果相同，表明發(fā)送者和接收者具有相同密鑰，且路由消息在傳輸過程中沒有被篡改。一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測15二、路由項過濾路由項過濾技術(shù)就是在公告的路由消息中屏蔽掉和過濾器中目的網(wǎng)絡(luò)匹配的路由項，這樣做的目的是為了保證一些內(nèi)部網(wǎng)絡(luò)的對外部路由器的透明性。三個網(wǎng)絡(luò)，其中兩個是內(nèi)部網(wǎng)絡(luò)。過濾器中的目的網(wǎng)絡(luò)包含兩個內(nèi)部網(wǎng)絡(luò)。路由消息中不包含被過濾器屏蔽掉的兩個內(nèi)部網(wǎng)絡(luò)。二、路由項過濾路由項過濾技術(shù)就是在公告的路由消息中屏蔽掉和過16三、單播反向路徑驗證單播反向路徑驗證的目的是丟棄偽造源IP地址的IP分組；路由器通過檢測接收IP分組的端口和通往源終端的端口是否相同確定源IP地址是否偽造。193.1.1.5193.1.1.7193.1.1.5三、單播反向路徑驗證單播反向路徑驗證的目的是丟棄偽造源IP地17四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳輸路徑，這種特殊的傳輸路徑往往不是根據(jù)路由協(xié)議產(chǎn)生的通往該IP分組目的地的傳輸路徑。策略路由項分為兩部分，一部分是IP分組分類條件，它由IP首部和TCP首部字段值組成，和這些字段值相同的IP分組作為符合分類條件的IP分組。另一部分是下一跳地址。四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳189.3流量管制本講主要內(nèi)容拒絕服務(wù)攻擊和流量管制；信息流分類；管制算法；流量管制抑止拒絕服務(wù)攻擊機(jī)制。9.3流量管制本講主要內(nèi)容19一、拒絕服務(wù)攻擊和流量管制SYN泛洪攻擊過程一、拒絕服務(wù)攻擊和流量管制SYN泛洪攻擊過程20一、拒絕服務(wù)攻擊和流量管制分布式拒絕服務(wù)（DDoS）攻擊過程一、拒絕服務(wù)攻擊和流量管制分布式拒絕服務(wù)（DDoS）攻擊過程21一、拒絕服務(wù)攻擊和流量管制拒絕服務(wù)攻擊的共同點是黑客終端向攻擊目標(biāo)超量發(fā)送報文，因此，只要能夠限制某類報文的流量，就能夠抑制拒絕服務(wù)攻擊。一、拒絕服務(wù)攻擊和流量管制拒絕服務(wù)攻擊的共同點22二、信息流分類信息流分類是要從IP分組流中分離出屬于特定應(yīng)用的一組IP分組，如需要分離出建立TCP連接過程中的第一個請求報文，需要從IP分組流中分離出具有如下特征的IP分組：IP首部協(xié)議字段值：6（TCP）；TCP首部控制標(biāo)志位：SYN=1，ACK=0。二、信息流分類信息流分類是要從IP分組流中分離出23三、管制算法漏斗管制算法保證信息流恒速輸出；突發(fā)性信息流存儲在分組輸出隊列，隊列穩(wěn)定器以指定速率輸出分組；如果分組輸出隊列溢出，丟棄后續(xù)分組，如果分組輸出隊列空，輸出鏈路空閑。漏斗漏斗管制算法實現(xiàn)過程三、管制算法漏斗管制算法保證信息流恒速輸出；漏斗漏斗管制算法24三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丟棄后續(xù)令牌，每一個令牌對應(yīng)K字節(jié)，令牌桶容量為U令牌；如果分組輸出隊列頭的分組的字節(jié)數(shù)＞（P－1）×K，則只當(dāng)令牌桶中包含的令牌數(shù)≥P時，才允許輸出該分組，并從令牌桶中取走P個令牌，如果令牌桶中令牌數(shù)＜P，停止輸出，直到令牌桶中令牌數(shù)≥P；平均輸出速率＝V×K/s（單位字節(jié)），突發(fā)性數(shù)據(jù)長度＝U×K（單位字節(jié)）。三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌25四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)物理結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)物理結(jié)構(gòu)圖26四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)邏輯結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)邏輯結(jié)構(gòu)圖27四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制SYN泛洪攻擊的流量管制器分類