本章要点：
LAN的攻击类型及防御方法；无线网的风险及缓解方法；数据链路层风险及缓解方法；PPP,MAC,ARP的风险；网络层风险及缓解方法；IP风险及IP安全可选方案。

第六章 Internet安全体系结构之一

提要

不同类型的漏洞、攻击和威胁存在于Internet的不同层次，Internet安全体系结构就是依照层次结构的原则，对不同类型的攻击实施不同层的保护。

物理网络风险及安全

物理网络风险

• 物理网的攻击集中在物理网部件

• 攻击

  • 窃听

    • 当网络有开放的分接头、可访问的分接头或物理访问介质，网络易于被窃听。

    • 回答（重放）

      • 基于记录网上接收到的信号，并返回给网络。该攻击无需知道数据的含义，而仅仅是将其返回。

    • 插入

      • 类似于回答攻击，插入攻击是发送数据，但不是返回接收到的数据，而是新的数据。

    • 拒绝服务（Dos）

      • 物理网络最易受DoS攻击，包括不经意的和故意的。诸如hub的电源插头掉了，物理切断电缆，无线频率干扰等。

物理层安全

• 没有通用的物理层协议直接提供安全
• 很多物理层协议的身份鉴别是和高层紧密相连的，例如拨号网和无线网
• 多数情况下，物理层是作为身份鉴别栈的一部分来实现的。身份鉴别栈位于网络用户的OSI栈的前面，管理网络的身份鉴别。当数据到达结点时，身份鉴别栈处理数据并验证信息，身份鉴别信息再送到结点的OSI栈

局域网LAN的安全

攻击类型

• 破坏

  • 包括中断电源和切断网络电缆
  • 缓解方法包括配置备用电源和限制访问核心网络设备

• 干扰

  • 假如非授权的信号（如干扰）进入物理介质，则网络设备可能无法区别数据和噪声
  • 缓解方法包括介质屏蔽、数据编码技术等

• 故意攻击

  • 来自侦察、回答和插入攻击的威胁通常是故意的
  • 可选的缓解方案包括防火墙以及提供DMZ（DeMilitarized Zone, 非军事区）等定位的网络配置

防御方法

• 防火墙

  • 最有效的方法是将网段分割开来，直接连到Internet的系统是没有任何保护的。

  • 防火墙是在网段之间过滤网络通信的系统以及能保护特定的网络的协议。

  • 防火墙至少将网络分成两个网段，一段是可信的LAN，另一段是不可信的WAN。

  • 分类

    • 软件防火墙
    • 硬件防火墙

• 特权区

  • 单个防火墙能在不太可信的WAN和更可信的LAN间生成一个壁垒，单个防火墙定义两个特权区

  • 一个组织内，往往有不同程度的可信度，可使用分段拓扑，在物理层明确地定义。分段的拓扑可以是不同可信级别的分段串联起来。但更为普遍的是采用DMZ（非军事区）、洋葱头拓扑和大蒜头拓扑

  • 拓扑

    • DMZ

      • DMZ是在LAN和WAN之间的一个隔离的网段

      • 虽然在DMZ和LAN之间存在物理连接，但真正的连接是依赖诸如路由器和网关这类网络设备，在高层完成连接。

      • 对网络安全提供3个关键的好处

        • 限制数据流
        • 限制物理连接
        • 监控访问点

    • 洋葱头拓扑

      • 洋葱头网是由防火墙将众多LAN分隔成串联层。

      • 一些定义

        • 环

          • 每层叫作一个环，对邻近的环是独立的网段。

        • 核

          • 洋葱头的中心层称为核，每个洋葱头只包含一个核

      • 层间的防火墙限制访问每层，对核心层更是有严格的限制

    • 大蒜头拓扑

      • 分层的网络簇（cluster）形成大蒜头网，也称气泡网或单元网
      • 每个大蒜头网称一个丁香（clove），每个丁香包含一个核。不同的丁香可有不同的深度，也可包括含有附加丁香的子网。
      • 大蒜头网的安全特点是它的组织结构，每层（或核）结点不能和不同层的结点进行通信，除非经过一个网络通路

