毕业设计（论文）-IP协议及IPSec协议安全分析.doc

资源描述

《毕业设计（论文）-IP协议及IPSec协议安全分析.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）-IP协议及IPSec协议安全分析.doc（46页珍藏版）》请在三一文库上搜索。

1、郑州轻工业学院郑州轻工业学院本科毕业设计（论文）题目 IP 协议及 IPSec 协议安全分析学生姓名专业班级计算机科学与技术 2003-1 班学号 56 院（系）计算机与通信工程学院指导教师完成时间 2007 年 6 月 6 日郑州轻工业学院毕业设计（论文）任务书毕业设计（论文）任务书题目题目 IP 协议及 IPSec 协议安全分析专业专业计算机科学与技术学号学号 56 姓名姓名主要内容、基本要求、主要参考资料等：主要内容、基本要求、主要参考资料等：主要内容与要求：主要内容与要求：本课题通过对 TCP/IP 以及 IPSec 协议进行抓包采集数据并予以

2、分析，掌握 TCP/IP 协议以及 IP Security 协议的实现过程。本课题结合 Ethereal 网络协议分析系统捕获数据并进行分析，来进一步加深对网络安全以及 TCP/IP 协议的了解。主要参考资料：主要参考资料： 1王石.局域网安全与攻防-基于 Sniffer Pro 实现.北京：电子工业出版社 2004 年 11 月 2雷震甲.网络工程师教程.北京：清华大学出版社，2004 3(美)Naganand Doraswamy,Dan Harkins 著 .IPSec 新一代因特网安全标准 . 机械工业出版社，2000 年 3 月 4Comer,D.E 著；林瑶，蒋慧，杜蔚轩等译.

3、用 TCP/IP 进行网际互联第一卷：原理、协议与结构（第四版）.北京：电子工业出版社，2001.5,134. 5谢希仁.计算机网络教程.北京：人民邮电出版社，2003.5，2 6朱雁辉. WINDOWS 防火墙与网络封包截获技术.北京：电子工业出版社，2002 完完成成期期限：限： 20072007 年年 6 6 月月 6 6 日日指指导导教教师师签签章章：专业负责人签章：专业负责人签章：年年月月日日目录摘要.I ABSTRACT.II 1 绪论.1 2 网络协议的体系结构.1 2.2 OSI 网络体系结构1 2.2 OSI 参考模型与 TCP/IP 参考模型的比较

4、4 3 网络安全现存状况分析.6 3.1 国内网络安全状况分析.6 3.1 国际网络安全状况分析.7 4 IP 及 IPSec 协议安全性分析7 4.1 IPv4 协议分析7 4.1.1 IP 头结构 9 4.1.2 IP 安全标签 .12 4.1.3 TCP/IP 协议簇安全的脆弱性 .13 4.2 IPSec 协议分析13 4.2.1 IPSec 协议设计目标 14 4.2.2 IPSec 体系结构分析 14 5 基于 Ethereal 的网络安全嗅探技术.18 5.1 Ethereal 网络协议分析系统介绍18 5.2 Ethereal 的应用领域19 5.2.1 Ethereal 工作

5、模式 .19 5.3 Ethereal 源程序结构分析模块结构22 5.3.1 总体结构22 5.3.2 捕包及读文件模块24 5.3.3 协议分析模块24 6 基于 IPSec 策略的网络安全性分析.25 6.1 基于图形化界面的 IPSec 策略实现25 6.2 Ethereal 捕获报文测试及安全性分析.29 6.2.1 传统 FTP 站点访问方式29 6.2.2 基于 IPSec 安全策略的 FTP 站点31 7 展望 IPv6IPSec 安全协议的新主人34 7.1 IPv6的安全机制.34 7.2 IPv6的安全网络架构35 总结与展望.38 致谢.39 参考文献.40 IP 协议

