【導(dǎo)讀】聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁袆羋荿螇羅莀薄蚃羄肀莇蕿羃膂薂蒅莄蒞襖羈肄蟻螀羀膆蒃蚆羀艿蠆薂罿莁蒂袀肈肀芅螆肇膃蒀螞肆芅芃蚈肅肅蒈薄肄膇莁袃肄艿薇蝿肅莂荿蚅肂肁薅薁膁膄莈袀膀芆薃螆腿莈莆螂膈膈蟻蚇螅芀蒄薃螄莃蝕袂螃肂蒃螈螂膅蚈蚄袂芇蒁薀袁荿芄衿袀聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁袆羋荿螇羅莀薄蚃羄肀莇蕿羃膂薂蒅莄蒞襖羈肄蟻螀羀膆蒃蚆羀艿蠆薂罿莁蒂袀肈肀芅螆肇膃蒀螞肆芅芃蚈肅肅蒈薄肄膇莁袃肄艿薇蝿肅莂荿蚅肂肁薅薁膁膄莈袀膀芆薃螆腿莈莆螂膈膈蟻蚇螅芀蒄薃螄莃蝕袂螃肂蒃螈螂膅蚈蚄袂芇蒁薀袁荿芄衿袀聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁袆羋荿螇羅莀薄蚃羄肀莇蕿羃膂薂蒅莄蒞襖羈肄蟻螀羀膆蒃蚆羀艿蠆薂罿莁蒂袀肈肀芅螆肇膃蒀螞肆芅芃蚈肅肅蒈薄肄膇莁袃肄艿薇蝿肅莂荿蚅肂肁薅薁膁膄莈袀膀芆薃螆腿莈莆螂膈膈蟻蚇螅芀蒄薃螄莃蝕袂螃肂蒃螈螂膅蚈蚄袂芇蒁薀袁荿芄衿袀聿葿裊衿芁節(jié)螁袈莃薇蚇袇肅莀薃袆膅薆袁

　　

【正文】 2. 攻擊者向 B方發(fā)送 RST包，接著發(fā)送 SYN包，假冒 A方發(fā)起新的連接。 3. B方響應(yīng)新連接，并發(fā)送連接響應(yīng)報文 SYN/ACK。 4. 攻擊者再假冒 A方對 B方發(fā)送 ACK包。 這樣攻擊者便達到了破壞連接的作用，若攻擊者再趁機插入有害數(shù)據(jù)包，則后果更嚴重。 TCP 協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個 32位整數(shù)對傳送的字節(jié)編號。初始序列號（ ISN）在 TCP握手時產(chǎn)生，產(chǎn)生機制與協(xié)議實現(xiàn)有關(guān)。攻擊者只要向目標主機發(fā)送一個連接請求，即可獲得上次連接的 ISN，再通過多次測量來回傳輸路徑，得到 進攻主機到目標主機之間數(shù)據(jù)包傳送的來回時間 RTT。已知上次連接的 ISN 和 RTT，很容易就能預(yù)測下一次連接的 ISN。若攻擊者假冒信任主機向目標主機發(fā)出 TCP 連接，并預(yù)測到目標主機的 TCP序列號，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標主機接受。 IP 協(xié)議的安全問題 IP 協(xié)議在互連網(wǎng)絡(luò)之間提供無連接的數(shù)據(jù)包傳輸。 IP 協(xié)議根據(jù) IP 頭中的目的地址項來發(fā)送 IP 數(shù)據(jù)包。也就是說， IP 路由 IP 包時，對 IP 頭中提供的源地址不作任何檢查，并且認為 IP 頭中的源地址即為發(fā)送該包的機器的 IP 地址。這樣，許多依靠 IP 源地址做確 認的服務(wù)將產(chǎn)生問題并且會被非法入侵。其中最重要的就是利用 IP欺騙引起的各種攻擊。 以防火墻為例，一些網(wǎng)絡(luò)的防火墻只允許網(wǎng)絡(luò)信任的 IP 數(shù)據(jù)包通過。但是由于 IP 地址不檢測 IP 數(shù)據(jù)包中的 IP 源地址是否為放送該包的源主機的真實地址，攻擊者可以采用 IP 源地址欺騙的方法來繞過這種防火墻。另外有一些以 IP 地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用 IP 源地址欺騙的方法獲得特權(quán)，從而給被攻擊者造成嚴重的損失。事實上，每一個攻擊者都可以利用 IP 13 不檢驗 IP 頭源地址的特點，自己填入偽造的 IP地址來進 行攻擊，使自己不被發(fā)現(xiàn)。 TCP 協(xié)議安全問題的防范 對于 SYN Flood攻擊，目前還沒有完全有效的方法，但可以從以下幾個方面加以防范： 1. 