【導(dǎo)讀】聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁袆羋荿螇羅莀薄蚃羄肀莇蕿羃膂薂蒅莄蒞襖羈肄蟻螀羀膆蒃蚆羀艿蠆薂罿莁蒂袀肈肀芅螆肇膃蒀螞肆芅芃蚈肅肅蒈薄肄膇莁袃肄艿薇蝿肅莂荿蚅肂肁薅薁膁膄莈袀膀芆薃螆腿莈莆螂膈膈蟻蚇螅芀蒄薃螄莃蝕袂螃肂蒃螈螂膅蚈蚄袂芇蒁薀袁荿芄衿袀聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁袆羋荿螇羅莀薄蚃羄肀莇蕿羃膂薂蒅莄蒞襖羈肄蟻螀羀膆蒃蚆羀艿蠆薂罿莁蒂袀肈肀芅螆肇膃蒀螞肆芅芃蚈肅肅蒈薄肄膇莁袃肄艿薇蝿肅莂荿蚅肂肁薅薁膁膄莈袀膀芆薃螆腿莈莆螂膈膈蟻蚇螅芀蒄薃螄莃蝕袂螃肂蒃螈螂膅蚈蚄袂芇蒁薀袁荿芄衿袀聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁袆羋荿螇羅莀薄蚃羄肀莇蕿羃膂薂蒅莄蒞襖羈肄蟻螀羀膆蒃蚆羀艿蠆薂罿莁蒂袀肈肀芅螆肇膃蒀螞肆芅芃蚈肅肅蒈薄肄膇莁袃肄艿薇蝿肅莂荿蚅肂肁薅薁膁膄莈袀膀芆薃螆腿莈莆螂膈膈蟻蚇螅芀蒄薃螄莃蝕袂螃肂蒃螈螂膅蚈蚄袂芇蒁薀袁荿芄衿袀聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁

　　

【正文】 2. 攻擊者向 B方發(fā)送 RST包，接著發(fā)送 SYN包，假冒 A方發(fā)起新的連接。 3. B方響應(yīng)新連接，并發(fā)送連接響應(yīng)報(bào)文 SYN/ACK。 4. 攻擊者再假冒 A方對(duì) B方發(fā)送 ACK包。 這樣攻擊者便達(dá)到了破壞連接的作用，若攻擊者再趁機(jī)插入有害數(shù)據(jù)包，則后果更嚴(yán)重。 TCP 協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個(gè) 32位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào)（ ISN）在 TCP握手時(shí)產(chǎn)生，產(chǎn)生機(jī)制與協(xié)議實(shí)現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求，即可獲得上次連接的 ISN，再通過(guò)多次測(cè)量來(lái)回傳輸路徑，得到 進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來(lái)回時(shí)間 RTT。已知上次連接的 ISN 和 RTT，很容易就能預(yù)測(cè)下一次連接的 ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出 TCP 連接，并預(yù)測(cè)到目標(biāo)主機(jī)的 TCP序列號(hào)，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標(biāo)主機(jī)接受。 IP 協(xié)議的安全問(wèn)題 IP 協(xié)議在互連網(wǎng)絡(luò)之間提供無(wú)連接的數(shù)據(jù)包傳輸。 IP 協(xié)議根據(jù) IP 頭中的目的地址項(xiàng)來(lái)發(fā)送 IP 數(shù)據(jù)包。也就是說(shuō)， IP 路由 IP 包時(shí)，對(duì) IP 頭中提供的源地址不作任何檢查，并且認(rèn)為 IP 頭中的源地址即為發(fā)送該包的機(jī)器的 IP 地址。這樣，許多依靠 IP 源地址做確 認(rèn)的服務(wù)將產(chǎn)生問(wèn)題并且會(huì)被非法入侵。其中最重要的就是利用 IP欺騙引起的各種攻擊。 以防火墻為例，一些網(wǎng)絡(luò)的防火墻只允許網(wǎng)絡(luò)信任的 IP 數(shù)據(jù)包通過(guò)。但是由于 IP 地址不檢測(cè) IP 數(shù)據(jù)包中的 IP 源地址是否為放送該包的源主機(jī)的真實(shí)地址，攻擊者可以采用 IP 源地址欺騙的方法來(lái)繞過(guò)這種防火墻。另外有一些以 IP 地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用 IP 源地址欺騙的方法獲得特權(quán)，從而給被攻擊者造成嚴(yán)重的損失。事實(shí)上，每一個(gè)攻擊者都可以利用 IP 13 不檢驗(yàn) IP 頭源地址的特點(diǎn)，自己填入偽造的 IP地址來(lái)進(jìn) 行攻擊，使自己不被發(fā)現(xiàn)。 TCP 協(xié)議安全問(wèn)題的防范 對(duì)于 SYN Flood攻擊，目前還沒(méi)有完全有效的方法，但可以從以下幾個(gè)方面加以防范： 1. 對(duì)系統(tǒng)設(shè)定相應(yīng)的 IP協(xié)議安全問(wèn)題的防范 1. 