网络信息安全课件教案-第5章物理网络层概述
计算机网络技术第5章网络层ppt课件
5.2.1 在节点交换机中查找转发表
1. 广域网中的主机地址结构
+ 分组往往要经过许多节点交换机的存储转发才到达目的地。 + 每一个节点交换机中都有一个转发表,里面存放了到达每一个
主机的路由。那么广域网中的主机越多,查找转发表就越费时 间。 + 在广域网中一般采用层次地址结构:前一部分表示该主机所连接 的分组交换机的编号,后一部分表示所连接的分组交换机的端 口号(或主机号)。
3. 数据报和虚电路优缺点分析
1)传输短报文时数据报服务有优势 + 若报文长度较短,在128个字节之内,可采用128个
字节为分组长度,则往往一次传送一个分组就可以 了。这样,用数据报既迅速又经济。若用虚电路, 为了传送一个分组而建立虚电路和释放虚电路就很 浪费网络资源。 2)虚电路服务减少数据流量的额外开销 + 在交换节点进行数据存储转发时,若使用数据报, 每个分组必须携带完整的地址信息。而使用虚电路 时,每个分组不需要携带完整的目的地址,而仅需 要有个很简单的虚电路号码的标志,这就使分组的 控制信息部分比特数减少,因而减少了额外开销。
完成虚电路服务过程的步骤:
(1) 虚电路的建立 所谓建立一条虚电路,实际上就是填写源节点与目的节
点之间沿途各节点的入口出口表。 (2) 数据传送 虚电路建立后,所有待发的数据分组均由此虚电路传送。
这样,在传输一个分组时,分组头部不需要填入目的节 点的完整地址,只要带上虚电路号就可以了。 (3) 虚电路的释放 当数据传输结束后,源主机发一呼叫清除分组给目的主 机,目的主机送回一清除确认分组给源主机。至此,该 虚电路就释放了,即从入口出口表中删去相应信息。
– 当网络发生拥挤时,数据报服务可以迅速为单 个分组选择流量较少的路径。
第五章 网络层
2. 选择性洪泛算法(selective flooding) 洪泛法的一种改进。将进来的每个包仅发送到 与正确方向接近的线路上。 3. 应用情况 路由器和线路的资源过于浪费,实际很少直接 采用; 具有极好的健壮性,可用于军事应用; 作为衡量标准评价其它路由算法。
基于流量的路由算法 (Flow-Based Routing)
2.
数据报服务(datagram)
提供无连接的服务 主机有数据可随时发送 每个分组携带完整的目的地址,独立进行路由选择
虚电路和数据报比较 (1)
数据报 电路设置 不需要 虚电路 需要
地址
状态信息 路由选择 路由器失败 的影响 拥塞控制
每个分组都有源和目 的端的完整地址
子网不存储状态信息 对每个分组独立进行 除了在崩溃时丢失分 组外,无其它影响 难
每个路由器维护一张表,表中给出了到每个目 的地的已知最佳距离和线路,并通过与相邻路 由器交换距离信息来更新表;
距离向量路由算法(2) (Distance Vector Routing)
以子网中其它路由器为表的索引,表项包括两部 分:到达目的结点的最佳输出线路,和到达目的 结点所需时间或距离; 每隔一段时间,路由器向所有邻居结点发送它到 每个目的结点的距离表,同时它也接收每个邻居 结点发来的距离表; 邻居结点X发来的表中,X到路由器i的距离为Xi, 本路由器到X的距离为m,则路由器经过X到i的 距离为Xi + m。根据不同邻居发来的信息,计算 Xi + m,并取最小值,更新本路由器的路由表;
The environment of the network layer protocols.
