TCP/IP技術(shù)淺談

楊紅敏

（中國(guó)鐵通吉林分公司，吉林 長(zhǎng)春 130012）

1 技術(shù)原理概述

1.1 參考模型概述

TCP/IP（Transmission Control Protocol/Internet Protocol的簡(jiǎn)寫，中文譯名為傳輸控制協(xié)議/互聯(lián)網(wǎng)絡(luò)協(xié)議）協(xié)議是 Internet最基本的協(xié)議，簡(jiǎn)單地說，就是由底層的IP協(xié)議和TCP協(xié)議組成的。TCP/IP協(xié)議的開發(fā)工作始于20世紀(jì)70年代，是用于互聯(lián)網(wǎng)的第一套協(xié)議。

開放式系統(tǒng)互聯(lián)模型（OSI）是1984年由國(guó)際標(biāo)準(zhǔn)化組織（ISO）提出的一個(gè)參考模型。作為一個(gè)概念性框架，它是不同制造商的設(shè)備和應(yīng)用軟件在網(wǎng)絡(luò)中進(jìn)行通信的標(biāo)準(zhǔn)?，F(xiàn)在此模型已成為計(jì)算機(jī)間和網(wǎng)絡(luò)間進(jìn)行通信的主要結(jié)構(gòu)模型。

1.2 TCP/IP協(xié)議族

網(wǎng)絡(luò)協(xié)議通常分不同層次進(jìn)行開發(fā)，每一層分別負(fù)責(zé)不同的通信功能。TCP/IP協(xié)議族是一組不同層次上的多個(gè)協(xié)議的組合。TCP/IP通常被認(rèn)為是一個(gè)四層協(xié)議系統(tǒng)，見圖1。

圖1 TCP/IP協(xié)議族的4個(gè)分層

每一層負(fù)責(zé)不同的功能：

1.2.1 鏈路層

有時(shí)也稱作數(shù)據(jù)鏈路層或網(wǎng)絡(luò)接口層，通常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡。它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細(xì)節(jié)。

1.2.2 網(wǎng)絡(luò)層

有時(shí)也稱作互聯(lián)網(wǎng)層，處理分組在網(wǎng)絡(luò)中的活動(dòng)，例如分組的選路。在TCP/IP協(xié)議族中，網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議（網(wǎng)際協(xié)議）、ICMP協(xié)議（Internet互聯(lián)網(wǎng)控制報(bào)文協(xié)議）以及IGMP協(xié)議（Internet組管理協(xié)議）。

1.2.3 傳輸層

主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議族中，有兩個(gè)互不相同的傳輸協(xié)議：TCP（傳輸控制協(xié)議）和 UDP（用戶數(shù)據(jù)報(bào)協(xié)議）。TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組，設(shè)置發(fā)送最后確認(rèn)分組的超時(shí)時(shí)鐘等。由于傳輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略這些細(xì)節(jié)。而另一方面，UDP則為應(yīng)用層提供一種非常簡(jiǎn)單的服務(wù)。它只是把稱作數(shù)據(jù)報(bào)的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。任何必需的可靠性必須由應(yīng)用層來提供。

1.2.4 應(yīng)用層

負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。幾乎各種不同的TCP/IP實(shí)現(xiàn)都會(huì)提供下面這些通用的應(yīng)用程序：Telnet遠(yuǎn)程登錄、FTP文件傳輸協(xié)議、SMTP簡(jiǎn)單郵件傳送協(xié)議、SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。

1.3 IP協(xié)議概述

IP是TCP/IP協(xié)議族中最為核心的協(xié)議。所有的TCP、UDP、ICMP及IGMP數(shù)據(jù)都以IP數(shù)據(jù)包格式傳輸。IP提供了不可靠和無連接的數(shù)據(jù)包傳送。

