沈鑫剡編著(網絡安全)教材配套課件第9章

網絡安全第九章第9章互連網安全技術本章主要內容互連網安全技術概述；安全路由；流量管制；NAT；VRRP。

9.1互連網安全技術概述本講主要內容路由器和互連網結構；互連網安全技術范疇和功能。一、路由器和互連網結構1．互連網結構一、路由器和互連網結構1．互連網結構多個不同類型的網絡通過路由器連接在一起，路由器采用數(shù)據報交換方式，通過路由項指出通往每一個網絡的傳輸路徑，路由表是路由項的集合。連接在不同傳輸網絡上的兩個主機之間的傳輸路徑分為兩個層次，一是傳輸網絡建立的連接在同一傳輸網絡上的兩個結點之間的傳輸路徑。二是IP傳輸路徑，由源和目的主機、路由器和傳輸網絡組成。一、路由器和互連網結構2．路由器作用路由器的作用主要有三個，一是通過多個連接不同類型的傳輸網絡的接口實現(xiàn)不同類型傳輸網絡的互連，二是建立用于指明通往互連網中每一個網絡的傳輸路徑的路由項，三是實現(xiàn)IP分組的轉發(fā)過程。一、路由器和互連網結構黑客攻擊行為可以分為針對主機的攻擊行為、針對傳輸網絡的攻擊行為和針對路由器的攻擊行為。3．針對路由器的攻擊路由項欺騙攻擊；拒絕服務攻擊。二、互連網安全技術范疇和功能1．互連網安全技術范疇互連網安全技術可以分為三類，第一類是有著專門用途的安全技術，如防火墻、入侵檢測系統(tǒng)和虛擬專用網（VPN）等。第二類是有著一般用途的安全技術，如防路由項欺騙、NAT、流量管制等。第三類是用于提高互連網可靠性、容錯性的技術，如虛擬路由器冗余協(xié)議（VRRP）等。二、互連網安全技術范疇和功能只討論有著一般用途的安全技術和用于提高互連網可靠性、容錯性的技術。2．互連網安全技術功能安全路由；流量管制；NAT；VRRP。9.2安全路由本講主要內容防路由項欺騙攻擊機制；路由項過濾；單播反向路徑驗證；策略路由。一、防路由項欺騙攻擊機制1．路由項欺騙攻擊過程一、防路由項欺騙攻擊機制1．路由項欺騙攻擊過程黑客終端發(fā)送一項LAN4與其直接相連的路由項；路由器R1將通往LAN4傳輸路徑上的下一跳改為黑客終端；路由器R1將目的網絡是LAN4的IP分組轉發(fā)給黑客終端。一、防路由項欺騙攻擊機制2．路由項源端鑒別和完整性檢測路由器接收到路由消息后，必須確認是合法路由器發(fā)送的，且路由消息包含的路由項沒有被篡改后，才對路由消息進行處理，并根據處理結果修改路由表。一、防路由項欺騙攻擊機制2．路由項源端鑒別和完整性檢測

某個路由器組播路由消息時，該路由器根據路由消息和密鑰K計算散列消息鑒別碼（HMAC），并將HMAC附在路由消息后面一起組播給其他相鄰路由器。一、防路由項欺騙攻擊機制2．路由項源端鑒別和完整性檢測