5.1 网络层概述(2)
网络-第五章网络层PPT课件
动态路由算法
可从时间或空间上考虑路由的调整。
分布式路由算法
每个结点周期性地从相邻的结点获得网络 状态信息,同时也将本结点获得的路由通知相 邻的各结点,以使这些结点不断地根据网络新 的状态更新其路由。当网络状态发生变化时, 各个结点的路由表相互作用,必然会影响到许 多结点的路由表,因此,要经过一定的时间以 后,各路由表中的数据才能达到稳定的状态。
计算机网络
第五章 网络层
最简单的层次结构地址举例
用二进制数表示的主机地址划分为前后两部分。 前一部分的二进制数表示该主机所连接的分组交 换机的编号。 后一部分的二进制数表示所连接的分组交换机的 端口号,或主机的编号。
所连接的交换机的编号 所连接的交换机端口的编号 计算机在广域网中的地址
每个主机地址中后面的数字是指该交换机的低速端口 主机地址[1, 3]是指连接在交换机 1 的 3 号低速端口 主机地址[3, 2]是指连接在交换机 3 的 2 号低速端口
可使网内的通信量更加平衡,因而可得 到较小的平均分组时延。
分散通信量法
静态路由算法
洪泛法
当某个结点收到一个不是发给它的分组 时,就向所有与此结点相连的链路转发出去。 (振荡)当网络的通信量很小时,可使分组 的时延为最小。此外,在许多条并行发送的 路由中,显然会有一条是最佳的。
它将使网络中的分组数目迅速增长,结 果导致网络出现拥塞现象 。
这里的“最佳”是指以最低的开销 来实现路由算法 。
路由算法的分类
按路由算法能否自动适应网络状态(如通信流 量、拓朴结构等)的变化分为: ➢ 静态路由(非自适应算法) ➢ 动态路由(自适应算法) 按路由算法的作用范围分为: ➢ 内部路由协议(RIP,OSPF) ➢ 外部路由协议(BGP) 动态路由算法又包括: ➢ 距离矢量算法(RIP) ➢ 链路状态算法(OSPF)
计算机网络课件第5章网络层
计算机网络课件第5章网络层计算机网络课件第5章:网络层计算机网络中,网络层是整个网络结构的重要组成部分之一。
网络层的主要功能是实现网络之间的数据传输和路由选择,也是实现端到端通信的重要手段。
本文将介绍网络层的定义、结构、协议和技术,以及网络层在计算机网络中的作用和重要性。
一、网络层的定义在计算机网络中,网络层是数据传输过程中的一个层次。
它负责将上层传来的数据包进行转发,实现端到端的数据传输。
网络层还负责为每个数据包选择一个最佳的传输路径,以保证数据能够快速准确地传输到目的地。
二、网络层的结构网络层的结构通常由两部分组成:数据包和路由器。
数据包是网络层传输的基本单位,它包含了数据和一些元信息,如源地址、目的地址等。
路由器是网络层的核心设备,它负责数据包的路由选择和转发,是保障数据传输的重要环节。
三、网络层的协议在网络层中,常用的协议有IPv4和IPv6。
IPv4是目前使用最广泛的网络协议之一,它采用32位地址,能够支持约42亿个地址。
IPv6则是IPv4的升级版本,采用了128位地址,能够支持更多数量的地址。
此外,网络层还涉及到一些其他的协议,如ICMP、ARP、RARP等。
ICMP是Internet控制报文协议,主要用于网络故障诊断和错误报告。
ARP(Address Resolution Protocol)是地址解析协议,它解决了网络层地址与物理层地址之间的映射问题。
RARP则是反向地址解析协议,可以根据物理地址找到对应的网络地址。
四、网络层的技术网络层的技术主要涉及到路由选择算法和路由协议。
路由选择算法负责选择最佳的传输路径,其中最常用的算法有Dijkstra算法、Bellman-Ford算法和SPF算法等;而路由协议则负责路由器之间的通信和信息交换,包括OSPF协议、BGP协议、RIP协议等。
此外,网络层还涉及到一些技术,如IP负载均衡、VPN、VLAN等。
IP负载均衡能够将流量分散到多个服务器上,提高服务的可靠性和性能;VPN则提供了网络隔离和保密的功能,适用于企业间互联和远程访问等场景;VLAN则将整个局域网分成若干个虚拟网络,提高了网络的安全性和可维护性。
精品课件-物联网信息安全-第5章 物联网网络层安全
物联网网络层安全
物联网网络层安全特点
(4) 多源异构的数据格式使网络安全问题更复杂 物联网在感知层从各种感知节点所采集的数据海量且多源异构, 致使网络接入技术、网络架构、异构网络的融合技术和协同技 术等相关网络安全技术必须符合物联网业务特征;
物联网网络层构成:主要由网络基础设施、网络管理及处理系 统组成。
物联网的承载网络:主要用于连接终端感知网络与服务器,包括 互联网、移动网、WLAN网络和一些专业网;是一个多网络叠加 的开放性网络。
物联网网络层安全
网络层安全技术需求
物联网的特点 物联网具有:由大量机器构成、缺少人对设备的有效监控、 数量庞大、设备集群等特点。
物联网网络层安全需求 物联网安全技术
物联网工程
课程目录
针对物联承网载网络网层络安信全 息传输的攻击
(51.)1对网非络授权层数安据全的需非求法获取 基5.本1.手1段网为络:窃层取安、全篡威改胁或删除链路上的数据;伪装成网络
实体5截.1取.2业网务数络据层;安对全网技络术流和量方进行法分析;
(52.)2对近数距据离完无整线性接的攻入击安全——WLAN安全 攻5.击2.者1对无系线统无局线域链网路W中LA传N的输安的业全务威与胁信令、控制信息等进
(5) 对于网络的实时性、安全可信性、资源保证性方面的要求 均高于传统网络
如:在智能交通应用领域,物联网必须是稳定的;在医疗卫生 应用领域,物联网必须具有很高的可靠性。
基于网络层安全特点的解决方案
物联网网络层安全框架
物联网网络层安全
物联网网络层构成 物联网网络层可分为:业务网、核心网、接入网三部分;
第5章 网络层协议及分析
5.4.3 IP协议分析
子网地址的获得:IP地址与子网掩码进行“按位 与”的运算 举例:求IP地址为202.112.143.171、子网掩码为 ?