不可靠是指它不能保證IP數(shù)據(jù)報(bào)能成功的到達(dá)目的地。IP僅提供最好的傳輸服務(wù)。如果發(fā)生某種錯(cuò)誤時(shí)，如某個(gè)路由器暫時(shí)用完了緩沖區(qū)，IP有一個(gè)簡(jiǎn)單的錯(cuò)誤處理算法：丟棄該數(shù)據(jù)報(bào)，然后發(fā)送ICMP消息報(bào)給信源端。任何要求的可靠性必須由上層來提供，如：TCP。

無連接是指IP并不維護(hù)任何關(guān)于后續(xù)數(shù)據(jù)報(bào)的狀態(tài)信息。每個(gè)數(shù)據(jù)報(bào)的處理是相互獨(dú)立的。這也說明，IP數(shù)據(jù)報(bào)可以不按發(fā)送順序接收。如果信源向相同的信宿發(fā)送兩個(gè)連續(xù)的數(shù)據(jù)報(bào)（先是A，然后是B），每個(gè)數(shù)據(jù)報(bào)都是獨(dú)立地進(jìn)行路由選擇，可能選擇不同的路線，因此B可能在A到達(dá)之前先到達(dá)。

1.3.1 傳輸控制協(xié)議（TCP）

傳輸控制協(xié)議（TCP）：為應(yīng)用程序提供可靠的面向連接的通信服務(wù)，適用于要求得到響應(yīng)的應(yīng)用程序。目前，許多應(yīng)用程序都使用TCP。

TCP協(xié)議通過以下過程來保證端到端數(shù)據(jù)通信的可靠性：①TCP實(shí)體把應(yīng)用程序劃分為合適的數(shù)據(jù)塊，加上TCP報(bào)文頭，生成數(shù)據(jù)段。②當(dāng)TCP實(shí)體發(fā)出數(shù)據(jù)段后，立即啟動(dòng)計(jì)時(shí)器，如果源設(shè)備在計(jì)時(shí)器清零后仍然沒有收到目的設(shè)備的確認(rèn)報(bào)文，重發(fā)數(shù)據(jù)段。③當(dāng)對(duì)端TCP實(shí)體收到數(shù)據(jù)，發(fā)回一個(gè)確認(rèn)。④TCP包含一個(gè)端到端的校驗(yàn)和字段，檢測(cè)數(shù)據(jù)傳輸過程的任何變化。如果目的設(shè)備收到的數(shù)據(jù)校驗(yàn)和計(jì)算結(jié)果有誤，TCP將丟棄數(shù)據(jù)段，源設(shè)備在前面所述的計(jì)時(shí)器清零后重發(fā)數(shù)據(jù)段。⑤由于TCP數(shù)據(jù)承載在IP數(shù)據(jù)包內(nèi)，而IP提供了無連接的、不可靠的服務(wù)，數(shù)據(jù)包有可能會(huì)失序。TCP提供了重新排序機(jī)制，目的設(shè)備將收到的數(shù)據(jù)重新排序，交給應(yīng)用程序。⑥TCP提供流量控制。TCP連接的每一端都有緩沖窗口。目的設(shè)備只允許源設(shè)備發(fā)送自己可以接收的數(shù)據(jù)，防止緩沖區(qū)溢出。⑦TCP支持全雙工數(shù)據(jù)傳輸。

1.3.2 用戶數(shù)據(jù)報(bào)協(xié)議（UDP）

UDP是一個(gè)簡(jiǎn)單的面向數(shù)據(jù)報(bào)的傳輸層協(xié)議：進(jìn)程的每個(gè)輸出操作都正好產(chǎn)生一個(gè)UDP數(shù)據(jù)報(bào)，并組裝成一份待發(fā)送的IP數(shù)據(jù)報(bào)。

