第4章-数据安全防护(PPT).ppt
《第4章-数据安全防护(PPT).ppt》由会员分享,可在线阅读,更多相关《第4章-数据安全防护(PPT).ppt(94页珍藏版)》请在冰点文库上搜索。
第4章数据安全防护,2,教学要求:
网络中数据的安全是网络安全的重要部分。
本章我们从几个不同的角度讲解网络数据的安全防护。
主要内容:
数据存储安全数据加密与鉴别数据通信安全教学重点:
数据加密的基本概念与方式,3,4.1数据存储安全,4.1.1磁盘阵列备份4.1.2对现有数据的保护,4,4.1数据存储安全,数据存储安全实际上有两个部分:
对于运行中的数据常常使用磁盘阵列技术保证其安全。
对于静态数据常常使用数据备份等技术保证其安全。
服务器市场上常用的磁盘阵列技术是廉价冗余磁盘阵列(RAID,RedundantArrayofInexpensiveDisk)技术。
使用RAID技术(特点)可以提高数据的安全性外;可以加快系统运行的速度;提高系统的数据容量。
5,原理:
其实现的基本方法是使用一定的策略将多个磁盘连接在一起协同工作。
RAID是通过磁盘阵列与数据条块化方法相结合,以提高数据可用率的一种结构。
6,1RAID0,RAID0(Striping阵列没有数据冗余,没有校验信息)又称直接硬盘分段原理:
RAID0将多个磁盘构建成1个逻辑盘,然后将连续的数据分割成多块,并且分别写在多个磁盘上。
因为多个磁盘有多个通道,所以对多块数据进行写的时候可以同时进行,所以从理论上讲,有几块磁盘构成RAID0,其写盘的速度就可提高几倍。
优点:
很高的数据传输率(读写速度快);缺点:
降低了数据的安全性。
7,应用范围:
对数据传输的速度要求很高,但对安全性的要求相对较宽松,这种情况可以考虑将磁盘阵列配置为RAID0。
应用:
在图像工作站中进行图像编辑或图像生成对数据传输的速度要求很高,但对安全性的要求较宽松。
8,2RAID1,RAID1(镜像(Mirror)阵列有数据冗余,无校验信息)称为镜像技术原理:
硬盘镜像最简单的形式,通过把两个硬盘连结在一个控制器上来实现的。
数据写在某一硬盘上时,它同时被写在相应的镜像盘上。
当一个盘驱动器发生故障,计算器系统仍能正常工作,因为它可以在剩下的那块好盘上操作数据。
9,优点:
提高了数据安全性:
平衡了度请求负荷,提高度速率;缺点:
未改善写数据的性能;费用高适用范围:
RADI1适用于对安全性要求高,且不能降低运行速度,资金又有一定保证的场合。
适用:
如证券公司的系统等。
10,3异或(XOR)操作产生奇偶校验,从RAID2到RAID5都是用异或(XOR)操作产生奇偶效验数据,当系统中有一个硬盘发生故障时,也是用异或操作重建数据。
异或运算有个特性,就是异或运算中的任何一个数,都可由其它所有数(包括结果)经异或运算得到。
RAID2-RAID5的基本工作原理如果有N块磁盘,将N-1块磁盘的数据做异或运算放到第N块磁盘上,那么这N块磁盘中任何一个盘中相同位置的数据丢失都可由其他所有盘上的同样位置的数据重建得到。
11,4RAID2,从概念上讲,RAID2同RAID3类似,两者都是将数据条块化分布于不同的硬盘上,条块单位为位或字节。
然而RAID2使用称为加重平均纠错码的编码技术来提供错误检查及恢复。
这种编码技术需要多个磁盘存放检查及恢复信息,使得RAID2技术实施更复杂,因此在商业环境中很少使用。
12,5RAID3,RAID3原理:
使用单块磁盘存放奇偶校验信息。
如果一块磁盘失效,奇偶盘及其他数据盘可以重新产生数据。
如果奇偶盘失效,则不影响数据使用。
RAID3采用的是一种较为简单的校验实现方式,使用一个专门的磁盘存放所有的校验数据,而在剩余的磁盘(逻辑盘)中创建带区集分散数据的读写操作。
13,RAID3优点可以象RAID1那样提供容错功能;成本低。
而且容量的额外开销从RAID1的1/2下降为1/N(N为磁盘的数量)。
随着所使用磁盘数量的增多,成本开销会越来越小。
对于大量的连续数据可提供很好的传输率。
