网络安全技术教程 当入侵者试利用从SYN-RCVD到 CLOSE-WAIT的状态转移长时间阻塞某服务 器的个网络端冂时,可以观察到如下序包: ①从主机X到主机B发送个带有SYN和FIN标忐位置位的TCP包。 ②主机B首先处理SYN标忐生成一个带有相应ACK标志位置位的包,并使状 转移到SYN-RCⅤD,然后处理FIN标志,使状态转移到 CLOSE- WAIT,并向X回送ACK ③主机X不向主机R发送其他任何包。主机的TCP机将固定在 CLOSE-WAIT状 态。直到维持连接定时器将其重置为 CLOSED状态。 因此,如果网络监控设备发现一串 SYN-FLNA/ACK包,可推断入侵者正在阻塞主机B 的某个端口 (3)定时器问题 如果入侵者介图在不建立连接的情况下使连接建立定时器无效,我们以观察到以 下序列包: ①主机X从主机B收到一个 TCP SYN包 ②主机X向士机B回送一个SYN包 主机X不向主机B发送任何ACK包:因此,B被阻塞在 SYN-RCVI状态,无法响 应来自其他客户钒的连接请求 日前还没有分简便的方法防止伪造IP地址的入侵行为,但可以采取以下措施来尽 能地保护系统免受这类攻击。首先,可以配置路由器和网关,使它们能够拒绝网络外部 与本网内具有相同|P地址的连接靖求。而且,当包的P地址不在局域网内时,路由器和 网关不应该把木网主机的包发送出去其次,在包发送到网络上之前,我们可以对它进行 加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。 为了防止从 SYN-RCVD到 CLOSE-WAT状态的伪转移,需要改变操作系统中TCP 橾作的部分相关代码,使得当TCP机处于SYN-RCⅤD状态时,忽略任何对等上机发来的 FIN包 只有当建立连接后,才叫以使连接建立定时器无效。也就是说在同步开放连接建立 过程中,当主机收到一个ACA时,定时器庖置为无效,使状态转移到 ESTABLISHED。只 有C1OSED等少数儿种状态与定时器无关,人侵主机可能会迫使TCP机转移到这些状 态,因为该状态不受任何定时器制约,如果人侵者不发送适当的包,主机可能会被阻塞在 这个状态。 5.传输层安全 在 nernst应用程序中,通常使用广义的进程间通信(PC)机制来与不同层次的安全 协议打交道。比较流行的两个IPC编程界面是 BSD Sockets和传输层界面TL,在UNIX V版本里就可以找到它们。 在 Internet中提供安全服务的首要想法便是强化它的IPC界面,如 BSi Sockets等, 具体做法包括双端实体认证、数据加密密钥的交换等。 Netscape公司遵循了这个思路制 订了建立在可靠的传输服务(如T(P/P协议所提供)基础上的安全套接层协议(SSL) SSL版木3(SS.V3)于195年12月制订,它主要包含以下两个协议 (1)SSⅠ记咏协议:它涉及应用程序提供的信息的分段、压缩、数据认证和加密。SSL
第2章TPIP协议菰 V3提供对数据认证用的MD5和SHA以及数据加密用的H4和DES等的支持,用来对数 据进行认证和加密的密钥可以通过Ss的握手协议来协商。 (2)SSL握手协议:用来交换版本号、加密算法、(相上)身份认证并交换密钥。SSL Ⅴ3提供对 Diffie- Hellman密钥交换算法、基于RSA的密钥交换机制和另-种实现在 Fort /sa chip上的密钥交换机制的支持 Netscape公可已经向公众推出了ssL的参考实现(称为 SSLref):另一免费的SL 实现叫做 SSLeayo SSLref和 SsLeay均可给任何TCP/IP应用提供SSL功能。 interne 号码分配当局(IANA)已经为具备SS.功能的应用分配了固定端口号,例如,带SSL的 HTTP(hp)被分配以端口号44带SsL的SMTP(smtp)被分配以端日号465,带SL 的NNTP(sntp)被分配以端冂号563 微软推出了SsL.