UDP不提供可靠性：它把應(yīng)用程序傳給IP層的數(shù)據(jù)發(fā)送出去，但并不保證它們能到達(dá)目的地。

1.3.3 TCP/IP協(xié)議棧常用協(xié)議介紹

（1）地址解析協(xié)議（ARP）。當(dāng)一臺(tái)主機(jī)把以太網(wǎng)數(shù)據(jù)幀發(fā)送到位于同一局域網(wǎng)上的另一臺(tái)主機(jī)時(shí)，需要將數(shù)據(jù)包封裝為以太網(wǎng)幀之后進(jìn)行發(fā)送。在一個(gè)IP報(bào)文被封裝為以太網(wǎng)幀的時(shí)候，需要根據(jù)IP報(bào)文的目的IP地址確認(rèn)以太網(wǎng)幀的MAC地址，用以完成對(duì)以太網(wǎng)幀的封裝。這就要求在發(fā)送設(shè)備上有地址解析，即：IP地址和MAC地址之間的映射。

（2）網(wǎng)際控制消息協(xié)議（ICMP）。網(wǎng)際控制消息協(xié)議ICMP是一個(gè)網(wǎng)絡(luò)層的協(xié)議，它提供了錯(cuò)誤報(bào)告和其他回送給源點(diǎn)的關(guān)于IP數(shù)據(jù)包處理情況的消息。ICMP通常為IP層或更高層協(xié)議使用，一些 ICMP報(bào)文把差錯(cuò)報(bào)文返回給用戶進(jìn)程。ICMP報(bào)文通常被封裝在IP數(shù)據(jù)包內(nèi)傳輸。

（3）動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）。隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)中的主機(jī)數(shù)量不斷增加，管理主機(jī)的IP地址和相關(guān)參數(shù)對(duì)管理員來說越來越困難，手工分配IP地址難免會(huì)帶來地址沖突問題。主機(jī)經(jīng)常需要從一個(gè)地方移動(dòng)到另一個(gè)地方，人工配置IP地址相當(dāng)麻煩。當(dāng)IP地址資源較緊張時(shí)，如果每臺(tái)主機(jī)都占用固定的IP地址，地址空間會(huì)非常緊張，實(shí)際上并不是每臺(tái)機(jī)器都是運(yùn)行的，造成地址的浪費(fèi)。動(dòng)態(tài)分配是唯一一種允許自動(dòng)重用地址的機(jī)制。因此，這種方法對(duì)于有臨時(shí)上網(wǎng)用戶，而且網(wǎng)絡(luò)的IP地址資源又不是多得沒法用的時(shí)候特別有用。而手工指定對(duì)于管理不希望使用動(dòng)態(tài)IP地址的用戶十分方便，不會(huì)因?yàn)槭止ぶ付ǘ虳HCP沖突或和其他已經(jīng)分配的地址沖突。通過DHCP可以給網(wǎng)絡(luò)中的主機(jī)提供配置信息，包括IP地址和相關(guān)的其他參數(shù)。DHCP可以完美的解決上述問題。

（4）DHCP Relay。當(dāng)DHCP客戶機(jī)啟動(dòng)并進(jìn)行DHCP初始化時(shí)，它會(huì)在本網(wǎng)絡(luò)廣播配置請(qǐng)求報(bào)文；若本地網(wǎng)絡(luò)存在DHCP服務(wù)器則不需要DHCP中繼就直接可以進(jìn)行DHCP配置；若本地網(wǎng)絡(luò)中無DHCP服務(wù)器，則與本地網(wǎng)絡(luò)相連的、帶DHCP中繼功能的網(wǎng)絡(luò)設(shè)備在收到該廣播報(bào)文后將做適當(dāng)處理將之轉(zhuǎn)發(fā)給指定的存在于其他網(wǎng)絡(luò)上的DHCP服務(wù)器；服務(wù)器根據(jù)客戶機(jī)提供的必要信息，為其作響應(yīng)的配置，并再次通過 DHCP中繼將該配置信息發(fā)送給客戶機(jī)，完成對(duì)客戶機(jī)的動(dòng)態(tài)配置。事實(shí)上，從開始到最終完成配置，需要多個(gè)這樣的交互過程。

2 TCP/IP存在的問題

2.1 脆弱的TCP/IP服務(wù)

