ip报头的目的地址表示的是什么(ip报头内容)

定义

互联网协议安全(英文:IPsec)是一个协议包，它对IP数据包进行加密和认证，以保护IP协议的网络传输协议族(相互关联的协议的集合)。

组成

可用安全服务的一对协议
提供了用于访问控制、无连接消息完整性、身份验证和防重传保护的身份验证头(AH ),以及也支持这些服务和机密性的封装安全有效负载(ESP)。

AH(Authentication Header)
定义:是用于保证数据包的完整性和真实性，防止黑客截取数据包或向网络中插入虚假数据包的协议。
功能:

数据源的认证:通过在计算验证码时添加一个共享密钥，实现
无连接的数据完整性；通过哈希函数生成的验证确保
防重放服务；AH头中的序列号可以防止重放攻击
在AH的传输模式下，AH哈希算法计算的是整个数据包(包括IP头)在传输过程中不变的所有域。
考虑到计算效率，AH使用安全哈希算法代替数字签名来保护数据包。
AH没有加密用户数据。当要求身份验证但不要求机密性时，AH协议是最佳选择。

头部结构:

不同模式下的AH打包:

在传输模式下：

在隧道模式下:

更多linux内核视频教程文档将免费收集。

Linux内核源代码/内存调优/文件系统/进程管理/设备驱动/网络协议栈-学习视频教程-腾讯课堂

ESP(Encapsulating Security Payload)

定义:用于在已建立的SA上安全传输数据的协议。作为可选功能，ESP还提供与AH认证头相同的数据完整性和服务。ESP比AH需要更多的处理时间，因为它加密数据。

头部结构:

不同模式下的ESP封装:

传输模式：

隧道模式:

对密钥管理的支持IPSEC协议族设计意图

门户到门户的通信安全。在这种机制下，分组通信的安全性由单个节点提供给多台机器(甚至整个局域网)；
端到端分组通信安全。作为端点的计算机完成安全操作。以上任何模式都可以用来构建虚拟专用网络(VPN)，这是IPsec最重要的用途之一。需要注意的是，上述两种操作模式在安全性的实现上有很大的不同。
互联网端到端通信安全的发展比预想的要慢。部分原因是它不具有普遍性或不被广泛信任。可以形成公钥基础设施(DNSSEC最初就是为此而创建的)，部分原因是许多用户不能完全认识到他们的需求和可用选项，这导致它作为包含项被强加在卖方的产品上(这也将被广泛采用)；另一部分可能归因于网络响应的退化(或预期的退化)，就像兜售信息泛滥造成的带宽损失一样。

工作模式传输模式(Transport Mode)

在传输模式中，IPSec协议处理模块在IP报头和更高层协议报头之间插入IPSec报头。
IP头与原始IP数据包中的IP头相同，只是IP消息中的协议字段将更改为IPSec协议的协议号(50或51)
，并且将重新计算IP头校验和。传输模式保护数据包的有效载荷和高层协议。IPSec源端点不会修改IP报头中的目标IP地址，原始IP地址将保持为纯文本格式。
传输模式只为高层协议提供安全服务。

应用场景:数据保护常用于主机间的端到端通信。
封装方式:在不改变原IP头的情况下，在原数据头后插入IPSec头，将原数据封装成受保护的数据。

隧道模式(Tunnel Mode)

传播方式不同。在隧道模式下，原始IP数据包被封装到新的IP消息中，并且在内部报头和外部报头之间插入IPSec报头。原始IP地址作为有效负载的一部分受到IPSec的保护。
通过加密数据，还可以隐藏原始数据包中的IP地址，更有利于保护端到端通信中数据的安全。
封装方式:添加一个新的IP(外网IP)头，后面是ipsec头，然后封装原来的整个数据包。

主要应用场景:常用于通过公网进行私网之间的通信，建立安全的VPN通道。

简介-最新发布-我爱内核网-打造国内最权威的内核技术交流分享论坛。

转载:玩IPSec(互联网协议安全)-互联网安全协议-圈子-我爱内核网-打造国内最权威的内核技术交流分享论坛。