標(biāo)準(zhǔn)（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝6（TCP）（3）TCP首部控制標(biāo)志位：SYN=1，ACK=0速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據(jù)長度=8000B四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制SYN泛洪攻擊的流量管制28四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制DDoS攻擊流量管制器分類標(biāo)準(zhǔn)（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝1（ICMP）（3）ICMP類型字段值：8（ECHO請求）或0（ECHO響應(yīng)）速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據(jù)長度=8000B四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制DDoS攻擊流量管制器299.4NAT本講主要內(nèi)容NAT概述；動態(tài)PAT和靜態(tài)PAT；動態(tài)NAT和靜態(tài)NAT；NAT的弱安全性。9.4NAT本講主要內(nèi)容30一、NAT概述NAT就是一種對從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的IP分組實現(xiàn)源IP地址內(nèi)部本地地址至內(nèi)部全球地址的轉(zhuǎn)換、目的IP地址外部本地地址至外部全球地址的轉(zhuǎn)換，對從外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的IP分組實現(xiàn)源IP地址外部全球地址至外部本地地址的轉(zhuǎn)換、目的IP地址內(nèi)部全球地址至內(nèi)部本地地址的轉(zhuǎn)換的技術(shù)。一、NAT概述NAT就是一種對從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的IP31一、NAT概述三組私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共網(wǎng)絡(luò)使用的全球地址空間中不允許包含屬于這三組IP地址的地址空間一、NAT概述三組私有IP地址如下。32一、NAT概述局域網(wǎng)接入Internet過程N(yùn)AT應(yīng)用一一、NAT概述局域網(wǎng)接入Internet過程N(yùn)AT應(yīng)用一33一、NAT概述內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互連NAT應(yīng)用二一、NAT概述內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互連NAT應(yīng)用二34一、NAT概述內(nèi)部網(wǎng)絡(luò)之間相互通信NAT應(yīng)用三一、NAT概述內(nèi)部網(wǎng)絡(luò)之間相互通信NAT應(yīng)用三35二、動態(tài)PAT和靜態(tài)PAT內(nèi)部網(wǎng)絡(luò)終端發(fā)送的IP分組，進(jìn)入Internet時，以邊緣路由器連接Internet端口的全球IP地址為源IP地址，為了正確鑒別源終端，用內(nèi)部網(wǎng)絡(luò)唯一的源端口號取代IP分組終端唯一的源端口號。內(nèi)部網(wǎng)絡(luò)唯一的源端口號和內(nèi)部網(wǎng)絡(luò)終端之間的綁定以會話為單位，會話開始時通過地址轉(zhuǎn)換表建立綁定，會話結(jié)束時取消綁定；端口地址轉(zhuǎn)換技術(shù)只能用于IP分組凈荷是運(yùn)輸層報文的情況。二、動態(tài)PAT和靜態(tài)PAT內(nèi)部網(wǎng)絡(luò)終端發(fā)送的IP分組，進(jìn)入I36二、動態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪問內(nèi)部網(wǎng)絡(luò)中的服務(wù)器的過程，需要靜態(tài)配置服務(wù)器本地地址與局域網(wǎng)內(nèi)唯一端口號之間的映射二、動態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪37三、動態(tài)NAT和靜態(tài)NAT動態(tài)地址轉(zhuǎn)換以會話為單位，會話開始時在全球IP地址池中分配一個未使用的IP地址，并在地址轉(zhuǎn)換表中將全球IP地址和本地地址之間的綁定與會話關(guān)聯(lián)在一起，會話結(jié)束時取消綁定和關(guān)聯(lián)；IP分組進(jìn)入Internet時，用全球IP地址取代本地地址。