我們知道TCP/IP協(xié)議應(yīng)用的主要目的是為了在Internet上的應(yīng)用，也就是基于TCP/IP協(xié)議上的服務(wù)，雖然TCP/IP協(xié)議已是事實(shí)上通信協(xié)議的標(biāo)準(zhǔn)，但仍不可避免的一個(gè)問題就是安全性問題，不僅TCP/IP協(xié)議本身，現(xiàn)在很多基于TCP/IP的應(yīng)用服務(wù)都在不同程度上存在著嚴(yán)重的安全問題，一些新的處于測(cè)試階級(jí)的服務(wù)有更多的安全缺陷。基于TCP/IP協(xié)議的服務(wù)較多，如WWW服務(wù)、FTP服務(wù)、電子郵件服務(wù)、TFTP服務(wù)、NFS服務(wù)、Finger服務(wù)、NDS服務(wù)、DHCP服務(wù)和WINS服務(wù)等，詳細(xì)了解這些服務(wù)在安全性方面的不足對(duì)于用戶設(shè)置防火墻保護(hù)自己的網(wǎng)絡(luò)有重要意義，平時(shí)我們?yōu)閱挝坏姆阑饓r(shí)就需要考慮該提供哪些服務(wù)、要禁止哪些服務(wù)以及哪些服務(wù)該如何配置等，在這里僅對(duì)一些常用服務(wù)做簡(jiǎn)單介紹。

2.1.1 WWW服務(wù)

WWW 服務(wù)相對(duì)于其他服務(wù)出現(xiàn)較晚，是基于超文本（HTML）傳輸協(xié)議HTTP的，它是互聯(lián)網(wǎng)、多媒體網(wǎng)頁(yè)制作技術(shù)飛速發(fā)展的必然產(chǎn)物。它是由瑞士日內(nèi)瓦歐洲粒子物理實(shí)驗(yàn)室發(fā)明的，并在短時(shí)間內(nèi)得到迅猛發(fā)展，是人們常用的互聯(lián)網(wǎng)服務(wù)，如我們第一線天所進(jìn)行的網(wǎng)頁(yè)瀏覽。隨著Nctscape公司推出安全套接字層 SSL，WWW 服務(wù)器和瀏覽器的安全性得到大大的提高，現(xiàn)在人們把這種技術(shù)應(yīng)用于電子商務(wù) E－business。例如人們可以在互聯(lián)網(wǎng)上進(jìn)行買賣股票和購(gòu)物。安全套接字層SSL使WWW服務(wù)的安全性得到了提高，但它主要解決的是數(shù)據(jù)包被竊聽和劫持的問題，除此之外 WWW 服務(wù)還有其他問題，如WWW 服務(wù)所使用的 CGI程序、服務(wù)器端附件（Server Side Include，SSI）和Java Applet小程序等。

最初WWW服務(wù)只提供靜態(tài)的HTML頁(yè)面，這種頁(yè)面顯得很呆板，于是人們引入了CGI程序，CGI程序讓人們的主頁(yè)活起來。CGI程序可以接收用戶的輸入信息，一般用戶是通過表格把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用戶的要求進(jìn)行一些處理，一般情況下會(huì)生成一個(gè)HTML軟件包，利用它可做一些非法的事情，如把/etc/passwd文件傳送給黑客、刪除服務(wù)器上的文件等。另外，很多人在編CGI程序時(shí)，可能對(duì)CHI軟件包中的安全漏洞并不了解，多數(shù)情況下不會(huì)重新編寫程序的所有部分，只是對(duì)其加以適當(dāng)?shù)男薷?，這樣很多 CGI程序就不可避免的具有相同的安全漏洞，所以用戶若要編寫一個(gè)安全的CGI程序，就應(yīng)先去了解這些軟件包中的安全漏洞。另一個(gè)CGI程序很多是用Perl來編寫的，Perl本身的功能強(qiáng)大，但它同樣也很不安全，其中有很多UNIX的特殊字符可用來執(zhí)行UNIX的系統(tǒng)命令，一般入侵者就是利用這些特殊字符實(shí)施攻擊的，這也是造成CGI程序不安全的先天性，從某種意義上來講也是TCP/IP協(xié)議先天安全性不足的重要因素之一。

