無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文

上傳人:1666****666 文檔編號:37996698 上傳時(shí)間:2021-11-05 格式:DOC 頁數(shù):19 大?。?60.02KB
收藏 版權(quán)申訴 舉報(bào) 下載
無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文_第1頁
第1頁 / 共19頁
無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文_第2頁
第2頁 / 共19頁
無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文_第3頁
第3頁 / 共19頁

下載文檔到電腦,查找使用更方便

15 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文》由會員分享,可在線閱讀,更多相關(guān)《無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史計(jì)算機(jī)網(wǎng)絡(luò)畢業(yè)論文(19頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。

1、 畢業(yè)設(shè)計(jì)(論文) 學(xué) 生 題 目 無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史 聯(lián)系電話 指導(dǎo)老師 評 閱 人 教學(xué)站點(diǎn) 專 業(yè) 計(jì)算機(jī)網(wǎng)絡(luò)工程 完成日期

2、2012-5-03 無線網(wǎng)絡(luò)優(yōu)化方向及發(fā)展史 摘要:近年來,移動通信網(wǎng)絡(luò)發(fā)展迅猛,競爭日趨激烈,三大運(yùn)營商都在努力打造自己的移動通信產(chǎn)品,也就提高網(wǎng)絡(luò)質(zhì)量和擴(kuò)大服務(wù)品牌的影響號召力。移動通信系統(tǒng)的網(wǎng)絡(luò)優(yōu)化是一項(xiàng)復(fù)雜的系統(tǒng)工程,它涉及到頻率資源、無線網(wǎng)絡(luò)、交換網(wǎng)絡(luò)、用戶分布、神識手機(jī)用戶的使用習(xí)慣等問題,涉及到網(wǎng)絡(luò)數(shù)據(jù)的復(fù)雜測試及評估。對于移動運(yùn)營商企業(yè)來說,網(wǎng)絡(luò)質(zhì)量就是企業(yè)的生命,只有加強(qiáng)網(wǎng)絡(luò)優(yōu)化和維護(hù)工作,才能不斷地提高網(wǎng)絡(luò)運(yùn)行質(zhì)量。對于優(yōu)化人員來說,通過技術(shù)交流和探索,應(yīng)該逐漸掌握GSM網(wǎng)絡(luò)的各種參數(shù)及數(shù)據(jù)采集方法,通過有關(guān)測量統(tǒng)計(jì)數(shù)據(jù)

3、的分析,提出全面的、深層次的網(wǎng)絡(luò)優(yōu)化方案,調(diào)整相應(yīng)的局?jǐn)?shù)據(jù)或小區(qū)參數(shù),從而使無線,交換網(wǎng)絡(luò)及網(wǎng)絡(luò)中各借口的性能效率得到提高和改善。 關(guān)鍵字:網(wǎng)絡(luò)優(yōu)化 頻率 參數(shù) 數(shù)據(jù) 協(xié)議 目 錄 緒 論 1 1 TCP/IP概述 1 1.1 TCP/IP的歷史 1 1.2 TCP與IP簡介 1 1.3 網(wǎng)絡(luò)協(xié)議與分層 1 1.4 OSI 參考模型 1 1.4 .1 OSI 各層簡介 1 1.4.2 TCP/IP 協(xié)議的體系 1 1

4、.4 .3 TCP/IP 分層模型 1 1.4 .4 TCP/IP 分層工作原理 1 1.4 .5 TCP/IP 模型的分界線 1 2 TCP/IP各層的安全性和提高各層安全性的方法 2 2.1網(wǎng)絡(luò)層的安全性 2 2.2傳輸層的安全性 2 2.3應(yīng)用層的安全性2 3 存在的安全隱患與解決方法 9 總結(jié) 25 參考文獻(xiàn) 26 致謝 27 緒論 TCP/IP(Transmission Control Protocol/Intemet Protocol)是20世紀(jì)70年代中期美國國防部(DOD)為其研究性網(wǎng)絡(luò)ARPNET開發(fā)的網(wǎng)絡(luò)體系結(jié)

5、構(gòu),ARPANET最初是通過租用的電話線將美國的幾百所大學(xué)和研究所連接起來。隨著衛(wèi)星通信技術(shù)和無線技術(shù)的發(fā)展,這些技術(shù)也被應(yīng)用到ARPNET網(wǎng)絡(luò)中,已有的協(xié)議已不能解決這些通信網(wǎng)絡(luò)的互聯(lián)問題,于是就提出了新的體系結(jié)構(gòu),用于將不同的通信網(wǎng)絡(luò)無縫連接。這種體系結(jié)構(gòu)后來被稱為TCP/IP參考模型。 TCP/IP協(xié)議時(shí)Internet進(jìn)行網(wǎng)際互聯(lián)通信的基礎(chǔ),目前Internet能如此迅速在全球延伸,主要是由于TCP/IP協(xié)議族的開放性,它打破了異構(gòu)網(wǎng)絡(luò)之間的壁壘,把不同國家的各種網(wǎng)絡(luò)連接起來,使Internet成為了沒有明確物理界限的網(wǎng)際。從而人們充分的享受全球共享,也因?yàn)門CP/IP的開放性,給I

6、nternet帶來安全隱患也是正常的。當(dāng)Internet遍布世界以后,網(wǎng)絡(luò)的環(huán)境發(fā)生了根本的變化,信任的問題變得突出起來,因此Internet出現(xiàn)了很多問題,由于自身的缺陷、網(wǎng)絡(luò)的開放性以及黑客的攻擊時(shí)造成互聯(lián)網(wǎng)不安全的主要原因。TCP/IP作為Internet使用的標(biāo)準(zhǔn)協(xié)議集,是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。這種基于地址的協(xié)議本身就回泄露口令,運(yùn)行一些無關(guān)的程序,這些都是網(wǎng)絡(luò)的本身的缺陷?;ヂ?lián)網(wǎng)技術(shù)屏蔽了底層網(wǎng)絡(luò)硬件細(xì)節(jié),使得異種網(wǎng)絡(luò)之間可以互相通信。這就給人們攻擊網(wǎng)絡(luò)以可乘之機(jī)。由于大量重要的應(yīng)用程序都以TCP作為它們的傳輸層協(xié)議,因此TCP的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。網(wǎng)絡(luò)的開放性,