IP分組進(jìn)入內(nèi)部網(wǎng)絡(luò)時，用本地地址取代全球IP地址；動態(tài)NAT不需改動源端口號，因此，原則可用于IP分組凈荷不是運(yùn)輸層報文的情況。三、動態(tài)NAT和靜態(tài)NAT動態(tài)地址轉(zhuǎn)換以會話為單位，會話開始38三、動態(tài)NAT和靜態(tài)NAT端口地址轉(zhuǎn)換和動態(tài)NAT在建立本地地址和全球IP地址之間綁定前，內(nèi)部網(wǎng)絡(luò)終端對外部網(wǎng)絡(luò)是透明的。而且，建立本地地址和全球IP地址之間綁定的操作由內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間會話的過程實現(xiàn)，因此，只允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間的會話，這樣，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性，但不允許外部網(wǎng)絡(luò)終端發(fā)起和內(nèi)部網(wǎng)絡(luò)終端之間的會話；靜態(tài)NAT將建立本地地址和全球IP地址的固定關(guān)聯(lián)，這樣，允許外部網(wǎng)絡(luò)終端隨時通過該全球IP地址訪問和該全球IP地址建立固定關(guān)系的本地地址所標(biāo)識的內(nèi)部網(wǎng)絡(luò)終端。三、動態(tài)NAT和靜態(tài)NAT端口地址轉(zhuǎn)換和動態(tài)NAT在建立本地39四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外，在內(nèi)部網(wǎng)絡(luò)終端發(fā)起某個會話前，外部網(wǎng)絡(luò)終端是無法訪問到內(nèi)部網(wǎng)絡(luò)終端的，因此，也無法發(fā)起對內(nèi)部網(wǎng)絡(luò)終端的攻擊，這是NAT被作為網(wǎng)絡(luò)安全機(jī)制的主要原因。四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外，在409.5VRRP本講主要內(nèi)容容錯網(wǎng)絡(luò)結(jié)構(gòu)；VRRP工作原理；VRRP應(yīng)用實例。9.5VRRP本講主要內(nèi)容41一、容錯網(wǎng)絡(luò)結(jié)構(gòu)每一個以太網(wǎng)內(nèi)部通過鏈路冗余和生成樹協(xié)議保證在發(fā)生單條鏈路故障的情況下仍然保持連接在同一以太網(wǎng)上的終端之間的連通性。同時，路由器R1和R2分別有接口連接到兩個以太網(wǎng)，保證在其中一個路由器發(fā)生故障的情況下仍然保持連接在不同以太網(wǎng)上的終端之間的連通性。一、容錯網(wǎng)絡(luò)結(jié)構(gòu)每一個以太網(wǎng)內(nèi)部通過鏈路冗余和生成樹協(xié)議保證42二、VRRP工作原理多個有接口連接在同一個網(wǎng)絡(luò)上的VRRP路由器構(gòu)成一個虛擬路由器，這些VRRP路由器中只有一個VRRP路由器是主路由器，其他路由器為備份路由器，每一個虛擬路由器分配唯一的8位二進(jìn)制數(shù)的虛擬路由器標(biāo)識符，對虛擬路由器配置多虛擬IP地址，虛擬IP地址與MAC地址00-00-5E-00-01-{VRID}綁定。二、VRRP工作原理多個有接口連接在同一個網(wǎng)絡(luò)上的VRRP路43二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的虛擬路由器分別為路由器R1和R2的接口1分配IP地址為路由器R1和R2的接口1分配優(yōu)先級為VRID為2的虛擬路由器分配虛擬IP地址該IP地址成為連接在網(wǎng)絡(luò)上的終端的默認(rèn)網(wǎng)關(guān)地址虛擬路由器根據(jù)VRID=2生成虛擬MAC地址00-00-5E-00-01-02

二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的44二、VRRP工作原理二、VRRP工作原理45二、VRRP工作原理每一個VRRP路由器啟動后，處于初始化狀態(tài)，如果該VRRP路由器是IP地址擁有者，立即成為主路由器，發(fā)送圖VRRP報文，然后，周期性地發(fā)送VRRP報文