2.1.2 電子郵件服務(wù)

電子郵件服務(wù)給人們提供了一種便宜、方便和快捷的服務(wù)，E－mail地址也開始寫在現(xiàn)代都市人的名片上了，但是電子郵件程序本身就存在許多安全性問題。如在UNIX環(huán)境下的電子郵件Sendmail，它是一個(gè)復(fù)雜且功能強(qiáng)大的應(yīng)用軟件，正因如此它的安全漏洞更多。程序越大、越復(fù)雜則安全漏洞可能越多，這似乎已是一個(gè)不爭(zhēng)的事實(shí)，以 Windows系列為例，版本在不斷更新，新功能在不斷添加，老的BUG據(jù)說是一個(gè)個(gè)被KILL，但新的問題總是層出不窮。如 Win2K的專業(yè)版中竟然在輸入法出現(xiàn)了重大安全漏洞，這是以前任何版本W(wǎng)indows所未曾出現(xiàn)的！

Sendmail在UNIX環(huán)境下以root運(yùn)行，所以如果該程序被黑客利用，用戶主機(jī)的損失將會(huì)是巨大的。互聯(lián)網(wǎng)蠕蟲病毒曾經(jīng)震驚世界，它使大批的UNIX服務(wù)于癱瘓之中，這種病毒就是利用Sendmail安全缺陷來進(jìn)攻的。如果要使這些功能以更安全的方式實(shí)現(xiàn)，需要對(duì)Sendmail進(jìn)行重新設(shè)計(jì)和重新實(shí)現(xiàn)，但人們又會(huì)擔(dān)心新的版本會(huì)有更多的人們難以預(yù)料的安全漏出現(xiàn)，于是Sendmail的開發(fā)者們只好對(duì)其修修補(bǔ)補(bǔ)。

除此之外，電子郵件附著的 Word文件或其他文件中有可能帶有病毒，如 Word的宏病毒等。電子郵件炸彈也是一個(gè)頭疼的問題，但這個(gè)問題時(shí)至今日人們?nèi)詿o法有任何有效措施來預(yù)防，更不要說徹底解決了。

2.1.3 FTP服務(wù)和TFTP服務(wù)

這兩個(gè)服務(wù)都是用于傳輸文件的，但用的場(chǎng)合不同，安全程度也不同。

TFTP服務(wù)用于局域網(wǎng)，在無盤工作站啟動(dòng)時(shí)用于傳輸系統(tǒng)文件，因?yàn)樗粠в腥魏伟踩米C，所以其安全性極差，常被人用來竊取密碼文件。

FTP服務(wù)對(duì)于局域網(wǎng)和廣域網(wǎng)都可以用來下載任何類型的文件，但它允許匿名登錄，其實(shí)還有許多類似的服務(wù)，如ssh、scp等，ssh是一種帶有完善加密和認(rèn)證機(jī)制的協(xié)議，如果服務(wù)器上運(yùn)行的 ssh是最新版本，那么使用它應(yīng)該是安全的。然而如http、ftp、smtp和nntp則是一般WWW服務(wù)器實(shí)際提供的服務(wù)，這些服務(wù)是必須運(yùn)行的，所以所有其他文件傳輸都應(yīng)最好使用scp工具和ssh協(xié)議完成。

