IP版本:表明所使用的IP包的版本。值4表明IP版本4,这是现今使用的最普遍的版本。6的值表明新的IP版本6,开始更广泛地部署(和可能在未来将主导IPv4)。
IP报头长度:显示标题长度在32位字。典型的IPv4数据包报头长度为20个字节的值5,五个32位(4字节)单词含义。回想一下,IPv4头不是固定长度。它有一个最小长度为20个字节(5)的IP报头长度值,但当包括IP选项,最大长度为60个字节(值为15日或0 x0f)表示。
-
注意:从历史上看,IPv4的变长头大小包一直有问题,路由和安全原因。值得注意的是,IPv6的固定长度的头大小40字节并没有相应的标题长度字段。简化的IPv6固定长度的头是为了速度处理和解决的许多安全问题与IPv4头相关选项。
类型的服务(ToS):指定一个上层协议将如何像数据包排队和处理网络元素通过网络转发(如果是这样配置的)。这通常是设置为零(0),但可能被分配一个不同的值来表示另一个层面的重要性。
总长度:指定的长度,以字节为单位,整个IP包,包括数据和IP报头。
标识:包含一个整数,识别当前的数据报。这个领域是分散的数据报的重新组装期间使用。
国旗:由一个3-bit领域,两个低阶(最低)的控制碎片。不使用高阶(第一个)位,必须设置为0。中间(第二次)“别片段”(DF)位指定是否允许数据包是支离破碎(0 =碎片允许,1 =碎片不允许)。低阶的(第三个)“碎片”(MF)指定数据包是否最后一个片段在一系列支离破碎的数据包(设置为1对所有碎片,除了最后一个,告诉端站的片段是最后一个)。
分段偏移:提供位置(偏移量),在字节,片段的数据相对于原始数据报中的数据,它允许目的地IP过程正确重建原始数据报。
生存时间(TTL):指定的最大数量的链接(也称为“跳”)的包可能是路由。此计数器递减是一个由每个路由器处理数据包转发时向目的地。TTL值达到0时,数据报就会被丢弃。这可以防止数据包循环不断,否则发生在偶然的路由迴圈,例如。
协议:表明,上层协议IP处理完成后接收传入的数据包。通常,这表明负载的类型由IP。例如,值为- 1指示IP承载着一个ICMP数据包,6表示一个TCP段,和17表明一个UDP数据包是由IP。
头校验和:1的称赞散列,插入由发送者和更新每个路由器修改数据包转发时它向目的地(这基本上意味着每个路由器,因为至少,TTL值修改每一跳)。头校验和用于检测错误可能引入的遍历网络数据包。包与一个无效的校验和必须被丢弃任何接收节点的网络。
源地址:指定的唯一的IP地址发送节点(发起人的IP数据包)。
目的地址:指定的接收节点的IP地址(包)的最终目的地。
IP选项:允许IP支持各种选项,如时间戳,记录路线,路线和严格的来源。IP选项并不是通常使用的。
由IP包的数据,包括任何额外的上层头信息(例如,如TCP或UDP),遵循这个IP报头。更详细的查看IP的协议头,TCP, UDP, ICMP是包含在附录B中,“IP协议头。”Appendix B also provides a short discussion on how some of these header values are manipulated for malicious intent and what the security implications may be.