6、及 IPSec 协议安全分析 I IP 协议及 IPSec 协议安全分析摘要因特网技术的兴起，互连技术的成长，使得大家愈来愈仰赖 Internet 这个应用广泛的公众网络。当今，互联网是在 20 世纪 60 年代的 ARPANET 的基础上发展起来的。TCP/IP 协议簇广泛应用于网际互联。该协议是一个成功的网络协议，有很多优点，使数千万台电脑可以相互通信，并保持非常高的效率。由以 TCP/IP 协议为基础的 Internet 的发展历程可知，IP 协议最可取的内涵与作用即在于其充分的开放透明性与灵活有效的多业务增值能力。然而，既要开放透明，往往便“充分暴露”，从而容易受到攻

7、击。因此，Internet 商用化后，大量暴露出的一系列问题中，最棘手、解决难度最大的即为安全性问题。文中简单介绍了 TCP/IP 以及 IPSec 协议，详细叙述了互联网络所面临的一些安全问题，如：中间人攻击、拒绝服务攻击、数据篡改等问题以及相应的解决方案如：身份交换和认证机制、IP 包过滤法、IPSec 密钥等，并就这些解决方案进行分析和比较，最后对 TCP/IP 与 IPSec 协议应用面临的问题提出本人的观点。关键词网络安全/IPSec 协议/网络嗅探/IPv6 安全性 IP 协议及 IPSec 协议安全分析 II THE ANALYSIS OF IP AND IPSEC

8、URITY PROTOCOLS SECURITY PROBLEM ABSTRACT Internet technical rise，interlinking technical pullulate, so as to everybody more and more count upon internet that public network of application comprehensive. ARPANET was the basis for the development of the Internet. TCP/IP protocols were widely used for

9、Internet connectivity. The protocol design was very successful. It made tens of millions of computers to communicate successfully and it take very high efficiency. The develop process history approve known，IP protocol most advisable intension and function namely consist that plenary open penetrabili

10、ty and agility effective much business increment ability by TCP/IP protocol for fundamental internet. But，as well as ask open transparence，sometimes convenient for “plenitude exposure“，so it expose to attack. But，after internet business，it expose pop a series of problem suffer，most trickiness、set ha

11、rdness maximal namely for security problem. This article gave an outline of know clearly TCP/IP and IPSec protocol，go into particulars know clearly internet T- number station faced with some safety problem，for examples: middleman attack, thumb attack, data doctor grade problem with which homologous

12、set as at rest up down：status exchange and authentication mechanism, IP fold filter, IPSec key grade，combine with these set proceed analyses and compare. The last, Ill tell that TCP/IP and IPSec protocol application faced with questions. KEY WORDS Network Security，IPSec Protocol，Network Sniffer，Secu

13、rity of IPv6 IP 协议及 IPSec 协议安全分析 1 1 绪论众所周知，因特网源于美国国防部的 ARPANET。在上世纪 60 年代中期，正是冷战的高峰，美国国防部希望有一个命令和控制网络能够在核战争的条件下幸免于难，而传统的电路交换的电话网络则显得太脆弱。国防部指定其下属的高级研究计划局(ARPA)解决这个问题，此后诞生的一个新型网络便称为 ARPANET。1983 年， TCP/IP 协议成为 ARPANET 上唯一的正式协议以后，ARPANET 上连接的网络、机器和用户得到了快速的增长。当 ARPANET 与美国国家科学基金会(NSF)建成的 NSFNET 互联

14、以后，其上的用户数以指数增长，并且开始与加拿大、欧洲和太平洋地区的网络连接。到了 80 年代中期，人们开始把互联的网络称为互联网。互联网在 1994 年进入商业化应用后得到了飞速的发展，1998 年，因特网全球用户人数已激增到 1.47 亿1。 70 年代中期，ARPA 为了实现异种网之间的互联与互通，开始制定 TCP/IP 体系结构和协议规范。1980 年，TCP/IP 协议研制成功。1982 年，ARPANET 开始采用 IP 协议。时至今日，TCP/IP 协议也成为最流行的网际互联协议。它不是国际标准化组织制定的，却已成为网际互联事实上的标准，并由单纯的 TCP/IP 协议发展成