版木2的改进版本,叫做PCr(私人通信技术)。至少从它使用的记 录格式来看,S.和PCT是+分相似的。它们的主要差别是在版本号字段的最显著位 ( The Most Significant Bit)上的取值有所不同S该位取0,PCT该位取1。这样区分之 后,就可以对这两个协议都给予支持 1996年4月,ETF授权一个传输层安全(TLS)I作组着手制订一个传输层安全协 议(TLSP),以便作为标准提案向ESG正式提交。TLSP将会在许多地方酷似SS Internet层安全机制的主要优点是它的透明性,即安全服务的提供不要求应用层做 任何收变,这对传输层来说是做不到的。原则上,任何TCP/P应用,只要应用传输层安 全协议,比如说SSL或PCT,就必定要进行若十修改以增加相应的功能,并使用稍微不同 的OFC界面。因此,传输层安全机制的主要缺点就是要对传输层IPC界面和应用程序两 端都进行修改。可是,比起 Inlernet层和应用层的安全机制*,这里的修改还是相当小 另·个缺点是,基」UDP的通信很难在传输层建立起安全机制的。同网络安全机制 相比,传输层安全机制的主要优点是它提供基于进程—进程的(面不是主机对主机的) 安全服务。这…成就如果再加上应用级的安全服务,就可以再向前跨越一大步了 2.2.4路由协议 1.路由协议概述 近10年来,随着计算机冈络规模的不断扩大,大型互联网络(如 Internet)的迅猛发 展,路由技术在网络技术中已逐渐成为关键部分路由器也随之成为最重要的网络设备。 用户的需求推动莉路由技术的发展和路由器的普及,人们已经不满足于仅在本地网络h 共享信息,而希望最大限度地利用全球各个地区、各种类型的网络资源。面在目前的情况 下,任何一个有一定规模的计算机网络(如企业网、校园网、智能大厦等),无论采用的是快 速以太网技术,FDl技术,还是ATM技术,都离不开路由器,否则就无法正常运作和管 琿 1)网络互联 把自己的网络同其他的网络互联起来,从网络中获取更多的信息和向网络发布自已 的消息,是网络互联的最上要的动力。网络的万联有多种方式,其中使用最多的是网桥 联和路由器互联
网络安仓技术教程 (1)网桥联的树络 网桥L作在OMI模型刂的第二层,即链路层完成数据帧(rame的转发,+要日的 是在连接的网络间提供透明的通信网桥的转发是依据数据帧中的源地址和日的地址米 判断一个軾是否应转发和转发到哪个端1。帧中的地址称为“MAC"地址或“硬件”地址, 般就是网卡所带的地址。 网桥的作用是把两个或多个网络互联起来,提供透明的通信。网络上的设备有不到 网桥的存在,设备之间的通信就如同在一个网:…样方便。由于刚桥是在数据帧上进行 转发的,因此只能连接相同或相似的网络(相同或相似结构的数据帧),如以太网之间、以 太网与令牌环( token ring)之间的互联,对于不同类型的网络(数据帧结构不同),如以太 网与X.25之间,网桥就无能为力了 网桥扩大了网络的规模,提高了网络的性能,给网络应川带来了方使,在以前的网络 中,网桥的应用较为广泛。但网桥互联也带来了不少问题:个是)播风暴,网桥不阻挡 网络中广播消息,当网络的规模较人时(几个网桥,多个以太网段),有可能引起广播风暴 ( broadcasting shorn),导致幣个网络全被广播信息充满直至完仝瘫痪。第一二个问题是 当与外部网络瓦联时,网桥会把内部和外部网络合二为一,成为个网,双方都自动向对 方完仝开放自己的网络资源。这种互联方式在与外部网络互联时显然是难以接受的:问 题的上要根源是网桥只是最大限度地把网络沟通,而不管传送的信息是什么 (2)路由器联网络 路由器互联与网络的协议有关,我们讨论限于TCP/P网络的情况。 路由器工作在0S1模型中的第三层,即闷络层。路由器利用网络层定义的“逻辑”上 的网络地址(即IP地址)来区别不同的网络,实现网络的联和隔离,保持各个树络的独 性。路由器不转发广播消息,而把广播消息限制在各自的网络内部.