沈鑫剡編著(網(wǎng)絡(luò)安全)教材配套課件第9章

網(wǎng)絡(luò)安全第九章第9章互連網(wǎng)安全技術(shù)本章主要內(nèi)容互連網(wǎng)安全技術(shù)概述；安全路由；流量管制；NAT；VRRP。

9.1互連網(wǎng)安全技術(shù)概述本講主要內(nèi)容路由器和互連網(wǎng)結(jié)構(gòu)；互連網(wǎng)安全技術(shù)范疇和功能。一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)一、路由器和互連網(wǎng)結(jié)構(gòu)1．互連網(wǎng)結(jié)構(gòu)多個(gè)不同類型的網(wǎng)絡(luò)通過(guò)路由器連接在一起，路由器采用數(shù)據(jù)報(bào)交換方式，通過(guò)路由項(xiàng)指出通往每一個(gè)網(wǎng)絡(luò)的傳輸路徑，路由表是路由項(xiàng)的集合。連接在不同傳輸網(wǎng)絡(luò)上的兩個(gè)主機(jī)之間的傳輸路徑分為兩個(gè)層次，一是傳輸網(wǎng)絡(luò)建立的連接在同一傳輸網(wǎng)絡(luò)上的兩個(gè)結(jié)點(diǎn)之間的傳輸路徑。二是IP傳輸路徑，由源和目的主機(jī)、路由器和傳輸網(wǎng)絡(luò)組成。一、路由器和互連網(wǎng)結(jié)構(gòu)2．路由器作用路由器的作用主要有三個(gè)，一是通過(guò)多個(gè)連接不同類型的傳輸網(wǎng)絡(luò)的接口實(shí)現(xiàn)不同類型傳輸網(wǎng)絡(luò)的互連，二是建立用于指明通往互連網(wǎng)中每一個(gè)網(wǎng)絡(luò)的傳輸路徑的路由項(xiàng)，三是實(shí)現(xiàn)IP分組的轉(zhuǎn)發(fā)過(guò)程。一、路由器和互連網(wǎng)結(jié)構(gòu)黑客攻擊行為可以分為針對(duì)主機(jī)的攻擊行為、針對(duì)傳輸網(wǎng)絡(luò)的攻擊行為和針對(duì)路由器的攻擊行為。3．針對(duì)路由器的攻擊路由項(xiàng)欺騙攻擊；拒絕服務(wù)攻擊。二、互連網(wǎng)安全技術(shù)范疇和功能1．互連網(wǎng)安全技術(shù)范疇互連網(wǎng)安全技術(shù)可以分為三類，第一類是有著專門(mén)用途的安全技術(shù)，如防火墻、入侵檢測(cè)系統(tǒng)和虛擬專用網(wǎng)（VPN）等。第二類是有著一般用途的安全技術(shù)，如防路由項(xiàng)欺騙、NAT、流量管制等。第三類是用于提高互連網(wǎng)可靠性、容錯(cuò)性的技術(shù)，如虛擬路由器冗余協(xié)議（VRRP）等。二、互連網(wǎng)安全技術(shù)范疇和功能只討論有著一般用途的安全技術(shù)和用于提高互連網(wǎng)可靠性、容錯(cuò)性的技術(shù)。2．互連網(wǎng)安全技術(shù)功能安全路由；流量管制；NAT；VRRP。9.2安全路由本講主要內(nèi)容防路由項(xiàng)欺騙攻擊機(jī)制；路由項(xiàng)過(guò)濾；單播反向路徑驗(yàn)證；策略路由。一、防路由項(xiàng)欺騙攻擊機(jī)制1．路由項(xiàng)欺騙攻擊過(guò)程一、防路由項(xiàng)欺騙攻擊機(jī)制1．路由項(xiàng)欺騙攻擊過(guò)程黑客終端發(fā)送一項(xiàng)LAN4與其直接相連的路由項(xiàng)；路由器R1將通往LAN4傳輸路徑上的下一跳改為黑客終端；路由器R1將目的網(wǎng)絡(luò)是LAN4的IP分組轉(zhuǎn)發(fā)給黑客終端。一、防路由項(xiàng)欺騙攻擊機(jī)制2．路由項(xiàng)源端鑒別和完整性檢測(cè)路由器接收到路由消息后，必須確認(rèn)是合法路由器發(fā)送的，且路由消息包含的路由項(xiàng)沒(méi)有被篡改后，才對(duì)路由消息進(jìn)行處理，并根據(jù)處理結(jié)果修改路由表。一、防路由項(xiàng)欺騙攻擊機(jī)制2．路由項(xiàng)源端鑒別和完整性檢測(cè)

