沈鑫剡编著(网络安全)教材配套课件第9章.pptx

1、 2006工程兵工程学院 计算机教研室第九章本章主要内容本章主要内容n互连网安全技术互连网安全技术概述；概述；n安全安全路由；路由；n流量管制流量管制；nNATNAT；nVRRPVRRP。本讲主要内容本讲主要内容n路由器和互连网结构；路由器和互连网结构；n互连网安全技术范畴和功能。互连网安全技术范畴和功能。1 1互连网结构互连网结构1 1互连网结构互连网结构 多个不同类型的网络通过路由器连接多个不同类型的网络通过路由器连接在一起，路由器采用数据报交换方式，通在一起，路由器采用数据报交换方式，通过路由项指出通往每一个网络的传输路径，过路由项指出通往每一个网络的传输路径，路由表是路由项的集合。路由

2、表是路由项的集合。 连接在不同传输网络上的两个主机之连接在不同传输网络上的两个主机之间的传输路径分为两个层次，一是传输网间的传输路径分为两个层次，一是传输网络建立的连接在同一传输网络上的两个结络建立的连接在同一传输网络上的两个结点之间的传输路径。二是点之间的传输路径。二是IPIP传输路径，由传输路径，由源和目的主机、路由器和传输网络组成。源和目的主机、路由器和传输网络组成。2 2路由器作用路由器作用 路由器的作用主要有三个，一是通过路由器的作用主要有三个，一是通过多个连接不同类型的传输网络的接口实现多个连接不同类型的传输网络的接口实现不同类型传输网络的互连，二是建立用于不同类型传输网络的互连，

3、二是建立用于指明通往互连网中每一个网络的传输路径指明通往互连网中每一个网络的传输路径的路由项，三是实现的路由项，三是实现IPIP分组的转发过程。分组的转发过程。 黑客攻击行为可以分为针对主机的攻击黑客攻击行为可以分为针对主机的攻击行为、针对传输网络的攻击行为和针对路由行为、针对传输网络的攻击行为和针对路由器的攻击行为。器的攻击行为。3 3针对路由器的攻击针对路由器的攻击n路由项欺骗攻击；路由项欺骗攻击；n拒绝服务攻击。拒绝服务攻击。1 1互连网安全技术范畴互连网安全技术范畴 互连网安全技术可以分为三类，第一类互连网安全技术可以分为三类，第一类是有着专门用途的安全技术，如防火墙、入是有着专门用途

4、的安全技术，如防火墙、入侵检测系统和虚拟专用网（侵检测系统和虚拟专用网（VPNVPN）等。第二类）等。第二类是有着一般用途的安全技术，如防路由项欺是有着一般用途的安全技术，如防路由项欺骗、骗、NATNAT、流量管制等。第三类是用于提高互、流量管制等。第三类是用于提高互连网可靠性、容错性的技术，如虚拟路由器连网可靠性、容错性的技术，如虚拟路由器冗余协议（冗余协议（VRRPVRRP）等。）等。 只讨论有着一般用途的安全技术和用于只讨论有着一般用途的安全技术和用于提高互连网可靠性、容错性的技术。提高互连网可靠性、容错性的技术。2 2互连网安全技术功能互连网安全技术功能n安全路由；安全路由；n流量管制

5、；流量管制；nNATNAT；nVRRPVRRP。本讲主要内容本讲主要内容n防路由项欺骗攻击机制防路由项欺骗攻击机制；n路由项过滤路由项过滤；n单播反向路径验证单播反向路径验证；n策略路由策略路由。1路由项欺骗攻击过程路由项欺骗攻击过程1路由项欺骗攻击过程路由项欺骗攻击过程黑客终端发送一项黑客终端发送一项LAN 4LAN 4与其直接相连的路与其直接相连的路由项；由项；路由器路由器R1R1将通往将通往LAN 4LAN 4传输路径上的下一跳传输路径上的下一跳改为黑客终端；改为黑客终端；路由器路由器R1R1将目的网络是将目的网络是LAN 4LAN 4的的IPIP分组转发分组转发给黑客终端。给黑客终端。

