Đồ án an toàn và bảo mật mạng cấu trúc IP packet
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (252.57 KB, 12 trang )
Network Security
Network Security
IP PACKET STRUCTURE
Nhóm 3:
Nhóm 3:
1.Lê Thành Công 06520051
2.Lê Huy Bảo Đạt 06520071
3.Võ Minh Duy 06520113
4.Trương Nhật Minh 06520297
5.Nguyễn Hoài Phương 06520356
6.Bùi Minh Quân 06520363
7.Nguyễn Thanh Tín 06520484
8.Nguyễn Việt Tiến 06520481
9.Hồ Ngọc Minh Triết 06520506
10.Phạm Ngọc Tú 06520527
11.Đỗ Việt Tuấn 06520530
12.Lê Mạnh Tuấn 06520532
IP PACKET
IP PACKET
Các gói IP bao gồm dữ liệu từ lớp bên trên đưa xuống và
thêm vào một IP Header.IP Header gồm các thành phần sau:
IP HEADER
Version:
Chỉ ra phiên bản hiện hành của IP đang được dùng, có 4 bit.
Nếu trường này khác với phiên bản IP của thiết bị nhận, thiết bị nhận
sẽ từ chối và loại bỏ các gói tin này. Phiên bản hiện thời là 4. Thế hệ
IP tiếp theo có phiên bản 6, được biết đến với cái tên IPv6.
IP Header Length (HLEN):
Chỉ ra chiều dài của header theo các từ 32 bit. Đây là chiều dài
của tất cảc các thông tin Header.
Type Of Services (TOS):
Chỉ ra tầm quan trọng được gán bởi một giao thức lớp trên đặc
biệt nào đó, có 8 bit. Trường này được chia như sau:
♦
Precedence (3 bits đầu tiên) : chỉ ra quyền ưu tiên của việc truyền dữ liệu,
từ 0 (normal) cho đến 7 (network control panel).
♦
3 bit cờ D, T, R: cho phép host chỉ ra là nó quan tâm đến gì nhất trong tập
hợp (Delay, Throughput và Reliability).
IP HEADER
IP HEADER
Total Length:
Chỉ ra chiều dài của toàn bộ gói tính theo byte, bao
gồm dữ liệu và header, có 16 bit. Để biết chiều dài
của dữ liệu chỉ cần lấy tổng chiều dài này trừ đi
HLEN. Trong mạng Ethernet, chiều dài tối đa là 1500
bytes (05DC bytes).
Identification:
Chứa một số nguyên định danh hiện hành, có 16 bit.
Đây là chỉ số tuần tự, rất quan trọng trong việc phân
đoạn dữ liệu.
IP HEADER
Flag (xDM):
Một field có 3 bit, trong đó có 2 bit có thứ tự thấp
điều khiển sự phân mảnh.
Bit 0 = 0 (reserved): không được sử dụng.
Bit 1: DF (don't fragment): với ý nghĩa "Không
phân mảnh gói tin này". Nếu chiều dài gói tin lớn hơn
MTU của mạng, router sẽ loại bỏ gói tin này.
Bit 2: MF (more fragment): với ý nghĩa "Còn có
thêm các phân mảnh khác thuộc về cùng một gói tin IP
với phân mảnh này". Gói tin cuối cùng có MF=0 (không
còn phân mảnh nào nữa).
IP HEADER
Fragment Offset:
Được dùng để ghép các mảnh Datagram lại với
nhau, có 13 bit. Chứa vị trí của fragment trong
Datagram. Để chứa được chiều dài của gói tin IP (giá
trị tối đa là 65535 byte) với 13 bit, IP sử dụng thông tin
về vị trí với đơn vị là 8 byte. Do đó, chiều dài của mỗi
phân mảnh phải là bội số của 8, trừ phân mảnh cuối
cùng.
Time To Live (TTL):
Chỉ ra số bước nhảy (hop) mà một gói có thể đi
qua.Con số này sẽ giảm đi một khi một gói tin đi qua
một router. Khi bộ đếm đạt tới 0, router sẽ loại gói này
và gửi một thông điệp báo lỗi tới nguồn gửi. Đây là giải
pháp nhằm ngăn chặn tình trạng lặp vòng vô hạn của
gói tin.
IP HEADER
IP HEADER
Protocol:
Chỉ ra giao thức lớp trên, chẳng hạn như TCP hay
UDP, tiếp nhận các gói tin khi công đoạn xử lí IP hoàn
tất, có 8 bit.
Header CheckSum:
Giúp bảo dảm sự toàn vẹn của IP Header, có 16 bit.
Do giá trị TTL được thay đổi ở mỗi router, do đó
checksum được tính lại tại mỗi router. Tuy nhiên một
router không phải tính tổng của toàn bộ 16-bit words,
mà nó có thể tính checksum mới dựa trên giá trị
checksum cũ và TTL mới.
IP HEADER
Source Address:
Chỉ ra địa chỉ của node truyền diagram, có
32 bit.
Destination Address:
Chỉ ra địa chỉ IP của Node nhận, có 32 bit.
IP option :
có độ dài thay đổi và nó có thể có hoặc không trong
header.Nó chứa các thông tin tuỳ chọn cho người sử dụng
như : dò đường,bảo mật,
Padding :
Trường điền thêm các số 0 để đảm bảo các header kết thúc
tại 1 địa chỉ là bội của 32
IP spoofing (sự giả mạo IP)
Một người giả mạo địa chỉ IP nguồn của các
gói gửi tới firewall. Nếu firewall nghĩ rằng
các gói đến từ một host tin cậy, nó có thể
cho chúng đi qua trừ khi một vài chuẩn
khác không thỏa. Tất nhiên người đó muốn
tìm hiểu về luật của firewall để khai thác
vào điểm yếu này.
Cơ chế hoạt động Filter Packet
♦
Các gói IP thường được lọc dựa vào thông tin
trong các tiêu đề gói:
- Các số giao thức
- Các địa chỉ IP nguồn và đích
- Các số cổng nguồn và đích
- Các cờ nối kết TCP
- Một số tùy chọn khác.
Filter Packet
♦
Không phải tất cả router đều có thể lọc các gói IP dựa
vào tất cả trường tiêu đề được đề cập ở trên.
♦
Một số router không thể xem xét cổng nguồn của một gói
IP. Điều này làm cho những qui tắc lọc gói trở lên phức
tạp hơn và ngay cả tạo ra những lổ hổng trong toàn bộ sơ
đồ lọc gói.
–
Ví dụ, server Telnet vốn thường lắng nghe tại cổng 23
có thể được yêu cầu lắng nghe tại cổng 7777. Những
người dùng trên Internet sau đó có thể sử dụng một
client Telnet thông thường để kết nối với server nội bộ
này ngay cả nếu bộ lọc gói ngăn chặn cổng đích 23.
