沈鑫剡编著《路由和交换技术》(第2版)配套课件第10章
合集下载
沈鑫剡编著(网络安全)教材配套课件第8章-
计算机网络安全
无线局域网安全技术
三、开放带来的安全问题和解决思路
计算机网络安全
安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰;嗅探和流量分析;重放攻击;数据篡改;伪造AP。
无线局域网安全技术
三、开放带来的安全问题和解决思路
2.解决思路(1)接入控制对无线终端实施接入控制,保证只有授权终端才能与AP进行通信,并通过AP访问内部网络。
WEP加密过程
计算机网络安全
无线局域网安全技术
一、WEP加密和完整性检测过程
WEP解密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV;根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
计算机网络安全
无线局域网安全技术
五、关联的接入控制功能
建立关联过程建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;建立关联过程中,AP完成对终端的认证;建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。
计算机网络安全
无线局域网安全技术
六、 WEP的安全缺陷
计算机网络安全
共享密钥认证机制的安全缺陷;一次性密钥字典;完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有224,且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的ICV。
无线局域网安全技术
三、开放带来的安全问题和解决思路
计算机网络安全
安全问题频段开放性和空间开放性会带来以下安全问题。信道干扰;嗅探和流量分析;重放攻击;数据篡改;伪造AP。
无线局域网安全技术
三、开放带来的安全问题和解决思路
2.解决思路(1)接入控制对无线终端实施接入控制,保证只有授权终端才能与AP进行通信,并通过AP访问内部网络。
WEP加密过程
计算机网络安全
无线局域网安全技术
一、WEP加密和完整性检测过程
WEP解密过程用发送端以明文传输的IV和接收端保留的密钥构成伪随机数种子,产生一次性密钥,如果接收端保留的密钥和发送端相同,则接收端产生和发送端相同的一次性密钥;用和密文相同长度的一次性密钥异或密文,得到数据和4字节的ICV;根据数据计算出循环冗余检验码,并与ICV比较,如果相同,表明数据传输过程未被篡改。
计算机网络安全
无线局域网安全技术
五、关联的接入控制功能
建立关联过程建立关联过程中,终端和AP完成物理层协议、信道、传输速率的同步过程;建立关联过程中,AP完成对终端的认证;建立关联后,终端的MAC地址将记录在关联表中,AP只接收、发送源或目的MAC地址在关联表中的MAC帧。这些意味着一旦终端和AP建立关联,AP已经完成对终端的接入控制过程。
计算机网络安全
无线局域网安全技术
六、 WEP的安全缺陷
计算机网络安全
共享密钥认证机制的安全缺陷;一次性密钥字典;完整性检测缺陷。WEP安全缺陷起因于以下几点:一是一次性密 钥和初始向量一一对应,发送端通过明文传输初始向量,且密文和明文的异或操作结果即是一次性密钥;二是一次性密钥的空间只有224,且伪随机数生成器根据伪随机数种子生成一次性密钥机制使得各个一次性密钥之间存在相关性;三是用循环冗余检验码作为完整性检测码,容易实现同时篡改密文和加密后的ICV。
组网技术与配置第2版第10章
要想访问代理服务器,要在浏览器的选项配置中设置代理服 务器的参数,例如IP地址等内容。
①右击桌面上IE图标,在弹出的菜单中选择【属性】,出现 【Internet属性】对话框,选择【连接】选项卡。
②单击【局域网设置】按钮,出现如图7.5所示对话框。
③输入代理服务器的IP地址和端口数据,单击【高级】按钮, 出现如图7.6所示对话框。
③仅仅解决了内部网络的安全访问控制问题,没有从根本上解决 整个Internet网络上的传输信息安全问题,而这些只能依靠密码技 术解决
④无法防火墙以外的其它途径的攻击,例如,内网有一个没有限 制的拨号连接存在,内网上的用户就可以直接通过PPP接入 Internet
⑤不能防止来自内网用户带来的威胁
10.1.5 防火墙的结构
10.1.2 网络安全的层次划分
国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次
10.1.3 Internet的网络安全层次
网络安全的6个层次
10.1.4 网络防火墙技术
⑴防火墙所起的作用
①限制访问者进入一个被严格控制的点
②防止进攻者接近受到保护的设备
③限制人们离开一个严格控制的点。从逻辑上说,防火墙是一 个分离器,是一个限制器,是一个分析器。
10.2.2 Intranet的专用IP地址
Internet 的NIC(Network Information Center)为了组建Intranet (也称为内网)的方便,规定了Intranet专用IP地址的三个地址 范围用于Intranet IP地址的使用:
⑴A类地址范围10.0.0.0-10.255.255.255
第10章 提要
对防火墙技术进行分析和讨论,企业网主要是采用防火墙技术 进行安全防护,防火墙的结构有哪些,各有什么特点,一般采 用什么结构?