某個(gè)路由器組播路由消息時(shí)，該路由器根據(jù)路由消息和密鑰K計(jì)算散列消息鑒別碼（HMAC），并將HMAC附在路由消息后面一起組播給其他相鄰路由器。一、防路由項(xiàng)欺騙攻擊機(jī)制2．路由項(xiàng)源端鑒別和完整性檢測(cè)

其他相鄰路由器接收到該路由消息后，首先根據(jù)路由消息和密鑰K計(jì)算HMAC，然后將計(jì)算結(jié)果和附在路由消息后面的HMAC比較，如果相同，表明發(fā)送者和接收者具有相同密鑰，且路由消息在傳輸過(guò)程中沒(méi)有被篡改。二、路由項(xiàng)過(guò)濾路由項(xiàng)過(guò)濾技術(shù)就是在公告的路由消息中屏蔽掉和過(guò)濾器中目的網(wǎng)絡(luò)匹配的路由項(xiàng)，這樣做的目的是為了保證一些內(nèi)部網(wǎng)絡(luò)的對(duì)外部路由器的透明性。三個(gè)網(wǎng)絡(luò)，其中兩個(gè)是內(nèi)部網(wǎng)絡(luò)。過(guò)濾器中的目的網(wǎng)絡(luò)包含兩個(gè)內(nèi)部網(wǎng)絡(luò)。路由消息中不包含被過(guò)濾器屏蔽掉的兩個(gè)內(nèi)部網(wǎng)絡(luò)。三、單播反向路徑驗(yàn)證單播反向路徑驗(yàn)證的目的是丟棄偽造源IP地址的IP分組；路由器通過(guò)檢測(cè)接收IP分組的端口和通往源終端的端口是否相同確定源IP地址是否偽造。193.1.1.5193.1.1.7193.1.1.5四、策略路由策略路由允許為符合特定條件的IP分組選擇特殊的傳輸路徑，這種特殊的傳輸路徑往往不是根據(jù)路由協(xié)議產(chǎn)生的通往該IP分組目的地的傳輸路徑。策略路由項(xiàng)分為兩部分，一部分是IP分組分類條件，它由IP首部和TCP首部字段值組成，和這些字段值相同的IP分組作為符合分類條件的IP分組。另一部分是下一跳地址。9.3流量管制本講主要內(nèi)容拒絕服務(wù)攻擊和流量管制；信息流分類；管制算法；流量管制抑止拒絕服務(wù)攻擊機(jī)制。一、拒絕服務(wù)攻擊和流量管制SYN泛洪攻擊過(guò)程一、拒絕服務(wù)攻擊和流量管制分布式拒絕服務(wù)（DDoS）攻擊過(guò)程一、拒絕服務(wù)攻擊和流量管制拒絕服務(wù)攻擊的共同點(diǎn)是黑客終端向攻擊目標(biāo)超量發(fā)送報(bào)文，因此，只要能夠限制某類報(bào)文的流量，就能夠抑制拒絕服務(wù)攻擊。二、信息流分類信息流分類是要從IP分組流中分離出屬于特定應(yīng)用的一組IP分組，如需要分離出建立TCP連接過(guò)程中的第一個(gè)請(qǐng)求報(bào)文，需要從IP分組流中分離出具有如下特征的IP分組：IP首部協(xié)議字段值：6（TCP）；TCP首部控制標(biāo)志位：SYN=1，ACK=0。三、管制算法漏斗管制算法保證信息流恒速輸出；突發(fā)性信息流存儲(chǔ)在分組輸出隊(duì)列，隊(duì)列穩(wěn)定器以指定速率輸出分組；如果分組輸出隊(duì)列溢出，丟棄后續(xù)分組，如果分組輸出隊(duì)列空，輸出鏈路空閑。