7、TCP/IP協(xié)議完全公開,遠(yuǎn)程訪問使許多攻擊者無須到現(xiàn)場就能夠得手,連接的主機(jī)基于互相信任的原則等等性質(zhì)使網(wǎng)絡(luò)更加不安全。 第一章 TCP/IP概述 TCP/IP的歷史 TCP/IP起源于20世紀(jì)60年代末美國政府資助的一個(gè)網(wǎng)絡(luò)分組交換研究項(xiàng)目,被用于當(dāng)今所構(gòu)筑的最大的開放式網(wǎng)絡(luò)系統(tǒng)Internet之上。 1.2 TCP與IP簡介 TCP和IP是兩個(gè)獨(dú)立且緊密結(jié)合的協(xié)議,負(fù)責(zé)管理和引導(dǎo)數(shù)據(jù)報(bào)文在Internet上的傳輸,二者使用專門的報(bào)文頭定義每個(gè)報(bào)文的內(nèi)容。 TCP負(fù)責(zé)和遠(yuǎn)程主機(jī)的連接; IP負(fù)責(zé)尋址,使報(bào)文被送到其該去的地方。

8、 1.3 網(wǎng)絡(luò)協(xié)議與分層 計(jì)算機(jī)網(wǎng)絡(luò)是為了實(shí)現(xiàn)計(jì)算機(jī)之間的通信,任何雙方要成功地進(jìn)行通信,必須遵守一定的信息交換規(guī)則和約定,這些信息交換規(guī)則和約定就稱為通信協(xié)議( protocol )。計(jì)算機(jī)上的網(wǎng)絡(luò)接口卡、通信軟件、通信設(shè)備都是遵循一定的協(xié)議設(shè)計(jì)的,必須符合一定的協(xié)議規(guī)范。 為了減少協(xié)議設(shè)計(jì)的復(fù)雜性,大多數(shù)網(wǎng)絡(luò)都按層或級的方式來組織,每一層都建立在它的下層之上。不同的網(wǎng)絡(luò)在分層數(shù)量和各層的名字、內(nèi)容與功能上都不盡相同,然而,在所有的網(wǎng)絡(luò)中,每一層的目的都是向它的上一層提供一定的服務(wù),而把這種服務(wù)是如何實(shí)現(xiàn)的細(xì)節(jié)對上層加以屏蔽。 層按功能來劃分,每一層都有特定的功能,它

9、一方面利用下一層所提供的功能,另一方面又為其上一層提供服務(wù)。通信雙方在相同層之間進(jìn)行通話,通話規(guī)則和協(xié)定的整體就是該層的協(xié)議。每一層都有一個(gè)或多個(gè)協(xié)議,幾個(gè)層合成一個(gè)協(xié)議棧( protocol stack )。協(xié)議的分層模型便于協(xié)議軟件按模塊方式進(jìn)行設(shè)計(jì)和實(shí)現(xiàn),這樣每層協(xié)議的設(shè)計(jì)、修改、實(shí)現(xiàn)和測試都可以獨(dú)立進(jìn)行,從而減少復(fù)雜性。 不同機(jī)器內(nèi)包含相同協(xié)議層的實(shí)體叫做對等進(jìn)程,對等進(jìn)程是利用協(xié)議進(jìn)行通信的主體。相鄰層之間通過接口來定義相互關(guān)系,接口定義下層向上層提供的原語操作和服務(wù)。層和協(xié)議的集合叫做網(wǎng)絡(luò)體系結(jié)構(gòu)。 1.4 OSI 參考模型 OSI 模型有七層,其分層原則如下:

10、 根據(jù)不同層次的抽象分層; 每一層應(yīng)當(dāng)實(shí)現(xiàn)一個(gè)定義明確的功能; 每一層功能的選擇應(yīng)當(dāng)有助于制定網(wǎng)絡(luò)協(xié)議的國際標(biāo)準(zhǔn); 各層邊界的選擇應(yīng)盡量減少跨過接口的通信量; 層數(shù)應(yīng)足夠多,以避免不同的功能混雜在同一層中;但也不能太多,否則體系結(jié)構(gòu)會過于龐大。 根據(jù)這些原則, ISO 在 1983 年推出的 OSI 參考模型如圖 1-1 所示。 值得注意的是, OSI 參考模型本身并不是一個(gè)完整的網(wǎng)絡(luò)體系結(jié)構(gòu),因?yàn)樗⑽创_切地描述用于各層的協(xié)議和服務(wù),它僅僅告訴我們每層應(yīng)該做什么。不過, ISO 已經(jīng)為各層制定了標(biāo)準(zhǔn),但它們并不是參考模型的一部分,而是作為獨(dú)立的國際標(biāo)準(zhǔn)公布的。

11、 1.4.1 OSI 各層簡介 OSI 七層模型是指從物理層到應(yīng)用層這七層,它不涉及通信的物理介質(zhì)。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是局域網(wǎng)的發(fā)展,后來對 OSI 七層模型進(jìn)行了改進(jìn)。修訂之一就是非正式地增加了一些子層和新層,如增加了第 0 層,使之覆蓋了象電纜連接器和光纖這樣的硬件細(xì)節(jié)。本節(jié)我們只對 OSI 模型的七層的功能作簡單描述。 1. 物理層 物理層( physical layer )是 OSI 模型的最低層,它建立在物理通信介質(zhì)的基礎(chǔ)上,作為系統(tǒng)和通信介質(zhì)的接口,用來實(shí)現(xiàn)數(shù)據(jù)鏈路實(shí)體間透明的比特流傳輸。在設(shè)計(jì)上必須保證一方發(fā)送出二進(jìn)制“ 1 ”時(shí),另一方收到的也是“

12、1 ”而不是“ 0 ”。 物理層是 OSI 中唯一設(shè)計(jì)通信介質(zhì)的一層,它提供與通信介質(zhì)的連接,描述這種連接的機(jī)械、電氣、功能和規(guī)程特性,以建 立、維護(hù)和釋放數(shù)據(jù)鏈路實(shí)體之間的物理連接。物理層向上層提供位信息的正確傳送。 物理層協(xié)議定義了硬件接口的一系列標(biāo)準(zhǔn),典型地如用多少伏特電壓表示“ 1 ”,多少伏特表示“ 0 ”;一個(gè)比特持續(xù)多少時(shí)間;傳輸是雙向的還是單向的;最初的連接如何建立和完成通信后連接如何終止;一次通信中發(fā)送方和接收方如何應(yīng)答;設(shè)備之間連接件的尺寸和接頭數(shù);每根線的用途等。 2. 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路層( data link layer )的主要任務(wù)是加強(qiáng)物理

