第一章

計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議安全概述第一章

計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議安全概述1.1計(jì)算機(jī)網(wǎng)絡(luò)概述1.2

計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.3計(jì)算機(jī)網(wǎng)絡(luò)安全威脅1.4計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議安全威脅計(jì)算機(jī)網(wǎng)絡(luò)概述1.1PARTONE010203計(jì)算機(jī)網(wǎng)絡(luò)的定義

計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展歷程計(jì)算機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu)CONTENTS目錄1.1.1計(jì)算機(jī)網(wǎng)絡(luò)的定義計(jì)算機(jī)網(wǎng)絡(luò)是將分布在不同地理位置的多臺(tái)計(jì)算機(jī)及其外部設(shè)備通過(guò)通信線路連接起來(lái)，實(shí)現(xiàn)資源共享的計(jì)算機(jī)系統(tǒng)。路由器將多個(gè)網(wǎng)絡(luò)連接形成“網(wǎng)絡(luò)的網(wǎng)絡(luò)”。節(jié)點(diǎn)鏈路網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)網(wǎng)絡(luò)構(gòu)建計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵是確保互連的計(jì)算機(jī)在通信過(guò)程中遵循相同的網(wǎng)絡(luò)協(xié)議。協(xié)議是計(jì)算機(jī)之間相互通信的規(guī)則和標(biāo)準(zhǔn)。以小寫字母“i”開頭的internet泛指采用某種網(wǎng)絡(luò)協(xié)議的互連網(wǎng)大寫字母“I”開頭的Internet（互聯(lián)網(wǎng)）專指采用TCP/IP協(xié)議族構(gòu)建的全球最大的開放的特定互連網(wǎng)。1.1.1計(jì)算機(jī)網(wǎng)絡(luò)的定義1.1.2計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展歷程新技術(shù)的出現(xiàn)須具備兩個(gè)條件：強(qiáng)烈的社會(huì)需求；技術(shù)的儲(chǔ)備互聯(lián)網(wǎng)問世至今已經(jīng)有半個(gè)多世紀(jì)，其發(fā)展可大致劃分四個(gè)階段第一階段：雛形期第二階段：標(biāo)準(zhǔn)化期第三階段：商業(yè)化期第四階段：融合期

第一階段：雛形期1957年10月，前蘇聯(lián)發(fā)射了第一顆人造地球衛(wèi)星1958年2月，美國(guó)成立了高級(jí)研究計(jì)劃署ARPA（1996年改名DARPA），以感知軍方未來(lái)潛在的需求為目標(biāo)。其中阿帕網(wǎng)的研究目標(biāo)是設(shè)計(jì)分散的指揮系統(tǒng)，提高生存和反擊能力。第一階段：雛形期1969年，ARPANet誕生主要技術(shù)特點(diǎn)：采用了分組交換（PacketSwitching）第二階段：標(biāo)準(zhǔn)化期網(wǎng)絡(luò)體系結(jié)構(gòu)的多樣化與私有性：IBM的SNA（系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)）-1974DEC的DNA（分布型網(wǎng)絡(luò)的數(shù)字網(wǎng)絡(luò)體系）-1975網(wǎng)絡(luò)體系結(jié)構(gòu)的標(biāo)準(zhǔn)化ISO的OSI/RM（開放系統(tǒng)互連參考模型）TCP/IP協(xié)議第二階段：標(biāo)準(zhǔn)化期1974年，互聯(lián)網(wǎng)之父的瑟夫（Vinton.Cerf）、凱恩（BobKahn）等發(fā)明了互聯(lián)網(wǎng)的骨干協(xié)議TCP/IP1983年，TCP/IP協(xié)議成為ARPANET上的標(biāo)準(zhǔn)協(xié)議；1983年作為互聯(lián)網(wǎng)的誕生時(shí)間。第三階段：商業(yè)化期1994年，美國(guó)國(guó)家科學(xué)基金會(huì)NSF允許商用網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)競(jìng)標(biāo)方式互連主干網(wǎng)。此舉使互聯(lián)網(wǎng)從實(shí)驗(yàn)室走向社會(huì)商用階段，商業(yè)資本的介入推動(dòng)了互聯(lián)網(wǎng)的快速發(fā)展和廣泛應(yīng)用。

NSF允許商用網(wǎng)絡(luò)互連1995年4月，NSFNET主干網(wǎng)正式停止使用，其經(jīng)營(yíng)權(quán)轉(zhuǎn)交給Sprint、MCI和ANS三家私營(yíng)電信公司。這標(biāo)志著互聯(lián)網(wǎng)全面進(jìn)入商業(yè)應(yīng)用領(lǐng)域，開啟了互聯(lián)網(wǎng)商業(yè)化的新紀(jì)元。NSFNET主干網(wǎng)停止使用商業(yè)資本的介入為互聯(lián)網(wǎng)發(fā)展提供了強(qiáng)大資金支持，促進(jìn)了互聯(lián)網(wǎng)相關(guān)技術(shù)的研發(fā)和創(chuàng)新，催生了眾多互聯(lián)網(wǎng)企業(yè)和商業(yè)模式，推動(dòng)了數(shù)字經(jīng)濟(jì)的興起。商業(yè)資本介入的意義第四階段：融合期5G技術(shù)的商用化推動(dòng)互聯(lián)網(wǎng)的發(fā)展，為物聯(lián)網(wǎng)、自動(dòng)駕駛、智能城市等應(yīng)用提供了強(qiáng)大的技術(shù)支持。5G技術(shù)的推動(dòng)互聯(lián)網(wǎng)商用化為物聯(lián)網(wǎng)的發(fā)展奠定了基礎(chǔ)，物聯(lián)網(wǎng)通過(guò)互聯(lián)網(wǎng)連接各種設(shè)備和傳感器，實(shí)現(xiàn)智能化管理和控制?；ヂ?lián)網(wǎng)商用化促進(jìn)了人工智能與大數(shù)據(jù)的融合，人工智能技術(shù)通過(guò)大數(shù)據(jù)的訓(xùn)練不斷優(yōu)化，為互聯(lián)網(wǎng)應(yīng)用提供了更智能的解決方案。物聯(lián)網(wǎng)的普及人工智能技術(shù)第四階段：融合期人類社會(huì)信息世界物理世界融合網(wǎng)絡(luò)對(duì)傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)拓展：向上與人類社會(huì)結(jié)合，用來(lái)連接人；往下與物理世界融合，用來(lái)連接物萬(wàn)物互聯(lián)生萬(wàn)物，大到國(guó)家和社會(huì)，小到機(jī)構(gòu)和個(gè)人都面臨著如何保障自身的信息安全的問題。1.1.3計(jì)算機(jī)網(wǎng)絡(luò)的體系結(jié)構(gòu)計(jì)算機(jī)線路(網(wǎng)線或電話線、無(wú)線)硬件安裝與配置(含網(wǎng)卡)應(yīng)用軟件安裝與使用故障排除數(shù)據(jù)分段與重組編址傳輸路徑的選擇傳輸錯(cuò)誤的發(fā)現(xiàn)與解決……計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)是為簡(jiǎn)化上述問題的研究、設(shè)計(jì)與實(shí)現(xiàn)抽象出來(lái)的結(jié)構(gòu)模型體系結(jié)構(gòu)指對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及其部件所應(yīng)完成的功能的精確定義實(shí)現(xiàn)指遵循這種體系結(jié)構(gòu)的前提下，用何種硬件或軟件完成這些功能的問題1.1.3OSI/RM模型的優(yōu)缺點(diǎn)其核心貢獻(xiàn)分層模型，服務(wù)、接口、協(xié)議規(guī)范了網(wǎng)絡(luò)體系結(jié)構(gòu)的研究方法缺點(diǎn)糟糕的提出時(shí)機(jī)（“雙峰論”，太晚）糟糕的技術(shù)（模型和協(xié)議都有缺陷）糟糕的實(shí)現(xiàn)（龐大，笨拙，緩慢）1.1.3TCP/IP模型的優(yōu)缺點(diǎn)1.1.3具有五層協(xié)議的體系結(jié)構(gòu)應(yīng)用層運(yùn)輸層網(wǎng)絡(luò)層表示層會(huì)話層數(shù)據(jù)鏈路層物理層7654321(a)(c)運(yùn)輸層網(wǎng)絡(luò)層應(yīng)用層數(shù)據(jù)鏈路層物理層54321應(yīng)用層網(wǎng)絡(luò)接口層網(wǎng)際層IP(各種應(yīng)用層協(xié)議，如DNS,HTTP,SMTP等)運(yùn)輸層(TCP或UDP)(b)（這一層并沒有具體內(nèi)容）(a)OSI的七層協(xié)議；(b)TCP/IP的四層協(xié)議；(c)五層協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)安全概述1.2PARTTWO010203計(jì)算機(jī)網(wǎng)絡(luò)安全的定義

計(jì)算機(jī)網(wǎng)絡(luò)安全的發(fā)展計(jì)算機(jī)網(wǎng)絡(luò)安全的目標(biāo)CONTENTS目錄1.2.1計(jì)算機(jī)網(wǎng)絡(luò)的定義計(jì)算機(jī)網(wǎng)絡(luò)安全是指利用計(jì)算機(jī)、密碼學(xué)、信息安全以及通信網(wǎng)絡(luò)管理等技術(shù)，保護(hù)信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性。在狹義層面上，計(jì)算機(jī)網(wǎng)絡(luò)安全是指信息資源和網(wǎng)絡(luò)系統(tǒng)資源不受有害因素的威脅和危害。在廣義層面上，凡是涉及與計(jì)算機(jī)網(wǎng)絡(luò)安全目標(biāo)相關(guān)的技術(shù)、管理和過(guò)程控制，都屬于計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域的范疇。1.2.2計(jì)算機(jī)網(wǎng)絡(luò)空間的發(fā)展歷程20世紀(jì)80年代，針對(duì)破壞計(jì)算機(jī)系統(tǒng)的網(wǎng)絡(luò)攻擊事件，第一個(gè)反病毒軟件應(yīng)運(yùn)而生。20世紀(jì)90年代，黑客攻擊、數(shù)據(jù)泄露和未經(jīng)授權(quán)的訪問成為主要威脅，促使防火墻、入侵檢測(cè)系統(tǒng)等安全技術(shù)的發(fā)展。2014年，“中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組”成立，旨在提高網(wǎng)絡(luò)安全信息化戰(zhàn)略。2016年，頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，迎來(lái)網(wǎng)絡(luò)安全行業(yè)的“黃金十年”。5G新技術(shù)終端、云服務(wù)平臺(tái)等新業(yè)態(tài)衍生出安全行業(yè)的新需求，網(wǎng)絡(luò)釣魚、勒索軟件和零日漏洞成為常見攻擊手段。安全技術(shù)不斷演進(jìn)，包括云存儲(chǔ)安全技術(shù)、后量子密碼等。新世紀(jì)新威脅與應(yīng)對(duì)我國(guó)網(wǎng)絡(luò)安全發(fā)展早期網(wǎng)絡(luò)攻擊與防御01保密性指不把國(guó)家機(jī)密、企業(yè)和社會(huì)團(tuán)體的商業(yè)機(jī)密和個(gè)人信息等網(wǎng)絡(luò)信息泄露給非授權(quán)實(shí)體。02通常利用信息加密、身份認(rèn)證、訪問控制、安全通信協(xié)議和審計(jì)等方法實(shí)現(xiàn)，信息加密是防止信息非法泄露的最基本手段。1.2.3保密性（Confidentiality）影響因素與防護(hù)02影響信息完整性的因素包括設(shè)備故障、自然災(zāi)害和人為蓄意破壞等。通過(guò)數(shù)據(jù)備份、校驗(yàn)和、訪問控制等方式確保信息的完整性。完整性概念01完整性指信息在存儲(chǔ)或傳輸過(guò)程中，如果未經(jīng)授權(quán)，需保持不被修改、破壞或丟失的完整狀態(tài)。此外，信息的完整性還要求信息的來(lái)源具有正確性和可信性。1.2.3完整性（Integrity）可用性指在正常情況下，網(wǎng)絡(luò)信息被授權(quán)實(shí)體按要求訪問使用，或在非正常情況下能恢復(fù)使用的特性。即在系統(tǒng)運(yùn)行時(shí)，可以正確存取所需信息，當(dāng)系統(tǒng)遭受意外攻擊或破壞時(shí)，可以迅速恢復(fù)并能投入使用。01可用性是衡量網(wǎng)絡(luò)信息系統(tǒng)面向用戶的一種安全性能，以保障為用戶提供穩(wěn)定的服務(wù)。需要防范拒絕服務(wù)攻擊、破壞系統(tǒng)正常運(yùn)行等攻擊，確保系統(tǒng)的高可用性。021.2.3可用性（Availability）1.2.3可控性（Controllability）0102可控性指網(wǎng)絡(luò)信息系統(tǒng)責(zé)任主體對(duì)網(wǎng)絡(luò)系統(tǒng)和信息傳輸具有管理、支配能力的特性。能夠根據(jù)授權(quán)規(guī)則對(duì)系統(tǒng)行為、信息的傳播路徑、范圍及其內(nèi)容進(jìn)行有效掌握和控制。例如不允許不良內(nèi)容通過(guò)公共網(wǎng)絡(luò)進(jìn)行傳輸，使信息在合法用戶的有效掌控之中，確保網(wǎng)絡(luò)空間的健康和有序。通過(guò)技術(shù)手段和管理措施，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的可控性，防止非法信息的傳播和濫用。1.2.3不可否認(rèn)性（No-repudiation）信息交互的真實(shí)性不可否認(rèn)性指所有參與者不可否認(rèn)或抵賴本人的真實(shí)身份，以及提供信息的原樣性和完成的操作與承諾。數(shù)據(jù)簽名技術(shù)的應(yīng)用數(shù)據(jù)簽名技術(shù)是解決不可否認(rèn)性的重要手段計(jì)算機(jī)網(wǎng)絡(luò)安全威脅1.3PARTTHREE010203計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的類型

