由于以TCP/IP為基礎的Internet技術是目前應用最廣的通用網絡技術,也是既成事實的開放式網絡標準。然而,Internet的優勢也正是它的潛在不安全之所在。Internet在安全性方面易受到下述三類攻擊的威脅:IP地址假冒、電子竊聽和“會話”竊奪。換言之,Internet缺少身份認證機制,對傳送的內容缺乏保密性,也不能保證會話過程的整體性,在對相應指標要求較高的場合,IP網并不安全。
1、IP地址假冒(Address Counterfeiting)
盡管IP報文中有IP源地址字段,但在Internet中,各中間節點只根據目的IP地址及該節點前行線路當前擁塞情況選擇下一個節點(路徑),而不關心IP源地址。即使用戶局域網與公網邊界的路由器內,通常會設置防火墻,其IP過濾功能要檢查源地址,端系統也需要源地址作為應答報文的目的地址,但IP報文在整個收發過程中,無“人”真正關心該IP報文究竟來自何方。由于IP地址可由網絡擁有者指定,IP協議既未對地址字段提供任何保護措施,也未提供任何驗證源地址合法性的手段,因而無法“驗明正身”,從而給惡作劇者或心懷不軌的人提供了修改源地址的機會。在以“以太網”為基礎的網絡環境中,由于“以太網幀”在全網段上廣播,給IP地址假冒者創造了更多的可乘之機。這類攻擊稱為IP地址假冒,它使從一臺機器發出的報文,看起來像來自另一臺機器。
2、電子竊聽(Electronic Tapping)
在以“以太網”為基礎的局域網中,幀廣播方式使“共享網段”上的所有機器都能偵聽到網上的幀,守規矩的網卡只接收指向自己的幀的內容,并做出應答。由于以太網技術為人熟知,相對而言很容易使某網卡處于違規模式而收集網上的所有信息。當發生此種情況時,既無人知曉,更不能判定違規站點。事實上,通用網絡公司設計的網絡分析工具軟件Sniffer就是利用以太網的這一特點實現的,它能夠記錄經過它的所有信息以便進行網絡協議運行狀況分析。顯然,不守規矩的人可以利用該工具竊聽網上的所有信息。
3、會話竊奪(Session Sniffing)
即使無人采用上述兩種非法手段,仍不能保證與之對話的人自始至終是同一臺機器。肇事者仍可以借用高級工具假扮成為已建立會話的通信對象之一,向另一方發出拆除TCP連接的報文,然后代替該通話對象與另一方繼續通信。換言之,即使會話建立之初能夠驗明正身,也不能保證自始至終都是同一對會話方在進行對話。這種攻擊稱為“會話竊奪”。