发送到其他网络 的数据应先被送到路由器,再由路由器转发出去 IP路由器只转发HP分组,把其余的部分挡在网内(包括广播),从而保持各个网络具 有相对的独立性,这样可以组成具有许多网络(f网)互联的大型的网络。由于是在网络 层的互联,路由器可方便地连接不同类型的网络,只要网络层运行的是P协议,通过路由 器就可与联起来。 网络中的设备用它们的网络地址(TCP/IP网络中为HP地址)互相通信。IP地址是 与硬件地址无关的“逻辑”地址:路由器只根据P地址来转发数据。IP地址的结构有两 部分,一部分定义网络号,另部分定义网络内的丰机号。月前,在 Inlernet网络中采用 子网掩码来确定IP地址中网络地址和主机地址。子网掩码与IP地址一样也是32位,并 且两者是-一对应的,并规定,∫网掩码中数宇为“1”所对应的IP地址中的部分为刚络 号,为“0所对应的则为主机号。网络号和主机号合起来,才构成一个完整的IP地址 个网络中的主机IP地址,其网络号必须是相同的,这个网络称为IP子网 通信只能在具有相同网络号的P地址之间进行,要与其他IP子网的主机进行通信 则必须经过同一网络上的某个路由器或网关( Gateway)出去。不同网络号的TP地址不能 直接通信,即使它们接在一起,也不能通信 路由器有多个端口,用于连接多个IP子网。每个端口的IP地址的网络号要求与所 连接的1P了网的网络号相同。不同的端口为不同的网络号,对应不同的P子网,这样才
第2章TCP/IP协议基础 能使各子网中的主机通过自己子网的P地址把要求出去的IP分组送到路中器上 )路出原理 当IPf网屮的一台主机发送IP分组给同…IP子网的另·台主机时,它将直接把1P 分组送到网络上,对方就能收到。而要送给不同IPf网上的主机时,它要选择一个能到 达目的子网上的路由器,把IP分组送给该路由器,由路由器负责把IP分组送到目的地 如果没有找到这样的路由器,主机就把IP分组送给一个称为“缺省网关( Default gate way)”的路由器上、“缺省网关”是每台主机上的个配置参数,它是接在同个网络 的某个路由器端口的IP地址。 路由器转发[P分组时,只根据P分组日的IP地址的网络号部分,选择合适的端口 把P分组送出去。同主机一样,路由器也要判定端口所接的是否是日的子网,如果是,就 直接把分组通过端口送到网络上,否则,也要选择下-个路由器来传送分组、路由器也有 它的缺省网关,用来传送不知道往哪几送的IP分组:这样,通过路由器把知道如何传送 的!P分组正确转发出去,不知道的IP分组送给“缺省网关”路由器,这样级级地传送, IP分最终将送到目的地,送不到日的地的IP分组则被网络丢弃了。 日前TCP/P网络,仓部是通过路由器互联起来的, Internet就是成千上万个甲P子网 通过路出器互联起来的国际性网络。这种网络称为以路由器为基础的网络( Router based Network),形成了以路出器为节点的“网间网”:在“网间网”中,路由器不仅负责对|P分 组的转发,还要负贲与别的路由器进行联络,共同确定“网间网”的路由选择和维护路由 表 路由动作包括两项基本内容:径和转发:寻径即判定到达目的地的最佳路径,由路 由选择算法来实现。于涉及到不同的路由选择协议和路由选择算法,要相对复尔一些 为了判定最佳路径,路由选择算法必须启动并维护包含路由信息的路由表,其中路出信 依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表 中,根据路由表叮将目的网络与下一站( next hop)的关系告诉路由器。路出器间互通 息进行路由更新,更新维护路由表使之正确反映网络的拓扑变化,并由路由器根据量度米 次定最佳路径。这就是路由选择协议( Routing Protocol),例如路由信息协议(RlP)、开放 式最短路径优先协议(OSPF)和边界网关协议(BGP)等。 转发即沿博径好的最佳路径传送信息分组。