15、为一系列以 IP 为基础的 TCP/IP 协议簇。TCP/IP 协议簇为互联网提供了基本的通信机制。随着互联网的指数增长，其体系结构也由 ARPANET 基于集中控制模型的网络体系结构演变为由 ISP 运营的分散的基于自治系统(Autonomous Systems, AS)模型的体系结构。近十年来，互联网目前几乎覆盖了全球的每一个角落，其飞速发展充分说明了 TCP/IP 协议取得了巨大的成功。而互联网得到了飞速的发展速度是以几何级数增加，并且新的业务也在不断的涌现，这一切使得互联网呈现出新的特性。但也正是这种高速的增长，使得当前的互联网陷入了前所未有的困境。 2 网络协议的体系结

16、构 2.2 OSI 网络体系结构我们所说的 OSI 模型，就是指开放系统互连基本参考模型 OSI/RM(“OSI/RM”它 IP 协议及 IPSec 协议安全分析 2 来自英文“Open System Interconnection Reference Model”缩写)，是国际标准组织(ISO) 提出的一个试图使各种计算机在世界范围内互连为网络的标准框架，简称 OSI，其体系结构图如表 2-1 所示：表 2-1 为 OSI 七层体系结构 OSI 模型的每一层都具有清晰的特征。基本可以说，第七至第四层处理数据源和数据目的地之间的端到端通信，而第三至第一层处理网络设备间的通信。另外， O

17、SI 模型的七层也可以划分为两组：上层(层 7、层 6 和层 5)和下层(层 4、层 3 层 2 和层 1)。OSI 模型的上层处理应用程序问题，并且通常只应用在软件上。最高层，即应用层是与终端用户最接近的。OSI 模型的下层是处理数据传输的。物理层和数据链路层应用在硬件和软件上。最底层，即物理层是与物理网络媒介(比如说，电线)最接近的，并且负责在媒介上发送数据。我们通过 OSI 层，信息可以从一台计算机的软件应用程序传输到另一台的应用程序上。例如，计算机 A上的应用程序要将信息发送到计算机 B的应用程序，则计算机 B中的应用程序需要将信息先发送到其应用层(第七层)，然后此层将信息

18、发送到表示层(第六层)，表示层将数据转送到会话层(第五层)，如此继续，直至物理层 (第一层)。在物理层，数据被放置在物理网络媒介中并被发送至计算机 B。计算机 B 的物理层接收来自物理媒介的数据，然后将信息向上发送至数据链路层(第二层)，数据链路层再转送给网络层，依次继续直到信息到达计算机 B的应用层。最后，计算机 B的应用层再将信息传送给应用程序接收端，从而完成通信过程。并且 OSI的七层运用各种各样的控制信息来和其他计算机系统的对应层进行通应用层 Application Layer 表示层 Presentation Layer 会话层 Session Layer 传输层 Tran

19、smission Layer 网络层 Network Layer 数据链路层 Data Link Layer 物理层 Physical Layer IP 协议及 IPSec 协议安全分析 3 信。这些控制信息包含特殊的请求和说明，它们在对应的 OSI层间进行交换。每一层数据的头和尾是两个携带控制信息的基本形式。对于从上一层传送下来的数据，附加在前面的控制信息称为头，附加在后面的控制信息称为尾。然而，在对来自上一层数据增加协议头和协议尾，对一个 OSI层来说并不是必需的。当数据在各层间传送时，每一层都可以在数据上增加头和尾，而这些数据已经包含了上一层增加的头和尾。协议头包含了有关层与层