網(wǎng)上有許多匿名FTP服務(wù)站點(diǎn)，其上有許多免費(fèi)軟件、圖片和游戲，匿名FTP是人們常使用的一種。FTP服務(wù)的安全性要好一些，至少它需要用戶輸入用戶名和口令，當(dāng)然匿名 FTP服務(wù)就像匿名WWW服務(wù)是不需要口令的，但用戶權(quán)力會(huì)受到嚴(yán)格的限制。匿名FTP存在一定的安全隱患，因?yàn)橛行┠涿鸉TP被一些人用作存放盜版軟件和黃色圖片，這會(huì)浪費(fèi)用戶的磁盤窨、網(wǎng)絡(luò)帶寬等系統(tǒng)資源。

2.1.4 Finger服務(wù)

用于查詢用戶的信息，包括網(wǎng)上成員的真實(shí)姓名、用戶名、最近登錄時(shí)間和地點(diǎn)等，也可用來顯示當(dāng)前登錄在機(jī)器上所有用戶名，這對(duì)于入侵者來說是無價(jià)之寶。因?yàn)樗芨嬖V入侵者在本機(jī)上有效的登錄名，然后入侵就可以注意其活動(dòng)。

2.2 問題嚴(yán)重性

仔細(xì)分析PSTN、ATM及IP網(wǎng)絡(luò)結(jié)構(gòu)，可更充分理解IP網(wǎng)易受攻擊的安全性問題的原委。

一般安全攻擊多半在終端發(fā)起，PSTN的終端本質(zhì)為傻瓜型，兼之PSTN的收費(fèi)模式，在終端入手發(fā)起大規(guī)模攻擊，成本亦很高，難以操作。PSTN的用戶端與網(wǎng)絡(luò)端接以UNI與NNI彼此分離，業(yè)務(wù)提供及控制權(quán)均在運(yùn)營(yíng)商手中，沒有運(yùn)營(yíng)商參與，用戶難在終端做新花樣，播發(fā)病毒及發(fā)動(dòng)攻擊；就算用戶想做手腳，追查亦較方便，因?yàn)?PSTN對(duì)所有終端均按 E.164碼號(hào)規(guī)則賦予全球惟一與公開的編號(hào)。此外，當(dāng)PSTN提供IP網(wǎng)接入服務(wù)時(shí)，僅作為IP網(wǎng)的鏈路層接入，IP數(shù)據(jù)只是在PSTN上透穿，無法在PSTN接入IP之際從IP網(wǎng)攻擊PSTN。由此可以推理PSTN的網(wǎng)絡(luò)與終端安全性較好，相應(yīng)其喪失的便是靈活有效的寬帶多業(yè)務(wù)增值能力。

ATM雖然亦同屬分組型技術(shù)，但ATM并無直接的終端業(yè)務(wù)與用戶，對(duì)用戶而言只是提供一個(gè)邏輯“專網(wǎng)”，用戶只能在自己的“專網(wǎng)”中運(yùn)作，用戶亦無能力與可能發(fā)送ATM網(wǎng)絡(luò)能識(shí)別與要識(shí)別的信令與業(yè)務(wù)數(shù)據(jù)。同樣，ATM的UNI與NNI是分離的，網(wǎng)絡(luò)只是為用戶提供透?jìng)鞴δ?，其信令、業(yè)務(wù)數(shù)據(jù)等對(duì)用戶為不可見，用戶無法產(chǎn)生惡意數(shù)據(jù)對(duì)ATM進(jìn)行攻擊；ATM 網(wǎng)絡(luò)與網(wǎng)絡(luò)間的安全性則靠運(yùn)營(yíng)規(guī)則與運(yùn)營(yíng)商間的信任關(guān)系和協(xié)同合作予以保證。而且，由于用戶只能在自己所在的網(wǎng)絡(luò)中運(yùn)作，即便能發(fā)動(dòng)攻擊，也只能攻擊自己網(wǎng)絡(luò)內(nèi)的有限用戶，很容易追查。因此，ATM網(wǎng)絡(luò)也有較好的安全性保證，但同時(shí)帶來了寬帶多業(yè)務(wù)增值不靈活方便與不價(jià)廉物美。