①右击桌面上IE图标,在弹出的菜单中选择【属性】,出现 【Internet属性】对话框,选择【连接】选项卡。
②单击【局域网设置】按钮,出现如图7.5所示对话框。
③输入代理服务器的IP地址和端口数据,单击【高级】按钮, 出现如图7.6所示对话框。
③仅仅解决了内部网络的安全访问控制问题,没有从根本上解决 整个Internet网络上的传输信息安全问题,而这些只能依靠密码技 术解决
④无法防火墙以外的其它途径的攻击,例如,内网有一个没有限 制的拨号连接存在,内网上的用户就可以直接通过PPP接入 Internet
⑤不能防止来自内网用户带来的威胁
10.1.5 防火墙的结构
10.1.2 网络安全的层次划分
国际标准ISO 7498-2定义了OSI安全体系结构的网络安全层次
10.1.3 Internet的网络安全层次
网络安全的6个层次
10.1.4 网络防火墙技术
⑴防火墙所起的作用
①限制访问者进入一个被严格控制的点
②防止进攻者接近受到保护的设备
③限制人们离开一个严格控制的点。从逻辑上说,防火墙是一 个分离器,是一个限制器,是一个分析器。
10.2.2 Intranet的专用IP地址
Internet 的NIC(Network Information Center)为了组建Intranet (也称为内网)的方便,规定了Intranet专用IP地址的三个地址 范围用于Intranet IP地址的使用:
⑴A类地址范围10.0.0.0-10.255.255.255
第10章 提要
对防火墙技术进行分析和讨论,企业网主要是采用防火墙技术 进行安全防护,防火墙的结构有哪些,各有什么特点,一般采 用什么结构?
路由与交换技术 PPT课件
Switch3550(config)#ip route 0.0.0.0 0.0.0.0 10.10.11.1
内容概要
❖ 二层交换技术 ❖ VLAN ❖ 路由技术 ❖ 多层交换技术 ❖ 网络地址转换(NAT) ❖ 移动Ad hoc网络路由技术简介
路由基本概念
路由是把数据从一个网络转发到另一个网络的过程, 完成这个过程的设备就是路由器
选举根端口:比较从各端口到达根桥的路径花费,最小的为根端口 选举指定端口:比较网段中各端口到达根桥的路径花费,最小的为
指定端口 路径花费相同则比较转发根桥BPDU的交换机ID;如ID同,比较端
口优先级,如端口优先级同,比较端口ID
选举根桥 选举根端口 选举指定端口
生成树协议-例
内容概要
上,但它们之间的通信就像在同一个物理网段上一 样; ❖ 一个VLAN就好像是一个孤立的网段,VLAN间不能 直接通信,实现VLAN间互联必须借助于路由器(或 具有三层交换功能的交换机)。
VLAN
• 广播控制 • 安全性 • 灵活性
VLAN分类
根据使用和管理VLAN的不同情况,VLAN分为两种: 静态VLAN和动态VLAN。
路由与交换技术
主讲人:姜少杰 jiangsj@
内容概要
❖ 二层交换技术 ❖ VLAN ❖ 路由技术 ❖ 多层交换技术 ❖ 网络地址转换(NAT) ❖ 移动Ad hoc网络路由技术简介
二层交换机的功能
地址学习 转发/过滤决定 避免环路
基本交换原理-mac地址表
交换机初始化时MAC地址表是空的。
生成树协议-术语
根桥:桥ID最低。网络中,所有决定(如哪一个端口要被阻塞,哪一个 端口要被置为转发模式)都是根据根桥的判断来做出选择。
内容概要
❖ 二层交换技术 ❖ VLAN ❖ 路由技术 ❖ 多层交换技术 ❖ 网络地址转换(NAT) ❖ 移动Ad hoc网络路由技术简介
路由基本概念
路由是把数据从一个网络转发到另一个网络的过程, 完成这个过程的设备就是路由器
选举根端口:比较从各端口到达根桥的路径花费,最小的为根端口 选举指定端口:比较网段中各端口到达根桥的路径花费,最小的为
指定端口 路径花费相同则比较转发根桥BPDU的交换机ID;如ID同,比较端
口优先级,如端口优先级同,比较端口ID
选举根桥 选举根端口 选举指定端口
生成树协议-例
内容概要
上,但它们之间的通信就像在同一个物理网段上一 样; ❖ 一个VLAN就好像是一个孤立的网段,VLAN间不能 直接通信,实现VLAN间互联必须借助于路由器(或 具有三层交换功能的交换机)。
VLAN
• 广播控制 • 安全性 • 灵活性
VLAN分类
根据使用和管理VLAN的不同情况,VLAN分为两种: 静态VLAN和动态VLAN。
路由与交换技术
主讲人:姜少杰 jiangsj@
内容概要
❖ 二层交换技术 ❖ VLAN ❖ 路由技术 ❖ 多层交换技术 ❖ 网络地址转换(NAT) ❖ 移动Ad hoc网络路由技术简介
二层交换机的功能
地址学习 转发/过滤决定 避免环路
基本交换原理-mac地址表
交换机初始化时MAC地址表是空的。
生成树协议-术语