13、層傳輸原始比特的功能,使之對網(wǎng)絡(luò)層顯現(xiàn)為一條無錯(cuò)鏈路。它在相鄰網(wǎng)絡(luò)實(shí)體之間建立、維持和釋放數(shù)據(jù)鏈路連接,并傳輸數(shù)據(jù)鏈路數(shù)據(jù)單元(幀, frame )。它是將位收集起來,按包處理的第一個(gè)層次,它完成發(fā)送包前的最后封裝,及對到達(dá)包進(jìn)行首次檢視。其主要功能為: (1)、 數(shù)據(jù)鏈路連接的建立與釋放:在每次通信前后,雙方相互聯(lián)系以確認(rèn)一次通信的開始和結(jié)束。數(shù)據(jù)鏈路層一般提供無應(yīng)答無連接服務(wù)、有應(yīng)答無連接服務(wù)和面向連接的服務(wù)等三種類型服務(wù)。 (2)、 數(shù)據(jù)鏈路數(shù)據(jù)單元的構(gòu)成:在上層交付的數(shù)據(jù)的基礎(chǔ)上加入數(shù)據(jù)鏈路協(xié)議控制信息,形成數(shù)據(jù)鏈路協(xié)議數(shù)據(jù)單元。 (3)、 數(shù)據(jù)鏈路連接的分裂:當(dāng)數(shù)據(jù)量很大

14、時(shí),為提高傳輸速率和效率,將原來在一條物理鏈路上傳輸?shù)臄?shù)據(jù)改用多條物理鏈路來傳輸(與多路復(fù)用相反)。 (4)、 定界與同步:從物理連接上傳輸數(shù)的比特流中,識別出數(shù)據(jù)鏈路數(shù)據(jù)單元的開始和結(jié)束,以及識別出其中的每個(gè)字段,以便實(shí)現(xiàn)正確的接收和控制。 (5)、 順序和流量控制:用以保證發(fā)送方發(fā)送的數(shù)據(jù)單元能以相同的順序傳輸?shù)浇邮辗?,并保持發(fā)送速率與接收速率的匹配。 (6)、 差錯(cuò)的檢測與恢復(fù):檢測出傳輸、格式和操作等錯(cuò)誤,并對錯(cuò)誤進(jìn)行恢復(fù),如不能恢復(fù)則向相關(guān)網(wǎng)絡(luò)實(shí)體報(bào)告。 3. 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層( network layer )關(guān)系到子網(wǎng)的運(yùn)行控制,其關(guān)鍵問題之一是確定分組從源端到

15、目的端如何選擇路由。本層維護(hù)路由表,并確定哪一條路由是最快捷的,及何時(shí)使用替代路由。路由既可以選用網(wǎng)絡(luò)中固定的靜態(tài)路由表,幾乎保持不變,也可以在每一次會話開始時(shí)決定(如通過終端協(xié)商決定),還可以根據(jù)當(dāng)前網(wǎng)絡(luò)的負(fù)載狀況,高度靈活地為每一個(gè)分組決定路由。 網(wǎng)絡(luò)層的另一重要功能是傳輸和流量控制,它在子網(wǎng)中同時(shí)出現(xiàn)過多的分組時(shí),提供有效的流量控制服務(wù)來控制網(wǎng)絡(luò)連接上傳輸?shù)姆纸M,以免發(fā)生信息“堵塞”或“擁擠”現(xiàn)象。 網(wǎng)絡(luò)層提供兩種類型的網(wǎng)絡(luò)服務(wù),即無連接的服務(wù)(數(shù)據(jù)報(bào)服務(wù))和面向連接的服務(wù)(虛電路服務(wù))。網(wǎng)絡(luò)層使較高層與連接系統(tǒng)所用的數(shù)據(jù)傳輸和交換技術(shù)相獨(dú)立。 IP 協(xié)議工作在本層,它

16、提供“無連接的”或“數(shù)據(jù)報(bào)”服務(wù)。 4. 傳輸層 傳輸層( transport layer )的基本功能是從會話層接收數(shù)據(jù),在必要時(shí)把它們劃分成較小的單元傳遞給網(wǎng)絡(luò)層,并確保到達(dá)對方的各段信息準(zhǔn)確無誤。而且,這些任務(wù)都必須高效率地完成。 傳輸層是在網(wǎng)絡(luò)層的基礎(chǔ)上再增添一層軟件,使之能屏蔽掉各類通信子網(wǎng)的差異,相用戶進(jìn)程提供一個(gè)能滿足其要求的服務(wù),其具有一個(gè)不變的通用接口,使用戶進(jìn)程只需了解該接口,便可方便地在網(wǎng)絡(luò)上使用網(wǎng)絡(luò)資源并進(jìn)行通信。 通常情況下,會話層每請求建立一個(gè)傳輸連接,傳輸層就為其創(chuàng)建一個(gè)獨(dú)立的網(wǎng)絡(luò)連接。如果傳輸連接需要較高的信息吞吐量,傳輸層也可以為之

17、創(chuàng)建多個(gè)網(wǎng)絡(luò)連接,讓數(shù)據(jù)在這些網(wǎng)絡(luò)連接上分流,以提高吞吐量。另一方面,如果創(chuàng)建或維持一個(gè)網(wǎng)絡(luò)連接不合算,傳輸層可以將幾個(gè)傳輸連接復(fù)用到一個(gè)網(wǎng)絡(luò)連接上,以降低費(fèi)用。在任何情況下,都要求傳輸層能使多路復(fù)用對會話層透明。 傳輸層是真正的從源到目標(biāo)“端到端”的層,也就是說,源端機(jī)上的某程序,利用報(bào)文頭和控制報(bào)文與目標(biāo)機(jī)上的類似程序進(jìn)行對話。在傳輸層以下的各項(xiàng)層中,協(xié)議是每臺機(jī)器和它直接相鄰的機(jī)器間的協(xié)議,而不是最終的源端機(jī)和目標(biāo)機(jī)之間的協(xié)議,在他們中間可能還有多個(gè)路由器。圖 1-1 說明了這種區(qū)別, 1 層 -3 層是鏈接起來的, 4 層 -7 層是端到端的。 TCP 協(xié)議工作在本層,

18、它提供可靠的基于連接的服務(wù)。它在兩個(gè)端點(diǎn)之間提供可靠的數(shù)據(jù)傳送,并提供端到端的差錯(cuò)恢復(fù)與流控。 5. 會話層 會話層( session layer )允許不同機(jī)器上的用戶之間建立會話關(guān)系,即正式的連接。這種正式的連接使得信息的收發(fā)具有高可靠性。會話層的目的就是有效地組織和同步進(jìn)行合作的會話服務(wù)用戶之間的對話,并對它們之間的數(shù)據(jù)交換進(jìn)行管理。 會話層服務(wù)之一是管理對話,它允許信息同時(shí)雙向傳輸,或任意時(shí)刻只能單向傳輸。約屬于后者,則類似于單線鐵路,會話層將記錄此時(shí)該輪到哪一方了。一種與會話有關(guān)的服務(wù)是令牌管理( token management ),令牌可以在會話雙方之間交換,