14,缺点造成写瓶颈适用范围RAID3适合于那些写入操作较少,读取操作较多的应用环境适用如数据库和WEB服务等。
15,RAID3对系统的性能造成的影响,数据盘和校验盘完好时的读操作:
只需要在数据存储盘中找到相应的数据块进行读取操作即可,不会增加任何额外的系统开销。
数据盘和校验盘完好时的写操作:
16,对任何一个数据盘写数据时,都要重写校验盘。
因此,必须在写入新数据后,读出所有数据盘的数据,然后做异或操作,最后写校验盘。
因此,一次写的操作至少包含:
两次写盘,N-1(N为RAID3所包含的总磁盘数)次读盘,系统的性能会降低很多,称这种写盘时的性能降低为“写损失”。
当然在RAID3的操作过程中也可做一些优化,如写数据时以条块为单位,则可减少一次读操作(不需要读刚写入数据的条块)。
17,RAID3对系统的性能造成的影响,校验盘损坏时的读操作:
只需要在数据存储盘中找到相应的数据块进行读取操作即可,不会增加任何额外的系统开销。
数据盘损坏时的读操作:
如果要读已损坏的数据盘,则必须同时读出其他未损坏盘的数据和校验盘的数据,然后做异或运算,获得数据。
可见这种情况下一次读操作变为N-1次读操作加相应的异或运算,效率会下降很多。
18,当我们更换了损坏的磁盘之后,系统必须一个数据块一个数据块的重建坏盘中的数据。
虽然整个过程都是在后台自动进行,但在重建新盘数据的时候整个系统的性能会受到严重的影响。
19,6RAID4,同RAID2,RAID3一样,RAID4,RAID5也同样将数据条块化并分布于不同的磁盘上,但条块单位为块或记录。
RAID4使用一块磁盘作为奇偶校验盘,每次写操作都需要访问奇偶盘,成为写操作的瓶颈。
在商业应用中很少使用。
20,7RAID5,RAID5原理:
没有单独指定的奇偶盘,而是交叉地存取数据及奇偶校验信息于所有磁盘上。
RAID5使用了一种特殊的算法,可以计算出任何一个带区校验块的存放位置。
在RAID5上,读/写指针可同时对阵列设备进行操作,提供了更高的数据流量。
RAID5更适合于小数据块,随机读写的数据。
21,特点:
当然在RAID5中也有“写损失”,即每一次写操作,将产生多个实际的读/写操作,其中N-2次(N为构成RAID5的磁盘数)读旧的数据及奇偶信息,两次写新的数据及奇偶信息。
22,(8)几种RAID技术的比较,RAID5的性能会比RAID3得到提高;用分布式奇偶盘的方式比起用专用奇偶盘,瓶颈效应发生的可能性要小;RAID5比RAID0优越,但就写性能来说,RAID5不如RAID0;镜像技术(RAID1)和数据奇偶位分段(RAID5)都产生冗余信息。
在RAID5用数据的非常紧凑的表现方式,来恢复由于某一硬盘故障而丢失的数据;,23,于事务处理环境,RAID5提供了将高性能,低价格和数据安全性的平衡的解决办法。
RAID3和RAID5时,用N个硬盘时,有大约1/N的硬盘空间用于存放奇偶码,可见硬盘系统中的硬盘越多该系统就越省钱。
RAID5把硬盘分段和奇偶冗余技术的优点结合在一起,这样的硬盘子系统特别适合。
24,9几种RAID的组合应用,RAID6与RAID5相比,增加了第二个独立的奇偶校验信息块。
两个独立的奇偶系统使用不同的算法,数据的可靠性非常高。
即使两块磁盘同时失效,也不会影响数据的使用。
但需要分配给奇偶校验信息更大的磁盘空间,相对于RAID5有更大的“写损失”。
RAID6的写性能非常差,较差的性能和复杂的实施使得RAID6很少使用。
RAID10也称为RAID1+0是先对若干物理磁盘分别镜像成RAID1,再将这若干个RAID1逻辑盘做成RAID0阵列。
这样既有了RAID1的安全性,又有了RAID0的高性能,只是成本比做RAID0提高1倍。
25,(10)实际使用中的常见配置,RAID技术提供了从硬盘故障中恢复数据的新方法。
因为数据是有冗余的,数据有效性很高(即使在硬盘发生故障时)。
另一重要优点是,恢复数据的工作不用立即进行,因为系统可以在一个硬盘有故障的情况下正常工作,当然在这种情况下,剩下的系统就容错性能会降低。