• LAN连接

  • 静态连接是结点和网络之间有一条物理链路，即使结点不在线，链路也是存在的，风险较大。
  • 动态连接是网络连接时，物理链路是变化的。拨号modem池是典型的动态连接，modem服务器和modem客户端间的物理通路在每次呼叫时是变化的。
  • 采用安全的动态LAN连接可抵御风险。

无线网络安全

无线网风险

• 分组嗅测

  • 无线网攻击的最简单方式
  • 无线网上的数据流本质上是总线结构。
  • 每个用户点SP接收到从访问点AP发送的全部数据，这意味着接到AP的任何SP能观察到至少一半的客户的网络通信。这直接导致会话拦截或对网络其他层的攻击。

• SSID信息

  • SSID通常设置为一个公司名、家庭名或街道地址。这种数据类型能被潜在的攻击者破坏
  • SSID中的值对用户有帮助，但同样也为攻击者所利用

• 假冒

  • AP假冒可能是故意的，也可能是不经意的
  • 攻击者可以在已有的AP附近建立一个新的AP，并且赋以同样的SSID。在用户点SPs看来，所有相同SSID的AP是一样的
  • 不经意的假冒发生在住户邻居可能对AP使用相同的设置

• 寄生者

  • 寄生者要通过一个开放的AP来访问Internet
  • 大部分寄生者可被WEP检测到

• 直接安全漏洞

  • 无线网络允许直接访问物理网络，而WEP对决意的攻击者无法制止

风险缓解的方法

• SSID打标签

  • SSID的设置值可给攻击者提供信息，攻击者更有可能攻击一个已知的网络
  • 最好的情况是SSID对拥有者应提供清楚的信息，而对攻击者是模糊的

• 不使用SSID广播

  • 路由器需每隔几秒钟广播SSID，以便寻找AP的用户能发现它
  • 为安全起见，可不广播SSID，而要求用户在需要连接前知道SSID的名字

• 无线放置

  • 天线的位置直接影响接收信号强度
  • 把天线放在地下室的墙角，就可限制接收的范围，还可采取一些措施，以限制信号在特定方向的传播

• MAC过滤

  • 身份鉴别栈可严格地限制那些能收到无线信号的攻击者的访问。最简单的身份鉴别是介质访问控制MAC，MAC地址能唯一识别每个网卡
  • APs允许管理者列出连接到路由器的MAC地址，这样可阻止想连接的未知MAC地址的攻击者

• WEP

  • 熟练的攻击者能很容易旁路SSID的设置、天线的设置，以及MAC过滤等防御措施，因为这些方法只是限制攻击发现，但不能阻止无线连接
  • WEP能主动阻止连接，可确定意图，如果攻击者解密和访问一个有WEP的网络，就清楚地暴露其有意攻击的意图
  • WEP是通用的，几乎所有无线网络路由器都支持WEP，并相互兼容

• 其他密码系统

  • 例如：Wi-Fi防护访问WPA——一个支持身份鉴别协议的方法

• 网络体系结构

  • 无线网允许任何人在接收范围内访问物理介质。身份鉴别栈可阻止攻击者连接到无线网
  • 恰当的网络结构可对已经成功连接到无线路由器的攻击者限制其影响，诸如DMZ或VPN(Virtual Private Network, 虚拟专用网)都是可选方案。

数据链路层风险及安全

数据链路层风险

• 随意模式

  • 正常模式下，网络寻址机制（MAC）能阻止上面的堆栈层接收非指向该结点的数据。然而很多网络接口支持无地址过滤，运行在随意模式的结点能接收所有帧，而不只是指向该结点的帧。