計(jì)算機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的因素計(jì)算機(jī)網(wǎng)絡(luò)安全防范的措施CONTENTS目錄1.3.1計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的類型指將未經(jīng)授權(quán)而通過(guò)口令、密碼或者系統(tǒng)漏洞等方式獲取系統(tǒng)訪問權(quán)的方法，稱為非授權(quán)訪問。主要包括非法用戶進(jìn)入網(wǎng)絡(luò)或系統(tǒng)進(jìn)行違法操作，以及合法用戶以未授權(quán)的方式進(jìn)行操作。非授權(quán)訪問危害01指將有價(jià)值的、高度機(jī)密的信息在傳遞、存儲(chǔ)、使用過(guò)程中，通過(guò)有意和無(wú)意的方式泄露給未經(jīng)授權(quán)的用戶。以加密技術(shù)為核心，結(jié)合安全審計(jì)機(jī)制等可有效防止信息泄漏。信息泄漏風(fēng)險(xiǎn)021.3.1計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的類型在非授權(quán)和不能監(jiān)視的情況下，對(duì)數(shù)據(jù)的一致性通過(guò)增刪、修改或者破壞等方式進(jìn)行損壞。完整性破壞影響03指授權(quán)實(shí)體對(duì)信息或者資源的訪問被無(wú)條件阻止。攻擊者通過(guò)發(fā)送大量請(qǐng)求，使系統(tǒng)響應(yīng)減慢甚至癱瘓，從而導(dǎo)致合法用戶無(wú)法訪問。拒絕服務(wù)攻擊041.3.1計(jì)算機(jī)網(wǎng)絡(luò)安全威脅的類型利用尚未被廠商發(fā)現(xiàn)或修復(fù)的漏洞發(fā)起攻擊，攻擊者可輕易獲取系統(tǒng)控制權(quán)，如黑客利用軟件漏洞植入惡意程序。零日漏洞攻擊難以防范，需及時(shí)更新軟件與系統(tǒng)，加強(qiáng)安全監(jiān)測(cè)。零日漏洞威脅05利用人際關(guān)系和心理學(xué)手段誘導(dǎo)目標(biāo)泄露敏感信息或執(zhí)行惡意操作，如偽裝成客服人員獲取用戶密碼。提高用戶安全意識(shí)是防范社會(huì)工程學(xué)攻擊的關(guān)鍵，需加強(qiáng)安全教育與培訓(xùn)。社會(huì)工程學(xué)061.3.2網(wǎng)絡(luò)系統(tǒng)自身缺陷與軟件系統(tǒng)漏洞計(jì)算機(jī)網(wǎng)絡(luò)最初設(shè)計(jì)未考慮安全性，開放性、共享性等特點(diǎn)使網(wǎng)絡(luò)系統(tǒng)存在較大安全風(fēng)險(xiǎn)。如早期互聯(lián)網(wǎng)協(xié)議缺乏身份認(rèn)證機(jī)制，導(dǎo)致網(wǎng)絡(luò)攻擊頻發(fā)。網(wǎng)絡(luò)系統(tǒng)自身缺陷的影響利用缺陷挖掘漏洞進(jìn)行攻擊是網(wǎng)絡(luò)安全永遠(yuǎn)的主題；軟件系統(tǒng)規(guī)模不斷擴(kuò)大，難以檢測(cè)并解決所有安全漏洞。及時(shí)更新軟件系統(tǒng)，修復(fù)漏洞，可有效降低軟件系統(tǒng)漏洞帶來(lái)的風(fēng)險(xiǎn)。軟件系統(tǒng)漏洞的危害1.3.2網(wǎng)絡(luò)協(xié)議漏洞與網(wǎng)絡(luò)安全計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的漏洞指由于網(wǎng)絡(luò)通信協(xié)議的不完善性而產(chǎn)生的安全隱患。TCP/IP協(xié)議簇中幾乎所有協(xié)議都存在安全隱患，如ARP協(xié)議易被偽造，導(dǎo)致網(wǎng)絡(luò)通信被劫持。網(wǎng)絡(luò)協(xié)議的漏洞網(wǎng)絡(luò)安全管理涉及技術(shù)、用戶行為、法律和政策等多方面因素，人為因素導(dǎo)致管理漏洞。健全和完善網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，提高網(wǎng)絡(luò)管理員的安全意識(shí)，規(guī)范操作行為，可有效解決網(wǎng)絡(luò)安全管理漏洞。網(wǎng)絡(luò)安全管理的漏洞1.3.3計(jì)算機(jī)網(wǎng)絡(luò)安全防范的措施在許多情況下，法律法規(guī)的作用大于技術(shù)教育是提升安全意識(shí)、知識(shí)技能的重要環(huán)節(jié)管理可以提高網(wǎng)絡(luò)的安全性，保護(hù)信息資產(chǎn)免受威脅技術(shù)措施包括策略和技術(shù)工具，旨在保護(hù)網(wǎng)絡(luò)免受攻擊計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議安全威脅1.4PARTFOUR010203計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的相關(guān)概念

計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)TCP/IP協(xié)議安全的體系結(jié)構(gòu)CONTENTS目錄1.4.1計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議基本概念””協(xié)議定義與三要素協(xié)議分類開源協(xié)議健壯性好，安全缺陷易被發(fā)現(xiàn)；專利協(xié)議安全缺陷不易被發(fā)現(xiàn)。目前協(xié)議規(guī)范用英語(yǔ)描述，不同提供商可能有不同解釋，且協(xié)議需相互協(xié)作，存在被攻擊風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)通信和數(shù)據(jù)交換的規(guī)則集合，是特殊軟件。其三要素為語(yǔ)法、語(yǔ)義和同步。語(yǔ)法指數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式，語(yǔ)義指控制信息的動(dòng)作與響應(yīng)，同步用于說(shuō)明事件順序。1.4.2計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的安全風(fēng)險(xiǎn)可歸結(jié)為以下三方面設(shè)計(jì)初衷為異構(gòu)網(wǎng)互聯(lián)，未充分考慮安全性，各層協(xié)議開放性及設(shè)計(jì)缺陷使其易受攻擊計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議缺乏用于驗(yàn)證通信雙方真實(shí)性的有效認(rèn)證機(jī)制計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議缺乏保密機(jī)制，無(wú)法實(shí)現(xiàn)數(shù)據(jù)機(jī)密性的功能

1.4.3TCP/IP協(xié)議安全的體系結(jié)構(gòu)——網(wǎng)絡(luò)接口層的安全性網(wǎng)絡(luò)接口層安全風(fēng)險(xiǎn)對(duì)應(yīng)著OSI/RM模型的物理層和數(shù)據(jù)鏈路層。該層存在設(shè)備損壞與老化、意外故障、信息探測(cè)與竊聽等安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)接口層防護(hù)措施通過(guò)物理隔離、VLAN、VPN、加密技術(shù)以及流量監(jiān)控和過(guò)濾等防護(hù)措施，提高網(wǎng)絡(luò)接口層的安全性。01021.4.3TCP/IP協(xié)議安全的體系結(jié)構(gòu)——網(wǎng)絡(luò)層的安全性網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)層負(fù)責(zé)數(shù)據(jù)包路由和轉(zhuǎn)發(fā)，IPv4因設(shè)計(jì)未考慮安全性，IP數(shù)據(jù)報(bào)易遭IP地址欺騙、ICMP攻擊、IP分片威脅、數(shù)據(jù)報(bào)篡改和重播等攻擊。網(wǎng)絡(luò)層的防護(hù)措施IPv6簡(jiǎn)化IP頭結(jié)構(gòu)，增加安全性設(shè)計(jì)，IETF制定IPsec協(xié)議體系，提供數(shù)據(jù)包加密和認(rèn)證，確保數(shù)據(jù)傳輸安全。01021.4.3TCP/IP協(xié)議安全的體系結(jié)構(gòu)——傳輸層的安全性傳輸層的安全風(fēng)險(xiǎn)傳輸層包括TCP和UDP，TCP提供面向連接的可靠數(shù)據(jù)傳輸，易遭TCP泛洪攻擊、TCP重置攻擊和TCP會(huì)話劫持等攻擊；UDP提供無(wú)連接快速數(shù)據(jù)傳輸，易遭UDP泛洪攻擊和UDP反射放大攻擊。傳輸層的防護(hù)措施為提高傳輸層安全性，網(wǎng)景公司引入SSL，后發(fā)展為TLS，提供身份驗(yàn)證、完整性檢驗(yàn)和保密性服務(wù)，降低安全風(fēng)險(xiǎn)。01021.4.3TCP/IP協(xié)議安全的體系結(jié)構(gòu)——應(yīng)用層的安全性應(yīng)用層安全風(fēng)險(xiǎn)應(yīng)用層協(xié)議是面向應(yīng)用程序的通信協(xié)議，易遭緩沖區(qū)溢出攻擊、SQL注入、跨站腳本攻擊(XSS)、數(shù)據(jù)泄露等攻擊。例如，SQL注入攻擊可使攻擊者繞過(guò)正常的身份驗(yàn)證，訪問或修改數(shù)據(jù)庫(kù)中的敏感信息。應(yīng)用層的防護(hù)措施通過(guò)用戶身份認(rèn)證、加密技術(shù)、應(yīng)用層防火墻、數(shù)據(jù)脫敏備份、零信任模型，以及添加新的安全協(xié)議等措施，構(gòu)建多層次、全方位的安全防護(hù)體系，提高應(yīng)用層安全性。0102第二章

