第二章TCP/IP協(xié)及其安全隱患-IP協(xié)議的安全威脅及防御計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)IP協(xié)議的安全威脅及防御竊聽I(yíng)P地址假冒IP碎片攻擊IP傳輸明文傳輸竊聽可獲得IP地址以及報(bào)文等內(nèi)容IP竊聽I(yíng)P協(xié)議的安全威脅及防御IP竊聽I(yíng)P協(xié)議在傳輸過程中沒有加密IP頭的信息及IP報(bào)文可能被攻擊者竊聽拒絕服務(wù)攻擊避免被追蹤而受到懲罰，構(gòu)造針對(duì)同一目的IP地址的IP分組，而源IP地址為隨機(jī)的IP地址基于IP地址認(rèn)證服務(wù)攻擊假冒可信的IP地址而非法訪問計(jì)算機(jī)資源IP地址假冒攻擊IP協(xié)議的安全威脅及防御IP假冒攻擊（IPSpoofing）根據(jù)IP協(xié)議，路由器只是根據(jù)IP分組的目的IP地址來確定該IP分組從哪一個(gè)端口發(fā)送，而不關(guān)心該IP分組的源IP地址。因此任意節(jié)點(diǎn)均可以構(gòu)造IP分組，其源IP地址并非當(dāng)前節(jié)點(diǎn)的IP地址，該IP分組能夠順利到達(dá)目的節(jié)點(diǎn)，IP假冒攻擊能夠輕易通過libpcap/winpcap庫或者rawsocket編程實(shí)現(xiàn)。IP分片分片的目的是為了保證消息能夠在不同網(wǎng)絡(luò)參數(shù)的IP網(wǎng)絡(luò)上傳輸碎片攻擊發(fā)送大量小IP分片，導(dǎo)致路由器重組消耗計(jì)算和存儲(chǔ)資源IP碎片攻擊IP協(xié)議的安全威脅及防御IP碎片攻擊在IP協(xié)議中，允許發(fā)送者或中間轉(zhuǎn)發(fā)者（如路由器）對(duì)IP報(bào)進(jìn)行分片。攻擊者可以利用IP協(xié)議的這個(gè)功能，將IP包切分為非常小的碎片，然后發(fā)送給被攻擊目標(biāo)。IP分片在網(wǎng)絡(luò)傳輸過程中不會(huì)重組，而只會(huì)在接收方重組接收方會(huì)由于重組這些極小的分片而浪費(fèi)大量計(jì)算資源入口過濾（IngressFiltering）在網(wǎng)絡(luò)入口設(shè)置一個(gè)網(wǎng)關(guān)配置網(wǎng)關(guān)過濾源IP地址非法的IP分組出口過濾（EgressFiltering）在網(wǎng)絡(luò)出口設(shè)置一個(gè)網(wǎng)關(guān)配置網(wǎng)關(guān)過濾源IP地址非法的IP分組IP協(xié)議安全威脅的防御方法IP協(xié)議的安全威脅及防御IP回溯（IPTraceback）回溯一個(gè)IP分組在網(wǎng)絡(luò)中所經(jīng)過的路徑追蹤攻擊者所在地址或網(wǎng)