255.255.255.224时的子网地址写成二进制的形式: IP地址的二进制形式为: 11001010.01110000.10001111.10101011 子网掩码的二进制形式为: 11111111.11111111.11111111.11100000 运行“按位与”的操作后,得到子网的地址为: 11001010.01110000.10001111.10100000 写成十进制的形式是:202.112.143.160, 即为子网地址
私有地址:
5.4.3 IP协议分析
IP地址的分配举例:
INTERNET
DDN
路由器 Ethernet
路由器 Ethernet PSTN X.25
主机
主机
路由器 Ethernet
IP主机 主机... 主机
普通 终端 IP主机 X.25 普通 终端 终端
主机 主机
图5.20 四个网络的互连
5.4.3 IP协议分析
特殊格式的地址形式:: 网络地址:若主机地址为全0,则表示一个网络地 址 直接广播地址:用主机地址为全1作为全网的广播 地址 有限广播地址:若地址全为1,则作为本网的广播 地址 本机地址:若地址全为0代表本机地址(这种方式 在启动时应用) 回送地址:对于网号全为1的网络地址为回送地址 (用于测试网络通信进程)
5.4.3 IP协议分析
特殊IP地址:
º ã º Ë ¸ Ã Ä × â Ò °² Ò Ê Ó µ Ì Ê
ø ç Å Í Â ¹ È « È « È « 0 0 1 ÷ú Å Ö º ¹ È « 0 ´ ¾ Ô Õ É Ã ¿ Ó É Ã ¿ Ó º É Ã ² ¿ Ó º É Ã ² ¿ Ó É Ã ¿ Ó ¿ Ä ¾ Ä µ Õ º É Ã ² ¿ Ó º É Ã ² ¿ Ó É Ã ¿ Ó É Ã ¿ Ó É Ã ¿ Ó
物联网网络层安全培训教材.pptx
5.2.3 健壮网络安全RSN
(1) IEEE 802.1X 工作原理无线网络关联 Nhomakorabea认证
AP
无线终端 STA
访问网络 资源
认证 服务器AS
LAN
2020/8/28 17/49
5.2.3 健壮网络安全RSN
(2) 扩展认证协议EAP
扩展认证协议EAP是一种认证框架,由RFC 3748定义。 支持多种认证方法,如EAP-MD5 、EAP-TLS、EAP-IKE
1.RSNA建立
方 法 2 : 基 于 预 共 享 密 钥 PSK (Pre-Shared Key) 建 立 RSNA,实现认证和密钥管理。
基本过程与方法1一致,不同之处是不需要密钥协商,直接使 用预共享密钥PSK作为初始主密钥PMK。
2020/8/28 14/49
5.2.3 健壮网络安全RSN
2.认证
RSNA无线网络安全协议栈
无线终端 STA
80820.21.11XX((EEAAPPooLL))
802.11
访问节点 AP
EAP-TLS
EAP
认证 服务器AS
RADIUS UDP/IP
2020/8/28 15/49
5.2.3 健壮网络安全RSN
(1) IEEE 802.1X
一种基于端口的网络接入控制协议,提供一种对入网设备的 认证机制。
WPA可选采用IEEE 802.1X 和扩展认证协议EAP 对每 一次关联实现更强的认证,并协商生成一个新鲜的共享密 钥。
2020/8/28 10/49
5.2.3 健壮网络安全RSN
无线保护接入WPA
WPA采用临时密钥完整性协议TKIP实现数据保密性和完整性 保护,仍使用RC4算法加密数据,但包括一个密钥混合函数和 一个扩展的初始向量空间,用于构造非关联且新鲜的每包密钥。
第5章 网络层教案(计算机网络)
第5章网络层教学目标:1、掌握网络层功能2、理解IP地址分类3、理解划分子网的方法4、了解路由器的功能5、掌握路由和路由协议的概念6、理解网络层协议和功能教学重点:1、IP地址分类2、划分子网3、路由和路由协议的概念教学难点:子网的划分教学课时:2课时教学方法:讲授法、讲解法、演示法、讨论法、练习法教学过程及内容:第5章网络层5.2 网络层功能一、网络层功能:完成数据包寻址和路由的功能走哪一条?二、网络层地址:1、网络层协议定义了识别网络中主机的地址2、地址包括网络部分和主机部分三、网络层协议:在TCP/IP协议栈中,运行在网络层的协议主要有:⏹IP(Internet Protocol )协议:负责网络层寻址、路由选择、分段及包重组。
