SYN泛洪攻击过程
计算机网络安全
安全网络技术
一、拒绝服务攻击和流量管制
黑客终端 接入网 主干网络 接入网 ICMP ECHO 请求 接入网 边缘路由器 接入网 Web 服务器
分布式拒绝服务（DDoS）攻击过程
计算机网络安全
安全网络技术
一、拒绝服务攻击和流量管制
拒绝服务攻击的共同点是黑客终端向 攻击目标超量发送报文，因此，只要能够 限制某类报文的流量，就能够抑制拒绝服 务攻击。
计算机网络安全
安全网络技术
一、路由器和互连网结构
2．路由器作用 路由器的作用主要有三个，一是通过 多个连接不同类型的传输网络的接口实现 不同类型传输网络的互连，二是建立用于 指明通往互连网中每一个网络的传输路径 的路由项，三是实现IP分组的转发过程。
计算机网络安全
安全网络技术
一、路由器和互连网结构
LAN 1 终端 A IP A R1 数据 IP B ③
LAN 2
LAN 3 R3
LAN 4 终端 B IP B
源 IP 目的 IP 地址 地址
计算机网络安全
安全网络技术
一、防路由项欺骗攻击机制
1．路由项欺骗攻击过程 ① 黑客终端发送一项LAN 4与其直接相连的路 由项； ② 路由器R1将通往LAN 4传输路径上的下一跳 改为黑客终端； ③ 路由器R1将目的网络是LAN 4的IP分组转发 给黑客终端。
计算机网络安全
安全网络技术
二、互连网安全技术范畴和功能
只讨论有着一般用途的安全技术和用于 提高互连网可靠性、容错性的技术。 2．互连网安全技术功能 安全路由； 流量管制； NAT； VRRP。
计算机网络安全
安全网络技术
9.2 安全路由
本讲主要内容 防路由项欺骗攻击机制； 路由项过滤； 单播反向路径验证； 策略路由。
计算机网络安全
安全网络技术
四、流量管制抑止拒绝服务攻击机制
抑制DDoS攻击流量管制器 分类标准 （1）目的IP地址＝IP A或IP B （2）IP首部协议字段值＝1（ICMP） （3）ICMP类型字段值：8（ECHO请求）或0 （ECHO响应） 速率限制：平均传输速率＝64kbps，突发性 数据长度=8000B
IP 分组 源 IP 地址=202.3.3.7 目的 IP 地址=202.7.7.3
NAT就是一种对从内部网络转发到外部网络的IP分组实现源IP 地址内部本地地址至内部全球地址的转换、目的IP地址外部本 地地址至外部全球地址的转换，对从外部网络转发到内部网络 的IP分组实现源IP地址外部全球地址至外部本地地址的转换、 目的IP地址内部全球地址至内部本地地址的转换的技术 。
计算机网络安全
安全网络技术
四、流量管制抑止拒绝服务攻击机制
Web 服务器 IP A 1 2
Si
核心层 S10 5 4
FTP 服务器 IP B
3 3 S7 1
Si
3 汇聚层 2 S8 1
Si
3 2 S9 1
Si
2
2 S1 1 S2
2 S3 1 1
2 S4 接入层
2 S5 1
2 S6 1
2
1
校园 网物 理结 构图
HMAC -MD5
HMAC
其他相邻路 由器接收到该路 由消息后，首先 根据路由消息和 密钥K计算HMAC， 然后将计算结果 相等，处理 和附在路由消息 后面的HMAC比较， 路由消息 如果相同，表明 发送者和接收者 具有相同密钥， 不相等，丢 且路由消息在传 弃路由消息 输过程中没有被 篡改。
计算机网络安全
计算机网络安全
安全网络技术
二、信息流分类
信息流分类是要从IP分组流中分离出 属于特定应用的一组IP分组，如需要分离 出建立TCP连接过程中的第一个请求报文， 需要从IP分组流中分离出具有如下特征的 IP分组： IP首部协议字段值：6（TCP）； TCP首部控制标志位：SYN=1，ACK=0。


计算机网络安全
计算机网络安全
安全网络技术
一、路由器和互连网结构
1．互连网结构
R2 路由表 目的网络 下一跳 输出接口 192.168.4.0/24 直接 3 192.168.5.0/24 直接 2 192.1.1.0/30 直接 1 192.168.2.0/23 192.1.1.1 1 192.168.2.0/24 终端 A 192.168.3.0/24 终端 B 1 2 R1 192.1.1.1/30 3 192.1.1.2/30 1 R2 3 2 192.168.5.0/24 终端 D 192.168.4.0/24 终端 C
校园网逻辑结构图
计算机网络安全
安全网络技术
四、流量管制抑止拒绝服务攻击机制
抑制SYN泛洪攻击的流量管制器 分类标准 （1）目的IP地址＝IP A或IP B （2）IP首部协议字段值＝6（TCP） （3）TCP首部控制标志位：SYN=1，ACK=0 速率限制：平均传输速率＝64kbps，突发性 数据长度=8000B