根桥:桥ID最低。网络中,所有决定(如哪一个端口要被阻塞,哪一个 端口要被置为转发模式)都是根据根桥的判断来做出选择。
沈鑫剡编著《路由和交换技术》部分习题答案
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载沈鑫剡编著《路由和交换技术》部分习题答案地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容部分习题答案第1章1.9传播时延t=1/(200000)=5×10-6s,最短帧长M=2t×传输速率=2×5×10-6×109=10000bit。
1.10 基本时间是冲突域中距离最远的两个终端的往返时延,10Mbps时是51.2s,100Mbps时是5.12s,因此,当选择随机数100时,10Mbps时的等待时间=100×51.2s,100Mbps时的等待时间=100×5.12s。
终端A和B同时发送数据终端A和B同时检测到冲突终端A和B同时发送完干扰信号终端A发送数据终端A发送的数据到达终端B终端B开始检测总线状态225bit时间225+48=273 bit时间273+512=785 bit时间273+225+96=594 bit时间594+225=819 bit时间总线持续空闲前提下终端B发送数据时间7854+96=881 bit时间1.11题1.11图终端A在594bit时间,终端B在889bit时间重传数据帧。
终端A重传的数据819bit时间到达终端B。
不会,因为,终端B只有在785bit时间~881bit时间段内一直检测到总线空闲才发送数据,但819bit时间起,总线处于忙状态。
不是,要求持续96bit时间检测到总线空闲。
1.12 ①1Mbps。
②10Mbps。
③10Mbps。
1.13思路:当终端D传输完成后,由于终端A、B和C同时检测到总线空闲,第一次传输肯定发生冲突。
随机产生后退时间后,如果有两个终端选择随机数0,又立即发生冲突,如果两个终端选择随机数1,在选择0的终端传输完成后,这两个终端又将再次发生冲突,重新选择后退时间。
沈鑫剡编著(网络安全)教材配套课件第10章
虚拟专用网络
三、 VPN分类
Web 服务器 HTTP HTTPS 终端 SSL VPN 网关 SMTP+POP3 FTP FTP 服务器 邮件服务器
SSL VPN
远程终端通过HTTPS访问SSL VPN网关。以此实现远程终端与SSL VPN网关之间 的双向身份鉴别,保证远程终端与SSL VPN网关之间传输的数据的保密性和完整性。 SSL VPN网关作为中继设备,可以将远程终端访问内部网络资源的请求消息转 发给内部网络中的服务器,也将内部网络服务器发送的响应消息,转发给远程终端。
缺点:互连子网的专用点 对点物理链路的低效率、 高费用和不方便。
计算机网络安全
虚拟专用网络
一、企业网和远程接入
Modem PSTN 终端
实现远程接入的网络结构
可以随时随地连接到PSTN ; 可以按需建立与路由器R之间的语音信 道。
R
内部网络
缺点:需要支付昂贵的长 途费用;语音信道利用率 不高;语音信道的数据传 输速率受到严格限制。
第一次交互过程双方约定安全传输通道使用的加密算法3DES和报文摘 要算法MD5,同时完成用于生成密钥种子KS的随机数YA和YB的交换过程。
第二次交互过程双方约定安全关联使用的安全协议ESP,ESP使用的加 密算法AES和MAC算法HMAC-MD5-96。同时通过证书和数字签名完成双方身 份鉴别过程。第二次交互过程双方传输的信息是用3DES加密算法和通过密 钥种子KS推导出的密钥K加密后的密文。
虚拟专用网络
三、 VPN分类
内部网络 Web 服务器
Internet 终端 SSL VPN 网关
邮件服务器
FTP 服务器
SSL VPN
SSLVPN也是一种实现远程终端访问内部网络资源的技术,SSL VPN的 核心设备是SSL VPN网关,SSL VPN网关一端连接互联网,另一端连接内 部网络。
沈鑫剡编著《路由和交换技术》(第2版)配套课件第6章
路由和交换技术
路由协议
一、RIP消息格式
接口地址 224.0.0.9 17 源 IP 目的 IP 协议 地址 地址 520 净荷 520 净荷 IP 分组 UDP 报文
源端 目的端 口号 口号 IP 地址 子网掩码 下一跳 距离 …
路由项 1
RIP 消息 R2 路由项 N
RIP消息封装为IP分组 过程
路由和交换技术
路由协议
一、路由协议分类
内部网关协议 用于建立自治系统内传输路径的路由协议 称作内部网关协议 外部网关协议 用于建立自治系统间传输路径的路由协议 称作外部网关协议
路由和交换技术
路由协议
一、路由协议分类
ASBR
AS IGP IGP EGP
互连网络分成多个自治系统; 用于建立自治系统内端到端路径的路由协议称为内部网关协议; 用于建立自治系统间端到端路径的路由协议称为外部网关协议。