網(wǎng)絡(luò)接口層協(xié)議安全第二章

傳輸層協(xié)議安全2.1網(wǎng)絡(luò)接口層概述2.2

PPP協(xié)議2.3

L2TP協(xié)議2.4以太網(wǎng)協(xié)議2.5PPPoE協(xié)議2.6

MAC泛洪攻擊與防御網(wǎng)絡(luò)接口層概述2.1PARTONE010203網(wǎng)絡(luò)接口層功能及安全問題

數(shù)據(jù)鏈路層的信道類型數(shù)據(jù)鏈路層協(xié)議的功能CONTENTS目錄2.1.1網(wǎng)絡(luò)接口層功能及安全問題物理層數(shù)據(jù)鏈路層OSI模型OSI第一層OSI第二層TCP/IP模型網(wǎng)絡(luò)接口層功能1.比特流傳輸；2.屏蔽傳輸介質(zhì)差異。1.幀封裝/解封裝；2.MAC尋址；3.差錯(cuò)控制。數(shù)據(jù)單位比特幀安全問題設(shè)備問題、意外故障、信息探測(cè)與竊聽等身份認(rèn)證、篡改MAC地址網(wǎng)絡(luò)嗅探等物理層和數(shù)據(jù)鏈路層的對(duì)比分析2.1.2數(shù)據(jù)鏈路層的信道類型

鏈路指一條無(wú)源的點(diǎn)到點(diǎn)的物理線路段，中間沒有任何其他的交換結(jié)點(diǎn)。一條鏈路只是一條通路的一個(gè)組成部分。

把實(shí)現(xiàn)控制數(shù)據(jù)傳輸?shù)膮f(xié)議的硬件和軟件加到鏈路上，則構(gòu)成了數(shù)據(jù)鏈路。2.1.2數(shù)據(jù)鏈路層的信道類型---點(diǎn)對(duì)點(diǎn)信道

采用一對(duì)一的通信方式，通信雙方共享一個(gè)專用的通信路徑，沒有其他通信實(shí)體可以訪問這個(gè)信道

由于它避免了網(wǎng)絡(luò)中的多跳傳輸，故延遲通常較低信道可以是無(wú)線的或者有線的，取決于通信介質(zhì)例如，在以太網(wǎng)連接、串行連接、無(wú)線射頻連接以及VPN連接等場(chǎng)景中，點(diǎn)對(duì)點(diǎn)信道都比較常見。點(diǎn)對(duì)點(diǎn)信道2.1.2數(shù)據(jù)鏈路層的信道類型---廣播信道

使用一對(duì)多的通信方式，通信過(guò)程比較復(fù)雜

在無(wú)線通信的信息傳播過(guò)程中，信息會(huì)被第三方截獲以及竊聽，并且容易出現(xiàn)信息泄密等諸多問題

利用通信系統(tǒng)物理層本身的特性，通過(guò)人工噪聲、協(xié)作干擾等物理層安全技術(shù)來(lái)加強(qiáng)系統(tǒng)的安全性廣播信道2.1.3數(shù)據(jù)鏈路層協(xié)議的功能指在一段數(shù)據(jù)的前后通過(guò)添加首部和尾部的方式，構(gòu)成了數(shù)據(jù)幀，進(jìn)而確保數(shù)據(jù)的完整性和正確性。封裝成幀指不管所傳數(shù)據(jù)是什么樣的比特組合，都應(yīng)當(dāng)能夠在鏈路上傳送。通常采用字節(jié)填充或字符填充的方法實(shí)現(xiàn)透明傳輸?shù)墓δ?。?shù)據(jù)鏈路層提供比特差錯(cuò)檢測(cè)。透明傳輸差錯(cuò)控制2.1.3差錯(cuò)控制比特差錯(cuò)指在傳輸過(guò)程中，1可能會(huì)變成0，而0也可能變成1。一旦發(fā)生比特差錯(cuò)，很難自動(dòng)恢復(fù)。在一段時(shí)間內(nèi)，傳輸錯(cuò)誤的比特占所傳輸比特總數(shù)的比率稱為誤碼率（BER）。目前，常用循環(huán)冗余檢驗(yàn)（CRC）差錯(cuò)檢測(cè)技術(shù)實(shí)現(xiàn)無(wú)差錯(cuò)接受。即凡是接受的幀（即不包括丟棄的幀），能以非常接近于1的概率認(rèn)為這些幀在傳輸過(guò)程中沒有產(chǎn)生差錯(cuò)。在數(shù)據(jù)后面添加上的冗余碼稱為幀檢驗(yàn)序列FCS。數(shù)據(jù)鏈路層只提供比特差錯(cuò)檢測(cè)PPP協(xié)議2.2PARTTWO010203PPP架構(gòu)PPP協(xié)議的幀格式PPP協(xié)議的工作流程CONTENTS目錄2.2PPP協(xié)議◎點(diǎn)對(duì)點(diǎn)協(xié)議PPP制定于1992年，1994年修訂后成為互聯(lián)網(wǎng)的正式標(biāo)準(zhǔn)◎該協(xié)議最初設(shè)計(jì)的目的是為對(duì)等節(jié)點(diǎn)之間的數(shù)據(jù)包傳輸提供封裝功能，目前是數(shù)據(jù)鏈路層使用最廣泛的協(xié)議?！騊PP協(xié)議封裝來(lái)自網(wǎng)絡(luò)層的IP數(shù)據(jù)報(bào)，并交付給物理層進(jìn)行傳輸。2.2PPP協(xié)議該協(xié)議有三部分組成：（1）將IP數(shù)據(jù)報(bào)封裝到串行鏈路的方法；（2）用于建立、配置和測(cè)試PPP鏈路的鏈路控制協(xié)議（LCP）；（3）用于建立和配置網(wǎng)絡(luò)層協(xié)議的網(wǎng)絡(luò)控制協(xié)議（NCP）。如果傳輸?shù)氖荌P數(shù)據(jù)，則“NCP”是指IP控制協(xié)議（IPCP）；如果傳輸?shù)氖菙?shù)字設(shè)備公司（DEC）推出的協(xié)議集合DECnet數(shù)據(jù)，則“NCP”對(duì)應(yīng)的是DECnet四階段控制協(xié)議（DNCP）。在PPP鏈路上可以傳輸不同網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)，NCP用于對(duì)這些網(wǎng)絡(luò)協(xié)議相關(guān)的參數(shù)進(jìn)行配置2.2.1PPP架構(gòu)圖2-1PPP撥號(hào)上網(wǎng)的架構(gòu)示意圖Internet服務(wù)提供商提供Modem池，用于接收來(lái)自不同用戶的撥入請(qǐng)求；用戶主機(jī)則需連接一個(gè)Modem，以便通過(guò)電話網(wǎng)絡(luò)撥入ISP；在撥入成功之后，ISP路由器和R用戶主機(jī)之間通過(guò)Modem建立了一條點(diǎn)到點(diǎn)連接。2.2.2PPP協(xié)議的幀格式圖2-2PPP幀格式（1）標(biāo)志字段（Flag，F(xiàn)）：占1字節(jié)，值為0x7E（對(duì)應(yīng)的二進(jìn)制值為01111110），首尾兩個(gè)“F(lag)”為幀定界標(biāo)志，分別表示幀的開始或結(jié)束。2.2.2PPP協(xié)議的幀格式圖2-2PPP幀格式（2）地址字段（Address，A）：占1字節(jié)，值為0xFF(對(duì)應(yīng)的二進(jìn)制值為11111111)。由于PPP協(xié)議用于點(diǎn)對(duì)點(diǎn)的鏈路上，無(wú)須知道對(duì)方的MAC地址，故該字段全部設(shè)置為1，用于表示廣播地址。2.2.2PPP協(xié)議的幀格式圖2-2PPP幀格式（3）控制字段（Control，C）：占1字節(jié)，值為0x03（即00000011）。對(duì)于PPP協(xié)議來(lái)說(shuō)，該控制字段無(wú)意義，通常設(shè)置為0x03。2.2.2PPP協(xié)議的幀格式圖2-2PPP幀格式（4）協(xié)議字段（Protocol）：當(dāng)值為0x0021時(shí)，表示IP數(shù)據(jù)報(bào)；當(dāng)值為0x8021時(shí)，表示網(wǎng)絡(luò)控制數(shù)據(jù)；當(dāng)值為0xC021時(shí)，表示PPP鏈路控制協(xié)議LCP數(shù)據(jù)；當(dāng)值為0xC023，則表示鑒別數(shù)據(jù)。2.2.2PPP協(xié)議的幀格式圖2-2PPP幀格式（5）信息字段（Information）：長(zhǎng)度是可變的，不超過(guò)1500字節(jié)。“信息”字段的取值與“協(xié)議”類型相關(guān)，比如當(dāng)“協(xié)議”類型為0xC021時(shí)，信息字段則為一個(gè)LCP報(bào)文。2.2.2PPP協(xié)議的幀格式圖2-2PPP幀格式（6）幀校驗(yàn)序列（FrameCheckSequence，F(xiàn)CS）：占2字節(jié)，用于檢查PPP幀的是否存在比特差錯(cuò)。2.2.3PPP協(xié)議的工作流程圖2-3PPP鏈路狀態(tài)轉(zhuǎn)換（1）鏈路不可用階段（2）鏈路建立階段（3）認(rèn)證階段（4）網(wǎng)絡(luò)層協(xié)議階段（5）鏈路終止階段5個(gè)階段2.2.3PPP協(xié)議的工作流程由于PPP協(xié)議是基于點(diǎn)對(duì)點(diǎn)鏈路建立通信，故發(fā)起方和回應(yīng)方在建立物理連接之后：首先利用LCP配置和測(cè)試數(shù)據(jù)鏈路；

然后利用密碼認(rèn)證協(xié)議PAP或詢問握手認(rèn)證協(xié)議CHAP驗(yàn)證通信實(shí)體的身份；接著通過(guò)IPCP協(xié)議配置IP層參數(shù)，雙方開始通信；最后雙方利用LCP斷開PPP鏈路，之后斷開物理連接。2.2.3PPP協(xié)議的工作流程圖2-4PPP協(xié)議的通信過(guò)程（1）發(fā)起方發(fā)送LCP配置請(qǐng)求報(bào)文，該報(bào)文包含各項(xiàng)配置參數(shù)，比如使用的認(rèn)證協(xié)議、最大接收單元和壓縮協(xié)議等。（2）回應(yīng)方若同意各項(xiàng)配置參數(shù)，則返回確認(rèn)報(bào)文。（3）發(fā)起方提供賬號(hào)和口令，以便回應(yīng)方驗(yàn)證其身份。（4）回應(yīng)方驗(yàn)證發(fā)起方身份成功后，向其返回確認(rèn)報(bào)文。2.2.3PPP協(xié)議的工作流程圖2-4PPP協(xié)議的通信過(guò)程（5）發(fā)起方發(fā)出IPCP配置請(qǐng)求。（6）回應(yīng)方返回確認(rèn)，其中包含了分配給發(fā)起方的IP地址。（7）發(fā)起方發(fā)出LCP終止鏈路請(qǐng)求。（8）回應(yīng)方返回確認(rèn)，鏈路終止。2.2.3.1

LCP協(xié)議圖2-5LCP包格式作為PPP協(xié)議的重要組成部分，LCP協(xié)議主要用于完成PPP鏈路的配置、維護(hù)和終止。當(dāng)LCP數(shù)據(jù)報(bào)文被封裝在PPP信息字段中，PPP協(xié)議的“協(xié)議字段”字段取值為十六進(jìn)制0xC021。2.2.3.1

LCP協(xié)議圖2-5LCP包格式（1）代碼：占1字節(jié)，主要用來(lái)標(biāo)識(shí)LCP報(bào)文的類型。2.2.3.1

LCP協(xié)議圖2-5LCP包格式（2）標(biāo)識(shí)符：占1字節(jié)，用于匹配請(qǐng)求和響應(yīng)數(shù)據(jù)包。通常一個(gè)配置請(qǐng)求的標(biāo)識(shí)符是從0x01開始并逐步加1。當(dāng)對(duì)方接收到該數(shù)據(jù)包后，響應(yīng)包中的標(biāo)識(shí)符一定與請(qǐng)求包一致。2.2.3.1

LCP協(xié)議圖2-5LCP包格式（3）長(zhǎng)度：占2字節(jié)，指的是LCP報(bào)文總長(zhǎng)數(shù)。2.2.3.1

LCP協(xié)議圖2-5LCP包格式（4）數(shù)據(jù)：可變長(zhǎng)。根據(jù)LCP報(bào)文內(nèi)容不同，其長(zhǎng)度不同。2.2.3.1

