东道主身份

Share

|

东道国身份是息息相关的必然联系。 主机不能连接到任何网络，可以有任何名字，因为名字是只用于当地。 主机连接到一个网络，可以有很多的名称或一个名字，这取决于如何接口，网络结构和上下文中的名称是用。

国际标准化组织/开放系统互连模型提供了一种背景下，为问题的命名。 记得国际标准化组织/开放系统互连模型组成的一系列层。 每一个主机上，在观念上，有一个主要的，在每一层传达了与同行的其他主机。 这些校长沟通，校长在同层的其他主机。 每个主要对个人主机可以有不同的名字（也称为"地址" ） ，在每一层。 所有的名字，找出相同的主机上，但每次一指的是一个特定背景下，在其中东道国的职能。

例如：电脑有一个乙太网路（媒体存取控制层，或mac ）地址00:05:02:6乙： a8 ： 21 ，一个ip地址192.168.35.89 ，主机名称cherry.orchard 。网。 在数据链路级，该系统是由著名的以太网地址。 在网络层面上，这是众所周知的，由它的ip地址。 在应用层面，这是众所周知的，由它的主机名。 该系统还对了appletalk网络，实行了appletalk一个地址，网络51个，节点235个。 其他系统上了appletalk网络确认主机这个名称。

休克表明，一个"名字"确定了本金和一个"地址" ，确定一个地方的主要所在国。 在这个背景下东道国的身份，在"地址" ，表明那里就网络（和，有时候，具体的网络）所在位置。 "姓名"为标题，显示在哪些领域东道国居住，并对应于某一地址。 虽然休克的术语，是有启发性，在许多情况下，在这个背景下一个地点确定一名首席正如以及一个名字。 我们不区分两者的背景下，以资识别。

如果一个攻击者能够假冒的身份另一个主机上，所有议定书依靠这种身份，是依靠的是一种错误的前提，并因此被欺骗性。 当一个主机有一个序列的名字，每一个靠前面的名称，然后攻击者伪造的第一身份，可以妥协，所有其他的身份。 举例来说，东道国的身份，是基于对知识产权的身份。 同样，叶身份是基于以太网的身份。 如果一个攻击者都无法改变作品中，包含数据库映射一个级别较低的身份，向更高层次的认同，攻击者可以欺骗一个主机路由，由交通部另一种。

静态和动态标识符

一个标识符，它可以是静态或动态的。 一个静态标识符不随时间而改变;一个充满活力的标识符变化要么是由于某一事件（如一个连接到网络）或以上的时间。

数据库包含映象之间不同的名称。 最为人知的是，这些域名服务（ dns ） ，其中联营主机名称和ip地址。 在没有密码认证的主持人，其一致性， dns是用来提供弱认证。

例如：域名系统包含着记录，其中地图主机名称到ip地址，并扭转纪录，其中在地图上的ip地址到名字。 反向域名查找发生时，一个进程提取物的ip地址，它的远端，以订定相关的主机名称（或者使用域名系统） ，然后得出了一套ip地址与该主机名（同样，有可能使用了dns ） 。 如果ip地址索取同行火柴任何ip地址与该主机名称，然后主机名称被接受为一个获得了在第一查找。 否则，主机名称是否决，因为不可信赖。

相信在诚信的主机名称，在这种情况下依赖于完整的域名系统数据库

浮动标识符指派校长在一段有限的时间。 通常情况下，一台服务器保持泳池的标识符。 客户接触，服务器用一个标识符双方协议（本地标识符） 。 服务器传送一个识别客户可以用在其他方面（全球标识符） ，并通知任何中间宿主（如网关） ，该协会的地方与全球之间的标识符。

例如： bootless大学提供了一个网络，以让学生可以连接笔记本电脑。 而非指派每个学生的笔记本电脑ip地址，该大学已建立了一个dhcp服务器，为这个网络。 当一个学生连自己的笔记本电脑到网络上，笔记本电脑传送其mac （媒体访问控制）地址到服务器上。 服务器响应，未使用的ip地址属于网络。 笔记本同意ip地址，并利用它来沟通，在互联网上。

门户，可以翻译与本地地址和全球地址。

例如： zerbche公司有500台计算机上局域网，但只有256个互联网地址。 内部网络指定为（固定）的本地地址的ip地址10.1.x.y ，其中x和y反映内部配置细节不是与此有关。 门户，连接内部网络到互联网。 当用户在（比如说）主办10.1.3.241要接入互联网，其前锋包向网关。 网关指派一个合法的ip地址，以内部的，本地地址;说ip地址是101.43.21.241 。 网关，然后重写源地址的每包，转变10.1.3.241至101.43.21.241 ，并把包出在互联网上。 当网关收到邮包运往主办101.43.21.241 ，它检查其内部表，改写了这些地址为10.1.3.241 ，并转交他们的内部网络和数据包到目的地。 这个翻译是看不见的两端的沟通，并能够达到多少有些主机对内部网络的沟通与主机在互联网上。 网络地址协议（网络地址转换） ，是在互联网上使用，以履行这一职能。

在没有加密，认证采用动态命名，是由不同的认证使用静态命名。 主要问题在于，该协会的身份与一个主要的不同随着时间的推移，因此，任何认证的基础上，名字也必须交代的时候。 例如，如果域名系统记录作品对应动态名称不更新时，新名称重新分配，反向域名查找认证方法的失败。

这次失败，并不一定意味着该域名系统已经失密。 一些系统存储正向和反向查找资料，在不同的档案。 更新着查找资料档案，但并未改变反向查找资料档案。 除非后者是最新的同时，指出问题的发生。

反向域名查找技术认证对应检查物业的一个主要（是什么）与静态命名的，因为名字是必然永久主体。 但是，这种技术相当于检查管的一个主要（它）与动态命名的，因为主会放弃这个名称，在某一点。

安全问题与域名服务

理解的中心信托在数据库记录协会的身份与校长是至关重要的了解，精确的身份。 dns的规定，这方面的一个例子。 相信在诚信的主机名称，在这种情况下依赖于完整的域名系统的数据库。 如果该协会之间的主机名和ip地址可腐化，标识符问题，将与相关的错误所在。

有几起袭击事件，对域名系统。 目标，这些袭击是造成受害人副错误某一特定ip地址与主机名称。 他们假定，攻击者是无法控制的反应，由一个权威域名服务器。 "控制"是指攻击者控制了该名称服务器或能拦截疑问，以服务器和返回自己的反应。

攻击者可以更改记录缔ip地址与主机名称，以便查询，为一个返回一个不正确答案为另一方。 第二个技术，被称为"缓存中毒" ，依靠的是对能力的一个服务器添加额外的dns记录答案质疑。 在这种情况下，额外增添的记录，让不正确协会资料。 舒巴以此来展示如何扭转姓名查找，可以妥协。 攻击者连接到受害人。 受害人质疑该域名系统为主机名与ip地址。 攻击者可确保两项纪录产生：记录与假主机名与ip地址，并反向记录。 dns协议，让这piggybacking ，使客户端缓存记录。 快取记忆体是前检查任何记录，请从服务器，所以这可以节省一个网络请求。 第三次技术讲座（ "问我" ）是类似的：攻击者准备要求受害人必须解决的质疑，攻击者。 当受害者质疑，攻击者，攻击者回报的答案，随着两项纪录，为测绘，他企图以欺骗（一个为着测绘，一为反向） 。

明智地使用加密为基础的技术加上细心的管理域名服务器，可以有效地限制的能力，攻击者利用这些攻击。 基础配套设施正在设计和开发。