Network Security Network Security IP PACKET STRUCTURE Nhóm 3: Nhóm 3: 1.Lê Thành Công 06520051 2.Lê Huy Bảo Đạt 06520071 3.Võ Minh Duy 06520113 4.Trương Nhật Minh 06520297 5.Nguyễn Hoài Phương 06520356 6.Bùi Minh Quân 06520363 7.Nguyễn Thanh Tín 06520484 8.Nguyễn Việt Tiến 06520481 9.Hồ Ngọc Minh Triết 06520506 10.Phạm Ngọc Tú 06520527 11.Đỗ Việt Tuấn 06520530 12.Lê Mạnh Tuấn 06520532 IP PACKET IP PACKET Các gói IP bao gồm dữ liệu từ lớp bên trên đưa xuống và thêm vào một IP Header.IP Header gồm các thành phần sau: IP HEADER Version: Chỉ ra phiên bản hiện hành của IP đang được dùng, có 4 bit. Nếu trường này khác với phiên bản IP của thiết bị nhận, thiết bị nhận sẽ từ chối và loại bỏ các gói tin này. Phiên bản hiện thời là 4. Thế hệ IP tiếp theo có phiên bản 6, được biết đến với cái tên IPv6. IP Header Length (HLEN): Chỉ ra chiều dài của header theo các từ 32 bit. Đây là chiều dài của tất cảc các thông tin Header. Type Of Services (TOS): Chỉ ra tầm quan trọng được gán bởi một giao thức lớp trên đặc biệt nào đó, có 8 bit. Trường này được chia như sau: ♦ Precedence (3 bits đầu tiên) : chỉ ra quyền ưu tiên của việc truyền dữ liệu, từ 0 (normal) cho đến 7 (network control panel). ♦ 3 bit cờ D, T, R: cho phép host chỉ ra là nó quan tâm đến gì nhất trong tập hợp (Delay, Throughput và Reliability). IP HEADER IP HEADER Total Length: Chỉ ra chiều dài của toàn bộ gói tính theo byte, bao gồm dữ liệu và header, có 16 bit. Để biết chiều dài của dữ liệu chỉ cần lấy tổng chiều dài này trừ đi HLEN. Trong mạng Ethernet, chiều dài tối đa là 1500 bytes (05DC bytes). Identification: Chứa một số nguyên định danh hiện hành, có 16 bit. Đây là chỉ số tuần tự, rất quan trọng trong việc phân đoạn dữ liệu. IP HEADER Flag (xDM): Một field có 3 bit, trong đó có 2 bit có thứ tự thấp điều khiển sự phân mảnh. Bit 0 = 0 (reserved): không được sử dụng. Bit 1: DF (don't fragment): với ý nghĩa "Không phân mảnh gói tin này". Nếu chiều dài gói tin lớn hơn MTU của mạng, router sẽ loại bỏ gói tin này. Bit 2: MF (more fragment): với ý nghĩa "Còn có thêm các phân mảnh khác thuộc về cùng một gói tin IP với phân mảnh này". Gói tin cuối cùng có MF=0 (không còn phân mảnh nào nữa). IP HEADER Fragment Offset: Được dùng để ghép các mảnh Datagram lại với nhau, có 13 bit. Chứa vị trí của fragment trong Datagram. Để chứa được chiều dài của gói tin IP (giá trị tối đa là 65535 byte) với 13 bit, IP sử dụng thông tin về vị trí với đơn vị là 8 byte. Do đó, chiều dài của mỗi phân mảnh phải là bội số của 8, trừ phân mảnh cuối cùng. Time To Live (TTL): Chỉ ra số bước nhảy (hop) mà một gói có thể đi qua.Con số này sẽ giảm đi một khi một gói tin đi qua một router. Khi bộ đếm đạt tới 0, router sẽ loại gói này và gửi một thông điệp báo lỗi tới nguồn gửi. Đây là giải pháp nhằm ngăn chặn tình trạng lặp vòng vô hạn của gói tin. IP HEADER IP HEADER Protocol: Chỉ ra giao thức lớp trên, chẳng hạn như TCP hay UDP, tiếp nhận các gói tin khi công đoạn xử lí IP hoàn tất, có 8 bit. Header CheckSum: Giúp bảo dảm sự toàn vẹn của IP Header, có 16 bit. Do giá trị TTL được thay đổi ở mỗi router, do đó checksum được tính lại tại mỗi router. Tuy nhiên một router không phải tính tổng của toàn bộ 16-bit words, mà nó có thể tính checksum mới dựa trên giá trị checksum cũ và TTL mới. IP HEADER Source Address: Chỉ ra địa chỉ của node truyền diagram, có 32 bit. Destination Address: Chỉ ra địa chỉ IP của Node nhận, có 32 bit. IP option : có độ dài thay đổi và nó có thể có hoặc không trong header.Nó chứa các thông tin tuỳ chọn cho người sử dụng như : dò đường,bảo mật, Padding : Trường điền thêm các số 0 để đảm bảo các header kết thúc tại 1 địa chỉ là bội của 32 IP spoofing (sự giả mạo IP) Một người giả mạo địa chỉ IP nguồn của các gói gửi tới firewall. Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không thỏa. Tất nhiên người đó muốn tìm hiểu về luật của firewall để khai thác vào điểm yếu này. [...]... hoạt động Filter Packet ♦ Các gói IP thường được lọc dựa vào thông tin trong các tiêu đề gói: - Các số giao thức - Các địa chỉ IP nguồn và đích - Các số cổng nguồn và đích - Các cờ nối kết TCP - Một số tùy chọn khác Filter Packet ♦ Không phải tất cả router đều có thể lọc các gói IP dựa vào tất cả trường tiêu đề được đề cập ở trên ♦ Một số router không thể xem xét cổng nguồn của một gói IP Điều này làm... gói IP dựa vào tất cả trường tiêu đề được đề cập ở trên ♦ Một số router không thể xem xét cổng nguồn của một gói IP Điều này làm cho những qui tắc lọc gói trở lên phức tạp hơn và ngay cả tạo ra những lổ hổng trong toàn bộ sơ đồ lọc gói – Ví dụ, server Telnet vốn thường lắng nghe tại cổng 23 có thể được yêu cầu lắng nghe tại cổng 7777 Những người dùng trên Internet sau đó có thể sử dụng một client Telnet . đưa xuống và thêm vào một IP Header .IP Header gồm các thành phần sau: IP HEADER Version: Chỉ ra phiên bản hiện hành của IP đang được dùng, có 4 bit. Nếu trường này khác với phiên bản IP của thiết. 06520363 7.Nguyễn Thanh Tín 06520484 8.Nguyễn Việt Tiến 06520481 9.Hồ Ngọc Minh Triết 06520506 10.Phạm Ngọc Tú 06520527 11.Đỗ Việt Tuấn 06520530 12.Lê Mạnh Tuấn 06520532 IP PACKET IP PACKET Các gói IP bao. control panel). ♦ 3 bit cờ D, T, R: cho phép host chỉ ra là nó quan tâm đến gì nhất trong tập hợp (Delay, Throughput và Reliability). IP HEADER IP HEADER Total Length: Chỉ ra chiều dài của toàn