LCP協(xié)議對(duì)于圖2-6中的“LCP配置選項(xiàng)”，其涉及到的各種鏈路配置報(bào)文的“類型”及其對(duì)應(yīng)的字段取值，如表2-1所示:（1）建立和配置鏈路；（2）終止鏈路；（3）管理和調(diào)試鏈路圖2-6LCP配置選項(xiàng)格式2.2.3.2

PAP協(xié)議PAP協(xié)議即密碼認(rèn)證協(xié)議，是PPP協(xié)議集中的一種鏈路控制協(xié)議。在配置PAP認(rèn)證時(shí)，需要在認(rèn)證方建立本地口令數(shù)據(jù)庫(kù)。該協(xié)議通過(guò)“兩次握手”提供一種對(duì)等結(jié)點(diǎn)建立認(rèn)證的簡(jiǎn)單方法。圖2-7PAP認(rèn)證過(guò)程2.2.3.2

PAP協(xié)議首先被認(rèn)證方向認(rèn)證方發(fā)送明文形式的認(rèn)證請(qǐng)求，該請(qǐng)求包含用戶名和密碼；然后認(rèn)證方核對(duì)被認(rèn)證方發(fā)送的認(rèn)證信息是否與數(shù)據(jù)庫(kù)中存儲(chǔ)的信息相符。如果相符，則通過(guò)，否則拒絕；隨后向被認(rèn)證方發(fā)送適當(dāng)?shù)幕貜?fù)。圖2-7PAP認(rèn)證過(guò)程2.2.3.2

PAP協(xié)議圖2-8PAP數(shù)據(jù)包格式首先被認(rèn)證方向認(rèn)證方發(fā)送明文形式的認(rèn)證請(qǐng)求，該請(qǐng)求包含用戶名和密碼；然后認(rèn)證方核對(duì)被認(rèn)證方發(fā)送的認(rèn)證信息是否與數(shù)據(jù)庫(kù)中存儲(chǔ)的信息相符。如果比對(duì)結(jié)果相符，則PAP認(rèn)證通過(guò)，否則PAP認(rèn)證被拒絕，隨后向被認(rèn)證方發(fā)送適當(dāng)?shù)幕貜?fù)。當(dāng)PAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC023。（1）代碼：占1字節(jié)，用于識(shí)別PAP數(shù)據(jù)包的類型。該字段取值為1表示認(rèn)證請(qǐng)求，取值為2表示認(rèn)證確認(rèn)，取值為3表示認(rèn)證未確認(rèn)。2.2.3.2

PAP協(xié)議圖2-8PAP數(shù)據(jù)包格式首先被認(rèn)證方向認(rèn)證方發(fā)送明文形式的認(rèn)證請(qǐng)求，該請(qǐng)求包含用戶名和密碼；然后認(rèn)證方核對(duì)被認(rèn)證方發(fā)送的認(rèn)證信息是否與數(shù)據(jù)庫(kù)中存儲(chǔ)的信息相符。如果比對(duì)結(jié)果相符，則PAP認(rèn)證通過(guò)，否則PAP認(rèn)證被拒絕，隨后向被認(rèn)證方發(fā)送適當(dāng)?shù)幕貜?fù)。（2）標(biāo)識(shí)符：占1字節(jié)，用于匹配認(rèn)證請(qǐng)求和認(rèn)證回復(fù)，確保二者間的對(duì)應(yīng)關(guān)系。當(dāng)PAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC023。2.2.3.2

PAP協(xié)議圖2-8PAP數(shù)據(jù)包格式首先被認(rèn)證方向認(rèn)證方發(fā)送明文形式的認(rèn)證請(qǐng)求，該請(qǐng)求包含用戶名和密碼；然后認(rèn)證方核對(duì)被認(rèn)證方發(fā)送的認(rèn)證信息是否與數(shù)據(jù)庫(kù)中存儲(chǔ)的信息相符。如果比對(duì)結(jié)果相符，則PAP認(rèn)證通過(guò)，否則PAP認(rèn)證被拒絕，隨后向被認(rèn)證方發(fā)送適當(dāng)?shù)幕貜?fù)。（3）長(zhǎng)度：占2字節(jié)，表示PAP數(shù)據(jù)包的總長(zhǎng)度，包括代碼、標(biāo)識(shí)符、長(zhǎng)度和數(shù)據(jù)字段。當(dāng)PAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC023。2.2.3.2

PAP協(xié)議圖2-8PAP數(shù)據(jù)包格式首先被認(rèn)證方向認(rèn)證方發(fā)送明文形式的認(rèn)證請(qǐng)求，該請(qǐng)求包含用戶名和密碼；然后認(rèn)證方核對(duì)被認(rèn)證方發(fā)送的認(rèn)證信息是否與數(shù)據(jù)庫(kù)中存儲(chǔ)的信息相符。如果比對(duì)結(jié)果相符，則PAP認(rèn)證通過(guò)，否則PAP認(rèn)證被拒絕，隨后向被認(rèn)證方發(fā)送適當(dāng)?shù)幕貜?fù)。（4）數(shù)據(jù)：可變長(zhǎng)度字段，包含認(rèn)證所需的數(shù)據(jù)。數(shù)據(jù)字段的格式取決于代碼字段的值。當(dāng)PAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC023。2.2.3.3

CHAP協(xié)議CHAP協(xié)議通過(guò)挑戰(zhàn)-響應(yīng)機(jī)制實(shí)現(xiàn)身份驗(yàn)證。該協(xié)議通過(guò)“三次握手”實(shí)現(xiàn)對(duì)等結(jié)點(diǎn)認(rèn)證的步驟如圖2-9所示：圖2-9CHAP認(rèn)證過(guò)程（1）認(rèn)證方向被認(rèn)證方發(fā)送包含隨機(jī)值的挑戰(zhàn)消息。隨機(jī)值的長(zhǎng)度取決于隨機(jī)字節(jié)生成的方法。2.2.3.3

CHAP協(xié)議CHAP協(xié)議通過(guò)挑戰(zhàn)-響應(yīng)機(jī)制實(shí)現(xiàn)身份驗(yàn)證。該協(xié)議通過(guò)“三次握手”實(shí)現(xiàn)對(duì)等結(jié)點(diǎn)認(rèn)證的步驟如圖2-9所示：圖2-9CHAP認(rèn)證過(guò)程（2）被認(rèn)證方接收到挑戰(zhàn)消息后，提取出隨機(jī)值，使用單向哈希函數(shù)計(jì)算自己的用戶密碼和隨機(jī)值，并將計(jì)算結(jié)果作為響應(yīng)值，發(fā)送給認(rèn)證方。2.2.3.3

CHAP協(xié)議CHAP協(xié)議通過(guò)挑戰(zhàn)-響應(yīng)機(jī)制實(shí)現(xiàn)身份驗(yàn)證。該協(xié)議通過(guò)“三次握手”實(shí)現(xiàn)對(duì)等結(jié)點(diǎn)認(rèn)證的步驟如圖2-9所示：圖2-9CHAP認(rèn)證過(guò)程（3）認(rèn)證方收到應(yīng)答消息后，根據(jù)用戶名檢索對(duì)應(yīng)的密碼，并通過(guò)哈希計(jì)算驗(yàn)證應(yīng)答消息中的響應(yīng)值。如果響應(yīng)匹配，則認(rèn)證成功；否則終止連接。2.2.3.3

CHAP協(xié)議CHAP協(xié)議通過(guò)挑戰(zhàn)-響應(yīng)機(jī)制實(shí)現(xiàn)身份驗(yàn)證。該協(xié)議通過(guò)“三次握手”實(shí)現(xiàn)對(duì)等結(jié)點(diǎn)認(rèn)證的步驟如圖2-9所示：圖2-9CHAP認(rèn)證過(guò)程（4）認(rèn)證方會(huì)在一定時(shí)間間隔后，發(fā)送新的挑戰(zhàn)，重復(fù)上述過(guò)程。2.2.3.3

CHAP協(xié)議當(dāng)CHAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC223。圖2-10CHAP包格式（1）代碼：占1字節(jié)，用于表示CHAP數(shù)據(jù)包的類型。該字段取值為1表示挑戰(zhàn)，發(fā)送查詢值；取值為2表示應(yīng)答，提供散列計(jì)算結(jié)果和用戶名；取值為3表示成功，認(rèn)證通過(guò)，允許訪問；取值為4表示失敗，認(rèn)證失敗，拒絕訪問。2.2.3.3

CHAP協(xié)議當(dāng)CHAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC223。圖2-10CHAP包格式（2）標(biāo)識(shí)符：占1字節(jié)，用于標(biāo)識(shí)特定的認(rèn)證交換。每個(gè)挑戰(zhàn)和相應(yīng)的應(yīng)答使用相同的標(biāo)識(shí)符。2.2.3.3

CHAP協(xié)議當(dāng)CHAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC223。圖2-10CHAP包格式（3）長(zhǎng)度：占2字節(jié)，表示整個(gè)CHAP數(shù)據(jù)報(bào)的長(zhǎng)度，包括代碼、標(biāo)識(shí)符、長(zhǎng)度字段本身以及后續(xù)的數(shù)據(jù)字段。2.2.3.3

CHAP協(xié)議當(dāng)CHAP數(shù)據(jù)包被封裝在PPP幀的信息字段時(shí)，PPP幀的“協(xié)議字段”取值為0xC223。圖2-10CHAP包格式（4）數(shù)據(jù)：可變長(zhǎng)度字段，包含挑戰(zhàn)或者應(yīng)答的相關(guān)數(shù)據(jù)。2.2.3.4

IPCP協(xié)議IPCP協(xié)議是PPP協(xié)議集的一個(gè)組成部分，它負(fù)責(zé)在點(diǎn)對(duì)點(diǎn)鏈路兩端配置、啟用和停用IP協(xié)議模塊。IPCP協(xié)議采用與LCP協(xié)議相同的包交換機(jī)制，但只在PPP協(xié)議達(dá)到網(wǎng)絡(luò)層協(xié)議階段后才開始交換IPCP包。如果在此階段之前收到IPCP包，它們將被丟棄。IPCP的主要功能IPCP可以進(jìn)行靜態(tài)或動(dòng)態(tài)IP地址的協(xié)商。在靜態(tài)協(xié)商中，通信雙方各自告知對(duì)方的IP地址；而在動(dòng)態(tài)協(xié)商中，服務(wù)器端分配IP地址給客戶端。配置IP地址：IPCP可以協(xié)商鏈路節(jié)點(diǎn)的主DNS服務(wù)器地址和次DNS服務(wù)器地址。IPCP支持使用VanJacobson壓縮協(xié)議，以減少TCP/IP頭部的大小，提高在低帶寬條件下的傳輸效率。配置DNS服務(wù)器地址壓縮TCP/IP頭部2.2.3.4

IPCP協(xié)議圖2-11

IPCP報(bào)文格式IPCP的幀格式與LCP類似，但協(xié)議字段值不同。當(dāng)IPCP數(shù)據(jù)報(bào)文被封裝在PPP信息字段中，PPP協(xié)議的“協(xié)議字段”字段取值為十六進(jìn)制0x8021（1）代碼：占1字節(jié)，用于表示IPCP數(shù)據(jù)包的類型。IPCP包類型只是LCP包類型的一個(gè)子集，它只使用代碼為1～7的包類型，使用其他代碼不被承認(rèn)并且導(dǎo)致Code-Rejects。2.2.3.4

IPCP協(xié)議圖2-11

IPCP報(bào)文格式IPCP的幀格式與LCP類似，但協(xié)議字段值不同。當(dāng)IPCP數(shù)據(jù)報(bào)文被封裝在PPP信息字段中，PPP協(xié)議的“協(xié)議字段”字段取值為十六進(jìn)制0x8021（2）標(biāo)識(shí)符：占1字節(jié)，用于匹配請(qǐng)求和響應(yīng)，確保正確處理。2.2.3.4

