知识背景:

网络协议结构

TCP/IP协议

局域网LAN与广域网WAN

LAN

  • 特点:距离小、延迟小
  • 构建LAN设备:线缆、网卡、集线器(已不用)、交换机、路由器

举例:校园网

WAN

  • 定义:在大范围区域内提供数据通信服务,主要用于互联局域网
  • 结构:末端系统+通信系统(中间链路)
    • 通信系统工作在物理层+数据链路层
  • 交换模式:
    • 电路交换:带宽固定
    • 分组交换:多路复用

OSI参考模型

七层功能

数据通信

数据通信两个原则:

  • 对等通信:每一层使用自己的协议
  • 数据封装:封装指网络节点(node)将要传送的数据用特定的协议头打包

提问:为何这里的路由器只画了三层?
回答:从端到端通信的角度,路由器不需要工作在4、5层。但是我们需要知道,路由器也有高层协议(RIP/OSFP协议)。

TCP/IP协议栈

与OSI对应关系

TCP/IP的封装

各层功能

  • 应用层
  • 传输层:提供端到端(端口号区分)连接、流量控制(窗口机制)、可靠性(序列号和确认技术实现)
    • TCP:可靠,面向连接
      • 三次握手+四次挥手
    • UDP:无连接通信,可靠性由上层负责
  • 网络层:寻址和路由选择
    • IP协议:IP协议和路由协议协同工作寻找最优路径。不关心报文内容,提供无连接的、不可靠的服务。
    • ARP协议:IP协议 -> MAC地址
    • ICMP协议:定义了网络层控制和传递消息的功能
    • RARP、IGMP

思考:手机LTE与电脑WiFi通信?

  • 手机 -> 网关:通过承载网(下面的IP是在承载网上寻址)
  • 手机网络相当于是一个大二层网络,能够全球通信

TCP/IP协议族的安全性

因特网存在的问题

  • 资源共享与分组交换
    • IP地址的可见性
    • 分组交换的方式导致:攻击数据包在被判断恶意前都会被转发到受害者(查找吓下一跳时不会判断是否恶意,容易被DoS攻击)
  • 认证与可追踪性
    • Internet没有认证机制 —> IP欺骗(路由表项只根据目的IP,不会看源IP)
    • 路由器无数据追踪功能
  • 尽力而为 -> DoS攻击
  • 匿名与隐私:IP -> 地址,身份 -> ?
  • 全球网络基础设置不提供可靠性、安全性保证

设计新的协议栈

  • 不能暴露IP
  • 路由决策
  • 认证
  • 路由器可溯源(路由历史记录)
  • QoS/流量控制
  • 身份标识

网络协议安全威胁分类

网络漏洞分类

  • 基于头部
    • 头部某个域使用了无效值
    • TCP的FLAG误用攻击
  • 基于协议
    • 不按顺序发送数据包
    • 发送太快/太慢:DoS攻击
    • 没发送数据包:SYN雪崩式攻击
  • 基于验证
    • 非法访问接入点
    • IPv4地址欺骗
    • DNS欺骗
  • 基于流量
    • 雪崩流量:ping一个广播地址
    • 数据包嗅探:DoS攻击

网络层次分类