要避免丢失数据就必须在第二个硬盘故障前恢复数据。
更换故障硬盘后,,26,要进行数据恢复。
在镜像系统中“镜像”盘上有一个数据备份,因此故障硬盘(主硬盘或镜像硬盘)通过简单的硬盘到硬盘的拷贝操作就能重建数据,这个拷贝操作比从磁带上恢复数据要快得多。
27,RAID0+1则是先将这若干个磁盘做成RAID0逻辑盘,再将两个逻辑盘镜像成RAID1。
这样既有了RAID0的高性能,又有了RAID1的安全性,但也是成本比做RAID0提高1倍。
RAID50则是先对若干物理磁盘分别做成RAID5,再将这若干个RAID5逻辑盘做成RAID0阵列。
这样既有了RAID5的安全性,又有了RAID0的高性能,只是成本比单独做RAID0提高1/N倍。
28,4.1.2对现有数据的保护,对现有数据的保护最基本的方法是进行数据备份。
数据备份作用:
是数据高可用和高可靠的最后一道防线,其目的是为了系统数据崩溃时能够快速的恢复数据。
29,传统的备份主要是采用内置或外置的磁带机进行冷备份。
手工加载磁带机,主要适用于存储数据容量较小的中小型企业。
自动加载磁带机。
主要是一些企业级磁带机。
可选择磁带库、光盘塔、光盘库等存储设备进行本地数据备份存储。
这样备份数据的方法不适用于大型企业。
数据备份的方法,30,异地容灾系统,设计一个容灾备份系统,需要考虑多方面的因素备份/恢复数据量大小;应用数据中心和备援数据中心之间的距离和数据传输方式;灾难发生时所要求的恢复速度;备援中心的管理及投入资金等。
31,容灾备份等级,根据这些因素和不同的应用场合,常见的有以下四个:
第0级,本地数据备份。
只在本地进行数据备份,容灾恢复能力较弱,并且被备份的数据磁带只在本地保存,没有送往异地。
第1级,异地冷备份在本地将关键数据备份,然后送到异地保存。
灾难发生后,按预定数据恢复程序恢复系统和数据。
这种容灾方案也是采用磁带机、磁带库、光盘库等存储设备进行本地备份。
32,容灾备份等级,第2级,异地热备份在异地建立一个热备份点,通过网络进行数据备份。
通过网络以同步或异步方式,把主站点的数据备份到备份站点。
备份站点一般只备份数据,不承担业务。
当出现灾难时,备份站点接替主站点的业务,从而维护业务运行的连续性。
33,这种异地远程数据容灾方案的容灾地点通常要选择在距离本地不小于20公里的范围,采用与本地磁盘阵列相同的配置,通过光纤实现本地关键应用数据的实时同步复制。
在本地数据及整个应用系统出现灾难时,系统至少在异地保存有一份可用的关键业务的镜像数据。
该数据是本地生产数据的完全实时拷贝。
34,容灾备份等级,第3级,异地互助热备份该方案与异地热备份的区别在于,不单独建设热备份中心,而是与别的已有的中心互相构成对方的备份中心。
这两个数据中心系统分别在相隔较远的地方建立,它们都处于工作状态,并进行相互数据备份。
当某个数据中心发生灾难时,另一个数据中心接替其工作任务。
通常在这两个系统中的光纤设备连接中还提供冗余通道,以备工作通道出现故障时及时接替工作,如银行的各省分行间可使用这种方案。
35,4.2数据加密与鉴别,4.2.1基本概念4.2.2共享密钥加密(对称加密系统)4.2.3DES(数据加密标准)4.2.4IDEA(国际数据加密算法)4.2.5公开密钥/私有密钥(非对称加密),36,4.2.1基本概念,保证信息在网络传输过程中的私密性、真实性和不可否认性,就是数据加密与鉴别所要完成的工作。
信息在网络中的安全问题实际上涉及以下几点:
37,
(1)信息的私密性:
即信息只能被合法的接收者得到。
(2)信息的真实性:
即要能鉴别出接收到的信息是合法的发送者发送的,而且在网络传输过程中未被修改过(包括接收者本人的修改也能被鉴别出来)。
(3)信息的不可否认性:
即接收者如果接收了某信息,他能够凭接收的信息证明发送者发送过该信息。
38,4.2.1基本概念,要解决上面的问题要用到以下技术:
(1)信息的加密技术。
现代计算机加密系统应包括:
未加密的明文、加密后的密文、加密解密设备或算法、加密解密的密钥。
发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。
接收方在收到密文后,用解密密钥将密文解密,恢复为明文。
如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。
39,
(2)信息的鉴别技术。
信息的鉴别技术实际上也是信息加密技术的应用,只是其实现目的和实现方式有所区别而已。
鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。
一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。
40,数据加密过程,加密/解密示意图,41,基本概念明文:
能读懂的原始消息,如密文:
变换后让人读不懂的消息,如加密:
明文到密文的变换;解密:
密文还原到明文的变换;加密算法:
对明文进行加密所采用的一组规则;解密算法:
对密文进行解密所采用的一组规则;密钥:
控制加密和解密所使用的一组秘密信息,由用户按照一种密码体制随机选取,是系统保密的关键。
一般说,密钥越大,加密就越健壮,HelloChina,anihcolleh,42,简单的加密举例置换加密:
明文:
同学们好对明文进行编码,同00,学01,们10,好11那么,编码后明文表示为:
00011011假设选取密钥为01加密算法为:
异或运算加密:
000110110101001110密文编码01001110,密文为:
学同好们解密:
010011100100011011又恢复为明文:
同学们好,43,4.2.2共享密钥加密(对称加密系统),共享密钥加密又称为对称加密。
收发双方使用相同密钥的密码,叫作对称式密码。
传统的密码都属此类。
常用的算法有:
DES(数据加密标准)、IDEA(国际数据加密算法)等。
共享密钥加密将明文分为许多等长的数据块,对每个数据块进行加密处理。
处理有两种基本方式。
44,一种方式是对每个数据块都直接用密钥加密得到加密数据块,如电子密码本加密就属于这种加密方式。
另一种方式称为“块加密链模式(CBC)”,即加密某一明文块前,先将其与上一个密文块做一次运算(一般是异或运算),再将结果用密钥加密,得到密文块。
对于第一块明文块,由于无上一个密文块,就人工产生一个伪随机块(初始化矢量,IV,InitializationVector)与其做运算。
目前所使用的共享密钥加密大都属于此种方式。
45,CBC的加密过程,46,CBC的解密过程,47,对称加密系统中的密钥交换技术:
在共享密钥加密方式中有个问题就是密钥本身的管理和交换。
因为发送者和接收者都要有相同的密钥,那么如果在密钥的交换过程泄密,则整个加密的作用会完全丧失。
48,解决办法一种是不使用网络传输密钥。
另一种是不使用共享密钥加密方式还有一种巧妙的办法,就是使用Diffe-Hellman密钥交换技术。
(Diffie-Hellman密钥交换技术不能防范“中间人”攻击),49,公钥密码体制下中间人攻击,A,B,中间人C,时间,电话A即可破解,B发给A的数据被C截获解密,但A和B都不知,50,中间人攻击说明,A向B发送“我是A”的报文,并给出了自己的身份。
此报文被“中间人”C截获,C把此报文原封不动地转发给B。
B选择一个不重数RB发送给A,但同样被C截获后也照样转发给A。
中间人C用自己的私钥SKC对RB加密后发回给B,使B误以为是A发来的。
A收到RB后也用自己的私钥SKA对RB加密后发回给B,中途被C截获并丢弃。
B向A索取其公钥,此报文被C截获后转发给A。
C把自己的公钥PKC冒充是A的发送给B,而C也截获到A发送给B的公钥PKA。
B用收到的公钥PKC(以为是A的)对数据加密发送给A。
C截获后用自己的私钥SKC解密,复制一份留下,再用A的公钥PKA对数据加密后发送给A。
A收到数据后,用自己的私钥SKA解密,以为和B进行了保密通信。