再看IP網(wǎng)絡(luò)，它真像信息的明信片傳送，沒有UNI與NNI的分離，運(yùn)營(yíng)商設(shè)備、協(xié)議乃至網(wǎng)絡(luò)拓?fù)鋵?duì)用戶均屬開放可見。用戶端產(chǎn)生的IP信息，無論在用戶端或在網(wǎng)絡(luò)中均可傳送終結(jié)，從而既可能由用戶端與運(yùn)營(yíng)商網(wǎng)絡(luò)交換非法及惡意路由信息，也可能對(duì)運(yùn)營(yíng)商網(wǎng)絡(luò)的路由器、接入服務(wù)器等設(shè)備及三層以上設(shè)備實(shí)施攻擊。與此同時(shí)，位于IP網(wǎng)絡(luò)邊際的用戶側(cè)的網(wǎng)絡(luò)與業(yè)務(wù)、應(yīng)用，一般均使用 TCP/UDP/IP這一基礎(chǔ)技術(shù)，這導(dǎo)致用戶間在IP層及應(yīng)用層等各層面彼此透明可見，從而亦為惡意用戶攻擊對(duì)方網(wǎng)絡(luò)及相應(yīng)業(yè)務(wù)大開方便之門。IP網(wǎng)絡(luò)的終端高度智能化及多業(yè)務(wù)能力一方面使由終端用戶發(fā)動(dòng)攻擊變得容易，同時(shí)又增加了識(shí)別與防范各類花樣繁多的安全攻擊的難度，因?yàn)槎喾N業(yè)務(wù)綜合承載在同一網(wǎng)絡(luò)上，難以分辨與確立用戶間的信任關(guān)系，導(dǎo)致惡意用戶容易找準(zhǔn)對(duì)象發(fā)動(dòng)攻擊，而被攻擊的用戶實(shí)際上難以分清哪些是合法用戶的正常訪問，哪些是非法用戶侵入或惡意攻擊。另一方面，鑒于IP網(wǎng)絡(luò)及技術(shù)飛速發(fā)展，協(xié)議設(shè)計(jì)及軟件開發(fā)中的缺陷與漏洞在大規(guī)模應(yīng)用前來不及測(cè)試發(fā)現(xiàn)與徹底排除，這亦給惡意攻擊造成各種可乘之機(jī)。對(duì)此，一些知名公司的軟件漏洞，如微軟的 WindowsXPsp2、思科的IOS及蘋果的MACOS均為其明顯示例。此外，IP用戶身份難以識(shí)別導(dǎo)致很難跟蹤及遏止攻擊者；而且，IP的高度智能的終端及其寬帶化，加上其計(jì)費(fèi)模式等更有利惡意用戶方便與低成本地有效實(shí)施大規(guī)模攻擊，包括分布式拒絕服務(wù)（DDOS）攻擊在內(nèi)，而且制造這類攻擊的技術(shù)難度亦變得愈來愈容易，從而使這類非法入侵及惡意攻擊有增無減、肆意蔓延與防不勝防，著實(shí)令人擔(dān)憂。當(dāng)然，IP協(xié)議的開放透明性導(dǎo)致的安全性弊端，同時(shí)帶來了其靈活有效的寬帶多業(yè)務(wù)增值能力及容易互聯(lián)互通和有效降低成本等明顯的市場(chǎng)應(yīng)用優(yōu)勢(shì)與吸引力。

