【文章內(nèi)容簡(jiǎn)介】 網(wǎng)絡(luò)入侵 。一是通過因特網(wǎng)的連接環(huán)節(jié)進(jìn)行攻擊，有許多侵入因特網(wǎng)連接環(huán)節(jié)的方法可供黑客使用；二是通過電話線來進(jìn)行攻擊，就像 Ton Loc 軟件一樣通過撥打成千上萬的電話直到打開沒有保護(hù)的網(wǎng)絡(luò)節(jié)點(diǎn)。 4 IP 及 IPSec 協(xié)議安全性分析 IPv4 協(xié)議分析 我認(rèn)為首先 IP 數(shù)據(jù)包 (Packet)是一捆一捆的數(shù) 據(jù)，它是 TCP/IP 協(xié)議簇的基礎(chǔ)數(shù)據(jù)形式。每個(gè)數(shù)據(jù)包都攜有一個(gè) 32 位的源地址、宿地址、一些選項(xiàng)位、一個(gè)報(bào)頭校驗(yàn)和以及數(shù)據(jù)包的有效數(shù)據(jù)。一個(gè)典型的 IP 數(shù)據(jù)包有幾百個(gè)字節(jié)長(zhǎng)。這些數(shù)據(jù)包通過以太網(wǎng)、串行通信線、 FDDI 環(huán)路、數(shù)據(jù)包無線連接、異步傳輸模式 (ATM)鏈路等數(shù)十億次地在世界上穿越流動(dòng)。 IP 層沒有虛擬電路 (Virtual Circuit)或“電話呼叫”的概念：每個(gè)數(shù)據(jù)包都是獨(dú)立的。 IP 是一種不可靠的數(shù)據(jù)報(bào) (Datagram)服務(wù)方式。數(shù)據(jù)IP 協(xié)議及 IPSec 協(xié)議安全分析 8 包的遞交是沒有保證的，它只被遞交一次，或按任意一種特定順序遞交。對(duì)數(shù) 據(jù)包的正確性沒有任何檢驗(yàn)機(jī)制。 IP 報(bào)頭中的校驗(yàn)和也只覆蓋該報(bào)頭。事實(shí)上，送出的數(shù)據(jù)包是否真的來自某一給定源地址也是沒有保證的。從理論上講，任何主機(jī)可用任意一個(gè)源地址發(fā)送一個(gè)數(shù)據(jù)包。雖然有許多操作系統(tǒng)在這一方面實(shí)行控制并確保它按正確的源地址值發(fā)出，但是，除非在某一小心控制的環(huán)境下，否則不能依賴源地址的有效性。一般來說，鑒別和安全問題必須利用較高層協(xié)議的機(jī)制。一個(gè)長(zhǎng)距離傳送的數(shù)據(jù)包將經(jīng)過多個(gè)跳點(diǎn) (hop)。每次跳轉(zhuǎn)都終止于一個(gè)主機(jī)或路由器上，然后根據(jù)路由信息將該數(shù)據(jù)包向前傳送至下一個(gè)跳點(diǎn)。在傳送期間，如果數(shù)據(jù)包 對(duì)于一個(gè)跳點(diǎn)顯得過長(zhǎng)，該數(shù)據(jù)包可以被分割成更小的數(shù)據(jù)片。如果通信過于擁擠堵塞，路由器可以將數(shù)據(jù)包丟棄。數(shù)據(jù)包在到達(dá)遠(yuǎn)端時(shí)可能不按順序，甚至還可能有重復(fù)發(fā)送。通常對(duì)這些行為是不通知的：較高協(xié)議層 (例如 TCP)才處理上述問題并給應(yīng)用提供一條可靠電路。如果一個(gè)數(shù)據(jù)包對(duì)下一個(gè)跳點(diǎn)顯得太大，它就要被分割成小包，即將其分為兩個(gè)或更多的數(shù)據(jù)包，每個(gè)數(shù)據(jù)包都有它自己的 IP 報(bào)頭，而有效數(shù)據(jù)只是原來的一部分。這些小片以各自的方式分別到達(dá)最終目的地。在傳輸過程中，分片的數(shù)據(jù)包還可能進(jìn)一步分片。在這些小片數(shù)據(jù)包到達(dá)目標(biāo)機(jī)器時(shí)，它 們被重新組裝。