6、2 2路由项源端鉴别和完整性检测路由项源端鉴别和完整性检测 路由器接收到路由消息后，必须确认是路由器接收到路由消息后，必须确认是合法路由器发送的，且路由消息包含的路由合法路由器发送的，且路由消息包含的路由项没有被篡改后，才对路由消息进行处理，项没有被篡改后，才对路由消息进行处理，并根据处理结果修改路由表。并根据处理结果修改路由表。2 2路由项源端鉴别和完整性检测路由项源端鉴别和完整性检测 某个路由器组某个路由器组播路由消息时，该播路由消息时，该路由器根据路由消路由器根据路由消息和密钥息和密钥K K计算散列计算散列消息鉴别码消息鉴别码（HMACHMAC），并将），并将HMACHMAC附在路由消息

7、附在路由消息后面一起组播给其后面一起组播给其他相邻路由器。他相邻路由器。2 2路由项源端鉴别和完整性检测路由项源端鉴别和完整性检测 其他相邻路其他相邻路由器接收到该路由器接收到该路由消息后，首先由消息后，首先根据路由消息和根据路由消息和密钥密钥K K计算计算HMACHMAC，然后将计算结果然后将计算结果和附在路由消息和附在路由消息后面的后面的HMACHMAC比较，比较，如果相同，表明如果相同，表明发送者和接收者发送者和接收者具有相同密钥，具有相同密钥，且路由消息在传且路由消息在传输过程中没有被输过程中没有被篡改。篡改。路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络路由项过滤技术就

8、是在公告的路由消息中屏蔽掉和过滤器中目的网络匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由器的透明性。器的透明性。三个网络，其三个网络，其中两个是内部中两个是内部网络。网络。过滤器中的目过滤器中的目的网络包含两的网络包含两个内部网络。个内部网络。路由消息中不包含路由消息中不包含被过滤器屏蔽掉的被过滤器屏蔽掉的两个内部网络。两个内部网络。n单播反向路径验证的目的是丢弃伪造源单播反向路径验证的目的是丢弃伪造源IPIP地址的地址的IPIP分组；分组；n路由器通过检测接收路由器通过检测接收IPIP分组的端口和通往源终端的端口是否

9、相同确分组的端口和通往源终端的端口是否相同确定源定源IPIP地址是否伪造。地址是否伪造。193.1.1.5193.1.1.7193.1.1.5n策略路由允许为符合特定条件的策略路由允许为符合特定条件的IPIP分组选择特殊的传输路径，分组选择特殊的传输路径，这种特殊的传输路径往往不是根据路由协议产生的通往该这种特殊的传输路径往往不是根据路由协议产生的通往该IPIP分组目的地的传输路径。分组目的地的传输路径。n策略路由项分为两部分，一部分是策略路由项分为两部分，一部分是IPIP分组分类条件，它由分组分类条件，它由IPIP首部和首部和TCPTCP首部字段值组成，和这些字段值相同的首部字段值组成，和这

10、些字段值相同的IPIP分组作为分组作为符合分类条件的符合分类条件的IPIP分组。另一部分是下一跳地址。分组。另一部分是下一跳地址。本讲主要内容本讲主要内容n拒绝服务攻击和流量管制拒绝服务攻击和流量管制；n信息流分类信息流分类；n管制算法；管制算法；n流量管制抑止拒绝服务攻击机制。流量管制抑止拒绝服务攻击机制。SYNSYN泛洪攻击过程泛洪攻击过程分布式拒绝服务（分布式拒绝服务（DDoSDDoS）攻击过程）攻击过程 拒绝服务攻击的共同点是黑客终端向拒绝服务攻击的共同点是黑客终端向攻击目标超量发送报文，因此，只要能够攻击目标超量发送报文，因此，只要能够限制某类报文的流量，就能够抑制拒绝服限制某类报文