注意:网络安全专家必须非常精通IP协议头结构,选择,操作和操作。这些知识需要理解和减轻对IP网络的潜在威胁。在第二章综述了威胁,威胁模型对于IP网络,和技术来降低风险的攻击在第二部分进行了综述。许多优秀的引用重要详细地讨论IP协议操作。一个很好的信息来源TCP / IP了,卷1。这和其他参考资料中列出的“进一步的阅读“本章结尾部分。
IP转发是基于目的地址的IP报头,和路由器的设备执行destination-based IP网络中转发。也影响路由IP选项。下游路由器是一种网络设备,将数据包转发到目标目的地。它使其转发决策基于直接连接网络和网络的知识发现与其他路由器通过路由协议操作。路由器可能由许多网络接口,提供连接到其他的网络实体,包括路由器、主机网段,等等。你学习本节开始时,所有网络基本上有两种类型的数据包,数据包和控制数据包。你也知道IP网络有两种常见的数据包管(换句话说,“带内”)。因此,路由器必须看每一个数据包进入一个界面和决定什么类型的包是数据或控制应用适当的组织流程,每个包在此基础上的决心。了解路由器的细节执行该操作是分离的关键概念和获得IP网络流量的飞机。
数据包属于客户,客户应用程序流量。控制数据包属于网络,网络运营和管理交通。控制数据包被各种路由器函数用来创建和维护必要的情报网络和路由器的状态的接口。IP路由协议提供了一个框架,用来收集情报。数据处理和转发数据包的路由器使用创建的智能和网络状态控制数据包。两个函数必须通过网络中的每一台路由器,和协调的方式。尽管IP网络携带包带内,它仍然是有可能的,甚至比以往任何时候都更加重要,区分各种类型的数据包被网络运输。
所以路由器如何决定什么样的包receiving-essentially,无论是数据包或控制包?一般来说,这个决定是在一开始就通过观察IP报头中的目的地址。如果数据包的目的地址是为了终止网络上的路由器每一设备上至少有一个IP地址的own-then最有可能是控制包。如果数据包的目的地址是转发了一个路由器的接口向外部目的地(从一个单独的路由器)的角度,然后本地路由器将它作为数据平面包(尽管它可能是一个控制数据包下游路由器。)为什么这个问题是路由器转发数据包的优化。控制包,在正常情况下,形成一个小比例的数据包由路由器来处理。路由器如何处理各种数据包类型是IP流量概念部分在本章中讨论。你将学习,这些处理差异往往对网络安全产生深远的影响。第二章更详细地讨论这些概念。
IP流量概念
你只知道IP连接,在独立的可路由的IP封装数据单元称为数据包。每个包包含一个IP报头包含信息(如源地址和目的地址)时所使用的路由器转发决策。您还了解了如何IP传输带内的一切。控制和数据包到达一个公共接口,由同一个路由器,但明显不同的目的。最后,您学习了,在一个简化的方式,路由器处理每个数据包根据其目的地址。从任何一个路由器的角度来看,如果一个数据包的目的地路由器本身,它是最有可能的控制包,如果目的地是网络中的其他地方,它都被视为一个数据包转发。当然,这是一个非常IP网络操作的简化视图。实现一个完整的了解IP流量平面分离和控制影响IP网络安全需要更深入的调查网络和路由器操作。
见图1 - 5,一个路由器参与更大的网络环境,甚至互联网。本身,因此,单独的路由器可能或可能不理解上下文的每个IP数据包处理(换句话说,在飞机IP流量包所属)。相关的从每个路由器的角度来看,此刻它是处理任何个人包,IP交通类型它是看。的概念交通的飞机是一个逻辑,而不是一种物理现象。的概念交通类型是一个真正的人,是本节的重点。
路由器如何处理不同的分组类型必须完全理解。为什么路由器处理一些不同于其他数据包?差异所带来的安全影响是什么?这些概念需要一个更深入的理解为三大类:交通、接收、和异常数据包。
IP网络的角度
交通IP数据包
IP网络的建立是用来结束主机之间转发数据包。什么路由器,主要是把包在一个界面,查看IP报头中的目标字段,寻找一个与目的地网络路由表(由控制飞机!),和转发数据包适当的接口,包一个跳接近其最终目的地。
在传输数据包的情况下,目标网络从路由器。也就是说,不拥有的IP地址特定的路由器处理包,而是网络中其他地方。目的地可以直接连接在一个子网(LAN),也可以是许多下游跳走了。关键是包并不是注定的来这个路由器,但更准确地说,通过这个路由器。因此,当一个路由器看到运输包,决定它是转发数据包的接口。路由器通常使用专门的转发硬件和算法来完成这个尽快转发功能。更多细节在路由器转发架构讨论的“一般IP路由器体系结构类型”这一章的部分。
你应该注意,这里没有显式或隐式声明什么IP流量飞机这些运输包的一部分。从一个路由器,运输包可能是任何IP流量的飞机,您很快就会看到。考虑管理会话的例子Secure Shell (SSH)客户端之间的网络运营中心(NOC)和一个路由器在网络的核心。管理会话数据包遍历许多路由器在目的地路由器。因此,他们根据每个路由器传输数据包沿着路径,直到他们达到最终的核心路由器。在最后的路由器,他们不再传输数据包,但收到或receive-adjacency包。(参见下一节)。然而,正如您将学习不久,很明显从逻辑的角度来说,这些包的一部分管理平面从交通平面的角度来看。
Receive-Adjacency IP数据包
IP数据包到达路由器,注定一个IP地址拥有由路由器本身被称为最后的目的地receive-adjacency包。
注意:这个词收到包,或receive-adjacency包来自邻接表由思科所使用的术语表达转发(CEF)转发机制。当CEF构建其邻接表,它列出了IP地址的接口(物理和逻辑),都属于路由器作为“接收”。Another term used in some documentation is "for-us" packets. CEF is discussed in more detail later in this section.