主路由器接收到VRRP報文，如果發(fā)送VRRP報文的路由器的優(yōu)先級更高，主路由器立即轉(zhuǎn)換為備份路由器，停止發(fā)送VRRP報文備份路由器接收到VRRP報文，如果備份路由器的優(yōu)先級更高，且備份路由器允許搶占方式，轉(zhuǎn)換為主路由器，發(fā)送VRRP報文

二、VRRP工作原理每一個VRRP路由器啟動后，處于初始化狀46二、VRRP工作原理主路由器功能必須對請求解析虛擬IP地址的ARP請求報文做出響應(yīng)；必須對封裝在以虛擬MAC地址為目的MAC地址的MAC幀中的IP分組進(jìn)行轉(zhuǎn)發(fā)操作；在成為主路由器時，立即發(fā)送將所有虛擬IP地址綁定到虛擬MAC地址的ARP報文，使得網(wǎng)絡(luò)內(nèi)的所有終端將默認(rèn)網(wǎng)關(guān)地址與虛擬MAC地址綁定在一起。備份路由器功能不對請求解析虛擬IP地址的ARP請求報文做出響應(yīng)；丟棄接收到的以虛擬MAC地址為目的地址的MAC幀；丟棄接收到的以虛擬IP地址為目的地址的IP分組。二、VRRP工作原理主路由器功能47二、VRRP工作原理如果終端在ARP緩存中找不到與默認(rèn)網(wǎng)關(guān)地址綁定的MAC地址，會發(fā)送一個請求解析該默認(rèn)網(wǎng)關(guān)地址的ARP請求報文，該ARP請求報文在終端所連接的網(wǎng)絡(luò)中廣播，連接在該網(wǎng)絡(luò)上的所有VRRP路由器都接收到該ARP請求報文，但只有主路由器對該ARP請求報文做出響應(yīng)，并在ARP響應(yīng)報文中將虛擬MAC地址與默認(rèn)網(wǎng)關(guān)地址綁定在一起。

二、VRRP工作原理如果終端在ARP緩存中找不到與默認(rèn)網(wǎng)關(guān)地48二、VRRP工作原理當(dāng)路由器R2成為主路由器時，立即發(fā)送一個VRRP報文，該VRRP報文最終被封裝成以虛擬MAC地址00-00-5E-00-01-02為源MAC地址，以組地址01-00-5E-00-00-12為目的MAC地址的MAC幀，該MAC幀在以太網(wǎng)中廣播，以太網(wǎng)中所有交換機(jī)都接收到該MAC幀，通過地址學(xué)習(xí)，在轉(zhuǎn)發(fā)表中建立新的轉(zhuǎn)發(fā)項。二、VRRP工作原理當(dāng)路由器R2成為主路由器時，立即發(fā)送一個49二、VRRP工作原理創(chuàng)建兩個VRID分別為2和3的虛擬路由器，同時將路由器R1和R2連接以太網(wǎng)的接口分配給兩個虛擬路由器，分別為VRID為2和3的虛擬路由器分配不同的虛擬IP地址。將一半連接在網(wǎng)絡(luò)的終端的默認(rèn)網(wǎng)關(guān)地址配置成VRID為2的虛擬路由器對應(yīng)的虛擬IP地址，將另一半連接在網(wǎng)絡(luò)的終端的默認(rèn)網(wǎng)關(guān)地址配置成VRID為3的虛擬路由器對應(yīng)的虛擬IP地址。二、VRRP工作原理創(chuàng)建兩個VRID分別為2和3的虛擬路由器50三、VRRP應(yīng)用實例三、VRRP應(yīng)用實例51網(wǎng)絡(luò)結(jié)構(gòu)與基本配置完成路由器配置，創(chuàng)建兩個虛擬路由器，并分配虛擬IP地址生成路由器和轉(zhuǎn)發(fā)項為實現(xiàn)負(fù)載均衡，指定路由器R1為VRID為2的虛擬路由器的主路由器，路由器R2為VRID為3的虛擬路由器的主路由器IP分組傳輸過程終端A向終端D發(fā)送IP分組時，終端A先將IP分組轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)——路由器R1，終端D向終端A發(fā)送IP分組時，終端D先將IP分組轉(zhuǎn)發(fā)給默認(rèn)網(wǎng)關(guān)——路由器R2三、VRRP應(yīng)用實例網(wǎng)絡(luò)結(jié)構(gòu)與基本配置三、VRRP應(yīng)用實例52網(wǎng)絡(luò)安全第九章網(wǎng)絡(luò)安全第九章第9章互連網(wǎng)安全技術(shù)本章主要內(nèi)容互連網(wǎng)安全技術(shù)概述；安全路由；流量管制；NAT；VRRP。