IPCP協(xié)議圖2-11

IPCP報(bào)文格式IPCP的幀格式與LCP類似，但協(xié)議字段值不同。當(dāng)IPCP數(shù)據(jù)報(bào)文被封裝在PPP信息字段中，PPP協(xié)議的“協(xié)議字段”字段取值為十六進(jìn)制0x8021（3）長(zhǎng)度：占2字節(jié)，表示整個(gè)IPCP數(shù)據(jù)報(bào)的長(zhǎng)度，包括代碼、標(biāo)識(shí)符、長(zhǎng)度字段本身以及后續(xù)的數(shù)據(jù)字段。2.2.3.4

IPCP協(xié)議圖2-11

IPCP報(bào)文格式IPCP的幀格式與LCP類似，但協(xié)議字段值不同。當(dāng)IPCP數(shù)據(jù)報(bào)文被封裝在PPP信息字段中，PPP協(xié)議的“協(xié)議字段”字段取值為十六進(jìn)制0x8021（4）數(shù)據(jù)：可變長(zhǎng)度字段，包含IPCP配置選項(xiàng)，如IP地址、DNS服務(wù)器地址、IP壓縮協(xié)議等。每個(gè)配置選項(xiàng)都有自己的格式，包括類型、長(zhǎng)度和值。L2TP報(bào)文2.3PARTTHREE010203L2TP架構(gòu)L2TP協(xié)議流程L2TP報(bào)文CONTENTS目錄2.3L2TP協(xié)議計(jì)算機(jī)網(wǎng)絡(luò)是將分布在不同地理位置的多臺(tái)計(jì)算機(jī)及其外部設(shè)備通過(guò)通信線路連接起來(lái)，實(shí)現(xiàn)資源共享的計(jì)算機(jī)系統(tǒng)。盡管PPP非常適合用于直接連接，如通過(guò)電話線的撥號(hào)連接或串行鏈路，但它并不直接支持在多接入網(wǎng)絡(luò)環(huán)境中通過(guò)網(wǎng)絡(luò)傳輸PPP幀，特別是在需要跨越IP網(wǎng)絡(luò)建立VPN連接的場(chǎng)景中。為了實(shí)現(xiàn)鏈路端點(diǎn)跨越多個(gè)網(wǎng)絡(luò)，思科制定并于1998年5月公布樂思科第二層轉(zhuǎn)發(fā)L2F，由微軟、3Com等知名企業(yè)于1999年7月公布了點(diǎn)到點(diǎn)隧道協(xié)議PPTP。2.3L2TP協(xié)議考慮到二者功能類似，為了避免兩種隧道技術(shù)的不兼容性給用戶帶來(lái)諸多不便，由Internet工程任務(wù)組IETF起草，微軟、Ascend、Cisco、3COM等公司參予制定，并于1999年8月公布第二層隧道協(xié)議L2TP。、該協(xié)議結(jié)合了PPTP和L2F兩種二層隧道協(xié)議的優(yōu)點(diǎn)，將這兩種技術(shù)結(jié)合在單一隧道協(xié)議中。L2F通常被認(rèn)為是“L2TPv1”，1999年8月推出的L2TP被認(rèn)為是“L2TPv2”，2005年3月推出的L2TP被認(rèn)為是“L2TPv3”。本章重點(diǎn)闡述L2TPv2的相關(guān)內(nèi)容。2.3.1L2TP架構(gòu)L2TP接入集中器（L2TPAccessConcentator，LAC）和L2TP網(wǎng)絡(luò)服務(wù)器（L2TPNetworkServer，LNS）是L2TP的兩個(gè)重要組件，它們之間通過(guò)協(xié)商建立隧道，用以轉(zhuǎn)發(fā)PPP報(bào)文。圖2-19L2TP應(yīng)用場(chǎng)景示意圖2.3.1L2TP架構(gòu)通過(guò)L2TP數(shù)據(jù)通道傳輸PPP幀等數(shù)據(jù)消息，該通道無(wú)法保證數(shù)據(jù)消息的可靠傳輸；通過(guò)控制通道傳輸L2TP隧道和會(huì)話協(xié)商等控制消息，該通道可以保證控制消息的可靠傳輸。圖2-20L2TP協(xié)議層次結(jié)構(gòu)從TCP/IP協(xié)議族分層的角度看，L2TP是一個(gè)端口號(hào)為1071的應(yīng)用層協(xié)議。L2TP包括數(shù)據(jù)消息和控制消息兩種消息：L2TP協(xié)議的工作流程包括5步，分別為：建立控制連接、建立會(huì)話、數(shù)據(jù)傳輸、終止會(huì)話及終止控制連接圖2-22L2TIEEE802.3P協(xié)議流程（1）建立控制連接SCC（StartControlConnection，SCC）：在建立控制連接階段，LAC和LNS協(xié)商控制連接參數(shù)，并利用CHAP互相驗(yàn)證對(duì)方的身份。2.3.2L2TP協(xié)議流程2.3.2L2TP協(xié)議流程L2TP協(xié)議的工作流程包括5步，分別為：建立控制連接、建立會(huì)話、數(shù)據(jù)傳輸、終止會(huì)話及終止控制連接圖2-22L2TIEEE802.3P協(xié)議流程（2）建立會(huì)話：對(duì)LAC而言，會(huì)話分為呼入和呼出兩個(gè)方向：當(dāng)LAC檢測(cè)到來(lái)自遠(yuǎn)程客戶的呼叫時(shí)，應(yīng)向LNS建立呼入會(huì)話；當(dāng)收到來(lái)自LNS的會(huì)話建立請(qǐng)求時(shí)，應(yīng)建立呼出會(huì)話。L2TP協(xié)議的工作流程包括5步，分別為：建立控制連接、建立會(huì)話、數(shù)據(jù)傳輸、終止會(huì)話及終止控制連接（3）數(shù)據(jù)通信：通信雙方互相傳遞PPP報(bào)文發(fā)送方將遠(yuǎn)程客戶的PPP幀作為L(zhǎng)2TP報(bào)文的數(shù)據(jù)區(qū)封裝在L2TP數(shù)據(jù)報(bào)文中，通過(guò)與LNS建立的隧道發(fā)送給LNS；LNS則還原PPP幀，并發(fā)送到PPP鏈路上。反方向通信過(guò)程與此類似。2.3.2L2TP協(xié)議流程L2TP協(xié)議的工作流程包括5步，分別為：建立控制連接、建立會(huì)話、數(shù)據(jù)傳輸、終止會(huì)話及終止控制連接（4）終止會(huì)話：LAC和LNS都可以提出終止會(huì)話。終止會(huì)話前，發(fā)起方發(fā)送呼叫斷連通告（CallDisconnectNotify，CDN）。2.3.2L2TP協(xié)議流程L2TP協(xié)議的工作流程包括5步，分別為：建立控制連接、建立會(huì)話、數(shù)據(jù)傳輸、終止會(huì)話及終止控制連接（5）終止控制連接：LAC和LNS都可以提出終止控制連接。終止控制連接前，發(fā)起方向回應(yīng)方發(fā)送StopCCN報(bào)文。該報(bào)文中包含隧道ID和結(jié)果代碼，分別指示了需終止的隧道標(biāo)識(shí)和終止原因。2.3.2L2TP協(xié)議流程2.3.3L2TP報(bào)文LAC在收到攜帶源IP報(bào)文頭及PPP報(bào)文頭的PPP報(bào)文之后，先后為其封裝L2TP報(bào)文頭、UDP報(bào)文頭和新的IP頭，并從連接公共網(wǎng)絡(luò)的接口發(fā)送出去。其中，L2TP報(bào)文由首部和主體兩部分構(gòu)成。圖2-21L2TP報(bào)文首部格式（1）T（Type）比特：類型標(biāo)識(shí)，取值為“0”時(shí)表示數(shù)據(jù)消息，取值為“1”時(shí)表示控制消息；（2）L（Length）比特：長(zhǎng)度字段標(biāo)識(shí)，取值為“1”表示首部包含“長(zhǎng)度”字段。對(duì)控制消息而言，必須設(shè)置為1；2.3.3L2TP報(bào)文（3）X（Reserved）比特：保留位，通常設(shè)置為0；（4）S（Sequence）比特：序號(hào)字段標(biāo)識(shí)，取值為“1”表示首部包含“Ns”和“Nr”。對(duì)控制消息而言，必須設(shè)置為1；2.3.3L2TP報(bào)文（5）O（Offset）比特：偏移量字段標(biāo)識(shí)，取值為“1”表示首部包含“偏移量”字段，對(duì)控制消息而言，必須設(shè)置為0。（6）P（Priority）比特：優(yōu)先級(jí)，只用于數(shù)據(jù)消息，當(dāng)取值為1時(shí)，表示報(bào)文具有較高優(yōu)先級(jí)。2.3.3L2TP報(bào)文（7）版本：指明使用的L2TP版本，例如，對(duì)于L2TPv2協(xié)議，取值為“2”。（8）長(zhǎng)度：指明整個(gè)報(bào)文的總長(zhǎng)度，單位為字節(jié)。2.3.3L2TP報(bào)文（9）隧道ID：發(fā)起方和回應(yīng)方對(duì)同一隧道指定的標(biāo)識(shí)不同，該字段指明了報(bào)文接收方為隧道指定的標(biāo)識(shí)。（10）會(huì)話ID：指明了接收方指定的會(huì)話標(biāo)識(shí)。2.3.3L2TP報(bào)文（11）Ns：當(dāng)前報(bào)文的序號(hào)。（12）Nr：確認(rèn)序號(hào)，即發(fā)送方期望接收的下一個(gè)報(bào)文的序號(hào)。2.3.3L2TP報(bào)文（13）偏移量：實(shí)體部分距首部起始點(diǎn)的偏移量。數(shù)據(jù)消息的首部可不包含“長(zhǎng)度”、“序號(hào)”和“填充”字段，所以首部長(zhǎng)度可變。由于計(jì)數(shù)從0開始，所以這個(gè)偏移量正好是首部長(zhǎng)度。（14）填充：為保持首部4字節(jié)對(duì)齊而進(jìn)行的填充。2.3.3L2TP報(bào)文需要說(shuō)明的是，L2TP報(bào)文頭中包含隧道標(biāo)ID和會(huì)話ID信息，隧道標(biāo)ID符與會(huì)話ID由對(duì)端分配，用來(lái)標(biāo)識(shí)不同的隧道和會(huì)話。隧道標(biāo)識(shí)相同、會(huì)話標(biāo)識(shí)不同的報(bào)文將被復(fù)用在一條隧道上。另外，L2TP不是嚴(yán)格意義上的安全協(xié)議，因?yàn)樗⑽刺峁┗诿艽a學(xué)的機(jī)密性、完整性等保護(hù)，而是提供了對(duì)口令等敏感信息的加密方法，以及基于共享秘密的身份認(rèn)證方法。2.3.3L2TP報(bào)文以太網(wǎng)協(xié)議2.4PARTFOUR010203以太網(wǎng)協(xié)議概述MAC層的硬件地址MAC幀格式CONTENTS目錄1980年9月，DEC公司，Intel公司和施樂公司（Xerox）聯(lián)合發(fā)表了10Mb/s以太網(wǎng)規(guī)約的第一個(gè)版本DIXV1;1982年修改為第二個(gè)版本DIXV2（即以太網(wǎng)V2標(biāo)準(zhǔn)）;1983年，IEEE802.3公布第一個(gè)IEEE的以太網(wǎng)標(biāo)準(zhǔn)。DIXV2標(biāo)準(zhǔn)與IEEE的802.3標(biāo)準(zhǔn)只有很小的差別，因此將IEEE802.3局域網(wǎng)簡(jiǎn)稱為“以太網(wǎng)”。2.4.1以太網(wǎng)協(xié)議概述為了使數(shù)據(jù)鏈路層能更好地適應(yīng)多種局域網(wǎng)標(biāo)準(zhǔn)，IEEE802委員會(huì)將局域網(wǎng)的數(shù)據(jù)鏈路層拆成兩個(gè)子層：邏輯鏈路控制LLC子層媒體接入控制MAC子層2.4.1以太網(wǎng)協(xié)議概述與接入到傳輸媒體有關(guān)的內(nèi)容都放在MAC子層，而LLC子層則與傳輸媒體無(wú)關(guān)。不管采用何種協(xié)議的局域網(wǎng)，對(duì)LLC子層來(lái)說(shuō)都是透明的。2.4.1以太網(wǎng)協(xié)議概述圖2-23局域網(wǎng)中數(shù)據(jù)鏈路層的分層示意圖2.4.2MAC層的硬件地址在局域網(wǎng)中，MAC地址為網(wǎng)絡(luò)上的每個(gè)設(shè)備提供了一個(gè)唯一的標(biāo)識(shí)，確保網(wǎng)絡(luò)中的數(shù)據(jù)包能夠被準(zhǔn)確地送達(dá)到正確的設(shè)備。MAC地址的長(zhǎng)度為48位（6字節(jié)），提供約7萬(wàn)億個(gè)地址數(shù)，目前還沒有出現(xiàn)地址枯竭的問題。2.4.2MAC層的硬件地址為了方便書寫，MAC地址通常記為12個(gè)16進(jìn)制數(shù)，每2個(gè)16進(jìn)制數(shù)之間用冒號(hào)隔開：MM:MM:MM:SS:SS:SS。地址的前3個(gè)字節(jié)（前24位）是組織唯一標(biāo)識(shí)符，由IEEE指派給制造商，用于確保了世界范圍內(nèi)的唯一性；其中M代表制造商分配的唯一標(biāo)識(shí)符，S代表序列號(hào)；地址的后3個(gè)字節(jié)（后24位）由制造商自行指派，確保其生產(chǎn)的每個(gè)網(wǎng)絡(luò)接口都有唯一的地址2.4.2MAC層的硬件地址例如MAC地址：08：00：20：0A：8C：6D網(wǎng)絡(luò)硬件制造商的編號(hào)該制造商所制造的某個(gè)網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)絡(luò)適配器）的系列號(hào)2.4.2MAC層的硬件地址在以太網(wǎng)和其他IEEE802網(wǎng)絡(luò)技術(shù)中，MAC地址用于數(shù)據(jù)幀的源地址和目的地址，從而指導(dǎo)數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)部的傳輸。由于在生產(chǎn)網(wǎng)絡(luò)適配器時(shí)，6字節(jié)的MAC地址已被固化在網(wǎng)絡(luò)適配器的ROM，因此，MAC地址也叫作硬件地址或物理地址。當(dāng)一臺(tái)計(jì)算機(jī)啟動(dòng)時(shí)，MAC地址從ROM拷貝到RAM。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段圖2-24Mac幀格式（1）目的地址：長(zhǎng)度為6字節(jié)，表示目的主機(jī)的MAC地址2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段（2）源地址（SourceAddress，SA）：長(zhǎng)度為6字節(jié)，表示發(fā)送方的MAC地址。該字段只能是單播地址，不能是廣播或多播地址。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段（3）類型（Type）：長(zhǎng)度為2字節(jié)，用于標(biāo)識(shí)上一層采用的什么協(xié)議，以便把收到的MAC幀的數(shù)據(jù)交付給上一層對(duì)應(yīng)的協(xié)議。例如，若類型字段的值為0x0800時(shí)，表示上層使用的是IPv4協(xié)議；若類型字段的值為0x0806時(shí)，則表示上層使用的是ARP協(xié)議。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段（4）數(shù)據(jù)（Data）：存儲(chǔ)被封裝的上層數(shù)據(jù)，長(zhǎng)度為46~1500字節(jié)。