11、的流量，就能够抑制拒绝服务攻击。务攻击。 信息流分类是要从信息流分类是要从IPIP分组流中分离出分组流中分离出属于特定应用的一组属于特定应用的一组IPIP分组，如需要分离分组，如需要分离出建立出建立TCPTCP连接过程中的第一个请求报文，连接过程中的第一个请求报文，需要从需要从IPIP分组流中分离出具有如下特征的分组流中分离出具有如下特征的IPIP分组：分组：nIPIP首部协议字段值：首部协议字段值：6 6（TCPTCP）；）；nTCPTCP首部控制标志位：首部控制标志位：SYN=1SYN=1，ACK=0ACK=0。n漏斗管制算法保证信息流恒速输出；漏斗管制算法保证信息流恒速输出；n突发性信息

12、流存储在分组输出队列，队列稳定器以指定速率输出分组；突发性信息流存储在分组输出队列，队列稳定器以指定速率输出分组；n如果分组输出队列溢出，丢弃后续分组，如果分组输出队列空，输出链如果分组输出队列溢出，丢弃后续分组，如果分组输出队列空，输出链路空闲。路空闲。漏斗漏斗漏斗管制算法实现过程漏斗管制算法实现过程n令牌生成器恒速生成令牌（每秒令牌生成器恒速生成令牌（每秒V令牌），但一旦令牌桶溢出，丢弃后续令牌），但一旦令牌桶溢出，丢弃后续令牌，每一个令牌对应令牌，每一个令牌对应K字节，令牌桶容量为字节，令牌桶容量为U令牌；令牌；n如果分组输出队列头的分组的字节数如果分组输出队列头的分组的字节数（P1）K

13、，则只当令牌桶中包，则只当令牌桶中包含的令牌数含的令牌数P时，才允许输出该分组，并从令牌桶中取走时，才允许输出该分组，并从令牌桶中取走P个令牌，如果个令牌，如果令牌桶中令牌数令牌桶中令牌数P，停止输出，直到令牌桶中令牌数，停止输出，直到令牌桶中令牌数P；n平均输出速率平均输出速率V K/s（单位字节），突发性数据长度（单位字节），突发性数据长度U K （单位（单位字节）。字节）。 校园校园网物网物理结理结构图构图校园网逻辑结构图校园网逻辑结构图抑制抑制SYNSYN泛洪攻击的流量管制器泛洪攻击的流量管制器分类标准分类标准（1 1）目的）目的IPIP地址地址IP AIP A或或IP BIP B（2

14、 2）IPIP首部协议字段值首部协议字段值6 6（TCPTCP）（3 3）TCPTCP首部控制标志位：首部控制标志位：SYN=1SYN=1，ACK=0ACK=0 速率限制：平均传输速率速率限制：平均传输速率64kbps64kbps，突发性，突发性数据长度数据长度=8000B=8000B抑制抑制DDoSDDoS攻击流量管制器攻击流量管制器分类标准分类标准（1 1）目的）目的IPIP地址地址IP AIP A或或IP BIP B（2 2）IPIP首部协议字段值首部协议字段值1 1（ICMPICMP）（3 3）ICMPICMP类型字段值：类型字段值：8 8（ECHOECHO请求）或请求）或0 0（EC

15、HOECHO响应）响应） 速率限制：平均传输速率速率限制：平均传输速率64kbps64kbps，突发性，突发性数据长度数据长度=8000B=8000B本讲主要内容本讲主要内容nNATNAT概述；概述；n动态动态PATPAT和静态和静态PATPAT；n动态动态NATNAT和静态和静态NATNAT；nNATNAT的弱安全性。的弱安全性。NATNAT就是一种对从内部网络转发到外部网络的就是一种对从内部网络转发到外部网络的IPIP分组实现源分组实现源IPIP地址内部本地地址至内部全球地址的转换、目的地址内部本地地址至内部全球地址的转换、目的IPIP地址外部本地址外部本地地址至外部全球地址的转换，对从外