漏斗漏斗管制算法實(shí)現(xiàn)過(guò)程三、管制算法令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丟棄后續(xù)令牌，每一個(gè)令牌對(duì)應(yīng)K字節(jié)，令牌桶容量為U令牌；如果分組輸出隊(duì)列頭的分組的字節(jié)數(shù)＞（P－1）×K，則只當(dāng)令牌桶中包含的令牌數(shù)≥P時(shí)，才允許輸出該分組，并從令牌桶中取走P個(gè)令牌，如果令牌桶中令牌數(shù)＜P，停止輸出，直到令牌桶中令牌數(shù)≥P；平均輸出速率＝V×K/s（單位字節(jié)），突發(fā)性數(shù)據(jù)長(zhǎng)度＝U×K（單位字節(jié)）。四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)物理結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制校園網(wǎng)邏輯結(jié)構(gòu)圖四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制SYN泛洪攻擊的流量管制器分類標(biāo)準(zhǔn)（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝6（TCP）（3）TCP首部控制標(biāo)志位：SYN=1，ACK=0速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據(jù)長(zhǎng)度=8000B四、流量管制抑止拒絕服務(wù)攻擊機(jī)制抑制DDoS攻擊流量管制器分類標(biāo)準(zhǔn)（1）目的IP地址＝IPA或IPB（2）IP首部協(xié)議字段值＝1（ICMP）（3）ICMP類型字段值：8（ECHO請(qǐng)求）或0（ECHO響應(yīng)）速率限制：平均傳輸速率＝64kbps，突發(fā)性數(shù)據(jù)長(zhǎng)度=8000B9.4NAT本講主要內(nèi)容NAT概述；動(dòng)態(tài)PAT和靜態(tài)PAT；動(dòng)態(tài)NAT和靜態(tài)NAT；NAT的弱安全性。一、NAT概述NAT就是一種對(duì)從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)的IP分組實(shí)現(xiàn)源IP地址內(nèi)部本地地址至內(nèi)部全球地址的轉(zhuǎn)換、目的IP地址外部本地地址至外部全球地址的轉(zhuǎn)換，對(duì)從外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的IP分組實(shí)現(xiàn)源IP地址外部全球地址至外部本地地址的轉(zhuǎn)換、目的IP地址內(nèi)部全球地址至內(nèi)部本地地址的轉(zhuǎn)換的技術(shù)。一、NAT概述三組私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16

