---

一、TCP/IP協(xié)議族

---

二、IP協(xié)議

網(wǎng)際協(xié)議（Internet Protocol，IP）是TCP/IP協(xié)議族的核心，也是網(wǎng)際層最重要的協(xié)議。

• IP數(shù)據(jù)報(bào)由首部和數(shù)據(jù)兩部分組成；
• 首部前一部分是固定長(zhǎng)度20字節(jié)，是數(shù)據(jù)報(bào)必有的；
• 首部固定部分之后，是一些可選字段，長(zhǎng)度可變。

---

三、IP協(xié)議的安全問(wèn)題及防護(hù)措施

安全問(wèn)題1：IP數(shù)據(jù)報(bào)在傳遞過(guò)程中易被攻擊者監(jiān)聽(tīng)、竊取。這是一種被動(dòng)攻擊，攻擊者可截取數(shù)據(jù)報(bào)，解析數(shù)據(jù)凈荷，從而獲得數(shù)據(jù)內(nèi)容。

防護(hù)措施1：對(duì)IP數(shù)據(jù)報(bào)進(jìn)行加密。

安全問(wèn)題2：由于IP層并沒(méi)有采用任何機(jī)制保證數(shù)據(jù)凈荷傳輸?shù)恼_性，攻擊者可能截取數(shù)據(jù)報(bào)，修改數(shù)據(jù)報(bào)中的內(nèi)容后，將修改結(jié)果發(fā)送給接收方。

防護(hù)措施2：對(duì)IP數(shù)據(jù)報(bào)凈荷部分實(shí)行完整性檢測(cè)機(jī)制。

安全問(wèn)題3：IP層不能保證IP數(shù)據(jù)報(bào)一定是從源地址發(fā)送的，攻擊者可偽裝成另一個(gè)網(wǎng)絡(luò)主機(jī)，發(fā)送含有偽造源地址的數(shù)據(jù)包欺騙接受者，此攻擊稱為IP欺騙攻擊。

防護(hù)措施3：通過(guò)源地址鑒別機(jī)制加以防御。

安全問(wèn)題4：IP數(shù)據(jù)報(bào)在傳輸過(guò)程中要經(jīng)歷被分段和重組的過(guò)程，攻擊者可以在包過(guò)濾器中注入大量病態(tài)的小數(shù)據(jù)包，來(lái)破壞包過(guò)濾器的正常工作。

防護(hù)措施4：許多防火墻能夠重組分段的IP數(shù)據(jù)報(bào)，以檢查其內(nèi)容。

安全問(wèn)題5：使用特殊的目的地址發(fā)送IP數(shù)據(jù)報(bào)也會(huì)引入安全問(wèn)題，如攻擊者可使用目的地址為定向廣播地址的IP數(shù)據(jù)報(bào)來(lái)攻擊許多不同類型的主機(jī)。

防護(hù)措施5：配置路由器時(shí)啟用禁止發(fā)送定向廣播數(shù)據(jù)包的功能。

---