19、只有持有令牌的一方可以執(zhí)行某種關(guān)鍵操作。 另一種會話服務(wù)是同步( synchronization )。同步是在連續(xù)發(fā)送大量信息時(shí),為了使發(fā)送的數(shù)據(jù)更加精細(xì)地結(jié)構(gòu)化,在用戶發(fā)送的數(shù)據(jù)中設(shè)置同步點(diǎn),以便記錄發(fā)送過程的狀態(tài),并且在錯(cuò)誤發(fā)生導(dǎo)致會話中斷時(shí),會話實(shí)體能夠從一個(gè)同步點(diǎn)恢復(fù)會話繼續(xù)傳送,而不必從開頭恢復(fù)會話。 TCP/IP 協(xié)議體系中沒有專門的會話層,但是在其傳輸層協(xié)議 TCP 協(xié)議實(shí)現(xiàn)了本層部分功能。 6. 表示層 表示層( presentation layer )完成某些特定的功能,由于這些功能常被請求,因此人們希望找到通用的解決辦法,而不 是要讓每個(gè)用戶來

20、實(shí)現(xiàn)。值得一提的是,表示層以下的各層只關(guān)心可靠的傳輸比特流,而表示層關(guān)心的是所傳輸?shù)男畔⒌恼Z法和語義。 表示層尚未完整定義和廣泛使用,如 TCP/IP 協(xié)議體系中就沒有定義表示層。表示層完成應(yīng)用層所用數(shù)據(jù)所需要的任何轉(zhuǎn)換,以提供標(biāo)準(zhǔn)化的應(yīng)用接口和公共的通信服務(wù)。如數(shù)據(jù)格式轉(zhuǎn)換、數(shù)據(jù)壓縮 / 解壓和數(shù)據(jù)加密 / 解密可能在表示層進(jìn)行。 7. 應(yīng)用層 應(yīng)用層( application layer )包含大量人們普遍需要的協(xié)議。本層處理安全問題與資源的可用性。最近幾年,應(yīng)用層協(xié)議發(fā)展很快,經(jīng)常用到的應(yīng)用層協(xié)議有: FTP 、 TELNET 、 HTTP 、 SMTP 等。 OS

21、I 模型的各層之間任務(wù)明確,它們只與上下相鄰層打交道:接受下層提供的服務(wù),向上層提供服務(wù)。由于所有的網(wǎng)絡(luò)協(xié)議都是分層的,象堆棧一樣,因此經(jīng)常將協(xié)議各層統(tǒng)稱協(xié)議棧。它們的工作模式一般為:發(fā)送時(shí)接收上層的數(shù)據(jù),將其分割打包,然后交給下層;接收時(shí)接收下層的數(shù)據(jù)包,將其拆包重組,然后交給上層。這樣,一個(gè)包的傳輸過程是:發(fā)送主機(jī)的應(yīng)用程序?qū)?shù)據(jù)傳遞給網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)(網(wǎng)絡(luò)通信程序),網(wǎng)絡(luò)協(xié)議棧實(shí)現(xiàn)將數(shù)據(jù)層層打包,最后交由物理層在數(shù)據(jù)鏈路上發(fā)送;接收主機(jī)收到數(shù)據(jù)后,逐層拆包向上傳遞,直到最后達(dá)到應(yīng)用層,應(yīng)用程序得到對等方的數(shù)據(jù)。 1.4.2 TCP/IP 協(xié)議的體系 Internet 采用的是 T

22、CP/IP 協(xié)議體系, TCP/IP 協(xié)議體系是因其兩個(gè)著名的協(xié)議 TCP 和 IP 而得名的。 TCP/IP 協(xié)議體系在和 OSI 的競爭中取得了決定性的勝利,得到了廣泛的認(rèn)可,成為了事實(shí)上的網(wǎng)絡(luò)協(xié)議體系標(biāo)準(zhǔn)。 1.4.3 TCP/IP 分層模型 TCP/IP 協(xié)議體系和 OSI 參考模型一樣,也是一種分層結(jié)構(gòu)。它是由基于硬件層次上的四個(gè)概念性層次構(gòu)成,即網(wǎng)絡(luò)接口層、互聯(lián)網(wǎng)層、傳輸層和應(yīng)用層。圖 1-2 表示了 TCP/IP 協(xié)議體系及其與 OSI 參考模型的對應(yīng)關(guān)系。 從圖 1-2 可以看出,對照 OSI 七層協(xié)議, TCP/IP 第三層以上是應(yīng)用層、傳輸層和網(wǎng)際互聯(lián)

23、層, TCP/IP 的應(yīng)用層組合了 OSI 的應(yīng)用層和表示層,還包括 OSI 會話層的部分功能。但是,這樣的對應(yīng)關(guān)系并不是絕對的,它只有參考意義,因?yàn)?TCP/IP 各層功能和 OSI 模型的對應(yīng)層還是有一些區(qū)別的。 1. 網(wǎng)絡(luò)接口層 網(wǎng)絡(luò)接口層也稱為數(shù)據(jù)鏈路層,它是 TCP/IP 的最底層,但是 TCP/IP 協(xié)議并沒有嚴(yán)格定義該層,它只是要求主機(jī)必須使用某種協(xié)議與網(wǎng)絡(luò)連接,以便能在其上傳遞 IP 分組。因此,在傳統(tǒng)的 UNIX 里,網(wǎng)絡(luò)接口通常是一個(gè)設(shè)備驅(qū)動器,并且隨主機(jī)和網(wǎng)絡(luò)的不同而不同。 2. 互聯(lián)網(wǎng)層 互聯(lián)網(wǎng)層( Internet Layer )俗稱 IP 層,它

24、處理機(jī)器之間的通信。它接受來自傳輸層的請求,傳輸某個(gè)具有目的地址信息的分組。該層把分組封裝到 IP 數(shù)據(jù)報(bào)中,填入數(shù)據(jù)報(bào)的首部(也稱為報(bào)頭),使用路由算法來選擇是直接把數(shù)據(jù)報(bào)發(fā)送到目標(biāo)機(jī)還是把數(shù)據(jù)報(bào)發(fā)送給路由器,然后報(bào)數(shù)據(jù)報(bào)交給下面的網(wǎng)絡(luò)接口層中的對應(yīng)網(wǎng)絡(luò)接口模塊。該層還有處理接收到的數(shù)據(jù)報(bào),檢驗(yàn)其正確性,使用路由算法來決定對數(shù)據(jù)報(bào)是否在本地進(jìn)行處理還是繼續(xù)向前傳送。 3. 傳輸層 傳輸層的基本任務(wù)是提供應(yīng)用層之間的通信,即端到端的通信。傳輸層管理信息流,提供可靠的傳輸服務(wù),以確保數(shù)據(jù)無差錯(cuò)的、按序到達(dá)。為了這個(gè)目的,傳輸層協(xié)議軟件要進(jìn)行協(xié)商,讓接收方回送確認(rèn)信息及讓發(fā)送方重發(fā)丟失的