⏹地址解析协议(ARP ,Address Resolution Protocol):负责把网络层地址解析成物理地址,比如MAC地址。
⏹逆向地址解析协议(RARP ,Reverse ARP):负责把硬件地址解析成网络层地址。
⏹Internet控制信息协议(ICMP ,Internet Control Message Protocol):负责提供诊断功能,报告由于IP数据包投递失败而导致的错误。
⏹Internet组管理协议(IGMP ,Internet Group Management Protocol):负责管理IP组播组。
5.3 IP地址一、IP地址的概念:1、IP地址的结构:IP地址是32位的二进制数。
每个IP地址被分为两部分,网络ID和主机ID网络ID主机ID2、 IP 地址的表示方法:在计算机内部,IP 地址是用二进制数表达的,共32bit 。
例如:11000000 10101000 00000101 01111011;然而,使用二进制表示,很不方便我们记忆,通常把32位的IP 地址分成四段,每个8个二进制为一段,每段二进制分别转换为我们习惯的十进制数。
并用点隔开。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于验证的攻击
设备验证:无线设备与AP互相验证
AP配置验证:访问配置菜单,试图修改AP的网络安全特性
恶意接入点:合法用户擅自安装AP并隐瞒 AP有安全隐患,为攻击者埋下伏笔 允许用户绕过内部安全网络,降低整体安全性 对策:NAC,防止未授权用户访问有线网络;扫描发现恶意AP
非法接入点:攻击者将自己的AP伪装成有效AP 不加密AP
协议更复杂 帧格式更复杂 漏洞更多 攻击更常见
基于头部的攻击
无线以太网帧头部大多数域由硬件控制器控制 基于头部的攻击有限 导致攻击设备不能正常通信
基于协议的攻击
协议主要由硬件实现,实施攻击较复杂
攻击:
将数据包嵌入介质中 探测/钓鱼 发送大量信号引起阻塞
减少探测的方法:
加密 NAC(Network Access Control) 避免使用人名、公司名、家庭地址作为SSID
基于协议的攻击(无) 网络控制器故障
基于验证的攻击(较难) ARP攻击 填满交换机地址表 源地址与其中一台设备相同 对策:网络访问控制NAC 验证连接ISP的设备
基于流量的攻击(容易) 流量嗅探 用大类的流量造成网络崩溃 对策:加密,VLAN
无线以太网协议?
802.11(a-z)
Wifi 802.11a或802.11b 11Mbps~54Mbps 100m
网络嗅探
AP (Access Point)访D:Service Set ID
发现AP--接入网络--发送流量
CSMA/CA 介质空闲,等待随机时间片
无线以太网 VS 有线以太网
验证密钥 会话密钥 对抗流量嗅探
常用对策——VLAN
虚拟局域网VLAN
静态VLAN 基于固定端口 对抗ARP攻击 防止端口映射表攻击
动态VLAN 基于设备的硬件地址 根据硬件地址验证设备
常用对策——NAC
网络访问控制NAC 验证每一台设备 使用动态VLAN强制通过基于策略分割的设备执行策略 如果为授权则不允许访问网络或隔离为一个独立的网络
第5章 物理网络层概述
针对物理网络层常见的攻击方法
硬件地址欺骗 网络嗅探 物理攻击
以太网
Q:接收方如何知道帧的长度?
CSMA/CD载波侦听多路访问/冲突检测 先听后说,边说边听 改善:以太网交换机,端口表
针对有线网络协议的攻击?
基于头部的攻击(有限) 源地址与目标地址设成相同 过短或过长数据包(>1500B, <46B) 依靠设备自身安全
本章小结
本次课需要熟练掌握物理网络层存在的漏洞与攻击,了解对策及相关技 术。
课后作业
1、教材P82课后作业11-14 2、预习附录A 密码学 3、复习第5章,下次课测验,准备空白纸一张。
获取AP访问控制权 对策:修改AP默认密码,加密
基于流量的攻击
无线网络流量嗅探
对策:加密
WEP:Wired Equivalent Privacy有线等效保密。对在两台设备之间无线 传输的数据进行加密,防止窃听或入侵
WPA:Wi-Fi Protect Access, Wi-Fi访问保护协议,同时使用验证和加密, 为家庭或企业设计