三个路由器建立的链路 状态
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
R1 ACK R2
泛洪链路状态 建立前图所示的链路状态信息库
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
令D(v)为源结点(路由器R1)到达结点v的距离,它是从源 结点沿着某一路径到达结点v所经过的链路的代价之和, L(i,j)为结点i至结点j的距离。 ①以R1为树根,求出各个结点和根结点之间距离。 D(v)=L(R1,v) 若结点v与R1直接相连
2.路径距离 路径距离可以是传输路径经过的路由器跳数。 代价=108/带宽,路径距离等于传输路径经过的物理链路 的代价和。 路由协议要求代价必须是整数,当物理链路带宽大于 100Mbps时,需要为物理链路定义一个能够反映物理链路 带宽的代价值。
路由协议
一、RIP消息格式
接口地址 224.0.0.9 17 源 IP 目的 IP 协议 地址 地址 520 净荷 520 净荷 IP 分组 UDP 报文
源端 目的端 口号 口号 IP 地址 子网掩码 下一跳 距离 …
路由项 1
RIP 消息 R2 路由项 N
RIP消息封装为IP分组 过程
路由和交换技术
路由协议
一、路由协议分类
内部网关协议 用于建立自治系统内传输路径的路由协议 称作内部网关协议 外部网关协议 用于建立自治系统间传输路径的路由协议 称作外部网关协议
路由和交换技术
路由协议
一、路由协议分类
ASBR
AS IGP IGP EGP
互连网络分成多个自治系统; 用于建立自治系统内端到端路径的路由协议称为内部网关协议; 用于建立自治系统间端到端路径的路由协议称为外部网关协议。
三个路由器建立的链路 状态
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
R1 ACK R2
泛洪链路状态 建立前图所示的链路状态信息库
路由和交换技术
路由协议
1.链路状态路由协议建立路由表过程
令D(v)为源结点(路由器R1)到达结点v的距离,它是从源 结点沿着某一路径到达结点v所经过的链路的代价之和, L(i,j)为结点i至结点j的距离。 ①以R1为树根,求出各个结点和根结点之间距离。 D(v)=L(R1,v) 若结点v与R1直接相连
2.路径距离 路径距离可以是传输路径经过的路由器跳数。 代价=108/带宽,路径距离等于传输路径经过的物理链路 的代价和。 路由协议要求代价必须是整数,当物理链路带宽大于 100Mbps时,需要为物理链路定义一个能够反映物理链路 带宽的代价值。
沈鑫剡编著(网络安全)教材配套课件第11章
计算机网络安全
防火墙
五、防火墙的局限性
无法防御网络内部终端发起的攻击; 无法阻止病毒传播; 无法防御利用防火墙安全策略允许的信息传输过 程实施的攻击行为。
计算机网络安全
防火墙
11.2 分组过滤器
本讲主要内容 无状态分组过滤器; 有状态分组过滤器。
计算机网络安全
防火墙
一、无状态分组过滤器
防火墙的作用是控制网络1与网络2之间传输的信息流, 所谓控制是指允许网络1与网络2之间传输某种类型的信息流, 阻断另一种类型的信息流网络1与网络2之间的传输过程。允 许和阻断操作的依据是为防火墙配置的安全策略。
计算机网络安全
防火墙
三、防火墙分类
防火墙
个人防火墙
网络防火墙
分组过滤器
分组过滤器电路层代理Biblioteka 计算机网络安全防火墙
一、引出防火墙的原因
数据交换过程 Internet 路由器 数据交 换过程 用户终端 黑客终端
内部网络
安全的网络系统既要能够保障正常的数据交换过程,又 要能够阻止用于实施攻击的数据交换过程。 防火墙一是能够检测出用于实施攻击的信息流,并阻断 这样的信息流。二是能够允许正常信息流通过。
计算机网络安全
防火墙
一、无状态分组过滤器
路由器R1接口1输入方向的过滤规则集如下。 ①协议类型=TCP,源IP地址=192.1.1.1/32,源端口号=*, 目的IP地址=192.1.2.7/32,目的端口号=80;正常转发。 ②协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=21, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ③协议类型=TCP,源IP地址=192.1.1.7/32,源端口号=20, 目的IP地址=192.1.2.1/32,目的端口号=*;正常转发。 ④协议类型=*,源IP地址=any,目的IP地址=any;丢弃。
沈鑫剡编著(网络安全)教材配套课件第2章
计算机网络安全
黑客攻击机制
一、 嗅探攻击原理和后果