20、间的通信信息。头、尾以及数据是相关联的概念，它们取决于分析信息单元的协议层。例如，传输层头包含了只有传输层可以看到的信息，传输层下面的其他层只将此头作为数据的一部分传递。对于网络层，一个信息单元由第三层的头和数据组成。对于数据链路层，经网络层向下传递的所有信息即第三层头和数据都被看作是数据。换句话说，在给定的某一 OSI 层，信息单元的数据部分包含来自于所有上层的头和尾以及数据，这称之为封装。例如，如果计算机 A要将应用程序中的某数据发送至计算机 B，数据首先传送至应用层。计算机 A 的应用层通过在数据上添加协议头来和计算机 B的应用层通信。所形成的信息单元包含协议头、数据、可能

21、还有协议尾，被发送至表示层，表示层再添加为计算机 B 的表示层所理解的控制信息的协议头。信息单元的大小随着每一层协议头和协议尾的添加而增加，这些协议头和协议尾包含了计算机 B的对应层要使用的控制信息。在物理层，整个信息单元通过网络介质传输。计算机 B中的物理层收到信息单元并将其传送至数据链路层；然后 B中的数据链路层读取计算机 A的数据链路层添加的协议头中的控制信息；然后去除协议头和协议尾，剩余部分被传送至网络层。每一层执行相同的动作：从对应层读取协议头和协议尾，并去除，再将剩余信息发送至上一层。应用层执行完这些动作后，数据就被传送至计算机 B中的应用程序，这些数据和计算机 A的

22、应用程序所发送的完全相同。一个 OSI层与另一层之间的通信是利用第二层提供的服务完成的。相邻层提供的服务帮助 OSI层与另一计算机系统的对应层进行通信。一个 OSI模型的特定层通常是与另外三个 OSI层联系：与之直接相邻的上一层和下一层，还有目标联网计算机系统的对应层。例如，计算机 A的数据链路层应与其网络层，物理层以及计算机 B的数据链路层进行通信。其对等层结构图如图 2-1 所示：应应用用层层表表示示层层会会话话层层传传输输层层网网络络层层数数据据链链路路层层物物理理层层应应用用层层表表示示层层会会话话层层传传输输层层网网络络层层数数据据链链路路层层物

23、物理理层层图 2-1 为 OSI 七层体系结构中对等层间通信 IP 协议及 IPSec 协议安全分析 4 2.2 OSI 参考模型与 TCP/IP 参考模型的比较我们都知道，在 OSI 参考模型产生在协议发明以前，这意味着该模型没有偏向于任何特定的协议，因此非常通用。不足的是不知道该把哪些功能放在哪一层最好。 TCP/IP 却正好相反。首先出现的是协议，不会出现协议不匹配模型的情况。唯一的问题是它对于描述其他的非 TCP/IP 网络并不特别有用. 然而 TCP/IP 协议栈是美国国防部高级研究计划局计算机网(Advanced Research Projects Agency Netwo

24、rk，ARPANET)和其后继因特网使用的参考模型。ARPANET 是由美国国防部(U.SDepartment of Defense，DoD)赞助的研究网络。最初，它只连接了美国境内的四所大学2。随后的几年中，它通过租用的电话线连接了数百所大学和政府部门。最终 ARPANET 发展成为全球规模最大的互连网络-因特网。最初的 ARPANET 于 1990 年永久性地关闭。首先我们要明确 TCP/IP 参考模型分为四个层次：应用层、传输层、网络互连层和主机到网络层。其模型各层说包含协议如表 2-2 所示： IP 协议及 IPSec 协议安全分析 5 表 2-2 TCP/IP 参考模型各层包

25、含协议应用层FTP、 TELNET、 HTT P SNMP、TFTP、NTP 传输层TCP UDP 网络互联层 IP 802.2 HDLC、PPP、FRAME-RELAY 主机到网络层以太网令牌环网 802.3 EIA/TIA-232、449、V.35、V.21 在 TCP/IP 参考模型中，去掉了 OSI 参考模型中的会话层和表示层(这两层的功能被合并到应用层实现)。同时将 OSI 参考模型中的数据链路层和物理层合并为主机到网络层。如图 2-2 所示。图 2-2 TCP/IP 参考模型与 OSI 参考模型之比较另一个差别是面向连接和无连接的通信3。OSI 模型在网

