第8章-IP协议.ppt

第八章网际协议（IP）,课程目标掌握IP数据报的格式。掌握分片、重组的原理。了解IP碎片攻击使用Wireshark分析IP数据报分片,第八章网际协议（IP）,IP是一种不可靠的无连接数据报协议-尽最大努力服务。源点到终点的多个数据报可能无序、按不同路径到达。必须与可靠的协议(TCP)配合使用以实现可靠的传输。,第八章网际协议（IP）,8.1IP数据报的格式,一个IP数据报由首部和数据两部分组成。首部的前一部分是固定部分，共20字节，是所有IP数据报必须具有的。在首部的后一部分为可变部分，可有040字节，是一些可选字段。在首部之后为IP数据报的数据部分。首部和数据两部分总长度最大可达64KB,首部的前一部分是固定长度，共20字节，是所有IP数据报必须具有的。,首部的后一部分是可变部分，为0-40字节不等，取决于所选择的项目,用来支持排错、测量以及安全等措施，实际上这些选项很少被使用。,IP数据报首部的选项有：,安全性能数据报的安全等级。严格路由以IP地址序列给出从源到宿的完整路径，用于测试和紧急传送。松散路由规定源宿之间的某几个路由或路由原则。路由记录记录下所经路由的所有IP地址。时间标签记录每经过一跳所花费的时间，用于测试路由算法。,服务类型：最初的称为TOS（TypeOfService），它指明应该如何处理数据报，如优先级和期望的路径特征（如低时延等）。90年代后期，IETF重新定义了字段的含义，提供区分服务。,TOS：前3位为优先级，后面4位只能1位的值为1.优先级：000111，D更低的时延，T更高的吞吐量，R更高的可靠性，C代价更小的路由,8.1IP数据报的格式,区分服务：前6位构成码点字段，最后24位未使用.1.当最后边3位为0时，最左边3位为优先级（同服务类型）2.根据最右边2位值不同，可定义64种服务。第一类由因特网管理机构指派，第二类由本地管理机构使用，第三类为临时实验。,8.1IP数据报的格式,数据报中的Protocol字段,首部检验和(16bit)字段只检验数据报的首部不包括数据部分。这里不采用CRC检验码而采用简单的计算方法。,例题：在IP分组中，HLEN值为1000,问分组携带了多少字节的选项？例题：到达分组的前几个十六进制如下：-45000028000100000102-问分组被丢弃前还可传送多少跳？,知识巩固,答案：01，还有一跳上层协议02：IGMP,8.2分组分片,最大传输单元（MTU）的定义各物理网络对帧的数据字段最大字节数限制由网络硬件决定(如典型的以太网时，MTU=1500)数据封装提出的问题(IP分组用帧封装)适应不同MTU的解决方案-分片以太网：1500X.25:576PPP:296FDDI:4352令牌环网(4Mbps):4464,8.2分组分片,如何检测系统MTU值Windows系统pingflbytesgateway_ipBytes是本机送出去的数据包大小，IP是Gateway的IP，使用-f,指定数据报不能分片。Linux系统检测pingc-MdosIP-ccount指定要被发送（或接收）的回送信号请求的数目-Mhint(do/dont)。do设置不分片位，dont不设置分片位。,IP数据报的分片与重组,在何处实行分片：路径的中间结点上，若下一链路的MTU小于IP分组长度时。,8.2分组分片,R1,R2,网络2MTU=620,网络1MTU=1500,网络3MTU=1500,主机A,主机B,实行分片,无需分片,从大到小,从小到大,分片方法：由标识符、标志、数据报片偏移量这三个字段控制。标识符16位字段，与源IP地址唯一地定义数据报。IP协议使用计数器当前值作为标识符值，使用后该值加1，分片时，该值复制到每个分片中。标志3位字段，第1为保留，第2位D表示是否可分片位(为1则不能分片，为0表示可以分片)，第3位M表示是否还有分片(1-不是最后分片，0最后分片),8.2分组分片,8.2分组分片,分片偏移-以8字节为度量单位，确定此数据报分片在总数据报中的偏移量。例如：具有4000个字节的数据报被分为3个分片如何分片？