第9章互連網(wǎng)安全技術(shù)本章主要內(nèi)容549.1互連網(wǎng)安全技術(shù)概述本講主要內(nèi)容路由器和互連網(wǎng)結(jié)構(gòu)；互連網(wǎng)安全技術(shù)范疇和功能。9.1互連網(wǎng)安全技術(shù)概述本講主要內(nèi)容55一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)56一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)多個不同類型的網(wǎng)絡(luò)通過路由器連接在一起，路由器采用數(shù)據(jù)報交換方式，通過路由項指出通往每一個網(wǎng)絡(luò)的傳輸路徑，路由表是路由項的集合。連接在不同傳輸網(wǎng)絡(luò)上的兩個主機(jī)之間的傳輸路徑分為兩個層次，一是傳輸網(wǎng)絡(luò)建立的連接在同一傳輸網(wǎng)絡(luò)上的兩個結(jié)點之間的傳輸路徑。二是IP傳輸路徑，由源和目的主機(jī)、路由器和傳輸網(wǎng)絡(luò)組成。一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)57一、路由器和互連網(wǎng)結(jié)構(gòu)2．路由器作用路由器的作用主要有三個，一是通過多個連接不同類型的傳輸網(wǎng)絡(luò)的接口實現(xiàn)不同類型傳輸網(wǎng)絡(luò)的互連，二是建立用于指明通往互連網(wǎng)中每一個網(wǎng)絡(luò)的傳輸路徑的路由項，三是實現(xiàn)IP分組的轉(zhuǎn)發(fā)過程。一、路由器和互連網(wǎng)結(jié)構(gòu)2．路由器作用58一、路由器和互連網(wǎng)結(jié)構(gòu)黑客攻擊行為可以分為針對主機(jī)的攻擊行為、針對傳輸網(wǎng)絡(luò)的攻擊行為和針對路由器的攻擊行為。3．針對路由器的攻擊路由項欺騙攻擊；拒絕服務(wù)攻擊。一、路由器和互連網(wǎng)結(jié)構(gòu)黑客攻擊行為可以分為針對主59二、互連網(wǎng)安全技術(shù)范疇和功能1．互連網(wǎng)安全技術(shù)范疇互連網(wǎng)安全技術(shù)可以分為三類，第一類是有著專門用途的安全技術(shù)，如防火墻、入侵檢測系統(tǒng)和虛擬專用網(wǎng)（VPN）等。第二類是有著一般用途的安全技術(shù)，如防路由項欺騙、NAT、流量管制等。第三類是用于提高互連網(wǎng)可靠性、容錯性的技術(shù)，如虛擬路由器冗余協(xié)議（VRRP）等。二、互連網(wǎng)安全技術(shù)范疇和功能1．互連網(wǎng)安全技術(shù)范疇60二、互連網(wǎng)安全技術(shù)范疇和功能只討論有著一般用途的安全技術(shù)和用于提高互連網(wǎng)可靠性、容錯性的技術(shù)。2．互連網(wǎng)安全技術(shù)功能安全路由；流量管制；NAT；VRRP。二、互連網(wǎng)安全技術(shù)范疇和功能只討論有著一般用途的619.2安全路由本講主要內(nèi)容防路由項欺騙攻擊機(jī)制；路由項過濾；單播反向路徑驗證；策略路由。9.2安全路由本講主要內(nèi)容62一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程63一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程黑客終端發(fā)送一項LAN4與其直接相連的路由項；路由器R1將通往LAN4傳輸路徑上的下一跳改為黑客終端；路由器R1將目的網(wǎng)絡(luò)是LAN4的IP分組轉(zhuǎn)發(fā)給黑客終端。一、防路由項欺騙攻擊機(jī)制1．路由項欺騙攻擊過程64一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測路由器接收到路由消息后，必須確認(rèn)是合法路由器發(fā)送的，且路由消息包含的路由項沒有被篡改后，才對路由消息進(jìn)行處理，并根據(jù)處理結(jié)果修改路由表。一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測65一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測

某個路由器組播路由消息時，該路由器根據(jù)路由消息和密鑰K計算散列消息鑒別碼（HMAC），并將HMAC附在路由消息后面一起組播給其他相鄰路由器。一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測66一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測