現(xiàn)實(shí)情況亦確實(shí)如此，黑客、病毒似乎愈殺愈烈，泛濫成風(fēng)，實(shí)際已成為IP網(wǎng)絡(luò)安全運(yùn)作的頭等隱患。例如，2004年，新病毒增加52%，瑞星報(bào)告指出，其中下述十大病毒對(duì)用戶造成的破壞最大：網(wǎng)絡(luò)天空（占總病毒數(shù)的39.9%）、愛情后門（占21.3%）、SCO炸彈（占7.7%）、小郵差（占1.5%）、垃圾桶（占0.9%）、惡鷹（占0.8%）、求職信（占0.5%）、高波（占0.5%）、震蕩波（占0.4%）及瑞波（占0.4%）。而且，黑客和病毒威脅呈下述四大發(fā)展趨勢(shì)：變種病毒數(shù)量翻番劇增、防不勝防，從漏洞被發(fā)現(xiàn)至針對(duì)漏洞攻擊病毒出現(xiàn)的時(shí)間間隔越來越短，國(guó)產(chǎn)型木馬病毒及后門程序成為主流，目標(biāo)直指網(wǎng)民真實(shí)財(cái)產(chǎn)，“網(wǎng)絡(luò)釣魚”形式的詐騙病毒活動(dòng)明顯增加等。十大病毒中有9種為蠕蟲，從對(duì)用戶的危害性而言，依然是蠕蟲病毒最為嚴(yán)重。病毒變種之所以快速增長(zhǎng)蔓延的一個(gè)重要原因即在于很多病毒源代碼借助網(wǎng)絡(luò)被病毒作者公開并提供下載，甚至有些代碼還包括完整的說明文檔及相應(yīng)工具和示例，易于普及傳播。毋需特別技能，僅需修改配置文件和部分源代碼便可編譯生成一個(gè)新的變種病毒。這是對(duì)公開性、包括源代碼公開在內(nèi)而產(chǎn)生的負(fù)面影響的一種直接諷刺，亦說明如何正確認(rèn)識(shí)與控制一種事物的正反兩個(gè)方面是何等重要。

由這些分析討論可充分理解IP網(wǎng)絡(luò)安全問題的本質(zhì)所在，就像SARS一樣，只有控制其病源，才能控制其蔓延，因此，尋找IP網(wǎng)絡(luò)的有效安全對(duì)策，尤為緊迫、重要。

對(duì)此，IP和 Internet研究的權(quán)威機(jī)構(gòu)——IETF，對(duì)現(xiàn)有Internet及IP協(xié)議的缺陷與不足已有足夠的認(rèn)識(shí)，曾在其年會(huì)提出過主題“因特網(wǎng)的十字路口”，列舉了Internet下一步發(fā)展面臨的10大技術(shù)問題：身份識(shí)別技術(shù)、保護(hù)IPR技術(shù)、保護(hù)個(gè)人隱私技術(shù)、新一代Internet通信協(xié)議IPv6技術(shù)、下一代Internet結(jié)構(gòu)的網(wǎng)格（Grid）技術(shù)、無線 Internet技術(shù)、傳統(tǒng)電話網(wǎng)與Internet融合的技術(shù)、更有效地在網(wǎng)上傳輸?shù)囊曨l技術(shù)、防止垃圾郵件的過濾技術(shù)及網(wǎng)絡(luò)安全技術(shù)。如果無法在網(wǎng)絡(luò)安全、個(gè)人隱私及IPR保護(hù)方面取得突破，Internet將無法成為一種真正可信的商業(yè)工具。當(dāng)然，IETF相信，在采取一系列有效措施后，如改進(jìn)IP協(xié)議，改進(jìn)TCP/UDP協(xié)議，縮短路由及傳輸時(shí)延，提高傳輸效率及質(zhì)量，實(shí)施有效的全球大容量移動(dòng)擴(kuò)展、訪問與漫游，提高網(wǎng)絡(luò)安全性及改進(jìn)網(wǎng)絡(luò)管理能力等，新的IP網(wǎng)能擔(dān)當(dāng)起 NGN重任。十大技術(shù)問題中即有一半以上與安全性有關(guān)，可見IP安全問題的嚴(yán)重性。

1楊延雙、張建標(biāo)、王全民編著.TCP/IP協(xié)議分析及應(yīng)用［M］.北京：機(jī)械工業(yè)出版社，2007.2

2史蒂文斯（W.Richard Stevens）著.TCP/IP詳解（范建華等譯）［M］.北京：機(jī)械工業(yè)出版社，2007.8