  • 随意模式允许攻击者接收所有来自网络的数据

    • 随意攻击模式

      • 通常用于网络分析和查错工具，但是攻击者也能利用该模式进行攻击

    • 常用工具

      • 很多工具可将网络接口转到随意模式

    • 随意检测模式

      • 随意模式能旁路掉第1、2层的过滤，所有接收到的数据被送到上层处理。可利用该特点检测随意模式

      • 假如分组内的数据要求做出回答，高层协议可以回答：例如ARP，ICMP和DNS

      • 检测方法

        • 使用ARP检测随意模式

          • 正常模式下，假如ARP请求分组中的硬件地址和接收结点的不匹配，则拒绝该ARP请求分组。而在随意模式下，该ARP请求分组被接收，并产生一个ARP回答
          • 因此，将一个带有无效硬件地址、有效IP地址的ARP请求分组，发给每个结点，可检测出工作在随意模式下的结点

        • 使用ICMP检测随意模式

          • 在随意模式下，结点接收更多分组要处理，因此ICMP回答有更大的延迟

        • 使用DNS检测随意模式

          • 很多分组捕获工具，根据捕获到的IP地址查找主机名
          • 检控DNS请求能决定哪个主机正在执行很多主机名的查找。

• 负载攻击

  • 大部分数据链路层地址过滤只需十分低的开销，但数据链路层攻击会明显增加结点的CPU负载
  • 例如，在多主机的网络，每个主机接收每个广播帧，简单地接收和处理单个广播帧，不会消耗很多资源，但上千个广播帧的处理，将对结点产生很多开销，对实时或关键服务器产生严重影响

• 地址攻击

  • 大部分地址机制允许结点改变有效网络地址。假如两个结点配置成相同地址，其结果是二者都被拒绝网络连接

• 帧外数据

  • 对不包含在帧内的数据通常会被丢弃，而不包含在帧内的信息能在物理层传输。这个帧外数据能节省带宽，或将信息转换成非标准形式
  • 某些运行在随意模式的网络接口可接收帧外数据

• 转换通道

  • 数据链路层除了成帧和传播数据以外还可以有别的用处。很多高层功能可在数据链路层执行
  • 攻击者能生成后门和类似数据链路层协议的远程控制协议。例如，信息能隐藏在标准帧以外

• 物理风险

  • 理论上，数据链路层独立于物理层运行。因为该独立性，数据链路层对所有物理层风险易受攻击
  • 例如，物理层攻击者能直接访问数据链路帧，能窃听所有数据链路通信

数据链路层风险缓解方法

• 硬编码

  • 攻击者能拦截和重指硬件地址。为了缓解该问题，地址表可设置成静态地址
  • 静态地址表对改变已建立的系统进行防护，并阻止非授权的连接

• 数据链路身份鉴别

  • 少数数据链路层协议实施加密，但加密的处理开销是很昂贵的，对繁忙的网络易受负载攻击

  • 代替的办法为由RFC1334定义的CHAP和PAP

    • CHAP（挑战握手身份鉴别协议）

      • 使用共享密钥对初始连接进行身份鉴别

    • PAP（口令身份鉴别协议）

      • 登录凭证（id和口令）用明文从客户传送到服务器

• 高层身份鉴别

  • 保护数据链路层最普遍的方法是依靠高层协议
  • 在高层运行身份鉴别、验证、密码系统以防止拦截、回答及其他网络攻击

• 分析器和工具

  • 诸如IDS(入侵检测系统)和IPS(入侵防御系统)网络安全软件依靠随意模式下监控网络的能力

PPP和SLIP的风险

身份鉴别

• SLIP不提供身份鉴别机制，而PPP支持PAP和CHAP身份鉴别
• PAP使用简单的凭证，包括用户名和口令，明文传输，风险高
• CHAP相对安全，但存在局限性。例如，它只是在启动连接时进行身份鉴别，之后不提供安全，攻击者具有在身份鉴别后拦截连接进行窃听的能力

双向通信

• PPP和SLIP提供全双向通信支持。结点可和远程网络通信，远程网络也可和该结点通信
• 任何运行在客户上的网络服务可被整个网络访问
• 软件防火墙或家庭拨号防火墙提供缓解方法，以减缓开放网络服务的风险