其他相鄰路由器接收到該路由消息后，首先根據(jù)路由消息和密鑰K計算HMAC，然后將計算結(jié)果和附在路由消息后面的HMAC比較，如果相同，表明發(fā)送者和接收者具有相同密鑰，且路由消息在傳輸過程中沒有被篡改。一、防路由項欺騙攻擊機(jī)制2．路由項源端鑒別和完整性檢測67二、路由項過濾路由項過濾技術(shù)就是在公告的路由消息中屏蔽掉和過濾器中目的網(wǎng)絡(luò)匹配的路由項，這樣做的目的是為了保證一些內(nèi)部網(wǎng)絡(luò)的對外部路由器的透明性。三個網(wǎng)絡(luò)，其中兩個是內(nèi)部網(wǎng)絡(luò)。過濾器中的目的網(wǎng)絡(luò)包含兩個內(nèi)部網(wǎng)絡(luò)。路由消息中不包含被過濾器屏蔽掉的兩個內(nèi)部網(wǎng)絡(luò)。二、路由項過濾路由項過濾技術(shù)就是在公告的路由消息中屏蔽掉和過68三、單播反向路徑驗證單播反向路徑驗證的目的是丟棄偽造源IP地址的IP分組；路由器通過檢測接收IP分組的端口和通往源終端的端口是否相同確定源IP地址是否偽造。193.1.1.5193.1.1.7193.1.1.5三、單播反向路徑驗證單播反向路徑驗證的目的是丟棄偽造源IP地69四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳輸路徑，這種特殊的傳輸路徑往往不是根據(jù)路由協(xié)議產(chǎn)生的通往該IP分組目的地的傳輸路徑。策略路由項分為兩部分，一部分是IP分組分類條件，它由IP首部和TCP首部字段值組成，和這些字段值相同的IP分組作為符合分類條件的IP分組。另一部分是下一跳地址。四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳709.3流量管制本講主要內(nèi)容拒絕服務(wù)攻擊和流量管制；信息流分類；管制算法；流量管制抑止拒絕服務(wù)攻擊機(jī)制。9.3流量管制本講主要內(nèi)容71一、拒絕服務(wù)攻擊和流量管制SYN泛洪攻擊過程一、拒絕服務(wù)攻擊和流量管制SYN泛洪攻擊過程72一、拒絕服務(wù)攻擊和流量管制分布式拒絕服務(wù)（DDoS）攻擊過程一、拒絕服務(wù)攻擊和流量管制分布式拒絕服務(wù)（DDoS）攻擊過程73一、拒絕服務(wù)攻擊和流量管制拒絕服務(wù)攻擊的共同點是黑客終端向攻擊目標(biāo)超量發(fā)送報文，因此，只要能夠限制某類報文的流量，就能夠抑制拒絕服務(wù)攻擊。一、拒絕服務(wù)攻擊和流量管制拒絕服務(wù)攻擊的共同點74二、信息流分類信息流分類是要從IP分組流中分離出屬于特定應(yīng)用的一組IP分組，如需要分離出建立TCP連接過程中的第一個請求報文，需要從IP分組流中分離出具有如下特征的IP分組：IP首部協(xié)議字段值：6（TCP）；TCP首部控制標(biāo)志位：SYN=1，ACK=0。二、信息流分類信息流分類是要從IP分組流中分離出75三、管制算法漏斗管制算法保證信息流恒速輸出；突發(fā)性信息流存儲在分組輸出隊列，隊列穩(wěn)定器以指定速率輸出分組；如果分組輸出隊列溢出，丟棄后續(xù)分組，如果分組輸出隊列空，輸出鏈路空閑。漏斗漏斗管制算法實現(xiàn)過程三、管制算法漏斗管制算法保證信息流恒速輸出；漏斗漏斗管制算法76三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丟棄后續(xù)令牌，每一個令牌對應(yīng)K字節(jié)，令牌桶容量為U令牌；如果分組輸出隊列頭的分組的字節(jié)數(shù)＞（P－1）×K，則只當(dāng)令牌桶中包含的令牌數(shù)≥P時，才允許輸出該分組，并從令牌桶中取走P個令牌，如果令牌桶中令牌數(shù)＜P，停止輸出，直到令牌桶中令牌數(shù)≥P；平均輸出速率＝V×K/s（單位字節(jié)），突發(fā)性數(shù)據(jù)長度＝U×K（單位字節(jié)）。三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌77四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)物理結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)物理結(jié)構(gòu)圖78四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)邏輯結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)邏輯結(jié)構(gòu)圖79四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制SYN泛洪攻擊的流量管制器分類標(biāo)準