對系統(tǒng)設(shè)定相應(yīng)的 IP協(xié)議安全問題的防范 1. 拋棄基于地址的信任策略。這是最簡單的方法。 2. 進行包過濾。如果網(wǎng)絡(luò)是通過路由器接入 Inter的，那么可以利用路由器來進行包過濾。確認只有內(nèi)部 LAN可以使用信任關(guān)系，而內(nèi)部 LAN上的主機對于 LAN以外的主機要慎重處理。路由器可以過濾掉所有來自于外部而希 望與內(nèi)部建立連接的請求。 3. 使用加密技術(shù)。阻止 IP 欺騙的一種簡單的方法是在通信時要求加密傳輸和驗證。當(dāng)有多種手段并存時，加密方法可能最為適用。 3. IP 地址的短缺問題 目前我們使用的第二代互聯(lián)網(wǎng) IPv4 技術(shù)，核心技術(shù)屬于美國。它的最大問題是網(wǎng)絡(luò)地址資源有限，從理論上講，編址 1600萬個網(wǎng)絡(luò)、 40 億臺主機。但采用 A、 B、 C 三類編址方式后，可用的網(wǎng)絡(luò)地址和主機地址的數(shù)目大打折扣，以至目前的 IP 地址近乎枯竭。其中北美占有 3/4，約 30億個，而人口最多的亞洲只有不到 4億個，中國截止 2020年 6月 IPv4地址數(shù)量達到 ，落后于 億網(wǎng)民的需求。地址不足，嚴重地制約了我國及其他國家互聯(lián)網(wǎng)的應(yīng)用和發(fā)展。 14 由于以上的不足和局限性， TCP/IP的改進和發(fā)展是必然趨勢。已經(jīng)比較成 熟的 IPv6將會逐漸替代 IPv4。而 IPv6增加的安全機制也會彌補 TCP協(xié)議的不足，只要底層的協(xié)議安全了，上層協(xié)議面臨的風(fēng)險就會大大減小。 與 IPV4相比， IPV6具有以下幾個優(yōu)勢： 一， IPv6具有更大的地址空間。 IPv4中規(guī)定 IP地址長度為 32，即有 2321 個 地址；而 IPv6中 IP地址的長度為 128，即有 21281個地址。 二， IPv6使用更小的路由表。 IPv6的地址分配一開始就遵循聚類 （ Aggregation）的原則，這使得路由器能在路由表中用一條記錄（ Entry）表示 一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。 三， IPv6增加了增強的組播（ Multicast）支持以及對流的支持（ Flow Control）， 這使得網(wǎng)絡(luò)上的多媒體應(yīng)用有了長足發(fā)展的機會，為服務(wù)質(zhì)量（ QoS， Quality of Service）控制 提供了良好的網(wǎng)絡(luò)平臺。 四， IPv6加入了對自動配置（ Auto Configuration）的支持。這是對 DHCP 協(xié)議的改進和擴展，使得網(wǎng)絡(luò)（尤其是局域網(wǎng)）的管理更加方便和快捷。 五， IPv6具有更高的安全性。在使用 IPv6網(wǎng)絡(luò)中用戶可以對網(wǎng)絡(luò)層的數(shù)據(jù) 進行加密并對 IP報文進行校驗，極大的增強了網(wǎng)絡(luò)的安全性。 第 6章 結(jié)語 隨著人類文明的發(fā)展，網(wǎng)絡(luò)將會占據(jù)更高的地位，而整個網(wǎng)絡(luò)就是靠各種協(xié) 議運行起來的，如果說基礎(chǔ)設(shè)施是馬路，那么協(xié)議就是交通規(guī)則，只有在交通規(guī)則的管理下，車輛才能自由 運行。同樣，只有在協(xié)議的支持下，我們的網(wǎng)絡(luò)才能正常運轉(zhuǎn)。協(xié)議的發(fā)展是每一個致心于網(wǎng)絡(luò)的人必須關(guān)心的話題。 參考資料 【 1】《 TCP/IP協(xié)議族》，清華大學(xué)出版社，謝希仁譯 【 2】百度百科： FTP、 HTTP、 IPv TCP 【 3】百度文庫 :TCP/IP缺陷