25、分組。傳輸層協(xié)議軟件將要傳送的數(shù)據(jù)流劃分成分組,并把每個(gè)分組連同目的地址交給下一層去發(fā)送。 4. 應(yīng)用層 在這個(gè)最高層,用戶調(diào)用應(yīng)用程序來訪問 TCP/IP 互聯(lián)網(wǎng)絡(luò)提供的多種服務(wù)。應(yīng)用程序負(fù)責(zé)發(fā)送和接收數(shù)據(jù)。每個(gè)應(yīng)用程序選擇所需的傳輸服務(wù)類型,可以是獨(dú)立的報(bào)文序列,或者是連續(xù)的字節(jié)流。應(yīng)用程序?qū)?shù)據(jù)按要求的格式傳送給傳輸層。 1.4.4 TCP/IP 分層工作原理 TCP/IP 協(xié)議體系和 OSI 模型的分層結(jié)構(gòu)雖然不完全相同,但它們的分層原則是一致的,即都遵循這樣的一個(gè)思想:分層的協(xié)議要被設(shè)計(jì)成達(dá)到這樣的效果,即目標(biāo)機(jī)的第 n 層所收到的數(shù)據(jù)就是源主機(jī)的第 n 層所發(fā)

26、出的數(shù)據(jù)。 圖 1-3 描述了 TCP/IP 分層工作原理,它表示了兩臺主機(jī)上的應(yīng)用程序之間傳輸報(bào)文的路徑。主機(jī) B 上的第 n 層所收到的正是主機(jī) A 上的第 n 層所發(fā)出的對象。 在圖 1-3 中我們忽略了一個(gè)重要的內(nèi)容,即沒有描述發(fā)送方主機(jī)上的應(yīng)用程序與接收主機(jī)的應(yīng)用程序之間通過路由器進(jìn)行報(bào) 文傳輸?shù)那闆r。圖 1-4 中描述使用路由器的 TCP / IP 分層工作,圖中報(bào)文經(jīng)歷了兩種結(jié)構(gòu)不同的網(wǎng)絡(luò),也使用了兩種不同的網(wǎng)絡(luò)幀,即一個(gè)是從主機(jī) A 到路由器 R ,另一個(gè)是從路由器 R 到主機(jī) B 。主機(jī) A 發(fā)出的幀和路由器 R 接收到的幀相同,但不同于路由器 R 和主機(jī) B

27、之間傳送的幀。與此形成對照的是應(yīng)用程序?qū)雍蛡鬏攲犹幚矶说蕉说氖聞?wù),因此發(fā)送方的軟件能和最終的接收方的對等層軟件進(jìn)行通信。也就是說,分層原則保證了最終的接收方的傳輸層所收到的分組與發(fā)送方的傳輸層送出的分組是一樣的。 圖 1-3 TCP/IP 分層工作原理 1.4.5 TCP/IP 模型的分界線 TCP/IP 的概念性層次包含兩個(gè)重要的分界線,一個(gè)是協(xié)議地址分界線,以區(qū)分高層和低層的尋址,另一個(gè)是操作系統(tǒng)分界線,以區(qū)分系統(tǒng)與應(yīng)用程序。圖 1-5 描述了 TCP/IP 概念層模型的分界。 圖 1-5 TCP/IP 概念層模型的分界 高層尋址使用 IP 地址,低層

28、尋址使用物理地址。一個(gè)概念性的界限把使用低層地址的軟件和使用高層地址的軟件區(qū)分開來,這個(gè)分界線出現(xiàn)在網(wǎng)絡(luò)接口層和 Internet 層之間,即應(yīng)用程序和在 Internet 層之上的所有協(xié)議軟件只使用 IP 地址,而網(wǎng)絡(luò)接口層處理的是物理地址。因此,象 ARP 這樣的處于網(wǎng)絡(luò)接口層的協(xié)議,就不是 IP 的一部分。 第二章TCP/IP各層的安全性和提高各層安全性的方法 2.1、網(wǎng)絡(luò)層的安全性 過去十年里,已經(jīng)提出了一些方案對網(wǎng)絡(luò)層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化。例如,安全協(xié)議3號

29、(SP3)就是美國國家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會作為安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SDNS)的一部分而制定的。網(wǎng)絡(luò)層安全協(xié)議(NLSP)是由國際標(biāo)準(zhǔn)化組織為無連接網(wǎng)絡(luò)協(xié)議(CLNP)制定的安全協(xié)議標(biāo)準(zhǔn)。事實(shí)上,他們用的都是IP封裝技術(shù)。其本質(zhì)是,純文本的包被加密,封裝在外層的IP報(bào)頭里,用來對加密的包進(jìn)行Internet上的路由選擇。到達(dá)另一端時(shí),外層的IP報(bào)頭被拆開,報(bào)文被解密,然后送到收報(bào)地點(diǎn)。 IPSP的主要目的是使需要安全措施的用戶能夠使用相應(yīng)的加密安全體制。該體制不僅能在目前通行的IP(IPv4)下工作,也能在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的,即使加密算

30、法替換了,也不對其他部分的實(shí)現(xiàn)產(chǎn)生影響。此外,該體制必須能實(shí)行多種安全政策,但要避免給不使用該體制的人造成不利影響。 IP AH指一段消息認(rèn)證代碼(Message Authentication Code,MAC),在發(fā)送IP包之前,它已經(jīng)被事先計(jì)算好。發(fā)送方用一個(gè)加密密鑰算出AH,接收方用同一或另一密鑰對之進(jìn)行驗(yàn)證。如果收發(fā)雙方使用的是單鑰體制,那它們就使用同一密鑰;如果收發(fā)雙方使用公鑰體制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外提供不可否認(rèn)的服務(wù)。有些在傳輸中可變的域。 RFC 1828首次規(guī)定了加封狀態(tài)下AH的計(jì)算和驗(yàn)證中要采用帶密鑰的MD5算法。而與此同時(shí),MD5和加封狀

31、態(tài)都被批評為加密強(qiáng)度太弱,并有替換方案提出。 IP ESP的基本想法是整個(gè)IP包進(jìn)行封裝,或者只對ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運(yùn)輸狀態(tài))進(jìn)行封裝,并對ESP的絕大部分?jǐn)?shù)據(jù)進(jìn)行加密。在管道狀態(tài)下,為當(dāng)前已加密的ESP附加了一個(gè)新的IP頭(純文本),它可以用來對IP包在Internet上作路由選擇。接收方把這個(gè)IP頭取掉,再對ESP進(jìn)行解密,處理并取掉ESP頭,再對原來的IP包或更高層協(xié)議的數(shù)據(jù)就象普通的IP包那樣進(jìn)行處理。雖然其他算法和狀態(tài)也是可以使用的,但一些國家對此類產(chǎn)品的進(jìn)出口控制也是不能不考慮的因素。有些國家甚至連私用加密都要限制。 AH與ESP體制可以合用,也可以分用。不管怎么用,都

