网络攻防学习笔记 Day24

AH 协议主要用于增强 IP 层安全，可以提供 IP 包的数据完整性、数据来源认证和抗重放攻击服务。

AH 协议也是由 IP 协议承载的。协议字段值是 51 则表示承载的是 AH 协议（TCP 是 6，UDP 是 17）。如果一个 IP 包封装的是 AH 协议，则在 IP 包首部（包括选项字段）后面紧跟的就是 AH 协议首部。

AH 传输模式和 NAT 不能同时使用，或者说 AH 不能穿过 NAT。

AH 保护的部分字段包括：版本、首部长度、总长度、标识、协议、源地址、目的地址，以及 AH 首部中除“认证数据”以外的其他字段。

IPsec 利用序列号域来实现抗重放攻击服务。序列号域的初始值是 0，每发送一个包就递增 1，如果要实现抗重放攻击，则发送方不允许循环计数（即达到最大值 232-1 时返回到 0），否则，一个序列号可能会对应很多合法的包。

ESP 协议除了能够提供 IP 包的数据完整性、数据来源认证和抗重放攻击服务，还提供数据包加密和数据流加密服务。ESP 认证的数据范围要小于 AH 协议。

在 ESP 协议中，认证和加密都要求提供 NULL 算法，主要原因是认证和加密是可选的，但是 ESP 协议规定认证和加密不能同时为 NULL，即必须至少选其一。

通信的任何一方具有私有地址或在安全网关后面，仍然可以用 ESP 来保护其安全，因为 NAT 网关或安全网关可以修改 IP 首部中的源／目的 IP 地址来确保双方的通信不受影响。

传输模式适合于保护支持 ESP 协议的主机之间的通信连接，而隧道模式则在包含防火墙或其他用于保护可信内网不受外网攻击的安全网关的配置中比较有效。

IKEv1 定义了 4 种密钥交换模式：主模式、积极模式、快速模式和新组模式。前三种模式用于协商 SA，最后一个用于协商 Diffie-Hellman 算法所用的组。

某些流量可能需要主机间的 IPsec 服务的同时还需要在安全网关（如防火墙）间得到 IPsec 提供的服务。在这些情况下，同一个流量可能需要多个 SA 才能获得想要的 IPsec 服务。这些为提供特定 IPsec 服务集而组合在一起的 SA 系列称为“安全关联束（Security Association Bundle）”。

主流的二层隧道协议包括 PPTP（Point to Point TunnelingProtocol，点对点隧道协议）、L2TP（Layer 2 TunnelingProtocol，二层隧道协议），三层隧道协议包括 GRE（GenericRouting Encapsulation，通用路由封装协议）、IPsec，应用层隧道协议则包括 SSL VPN。其中，IPsec VPN 是应用最广泛的 VPN 技术。