c. 假定在 172.16.1/24 中的主机向在 172.16.2/24 中的 Web 服务器发起一个 TCP 连接。作为此次连接的一部分,由 R1 发送的所有数据报将在 IPv4 首部字段最左边具有协议号 50。
d. 考虑从在 172.16.1/24 中的主机向在 172.16.2/24 中的主机发送一个 TCP 报文段。假定对该报文段的应答丢失了,因此 TCP 重新发送该报文段。因为 IPsec 使用序号,R1 将不重新发送该 TCP 报文段。
-
a.
- ❌,不使用加密,SPD 指明了什么样的数据报需要用 IPsec 处理,并且用哪个 SA 来加密。
-
b.
- ❌,路由器 R1 不改变 IP 数据报的源和目的地址,而是使用隧道模式,将原来的 IP 数据报封装起来,在外面封装一个新的 IPv4 首部,这个新首部使用了 R1 和 R2 的 IP 地址作为源和目的 IP 地址。
-
c.
- ✅,该协议号指明了载荷是一个被 IPsec 处理过的数据报
-
d.
- ❌,R1 将会重新发送该 TCP 报文段,而 IPsec 使用的序号继续递增。
P23 考虑图 8-28 中的例子。假定 Trudy 是中间人,她能够在从 R1 和 R2 发出的数据报流中插入数据报。作为重放攻击一部分,Trudy 发送一个从 R1 到 R2 发送的数据报的冗余副本。R2 将解密该冗余的数据报并将其转发进分支机构网络吗?如果不是,详细描述 R2 如何检测该冗余的数据报。
- 如果 Trudy 不去修改其中的序列号,那么 R2 将检测到这是一个冗余分组,因为 R2 必然要维护自己的一个接收序列号。如果 Trudy 修改了序列号,那么该分组将在 R2 的完整性校验中失败。