2.嗅探攻击后果 嗅探攻击后果有以下三点。一是破坏
信息的保密性。二是嗅探攻击是实现数据 流分析攻击的前提。三是实施重放攻击。
计算机网络安全
黑客攻击机制
二、集线器和嗅探攻击
集线器
终端 A 终端 B 黑客终端 :终端 A 至终端 B 的 MAC 帧
由于集线器接收到 MAC帧后,通过除接收端 口以外的所有其他端口输 出该MAC帧,因此,在有 黑客终端接入集线器的情 况下,集线器完成终端A 至终端B的MAC帧传输过程 的同时,将该MAC帧传输 给黑客终端。
网络安全
第二章
© 2006工程兵工程学院 计算机教研室
第2章网络攻击
本章主要内容 网络攻击定义和分类; 嗅探攻击; 截获攻击; 拒绝服务攻击; 欺骗攻击; 非法接入和登录; 黑客入侵; 病毒。
黑客攻击机制
计算机网络安全
黑客攻击机制
2.1 网络攻击定义和分类
本讲主要内容 网络攻击定义; 网络攻击分类。
对于无线通信过程,嗅探攻击是无法避免 的,这种情况下,需要对传输的信息进行加密, 使得黑客终端即使嗅探到信息,也因为无法对 信息解密而无法破坏信息的保密性。
计算内容 截获攻击原理和后果; MAC地址欺骗攻击; DHCP欺骗攻击; ARP欺骗攻击; 生成树欺骗攻击; 路由项欺骗攻击。
3 2
1 3 MAC C
1
终端 A 终端 B 终端 C 黑客终端 MAC A MAC B MAC C MAC A
一是接入以太 网,黑客终端通过 连接到交换机S3的 端口3接入以太网。 二是将自己的MAC 地址修改为终端A 的MAC地址MAC A。 三是发送以MAC A 为源MAC地址、以 广播地址为目的 MAC地址的MAC帧。
沈鑫剡编著(网络安全)教材配套课件第5章(10页)
计算机网络安全
3.证书和私钥证书可以证明主体x与公钥PK之间的绑定关系,如果主体x能够证明自己知道与公钥PK对应的私钥SK,就能证明自己是主体x。
网络安全基础
三、单向鉴别过程
1.基于共享密钥主体A只需证明自己知道共享密钥K,即可证明自己身份。
计算机网络安全
网络安全基础
三、单向鉴别过程
2.基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(1) PPP帧结构
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(2)用户身份鉴别协议用用户名和口令标识用户身份;身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令;CHAP防止泄露口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
2.基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令,还需对方证明知道该用户名对应的口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
3.基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明,且用户A和用户B能够证明自己知道公钥对应的私钥。
计算机网络安全
网络安全基础
三、单向鉴别过程
3.基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
1.基于共享密钥每一方不仅需要证明自己知道共享密钥,还需证明对方知道共享密钥。
3.证书和私钥证书可以证明主体x与公钥PK之间的绑定关系,如果主体x能够证明自己知道与公钥PK对应的私钥SK,就能证明自己是主体x。
网络安全基础
三、单向鉴别过程
1.基于共享密钥主体A只需证明自己知道共享密钥K,即可证明自己身份。
计算机网络安全
网络安全基础
三、单向鉴别过程
2.基于用户名和口令主体A只需证明自己知道某个授权用户对应的用户名和口令,即可证明自己身份。
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(1) PPP帧结构
计算机网络安全
网络安全基础
二、 PPP与接入控制过程
2.与接入控制相关的协议
(2)用户身份鉴别协议用用户名和口令标识用户身份;身份鉴别过程需要向接入控制设备证明自己知道某个授权用户对应的用户名和口令;CHAP防止泄露口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
2.基于用户名和口令用户A不仅需要证明自己知道某个授权用户对应的用户名和口令,还需对方证明知道该用户名对应的口令。
计算机网络安全
网络安全基础
四、双向鉴别过程
3.基于证书和私钥用户A和用户B与各自公钥之间的绑定得到权威机构证明,且用户A和用户B能够证明自己知道公钥对应的私钥。
计算机网络安全
网络安全基础