16、部网络转发到内部网络地地址至外部全球地址的转换，对从外部网络转发到内部网络的的IPIP分组实现源分组实现源IPIP地址外部全球地址至外部本地地址的转换、地址外部全球地址至外部本地地址的转换、目的目的IPIP地址内部全球地址至内部本地地址的转换的技术地址内部全球地址至内部本地地址的转换的技术 。三组私有三组私有IP地址如下。地址如下。n10.0.0.0/8n172.16.0.0/12n192.168.0.0/16 公共网络使用的全球地址空间中不允许包公共网络使用的全球地址空间中不允许包含属于这三组含属于这三组IPIP地址的地址空间地址的地址空间 局域网接入局域网接入InternetInterne

17、t过程过程 NATNAT应用一应用一内部网络和外部网络互连内部网络和外部网络互连 NATNAT应用二应用二内部网络之间相互通信内部网络之间相互通信 NATNAT应用三应用三n内部网络终端发送的内部网络终端发送的IP分组，进入分组，进入Internet时，以边缘路由器连接时，以边缘路由器连接Internet端口的端口的全球全球IP地址为源地址为源IP地址，为了正确鉴别源终端，用内部网络唯一的源端口号取代地址，为了正确鉴别源终端，用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。分组终端唯一的源端口号。n内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位，会话开始时内部网络唯一的源端

18、口号和内部网络终端之间的绑定以会话为单位，会话开始时通过地址转换表建立绑定，会话结束时取消绑定；通过地址转换表建立绑定，会话结束时取消绑定；n端口地址转换技术只能用于端口地址转换技术只能用于IP分组净荷是运输层报文的情况。分组净荷是运输层报文的情况。允许允许InternetInternet中的终端发起访问内部网络中的服务器的过程，需中的终端发起访问内部网络中的服务器的过程，需要静态配置服务器本地地址与局域网内唯一端口号之间的映射要静态配置服务器本地地址与局域网内唯一端口号之间的映射 n动态地址转换以会话为单位，会话开始时在全球动态地址转换以会话为单位，会话开始时在全球IP地址池中分配一个未使用

19、的地址池中分配一个未使用的IP地址，并在地址，并在地址转换表中将全球地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起，会话结束时取消绑定地址和本地地址之间的绑定与会话关联在一起，会话结束时取消绑定和关联；和关联；nIP分组进入分组进入Internet时，用全球时，用全球IP地址取代本地地址。地址取代本地地址。IP分组进入内部网络时，用本地地址分组进入内部网络时，用本地地址取代全球取代全球IP地址；地址；n动态动态NAT不需改动源端口号，因此，原则可用于不需改动源端口号，因此，原则可用于IP分组净荷不是运输层报文的情况。分组净荷不是运输层报文的情况。n端口地址转换和动态端口地址转换

20、和动态NAT在建立本地地址和全球在建立本地地址和全球IP地址之间绑定前，内部网络终地址之间绑定前，内部网络终端对外部网络是透明的。而且，建立本地地址和全球端对外部网络是透明的。而且，建立本地地址和全球IP地址之间绑定的操作由内地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现，因此，只允许内部网部网络终端发起建立和外部网络终端之间会话的过程实现，因此，只允许内部网络终端发起建立和外部网络终端之间的会话，这样，增强了内部网络的安全性，络终端发起建立和外部网络终端之间的会话，这样，增强了内部网络的安全性，但不允许外部网络终端发起和内部网络终端之间的会话；但不允许外部网络终端发

21、起和内部网络终端之间的会话；n静态静态NAT将建立本地地址和全球将建立本地地址和全球IP地址的固定关联，这样，允许外部网络终端随地址的固定关联，这样，允许外部网络终端随时通过该全球时通过该全球IP地址访问和该全球地址访问和该全球IP地址建立固定关系的本地地址所标识的内部地址建立固定关系的本地地址所标识的内部网络终端。网络终端。 除了静态除了静态NATNAT和静态和静态PATPAT外，在内部网外，在内部网络终端发起某个会话前，外部网络终端是络终端发起某个会话前，外部网络终端是无法访问到内部网络终端的，因此，也无无法访问到内部网络终端的，因此，也无法发起对内部网络终端的攻击，这是法发起对内部网络终

