被竊盜的信用卡號(hào)、遭受攻擊的計(jì)算機(jī)系統(tǒng)以及其他一些著名的在線攻擊已經(jīng)引起了許多用戶的警惕，使安全管理人員將注意力放在了高級(jí)入侵檢測(cè)系統(tǒng)、防火墻和其他高水平防御上。然而，許多人忘了，無(wú)論他們?nèi)绾闻Φ丶訌?qiáng)站點(diǎn)的安全，Internet結(jié)構(gòu)中存在的脆弱性仍使他們處于危險(xiǎn)之中。

像請(qǐng)求在兩臺(tái)計(jì)算機(jī)之間建立連接這種簡(jiǎn)單功能就會(huì)造成漏洞，而每年報(bào)告的攻擊中有15%是由這種漏洞造成的，這是由于自TCP/IP被接受為Arpanet傳輸協(xié)議之日起，它就一直沒有什么變化，而IP最初是在一個(gè)內(nèi)部非常信任的具有內(nèi)聚力的社區(qū)中編寫的，因此缺省值是IP應(yīng)用認(rèn)為它們應(yīng)當(dāng)信任人。

利用TCP/IP功能的拒絕服務(wù)攻擊和數(shù)據(jù)欺詐攻擊可以使用多數(shù)服務(wù)器操作系統(tǒng)中能夠被打開的安全功能、路由器或新版IP(IPv6)內(nèi)置的過濾器來防范。但是，這些安全措施經(jīng)常被忽視。

近期有公司受到了“重新發(fā)現(xiàn)”的TCP攻擊，這是一種利用TCP存在的老問題的新途徑：如果黑客可以猜出兩臺(tái)計(jì)算機(jī)用來啟動(dòng)發(fā)送數(shù)據(jù)包序列的隨機(jī)初始序列號(hào)(ISN)的話，這位黑客就可以劫持一次會(huì)話。一旦攻擊者猜出ISN，他就可以改變數(shù)據(jù)包的傳送方向或向數(shù)據(jù)流中注入任何東西。人們認(rèn)為軟件廠商已經(jīng)利用隨機(jī)包序列發(fā)生器解決了這一問題。但結(jié)果是這種隨機(jī)序列并不隨機(jī)，它實(shí)際包含使ISN很容易猜到的模式。

另一種古老手段IP地址欺騙今天也很常見。像IP欺騙和利用緩沖區(qū)溢出的拒絕攻擊這類古典的TCP/IP攻擊仍在使用。以分布式拒絕攻擊為例，將特洛伊木馬植入到未受懷疑的服務(wù)器中。然后，這些服務(wù)器利用大量的包含虛假源IP地址的服務(wù)請(qǐng)求淹沒了許多電子商務(wù)站點(diǎn)。攻擊造成這些商務(wù)站點(diǎn)上的很多服務(wù)器崩潰。

非IP攻擊一般尋找服務(wù)器軟件或像地址簿和自動(dòng)郵件程序這類功能中脆弱的端口和服務(wù)。

常見的針對(duì)TCP/IP的攻擊

在八十年代中，有幾十種針對(duì)TCP/IP的攻擊襲擊過Arpanet。其中的一些攻擊今天依然存在。最常見的包括：

1. Smurf攻擊：一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。Smurf攻擊利用多數(shù)服務(wù)器中具有的同時(shí)向許多計(jì)算機(jī)廣播請(qǐng)求的功能。攻擊者偽造一個(gè)合法的IP地址，然后由網(wǎng)絡(luò)上所有的服務(wù)器廣播要求向受害者地址做出回答的請(qǐng)求。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請(qǐng)求，因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個(gè)地址做出回答，回答淹沒了這臺(tái)合法的機(jī)器，造成拒絕服務(wù)。

2. SYN洪水：一種拒絕服務(wù)攻擊，在這種攻擊中，攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個(gè)連接(SYN)請(qǐng)求。目標(biāo)系統(tǒng)然后發(fā)送確認(rèn)信息，并等待回答。由于偽造的IP地址不屬于任何實(shí)際的機(jī)器，因此，不會(huì)有回答，從而使連接保持開放并阻塞了合法的數(shù)據(jù)流。