三、单向鉴别过程
3.基于证书和私钥主体A与公钥PKA之间的绑定已经得到权威结构证明,主体A只要证明自己知道PKA对应的私钥 SKA,即可证明自己身份。
计算机网络安全
网络安全基础
四、双向鉴别过程
1.基于共享密钥每一方不仅需要证明自己知道共享密钥,还需证明对方知道共享密钥。
沈鑫剡编著网络安全教材配套PPT课件
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
病入毒侵防防御御技系术统
三、病毒隐藏和运行
2.病毒激发机制 嵌入BIOS和引导区; 病毒程序作为自启动项; 修改名字。
计算机网络安全
病入毒侵防防御御技系术统
四、病毒感染和传播
病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,PE病毒感染PE格式文件,宏病毒感染 Office文档,脚本病毒感染HTML文档。蠕虫病毒自动完成 传播过程。
计算机网络安全
病入毒侵防防御御技系术统
三、病毒隐藏和运行
1.病毒首次运行过程 (1)U盘AutoRun病毒
修改U盘的AutoRun.inf文件,将病毒程序作为双击U盘 后执行的程序。如果已经启动Windows 的自动播放功能, 当用户打开该U盘时,首先执行病毒程序。 (2)宏病毒
用Office软件打开包含宏病毒的Office文档时,才能执 行包含在Office文档中的宏病毒。 (3)脚本病毒
计算机网络安全
病入毒侵防防御御技系术统
一、病毒存在形式
病毒可以是一段寄生在其他程序和文件中的恶 意代码,也可以是一个完整的程序。 寄生病毒
脚本病毒 宏病毒 PE病毒
非寄生病毒
计算机网络安全
病入毒侵防防御御技系术统
二、病毒植入方式
对于寄生病毒,病毒植入是指将包含病毒的宿主程序 或宿主文件传输到主机系统中的过程。对于非寄生病毒, 病毒植入是指将独立、完整的病毒程序传输到主机系统中 的过程。 移动媒体 访问网页 下载实用程序 下载和复制Office文档 邮件附件 黑客上传 蠕虫蔓延
①
黑客终端 启动木马 客户端程序
黑客终端 ③ 客户端出现特 定图标,双击 图标,弹出资 源管理界面
(1)木马病毒结构及功能
路由交换图-路由和交换技术(第2版)-沈鑫剡-清华大学出版社
匹配阻抗中继器 时钟周期发送 时钟 发送 数据 NRZ 1 1 0 0 1 0 1NRZI 4 终端A MAC A 终端B MAC B 终端C MAC C 终端D MAC D 终端E MAC E 终端F MAC F 1 2 3 1 2 3 1 2 3S1 S2S3MAC 地址 转发端口 MAC A 1 MAC B 2 MAC C 3 MAC D 3MAC E 3MAC F 3 S1转发表MAC 地址 转发端口MAC A 3MAC B 3MAC C 1 MAC D 2MAC E 3 MAC F 3S3转发表 MAC 地址 转发端口MAC A 1MAC B 1MAC C 2 MAC D 2MAC E 4MAC F 3 S2转发表 网桥 终端 网桥终端 阻塞端口 阻塞端口链路故障 信号2 二进制位流信号1 信道1 信道2 物理层2 物理层1 MAC 层终端 A 总线 控制器 终端B 总线 控制器 总线 仲裁器 MAC 地址表…端口 1 端口7 DBCB 4 管理器终端A总线 控制器终端B 总线 控制器总线仲裁器 MAC地址表 … 端口1 端口7 DBCBRB交叉矩阵管理器终端A 终端B C D E F HUB 网桥12 13 4终端A 终端B MAC A MAC B MAC C C 1 2 网桥21 3 4 D E MAC D MAC E MAC F2 F 网桥3 MAC B 端口2 网桥1转发表广播域 广播域交换机路由器端口 VLAN ID 端口1 VLAN 2 端口2 VLAN 3 端口3 VLAN 4 端口4 VLAN 3 端口5 VLAN 4 端口6 VLAN 2MAC 地址 VLAN ID MAC A VLAN 2 MAC B VLAN 3 MAC C VLAN 4 MAC D VLAN 3 MAC E VLAN 4 MAC F VLAN 2 网络协议 VLAN ID IP VLAN 2 IPX VLAN 3 网络地址 VLAN ID 192.1.1.0/24VLAN 2S1 S2 S3 14 1414VLAN 2 VLAN 3 VLAN 4终端A终端B终端C终端D终端F123456交换机VLAN 2VLAN 3 VLAN 4192.1.2.0/24 VLAN 3 192.1.3.0/24 VLAN 4 192.1.4.0/24 VLAN 5 192.1.5.0/24 VLAN 6 192.1.6.0/24 VLAN 7输入端口输出端口孤立端口团体端口 混杂端口 共享端口 孤立端口禁止禁止允许(如果混杂端口是共享端口,携带主VLAN 对应的VLAN ID 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPv6