(zhǔn)（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝6（TCP）（3）TCP首部控制標(biāo)志位：SYN=1，ACK=0速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據(jù)長度=8000B四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制SYN泛洪攻擊的流量管制80四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制DDoS攻擊流量管制器分類標(biāo)準(zhǔn)（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝1（ICMP）（3）ICMP類型字段值：8（ECHO請求）或0（ECHO響應(yīng)）速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據(jù)長度=8000B四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制DDoS攻擊流量管制器819.4NAT本講主要內(nèi)容NAT概述；動態(tài)PAT和靜態(tài)PAT；動態(tài)NAT和靜態(tài)NAT；NAT的弱安全性。9.4NAT本講主要內(nèi)容82一、NAT概述NAT就是一種對從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的IP分組實現(xiàn)源IP地址內(nèi)部本地地址至內(nèi)部全球地址的轉(zhuǎn)換、目的IP地址外部本地地址至外部全球地址的轉(zhuǎn)換，對從外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的IP分組實現(xiàn)源IP地址外部全球地址至外部本地地址的轉(zhuǎn)換、目的IP地址內(nèi)部全球地址至內(nèi)部本地地址的轉(zhuǎn)換的技術(shù)。一、NAT概述NAT就是一種對從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的IP83一、NAT概述三組私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共網(wǎng)絡(luò)使用的全球地址空間中不允許包含屬于這三組IP地址的地址空間一、NAT概述三組私有IP地址如下。84一、NAT概述局域網(wǎng)接入Internet過程N(yùn)AT應(yīng)用一一、NAT概述局域網(wǎng)接入Internet過程N(yùn)AT應(yīng)用一85一、NAT概述內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互連NAT應(yīng)用二一、NAT概述內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互連NAT應(yīng)用二86一、NAT概述內(nèi)部網(wǎng)絡(luò)之間相互通信NAT應(yīng)用三一、NAT概述內(nèi)部網(wǎng)絡(luò)之間相互通信NAT應(yīng)用三87二、動態(tài)PAT和靜態(tài)PAT內(nèi)部網(wǎng)絡(luò)終端發(fā)送的IP分組，進(jìn)入Internet時，以邊緣路由器連接Internet端口的全球IP地址為源IP地址，為了正確鑒別源終端，用內(nèi)部網(wǎng)絡(luò)唯一的源端口號取代IP分組終端唯一的源端口號。內(nèi)部網(wǎng)絡(luò)唯一的源端口號和內(nèi)部網(wǎng)絡(luò)終端之間的綁定以會話為單位，會話開始時通過地址轉(zhuǎn)換表建立綁定，會話結(jié)束時取消綁定；端口地址轉(zhuǎn)換技術(shù)只能用于IP分組凈荷是運(yùn)輸層報文的情況。二、動態(tài)PAT和靜態(tài)PAT內(nèi)部網(wǎng)絡(luò)終端發(fā)送的IP分組，進(jìn)入I88二、動態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪問內(nèi)部網(wǎng)絡(luò)中的服務(wù)器的過程，需要靜態(tài)配置服務(wù)器本地地址與局域網(wǎng)內(nèi)唯一端口號之間的映射二、動態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪89三、動態(tài)NAT和靜態(tài)NAT動態(tài)地址轉(zhuǎn)換以會話為單位，會話開始時在全球IP地址池中分配一個未使用的IP地址，并在地址轉(zhuǎn)換表中將全球IP地址和本地地址之間的綁定與會話關(guān)聯(lián)在一起，會話結(jié)束時取消綁定和關(guān)聯(lián)；IP分組進(jìn)入Internet時，用全球IP地址取代本地地址。