用户教育

• 大部分拨号、DSL和电缆modem用户并未意识到他们的连接是双向的。有些防火墙和在线游戏、会议系统软件相冲突
• 需对防火墙进行配置避免冲突，对用户进行教育，缓解风险

MAC和ARP的风险

MAC的风险

• 硬件框架攻击

  • 攻击的第一步是侦察
  • MAC地址中的组织唯一标识符OUI为攻击者提供了硬件和操作系统的信息。
  • 为了模糊硬件框架，大多数网络驱动器允许改变MAC地址

• 伪装攻击

  • 攻击者可故意改变MAC地址，并复制到网上另一结点。假如这两个系统同时在网上活动，两者会互相干扰，从而成为有效的DoS攻击
  • 在某种情况下，两个相同MAC地址的结点能在网上共存。假如两者使用不同的网络层服务，或不同的数据链路服务访问点SAPs，就可无干扰地同时运行。这种类型的伪装可旁路某些入侵检测系统IDSs

• 负载攻击

  • 攻击者将MAC地址改为多播或广播地址，网上其他结点将处理攻击者发来的每个分组，从而实现负载攻击

ARP和RARP的风险

• 提要

  • ARP和RARP请求是广播分组，并含有询问信息

• ARP损坏

  • 当一个无效的或不经意的差错进入ARP表，会使系统的ARP受损

• ARP受损的影响

  • 资源攻击

    • 系统能缓存ARP条目的数量是有限的，当大量假的ARP条目进入， ARP表会填满
    • 当填满后，将忽略新的ARP条目或丢掉老的ARP条目。假如系统忽略新的ARP条目，则局域网上新的结点将不能再联络。假如丢掉老的ARP条目，网络性能会变慢，因为对系统发送的分组经常需要进行ARP查询获得对应的硬件地址

  • Dos攻击

    • 新的ARP回答对ARP表中老的ARP回答进行重写
    • 假如用一个坏的MAC地址重写，则将来连接到重写的结点的IP地址将失败，因为它将送到错误的MAC地址

  • 中间人攻击（MitM攻击）

    • 中间人攻击通过一个敌意的结点路由所有的通信
    • 和DoS攻击类似，ARP表的条目用不同的机器的MAC地址重写。在这种情况下，新的结点将接到所有指向老的结点的通信
    • 通过损坏两者，敌意结点能建立一个成功的中间人攻击

• 缓解ARP的受损

  • 限制ARP攻击影响的方法

    • 硬编码ARP表

      • 利用arp命令，可静态产生ARP表，并阻止进一步修改

    • ARP过期

      • 在ARP表中缓存条目可以超时，对于超时的条目，可从表中移走。该方法仅能限制资源攻击的影响

    • 过滤ARP回答

      • 并非每个ARP回答必须插入ARP表
      • 过滤ARP回答能阻止未经请求的ARP回答，但并不阻止来自重写已有条目的新的回答

    • 锁住ARP表

      • 一个已经建立的连接能在短期内锁住ARP表条目。期间，新的ARP回答不能重写已经锁住的表条目，以确保已建立的连接不能改变，从而缓解中间人攻击

• 交换机攻击

  • 交换机中毒攻击

    • 交换机保持一些ARP表以路由通过交换机到特定的物理网络端口的通信。 ARP中毒攻击能破坏ARP表
    • 中毒的ARP回答能和不同端口的另一个结点的MAC地址联系起来。这就有效地将受损结点从网上隔断，本来打算送到受损结点的所有通信会通过攻击者的端口

  • 交换机淹没攻击

    • 攻击者利用ARP中毒能淹没交换机的ARP表
    • 因为交换机承受不起这么多的分组，大部分交换机当交换机和ARP表满时，退回到hub状态。在这种状态，运行在随意状态的结点能接收通过交换机的全部通信
    • 使用静态ARP表，可缓解交换机淹没和中毒的影响