26、络层支持无连接和面向连接的通信，但在传输层仅有面向连接的通信，这是它所以来的。然而，TCP/IP 模型在网络层仅有一种通信模式(无连接)，但在传输层支持两种模式，给了用户选择的机会。这种选择对简单的请求-应答协议是非常重要的。应用层表示层会话层传输层网络层数据链路层物理层应用层传输层 INTERNET 层网络层 IP 协议及 IPSec 协议安全分析 6 3 网络安全现存状况分析 3.1 国内网络安全状况分析首先我们要搞清楚，信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制，即保障信息

27、的可用性、机密性、完整性、可控性、不可抵赖性。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题： (1) 信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等。 (2) 在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，使国家利益、社会公共利益和各类主体的合法权益受到

28、威胁。 (3) 网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。当今社会，由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安全问题变得广泛而复杂。 (4) 随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。然而目前，我国网络安全问题日益突出： (1) 计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的态势。据 2001 年调

29、查，我国约 73%的计算机用户曾感染病毒，2003 年上半年升至 83%。其中，感染 3 次以上的用户高达 59%，而且病毒的破坏性较大，被病毒破坏全部数据的占 14%，破坏部分数据的占 57%。 (2) 电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国 95%与互联网相联的网络管理中心都遭 IP 协议及 IPSec 协议安全分析 7 受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。 (3) 信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环

30、节。据英国简氏战略报告和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年 30%的速度递增。据某市信息安全管理部门统计，2003 年第 1 季度内，该市共遭受近 37 万次黑客攻击、 2.1 万次以上病毒入侵和 57 次信息系统瘫痪。该市某公司的镜像网站在 10 月份 1 个月内，就遭到从外部 100 多个 IP 地址发起的恶意攻击4。 3.1 国际网络安全状况分析在国际互联网中，网络攻击者主动性很强，因此，在整个网络安全中占据着十分重要的地位

31、。我认为从典型的网络入侵来看，攻击者一般要经过“探测”、“攻击”、“隐藏”等三个步骤，而且每个步骤又有许多种类型。2007 年，网络安全界风起云涌，从技术更加精湛的网络注入到隐蔽性更强的钓鱼式攻击，从频频被利用的系统漏洞到悄然运行木马工具，网络攻击者的手段也更加高明。由美国国防信息系统局(DISA)进行的计算机安全保密实验表明美国国防部 9000 台计算机中大约有 90%可以利用普通工具通过因特网进入。美国国防部的网络系统每天都要面临黑客的攻击和信息泄密，大约有 95%的这样的事件没有引起网络系统管理员的注意。目前国外黑客主要使用两种比较简单的方法来试图进行网络入侵。一是通过因特网

32、的连接环节进行攻击，有许多侵入因特网连接环节的方法可供黑客使用；二是通过电话线来进行攻击，就像 Ton Loc 软件一样通过拨打成千上万的电话直到打开没有保护的网络节点。 4 IP 及 IPSec 协议安全性分析 4.1 IPv4 协议分析我认为首先 IP 数据包(Packet)是一捆一捆的数据，它是 TCP/IP 协议簇的基础数据形式。每个数据包都携有一个 32 位的源地址、宿地址、一些选项位、一个报头校验和以及数据包的有效数据。一个典型的 IP 数据包有几百个字节长。这些数据包通过以太网、串行通信线、FDDI 环路、数据包无线连接、异步传输模式(ATM)链路等 IP 协议及

33、IPSec 协议安全分析 8 数十亿次地在世界上穿越流动。IP 层没有虚拟电路(Virtual Circuit)或“电话呼叫” 的概念：每个数据包都是独立的。IP 是一种不可靠的数据报(Datagram)服务方式。数据包的递交是没有保证的，它只被递交一次，或按任意一种特定顺序递交。对数据包的正确性没有任何检验机制。IP 报头中的校验和也只覆盖该报头。事实上，送出的数据包是否真的来自某一给定源地址也是没有保证的。从理论上讲，任何主机可用任意一个源地址发送一个数据包。虽然有许多操作系统在这一方面实行控制并确保它按正确的源地址值发出，但是，除非在某一小心控制的环境下，否则不能依赖源地址的

