IP协议-课件（PPT-精）.pptVIP

网络工程系 yn@uestc.edu.cn 电子科大通信学院 * 严格源路由选项 格式 Code：137Length （Total length） Pointer First IP address （Filled when started） Second IP address （Filled when started） … Last IP address （Filled when started） 10.0.0.1 10.0.0.2 10.0.0.0 作用 严格按给定的IP地址逐跳转发，中间不允许经过其它IP地址 4 15 137 67.14.10.22 140.10.5.4 200.14.7.14 8 140.10.6.3 200.14.7.9 138.6.22.26 12 16 67.0.0.0 140.10.0.0 200.14.7.0 67.34.30.6 138.6.0.0 67.14.10.22 140.10.6.3 140.10.5.4 200.14.7.9 200.14.7.14 138.6.22.26 138.6.25.40 Internet数据报选项分片时对选项的处理 选项的代码字段中的复制比特的意义在于：“1”表示该选项复制到所有分片当中。 在分片时，路由器把某些选项复制到所有数据片中，而把其他一些选项复制到第一片中。IP标准指出，记录路由选项只能复制到其中一片中；源路由选项必须复制到所有数据片的首部。 Fragmentation with Options 哪些选项会复制到所有分片中？哪些只在第一个分片中出现？为什么？ 哪些选项用于数据报控制？哪些选项用于调试管理？ No copy No copy No copy No copy Copy Copy Control Control Control Control Control Debug No operation 0 00 00001 End of option 0 00 00000 Record route 0 00 00111 Strict source route 1 00 01001 Loose source route 1 00 00011 Timestamp 0 10 00100 5.5 IP Package To receive IP Packets Host Router 接收报文 IP报文 I1 I2 I3 dIP与 I1、I2、I3 相符 ? 丢弃 dIP与 I1、I2、I3 不符 接收报文 IP报文 I1 I2 I3 dIP与 I1、I2、I3 相符 ? dIP与 I1、I2、I3 不符 转发 1. 源路由攻击 原理：截获数据包后，改变包中的路由选项，把数据包路由到可控的路由器上。 IP协议的一些安全问题 2. 分片攻击 (1) Tiny Fragment：发送极小分片，让TCP报头的端口号包含在第二个分片中，绕过防火墙或者是过滤系统。 防火墙是目前最常用的一种防护手段.使用包过滤机制. 思想:根据目的端口号对报文进行过滤. 例如:禁止目标端口号为21的报文进入网络,如果防火墙捕获到这样一个报文之后就会将其丢弃. IP协议的一些安全问题 (2) Ping of Death：发送长度超过65535的IP报，目标主机重组分片时会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或者挂起。 (3) teardrop：第二个IP分片偏移量小于第一个分片结束的位置，出现重叠。 利用了IP数据报的分片机制.在设置片偏移量字段时,恶意攻击者可设置一个分片的偏移量小于前一个分片的结束位置,这时两个分片就会出现重叠,造成分片无法重足,使系统出现异常. 问题：如何实现Ping of Death和TearDrop? Ping of Death： MF=0（最后一片），报文长度为49，偏移量为0x1FFE 重组后长度为0x1FFE * 8 + （49-20） = 65549 Teardrop： 分片1：MF=1，偏移量=0，长度为36（不含IP首部） 分片2：MF=0，偏移量=3，偏移字节数0x3 * 8 = 24 5.6 IP数据报的选路 我们已经知道，所有互联网服务都使用一个底层的无连接分组交付系统，并且在TCP/IP互联网上传输的基本单元是IP数据报。 本节增加了对无连接服务的描述，说明路由器如何转发IP数据报以及如何把他们交付到最终目的站。 TCP/IP标准明确规定： 主机是连接到一个或多个网络的设备，它可以向任何一个网络发送和从其接收数据，但它从不把数据从一个网络传向另一个。 ?路由器是连接到多于一个网络的设备，它的主要目的是进行IP选路决策，有