路由器首先在路由表中卉找,判明是 知道如何将分组发送到下个站点(路由器或主机),如果路由器不知道如何发送分组,通 常将该分组丢弃;香则就根据路由表的相应表项将分组发送到下一个站点,如果日的网络 直接与路由器相连,路由器就把分组直接送到相应的端凵上。这就是路由转发协议 (Routed Protocol) 路由转发协议和路由选择协议是相互配合又相互独立的概念,前者使用后者维护的 路由表,同时后者要利用前者提供的功能来发布路由协议数据分组。下文中提到的路由 协议,除非特别说明都是指路由选择协议,这也是普遍的习惯 3)路由协议 典型的路由选择方式有两种:静态路由和动态路由。 静态路由是在路由器中设置的固定的路由表。除非网络管理员于预,否则静态路由 不会发生变化。由于静态路由不能对网络的改变做出反映,一般用于网络规模不大、拓扑
网络安全技术教程 结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优 先级最高。当动态路出与静态路由发生冲突时,以静态路由为准 动态路由是树络中的路由器之间相互通信,传递路由信息,利用收到的路由信息更新 路由表的过程它能实时地适应网络结构的变化。如果路由吏新信息表明发生了网络变 化,路由选择软件就会重新计算路由,并发出新的路由更新信息这些信息通过各个网 络,引起各路由器重新启动其路由算法,并更新各自的路由表以动态地反映闷络拓扑变 化。动态路由适用」网络规模大、网络祏扑复杂的网络。当然,各种动态路由协议会不同 程度地占用网络带宽和CPU资源 静态路由和动态路由有各自的特点和适用范围,因此在网络中动态路由通常作为静 态路由的补充。当一个分组在路由器中进行寻径时,路由器首先查找静态路由,如果查 到,则根据相应的静态路由转发分组;否则冉查找动态路由。 根据是否在一个自治域内部使用,动态路由协议分为内部网关协议(IGP)和外部网 关协议(EGP)。这里的自治域指一个具有统一管理机构、统一路由策略的闷络。自治域 内部采用的路由选择协议称为内部网关协议,常用的有RIP、OSPF协议;外部网关协议 主要用于多个自治域之间的路出选择,常用的是BGP和BGP4协议。下谢分别进行 要介绍 (1)路由信息协议(RIP) RIP协议最初是为 Xerox网络系统的 Xerox Parc通用协议而设计的,是 Internet中 常用的路由协议。R|P协议采用距离向量算法,即路由器根据距离选择路由,所以也称为 距离向量协议。路山器收集所有可到达目的地的不同路径,并且保存有关到达每个H的 地的最少站点数的路径信息,除到达目的地的最佳路径外,任何其他信息均予以丟弁。同 时路由器也把所收集的路由信息用RP协议通知相邻的其他路由器。这样,正确的路出 信息逐渐扩散到了全网。 RIP协议使用非常广泛,它简单、可靠,便于配置,但是HP协议只适用于小型的同 构网络,囚为它允许的最大站点数为15,任何超过15个站点的目的地均被标记为不可 达。而且RIP协议每隔30s一次的路由信息疒′播也是造成网络的广播风暴的重要原因之 (2)开放式最短路径优先协议(OsPF) 20世纪80年代中期,RIP协议已不能适应大规模异构网络的互联,OSPF协议随之 产生。它是网间工程任务组织(IETF)的内部网关协议工作组为P网络而开发的一种路 由协议 osPF协议是一种基链路状态的路由协议,需要毎个路由器向其同·管理域的所 有其他路由器发送链路状态广播信息,在OSPF协议的链路状态广播中包括所有接冂信 息、所有的量度和其他一些变量。利用OSPF协议的路由器首先必须收集有关的链路状 态信息,并根据·定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议 仪向其邻接路由器发送有关路由更新信息。 与RP协议不同,OsPF协议将一个自治域再划分为区,相应地即有两种类型的路由 选择方式:当源和目地在同一区时,采用区内路由选择;当源和目的地在不同区时,则采 用区间路由选揉。这就大大减少了网络开销,并增加了网络的稳定性。当…个区内的路