计算机网络常见协议的安全性分析

网际协议（Internet Protocol，IP）

---

• 由于IP报文默认是没有被加密的，因此容易被攻击者监听、窃取，从而造成数据泄露
• 解决措施：对IP数据报进行加密
• 由于IP只对数据报的头部进行差错检测，并没有对数据部分进行检测，因此容易被截取后更改数据部分再发给接收方
• 解决措施：对数据部分增加完整性检测机制

地址解析协议(Address Resolution Protocol，ARP)

---

• ARP协议可以将IP地址映射成Mac地址（32位->48位）。如果ARP缓存表中没有IP对应的映射，主机A就会在网段内广播ARP报文，来获取主机C的MAC地址。源MAC地址为发送端主机A的MAC地址，目的MAC地址为广播地址FF-FF-FF-FF-FF-FF，也就是说主机B和主机C都会收到主机A发送的ARP广播请求报文
• ARP欺骗攻击：主机B伪装成主机C返回应答请求，主机A接收后会更新ARP缓存表
• 解决措施：身份认证/建立静态ARP表
  

传输控制协议（Transmission Control Protocol，TCP）

---

• SYN Flood攻击：攻击者不断向服务器的监听接口发送连接请求SYN数据包，使服务器一直处于半开放连接状态，无法接受被的正常连接请求
• 解决措施：在服务器前端部署防火墙进行数据包过滤
• 序列号攻击：TCP协议确认数据包的真实性的方式是判断数据包中32位的序列号是否正确，假若攻击者能预测目标主机的起始序号，就可以欺骗主机
• 解决措施：在TCP连接建立时使用随机数作为初始序列号
• 制造拥塞：利用TCP拥塞控制的特性，周期性的制造网络关键节点的拥塞，不断触发窗口的慢启动过程，从而降低网络正常的传输能力
• 解决措施：实时监测并过滤网络异常流量

用户数据报协议（User Datagram Protocol，UDP）

---

• UDP Flood攻击：发送大量的UDP报文到攻击目标，从而使服务器无法提供正常服务（Dos攻击）
• 解决措施：实时监测并过滤网络异常流量

超文本传输协议（Hypertext Transfer Protocol，HTTP）

---

• 数据泄露：HTTP协议的数据是通过明文进行传输的，因此容易被攻击者获得传输数据
• 中间人攻击：HTTP协议没有提供差错检测机制，因此容易被篡改数据
• 防护措施：在HTTP协议和TCP协议之间增加安全层来增加安全性，从而实现身份认证、传输数据加密、数据完整性检验等

IPSec基本原理

---

IPSec（Internet Protocol Security）是一系列为IP网络提供安全性的协议和服务的集合，主要通过加密与验证等方式，为IP数据包提供安全服务。

• 数据来源验证：接收方验证发送方身份是否合法。
• 数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。
• 数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。
• 抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。