IP分組進(jìn)入內(nèi)部網(wǎng)絡(luò)時，用本地地址取代全球IP地址；動態(tài)NAT不需改動源端口號，因此，原則可用于IP分組凈荷不是運(yùn)輸層報文的情況。三、動態(tài)NAT和靜態(tài)NAT動態(tài)地址轉(zhuǎn)換以會話為單位，會話開始90三、動態(tài)NAT和靜態(tài)NAT端口地址轉(zhuǎn)換和動態(tài)NAT在建立本地地址和全球IP地址之間綁定前，內(nèi)部網(wǎng)絡(luò)終端對外部網(wǎng)絡(luò)是透明的。而且，建立本地地址和全球IP地址之間綁定的操作由內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間會話的過程實現(xiàn)，因此，只允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間的會話，這樣，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性，但不允許外部網(wǎng)絡(luò)終端發(fā)起和內(nèi)部網(wǎng)絡(luò)終端之間的會話；靜態(tài)NAT將建立本地地址和全球IP地址的固定關(guān)聯(lián)，這樣，允許外部網(wǎng)絡(luò)終端隨時通過該全球IP地址訪問和該全球IP地址建立固定關(guān)系的本地地址所標(biāo)識的內(nèi)部網(wǎng)絡(luò)終端。三、動態(tài)NAT和靜態(tài)NAT端口地址轉(zhuǎn)換和動態(tài)NAT在建立本地91四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外，在內(nèi)部網(wǎng)絡(luò)終端發(fā)起某個會話前，外部網(wǎng)絡(luò)終端是無法訪問到內(nèi)部網(wǎng)絡(luò)終端的，因此，也無法發(fā)起對內(nèi)部網(wǎng)絡(luò)終端的攻擊，這是NAT被作為網(wǎng)絡(luò)安全機(jī)制的主要原因。四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外，在929.5VRRP本講主要內(nèi)容容錯網(wǎng)絡(luò)結(jié)構(gòu)；VRRP工作原理；VRRP應(yīng)用實例。9.5VRRP本講主要內(nèi)容93一、容錯網(wǎng)絡(luò)結(jié)構(gòu)每一個以太網(wǎng)內(nèi)部通過鏈路冗余和生成樹協(xié)議保證在發(fā)生單條鏈路故障的情況下仍然保持連接在同一以太網(wǎng)上的終端之間的連通性。同時，路由器R1和R2分別有接口連接到兩個以太網(wǎng)，保證在其中一個路由器發(fā)生故障的情況下仍然保持連接在不同以太網(wǎng)上的終端之間的連通性。一、容錯網(wǎng)絡(luò)結(jié)構(gòu)每一個以太網(wǎng)內(nèi)部通過鏈路冗余和生成樹協(xié)議保證94二、VRRP工作原理多個有接口連接在同一個網(wǎng)絡(luò)上的VRRP路由器構(gòu)成一個虛擬路由器，這些VRRP路由器中只有一個VRRP路由器是主路由器，其他路由器為備份路由器，每一個虛擬路由器分配唯一的8位二進(jìn)制數(shù)的虛擬路由器標(biāo)識符，對虛擬路由器配置多虛擬IP地址，虛擬IP地址與MAC地址00-00-5E-00-01-{VRID}綁定。二、VRRP工作原理多個有接口連接在同一個網(wǎng)絡(luò)上的VRRP路95二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的虛擬路由器分別為路由器R1和R2的接口1分配IP地址為路由器R1和R2的接口1分配優(yōu)先級為VRID為2的虛擬路由器分配虛擬IP地址該IP地址成為連接在網(wǎng)絡(luò)上的終端的默認(rèn)網(wǎng)關(guān)地址虛擬路由器根據(jù)VRID=2生成虛擬MAC地址00-00-5E-00-01-02

二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的96二、VRRP工作原理二、VRRP工作原理97二、VRRP工作原理每一個VRRP路由器啟動后，處于初始化狀態(tài)，如果該