22、端的攻击，这是NATNAT被作为网络安全机制的主要原因。被作为网络安全机制的主要原因。本讲主要内容本讲主要内容n容错网络结构；容错网络结构；nVRRPVRRP工作原理；工作原理；nVRRPVRRP应用实例。应用实例。每一个以太网内部每一个以太网内部通过链路冗余和生通过链路冗余和生成树协议保证在发成树协议保证在发生单条链路故障的生单条链路故障的情况下仍然保持连情况下仍然保持连接在同一以太网上接在同一以太网上的终端之间的连通的终端之间的连通性。同时，路由器性。同时，路由器R1R1和和R2R2分别有接口分别有接口连接到两个以太网，连接到两个以太网，保证在其中一个路保证在其中一个路由器发生故障的情由器

23、发生故障的情况下仍然保持连接况下仍然保持连接在不同以太网上的在不同以太网上的终端之间的连通终端之间的连通性性 。多个有接口连接在同一个网络上的多个有接口连接在同一个网络上的VRRPVRRP路由器构成一个虚拟路由器，路由器构成一个虚拟路由器，这些这些VRRPVRRP路由器中只有一个路由器中只有一个VRRPVRRP路路由器是主路由器，其他路由器为备由器是主路由器，其他路由器为备份路由器份路由器 ，每一个虚拟路由器分配，每一个虚拟路由器分配唯一的唯一的8 8位二进制数的虚拟路由器标位二进制数的虚拟路由器标识符识符 ，对虚拟路由器配置多虚拟，对虚拟路由器配置多虚拟IPIP地址，虚拟地址，虚拟IPIP地

24、址与地址与MACMAC地址地址00-00-00-00-5E-00-01-VRID 5E-00-01-VRID 绑定。绑定。n分别在路由器分别在路由器R1R1和和R2R2创建创建VRIDVRID为为2 2的虚拟的虚拟路由器路由器 n分别为路由器分别为路由器R1R1和和R2R2的接口的接口1 1分配分配IPIP地址地址 n为路由器为路由器R1R1和和R2R2的接口的接口1 1分配优先级分配优先级 n为为VRIDVRID为为2 2的虚拟路由器分配虚拟的虚拟路由器分配虚拟IPIP地址地址该该IPIP地址成为连接在网络上的终端的默认地址成为连接在网络上的终端的默认网关地址网关地址 n虚拟路由器根据虚拟路

25、由器根据VRID=2VRID=2生成虚拟生成虚拟MACMAC地址地址00-00-5E-00-01-0200-00-5E-00-01-02 每一个每一个VRRPVRRP路由器启动路由器启动后，处于初始化状态，后，处于初始化状态，如果该如果该VRRPVRRP路由器是路由器是IPIP地址拥有者，立即成为地址拥有者，立即成为主路由器，发送图主路由器，发送图VRRPVRRP报文，然后，周期性地报文，然后，周期性地发送发送VRRPVRRP报文报文 主路由器接收到主路由器接收到VRRPVRRP报文，如果发送报文，如果发送VRRPVRRP报文的路由器的优先报文的路由器的优先级更高，主路由器立即转换为备份路由器

26、，停止发送级更高，主路由器立即转换为备份路由器，停止发送VRRPVRRP报文报文备份路由器接收到备份路由器接收到VRRPVRRP报文，如果备份路由器的优先级更高，报文，如果备份路由器的优先级更高，且备份路由器允许抢占方式，转换为主路由器，发送且备份路由器允许抢占方式，转换为主路由器，发送VRRPVRRP报文报文 n主路由器功能主路由器功能n必须对请求解析虚拟必须对请求解析虚拟IPIP地址的地址的ARPARP请求报文做出响应；请求报文做出响应；n必须对封装在以虚拟必须对封装在以虚拟MACMAC地址为目的地址为目的MACMAC地址的地址的MACMAC帧帧中的中的IPIP分组进行转发操作；分组进行转