中間跳點(diǎn)均不進(jìn)行組裝。 其次， IP 協(xié)議是 TCP/IP 協(xié)議族中最為核心的協(xié)議 [5]。所有的 TCP、 UDP、 ICMP及 IGMP 數(shù)據(jù)都以 IP 數(shù)據(jù)報(bào)格式傳輸。許多剛開始接觸 TCP/IP 的人對(duì) IP 提供不可靠、無連接的數(shù)據(jù)報(bào)傳送服務(wù)感到很奇怪，特別是那些具有 X. 25 或 SNA 背景知識(shí)的人。不可靠 (Unreliable)的意思是它不能保證 IP 數(shù)據(jù)報(bào)能成功地到達(dá)目的地。 IP僅提供最好的傳輸服務(wù)。如果發(fā)生某種錯(cuò)誤時(shí)，如某個(gè)路由器暫時(shí)用完了緩沖區(qū)， IP有一個(gè)簡(jiǎn)單的錯(cuò)誤處理算法：丟棄該數(shù)據(jù)報(bào)，然后發(fā)送 ICMP 消息報(bào)給信源端。任何要求的可靠性必須由上層來提供 (如 TCP)。 無連接 (Connectionless)這個(gè)術(shù)語(yǔ)的意思是 IP 并不維護(hù)任何關(guān)于后續(xù)數(shù)據(jù)報(bào)的狀態(tài)信息。 每個(gè)數(shù)據(jù)報(bào)的處理是相互獨(dú)立的。這也說明， IP 數(shù)據(jù)報(bào)可以不按發(fā)送順序接收。如果信源向相同的信宿發(fā)送兩個(gè)連續(xù)的數(shù)據(jù)報(bào) (先是 A，然后是 B)，每個(gè)數(shù)據(jù)報(bào)都是獨(dú)立地進(jìn)行路由選擇，可能選擇不同的路線，因此 B 可能在 A 到達(dá)之前先到達(dá)。 IP 協(xié)議及 IPSec 協(xié)議安全分析 9 IP 頭結(jié)構(gòu) 普通的 IP 首部長(zhǎng)為 2 0 個(gè)字節(jié)，除非含有選項(xiàng)字段 。其報(bào)文格式如表 41 所示。 表 41 IP 數(shù)據(jù)報(bào)的格式 4 位 版本 4 位首部長(zhǎng)度 8 位 服 務(wù) 類 型 16 位總長(zhǎng)度 ( 字節(jié)數(shù) ) 16 位 T AG 3 位T AG 13 位片偏移 8 位 生 存 時(shí) 間 8 位協(xié)議 16 位首部校驗(yàn)和 32 位源 IP 地址 32 位目的 IP 地址 選項(xiàng) 數(shù)據(jù) 其中每一個(gè)部分的含義如下： (1) 版本 (Version) 當(dāng)前的版本 IPv4 頭格式是 4 (2) 分組頭長(zhǎng)度 (HL) 以 32 位字為單位的 IP 分組頭的長(zhǎng)度。這樣，一個(gè)典型的 20 字節(jié)的分組頭應(yīng)該包含 5 個(gè) 32 位字。 (3) 服務(wù)類型 (TOS) 8 比特的服務(wù)類型字段分為兩個(gè)部分：優(yōu)先級(jí) (Precedence)和服務(wù)類型 (TOS)。優(yōu)先級(jí)由 3 個(gè)比特組成，定義優(yōu)先級(jí)的最初目的是提供一種能夠?yàn)樘囟ǚ纸M流分配優(yōu)先級(jí)的手段。其余的 5 個(gè)比特為穿越網(wǎng)絡(luò)的 IP 分組定義了服務(wù)類型。實(shí)際上， TOS 字段從未按其最初設(shè)想而被真正地使用過。但目前新的研究工作正在努力試圖重新定義TOS 字段，以使其能夠?yàn)?IP 分組分配服務(wù)類型，這就是所謂的差分服務(wù) (Differentiated Services)。 (4) 總長(zhǎng)度 (Total Length) 它的總長(zhǎng)度為 一個(gè) 16 比特長(zhǎng)的數(shù)據(jù)報(bào)長(zhǎng)度字段，用來定義以字節(jié)為單位的整個(gè)IP 分組的總長(zhǎng)。 IP 分組的最大長(zhǎng)度為 65536 字節(jié)。 (5) 標(biāo)識(shí) (Identification) 這個(gè)字段包含一個(gè) 16 比特的標(biāo)識(shí)符，目的主機(jī)用它來識(shí)別和組合 IP 分組的片段。如果 IP 分組的入線數(shù)據(jù)鏈路的最大傳輸單元 (MTU)長(zhǎng)度大于其出線數(shù)據(jù)鏈路的 MTUIP 協(xié)議及 IPSec 協(xié)議安全分析 10 長(zhǎng)度， IP 路由器就會(huì)把該 IP 分組分段。 MTU 長(zhǎng)度的定義是數(shù)據(jù)鏈路幀所能承載的最大的 IP 分組的長(zhǎng)度。 IP 分組的組裝只在目的主機(jī)上進(jìn)行。數(shù)據(jù)分段并不是一個(gè)好辦法，因?yàn)樗诼酚善骱湍康闹鳈C(jī)上引入了額外的開銷。一種被稱為通路 MTU發(fā)現(xiàn) (Path MTU Discovery)的技術(shù)可以使發(fā)送分組的源主機(jī)發(fā)現(xiàn) 從源到目的的通路上的最長(zhǎng)MTU 長(zhǎng)度，因而可以避免任何不必要的分段操作 [6]。 (6) 標(biāo)志 (Flag) 標(biāo)志字段由 3 個(gè)比特構(gòu)成，其含義如下： 1. Bit 0：保留。 2. Bit 1： 0 = 可以對(duì)分組進(jìn)行分段； 1=不可分段。 3. Bit 2： 0 = 最后一個(gè)段； 1=還有更多的段。 4. 偏移 (Offset)。偏移字段由 13 個(gè)比特構(gòu)成。 原始 IP 分組被分段后，每一個(gè)分段生成的數(shù)據(jù)塊 (Fragment block)都有一個(gè)從 IP分組起始位置開始編號(hào)的序號(hào)，這個(gè)序號(hào)記錄在偏移字段中。 (7) 生存時(shí)間 (TTL， Time to live) TTL 字段用來防止在網(wǎng)絡(luò)中出現(xiàn) IP 分組的無限循環(huán)。一個(gè) IP 分組每經(jīng)過一個(gè)路由器， TTL 值都會(huì)減小。當(dāng) TTL 的值被減到 0 時(shí)，路由器就會(huì)丟棄該分組。最初 TTL值是一定數(shù)量的秒數(shù)；但目前它的含義是在路由器之間允許的最大跳 (hop)數(shù)。 TTL值也被用來控制組播 (Multicast)分組在網(wǎng)絡(luò)中傳播的范圍。組播分組的 TTL 值必須大于通往外部路由器接口中所配置的 TTL 閾值，否則該分組將被丟棄。 (8) 協(xié)議 (Protocol) 協(xié)議字段用來鑒別利用了 IP 服務(wù)的鄰接高層所采用的協(xié)議。例如 :TCP=UDP=1 ICMP=1(互連網(wǎng)控制消息協(xié)議 )、 OSPF=89 等。 在網(wǎng)絡(luò)中，為將分組準(zhǔn)確地引導(dǎo)到其最終目的地所必需的信息都分組頭服務(wù)類型總長(zhǎng)度版本長(zhǎng)度保存在分組頭中。 IP 層從它的上層接分段偏移收到傳輸層或應(yīng)用層的信息以后，標(biāo)識(shí)標(biāo)志就將 IP 分組頭添加到接收的信息 協(xié)議生存時(shí)間 分組頭檢驗(yàn)和后，然后將其向下提交給下層的數(shù)據(jù)鏈路層，通過某特定的介質(zhì)發(fā)送。