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段鏈路層規(guī)定了傳輸?shù)淖畲蟮臄?shù)據(jù)單元（MTU）。不同類型的網(wǎng)絡(luò)在傳輸數(shù)據(jù)時(shí)大多數(shù)都有一個(gè)上限。如果IP層交付下來(lái)的數(shù)據(jù)比數(shù)據(jù)鏈路層的MTU值還大，那么PP層就需要進(jìn)行分片，將數(shù)據(jù)報(bào)分成長(zhǎng)度小于MTU的若干數(shù)據(jù)分片后再傳輸。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段以太網(wǎng)最小幀長(zhǎng)64字節(jié)減去首部和尾部的18字節(jié)，得出數(shù)據(jù)字段最小長(zhǎng)度46字節(jié)。如果數(shù)據(jù)報(bào)小于46字節(jié)，則需要在該數(shù)據(jù)字段后面填充一定的字段，以保證以太網(wǎng)幀長(zhǎng)不小于64字節(jié)。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段（5）幀校驗(yàn)序列（FCS）：長(zhǎng)度為4字節(jié)，包含了CRC數(shù)據(jù)校驗(yàn)計(jì)算的結(jié)果。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段（6）為了在接收端實(shí)現(xiàn)MAC幀的比特同步，在MAC幀的前面插入（由硬件生成）的8字節(jié)中。2.4.3MAC幀格式以太網(wǎng)V2的MAC幀包含六個(gè)字段第一個(gè)字段是長(zhǎng)度為7個(gè)字節(jié)（1和0交替碼）的前同步碼，用來(lái)實(shí)現(xiàn)比特同步；第二個(gè)字段的長(zhǎng)度是1個(gè)字節(jié)，取值為10101011，是幀開始定界符，表示后面的信息就是MAC幀。PPPoE協(xié)議2.5PARTFIVE2.5PPPoE協(xié)議PPPoE是將點(diǎn)對(duì)點(diǎn)協(xié)議PPP封裝在以太網(wǎng)框架中的一種網(wǎng)絡(luò)隧道協(xié)議，允許在以太網(wǎng)廣播域中的兩個(gè)以太網(wǎng)接口間創(chuàng)建點(diǎn)對(duì)點(diǎn)隧道的協(xié)議。PPPoE協(xié)議的優(yōu)勢(shì)在于它結(jié)合了以太網(wǎng)的經(jīng)濟(jì)性和PPP協(xié)議的可管理控制性，較好解決了用戶管理和上網(wǎng)收費(fèi)等實(shí)際應(yīng)用問題，為寬帶接入提供了一種有效的解決方案，得到了運(yùn)營(yíng)商的認(rèn)可并被廣泛采用。PPPoE繼承了傳統(tǒng)的撥號(hào)上網(wǎng)方式，使用戶能夠使用熟悉的硬件和軟件進(jìn)行互聯(lián)網(wǎng)接入，同時(shí)簡(jiǎn)化了客戶端的配置。2.5PPPoE協(xié)議PPPoE協(xié)議包括兩個(gè)階段：PPPoE發(fā)現(xiàn)階段和PPPoE會(huì)話階段。PPPoE發(fā)現(xiàn)階段：客戶端通過(guò)在廣播網(wǎng)絡(luò)上發(fā)送發(fā)現(xiàn)報(bào)文來(lái)尋找可用的PPPoE服務(wù)器，建立一個(gè)唯一的PPPoE會(huì)話ID。客戶端發(fā)現(xiàn)合適的服務(wù)器后，會(huì)與服務(wù)器進(jìn)行初始化通信，以建立后續(xù)的PPPoE會(huì)話；PPPoE會(huì)話階段：一旦客戶端與服務(wù)器選擇建立PPPoE連接后，在會(huì)話階段中實(shí)際建立起點(diǎn)對(duì)點(diǎn)連接，并通過(guò)交換認(rèn)證信息和建立會(huì)話參數(shù)，確保雙方能夠安全地通信。會(huì)話建立后，雙方之間就可以傳輸數(shù)據(jù)。2.5.1PPPoE幀當(dāng)以太網(wǎng)幀類型字段取值為0x8863，表示PPPoE發(fā)現(xiàn)階段數(shù)據(jù)報(bào)的數(shù)據(jù)包當(dāng)以太網(wǎng)幀類型字段取值為0x8864，表示PPPoE會(huì)話階段數(shù)據(jù)報(bào)的數(shù)據(jù)包。圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。2.5.1PPPoE幀（1）版本：長(zhǎng)度為4位，PPPoE版本號(hào)，協(xié)議規(guī)定值為0x01圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。2.5.1PPPoE幀（2）類型：長(zhǎng)度為4位，PPPoE類型，協(xié)議規(guī)定值為0x01。圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。2.5.1PPPoE幀（3）代碼：長(zhǎng)度為1字節(jié)，用于區(qū)分PPPoE的報(bào)文類型。例如代碼域?yàn)镺x00，表示會(huì)話數(shù)據(jù)；代碼域?yàn)镺x07，表示PADO等。圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。2.5.1PPPoE幀（4）會(huì)話ID：長(zhǎng)度為2字節(jié)，在會(huì)話階段用于標(biāo)識(shí)特定的PPPoE會(huì)話。圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。2.5.1PPPoE幀（5）長(zhǎng)度：占2字節(jié)，用來(lái)表示PPPoE數(shù)據(jù)的長(zhǎng)度，不包括首部。圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。2.5.1PPPoE幀（6）數(shù)據(jù)：可變長(zhǎng)。PPPoE發(fā)現(xiàn)階段，該字段內(nèi)會(huì)包含一些標(biāo)記，用于在客戶端和接入集中器之間交換必要的信息；PPPOE會(huì)話階段，該字段攜帶的是PPP協(xié)議的數(shù)據(jù)。圖2-25PPPoE數(shù)據(jù)包格式PPPoE數(shù)據(jù)包封裝在以太網(wǎng)幀的數(shù)據(jù)字段中。MAC泛洪攻擊與防御2.6PARTSIX010203以太網(wǎng)交換機(jī)的自學(xué)習(xí)算法MAC泛洪攻擊MAC泛洪攻擊的防御CONTENTS目錄2.6MAC泛洪攻擊MAC泛洪攻擊是一種常見的網(wǎng)絡(luò)攻擊方式。攻擊者通過(guò)大量偽造的MAC地址來(lái)淹沒網(wǎng)絡(luò)交換機(jī)的地址表，導(dǎo)致正常流量無(wú)法通過(guò)。MAC泛洪攻擊不僅影響網(wǎng)絡(luò)性能，還可能造成安全隱患。2.6.1以太網(wǎng)交換機(jī)的自學(xué)習(xí)算法以太網(wǎng)交換機(jī)的自學(xué)習(xí)算法是指交換機(jī)如何學(xué)習(xí)和維護(hù)一個(gè)MAC地址表，以便有效地轉(zhuǎn)發(fā)局域網(wǎng)內(nèi)的數(shù)據(jù)幀至其目的地。該算法的設(shè)計(jì)思路是基于自動(dòng)學(xué)習(xí)和表項(xiàng)的動(dòng)態(tài)更新。其實(shí)現(xiàn)步驟包括以下三步：（1）初始化：當(dāng)以太網(wǎng)交換機(jī)啟動(dòng)時(shí)，其MAC地址表是空的。交換機(jī)準(zhǔn)備接收和轉(zhuǎn)發(fā)數(shù)據(jù)幀，由于表中沒有條目，故暫時(shí)還不能根據(jù)目的MAC地址直接轉(zhuǎn)發(fā)數(shù)據(jù)幀。2.6.1以太網(wǎng)交換機(jī)的自學(xué)習(xí)算法（2）自學(xué)習(xí)過(guò)程：當(dāng)以太網(wǎng)交換機(jī)的一個(gè)端口接收到一個(gè)數(shù)據(jù)幀時(shí)，則進(jìn)行自學(xué)習(xí)。首先，以太網(wǎng)交換機(jī)查找交換表中與收到幀的源地址有無(wú)相匹配的項(xiàng)目。如沒有，在交換表中增加一個(gè)項(xiàng)目（源地址、進(jìn)入的接口和有效時(shí)間），否則把原有的項(xiàng)目進(jìn)行更新（進(jìn)入的接口或有效時(shí)間）；然后，查找交換表中與收到幀的目的地址有無(wú)相匹配的項(xiàng)目，如沒有，則向所有其他接口（進(jìn)入的接口除外）轉(zhuǎn)發(fā)，否則則按交換表中給出的接口（與該幀進(jìn)入交換機(jī)的接口不同）進(jìn)行轉(zhuǎn)發(fā)，但是若與該幀進(jìn)入交換機(jī)的接口相同，則丟棄。2.6.1以太網(wǎng)交換機(jī)的自學(xué)習(xí)算法（3）更新機(jī)制：MAC地址表的條目不是永久的。每個(gè)條目都有一個(gè)老化時(shí)間（通常是幾分鐘），如果在該時(shí)間內(nèi)沒有收到源地址是該條目MAC地址的幀，則該條目會(huì)被自動(dòng)刪除。這個(gè)機(jī)制使得交換機(jī)的MAC地址表能夠動(dòng)態(tài)適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化，如設(shè)備的移動(dòng)或離線等。除了上述動(dòng)態(tài)學(xué)習(xí)的條目，管理員還可以手動(dòng)添加靜態(tài)條目到MAC地址表中。靜態(tài)條目不會(huì)因老化而被刪除，適用于網(wǎng)絡(luò)中關(guān)鍵設(shè)備的MAC地址，確保數(shù)據(jù)幀總是被轉(zhuǎn)發(fā)到正確的端口。以太網(wǎng)交換機(jī)的學(xué)習(xí)算法通過(guò)自動(dòng)學(xué)習(xí)和動(dòng)態(tài)更新機(jī)制，使其能夠有效地管理內(nèi)部的MAC地址表，確保數(shù)據(jù)幀能夠快速準(zhǔn)確地達(dá)到目的地。這個(gè)過(guò)程大大提高了網(wǎng)絡(luò)的效率和性能，減少了不必要的數(shù)據(jù)流量。2.6.1以太網(wǎng)交換機(jī)的自學(xué)習(xí)算法2.6.2MAC泛洪攻擊MAC泛洪攻擊是一種針對(duì)網(wǎng)絡(luò)交換機(jī)的攻擊手段。該攻擊的核心在于利用交換機(jī)的MAC地址學(xué)習(xí)機(jī)制。正常情況下，交換機(jī)通過(guò)監(jiān)聽通過(guò)其端口傳輸?shù)膸瑏?lái)學(xué)習(xí)MAC地址，然后將這些地址及其對(duì)應(yīng)端口存儲(chǔ)在MAC地址表中。2.6.2MAC泛洪攻擊MAC地址表的大小是有限的。當(dāng)攻擊者不斷發(fā)送大量含有隨機(jī)源MAC地址的幀時(shí)，交換機(jī)會(huì)嘗試學(xué)習(xí)這些地址，并將其添加到地址表中。當(dāng)MAC地址表超出容量時(shí)，交換機(jī)無(wú)法再學(xué)習(xí)新的地址。一旦發(fā)生這種情況，交換機(jī)將退化為集線器模式，廣播所有傳入的幀到所有端口。這樣不僅會(huì)影響到網(wǎng)絡(luò)效率，可能暴露敏感數(shù)據(jù)，甚至?xí)?dǎo)致網(wǎng)絡(luò)擁塞和服務(wù)不可用。2.6.3MAC泛洪攻擊的防御為有效應(yīng)對(duì)此威脅，可采用多層次的防御機(jī)制：?jiǎn)⒂枚丝诎踩珯C(jī)制，限制連接到交換機(jī)端口的設(shè)備數(shù)量，防止過(guò)多的連接導(dǎo)致網(wǎng)絡(luò)擁塞；采用動(dòng)態(tài)ARP檢測(cè)技術(shù)，防范偽造的ARP請(qǐng)求，確保網(wǎng)絡(luò)設(shè)備的MAC地址信息的真實(shí)性；通過(guò)靜態(tài)MAC地址綁定，將端口與特定MAC地址關(guān)聯(lián)，限制未授權(quán)設(shè)備的連接。采用其他有效措施，共同構(gòu)建健壯的網(wǎng)絡(luò)防御體系2.6.3MAC泛洪攻擊的防御在交換機(jī)中，通過(guò)PortSecurity功能可以有效地防范MAC泛洪攻擊。PortSecurity端口安全是交換機(jī)的一種安全特性，配置了端口安全功能的交換機(jī)對(duì)網(wǎng)絡(luò)管理員定義的合法用戶的數(shù)據(jù)進(jìn)行正常轉(zhuǎn)發(fā)，對(duì)非法用戶的數(shù)據(jù)執(zhí)行丟棄或者直接關(guān)閉接口以阻止非安全用戶數(shù)據(jù)經(jīng)過(guò)本交換機(jī)傳輸。為了防止MAC泛洪攻擊，可以在交換機(jī)端口上實(shí)施端口安全性策略，通過(guò)限制有效MAC地址的數(shù)量來(lái)增強(qiáng)網(wǎng)絡(luò)安全。2.6.3MAC泛洪攻擊的防御PortSecurity提供了三種管理MAC地址的方法：（1）靜態(tài)安全MAC地址：這些地址是通過(guò)命令如switchportport-securitymac-address1111.1111.1111手動(dòng)設(shè)置的，并且會(huì)被保存在交換機(jī)的配置文件中。這意味著即便在交換機(jī)重啟后，這些地址仍將被識(shí)別并保持有效。采用動(dòng)態(tài)ARP檢測(cè)技術(shù)，防范偽造的ARP請(qǐng)求，確保網(wǎng)絡(luò)設(shè)備的MAC地址信息的真實(shí)性；（2）動(dòng)態(tài)安全MAC地址：這些地址由交換機(jī)自動(dòng)學(xué)習(xí)并不會(huì)保存在配置文件中。因此，每當(dāng)交換機(jī)重啟時(shí)，這些地址需要重新學(xué)習(xí)。2.6.3MAC泛洪攻擊的防御PortSecurity提供了三種管理MAC地址的方法：（3）粘滯安全MAC地址：這些地址可以通過(guò)手動(dòng)指定或自動(dòng)學(xué)習(xí)的方式設(shè)置，并且可以保存在配置文件和CAM表中。當(dāng)這些地址保存到配置文件中時(shí)，交換機(jī)重啟后無(wú)需重新學(xué)習(xí)這些地址，因?yàn)樗鼈円呀?jīng)被保存并將自動(dòng)恢復(fù)。2.6.3MAC泛洪攻擊的防御為了有效防御MAC泛洪攻擊，常用的策略是配置網(wǎng)絡(luò)設(shè)備的端口安全功能，以限制每個(gè)端口可以學(xué)習(xí)并記錄的MAC地址數(shù)量，例如限制每個(gè)端口只能學(xué)習(xí)10個(gè)MAC地址。一旦學(xué)習(xí)的地址數(shù)量達(dá)到限定值，任何超出此數(shù)量的新MAC地址將會(huì)被自動(dòng)丟棄，這樣可以有效防止非法設(shè)備接入網(wǎng)絡(luò)。這種措施能顯著提高網(wǎng)絡(luò)的安全性和穩(wěn)定性。第三章

