北京建设网网站,html5手机网站制作教程,微信群如何推广网站建设,抖音官方推广渠道作者简介#xff1a;一名云计算网络运维人员、每天分享网络与运维的技术与干货。 座右铭#xff1a;低头赶路#xff0c;敬事如仪 个人主页#xff1a;网络豆的主页 目录 前言
一.数据链路层安全协议简介
1.数据链路安全性
二.局域网数据链路层协议
1.… 作者简介一名云计算网络运维人员、每天分享网络与运维的技术与干货。 座右铭低头赶路敬事如仪 个人主页网络豆的主页 目录 前言
一.数据链路层安全协议简介
1.数据链路安全性
二.局域网数据链路层协议
1.本地链路局域网(LAN) 2.广域网WAN)
3.IEEE802局域网数据链路层协议
1数据链路层包括逻辑链路控制LLC 2介质访问控制MAC)子层 3IEEE802.3 MAC数据格式
4.局域网数据链路层协议安全问题
1共享式以太网中的侦听问题
2交换式以太网中的ARP广播问题 前言
本章将会讲解数据链路层上的安全协议
一.数据链路层安全协议简介
通信的每一层中都有自己独特的安全问题网络安全问题应该在多个协议层针对不同的弱点解决。就安全而言数据链路层第二协议层的通信连接是较为薄弱的环节。
本章中我们将集中讨论与数据链路层相关的安全问题。 1.数据链路安全性
数据链路层安全性是指在数据链路各个结点之间能够安全地交换数据。它表现为以下两个方面。
(1)数据机密性。防止在数据交换过程中数据被非法窃听。(2)数据完整性。防止在数据交换过程中数据被非法篡改。
数据交换过程中的数据机密性和完整性主要是通过密码技术实现的即通信双方必须采用一致的加密算法对数据机密性和密钥交换算法等问题进行协商并达成一致协议在数据交换过程中通信双方必须按所达成的协议进行数据加密和数据认证处理以保证数据的机密性和完整性。 数据链路层安全协议增强了数据链路层协议的安全性即在数据链路层的基础上增加了安全算法协商和数据加密/解密处理的功能和过程。 二.局域网数据链路层协议
数据链路层主要是为一个网段或一段介质上结点之间的通信提供数据传输服务。数据链路层提供了数据链路的差错处理与流量控制功能将不可靠的数据链路转换成可靠的数据链路同时完成数据帧的发送与接收为网络层提供传送数据的功能和过程。
根据网络规模的不同数据链路层的协议可分为两类 1.本地链路局域网(LAN) LAN中的数据链路层协议主要通过局域网L.AN)链路将本地各个结点相互连接起来实现数据通信。 2.广域网WAN)
广域网WAN)的数据链路层协议主要通过广域网实现远程结点之间的数据通信。 不同物理链路的数据链路层协议是不同的:
本地链路的数据链路层协议一般采用IEEE802局域网协议标准
广域网链路的数据链路层协议主要采用点对点协议PPP) 3.IEEE802局域网数据链路层协议
IEEE802规范定义了网卡如何访问传输介质如光缆、双绞线、无线等)以及如何在传输介质上传输数据的方法还定义了传输信息的网络设备之间连接建立、维护和拆除途径。 遵循IEEE802标准的产品包括网卡、桥接器、路由器以及其他一些用来建立局场网络的组件。
数据链路层包括逻辑链路控制LLC子层和介质访问控制MAC)子层。 1数据链路层包括逻辑链路控制LLC
逻辑链路控制Logical Link ControlLLC是局域网中数据链路层的上层部分IEEE 802.2中定义了逻辑链路控制协议。用户的数据链路服务通过LLC子层为网络层提供统一的接口。 2介质访问控制MAC)子层
介质访问控制(medium access control)简称MAC。 是解决当局域网中共用信道的使用产生竞争时如何分配信道的使用权问题。
MAC子层的主要功能是控制对传输介质的访问MAC子层有如下两个基本职能。
1数据封装包括传输之前的帧组合和接收中、接收后的帧解析/差错检测。2介质访问控制包括帧传输初始化和传输失败恢复。3IEEE802.3 MAC数据格式