公共網(wǎng)絡(luò)使用的全球地址空間中不允許包含屬于這三組IP地址的地址空間一、NAT概述局域網(wǎng)接入Internet過(guò)程N(yùn)AT應(yīng)用一一、NAT概述內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互連NAT應(yīng)用二一、NAT概述內(nèi)部網(wǎng)絡(luò)之間相互通信NAT應(yīng)用三二、動(dòng)態(tài)PAT和靜態(tài)PAT內(nèi)部網(wǎng)絡(luò)終端發(fā)送的IP分組，進(jìn)入Internet時(shí)，以邊緣路由器連接Internet端口的全球IP地址為源IP地址，為了正確鑒別源終端，用內(nèi)部網(wǎng)絡(luò)唯一的源端口號(hào)取代IP分組終端唯一的源端口號(hào)。內(nèi)部網(wǎng)絡(luò)唯一的源端口號(hào)和內(nèi)部網(wǎng)絡(luò)終端之間的綁定以會(huì)話為單位，會(huì)話開(kāi)始時(shí)通過(guò)地址轉(zhuǎn)換表建立綁定，會(huì)話結(jié)束時(shí)取消綁定；端口地址轉(zhuǎn)換技術(shù)只能用于IP分組凈荷是運(yùn)輸層報(bào)文的情況。二、動(dòng)態(tài)PAT和靜態(tài)PAT允許Internet中的終端發(fā)起訪問(wèn)內(nèi)部網(wǎng)絡(luò)中的服務(wù)器的過(guò)程，需要靜態(tài)配置服務(wù)器本地地址與局域網(wǎng)內(nèi)唯一端口號(hào)之間的映射三、動(dòng)態(tài)NAT和靜態(tài)NAT動(dòng)態(tài)地址轉(zhuǎn)換以會(huì)話為單位，會(huì)話開(kāi)始時(shí)在全球IP地址池中分配一個(gè)未使用的IP地址，并在地址轉(zhuǎn)換表中將全球IP地址和本地地址之間的綁定與會(huì)話關(guān)聯(lián)在一起，會(huì)話結(jié)束時(shí)取消綁定和關(guān)聯(lián)；IP分組進(jìn)入Internet時(shí)，用全球IP地址取代本地地址。IP分組進(jìn)入內(nèi)部網(wǎng)絡(luò)時(shí)，用本地地址取代全球IP地址；動(dòng)態(tài)NAT不需改動(dòng)源端口號(hào)，因此，原則可用于IP分組凈荷不是運(yùn)輸層報(bào)文的情況。三、動(dòng)態(tài)NAT和靜態(tài)NAT端口地址轉(zhuǎn)換和動(dòng)態(tài)NAT在建立本地地址和全球IP地址之間綁定前，內(nèi)部網(wǎng)絡(luò)終端對(duì)外部網(wǎng)絡(luò)是透明的。而且，建立本地地址和全球IP地址之間綁定的操作由內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間會(huì)話的過(guò)程實(shí)現(xiàn)，因此，只允許內(nèi)部網(wǎng)絡(luò)終端發(fā)起建立和外部網(wǎng)絡(luò)終端之間的會(huì)話，這樣，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性，但不允許外部網(wǎng)絡(luò)終端發(fā)起和內(nèi)部網(wǎng)絡(luò)終端之間的會(huì)話；靜態(tài)NAT將建立本地地址和全球IP地址的固定關(guān)聯(lián)，這樣，允許外部網(wǎng)絡(luò)終端隨時(shí)通過(guò)該全球IP地址訪問(wèn)和該全球IP地址建立固定關(guān)系的本地地址所標(biāo)識(shí)的內(nèi)部網(wǎng)絡(luò)終端。四、NAT的弱安全性除了靜態(tài)NAT和靜態(tài)PAT外，在內(nèi)部網(wǎng)絡(luò)終端發(fā)起某個(gè)會(huì)話前，外部網(wǎng)絡(luò)終端是無(wú)法訪問(wèn)到內(nèi)部網(wǎng)絡(luò)終端的，因此，也無(wú)法發(fā)起對(duì)內(nèi)部網(wǎng)絡(luò)終端的攻擊，這是NAT被作為網(wǎng)絡(luò)安全機(jī)制的主要原因。9.5VRRP本講主要內(nèi)容容錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu)；VRRP工作原理；VRRP應(yīng)用實(shí)例。一、容錯(cuò)網(wǎng)絡(luò)結(jié)構(gòu)每一個(gè)以太網(wǎng)內(nèi)部通過(guò)鏈路冗余和生成樹(shù)協(xié)議保證在發(fā)生單條鏈路故障的情況下仍然保持連接在同一以太網(wǎng)上的終端之間的連通性。同時(shí)，路由器R1和R2分別有接口連接到兩個(gè)以太網(wǎng)，保證在其中一個(gè)路由器發(fā)生故障的情況下仍然保持連接在不同以太網(wǎng)上的終端之間的連通性。二、VRRP工作原理多個(gè)有接口連接在同一個(gè)網(wǎng)絡(luò)上的VRRP路由器構(gòu)成一個(gè)虛擬路由器，這些VRRP路由器中只有一個(gè)VRRP路由器是主路由器，其他路由器為備份路由器，每一個(gè)虛擬路由器分配唯一的8位二進(jìn)制數(shù)的虛擬路由器標(biāo)識(shí)符，對(duì)虛擬路由器配置多虛擬IP地址，虛擬IP地址與MAC地址00-00-5E-00-01-{VRID}綁定。二、VRRP工作原理分別在路由器R1和R2創(chuàng)建VRID為2的虛擬路由器分別為路由器R1和R2的接口1分配IP地址為路由器R1和R2的接口1分配優(yōu)先級(jí)為VRID為2的虛擬路由器分配虛擬IP地址該IP地址成為連接在網(wǎng)絡(luò)上的終端的默認(rèn)網(wǎng)關(guān)地址虛擬路由器根據(jù)VRID=2生成虛擬MAC地址00-00-5E-00-01-02