网络层风险及安全

路由风险

• 直接路由器攻击

  • 直接路由器攻击有DoS和系统破坏两种方式
  • DoS阻止路由器执行基本路由任务，使网络不能有效地连接。大部分是基于负载攻击
  • 路由器损坏虽少见，但是有可能的。路由器能配置成转发通信到不同的主机，阻断来自特定主机的通信等。受损的路由器会影响连到它的每个网络的完整性和隐私性

• 路由表中毒

  • 伪造的或受损的网络通信能重写、插入或移去路由表的条目，其结果和受损路由器没多大区别
  • 网络层协议支持动态路由表，基于观察到的通信自动生成和更新路由表。此类协议更易受攻击
  • 关键路由器应使用静态路由表以阻止中毒

• 路由表淹没

  • 路由表的容量是有限的。如果不用静态路由，设备要管理路由过期和路由表满
  • 攻击者可生成假的数据，路由器用它来生成路由表。当路由表满时，路由器将忽略新的路由、清除老的路由、或清除最坏的路由
  • 忽略新的路由阻止了新的有效路由条目的插入
  • 清除老的路由使大的淹没攻击能将已建立的条目都清除
  • 清除最坏的路由可使一些理想的路由改成别的路由
  • 大部分动态路由表也支持静态条目，关键路由应配置成静态

• 路由度量攻击

  • 路由度量攻击使路由表的动态度量中毒，可使一些好的通路似乎成为不期望的
  • 例如，网络层协议支持质量服务QoS分组，采用流控决定连接质量。攻击者可伪造QoS分组来修改动态度量，结果是更慢的吞吐量、更长的路径和更昂贵的网络开销
  • 固定路径应使用静态路由。对动态度量是关键的网络，应调整刷新速率，使路由器能经常检查期望的路由

• 路由器环路攻击

  • 网络环路会引起过多的带宽消耗。当路由器识别了一个网络环路，就将该路径从路由表中移去
  • 环路攻击者产生一个假的回答给环路检查，使路由器虚假地认为是网络环路。结果是一个理想的网络路径被去除

地址机制的风险

• 假地址

  • 当两个结点有相同的网络层地址（IP地址），就会产生冲突。
  • 假地址能阻止结点接收分组，导致网络连接中断

• 地址拦截

  • 当同一子网中两个结点具有相同的IP地址，则响应快的结点能维持网络连接，如果一个结点一直响应慢，则所有网络通信被锁住
  • 具有响应快结点的攻击者可在随意模式下观察网络通信，假如和另一结点具有相同IP地址，则可拦截已建立的网络连接

• 假释放攻击

  • 大部分动态地址分配机制提供地址再分配的方法
  • 假释放攻击是攻击者伪装一个已分配的地址，并释放它。结果是受害结点开始运行一个已分配的网络地址，造成假地址攻击

• 假的动态分配

  • 当一个结点需要一个新的网络地址时，它须首先和分配服务器联系。攻击者可配置自己的分配服务器，并响应分配请求比原来的分配服务器更快，以实现假分配

分段的风险

• 丢失分段攻击

  • 大的分组要等接收到全部分段才能处理，每个分段须暂存在内存中
  • 丢失分段攻击发生在当一个大的分组分段时，有一个分段永远未传递。该攻击会消耗分配给网络协议的资源
  • 此外，大部分系统分配一个最大内存大小用于分段组装。假如分段数据的总量大于最大分配内存，则分段被丢弃，直到超时为止。这将导致处理分段的临时DoS。
  • 可设置最佳的超时和内存分配值，缓解风险