其他相鄰路由器接收到該路由消息后，首先根據路由消息和密鑰K計算HMAC，然后將計算結果和附在路由消息后面的HMAC比較，如果相同，表明發(fā)送者和接收者具有相同密鑰，且路由消息在傳輸過程中沒有被篡改。二、路由項過濾路由項過濾技術就是在公告的路由消息中屏蔽掉和過濾器中目的網絡匹配的路由項，這樣做的目的是為了保證一些內部網絡的對外部路由器的透明性。三個網絡，其中兩個是內部網絡。過濾器中的目的網絡包含兩個內部網絡。路由消息中不包含被過濾器屏蔽掉的兩個內部網絡。三、單播反向路徑驗證單播反向路徑驗證的目的是丟棄偽造源IP地址的IP分組；路由器通過檢測接收IP分組的端口和通往源終端的端口是否相同確定源IP地址是否偽造。193.1.1.5193.1.1.7193.1.1.5四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳輸路徑，這種特殊的傳輸路徑往往不是根據路由協(xié)議產生的通往該IP分組目的地的傳輸路徑。策略路由項分為兩部分，一部分是IP分組分類條件，它由IP首部和TCP首部字段值組成，和這些字段值相同的IP分組作為符合分類條件的IP分組。另一部分是下一跳地址。9.3流量管制本講主要內容拒絕服務攻擊和流量管制；信息流分類；管制算法；流量管制抑止拒絕服務攻擊機制。一、拒絕服務攻擊和流量管制SYN泛洪攻擊過程一、拒絕服務攻擊和流量管制分布式拒絕服務（DDoS）攻擊過程一、拒絕服務攻擊和流量管制拒絕服務攻擊的共同點是黑客終端向攻擊目標超量發(fā)送報文，因此，只要能夠限制某類報文的流量，就能夠抑制拒絕服務攻擊。二、信息流分類信息流分類是要從IP分組流中分離出屬于特定應用的一組IP分組，如需要分離出建立TCP連接過程中的第一個請求報文，需要從IP分組流中分離出具有如下特征的IP分組：IP首部協(xié)議字段值：6（TCP）；TCP首部控制標志位：SYN=1，ACK=0。三、管制算法漏斗管制算法保證信息流恒速輸出；突發(fā)性信息流存儲在分組輸出隊列，隊列穩(wěn)定器以指定速率輸出分組；如果分組輸出隊列溢出，丟棄后續(xù)分組，如果分組輸出隊列空，輸出鏈路空閑。漏斗漏斗管制算法實現(xiàn)過程三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丟棄后續(xù)令牌，每一個令牌對應K字節(jié)，令牌桶容量為U令牌；如果分組輸出隊列頭的分組的字節(jié)數(shù)＞（P－1）×K，則只當令牌桶中包含的令牌數(shù)≥P時，才允許輸出該分組，并從令牌桶中取走P個令牌，如果令牌桶中令牌數(shù)＜P，停止輸出，直到令牌桶中令牌數(shù)≥P；平均輸出速率＝V×K/s（單位字節(jié)），突發(fā)性數(shù)據長度＝U×K（單位字節(jié)）。四、流量管制抑止拒絕服務攻擊機制校園網物理結構圖四、流量管制抑止拒絕服務攻擊機制校園網邏輯結構圖四、流量管制抑止拒絕服務攻擊機制抑制SYN泛洪攻擊的流量管制器分類標準（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝6（TCP）（3）TCP首部控制標志位：SYN=1，ACK=0速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據長度=8000B四、流量管制抑止拒絕服務攻擊機制抑制DDoS攻擊流量管制器分類標準（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝1（ICMP）（3）ICMP類型字段值：8（ECHO請求）或0（ECHO響應）速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據長度=8000B9.4NAT本講主要內容NAT概述；動態(tài)PAT和靜態(tài)PAT；動態(tài)NAT和靜態(tài)NAT；NAT的弱安全性。一、NAT概述NAT就是一種對從內部網絡轉發(fā)到外部網絡的IP分組實現(xiàn)源IP地址內部本地地址至內部全球地址的轉換、目的IP地址外部本地地址至外部全球地址的轉換，對從外部網絡轉發(fā)到內部網絡的IP分組實現(xiàn)源IP地址外部全球地址至外部本地地址的轉換、目的IP地址內部全球地址至內部本地地址的轉換的技術。一、NAT概述三組私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共網絡使用的全球地址空間中不允許包含屬于這三組IP地址的地址空間一、NAT概述局域網接入Internet過程NAT應用一一、NAT概述內部網絡和外部網絡互連NAT應用二一、NAT概述內部網絡之間相互通信NAT應用三二、動態(tài)PAT和靜態(tài)PAT內部網絡終端發(fā)送的IP分組，進入Internet時，以邊緣路由器連接Internet端口的全球IP地址為源IP地址，為了正確鑒別源終端，用內部網絡唯一的源端口號取代IP分組終端唯一的源端口號。內部網絡唯一的源端口號和內部網絡終端之間的綁定以會話為單位，會話開始時通過地址轉換表建立綁定，會話結束時取消綁定；端口地址轉換技術只能用于IP分組凈荷是運輸層報文的情況。二、動態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪問內部網絡中的服務器的過程，需要靜態(tài)配置服務器本地地址與局域網內唯一端口號之間的映射三、動態(tài)NAT和靜態(tài)NAT動態(tài)地址轉換以會話為單位，會話開始時在全球IP地址池中分配一個未使用的IP地址，并在地址轉換表中將全球IP地址和本地地址之間的綁定與會話關聯(lián)在一起，會話結束時取消綁定和關聯(lián)；IP分組進入Internet時，用全球IP地址取代本地地址。IP分組進入內部網絡時，用本地地址取代全球IP地址；動態(tài)NAT不需改動源端口號，因此，原則可用于IP分組凈荷不是運輸層報文的情況。三、動態(tài)NAT和靜態(tài)NAT端口地址轉換和動態(tài)NAT在建立本地地址和全球IP地址之間綁定前，內部網絡終端對外部網絡是透明的。而且，建立本地地址和全球IP地址之間綁定的操作由內部網絡終端發(fā)起建立和外部網絡終端之間會話的過程實現(xiàn)，因此，只允許內部網絡終端發(fā)起建立和外部網絡終端之間的會話，這樣，增強了內部網絡的安全性，但不允許外部網絡終端發(fā)起和內部網絡終端之間的會話；靜態(tài)NAT將建立本地地址和全球IP地址的固定關聯(lián)，這樣，允許外部網絡終端隨時通過該全球IP地址訪問和該全球IP地址建立固定關系的本地地址所標識的內部網絡終端。四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外，在內部網絡終端發(fā)起某個會話前，外部網絡終端是無法訪問到內部網絡終端的，因此，也無法發(fā)起對內部網絡終端的攻擊，這是NAT被作為網絡安全機制的主要原因。9.5VRRP本講主要內容容錯網絡結構；VRRP工作原理；VRRP應用實例。一、容錯網絡結構每一個以太網內部通過鏈路冗余和生成樹協(xié)議保證在發(fā)生單條鏈路故障的情況下仍然保持連接在同一以太網上的終端之間的連通性。同時，路由器R1和R2分別有接口連接到兩個以太網，保證在其中一個路由器發(fā)生故障的情況下仍然保持連接在不同以太網上的終端之間的連通性。二、VRRP工作原理多個有接口連接在同一個網絡上的VRRP路由器構成一個虛擬路由器，這些VRRP路由器中只有一個VRRP路由器是主路由器，其他路由器為備份路由器，每一個虛擬路由器分配唯一的8位二進制數(shù)的虛擬路由器標識符，對虛擬路由器配置多虛擬IP地址，虛擬IP地址與MAC地址00-00-5E-00-01-{VRID}綁定。二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的虛擬路由器分別為路由器R1和R2的接口1分配IP地址為路由器R1和R2的接口1分配優(yōu)先級為VRID為2的虛擬路由器分配虛擬IP地址該IP地址成為連接在網絡上的終端的默認網關地址虛擬路由器根據VRID=2生成虛擬MAC地址00-00-5E-00-01-02