其实,B发送给A的加密数据已被中间人C截获并解密了一份。
但A和B却都不知道。
51,4.2.3DES(数据加密标准),基本思想将整个明文分块为一系列64位(8个字节)的明文块,并在一个64位(实用中只使用56位,另外的8位为奇偶校验位)的密钥控制下,对每个64位的明文块进行加密,形成64位的密文块。
最后,串接所有的密文块形成整个密文。
52,加密过程由16个独立的加密循环所组成,每个循环均使用一个密钥和一种加密算法(包括移位和置换),每一循环使用的密钥是对上一循环所用密钥(包括用户输入的最初密钥,称为主密钥)进行处理得到的结果。
并且,每个循环产生的密文(中间密文)均作为下一循环的输入而进行进一步的加密。
53,4.2.3DES(数据加密标准),54,安全问题DES算法的主密钥选择空间很大(256位),如果攻击者试图用穷举法来进行攻击,即使每微秒攻击一个密钥,也要耗费约2283年的时间。
但随着对DES算法研究的深入,以及高性能计算机的使用,已有人声称可以在有限时间内破译64位密钥的DES算法,因此人们提出了加长密钥(如密钥长度增加到128位)的应对措施,55,DES主要的应用范围有:
(1)计算机网络通信:
对计算机网络通信中的数据提供保护是DES的一项重要应用。
但这些被保护的数据一般只限于民用敏感信息,即不在政府确定的保密范围之内的信息。
(2)电子资金传送系统:
采用DES的方法加密电子资金传送系统中的信息,可准确、快速地传送数据,并可较好地解决信息安全的问题。
56,(3)保护用户文件:
用户可自选密钥对重要文件加密,防止未授权用户窃密。
(4)用户识别:
DES还可用于计算机用户识别系统中。
DES是一种世界公认的较好的加密算法。
57,4.2.4IDEA(国际数据加密算法),国际数据加密算法IDEA是瑞士的著名学者提出的。
它在1990年正式公布并在以后得到增强。
这种算法是在DES算法的基础上发展出来的,类似于三重DES。
发展IDEA也是因为感到DES具有密钥太短等缺点,已经过时。
IDEA的密钥为128位,这么长的密钥在今后若干年内应该是安全的。
类似于DES,IDEA算法也是一种数据块加密算法,它设计了一系列加密轮次,每轮加密都使用从完整的加密密钥中生成的一个子密钥。
与DES的不同处在于,它采用软件实现和采用硬件实现同样快速。
由于IDEA是在美国之外提出并发展起来的,避开了美国法律上对加密技术的诸多限制,因此,有关IDEA算法和实现技术的书籍都可以自由出版和交流,可极大地促进IDEA的发展和完善。
但由于该算法出现的时间不长,针对它的攻击也还不多,还未经过较长时间的考验。
因此,尚不能判断出它的优势和缺陷。
58,4.2.5公开密钥/私有密钥(非对称加密),非对称加密在加密的过程中使用一对密钥,而不像对称加密只使用一个单独的密钥。
一对密钥中一个用于加密,另一个用来解密。
如用A加密,则用B解密;如果用B加密,则要用A解密。
在这对密钥中一个密钥可以公开,我们称为公钥,另一个作为私有的密钥并不在网络中传输,我们称为私钥。
59,当使用非对称加密时,主要可以提供两个安全服务:
数据加密和数据的不可否认性。
非对称加密思想非常优秀,但它有个缺点就是加密的速度非常慢(RSA加密速度大约比DES的慢100倍至10000倍),因为需要强大的数学运算程序。
非对称加密的另一个名称叫公钥加密。
非对称加密体系的安全性建立在公钥与私钥的相互推导不可能性(就现在的技术而言)。
在互联网上通信,非对称加密的密钥管理是容易的,因为公钥可以使用明文任易传播,而私钥必须在用户手中小心保护。
60,基于RSA具有保密性的数字签名,验证签名,解密,加密,签名,E运算,D运算,明文X,明文X,A,B,A的私钥SKA,因特网,E运算,B的私钥SKB,D运算,加密与解密,签名与验证签名,B的公钥PKB,A的公钥PKA,密文,61,RSA实施的三个步骤:
(1)设计密钥