二、复杂的分组首部
随着链路带宽的提高,结点转发操作已经 成为性能瓶颈; 每一个转发结点需要重新计算检验和; 每一个转发结点需要处理可选项。
路由和交换技术
IPv6
三、QoS实现困难
没有单独的流标识字段,需要通过源和目 的IP地址、源和目的端口号确定属于同一 流的IP分组; 流分类由转发结点完成,增加了转发结点 的处理负担。
路由和交换技术
IPv6
二、IPv6地址分类
10bit 1111111010 54bit 0 64bit 接口标识符
链路本地地址
128bit地址长度为IPv6地址分类提供了方便; 链路本地地址是传输网络内有效的地址,只能用 于同一传输网络内两个端点之间的IPv6分组的传 输; 链路本地地址能够通过链路层地址,如 MAC地址, 自动生成。
路由和交换技术
IPv6
10.4 IPv6网络实现通信过程
本讲主要内容 网络结构和基本配置; 邻站发现协议; 路由器建立路由表过程。
路由和交换技术
IPv6
一、网络结构和基本配置
路由器 R1 路由表 目的网络 距离 下一跳路由器 转发端口 2001::/64 1 直接 1 2002::/64 2 FE80::2E0:FCFF:FE00:3 2 2001::1/64 2 1 R1 路由器 R2 路由表 目的网络 距离 下一跳路由器 转发端口 2001::/64 2 FE80::2E0:FCFF:FE00:2 1 2002::/64 1 直接 2 1 R2 2002::1/64 2
路由和交换技术
IPv6
二、IPv6地址分类
MAC地址为0012:3400:ABCD
00000000 00010010 00110100 00000000 10101011 11001101 00000010 00010010 00110100 11111111 11111110 00000000 10101011 11001101
路由和交换技术
IPv6
二、IPv6扩展首部
下一个首部 保留 标识符 片偏移 保留 M
分片扩展首部
1500 800 L=376 NH=44 L=376 NH=44 L=376 NH=44 L=344 NH=44 NH=6 O=0 NH=6 O=46 NH=6 O=92 NH=6 O=138 ID=111 M=1 ID=111 M=1 ID=111 M=1 ID=111 M=0 L=376 NH=44 L=376 NH=44 L=376 NH=44 L=344 NH=44 NH=6 O=0 NH=6 O=46 NH=6 O=92 NH=6 O=138 420 ID=111 M=1 ID=111 M=1 ID=111 M=1 ID=111 M=0
IPv6分片过程
路由和交换技术
IPv6
10.3 IPv6地址结构
本讲主要内容 IPv6地址表示方式; IPv6地址分类。
路由和交换技术
IPv6
一、IPv6地址表示方式
基本表示 128bit以16位为单位分段,每一段用4位 十六进制数表示,各段用冒号分隔 ; 地址基本表示实例。
2001:0000:0000:0410:0000:0000:0001:45FF 0000:0000:0000:0000:0001:0765:0000:7627
数据 00E0:FC00:0005 路由器请求
目的 IP ① 地址 源 IP 地址 FF02::2 FE80::2E0:FCFF:FE00:5 终端的 MAC 地址 终端 A FE80::2E0:FCFF:FE00:5 终端接口的全球地址 2001::2E0:FCFF:FE00:5 ③ 默认路由器地址 FE80::2E0:FCFF:FE00:1
重复地址检测就 是检测是否存在 相同接口标识符 的两个以上接口, 目的地址是一个 包含可能有着相 同接口标识符的 所有接口的组播 地址。
链路本地地址 默认路由器地址
路由器必须 建立用于指 明通往各个 网络的传输 路径的路由 项
终端之间传输IPv6分组 前,终端必须配置全球 IP地址和默认网关地址 终端配置 路由器路由表
终端 A 全球地址 2001::2E0:FCFF:FE00: 5 链路本地地址 FE80::2E0:FCFF:FE00: 5 MAC 地址 00E0:FC00:0005
L=1440 NH=6 L=376 NH=44 L=376 NH=44 L=376 NH=44 L=344 NH=44 NH=6 O=0 NH=6 O=46 NH=6 O=92 NH=6 O=138 ID=111 M=1 ID=111 M=1 ID=111 M=1 ID=111 M=0
L:净荷长度 ID:标识符 O:片偏移 M:M 标志位 NH:下一个首部