32、逃不脫傳輸分析的攻擊。人們不太清楚在Internet層上,是否真有經(jīng)濟(jì)有效的對抗傳輸分析的手段,但是在Internet用戶里,真正把傳輸分析當(dāng)回事兒的也是寥寥無幾。 在最簡單的情況下,IPSP用手工來配置密鑰。然而,當(dāng)IPSP大規(guī)模發(fā)展的時(shí)候,就需要在Internet上建立標(biāo)準(zhǔn)化的密鑰管理協(xié)議。這個(gè)密鑰管理協(xié)議按照IPSP安全條例的要求,指定管理密鑰的方法。 因此,IPSEC工作組也負(fù)責(zé)進(jìn)行Internet密鑰管理協(xié)議(IKMP),其他若干協(xié)議的標(biāo)準(zhǔn)化工作也已經(jīng)提上日程。 2.2、傳輸層的安全性 在Internet應(yīng)用編程序中,通常使用廣義的進(jìn)程間通信(IPC)機(jī)制來與不同層

33、次的安全協(xié)議打交道。比較流行的兩個(gè)IPC編程界面是BSD Sockets和傳輸層界面(TLI),在Unix系統(tǒng)V命令里可以找到。 在Internet中提供安全服務(wù)的首先一個(gè)想法便是強(qiáng)化它的IPC界面,如BSD Sockets等,具體做法包括雙端實(shí)體的認(rèn)證,數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個(gè)思路,制定了建立在可靠的傳輸服務(wù)(如TCP/IP所提供)基礎(chǔ)上的安全套接層協(xié)議(SSL)。SSL版本3(SSL v3)于1995年12月制定。它主要包含以下兩個(gè)協(xié)議: SSL記錄協(xié)議 它涉及應(yīng)用程序提供的信息的分段、壓縮、數(shù)據(jù)認(rèn)證和加密。SSL v3提供對數(shù)據(jù)認(rèn)證用的MD5和SH

34、A以及數(shù)據(jù)加密用的R4和DES等的支持,用來對數(shù)據(jù)進(jìn)行認(rèn)證和加密的密鑰可以通過SSL的握手協(xié)議來協(xié)商。 原則上,任何TCP/IP應(yīng)用,只要應(yīng)用傳輸層安全協(xié)議,比如說SSL或PCT,就必定要進(jìn)行若干修改以增加相應(yīng)的功能,并使用(稍微)不同的IPC界面。于是,傳輸層安全機(jī)制的主要缺點(diǎn)就是要對傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改。可是,比起Internet層和應(yīng)用層的安全機(jī)制來,這里的修改還是相當(dāng)小的。另一個(gè)缺點(diǎn)是,基于UDP的通信很難在傳輸層建立起安全機(jī)制來。同網(wǎng)絡(luò)層安全機(jī)制相比,傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對進(jìn)程的(而不是主機(jī)對主機(jī)的)安全服務(wù)。這一成就如果再加上應(yīng)用級的

35、安全服務(wù),就可以再向前跨越一大步了。 2.3、應(yīng)用層的安全性 必須牢記(且須仔細(xì)品味): 網(wǎng)絡(luò)層(傳輸層)的安全協(xié)議允許為主機(jī)(進(jìn)程)之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上,這意味著真正的(或許再加上機(jī)密的)數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間,但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。比如說,如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP通道,那么所有在這條通道上傳輸?shù)腎P包就都要自動地被加密。同樣,如果一個(gè)進(jìn)程和另一個(gè)進(jìn)程之間通過傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道,那么兩個(gè)進(jìn)程間傳輸?shù)乃邢⒕投家詣拥乇患用堋? 提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)

36、文件安全性的手段。例如一個(gè)電子郵件系統(tǒng)可能需要對要發(fā)出的信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名。較低層的 協(xié)議提供的安全功能一般不會知道任何要發(fā)出的信件的段落結(jié)構(gòu),從而不可能知道該對哪一部分進(jìn)行簽名。只有應(yīng)用層是唯一能夠提供這種安全服務(wù)的層次。 第三章 存在的安全隱患與解決方法 分析網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個(gè)方面: 操作系統(tǒng)的安全性,目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞; 防火墻的安全性,防火墻自身是否安全,是否設(shè)置錯(cuò)誤,

37、需要經(jīng)過認(rèn)真檢驗(yàn); 來自內(nèi)部用戶的安全威脅; 缺乏有效的手段監(jiān)視網(wǎng)絡(luò)系統(tǒng)的安全性; 采用的TCP/IP協(xié)議族本身的安全隱患; 在TCP/IP協(xié)議組中存在安全問題的主要協(xié)議有ARP協(xié)議,IP協(xié)議,ICMP,協(xié)議,TCP協(xié)議,DNS協(xié)議。下面就來一個(gè)一個(gè)分析其存在的安全缺陷。 ARP協(xié)議 ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應(yīng)答。當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候,就會對本地的ARP緩存進(jìn)行更新,將應(yīng)答中的IP和MAC地址存儲在ARP緩存中。比如在局域網(wǎng)內(nèi),一個(gè)中了ARP病毒的電腦,把自己偽裝成路由器,告訴所有的電腦“我是路由器 大家都來”,結(jié)果大家的電腦相信了他,他就可以

38、隨意的把改裝過的網(wǎng)絡(luò)數(shù)據(jù)送給所有電腦,在這個(gè)數(shù)據(jù)里可以插入病毒的程序。 中木馬的電腦偽裝自己的路由器,暫時(shí)把真正的路由器給“打暈”了騙了大家,真路由過一會“蘇醒了”大家又重新回到真路由的懷抱中,這個(gè)網(wǎng)絡(luò)切換的過程中 就會掉線。ARP攻擊越強(qiáng)烈 掉線越頻繁。 ARP欺騙的種類:ARP欺騙是黑客常用的攻擊手段之一,ARP欺騙分為二種,一種是對路由器ARP表的欺騙;另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯(cuò)誤的內(nèi)網(wǎng)MAC地址,并按照一定的頻率不斷進(jìn)行,使真實(shí)的地址信息無法通過更新保存在路由器中,結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯(cuò)誤的MAC地址,造成正常

39、PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān),讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù),而不是通過正常的路由器途徑上網(wǎng)。在PC看來,就是上不了網(wǎng)了,“網(wǎng)絡(luò)掉線了”。 一般來說,ARP欺騙攻擊的后果非常嚴(yán)重,大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解,出現(xiàn)故障時(shí),認(rèn)為PC沒有問題,交換機(jī)沒掉線的“本事”,電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時(shí),只要重啟路由器,網(wǎng)絡(luò)就能全面恢復(fù),那問題一定是在路由器了。為此,寬帶路由器背了不少“黑鍋”。 IP協(xié)議如果你的計(jì)算機(jī)需要和其他計(jì)算機(jī)聯(lián)系,那么IP地址是必須的。盡管互聯(lián)網(wǎng)上聯(lián)接了無數(shù)的服務(wù)和電腦,但它們并不是