網(wǎng)絡(luò)層協(xié)議安全3.1

IP網(wǎng)絡(luò)層協(xié)議概述3.2IP協(xié)議安全3.3

ARP協(xié)議安全3.4ICMP協(xié)議安全3.5IPsec協(xié)議第三章

網(wǎng)絡(luò)層協(xié)議安全I(xiàn)P網(wǎng)絡(luò)層協(xié)議概述3.1PARTONE網(wǎng)絡(luò)層位于OSI/RM模型的第三層，它負(fù)責(zé)將源主機(jī)發(fā)出的分組經(jīng)由各種網(wǎng)絡(luò)路徑送達(dá)目的主機(jī)，進(jìn)而使得不同網(wǎng)絡(luò)間可以相互通信。為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的互連，網(wǎng)絡(luò)層的功能及其實(shí)現(xiàn)機(jī)制由網(wǎng)絡(luò)層協(xié)議來(lái)描述，并且集中體現(xiàn)在網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)單元分組中。IP協(xié)議是TCP/IP協(xié)議中最核心的協(xié)議，為網(wǎng)絡(luò)數(shù)據(jù)傳輸和網(wǎng)絡(luò)互連提供最基本的服務(wù)，故網(wǎng)絡(luò)層也稱IP層。3.1網(wǎng)絡(luò)層協(xié)議概述3.1網(wǎng)絡(luò)層協(xié)議概述通常IP協(xié)議不是單獨(dú)工作，該協(xié)議與地址解析協(xié)議ARP、逆向地址解析協(xié)議RARP、因特網(wǎng)控制報(bào)文協(xié)議ICMP、因特網(wǎng)組管理協(xié)議IGMP這四個(gè)協(xié)議相互作用，共同工作。網(wǎng)絡(luò)層的主要功能：邏輯地址的分配和識(shí)別數(shù)據(jù)包的分組和重新組裝數(shù)據(jù)包的路由選擇數(shù)據(jù)包的傳輸控制錯(cuò)誤檢測(cè)和處理3.1網(wǎng)絡(luò)層協(xié)議概述IP協(xié)議安全3.2PARTTWOIP協(xié)議的工作原理是基于無(wú)連接的“盡力而為”的數(shù)據(jù)包傳輸。IPv4是當(dāng)前廣泛使用的版本，它采用32位的地址長(zhǎng)度，提供約43億個(gè)獨(dú)立的IP地址，該地址數(shù)量已經(jīng)接近耗盡，目前正在逐步向IPv6過(guò)渡。IP協(xié)議的主要功能：1.數(shù)據(jù)報(bào)格式定義2.數(shù)據(jù)報(bào)路由3.分片和重組4.尋址和轉(zhuǎn)發(fā)5.最佳路徑選擇6.錯(cuò)誤處理3.2IP協(xié)議安全3.2.2IP數(shù)據(jù)報(bào)格式IP數(shù)據(jù)報(bào)由首部和數(shù)據(jù)兩部分組成。首部由固定部分和可變部分構(gòu)成。其中，首部的固定部分占20字節(jié)，是IP數(shù)據(jù)報(bào)必須具有的；首部的可變部分是可選字段，其長(zhǎng)度可變。

IP協(xié)議數(shù)據(jù)報(bào)首部3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（1）版本（Version）：占4位，指IP協(xié)議的版本。目前使用的版本號(hào)是4（即IPv4，二進(jìn)制0100）。（2）首部長(zhǎng)度（HeaderLength，HL）：占4位，以4字節(jié)為單位表示首部的全部長(zhǎng)度首部長(zhǎng)度最大值是15個(gè)單位（一個(gè)單位為4字節(jié)），因此IP數(shù)據(jù)報(bào)首部長(zhǎng)度最大值是60字節(jié)。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（3）區(qū)分服務(wù)（DiffService）：占8位，提供所需服務(wù)質(zhì)量的參數(shù)集，包括優(yōu)先級(jí)和服務(wù)類型兩個(gè)部分。優(yōu)先級(jí)在前3位中定義，服務(wù)類型在接著的后4位中定義，最后1位是預(yù)留位，值為0。在一般的情況下都不使用這個(gè)字段。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（4）總長(zhǎng)度（TotalLength）：占16位，指首部和數(shù)據(jù)部分之和的長(zhǎng)度，單位是字節(jié)。因此數(shù)據(jù)報(bào)的最大長(zhǎng)度為65535字節(jié)。當(dāng)IP數(shù)據(jù)報(bào)交付到以太網(wǎng)中傳輸時(shí)，應(yīng)該要注意IP數(shù)據(jù)報(bào)總長(zhǎng)度必須不超過(guò)最大傳輸單元MTU。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（5）標(biāo)識(shí)（Identifcation）：占16位，IP軟件在存儲(chǔ)器中維持一個(gè)計(jì)數(shù)器，用于為數(shù)據(jù)分片的數(shù)據(jù)單元提供唯一標(biāo)識(shí)。當(dāng)IP數(shù)據(jù)報(bào)由于長(zhǎng)度超過(guò)MTU而需要進(jìn)行分片時(shí)，給標(biāo)識(shí)字段的值就被復(fù)制到所有的數(shù)據(jù)報(bào)片的標(biāo)識(shí)字段中，用于確保分片后的各數(shù)據(jù)報(bào)片的正確重組。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（6）標(biāo)志（Flags）：占3位，表示IP數(shù)據(jù)報(bào)是否允許分片，以及是否是最后的一片。其中，第1位保留設(shè)為0；第2位DF表示是否分片，只有當(dāng)DF=0時(shí)，才允許分片；第3位MF表示后面是否還有分片，MF=0表示最后一個(gè)分片，MF=1表示后面還有分片。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（7）片偏移（FragmentationOfset）：占13位，表示較長(zhǎng)的數(shù)據(jù)報(bào)在分片后，某片在原數(shù)據(jù)報(bào)中的相對(duì)位置。片偏移以8字節(jié)為偏移單位。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（8）生存時(shí)間（TimetoLive，TTL）：占8位，指明數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中的生存時(shí)間。數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中通過(guò)的路由器數(shù)的最大值為255。數(shù)據(jù)報(bào)每經(jīng)過(guò)一個(gè)路由器，TTL值減1。為了防止數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中無(wú)限循環(huán)，當(dāng)TTL值遞減為零時(shí)，數(shù)據(jù)報(bào)被丟棄。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（9）協(xié)議（Protocol）：占8位，指出該數(shù)據(jù)報(bào)攜帶的數(shù)據(jù)使用何種協(xié)議，以便目的主機(jī)的IP層知道將數(shù)據(jù)部分上交給對(duì)應(yīng)的協(xié)議進(jìn)行處理。協(xié)議號(hào)已經(jīng)形成了標(biāo)準(zhǔn)，例如，TCP的協(xié)議號(hào)取值為6，UDP的協(xié)議號(hào)取值為17，ICMP的協(xié)議號(hào)取值為1。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（10）首部檢驗(yàn)和（HeaderChecksum）：占16位。采用16位二進(jìn)制反碼求和算法，檢驗(yàn)IP數(shù)據(jù)報(bào)的首部（不檢驗(yàn)數(shù)據(jù)部分）。若結(jié)果為0，保留數(shù)據(jù)報(bào)；否則丟棄。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（12）目的地址（DestinationAddress）：占32位，指目的主機(jī)的IP地址。這個(gè)字段能夠包括單播、多播或廣播地址。（11）源地址（SourceAddress）：占32位，指源主機(jī)的IP地址。3.2.2IP數(shù)據(jù)報(bào)格式IP協(xié)議數(shù)據(jù)報(bào)首部（14）填充：通過(guò)填充，確保IP首部是32位的整數(shù)倍。