计算机网络安全
终端 A
终端 B
终端 C
终端 D
终端 E
终端 F
安全网络技术
四、流量管制抑止拒绝服务攻击机制
终端 C 终端 D 终端 E 终端 F S8 VLAN 3 VLAN 6 S10 VLAN 7 S9 VLAN 4
S7 VLAN 2 VLAN 5 VLAN 8
终端 A
终端 B Web 服务器 FTP 服务器
黑客攻击行为可以分为针对主机的攻击 行为、针对传输网络的攻击行为和针对路由 器的攻击行为。 3．针对路由器的攻击 路由项欺骗攻击； 拒绝服务攻击。
计算机网络安全
安全网络技术
二、互连网安全技术范畴和功能
1．互连网安全技术范畴 互连网安全技术可以分为三类，第一类 是有着专门用途的安全技术，如防火墙、入 侵检测系统和虚拟专用网（VPN）等。第二类 是有着一般用途的安全技术，如防路由项欺 骗、NAT、流量管制等。第三类是用于提高互 连网可靠性、容错性的技术，如虚拟路由器 冗余协议（VRRP）等。
计算机网络安全
安全网络技术
9.3 流量管制
本讲主要内容 拒绝服务攻击和流量管制； 信息流分类； 管制算法； 流量管制抑止拒绝服务攻击机制。
计算机网络安全
安全网络技术
一、拒绝服务攻击和流量管制
Web 服务器 黑客终端 接入网 边缘路由器 伪造出来 的终端 SYN SYN，ACK SYN SYN，ACK SYN SYN，ACK 主干网络
193.7.1.0/24
三个网络，其 中两个是内部 网络。 路由项过滤技术就是在公告的路由消息中屏蔽掉和过滤器中目的网络 匹配的路由项，这样做的目的是为了保证一些内部网络的对外部路由 器的透明性。
计算机网络安全
过滤器中的目 的网络包含两 个内部网络。
安全网络技术
三、单播反向路径验证
R2 193.1.2.0/24
安全网络技术
二、路由项过滤
路由消息中不包含 被过滤器屏蔽掉的 两个内部网络。
192.168.1.0/24
224.0.0.9 R1 193.7.1.0/24 1
R2 路由表 目的网络 距离 下一跳 193.7.1.0/24 2 R1
192.168.0.0/22 过滤 192.168.2.0/24 R1 R2 R1 路由表 目的网络 距离 下一跳 192.168.1.0/24 1 直接 192.168.2.0/24 1 直接 193.7.1.0/24 1 直接 Internet
193.1.1.7
黑客终端 193.1.1.7
193.1.1.5
193.1.1.0/24 终端 A 193.1.1.5 R1
193.1.1.5 2
1 3 193.1.3.0/24 服务器 R3 R3 路由表 目的网络 距离 输出端口 193.1.1.0/24 2 1 193.1.2.0/24 2 2 193.1.3.0/24 1 3
R1 路由表 目的网络 下一跳 输出接口 192.168.2.0/24 直接 1 192.168.3.0/24 直接 2 192.1.1.0/30 直接 3 192.168.4.0/23 192.1.1.2 3
计算机网络安全
安全网络技术
一、路由器和互连网结构
1．互连网结构 多个不同类型的网络通过路由器连接 在一起，路由器采用数据报交换方式，通 过路由项指出通往每一个网络的传输路径， 路由表是路由项的集合。 连接在不同传输网络上的两个主机之 间的传输路径分为两个层次，一是传输网 络建立的连接在同一传输网络上的两个结 点之间的传输路径。二是IP传输路径，由 源和目的主机、路由器和传输网络组成。
网络安全
第九章
© 2006工程兵工程学院 计算机教研室
安全网络技术
第9章 互连网安全技术
本章主要内容 互连网安全技术概述； 安全路由； 流量管制； NAT； VRRP。
计算机网络安全
安全网络技术
9.1互连网安全技术概述
本讲主要内容 路由器和互连网结构； 互连网安全技术范畴和功能。
计算机网络安全
安全网络技术
9.4 NAT
本讲主要内容 NAT概述； 动态PAT和静态PAT； 动态NAT和静态NAT； NAT的弱安全性。
计算机网 分组 源 IP 地址=192.168.3.7 目的 IP 地址=172.16.3.7 R 内部网络 终端 A 192.168.3.7/24 IP 分组 源 IP 地址=172.16.3.7 目的 IP 地址=192.168.3.7 外部网络 终端 B 202.3.3.7/24 IP 分组 源 IP 地址=202.7.7.3 目的 IP 地址=202.3.3.7
计算机网络安全
安全网络技术