欢迎来到天天文库
浏览记录
ID:44789152
大小:2.03 MB
页数:67页
时间:2019-10-29
《第11章 因特网安全和VPN》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、第11章因特网安全和VPN因特网在最初建立时的指导思想就是资源共享,为了实现资源共享而把系统做成开放式的。在建立协议模型以及协议实现时,更多地考虑到易用性,而在安全性方面的考虑存在严重不足,这就给攻击者造成了可乘之机。第11章因特网安全和VPNNetworkandInformationSecurity应用层表示层会话层传输层物理层数据链路层网络层7654321OSI参考模型应用层传输层(TCP协议)链路层网络层(IP协议)TCP/IP概念层次11.1TCP/IP协议簇11.1.1TCP/IP协议簇模型TCP/IP
2、协议簇参考模型和OSI参考模型比较链路层(也称为网络接口层)似乎与OSI的数据链路层和物理层相对应,但实际上TCP/IP本身并没有真正描述这一部分,只是指出主机必须使用某种协议与网络连接,以便能在其上传递IP分组。网络层(也称为互联网络层)是整个体系结构的关键部分,它的功能是使主机可以把分组发往任何网络,并使分组独立地传向目的地(可能经由不同的物理网络)。传输层(又称运输层)在TCP/IP模型中位于网络层之上,它的功能是使源端和目的端主机上的对等实体可以进行会话(和OSI的传输层一样)。传输层的上面是应用层。它包
3、含所有的高层协议。最早引入的是远程登录协议(Telnet)和文件传输协议(FTP)。后来又增加了不少协议,例如域名服务DNS(domainnameservice)用于把主机名映射到网络地址;HTTP协议,用于在万维网(WWW)上获取主页等。第11章因特网安全和VPNNetworkandInformationSecurity一个IP数据报由首部和数据两部分组成。首部的前一部分是固定长度,共20字节,是所有IP数据报必须具有的。在首部的固定部分的后面是一些可选字段,其长度是可变的。11.1.2IP协议的安全问题1.I
4、P协议分组格式固定部分可变部分04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分数据部分首部IP数据报首部发送在前可变部分首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分数据部分首部IP数据报固定部分发送在前首部04816192431版本标志生存时间协议标识总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分数据部分首部
5、IP数据报固定部分可变部分区分服务发送在前首部04816192431版本标志生存时间协议标识总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分固定部分可变部分版本——占4位,指IP协议的版本目前的IP协议版本号为4(即IPv4)。若使用IPv6协议,则为6。区分服务1.IP数据报首部的固定部分中的各字段首部04816192431版本标志生存时间协议标识总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分固定部分可变部分首部长度——占4位,可表示的最大数值是15
6、个单位(一个单位为4字节),因此IP的首部长度的最大值是60字节。区分服务首部04816192431版本标志生存时间协议标识总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分固定部分可变部分区分服务——占8位,用来获得更好的服务在旧标准中叫做服务类型,但实际上一直未被使用过。1998年这个字段改名为区分服务。只有在使用区分服务(DiffServ)时,这个字段才起作用。在一般的情况下都不使用这个字段区分服务首部04816192431版本标志生存时间协议标识总长度片偏移填充首部检验和源地址
7、目的地址可选字段(长度可变)位首部长度数据部分固定部分可变部分总长度——占16位,指首部和数据之和的长度,单位为字节,因此数据报的最大长度为65535字节。总长度必须不超过最大传送单元MTU。区分服务首部04816192431版本标志生存时间协议标识总长度片偏移填充首部检验和源地址目的地址可选字段(长度可变)位首部长度数据部分固定部分可变部分标识(identification)占16位,它是一个计数器,用来产生数据报的标识。区分服务首部04816192431版本标志生存时间协议标识区分服务总长度片偏移填充首部检验
8、和源地址目的地址可选字段(长度可变)位首部长度数据部分固定部分可变部分标志(flag)占3位,目前只有前两位有意义。标志字段的最低位是MF(MoreFragment)。MF1表示后面“还有分片”。MF0表示最后一个分片。标志字段中间的一位是DF(Don'tFragment)。只有当DF0时才允许分片。首部04816192431版本标志生存时间协议标识总长度片偏移填充
此文档下载收益归作者所有