（13）可選字段（Options）：長(zhǎng)度可變，提供排錯(cuò)、測(cè)量及安全等功能。3.2.4

IP欺騙原理IP欺騙是一種網(wǎng)絡(luò)攻擊技術(shù)，攻擊者通過(guò)偽造數(shù)據(jù)包的源IP地址，使其看起來(lái)像是來(lái)自另一個(gè)合法用戶的地址，從而迷惑目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備。攻擊者構(gòu)造并發(fā)送帶有偽造源IP地址的數(shù)據(jù)包，這些數(shù)據(jù)包在網(wǎng)絡(luò)中傳輸并到達(dá)目標(biāo)設(shè)備，目標(biāo)設(shè)備基于信任關(guān)系或正常流程處理這些偽造數(shù)據(jù)包，并可能向偽造的IP地址發(fā)送響應(yīng)。IP欺騙示意圖如圖所示。黑客通過(guò)偽造源IP地址發(fā)送請(qǐng)求，使其看起來(lái)像是來(lái)自目標(biāo)信任主機(jī)的請(qǐng)求。目標(biāo)服務(wù)器接收到這些偽造的請(qǐng)求后，會(huì)將響應(yīng)數(shù)據(jù)發(fā)送到被偽造的IP地址（即目標(biāo)信任主機(jī)），而目標(biāo)信任主機(jī)則收到意外的響應(yīng)數(shù)據(jù)，從而完成欺騙攻擊。

IP欺騙示意圖3.2.4

IP欺騙原理IP源路由欺騙：通常情況下，信息包從起點(diǎn)到終點(diǎn)所走的路由是由位于這兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，而不知道該如何去。IP報(bào)文首部可選項(xiàng)中的源路由選項(xiàng)，可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過(guò)的路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對(duì)方不可預(yù)料的路徑到達(dá)目的主機(jī)。某些路由器對(duì)源路由包的反應(yīng)是使用其指定的路由，并使用其反向路由來(lái)傳送應(yīng)答數(shù)據(jù),這就導(dǎo)致了源路由IP欺騙的可能性。源路由欺騙示意拓?fù)?.2.4

IP欺騙原理分布式拒絕服務(wù)攻擊：拒絕服務(wù)攻擊（DenialofService,DoS）是一種旨在使目標(biāo)系統(tǒng)（如服務(wù)器、網(wǎng)絡(luò)設(shè)備或服務(wù)）無(wú)法正常提供服務(wù)的攻擊方式。攻擊者通過(guò)向目標(biāo)發(fā)送大量無(wú)效請(qǐng)求、消耗目標(biāo)系統(tǒng)資源（如帶寬、CPU、內(nèi)存等），或利用漏洞觸發(fā)系統(tǒng)故障，導(dǎo)致合法用戶無(wú)法訪問或使用目標(biāo)服務(wù)。分布式拒絕服務(wù)攻擊（DistributionDenialofService，DDoS）則利用多個(gè)受控的僵尸網(wǎng)絡(luò)設(shè)備同時(shí)發(fā)起攻擊，增強(qiáng)攻擊效果和隱蔽性，如圖所示，由一個(gè)主控機(jī)操控若干不同的僵尸網(wǎng)絡(luò)設(shè)備，向目標(biāo)發(fā)送攻擊請(qǐng)求。分布式拒絕服務(wù)攻擊示意圖3.2.5

IP源地址欺騙攻擊的保護(hù)措施針對(duì)IP協(xié)議本身缺陷引發(fā)的IP源地址欺騙攻擊，常用的有效防護(hù)手段如下所示：訪問控制列表和防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)路由過(guò)濾流量監(jiān)控和日志分析基于速率的限制ARP協(xié)議安全3.3PARTTHREE

3.3ARP協(xié)議介紹由于在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)聯(lián)網(wǎng)的主機(jī)都會(huì)被分配一個(gè)32位的IP地址，該地址是在網(wǎng)際范圍標(biāo)識(shí)主機(jī)的一種邏輯地址。為了使報(bào)文在物理網(wǎng)絡(luò)上傳輸，還必須知道對(duì)方目的主機(jī)的物理地址（MAC地址）。故存在把IP地址變換成物理地址的地址轉(zhuǎn)換問題。ARP協(xié)議就是用于解決該問題的。該協(xié)議主要負(fù)責(zé)將IP地址轉(zhuǎn)換為物理地址（MAC地址）。ARP協(xié)議網(wǎng)絡(luò)層功能如圖所示。ARP協(xié)議在網(wǎng)絡(luò)層中的功能示意圖3.3.1ARP協(xié)議的幀格式為了實(shí)現(xiàn)將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層對(duì)應(yīng)的硬件地址的功能，ARP協(xié)議包含的各字段如圖所示。ARP請(qǐng)求或應(yīng)答分組格式3.3.1ARP協(xié)議的幀格式為了實(shí)現(xiàn)將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層對(duì)應(yīng)的硬件地址的功能，ARP協(xié)議包含的各字段如圖所示。（1）目的地址（源地址）：占6個(gè)字節(jié)。表示以太網(wǎng)的目的地址（源地址）。目的地址為全1的特殊地址是廣播地址，使得電纜上的所有以太網(wǎng)接口都要接收廣播的數(shù)據(jù)幀。（2）幀類型：占2個(gè)字節(jié)。以太網(wǎng)幀類型表示后面數(shù)據(jù)的類型。對(duì)于ARP請(qǐng)求或應(yīng)答來(lái)說(shuō)，該字段的值為0x0806。（3）硬件類型：占2個(gè)字節(jié)。該字段用于指定使用的網(wǎng)絡(luò)接口類型，例如以太網(wǎng)是1。ARP請(qǐng)求或應(yīng)答分組格式3.3.1ARP協(xié)議的幀格式為了實(shí)現(xiàn)將網(wǎng)絡(luò)層的IP地址解析為數(shù)據(jù)鏈路層對(duì)應(yīng)的硬件地址的功能，ARP協(xié)議包含的各字段如圖所示。（5）協(xié)議地址長(zhǎng)度：占1個(gè)字節(jié)，用于指出協(xié)議地址（IP地址）的字節(jié)數(shù)。例如，對(duì)于IPv4，該字段值為4。（6）操作碼：占2個(gè)字節(jié)。該字段指出四種操作類型，分別是ARP請(qǐng)求（值為1）、ARP應(yīng)答（值為2）、RARP請(qǐng)求（值為3）和RARP應(yīng)答（值為4）（4）硬件地址長(zhǎng)度：占1個(gè)字節(jié)。表示硬件地址（MAC地址）的字節(jié)數(shù)，對(duì)于以太網(wǎng)是6。ARP請(qǐng)求或應(yīng)答分組格式3.3.1ARP協(xié)議的幀格式需要說(shuō)明的是，標(biāo)準(zhǔn)的ARP數(shù)據(jù)包總長(zhǎng)度為28字節(jié)（不包括任何以太網(wǎng)幀頭部或尾部的額外字節(jié)）。這個(gè)長(zhǎng)度是根據(jù)以太網(wǎng)的6字節(jié)MAC地址和IPv4的4字節(jié)IP地址計(jì)算得出的。如果使用其他類型的網(wǎng)絡(luò)接口或協(xié)議地址，這些長(zhǎng)度可能會(huì)有所不同。3.3.2ARP協(xié)議工作流程ARP協(xié)議的流程圖如圖所示。當(dāng)主機(jī)A要解析的IP地址與主機(jī)A在同一子網(wǎng)內(nèi)時(shí)就先在其ARP高速緩存中查看有無(wú)主機(jī)B的IP地址。如果有，就可查出其對(duì)應(yīng)的硬件地址，再將此硬件地址寫入MAC幀，然后通過(guò)局域網(wǎng)將該MAC幀發(fā)往此硬件地址；否則，ARP進(jìn)程在本局域網(wǎng)上廣播發(fā)送一個(gè)ARP請(qǐng)求分組。收到ARP響應(yīng)分組后，將得到的IP地址到硬件地址的映射寫入ARP高速緩存。ARP協(xié)議工作流程3.3.3

ARP欺騙原理ARP欺騙是一種網(wǎng)絡(luò)攻擊，攻擊者通過(guò)發(fā)送偽造的ARP消息，將其MAC地址與目標(biāo)IP地址關(guān)聯(lián)，使網(wǎng)絡(luò)中的其他設(shè)備錯(cuò)誤地將目標(biāo)IP地址映射到攻擊者的MAC地址。攻擊者會(huì)偽造ARP回復(fù)消息，這些消息告訴網(wǎng)絡(luò)中的設(shè)備“某IP地址對(duì)應(yīng)的MAC地址是攻擊者的MAC地址”。由于ARP協(xié)議沒有驗(yàn)證消息真實(shí)性的機(jī)制，這些偽造的消息會(huì)被網(wǎng)絡(luò)設(shè)備接收并更新其ARP緩存，從而將目標(biāo)IP地址錯(cuò)誤地映射到攻擊者的MAC地址。3.3.3

ARP欺騙原理一旦攻擊者成功污染ARP緩存，所有發(fā)送給該IP地址的數(shù)據(jù)包都會(huì)被轉(zhuǎn)發(fā)到攻擊者的設(shè)備上。這樣，攻擊者可以攔截、查看甚至篡改這些數(shù)據(jù)包內(nèi)容，從而實(shí)施數(shù)據(jù)竊取、數(shù)據(jù)篡改或中間人攻擊。此外，攻擊者還可以選擇不轉(zhuǎn)發(fā)數(shù)據(jù)包，導(dǎo)致網(wǎng)絡(luò)通信中斷，進(jìn)而造成拒絕服務(wù)（DoS）攻擊。ARP欺騙攻擊可大致細(xì)分為冒充網(wǎng)關(guān)、欺騙網(wǎng)關(guān)、欺騙主機(jī)和中間人欺騙攻擊。3.3