路由和交换技术
IPv6
四、安全机制先天不足
IPv4以实现通信为原旨; 存在ARP欺骗; 存在源IP地址欺骗。
路由和交换技术
IPv6
10.2 IPv6首部结构
本讲主要内容 IPv6基本首部; IPv6扩展首部。
路由和交换技术
IPv6
一、IPv6基本首部
版本 信息流类别 净荷长度 IPv6 基本首部 (40 字节) 流标签 下一个首部 源地址 跳数限制
路由和交换技术
IPv6
二、IPv6地址分类
48bit 全球路由前缀 16bit 子网标识符 64bit 接口标识符
可聚合全球单播地址
为了减少路由项,要求同一地区的网络分配相同 前缀的网络地址; 全球单播地址结构就是为了实现这一分配原则; 路由项中的目的网络字段仍然以网络地址/前缀表 示,因此,这是分配结构,不是路由结构。
路由器接口配置全球IP地址,自动生成链路本地地址; 终端自动生成链路本地地址; 终端组播路由器请求,接收方是全部路由器,给出终端链路本地地址和MAC地 址对; 路由器发送路由器通告,给出网络前缀和路由器链路本地地址和MAC地址对; 终端生成全球IP地址和默认网关地址及默认网关地址对应的MAC地址。 路由和交换技术
IPv6
二、IPv6扩展首部
上层 PDU
扩展首部 是净一 部分; 通过下一 首部字段 指明串接 在一起的 多个扩展 首部。
下一个首部=6 (TCP) IPv6 基本首部
TCP 报文 IPv6 净荷 (a)无扩展首部
上层 PDU 路由扩展首部 下一个首部=43 下一个首部=6 TCP 报文 (路由) (TCP) IPv6 基本首部 IPv6 净荷 (b)单个扩展首部 路由扩展首部 分片扩展首部 下一个首部=43 下一个首部=44 下一个首部=6 (路由) (分片) (TCP) IPv6 基本首部 IPv6 净荷 (c)两个扩展首部 上层 PDU TCP 报文
路由和交换技术
IPv6
一、IPv6地址表示方式
压缩表示 去掉不必要的0 2001:0:0:410:0:0:1:45FF 0:0:0:0:1:765:0:7627 0压缩表示 2001::410:0:0:1:45FF ::1:765:0:7627
路由和交换技术
IPv6
一、IPv6地址表示方式
特殊地址 ::FFFF:192.167.12.16 ::FFFF:0:192.167.12.16 环回地址 ::1 未确定地址 全0地址(表示成::) 地址前缀 IPv6地址/前缀长度 完整的IPv6地址,前缀长度0~128 ::FE80:0: 0: 0/68 ::1:765:0:7627/60 2001:0000:0000:0410:0000:0000:0001:45FF/64
路由和交换技术(第2版)
第十章
© 2006工程兵工程学院 计算机教研室
IPv6
第10章 IPv6
本章主要内容 IPv4的缺陷; IPv6首部结构; IPv6地址结构; IPv6网络实现通信过程; IPv6 over 以太网; IPv6网络和IPv4网络互连。
路由和交换技术
IPv6
路由和交换技术
IPv6
二、IPv6地址分类
4bit 4bit 11111111 标志 范围 8bit 80bit 0 32bit 组标识符
组播地址结构
4位标志位中的前3位固定为0 ,最后1位为0表示是著名组播 地址,为1表示是临时组播地址; 范围取值如下 2:链路本地范围 5:站点本地范围 8:组织本地范围 E:全球范围 组标识符:标识组播组。
路由和交换技术
IPv6
二、IPv6地址分类
10bit 1111111011 38bit 0 16bit 子网标识符 64bit 接口标识符
站点本地地址结构
站点本地地址相当于IPv4的私有地址; IPv4为了不使私有地址和全球地址相同, 给出了全球地址不分配的IP地址空间; IPv6大地址空间为为地址分类提供了方便。
终端 B 2002::2E0:FCFF:FE00: 6 FE80::2E0:FCFF:FE00: 6 00E0:FC00:0006
路由和交换技术
IPv6
一、网络结构和基本配置
在IPv4网络中,手工配置路由器接口地址,终端接口的IPv4地 址和默认路由器地址可以手工配置,也可通过动态主机配置协议 (DHCP)自动获取。路由器中的路由表通过路由协议动态建立。 在IPv6网络中,可以为路由器接口配置多种类型的地址,其中 一种是全球地址,需要手工配置。其中另一种是链路本地地址,在 指定某个接口为IPv6接口后,由路由器自动生成。终端接口也有多 种类型的接口地址,其中一种是全球地址,用于向其他网络中的终 端传输数据。其中另一种是只在终端接口所连接的传输网络内作用 的链路本地地址,在指定终端接口为IPv6接口后,由终端自动生成。 终端接口的全球地址和默认路由器地址与IPv4网络一样,可以手工 配置,也可以通过DHCP自动获取。