網路安全管理 何謂「安全」(Security) 保護資產之機密性、完整性與可用性;得增加諸如可鑑別性、可歸責性、不可否認性與可靠性。 C: 機密性(Confidentiality) 資產不得被未經授權之個人、實體或程序所取得或揭露的特性。 I:完整性(Integrity) 對資產之精確與完整安全保證的特性。 A:可用性(Availability) 已授權實體在需要時可存取與使用資產之特性。 可歸責性(Accountability) 確保實體之行為可唯一追溯到該實體的特性。 可鑑別性(Authenticity) 可證明一主體或資源之識別就是其所聲明者的特性。 鑑別性適用於如使用者、程序、系統與資訊等實體。 不可否認性(Non-repudiation) 對一已發生之行動或事件的證明,使該行動或事件往後不能被否認的能力。 可靠性(Reliability) 始終如一預期之行為與結果的特性。
OSI七層
IP Header
IP Header (cont.) Version : IP版本 (v4/v6) Header Length : IP header長度 Type of Service : 傳送品質的要求 Bits 0-2 : Precedence. 0~7.資料傳送的優先順序 Bits 3: 0=Normal Delay, 1=Low Delay Bits 4: 0=Normal Throughput, 1=High Throughput Bits 5: 0=Normal Reliability 1=High Reliability Bits 6-7 : reserved Total Length : 本segment的大小 Identifier : 提供segment被fragment後的識別號碼
IP Header (cont.) Flags : 關於fragment的控制 位元 0 : 保留 位元 1 : 0表示可以fragment,1表示不可fragment 位元 2 : 0表示是最後一個fragment,1表示後面還有資料 Fragmented Offset : 表示分割後的fragment在原來segment中的相對位置,以8個位元組為offset的單位 Time to Live : segment在網路中保留的時間 Protocol : IP上一層的網路協定 Header Checksum : IP header checksum Source Address : Source IP address Destination Address : Destination IP address Options : Segment測試或除錯之用 Padding : 使header長度以32個位元結束
TCP的基本機制 為每個segment編上序號,可以利用序號調整亂掉的segment 接收端的確認回應(ACK), 總和檢查碼(Checksum), 計時器(Timer)的配合使用,提供穩定的服務品質 利用Window Control控制資料流量 因為ACK機制,故傳輸速度受RTT影響極大,接近反比關係
TCP Header (Transmission Control Protocol)
TCP Header (cont.) Sequence Number : 表示此資料段在訊息中的序號,接收端依序組合資料段 Acknowledgment Number : 接收端希望下次收到的序號,也是回應已收到封包 Header Length : TCP Header的長度 Reserved : 保留給未來使用 Flags : 由6個bits所組成,控制資料的傳輸與連結 URG : 緊急指標 ACK : 如果設定,表示此封包有一個回應 PSH : push function RST : 重設連結 SYN : 建立順序號碼 FIN : 傳送資料到此為止
TCP Header (cont.) Window Size : 使用於流量控制,表示能接收資料的數目(以8個位元組為單位) Checksum : 錯誤偵測號碼 Urgent Pointer : 緊急指標。URG flag為1時,此欄位才生效 Options : 此資料段的發送者告訴對方能接受的最大資料段長度 Padding : 使header長度以32個位元結束
Three-Way Handshack
(User Datagram Protocol) UDP Header 格式 (User Datagram Protocol)
UDP Header Source Port : 來源端通訊埠號碼 Destination Port : 發送端通訊埠號碼 UDP Length : 整個資料段的長度 Checksum : 選擇性的選項