34、有效性。一般来说，鉴别和安全问题必须利用较高层协议的机制。一个长距离传送的数据包将经过多个跳点(hop)。每次跳转都终止于一个主机或路由器上，然后根据路由信息将该数据包向前传送至下一个跳点。在传送期间，如果数据包对于一个跳点显得过长，该数据包可以被分割成更小的数据片。如果通信过于拥挤堵塞，路由器可以将数据包丢弃。数据包在到达远端时可能不按顺序，甚至还可能有重复发送。通常对这些行为是不通知的：较高协议层(例如 TCP)才处理上述问题并给应用提供一条可靠电路。如果一个数据包对下一个跳点显得太大，它就要被分割成小包，即将其分为两个或更多的数据包，每个数据包都有它自己的 IP 报头，而

35、有效数据只是原来的一部分。这些小片以各自的方式分别到达最终目的地。在传输过程中，分片的数据包还可能进一步分片。在这些小片数据包到达目标机器时，它们被重新组装。中间跳点均不进行组装。其次，IP 协议是 TCP/IP 协议族中最为核心的协议5。所有的 TCP、UDP、ICMP 及 IGMP 数据都以 IP 数据报格式传输。许多刚开始接触 TCP/IP 的人对 IP 提供不可靠、无连接的数据报传送服务感到很奇怪，特别是那些具有 X. 25 或 SNA 背景知识的人。不可靠(Unreliable)的意思是它不能保证 IP 数据报能成功地到达目的地。 IP 仅提供最好的传输服务。如果发生某种错误

36、时，如某个路由器暂时用完了缓冲区， IP 有一个简单的错误处理算法：丢弃该数据报，然后发送 ICMP 消息报给信源端。任何要求的可靠性必须由上层来提供(如 TCP)。无连接 (Connectionless)这个术语的意思是 IP 并不维护任何关于后续数据报的状态信息。每个数据报的处理是相互独立的。这也说明，IP 数据报可以不按发送顺序接收。如果信源向相同的信宿发送两个连续的数据报(先是 A，然后是 B)，每个数据报都是独立地进行路由选择，可能选择不同的路线，因此 B 可能在 A 到达之前先到达。 IP 协议及 IPSec 协议安全分析 9 4.1.1IP 头结构普通的 IP 首部长为

37、 2 0 个字节，除非含有选项字段。其报文格式如表 4-1 所示。表 4-1 IP 数据报的格式 4 位版本 4 位首部长度 8 位服务类型16 位总长度 (字节数 ) 16 位 TAG3 位 TAG 13 位片偏移 8 位生存时间8 位协议16 位首部校验和 32 位源 IP 地址 32 位目的IP 地址选项数据其中每一个部分的含义如下： (1) 版本(Version) 当前的版本 IPv4 头格式是 4 (2) 分组头长度(HL) 以 32 位字为单位的 IP 分组头的长度。这样，一个典型的 20 字节的分组头应该包含 5 个 32 位字。 (3) 服务类型(TOS) 8

38、比特的服务类型字段分为两个部分：优先级(Precedence)和服务类型(TOS)。优先级由 3 个比特组成，定义优先级的最初目的是提供一种能够为特定分组流分配优先级的手段。其余的 5 个比特为穿越网络的 IP 分组定义了服务类型。实际上，TOS 字段从未按其最初设想而被真正地使用过。但目前新的研究工作正在努力试图重新定义 TOS 字段，以使其能够为 IP 分组分配服务类型，这就是所谓的差分服务 (Differentiated Services)。 (4) 总长度(Total Length) 它的总长度为一个 16 比特长的数据报长度字段，用来定义以字节为单位的整个 IP 分组的总长。I

