linux路由协议网络协议栈.pptx

迈普学习总结;大体过程应该是这样的，中间也许有错，主要是记不大清楚了。;是指在用户的 IP 地址发生改变时，相应的 DDNS 客户端会把自己现在的变化后的 IP 地址传给 DDNS 服务器，告诉它自己的 IP 地址已经发生变化， 需要服务器将以前绑定域名的 IP 换成现在变化后的 IP 地址。如果内部在加上端口映射，那么久可以实现路由器内部的主机间接与 DNS 绑定，即其 他人通过域名就能访问的内网的某台计算上的服务器。 责任：DDNS 的测试。; 存活时间：86400 秒 Diffie-Hellman group：1 IKE 阶段二（主模式）：发送消息 2 initiator====responsor 同上 IKE 阶段三（主模式）：发送消息 3 initiator====responsor 通过 DH 算法产生共享密钥 KE（Key Exchang) Payload nonce(暂时） Payload DH 算法： A: P( 较 大 的 质 数 ） B: P( 较 大 的 质 数 ） G G PriA（ 随 机 产 生 ） PriB（ 随 机 产 生 ） PubA=G^PriA mod P PubB=G^PriB mod P 交换 PubA 和 PubB Z=PubB^PriA mod P Z=PubA^PriB mod P Z 就是共享密钥，两个自我产生的 Z 应相同，它是用来产生 3 个 SKEYID 的素材。 IKE 阶段四（主模式）：发送消息 4 initiator====responsor 同上 主模式第 3、4 条消息其实就是 DH 算法中需要交换的几个参数，然后路由器再通过 DH 算法计算出的公共密钥计算出以下 3 个参数（这 是在发送第 5、6 个消息前完成的）： SKEYID_d:留在在第二阶段用，用来计算后续的 IKE 密钥资源； SKEYID_a:散列预共享密钥，提供 IKE 数据完整性和认证； SKEYID_e:用来加密下一阶段的 message，data, preshared key，包括第二阶段。 IKE 阶段五（主模式）：发送消息 5 initiator====responsor Identity Payload：用于身份标识 Hash Payload：用来认证 以上 2 个负载都用 SKEYID_e 加密 IKE 阶段六（主模式）：发送消息 6 initiator====responsor 同上 消息 5、6 是用来验证对等体身份的。至此 IKE 协商第一阶段完成。 主要会发送 6 个报文，由于最后一组报文发送的是身份，此时身份已经加密，因此，只能采用地址进行认证，但其安全性高于积极模式。缺点 是耗时比积极模式长。 积极模式：;5;6;Linux kernel 网络协议栈流程：;Netfilter 维护链表： netfilter 定义了一个二维的链表头数组 struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]来表示所有协议族的各个挂接点，NPROTO 值为 32，可表示 linux 所支持所有 32 个协议族(include/linux/socket.h 文件中定义)，也就是使用 socket(2)函数的第一个参数的值，如互联网的 TCP/IP 协议 族 PF_INET(2)。每个协议族有 NF_MAX_HOOKS（8）个挂接点，但实际只用了如上所述的 5 个，数组中每个元素表示一个协议族在一个挂接点的 处理链表头。;优先级列表： NF_IP_PRI_FIRST = INT_MIN, NF_IP_PRI_CONNTRACK = -200, NF_IP_PRI_MANGLE = -150, NF_IP_PRI_NAT_DST = -100, NF_IP_PRI_FILTER = 0, NF_IP_PRI_NAT_SRC = 100, NF_IP