3. 源路由篡改：一種拒絕服務(wù)和數(shù)據(jù)劫持攻擊，在這種攻擊中，攻擊者篡改路由表表項(xiàng)(通常在邊緣路由器上)，使發(fā)送到某一站點(diǎn)的數(shù)據(jù)流改向傳送到另一個(gè)站點(diǎn)上(在這個(gè)站點(diǎn)上信息可以被截獲)或者什么地方都不發(fā)送。

阻擋與過濾

關(guān)閉邊緣路由器上的“廣播”功能可以阻擋Smurf攻擊。以三秒或更短的間隔中止不完整的SYN請(qǐng)求通常可以防止SYN洪水。IP路由包過濾功能可以捕獲劫持企圖。事實(shí)上，過濾功能正是TCP/IP保護(hù)所做的事。

例如，最近分布式拒絕服務(wù)攻擊的許多受害者現(xiàn)在都在自己ISP的位置對(duì)數(shù)據(jù)流進(jìn)行過濾，而不是等待“洪水”襲擊自己的計(jì)算機(jī)。一些受害者還對(duì)自己的操作系統(tǒng)進(jìn)行了配置，使其可以更快地中斷SYN請(qǐng)求，并改變受到拒絕服務(wù)攻擊的服務(wù)器的IP地址避免再受到攻擊。

除了防火墻和入侵檢測(cè)外，用戶還可使用下列過濾技術(shù)以防止TCP/IP攻擊：

·在邊緣路由器上設(shè)置過濾阻擋假地址或SYN攻擊。

·阻擋連接請(qǐng)求、防止高容量攻擊的速率限制過濾器。

·檢測(cè)符合攻擊特征的進(jìn)入連接或跟蹤攻擊發(fā)源地供起訴之用的數(shù)據(jù)流分析。

·通過過濾已知攻擊類型，防止拒絕服務(wù)攻擊的基于主機(jī)的防火墻。

由于這類安全特性不屬于缺省配置，所以IT人員可能不知道這些特性，因此并沒有開啟這些特性，或者他們害怕過濾功能會(huì)降低他們的速度。但是實(shí)際上這些特性不會(huì)給性能造成太大的影響。

例如，Cisco公司的路由器包含一種叫做單播逆向路徑轉(zhuǎn)發(fā)檢查的特性，這種逆向IP查找功能自三年前Cisco發(fā)布IOS第10版起就是該操作系統(tǒng)的一部分。這種功能可以通過檢查上游路由表查看數(shù)據(jù)包是否來自它們自稱的IP地址來檢測(cè)偽造的數(shù)據(jù)流。盡管這類技術(shù)幾乎無(wú)處不在，但是用戶還是很少使用它們。

對(duì)性能問題的擔(dān)心也是造成新的ISN猜測(cè)威脅的原因。1996年中，廠商有機(jī)會(huì)采用一種更強(qiáng)鍵的隨機(jī)序列發(fā)生器，但多數(shù)廠商不愿意采用它，因?yàn)閺腃PU使用的角度看，它費(fèi)用更高。

而且，IPSec也被大多數(shù)人所忽視，IPSec是IPv6的一個(gè)子集，它的設(shè)計(jì)目的是利用公共密鑰在計(jì)算機(jī)進(jìn)行連接前對(duì)計(jì)算機(jī)進(jìn)行認(rèn)證。這兩種同是在1998年公布的安全特性可以幫助解決許多TCP/IP安全問題。

目前廠商產(chǎn)品真正支持IPSec的還不多。這是因?yàn)槠髽I(yè)沒有看到采用IPSec或IPv6的令人信服的理由，特別是VPN隧道技術(shù)具有與IPSec幾乎相同的功能。

此外，升級(jí)到IPv6需要一定的時(shí)間，大家未來需要同時(shí)升級(jí)到IPv6。否則，由于兼容性問題，那些先升級(jí)的人將不能接入到Internet的很多部分中。隨著無(wú)線Internet設(shè)備的出現(xiàn)，對(duì)地址空間的需求不久將會(huì)呈爆炸式增長(zhǎng)。同時(shí)，對(duì)更強(qiáng)過濾功能和IP安全的需求也會(huì)出現(xiàn)爆炸。否則，總有一天，任何Internet連接的設(shè)備，甚至包括電冰箱，都會(huì)黑世界一把。