39、P 分组的最大长度为 65536 字节。 (5) 标识(Identification) IP 协议及 IPSec 协议安全分析 10 这个字段包含一个 16 比特的标识符，目的主机用它来识别和组合 IP 分组的片段。如果 IP分组的入线数据链路的最大传输单元(MTU)长度大于其出线数据链路的 MTU 长度，IP 路由器就会把该 IP 分组分段。MTU 长度的定义是数据链路帧所能承载的最大的 IP 分组的长度。IP 分组的组装只在目的主机上进行。数据分段并不是一个好办法，因为它在路由器和目的主机上引入了额外的开销。一种被称为通路 MTU 发现(Path MTU Discovery)的技术可

40、以使发送分组的源主机发现从源到目的的通路上的最长 MTU 长度，因而可以避免任何不必要的分段操作6。 (6) 标志(Flag) 标志字段由 3 个比特构成，其含义如下： 1. Bit 0：保留。 2. Bit 1：0 = 可以对分组进行分段；1=不可分段。 3. Bit 2：0 = 最后一个段；1=还有更多的段。 4. 偏移(Offset)。偏移字段由 13 个比特构成。原始 IP 分组被分段后，每一个分段生成的数据块(Fragment block)都有一个从 IP 分组起始位置开始编号的序号，这个序号记录在偏移字段中。 (7) 生存时间(TTL，Time to live) TTL 字段用

41、来防止在网络中出现 IP 分组的无限循环。一个 IP 分组每经过一个路由器，TTL 值都会减小。当 TTL 的值被减到 0 时，路由器就会丢弃该分组。最初 TTL 值是一定数量的秒数；但目前它的含义是在路由器之间允许的最大跳(hop)数。 TTL 值也被用来控制组播(Multicast)分组在网络中传播的范围。组播分组的 TTL 值必须大于通往外部路由器接口中所配置的 TTL 阈值，否则该分组将被丢弃。 (8) 协议(Protocol) 协议字段用来鉴别利用了 IP 服务的邻接高层所采用的协议。例如: TCP=6、UDP=17、ICMP=1(互连网控制消息协议)、OSPF=89 等。在网

42、络中，为将分组准确地引导到其最终目的地所必需的信息都分组头服务类型总长度版本长度保存在分组头中。IP 层从它的上层接分段偏移收到传输层或应用层的信息以后，标识标志就将 IP 分组头添加到接收的信息协议生存时间分组头检验和后，然后将其向下提交给下层的数据链路层，通过某特定的介质发送。源 IP 地址 IPv4 分组头的长度范围可以从 20 字目的 IP 地址节到最多 60 字节(假如使用了附加的选项)。 IP 协议及 IPSec 协议安全分析 11 (9) 分组头校验和(Header Checksum) 这个 16 比特的字段是根据 IPv4 分组头中的其他字段计算出来的。分组每经过

43、一个路由器，校验和的值都会被更新，因为 TTL 字段和 IP 选项字段中的值可能发生改变。 (10) 源 IP 地址(Source IP address) 发出 IP 分组的主机的 32 位 IP 地址。 (11) 址(Destination IP address) 32 位目的主机 IP 地址。IP 分组头中还可以有一系列的选项字段。这些选项由通路上的每一个路由器来处理。选项字段可以被添加到一个 IP 分组中，内容包括源选路和路由器警告等。实际中选项字段很少被使用，因为它所带来的任何功能的增强与它所引起的每个中间路由器的额外处理开销相比都是不值得的。 (12) (option) 该选

44、项指明了信息的秘密程度。理论上，军用路由器可能使用这个域来指定在路由的时候不允许通过某些在军事上被认为是“敌对国家”。而在实践中，所有的路由器都忽略该选项，所以，它唯一实际的用途是帮助间谍们更加容易找到好的材料。严格的源路由(Strict Source Routing)选项给出了从源到目标的完整路径，其形式是一系列 IP 地址。数据报必须严格地沿着这条路径向前传输。对于系统管理员，这是非常有用的，他们可以在路由表被破坏的时候发送紧急分组，或者用这个选项来测量时间。宽松的源路由(Loose Source Routing)选项要求该分组穿越所制定的路由器列表，并且要求按照列表中的顺序