,偏移=0/8=0,偏移=1400/8=175,偏移=2800/8=350,1400,2800,3799,2799,1399,3799,需分片的数据报,数据报片1,首部,数据部分共3800字节,首部1,首部2,首部3,字节0,数据报片2,数据报片3,1400,2800,字节0,IP分片举例1（仅路径上1次分片）,偏移=0/8=0,IP分片举例2（路径上先后2次分片）,IP数据报在某路由器上经历第一次分片,33,如何分片？,Data,IP_H,主机A,201400Bytes,R1,FraH1,Fragment1,FraH2,FraH3,Fragment2,Frag3,20600,片1偏移（offset）=0，MF1,片2偏移（offset）=600/8，MF1,片3偏移（offset）=1200/8，MF0,片头(复制原IP头,还需改写有关字段）,MTU=1420,MTU=620,MTU,:Frame,200,分片标识号继承原IP分组标识号,选择合适的分组长度适应不同的MTU选择网络中最小的MTU在MTU较大的网络传输会造成硬件能力浪费选择网络中最大的MTU在MTU较小的网络不能实现数据报到帧的封装如何选择分组长度？如何实现数据封装？由于现在绝大多数场合都是使用以太网，因此一般在以太网中发送时，选择IP分组长度取以太网链路的MTU1500字节,发送时分组长度选择多长？,分片的传输和控制,传输每个分片独立选择传输路径，“尽力传递”控制（定义片头参数）,标识,Identification,(16bit),标志,Flags,(3bit),片偏移,FragmentOffset,(13bit),信源机赋予数据报的标识，识别此片所属分组，用于分组重组。,“001”,片未完“000”,最后分片,提供片顺序信息,分片的重组,重组只在信宿机完成减轻网关（gateway）负担，简化路由协议简单、高效，体现“尽力传递”设计思想在接收端设置重组计时器接收到某分组第一个到达的片段时立即启动定时器；如果在规定时间内未收到全部片段，则放弃整个分组，向信源机发送出错消息。,分片的重组,分片的组装策略：1.第一个分片的分片偏移值是0.2.把第一个分片长度除以8，这个结果就是第二个分片偏移值。3.把第一个和第二个分片的总长度除以8，这个结果就是第三个分片的偏移值。4.重复以上过程，直到最后分片的还有分片位值为0.,8.4校验和,发送端计算校验和：把分组划分为K段，每段都是n位长用反码算术运算把所有这些段相加把最终结果取反码就得出校验和接收端计算校验和把收到的分组划分为K段，并把所有段相加若结果为0则接受，否则拒绝这个分组,校验和计算过程,生成校验和计算举例,8.5IP分片攻击,IP分片攻击表现形方法一：混乱顺序攻击者故意打乱IP分片包到达目的节点的顺序。如果入侵检测系统以为IP分片包总是严格按照分片顺序到达，那么在重组的过程中就不能正确识别各个分片包的先后顺序，会造成对攻击数据漏报。,8.5IP分片攻击,方法二：利用分片包缓冲处理机制问题在属于同一个原始IP数据包的所有分片包到齐之前，入侵检测系统必须将所有先期到达的分片包放到一个缓冲区中。分片攻击机可能通过故意不发送属于同一个原始IP数据包的一个分片包或者故意发送多个分片包，造成入侵检测系统的IP分片重组模块因为消耗掉所有内存而遗漏攻击数据甚至崩溃。,8.5IP分片攻击,举例：利用IP数据报长度最长只能是0 xFFFF(65535字节)，系统内核在处理时会崩溃或拒绝服务。PingofDeath:攻击者发送一个长度超过65535的EchoRequest数据报，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，系统通常会崩溃或挂起。测试：pingc1s65535gatewayWindows系统解决方案：为防止因保留分片而造成内存消耗过大，设置了界限来防止这种情况，如果超过了内存使用的上限，则清空内存中最老信息。,8.5IP分片攻击,方法三：IP分片重叠问题分片包都有一个类似于分片偏移量（fragmento