源 IP 地址 IPv4分組頭的長(zhǎng)度范圍可以從 20 字目的 IP 地址節(jié)到最多 60 字節(jié) (假如使用了附加的選項(xiàng) )。 (9) 分組頭校驗(yàn)和 (Header Checksum) 這個(gè) 16 比特的字段是根據(jù) IPv4 分組頭中的其他字段計(jì)算出來的。分組每經(jīng)過一IP 協(xié)議及 IPSec 協(xié)議安全分析 11 個(gè)路由器，校驗(yàn)和的值都會(huì)被更新，因?yàn)?TTL 字段和 IP 選項(xiàng)字段中的值可能發(fā)生改變。 (10) 源 IP 地址 (Source IP address) 發(fā)出 IP 分組的主機(jī)的 32 位 IP 地址。 (11) 址 (Destination IP address) 32 位目的主機(jī) IP 地址。 IP 分組頭中還可以有一系列的選項(xiàng)字段。這些選項(xiàng)由通路上的每一個(gè)路由器來處理。選項(xiàng)字段可以被添加到一個(gè) IP 分組中，內(nèi)容包括源選路和路由器警告等。實(shí)際中選項(xiàng)字段很少 被使用，因?yàn)樗鶐淼娜魏喂δ艿脑鰪?qiáng)與它所引起的每個(gè)中間路由器的額外處理開銷相比都是不值得的。 (12) (option) 該選項(xiàng)指明了信息的秘密程度。理論上，軍用路由器可能使用這個(gè)域來指定在路由的時(shí)候不允許通過某些在軍事上被認(rèn)為是“敵對(duì)國(guó)家”。而在實(shí)踐中，所有的路由器都忽略該選項(xiàng)，所以，它唯一實(shí)際的用途是幫助間諜們更加容易找到好的材料。嚴(yán)格的源路由 (Strict Source Routing)選項(xiàng)給出了從源到目標(biāo)的完整路徑，其形式是一系列 IP 地址。數(shù)據(jù)報(bào)必須嚴(yán)格地沿著這條路徑向前傳輸。對(duì)于系統(tǒng)管理員，這是 非常有用的，他們可以在路由表被破壞的時(shí)候發(fā)送緊急分組，或者用這個(gè)選項(xiàng)來測(cè)量時(shí)間。寬松的源路由 (Loose Source Routing)選項(xiàng)要求該分組穿越所制定的路由器列表，并且要求按照列表中的順序前進(jìn)，但是，在途中也允許經(jīng)過它的路由器。通常情況下，該選項(xiàng)往往只提供少數(shù)路由器，以強(qiáng)迫走一條特殊的路徑。記錄路徑 (Record Route)選項(xiàng)告訴沿途的路由器，將它們的 IP 地址附到該選項(xiàng)域中。這使得系統(tǒng)管理員可以跟蹤路由算法中的錯(cuò)誤。 (13) 時(shí)間戳 (Time Stamp) 該選項(xiàng) 與記錄路由選項(xiàng)類似，只不過每 臺(tái)路由器除了紀(jì)錄 32 位 IP 地址以外，還要記錄一個(gè) 32 位時(shí)間戳。這個(gè)選項(xiàng)主要也被用于調(diào)試路由算法。 各部分含義如 表 42 所示。 IP 協(xié)議及 IPSec 協(xié)議安全分析 12 表 42 IP 頭結(jié)構(gòu)各部分說明 區(qū)域 描述 版本 Version 是指 IP 協(xié)議的版本號(hào)，只能取 6 兩值， 4 為當(dāng)前 IP 標(biāo)準(zhǔn)IPv4)， 6 是將來的 IPv6 首部長(zhǎng)度 IHL (IP header length) 按照 32bit words 來計(jì)算的 Inter Header 長(zhǎng)度，通常為 5，由于它是一個(gè) 4 位字段，因此首部最長(zhǎng)為 60 個(gè)字節(jié) 服務(wù)類型 Type of Service 包括一個(gè) 3 位的優(yōu)先權(quán) (Precedence)子字段 (現(xiàn)在已被忽略 )、4 位的 TOS 子字段和 1 位未用位但必須置 0。 