Internet协议概述
| TCP/IP层次划分 | TCP/IP协议族中协议示例 |
|---|---|
| 应用层 | HTTP、FTP、TELNET DNS、SNMP |
| 传输层 | TCP UDP |
| 网际层 | ARP、IP(及ICMP) |
| 数据链路层 | Ethernet、Token Ring、FDDI、WANS |
| 物理层 | 网络线路 |
网际层协议Internet Protocol,IP
IP协议
-
是TCP/IP协议族的核心,也是网际层最重要的协议
-
IP数据报由首部和数据两部分组成
-
其中首部的前一部分是固定长度20字节,是数据包必有的。
-
首部固定部分之后,是一些可选字段,长度可变
IP协议的安全问题及防护措施
| 安全问题 | 防护措施 |
|---|---|
| IP数据报在传递过程中易被攻击者监听、窃取。这是一种被动攻击,攻击者不改变IP数据报的内容,但是可以截取数据报,解析数据净荷,从而获得数据内容。 | 对IP数据报加密 |
| 由于IP层并没有采用任何机制保证数据净荷传输的正确性,攻击者可能截取数据报,修改数据报中的内容后,将修改结果发送给接收方 | 对IP数据报净荷部分实行完整性检测机制 |
| IP层不能保证IP数据报一定是从源地址发送的。攻击者可以伪装成另一个网络主机,发送含有伪造源地址的数据包欺骗接受者,此攻击称为IP欺骗攻击 | 通过源地址鉴别机制加以防御 |
| 使用特殊的目的地址发送IP数据报也会引入安全问题。如攻击者可以使用目的地址为定向广播地址的IP数据报来攻击许多不同类型的主机 | 配置路由器时启用禁止发送广播数据包的功能 |
| IP报被分段和重组,攻击者将IP包切分为非常小的碎片,然后发送给被攻击目标。IP分片只会在接收方重组。接收方会由于重组这些极小的分片而浪费大量计算资源 | 许多防火墙能够重组分段的IP数据报,以检查其内容 |
网络层协议实现缺陷
- IP包碎片攻击
定义:IP首部的片偏移字段用来指示当前分片在原数据包中位置,对于人为设计的偏移量、长度有矛盾的数据包的重组处理,可能导致操作系统出现异常,利用操作系统这种缺陷实施的攻击称为IP包碎片攻击
实例:
①TearDrop攻击
攻击者通过发送两个(或者更多个)分片来实现TearDrop攻击
第一个分片的偏移量为0,长度为N
第二个分片的偏移量小于N,而且算上第二片IP包的数据部分,也未超过第一片的尾部。这样就出现了重叠现象。
②Jolt2攻击
最低0.47元/天 解锁文章
870
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
