【文章內(nèi)容簡介】 何地方或一 Multicast的路徑 些特殊路徑 可擴展性 受到流的數(shù)目的限制 受到服務(wù)類型 數(shù)目的限制 網(wǎng)絡(luò)計費 基于流的特征和 基于類型用法 QoS用法參數(shù) 網(wǎng)絡(luò)管理 類似于電路交換網(wǎng) 類似于 IP網(wǎng) 域間部署 多邊協(xié)議 雙邊協(xié)議 小結(jié) CoS/GoS ? CoS:Class of Service – 使得一些流量比其他的更重要 – 一般顯式或隱式的做流量冊聚合 – 交換機或路由器不為單個流維護狀態(tài) 信息 ? Grade of Service – 用戶所感覺到的網(wǎng)絡(luò)服務(wù)的性能 – 撥號前 /后延遲，接通率等 ? QoS QoS發(fā)展歷史 時間 No state Aggregated Perflow state state IntServ / RSVP Best Effort DiffServ 1. The original IP service 2. First efforts at IP QoS 3. Seeking simplicity and scale QoS待研究的問題 ? QoS型應(yīng)用： 基于應(yīng)用 /作為傳輸層的選擇？ ? 如何結(jié)合 InterServ和 DiffServ？ ? QoS發(fā)現(xiàn) ? TCP與 QoS ? 業(yè)務(wù) 集合： 目前還不清楚究竟需要多少不同的服務(wù)級別 ? 業(yè)務(wù)傳輸?shù)臏y量 ? QoS計費 ? 多樣性 的部署 ? QoS域間信令： QoS應(yīng)該能夠跨域使用 第三部分 安全 DDoS攻擊 ? 最近所報道的重大安全攻擊事件都是 DDoS！ ?已經(jīng)威脅因特網(wǎng)穩(wěn)定性的最嚴 重的安全攻擊！ ?可以很方便地得到界面友好的 DDoS攻擊工具！ ?但卻沒有有效的方法加以防范！ DDoS ? 分布式拒絕服務(wù)攻擊 (DDoS) – Distributed denialofservice – 攻擊的對象可以是 主機、路由器甚至網(wǎng)絡(luò) ? 攻擊的方式 – 利用系統(tǒng)設(shè)計的弱點 ? 如 Ping of death, teardown ? 防范手段：系統(tǒng)補丁 – 利用計算量巨大的任務(wù) ? 如加 /解密， DF交換 ? 防范手段： Cookie等 洪泛式 DDoS ? 不是利用特殊的網(wǎng)絡(luò) 協(xié)議或設(shè)計弱點 ? 利用被攻擊對象與因特網(wǎng)之間資源的巨大不對 稱性！ – 足夠數(shù)量的受感染主機同時向被攻擊對象發(fā)送大量 無用的包 – 被攻擊對象或因特網(wǎng)連接因此而被阻塞甚至宕機 – 實際上是切斷了被攻擊對象與因特網(wǎng)的連接 ? 最近國際上在小范圍的監(jiān)測表明，三周內(nèi)出現(xiàn) 了超過 12022次 DoS攻擊 典型 Server對付 SYN攻擊的比較 ? MS WIN2022 Advanced Server – 重傳時間為 3, 6。 9s內(nèi)未收到 ACK就放棄 ? BSD – 重傳時間為 6, 24,48和 75s ? Linux – 重傳時間為 3, 6, … 309s 。 7次重傳后放棄 洪泛式 DDoS的類型 A A TCP SYN, ICMP, UDP, … ( 用 V的地 址作為源地址 ) TCP SYN, ICMP, UDP, … ( 用 R的地 R R 址作為源地址 ) TCP SYNACK TCP SYNACK TCP RST, ICMP, V V TCP RST, ICMP, UDP, … UDP, … 直接方式 反射器方式 對付 DDoS攻擊 的方法 ? 攻擊預(yù)防 – 事先 ? 攻擊檢測與過濾 – 發(fā)生過程中 ? 攻擊源跟蹤與鑒別 – 事后 攻擊檢測與過濾 —因特網(wǎng)防火墻 ? 攻擊檢測與過濾的位置 – 在被攻擊者的網(wǎng)絡(luò)中 – 在被攻擊者網(wǎng)絡(luò)的上游 ISP – 在被攻擊者網(wǎng)絡(luò)的更上游 ISP ? 特點 – 越靠近攻擊源，包過濾的效率越高 – 越靠近被攻擊者，包檢測的效率越高 因特網(wǎng)防火墻 ? 試圖在因特網(wǎng)核心中檢測 DDOS攻擊，丟 棄可疑包 – 如果實現(xiàn)正確且有效，就可保在受攻擊之間 被攻擊者的服務(wù)也可保持正常 ? 實現(xiàn)方式 – 基于路由器的包過濾 ? 把入口包過濾功能延伸到核心網(wǎng) – 分布式攻擊檢測 IP Security ? IETF IPSec工作組于 1998年開始制訂的 一組 基于密碼學(xué) 的安全的、開放網(wǎng)絡(luò)安全協(xié)議 ? IPSec獨立于密碼學(xué)算法，設(shè)置了默認值 ? IPSec工作在 IP層，為 IP層及其以上層協(xié)議提供保護 ? IPSec提供的安全服務(wù) – 訪問控制、無連接的完整性、數(shù)據(jù)來源驗證、防重放保護、 保密性、自動密鑰管理等 ? 