4bit 的 TOS分別代表：最小時(shí)延、最大吞吐量、最高可靠性和最小費(fèi)用。4bit 中只能置其中 1bit。如果所有 4bit 均為 0，那么就意味著是一般服務(wù) 總長(zhǎng)度 Total Length 指整個(gè) IP 數(shù)據(jù)報(bào)的長(zhǎng)度 (Header and Data)，按 bytes 計(jì)。利用首部長(zhǎng)度字段和總長(zhǎng)度字段，就可以知道 IP 數(shù)據(jù)報(bào)中數(shù)據(jù)內(nèi)容的起始位置和長(zhǎng)度。 標(biāo)識(shí) Identification 由發(fā)送方指定的 ID， 輔助數(shù)據(jù)包的分片和組合。唯一地標(biāo)識(shí)主機(jī)發(fā)送的每一份數(shù)據(jù)報(bào) 標(biāo)志 Flags(3bits) 一個(gè) bit 用來指示分片，另一個(gè) bit 是 “不分片 ”bit，指出片斷是否為分片的。最后一個(gè) bit 保留。指定目的地址是一個(gè)完整的主機(jī)地址還是一個(gè)網(wǎng)絡(luò)地址 分片偏移 指出一個(gè)分片部分 生存時(shí)間 Time To Live 數(shù)據(jù)報(bào)可以經(jīng)過的最多路由器數(shù)。指出數(shù)據(jù)包的最長(zhǎng)生存時(shí)間 協(xié)議 Protocol 指出在所接收的數(shù)據(jù)包載荷中包含的下一層協(xié)議 首部檢驗(yàn)和 Header Checksum 根據(jù) IP 首部計(jì)算的檢驗(yàn)和碼 源地 址 Source address 發(fā)送方的 IP 地址 目的地址Destination Address 目標(biāo)方的 IP 地址 可選項(xiàng) Options 可變長(zhǎng)度，可以沒有。定義安全和處理限制、記錄路徑、時(shí)間戳、寬松的源站選路、嚴(yán)格的源站選路等信息 填充 Padding 如果有 Options， Padding(填充 )保證 IP Header 以 32BIT 邊界結(jié)束 數(shù)據(jù) Data 數(shù)據(jù)包的載荷 IP 安全標(biāo)簽 IP 有許多可以表達(dá)信息的選項(xiàng)字段，但我們 通常都不用它們 [7]。對(duì)于我們 來說 ，重要的選項(xiàng)是安全標(biāo)簽以 及嚴(yán)格限制和放松源路由的選項(xiàng)。 IP 安全選項(xiàng)目前主要用于 國(guó)家的 軍事場(chǎng)合，雖然也可以將這一選項(xiàng)定義為一個(gè)商業(yè)變量。每個(gè)數(shù)據(jù)包都用它包含信息的敏感性進(jìn)行標(biāo)記。這個(gè)標(biāo)簽包括一個(gè)安全級(jí)別 (機(jī)密，絕密等 )和部門：核武器，密碼學(xué)等等。第一，標(biāo)簽指出了發(fā)送和接受進(jìn)程的最終安全級(jí)別。一個(gè)進(jìn)程不IP 協(xié)議及 IPSec 協(xié)議安全分析 13 得用較低安全級(jí)別的方式寫到介質(zhì)上，因?yàn)槟菢訒?huì)泄露機(jī)密信息。基于顯而易見的原因，也許不需要從介質(zhì)中讀出更高級(jí)別的信息。通常將這兩種限制相結(jié)合，用來限定連接兩端的進(jìn)程處于準(zhǔn)確的相同級(jí)別上。因此它們可以把相應(yīng)的選項(xiàng)字段貼在每個(gè)數(shù)據(jù)包上。