• 最大的不分段大小

  • 整个分组大小是未知的，网络协议应能接收最大的重组分组

• 分段重组

  • 分段须标识以说明分段的次序

  • 分段重复和分段覆盖可能导致潜在的攻击。如果同样的分段ID出现两次，就造成分段重复，也有可能重复的分段包含不同数据

  • 可实施的3种选择

    • 忽略第二次分段
    • 在第一次分段上重写
    • 作为差错清除所有分段

  • 诸如IPv4、IPv6协议规定分段偏移，但偏移覆盖会产生和分段重复相类似的情况

质量服务

• 攻击者可能利用QoS（质量服务）功能来隐藏或拦截网络通信
• 例如，假的分组可以请求一个结点降低速率或发送更小的分组，导致损坏通信性能
• 又如，攻击者可以将已建立的网络连接重新指向一个不同的远程主机，这可导致中间人攻击或拦截攻击，最坏的情况能引起DoS攻击

网络层安全

• 安全协议

  • 网络层并不定义安全预防方法，安全由某些专门的网络协议解决
  • IPSec是一个附加在IP上的面向安全的协议，包括身份鉴别报头、数据封装以及密钥交换方法
  • IPv6是完全重新设计的协议，除IP地址空间扩展，还包括加密的身份鉴别和数据封装

• 网络不兼容能力

  • 网络的不兼容能阻止某些安全攻击风险

• 体系结构

  • 物理网拓扑结构提供某些内在的安全特点
  • 限制访问物理层可减少窃听、拦截、回答攻击的风险。攻击者如果看不到网络通信，就只能盲目攻击和猜测攻击网络

• 安全过滤

  • 根据IP地址的过滤器操作能缓解某些身份鉴别

• 防火墙和出口过滤

  • 防火墙能在路由器内实施，并基于IP地址限制访问
  • 过滤入口通信能减少伪装攻击的成功，出口过滤能基于网络地址限制分组中继

IP风险

地址冲突

• 在整个Internet上，两个结点不能共享相同的网络地址
• 假如在同一子网上的两结点有相同网络地址，那么路由就有两种可能
• 机器响应较快的，会锁住更慢的系统，因为IP只跟踪第一个接收的分组
• 但假如采用交换机，那么，慢系统会锁住更快的系统，因为被较慢的主机发送的分组破坏交换机的ARP表，它将所有通信重指向较慢的结点

IP拦截

• IP拦截发生在一个结点假装为另一个结点的IP地址，通常有3种方法实施IP拦截
• 第1种是攻击者用未在用的地址拦截
• 第2种是重新指向拦截，攻击者能重指网络连接到其他主机
• 第3种是随意拦截，沿着网络通路的一个结点能拦截和响应IP分组，只要攻击者位于源结点和目的结点的通路上

回答攻击

• IP是无状态的协议，攻击者可在任何时间记录和回答分组

分组风暴

• 分组风暴是常见的攻击，通信淹没了整个网络
• 有一类分组风暴称为放大攻击，即一个分组请求能产生一系列的回答。当ICMP请求送给一个广播地址，就能产生大量的回答，导致基于放大攻击的分组风暴
• 另一类分组风暴发生在网络设备不正确处理ICMP差错。错误的操作可能产生很多ICMP差错