1前导码Preamble)-7字节。字段中1和0交互使用接收站通过该字段知道导入帧并且该字段提供了同步化接收物理层帧接收部分和导人比特流的方法。 2帧起始定界符Start-of-Frame Delimiter-1字节。字段中1和0交互使用结尾是两个连续的1表示下一位是利用目的地址的重复使用字节的重复使用位。3目的地址Destination Address)-6字节。该字段用于识别需要接收帧的站。4源地址(Source Addresses)-6字节。该字段用于识别发送帧的站。 (5长度/类型Length/Type)-2字节。如果是采用可选格式组成帧结构时该字段既表示包含在帧数据字段中的MAC客户机数据大小也表示帧类型ID。6数据Data一是一组r46n1500字节的任意值序列。帧总值最小为64字节。7帧校验序列Frame Check Sequence-4字节。该序列包括32位的循环冗余校验CRC值由发送MAC方生成通过接收MAC方进行计算得出以校验被破坏的帧。4.局域网数据链路层协议安全问题
通信的每一层中都有自己独特的问题。数据链路层(第二层的通信连接是较为薄弱的环节主要的安全问题如下。 1共享式以太网中的侦听问题
在共享式以太网中通信是以广播方式进行的。在理论上同一广播域内的所有主机都能够访问到在物理媒介上传送的数据包。
但在正常情况下一台网络主机应该只接收与响应两种数据帧与自己硬件地址相匹配的数据帧和发向所有主机的广播帧。 在一个实际的系统中数据的收发由网卡来完成每张以太网卡拥有一个全球唯一的以太网地址。它是一个48位的二进制数在以太网卡中内建有一个数据包过滤器作用是接收以本身网卡的MAC地址为通信目的的数据包和广播数据包丢弃所有其他无关的数据包以免除CPU对无关据包做无谓的处理这是以太网卡在一般情况下的工作方式。 在这种工作方式下以太网卡只将接收到的数据包与本机有关的部分向上传递。然面数据包过滤器是可以编程禁用的禁用后网卡将把接收到的所有数据包向上传递上一层的软件因此可以监听以太网中其他计算机之间的通信这种工作模式为混杂模式Promiscuous Mode)。多数网卡支持混杂模式使得采用普通网卡作为网络探针。 实现网络的侦听非常容易。这一方面方便了网络管理员另一方面普通用户很容易地侦听到网络通信对用户的数据通信保密是一个很大的威胁。 2交换式以太网中的ARP广播问题
交换式以太网中监听的实施除了要借助以太网卡的混杂工作模式外还利用了ARP重定向技术。 ARP地址解析协议是TCP/IP协议栈的基础协议之一。ARP提供地址解析服务用于将32位IP地址映射到以太网的48位硬件地址MAC地址)以便将报文封装成以太帧发送。其间ARP的主要功能体现在将上层的IP地址与下层的物理地址进行绑定。 ARP协议虽然是一个高效的数据链路层协议但是作为一个局域网的协议它是建立在各主机之间互相信任的基础上的因此存在一定的安全隐患内容如下。
1)主机地址映射表是基于高速缓存动态更新的这是ARP协议的特色也是安全问题之一。由于正常的主机间MAC地址刷新都是有时限的如果在下次更新之前成功地修改了被攻击主机上的地址缓存就可以进行假冒。2)ARP请求以广播方式进行。这个问题是不可避免的正是由于主机不知道通信对方的MAC地址才需要进行ARP广播请求。这样攻击者就可以伪装ARP应答与广播者真正要通信的机器进行竞争。还可以确定子网内的主机什么时候会刷新MAC地址缓存以确定最大时间限度地进行假冒。3)可以随意发送ARP应答包。ARP协议是无状态的任何主机即使在没有请求的时候也可以做出应答只要应答有效接收到应答包的主机就可以无条件地根据应答包的内容刷新本机高速缓存。4ARP应答无须认证。ARP协议是一个局域网协议设计之初出于传输效率的考虑在数据链路层就没有做安全上的防范。在使用ARP协议交换MAC时无须认证只要收到来自局域网内的ARP应答包就将其中的MAC/IP对刷新到本机的高速缓存中。创作不易求关注点赞收藏谢谢~
