2、TCP/IP 套件中的安全问题

TCP/IP 套件中的安全问题

1. 网络风暴与拒绝服务攻击

1.1 网络风暴

网络风暴是指某种数据包流量异常高的情况。例如，若每秒 50 个 ARP 请求是正常的，那么每秒 500 个就属于异常高流量。风暴通常由受感染主机生成的少量数据包引发，攻击者将这些数据包发送到中间机器（放大器或反射器），并且常常对数据包进行源地址欺骗。

有一些攻击会产生大量数据包，使网络（部分）失效，将数据包数量放大成“风暴”。使用广播或多播地址会加剧风暴的形成。

1.2 拒绝服务攻击（DoS）

拒绝服务攻击（DoS）的目标是阻止合法客户端接收服务。由于所执行的服务几乎总是常量时间操作，外部观察者进程很容易检测到 DoS 攻击。这类攻击通常是短暂的。

1.3 分布式拒绝服务攻击（DDoS）

若攻击的主要目标是 DoS，且由一组协调的主机发起，就称为分布式拒绝服务攻击（DDoS）。参与此类攻击的主机（常称为僵尸主机）通过缓冲区溢出等技术被攻陷。攻击者在 DDoS 攻击前准备好僵尸主机，并通过安装的后门远程发出启动命令。

2. ARP 中毒攻击

2.1 ARP 与 RARP 原理

ARP（RFC 826，1982）用于发现已知 IP 地址设备的（以太网）MAC 地址，这仅针对传出 IP 数据包，因为 IP 数据报必须用目的硬件地址进行（以太网）帧封装，这种转换通过查表完成。操作系统维护着这个称为 ARP 缓存的表。当缓存中未找到条目时，操作系统使用 ARP 广播查询。反向 ARP（RARP，RFC 903）允许主机通过广播以太网地址，期望服务器用 I