40、處于雜亂無章的無序狀態(tài),而是每一個(gè)主機(jī)都有惟一的地址,作為該主機(jī)在Internet上的唯一標(biāo)志。我們稱為IP地址?;贗P協(xié)議的安全問題主要是IP地址欺騙。IP地址欺騙是指行動產(chǎn)生IP包的假冒源IP地址,以冒充其他系統(tǒng)或保護(hù)發(fā)送人的身分。 ip是無連接的,不可靠的協(xié)議.它的32bit的頭中,包含了自己要去的目的主機(jī)的ip地址,幾乎所有的tcp/ip協(xié)議的傳輸都是被包含在ip包中發(fā)送的.它的所有的可靠性都是由它的上層協(xié)議來保證的。如果不可達(dá),icmp的不可達(dá)報(bào)文就會發(fā)送會主機(jī)。它的無狀態(tài)的特性,說明它不保存上一個(gè)包的任何狀態(tài)。因此,我們就可以通過修改ip協(xié)議棧的方法,把所需要的ip地址填寫到我們

41、所發(fā)送出去的ip包中,來達(dá)到冒充其他主機(jī)的目的。 ICMP協(xié)議 ICMP的漏洞可以在不需要嗅探網(wǎng)絡(luò)數(shù)據(jù)流的情況下直接被利用,而且不需要任何“中間人”就可以進(jìn)行。可以對目標(biāo)主機(jī)經(jīng)行性能衰竭攻擊:攻擊者可以發(fā)送大量的ICMP包給目標(biāo)主機(jī)使得它不能夠?qū)戏ǖ姆?wù)請求做出響應(yīng)。中美黑客大戰(zhàn)中的多數(shù)中國黑客采用的正是此項(xiàng)技術(shù)。ICMP FLOOD攻擊實(shí)際上是一種兩敗俱傷的攻擊方式,在主機(jī)"瘋狂"地向攻擊目標(biāo)發(fā)送ICMP消息的時(shí)候,主機(jī)也在消耗自身的系統(tǒng)資源。如果自身的網(wǎng)絡(luò)資源小 于目標(biāo)的話,這種攻擊就是"蚍蜉撼大樹"。因此,ICMP FLOOD攻擊為了達(dá)到很好的效果,往往要聯(lián)合多臺機(jī)器同時(shí)攻擊同一臺

42、機(jī)器,從而形成分布式拒絕服務(wù)攻擊(DDoS)。 DNS協(xié)議當(dāng)客戶向一臺服務(wù)器請求服務(wù)時(shí),服務(wù)器方一般會根據(jù)客戶的ip反向解析出該ip對應(yīng)的域名。這種反向域名解析就是一個(gè)查DNS的過程。 如果客戶的ip對應(yīng)有域名,那么DNS查詢會返回其域名。服務(wù)器端得到這一機(jī)器名后會將其記錄下來并傳遞給應(yīng)用程序。你必須有一臺Internet上的授權(quán)的DNS服務(wù)器,并且你能控制這臺服務(wù)器,至少要能修改這臺服務(wù)器的DNS記錄。假如某個(gè)域名的真實(shí)地址是1.1.1.1,而我們通過修改DNS記錄,使得這個(gè)域名對應(yīng)的地址為2.2.2.2,那么會出現(xiàn)什么情況,你到的根本不是真實(shí)的網(wǎng)站,而且如果這個(gè)是黑客制造的假的和真實(shí)網(wǎng)

43、站看上去一樣的,會有什么后果?針對TCP/IP安全漏洞進(jìn)行攻擊的具體實(shí)現(xiàn)和防御針對以上有安全缺陷的協(xié)議,相應(yīng)的攻擊實(shí)現(xiàn)方法有ARP欺騙,IP欺騙,Ping洪水,TCP連接劫持(SYN洪水),DNS欺騙, DOS攻擊 1 ARP欺騙 ARP欺騙攻擊反復(fù)襲擊,是近來網(wǎng)絡(luò)行業(yè)普遍了解的現(xiàn)象,隨著ARP攻擊的不斷升級,不同的解決方案在市場上流傳。但是最近發(fā)現(xiàn),有一些方案,從短期看來似乎有效,實(shí)際上對于真正的ARP攻擊發(fā)揮不了作用,也降低局域網(wǎng)工作效率。對于ARP攻擊防制,最好的方法是先踏踏實(shí)實(shí)把基本防制工作做好,才是根本解決的方法。由于市場上的解決方式眾多,我們無法一一加以說明優(yōu)劣,因此我們僅從ARP

44、攻擊防制的基本思想來進(jìn)行解釋。不堅(jiān)定的ARP協(xié)議一般計(jì)算機(jī)中的原始的ARP協(xié)議,很像一個(gè)思想不堅(jiān)定,容易被其它人影響的人,ARP欺騙/攻擊就是利用這個(gè)特性,誤導(dǎo)計(jì)算機(jī)作出錯(cuò)誤的行為。ARP攻擊的原理,互聯(lián)網(wǎng)上很容易找到,這里不再覆述。原始的ARP協(xié)議運(yùn)作,會附在局域網(wǎng)接收的廣播包或是ARP詢問包,無條件覆蓋本機(jī)緩存中的ARP/MAC對照表。這個(gè)特性好比一個(gè)意志不堅(jiān)定的人,聽了每一個(gè)人和他說話都信以為真,并立刻以最新聽到的信息作決定。就像一個(gè)沒有計(jì)劃的快遞員,想要送信給"張三",只在馬路上問"張三住那兒?",并投遞給最近和他說"我就是!"或"張三住那間!",來決定如何投遞一樣。在一個(gè)人人誠實(shí)的地

45、方,快遞員的工作還是能切實(shí)地進(jìn)行;但若是旁人看快遞物品值錢,想要欺騙取得的話,快遞員這種工作方式就會帶來混亂了。我們再回來看ARP攻擊和這個(gè)意志不堅(jiān)定快遞員的關(guān)系。常見ARP攻擊對象有兩種,一是網(wǎng)絡(luò)網(wǎng)關(guān),也就是路由器,二是局域網(wǎng)上的計(jì)算機(jī),也就是一般用戶。攻擊網(wǎng)絡(luò)網(wǎng)關(guān)就好比發(fā)送錯(cuò)誤的地址信息給快遞員,讓快遞員整個(gè)工作大亂,所有信件無法正常送達(dá);而攻擊一般計(jì)算機(jī)就是直接和一般人謊稱自己就是快遞員,讓一般用戶把需要傳送物品傳送給發(fā)動攻擊的計(jì)算機(jī)。由于一般的計(jì)算機(jī)及路由器的ARP協(xié)議的意志都不堅(jiān)定,因此只要有惡意計(jì)算機(jī)在局域網(wǎng)持續(xù)發(fā)出錯(cuò)誤的ARP訊息,就會讓計(jì)算機(jī)及路由器信以為真,作出錯(cuò)誤的傳送網(wǎng)絡(luò)