当路由器看到receive-adjacency数据包,数据包的目的地址总是路由器本身拥有的东西。它可以是一个物理接口的IP地址或一个逻辑接口等回送接口或隧道接口。这些包可以从主机直接连接局域网,或者他们可以到达后穿越几个或多个上游路由器到达最后一个路由器。无论哪种方式,决定路由器使当它看到receive-adjacency包是非常不同的传输数据包。与receive-adjacency数据包,路由器不能参与任何专门的转发硬件;路由器必须处理数据包本身,使用自己的本地CPU资源。
注意:这个词常用于文档来描述把包从正常,高速路由器的转发路径CPU为当地处理下赌注者。例如,你可能读到某些类型的数据包”踢了踢到CPU进行处理”。这个术语将在这本书中使用。
虽然看起来,所有接收数据包控制数据包,这并非如此。与运输包一样,各种各样的包可能落入接收类别。接收数据包通常包括交通的控制,管理,服务飞机。
最重要的概念理解与接收数据包,路由器必须从交通数据包以不同的方式对待他们。通常,这意味着路由器使用不同的硬件和/或软件来处理这些包,几乎总是,处理的速度远远慢于传输数据包。如何接收和传输数据包处理交互影响路由器的整体性能,对网络安全的影响的主要原因之一是IP流量平面分割和控制非常重要。
异常IP和非IP数据包
前两部分中,您了解了两种不同的流量类型,运输和接收。交通运输家族包括数据包,路由器转发到最终目的地,通常使用一些高速转发机制。交通得到家族包括数据包,路由器必须在本地过程本身。有趣的是,这两种交通类型不包括IP网络的所有情况。两个其他类型的交通也被路由器包括所有小组异常IP数据包,非ip数据包组。
异常IP数据包包括传输或接收IP数据包,对他们有一些特殊的特点,不能由路由器正常处理。非IP数据包基本上只是数据包没有IP协议的一部分。这些通常由路由器使用自己构建和维护网络。为什么异常IP和非IP流量类型如此重要的是路由器从他们如何以不同的方式处理这些包流程正常传输或接收数据包。这些包是很重要的,因为每个人都有可能影响网络。他们可以移动数据,他们可以帮助建立路由表,可以控制路由器。这些都可能有安全隐患。几个例子有助于说明这一点。
异常IP数据包
异常IP包的一个例子如下:IP数据包到达路由器时,决心成为一个运输包(换句话说,路由器想向前下游)。然而,IP报头TTL字段的值为1。因为路由器需要减量TTL字段之前转发数据包,结果值是0。IP网络协议要求数据包TTL = 0必须下降。此外,一个ICMP错误消息必须生成和发送回发起人的数据包通知他们包掉了。特定的ICMP错误消息是“在途时间超过”消息,或ICMP类型11日代码0。(见附录B的完整细节ICMP错误消息)。这里的异常条件是由于路由器必须改变其正常运输包处理掉过期数据包并生成并发送正确的ICMP消息回原始数据包的来源。这个异常过程需要路由器花费额外的资源将无法消耗,简单地转发数据包。