拋棄基于地址的信任策略。這是最簡(jiǎn)單的方法。 2. 進(jìn)行包過(guò)濾。如果網(wǎng)絡(luò)是通過(guò)路由器接入 Inter的，那么可以利用路由器來(lái)進(jìn)行包過(guò)濾。確認(rèn)只有內(nèi)部 LAN可以使用信任關(guān)系，而內(nèi)部 LAN上的主機(jī)對(duì)于 LAN以外的主機(jī)要慎重處理。路由器可以過(guò)濾掉所有來(lái)自于外部而希 望與內(nèi)部建立連接的請(qǐng)求。 3. 使用加密技術(shù)。阻止 IP 欺騙的一種簡(jiǎn)單的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時(shí)，加密方法可能最為適用。 3. IP 地址的短缺問(wèn)題 目前我們使用的第二代互聯(lián)網(wǎng) IPv4 技術(shù)，核心技術(shù)屬于美國(guó)。它的最大問(wèn)題是網(wǎng)絡(luò)地址資源有限，從理論上講，編址 1600萬(wàn)個(gè)網(wǎng)絡(luò)、 40 億臺(tái)主機(jī)。但采用 A、 B、 C 三類編址方式后，可用的網(wǎng)絡(luò)地址和主機(jī)地址的數(shù)目大打折扣，以至目前的 IP 地址近乎枯竭。其中北美占有 3/4，約 30億個(gè)，而人口最多的亞洲只有不到 4億個(gè)，中國(guó)截止 2020年 6月 IPv4地址數(shù)量達(dá)到 ，落后于 億網(wǎng)民的需求。地址不足，嚴(yán)重地制約了我國(guó)及其他國(guó)家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展。 14 由于以上的不足和局限性， TCP/IP的改進(jìn)和發(fā)展是必然趨勢(shì)。已經(jīng)比較成 熟的 IPv6將會(huì)逐漸替代 IPv4。而 IPv6增加的安全機(jī)制也會(huì)彌補(bǔ) TCP協(xié)議的不足，只要底層的協(xié)議安全了，上層協(xié)議面臨的風(fēng)險(xiǎn)就會(huì)大大減小。 與 IPV4相比， IPV6具有以下幾個(gè)優(yōu)勢(shì)： 一， IPv6具有更大的地址空間。 IPv4中規(guī)定 IP地址長(zhǎng)度為 32，即有 2321 個(gè) 地址；而 IPv6中 IP地址的長(zhǎng)度為 128，即有 21281個(gè)地址。 二， IPv6使用更小的路由表。 IPv6的地址分配一開(kāi)始就遵循聚類 （ Aggregation）的原則，這使得路由器能在路由表中用一條記錄（ Entry）表示 一片子網(wǎng)，大大減小了路由器中路由表的長(zhǎng)度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。 三， IPv6增加了增強(qiáng)的組播（ Multicast）支持以及對(duì)流的支持（ Flow Control）， 這使得網(wǎng)絡(luò)上的多媒體應(yīng)用有了長(zhǎng)足發(fā)展的機(jī)會(huì)，為服務(wù)質(zhì)量（ QoS， Quality of Service）控制 提供了良好的網(wǎng)絡(luò)平臺(tái)。 四， IPv6加入了對(duì)自動(dòng)配置（ Auto Configuration）的支持。這是對(duì) DHCP 協(xié)議的改進(jìn)和擴(kuò)展，使得網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷。 五， IPv6具有更高的安全性。在使用 IPv6網(wǎng)絡(luò)中用戶可以對(duì)網(wǎng)絡(luò)層的數(shù)據(jù) 進(jìn)行加密并對(duì) IP報(bào)文進(jìn)行校驗(yàn)，極大的增強(qiáng)了網(wǎng)絡(luò)的安全性。 第 6章 結(jié)語(yǔ) 隨著人類文明的發(fā)展，網(wǎng)絡(luò)將會(huì)占據(jù)更高的地位，而整個(gè)網(wǎng)絡(luò)就是靠各種協(xié) 議運(yùn)行起來(lái)的，如果說(shuō)基礎(chǔ)設(shè)施是馬路，那么協(xié)議就是交通規(guī)則，只有在交通規(guī)則的管理下，車(chē)輛才能自由 運(yùn)行。同樣，只有在協(xié)議的支持下，我們的網(wǎng)絡(luò)才能正常運(yùn)轉(zhuǎn)。協(xié)議的發(fā)展是每一個(gè)致心于網(wǎng)絡(luò)的人必須關(guān)心的話題。 參考資料 【 1】《 TCP/IP協(xié)議族》，清華大學(xué)出版社，謝希仁譯 【 2】百度百科： FTP、 HTTP、 IPv TCP 【 3】百度文庫(kù) :TCP/IP缺陷