分段攻击

• IP支持将大的数据分段传输和在接收端重新组装的能力
• 两个分段攻击的例子是Teardrop和Nesta

转换通道

• ICMP是控制协议
• ICMP能不经检查地通过某些防火墙和IDS系统，使得ICMP成为转换信息的理想工具

IP安全可选方案

禁用ICMP

• ICMP提供测试、流控和差错处理，但并不提供网络路由的基本功能。从安全方面及更有效角度考虑，可以完全不用ICMP支持
• 可以在防火墙上禁用ICMP

非路由地址

• 无须直接连到Internet的主机可用非路由网络地址

• RFC 1597定义了一系列不能路由的子网，用于私用网

• 采用非路由网络地址，使攻击者不能直接访问被保护的主机

• 三类

  • 10.0.0.0~10.255.255.255
  • 172.16.0.0~172.31.255.255
  • 192.168.0.0~

网络地址转换NAT

• NAT是通过公共网关将来自隔离网的分组中继，NAT网关是桥接Internet和专用网（私用网）的双主机系统
• 对每个出口分组，NAT服务器在内部中继表存储映射关系。中继表包含3个成分：源IP地址和传输层端口，目的IP地址和传输层端口，NAT服务器外部接口的端口号
• 使用NAT服务器外部IP地址和端口号将分组中继到外部网络。外部目的主机视分组来自NAT服务器，而非内部系统
• 当NAT服务器接到来自外部网络接口的分组，它将分组目的地和内部中继表进行比较，再将分组转发到内部主机
• 使用NAT服务器，很多专用主机通过相同的外部IP地址中继。NAT服务器提供两个安全效果：匿名和隐私
• 所有通过NAT服务器中继的分组好像都来自NAT服务器，因此，内部源是匿名的
• 攻击者不能连接到内部主机。任何到NAT服务器外部接口，但没有内部中继表条目的分组都被丢弃

反向NAT

• NAT最大的缺点是不能作为一个主机，因为所有网络通信必须从来自专用网内启动，NAT服务器不能在专用网内部常驻
• NAT不能用于Web、E-mail和其他网络服务
• 反向NAT(RNAT)提供从NAT服务器的外部端口到专用网上的IP地址和内部端口的静态映射

IP过滤

• 大部分非NAT防火墙支持基于IP分组头的分组过滤
• 过滤器的规则能限制基于特定主机、子网或服务类型(TCP、UDP或ICMP)的分组。该过滤能应用到源地址或目的地址以提供在IP上的最大控制

出口过滤

• 大部分防火墙配置成限制从外面进入的通信，而对出口通信无限制。这种配置提供了最大的安全以防外部的攻击者，另一方面对内部用户提供了最大的方便。但这种配置允许在内部网络的攻击者对外部资源进行攻击
• 出口过滤将防火墙规则应用到出口通信
• 最简单的出口过滤运行在网络层，以阻止来自内部网络有假的源地址的分组
• 更复杂的出口过滤在高层实施。例如，在传输层限制端口访问，在高层限制Web
  URL访问

IPSec

• IP的主要安全问题是没有身份鉴别、没有验证，也没有隐私
• IPSec是网络层安全标准的集成。使用IPSec的两台主机能使用身份鉴别和加密协议进行通信
• IPSec成为安全连接和VPN的理想解决方案

IPv6

• IPv6和IPv4有很大不同，它包含不同的报头格式，有很多重要的改进，包括扩大的地址空间；支持路由组播和广播分组；在网络层身份鉴别和加密连接的功能，提供了完整的VPN解决方案
• 从安全方面看，IPv6和IPSec本质上是相同的。两者都提供强的身份鉴别、加密和VPN支持
• 从可行性方面看，从IPv4转换到IPv6，路由器和网络设备必须更新以支持IPv6协议

匿名

匿名的属性

• 匿名定义

  • 在网络之间传送的数据提供识别发送者和接收者的方法。

• 网络匿名是阻止识别连接的参与者

• 属性

  • 源匿名
  • 目的匿名
  • 链路匿名

网络匿名

• 移动地址

  • 使用临时IP地址用于匿名连接，连接完成后，更改IP地址

• 盲投

  • 是一个源站和目的站都可访问的中间系统。当发送数据时，匿名发送者将报文存储在盲投系统，随后，目的站连接到盲投系统并检查报文

• 代理

  • 作为协议中继、转发发送者到接收者的报文

• 路由网络

  • 不同于代理的另一种高层中继方案

网络匿名的局限性

• 大部分匿名系统是基于网络层保护（阻止）身份的识别，然而一些网络层以外的因素也能导致身份识别

  • 高层信息泄露

    • 高层含有的身份识别信息会危害匿名连接

  • 时序攻击

    • 攻击者知道时序后可优化其攻击以跟踪匿名连接

  • 习惯和序列形式

    • 和时序攻击类似，习惯形态和序列访问能识别匿名用户

XMind: ZEN - Trial Version