(2)加密密文(3)解密密文,62,4.3数据通信安全,4.3.1数据通信不安全的主要因素4.3.2常用网络协议的安全问题,63,4.3.1数据通信不安全的主要因素,对Internet的最大威胁不是来至外部,而是来至网络内部。
TCP/IP协议存在安全隐患。
网络的窃听与欺骗。
网络窃听网络欺骗,64,
(1)网络窃听,Internet网络实际是网间网,就是将各个大大小小的局域网、广域网通过路由器连接起来,组成的网络。
网络窃听主要发生在两个层次上:
局域网上、广域网上。
解决局域网的窃听问题。
最典型的例子就是以太网中的VLAN技术。
VLAN技术将连接局域网的交换机的端口设置成不同的虚拟子网(VLAN),各VLAN间的数据(帧)并不广播。
这样,只有在同一个VLAN中的主机才可能窃听。
这就大大降低了被窃听的可能性。
在广域网中也可能被窃听。
TCP/IP协议的核心协议是IP(InternetProtocol)协议,即绝大多数数据的传输都将通过IP包的形式,在路由器间传播。
在IP层解决被窃听的问题,现在也有一些相关的安全协议产生,如IPSEC安全协议。
IPSEC协议定义了在IP数据包中增加字段来保证IP包的完整性,私有性和真实性,及如何加密数据包。
使用IPSEC协议,数据就可安全地在公网中传输。
65,
(2)网络欺骗,网络欺骗也是对网络安全严重的的威胁。
网络欺骗的方式多种多样。
例如,最简单的网络欺骗方式:
犯罪分子通过建立虚假网站,而使用与某银行很相似的域名,通过虚假的银行网站窃取用户的银行帐号和密码。
当然这种简单的网络欺骗较易识别和防范。
这里主要讲两种技术层面的网络欺骗:
DNS欺骗和IP地址欺骗。
66,DNS欺骗,DNS是Internet上大多数服务的基础。
我们在请求WEB服务、FTP服务、EMAIL服务等一般都不直接使用服务器的IP地址,而是使用其域名。
DNS本身也是一种服务器,它所提供的服务就是将域名转换为IP地址。
任何DNS服务器都不可能存储整个Internet的域名IP地址对应关系。
当某个域名在本DNS服务器上查不到的时候,它会按一定规则联系其他DNS服务器查询域名的IP地址(称为递归查询),然后并不验证该结果是否正确,即传回给用户,并将该域名IP地址对应关系存在自己的数据库中。
对付DNS欺骗最根本的解决办法是加密所有对外的数据流,对服务器来说就是尽量使用SSH之类的有加密支持的协议。
另外,对一般用户还有个最简单的办法,就是在登陆重要网站(如银行网站)的时候,尽量直接使用IP地址。
67,IP地址欺骗,所谓IP地址欺骗,就是伪造身份与他人联系。
例如,B可以合法地与A建立联系,但在IP层A是怎么判断B发来的包的合法性呢?
只能通过包的源IP地址判断。
C是黑客,C可以轻易将自己发给A的IP包的源地址改为B的IP地址,这样A就会将C误认为是B。
当然还有个问题,A发回的包的目标地址仍然是B,如果B收到这样的包就可能发现有人在冒充自己。
C可以通过大量发包给B,使B不能接收到A传来的包,也可以通过改变A与B间的路由器中的路由,使A发向B的IP包直接传给C。
解决这类攻击的一种最容易的办法就是,不要以源IP地址为验证的条件,即不要使用以IP源地址为验证条件的服务(如rlogin、rsh等)。
另外在内外网间设置防火墙,并正确配置策略,如,对从外进入的源地址却为内部地址的包应全部过滤。
68,4.3.2常用网络协议的安全问题,ARP的安全问题ICMP协议的安全性IP协议的安全性TCP协议的安全性FTP协议HTTP协议,69,
(1)ARP的安全问题,在以太网中网卡只能识别MAC地址(即网卡的物理地址)。
而我们的TCP、UDP或ICMP等上层协议却使用IP地址。
ARP的目的就在于将IP地址转化为MAC地址。
ARP表是动态的表,为什么要设置成动态的呢,因为以太网本身在不断地变化,如一台主机可能变换了IP地址,或更换了网卡。
如果ARP表不随之变化将不能找到变化后的主机。
但也正是因为ARP表的动态变化造成了ARP的安全漏洞。
70,
(2)ICMP协议的安全性,I
升级会员 