允許用戶控制所提供的安全服務(wù)的粒度。 ? IPv4可以選支持 IPSec， IPv6必須支持 IPSec。 ? 到目前為止最出色的安全協(xié)議！ IPSec的組成 IPSec體系 AH 加密算法 驗證算法 解釋域 (DOI) 密鑰管理 AH和 ESP的位置 IP頭 AH頭 TCP, UDP 或 IP IP頭 ESP頭 TCP, UDP 或 IP ESP尾 ESP認證 SA ? 安全聯(lián)盟 (SA)是 IPSec密鑰管理的基礎(chǔ) ? AH和 ESP都使用 SA，而且 IKE協(xié)議的主要功能 就是建立和維護 SA。 ? SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種簡 單的“連接”， – IPSec協(xié)議類型、加密算法、認證方式、加密和認證 密鑰、密鑰的生存時間以及防重放攻擊的序列號等， 為所承載的流量提供安全服務(wù)。 ? SA可以手工建立，也可以使用 IKE協(xié)議自動建 基本工作原理 1. 規(guī)定使用的安全策略，保存在 SPD中 應(yīng)用、繞過、丟棄 可以有不同的安全策略粒度 2. 根據(jù)安全策略手工或動態(tài)建立 SA，保存在 SAD中 3. 對于外出的 IP包，首先在 SPD中查詢安全策略，如果 安全策略要求應(yīng)用 IPSec 如果存在 SA，直接使用 如果沒有 SA，使用 IKE協(xié)商 如果存在 SA但無效，觸發(fā) IKE重新協(xié)商 ? 對于進入的 IP包： 查 SAD，驗證有效性，還 原 IPSec密鑰管理 ? 密鑰的產(chǎn)生、認證、交換、存貯、使用 和銷毀等。 ? IPSec要求支持兩種類型的密鑰管理 – 手工 :系統(tǒng)管理員使用每個系統(tǒng)自己的密鑰 和其他通信系統(tǒng)的密鑰咯啊手工配置系統(tǒng) .適 用于小型的、相對靜止的環(huán)境 – 自動：系統(tǒng)根據(jù)需要自動建立安全通信需要 的密鑰，適用與大型的、不斷變化的環(huán)境 IKE ? 在 IPSec通信雙方之間，建立起共享安全 參數(shù)及驗證的密鑰 (SA) ? IKE是一種常規(guī)用途的安全交換協(xié)議 – SSL, SNMPv3, OSPFv2等 ? IKE定義的認證方式 – 預(yù)先共享密鑰 (目前最流行的 ) – 數(shù)字簽名 (DSS和 RSA) – 公鑰加密 (RSA和修改的 RSA) IPSec應(yīng)用 :端到端 主機 1 主機 2 IP網(wǎng) IPSec隧道 連接 IPSec應(yīng)用 :網(wǎng)絡(luò)到網(wǎng) 絡(luò) 主機 主機 2 安全網(wǎng)關(guān) 2 IP網(wǎng) 安全網(wǎng)關(guān) 1 安全網(wǎng)關(guān) 2 主機 1 安全網(wǎng)關(guān) 1 主機 2 IPSec應(yīng)用 :AHESP組合方式 IP網(wǎng) IPSec隧道 連接 IPSec應(yīng)用 :遠程訪問 安全網(wǎng)關(guān) IP網(wǎng) 企業(yè)網(wǎng) 每一段的安全要求都不一樣 IPSec隧道 筆記本電腦 連接 IETF的新動態(tài) ? IPSec工作組負責(zé)修改完善 IPSec ? ESP被認為穩(wěn) 定并且容易理解 ? IKE被認為是苦澀難懂，并存在嚴重的互 操作性 ? 嚴重的互操作性 – 阻礙了 VPN市場的發(fā)展 – 影響了在其他協(xié)議中 IPSec的采用 IKEv2 ? 繼承了相同的 IKEv1的格式和思想 ? 去掉了幾乎用不上的模式和選項 (簡化 ) ? 更快地建立時間： 4條消息 ? 對 DoS的更好防范 – 增加了一個輕型 的往返 ? 使用相同的端口號和格式 ，向上兼容 ? 更加方面的功能 – 更快地建立第一個 SA JFK ? 簡化了很多 IKEv1的特征，簡單的多 ? 只使用了一個階段，而不是兩個 – 同時降低了用戶和實現(xiàn)的復(fù)雜性 – IKEv1的階段 2用其他簡單的方式管理 – 在兩個對端之間建立多個 SA時要慢一些 ? 抗 DoS攻擊，不需要額外的往返 ? 各種 Perfect forward Secrecy 第 4部分 新業(yè)務(wù) 基于 MPLS的虛擬專用網(wǎng) (VPN)技術(shù) ?三層 ?二層 PPVPN IETF PPVPN ? PPVPN(Provider Provision VPN)指由運營 商參與管理和實施，并提供 VPN業(yè)務(wù)的 VPN網(wǎng)絡(luò) – 從運營商和用戶的角度研究 VPN – 外包方式的 VPN – 運