二、VRRP工作原理二、VRRP工作原理每一個(gè)VRRP路由器啟動(dòng)后，處于初始化狀態(tài)，如果該VRRP路由器是IP地址擁有者，立即成為主路由器，發(fā)送圖VRRP報(bào)文，然后，周期性地發(fā)送VRRP報(bào)文

主路由器接收到VRRP報(bào)文，如果發(fā)送VRRP報(bào)文的路由器的優(yōu)先級(jí)更高，主路由器立即轉(zhuǎn)換為備份路由器，停止發(fā)送VRRP報(bào)文備份路由器接收到VRRP報(bào)文，如果備份路由器的優(yōu)先級(jí)更高，且備份路由器允許搶占方式，轉(zhuǎn)換為主路由器，發(fā)送VRRP報(bào)文

二、VRRP工作原理主路由器功能必須對(duì)請(qǐng)求解析虛擬IP地址的ARP請(qǐng)求報(bào)文做出響應(yīng)；必須對(duì)封裝在以虛擬MAC地址為目的MAC地址的MAC幀中的IP分組進(jìn)行轉(zhuǎn)發(fā)操作；在成為主路由器時(shí)，立即發(fā)送將所有虛擬IP地址綁定到虛擬MAC地址的ARP報(bào)文，使得網(wǎng)絡(luò)內(nèi)的所有終端將默認(rèn)網(wǎng)關(guān)地址與虛擬MAC地址綁定在一起。備份路由器功能不對(duì)請(qǐng)求解析虛擬IP地址的ARP請(qǐng)求報(bào)文做出響應(yīng)；丟棄接收到的以虛擬MAC地址為目的地址的MAC幀；丟棄接收到的以虛擬IP地址為目的地址的IP分組。二、VRRP工作原理如果終端在ARP緩存中找不到與默認(rèn)網(wǎng)關(guān)地址綁定的MAC地址，會(huì)發(fā)送一個(gè)請(qǐng)求解析該默認(rèn)網(wǎng)關(guān)地址的ARP請(qǐng)求報(bào)文，該ARP請(qǐng)求報(bào)文在終端所連接的網(wǎng)絡(luò)中廣播，連接在該網(wǎng)絡(luò)上的所有VRRP路由器都接收到該ARP請(qǐng)求報(bào)文，但只有主路由器對(duì)該ARP請(qǐng)求報(bào)文做出響應(yīng)，并在ARP響應(yīng)報(bào)文中將虛擬MAC地址與默認(rèn)網(wǎng)關(guān)地址綁定在一起。

二、VRRP工作原理當(dāng)路由器R2成為主路由器時(shí)，立即發(fā)送一個(gè)VRRP報(bào)文，該VRRP報(bào)文最終被封裝成