46、包動作。一般的ARP就是以這樣的方式,造成網(wǎng)絡(luò)運(yùn)作不正常,達(dá)到盜取用戶密碼或破壞網(wǎng)絡(luò)運(yùn)作的目的。 針對ARP攻擊的防制,常見的方法,可以分為以下三種作法: 利用ARP echo傳送正確的ARP訊息:通過頻繁地提醒正確的ARP對照表,來達(dá)到防制的效果。 利用綁定方式,固定ARP對照表不受外來影響:通過固定正確的ARP對照表,來達(dá)到防制的效果。 舍棄ARP協(xié)議,采用其它尋址協(xié)議:不采用ARP作為傳送的機(jī)制,而另行使用其它協(xié)議例如PPPoE方式傳送。以上三種方法中,前兩種方法較為常見,第三種方法由于變動較大,適用于技術(shù)能力較佳的應(yīng)用。 常見的ARP echo處理手法有兩種,一種是由路由

47、器持續(xù)發(fā)送,另一則是在計(jì)算機(jī)或服務(wù)器安裝軟件發(fā)送。路由器持續(xù)發(fā)送的缺點(diǎn)是路由器原本的工作就很忙,因此無法發(fā)送高頻率的廣播包,被覆蓋掉的機(jī)會很大,因此面對新型的ARP攻擊防制效果小。因此,有些解決方法,就是拿ARP攻擊的軟件來用,只是持續(xù)發(fā)出正確的網(wǎng)關(guān)、服務(wù)器對照表,安裝在服務(wù)器或是計(jì)算機(jī)上,由于服務(wù)器或是計(jì)算機(jī)運(yùn)算能力較強(qiáng),可以同一時(shí)間內(nèi)發(fā)出更多廣播包,效果較大,但是這種作法一則大幅影響局域網(wǎng)工作,因?yàn)檎麄€(gè)局域網(wǎng)都被廣播包占據(jù),另則攻擊軟件通常會設(shè)定更高頻率的廣播包,誤導(dǎo)局域網(wǎng)計(jì)算機(jī),效果仍然有限。ARP echo的作法是不斷提醒計(jì)算機(jī)正確的ARP對照表,ARP綁定則是針對ARP協(xié)議"思想不堅(jiān)

48、定"的基本問題來加以解決。ARP綁定的作法,等于是從基本上給這個(gè)快遞員培訓(xùn),讓他把正確的人名及地址記下來,再也不受其它人的信息干擾。由于快遞員腦中記住了這個(gè)對照表,因此完全不會受到有心人士的干擾,能有效地完成工作。在這種情況下,無論如何都可以防止因受到攻擊而掉線的情況發(fā)生。但是ARP綁定并不是萬靈藥,還需要作的好才有完全的效果。 第一 即使這個(gè)快遞員思想正確,不受影響,但是攻擊者的網(wǎng)絡(luò)包還是會小幅影響局域網(wǎng)部份運(yùn)作,網(wǎng)管必須通過網(wǎng)絡(luò)監(jiān)控或掃瞄的方法,找出攻擊者加以去除 第二 必須作雙向綁定才有完全的效果,只作路由器端綁定效果有限,一般計(jì)算機(jī)仍會被欺騙,而發(fā)生掉包或掉線的情況。但是從以上

49、的說明可知道,只有雙向綁定才能有效果地解決ARP攻擊的問題,而不會發(fā)生防制效果不佳、局域網(wǎng)效率受影響、影響路由器效能或影響服務(wù)器效能的缺點(diǎn)。也就是說雙向綁定是個(gè)硬工夫,可以較全面性地解決現(xiàn)在及未來ARP攻擊的問題,網(wǎng)管為了一時(shí)的省事,而采取片面的ARP echo解決方式,未來還是要回來解決這個(gè)問題。 一般攻擊從一臺你擁有root賬號的主機(jī)開始,以獲取另一個(gè)主機(jī)的root賬號為目的。 IP-spoofing的最大困難是你所進(jìn)行的是一次盲攻擊.因?yàn)槟銈窝b成別的主機(jī),所以中間的路由器不會把包路由回來.當(dāng)然主機(jī)B(被信任的主機(jī))已經(jīng)被你攻擊癱瘓,它無法回應(yīng).而你要在無法接受任何回應(yīng)包的同時(shí),參測可能

50、的回應(yīng)包,并替代主機(jī)B做回答.怎么樣?不容易吧!這其中最需要的。雖然攻擊者可以欺騙任何IP地址,最常被欺騙的IP地址是私有IP地址(請參考RFC1918)和其它類型的共享/特別的IP地址。實(shí)施訪問控制列表(ACL) 最簡單的防止欺騙的方法就是對所有的互聯(lián)網(wǎng)通信使用一個(gè)進(jìn)入過濾器。進(jìn)入過濾器會丟棄源地址為以上所列地址的任何數(shù)據(jù)包。 總 結(jié) 計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程實(shí)際上是 TCP/IP 網(wǎng)絡(luò)協(xié)議體系不斷戰(zhàn)勝其他網(wǎng)絡(luò)協(xié)議體系的過程。當(dāng)年 ISO 力推的 OSI 七層開放模型雖然在實(shí)際競爭中輸給了 TCP/IP ,但是,其清晰的網(wǎng)絡(luò)層次結(jié)構(gòu)對于初學(xué)者理解網(wǎng)絡(luò)層次結(jié)構(gòu)卻大有裨益,并且隨著網(wǎng)絡(luò)應(yīng)用的快速發(fā)展和 TCP/IP 協(xié)議簇的日益龐大, ISO/OSI 七層開放模型仍能給我們很多啟示。通過對TCP/IP協(xié)議以及安全性的分析,對TCP/IP協(xié)議本身的缺陷和TP/IP網(wǎng)絡(luò)的攻擊與防范有了一個(gè)大致的了解,但由于網(wǎng)絡(luò)安全問題非常復(fù)雜,隨著Internet技術(shù)的迅速發(fā)展技術(shù)的大量應(yīng)用,計(jì)算機(jī)病毒的產(chǎn)生于傳播,網(wǎng)絡(luò)被非法入侵有愈演愈烈的趨勢。因此,僅僅考慮TCP/IP的安全遠(yuǎn)遠(yuǎn)不夠的,其它如操作系統(tǒng)和防火墻的安全,網(wǎng)絡(luò)安全意識的提高等都應(yīng)該是我們關(guān)注或研究的重點(diǎn)。

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!