45、前进，但是，在途中也允许经过它的路由器。通常情况下，该选项往往只提供少数路由器，以强迫走一条特殊的路径。记录路径 (Record Route)选项告诉沿途的路由器，将它们的 IP 地址附到该选项域中。这使得系统管理员可以跟踪路由算法中的错误。 (13) 时间戳(Time Stamp) 该选项与记录路由选项类似，只不过每台路由器除了纪录 32 位 IP 地址以外，还要记录一个 32 位时间戳。这个选项主要也被用于调试路由算法。各部分含义如表 4-2 所示。 IP 协议及 IPSec 协议安全分析 12 表 4-2 IP 头结构各部分说明区域描述版本 Version 是指 IP 协议的

46、版本号，只能取 4、6 两值，4 为当前 IP 标准 IPv4)，6 是将来的 IPv6 首部长度 IHL (IP header length) 按照 32-bit words 来计算的 Internet Header 长度，通常为 5，由于它是一个 4 位字段，因此首部最长为 60 个字节服务类型 Type of Service 包括一个 3 位的优先权(Precedence)子字段(现在已被忽略)、 4 位的 TOS 子字段和 1 位未用位但必须置 0。4bit 的 TOS 分别代表：最小时延、最大吞吐量、最高可靠性和最小费用。4bit 中只能置其中 1bit。如果所有 4bit 均

47、为 0，那么就意味着是一般服务总长度 Total Length 指整个 IP 数据报的长度 (Header and Data)，按 bytes 计。利用首部长度字段和总长度字段，就可以知道 IP 数据报中数据内容的起始位置和长度。标识 Identification 由发送方指定的 ID，辅助数据包的分片和组合。唯一地标识主机发送的每一份数据报标志 Flags(3bits) 一个 bit 用来指示分片，另一个 bit 是“不分片”bit，指出片断是否为分片的。最后一个 bit 保留。指定目的地址是一个完整的主机地址还是一个网络地址分片偏移指出一个分片部分生存时间 Time

48、To Live 数据报可以经过的最多路由器数。指出数据包的最长生存时间协议 Protocol指出在所接收的数据包载荷中包含的下一层协议首部检验和 Header Checksum 根据 IP 首部计算的检验和码源地址 Source address 发送方的 IP 地址目的地址 Destination Address 目标方的 IP 地址可选项 Options 可变长度，可以没有。定义安全和处理限制、记录路径、时间戳、宽松的源站选路、严格的源站选路等信息填充 Padding 如果有 Options，Padding(填充)保证 IP Header 以 32BIT 边界结束数据Da

49、ta数据包的载荷 4.1.2 IP 安全标签 IP 有许多可以表达信息的选项字段，但我们通常都不用它们7。对于我们来说，重要的选项是安全标签以及严格限制和放松源路由的选项。IP 安全选项目前主要用于国家的军事场合，虽然也可以将这一选项定义为一个商业变量。每个数据包都用它包含信息的敏感性进行标记。这个标签包括一个安全级别(机密，绝密等)和部门：核武器，密码学等等。第一，标签指出了发送和接受进程的最终安全级别。一个进 IP 协议及 IPSec 协议安全分析 13 程不得用较低安全级别的方式写到介质上，因为那样会泄露机密信息。基于显而易见的原因，也许不需要从介质中读出更高级别的信息。通常将这两种限制相结合，用来限定连接两端的进程处于准确的相同级别上。因此它们可以把相应的选项字段贴在每个数据包上。在更传统的计算机上，路由器可以将这选项贴到通过给定电缆接收的所有数据包上。在网络自身内部，安全标签的主要目的是包含路由决策。一个有“绝密”标记的数据包，不得经过表明为只供“最低秘密”级通信

展开阅读全文