27、发操作；n在成为主路由器时，立即发送将所有虚拟在成为主路由器时，立即发送将所有虚拟IPIP地址绑定地址绑定到虚拟到虚拟MACMAC地址的地址的ARPARP报文，使得网络内的所有终端将报文，使得网络内的所有终端将默认网关地址与虚拟默认网关地址与虚拟MACMAC地址绑定在一起。地址绑定在一起。n备份路由器功能备份路由器功能n不对请求解析虚拟不对请求解析虚拟IPIP地址的地址的ARPARP请求报文做出响应；请求报文做出响应；n丢弃接收到的以虚拟丢弃接收到的以虚拟MACMAC地址为目的地址的地址为目的地址的MACMAC帧；帧；n丢弃接收到的以虚拟丢弃接收到的以虚拟IPIP地址为目的地址的地址为目的地址

28、的IPIP分组。分组。n如果终端在如果终端在ARPARP缓存中找不到与默认网关缓存中找不到与默认网关地址绑定的地址绑定的MACMAC地址，会发送一个请求解地址，会发送一个请求解析该默认网关地址的析该默认网关地址的ARPARP请求报文，该请求报文，该ARPARP请求报文在终端所连接的网络中广播，连请求报文在终端所连接的网络中广播，连接在该网络上的所有接在该网络上的所有VRRPVRRP路由器都接收到路由器都接收到该该ARPARP请求报文，但只有主路由器对该请求报文，但只有主路由器对该ARPARP请求报文做出响应，并在请求报文做出响应，并在ARPARP响应报文中响应报文中将虚拟将虚拟MACMAC地址

29、与默认网关地址绑定在一地址与默认网关地址绑定在一起。起。 当路由器当路由器R2R2成为主路由器时，立成为主路由器时，立即发送一个即发送一个VRRPVRRP报文，该报文，该VRRPVRRP报报文最终被封装成以虚拟文最终被封装成以虚拟MACMAC地址地址00-00-5E-00-01-0200-00-5E-00-01-02为源为源MACMAC地址，地址，以组地址以组地址01-00-5E-00-00-1201-00-5E-00-00-12为目为目的的MACMAC地址的地址的MACMAC帧，该帧，该MACMAC帧在以帧在以太网中广播，以太网中所有交换太网中广播，以太网中所有交换机都接收到该机都接收到该M

30、ACMAC帧，通过地址学帧，通过地址学习，在转发表中建立新的转发项。习，在转发表中建立新的转发项。 创建两个创建两个VRIDVRID分别为分别为2 2和和3 3的虚拟路由器，同时将路的虚拟路由器，同时将路由器由器R1R1和和R2R2连接以太网的连接以太网的接口分配给两个虚拟路由接口分配给两个虚拟路由器，分别为器，分别为VRIDVRID为为2 2和和3 3的的虚拟路由器分配不同的虚虚拟路由器分配不同的虚拟拟IPIP地址。将一半连接在地址。将一半连接在网络的终端的默认网关地网络的终端的默认网关地址配置成址配置成VRIDVRID为为2 2的虚拟的虚拟路由器对应的虚拟路由器对应的虚拟IPIP地址，地址

31、，将另一半连接在网络的终将另一半连接在网络的终端的默认网关地址配置成端的默认网关地址配置成VRIDVRID为为3 3的虚拟路由器对的虚拟路由器对应的虚拟应的虚拟IPIP地址。地址。n网络结构与基本配置网络结构与基本配置 完成路由器配置，创建两个虚拟路由器，并分配虚拟完成路由器配置，创建两个虚拟路由器，并分配虚拟IPIP地址地址n生成路由器和转发项生成路由器和转发项 为实现负载均衡，指定路由器为实现负载均衡，指定路由器R1R1为为VRIDVRID为为2 2的虚拟路由器的虚拟路由器的主路由器的主路由器 ，路由器，路由器R2R2为为VRIDVRID为为3 3的虚拟路由器的主路的虚拟路由器的主路由器由器 nIPIP分组传输过程分组传输过程 终端终端A A向终端向终端D D发送发送IPIP分组时，终端分组时，终端A A先将先将IPIP分组转发给默分组转发给默认网关认网关路由器路由器R1R1，终端，终端D D向终端向终端A A发送发送IPIP分组时，终分组时，终端端D D先将先将IPIP分组转发给默认网关分组转发给默认网关路由器路由器R2 R2