二、VRRP工作原理二、VRRP工作原理每一個VRRP路由器啟動后，處于初始化狀態(tài)，如果該VRRP路由器是IP地址擁有者，立即成為主路由器，發(fā)送圖VRRP報文，然后，周期性地發(fā)送VRRP報文

主路由器接收到VRRP報文，如果發(fā)送VRRP報文的路由器的優(yōu)先級更高，主路由器立即轉換為備份路由器，停止發(fā)送VRRP報文備份路由器接收到VRRP報文，如果備份路由器的優(yōu)先級更高，且備份路由器允許搶占方式，轉換為主路由器，發(fā)送VRRP報文

二、VRRP工作原理主路由器功能必須對請求解析虛擬IP地址的ARP請求報文做出響應；必須對封裝在以虛擬MAC地址為目的MAC地址的MAC幀中的IP分組進行轉發(fā)操作；在成為主路由器時，立即發(fā)送將所有虛擬IP地址綁定到虛擬MAC地址的ARP報文，使得網絡內的所有終端將默認網關地址與虛擬MAC地址綁定在一起。備份路由器功能不對請求解析虛擬IP地址的ARP請求報文做出響應；丟棄接收到的以虛擬MAC地址為目的地址的MAC幀；丟棄接收到的以虛擬IP地址為目的地址的IP分組。二、VRRP工作原理如果終端在ARP緩存中找不到與默認網關地址綁定的MAC地址，會發(fā)送一個請求解析該默認網關地址的ARP請求報文，該ARP請求報文在終端所連接的網絡中廣播，連接在該網絡上的所有VRRP路由器都接收到該ARP請求報文，但只有主路由器對該ARP請求報文做出響應，并在ARP響應報文中將虛擬MAC地址與默認網關地址綁定在一起。

二、VRRP工作原理當路由器R2成為主路由器時，立即發(fā)送一個VRRP報文，該VRRP報文最終被封裝成