TCP/IP网络的信息安全与防火墙技术

核心提示： ◆ SYN flooding 在TCP层的标准的TCP握手需要三次包交换来建立，一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包，TCP/IP网络的信息安全与防火墙技术(5)，然后等待该客户机回应给它一个ACK包来确认，才真正建立连接，这些工具通常很容易在网上得到，现在的

◆ SYN flooding 在TCP层的标准的TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包，然后等待该客户机回应给它一个ACK包来确认，才真正建立连接。然而，如果此时只发送初始化的SYN包，而不发送确认服务器的ACK包会导致服务器一直等待ACK包。由于服务器在有限的时间内只能响应有限数量的连接，这就会导致服务器一直等待回应而无法响应其他机器进行的连接请求。

◆ Slashdot effect 这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生，因为正常情况下一个服务器承受过多的用户服务请求也会同样过载。

◆分布式攻击 有些程序如Tribe Flood Network (tfn) 和tfn2k，可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行诸如UDP flood, SYN flood攻击。

4 数据传输中的不安全

当然，我们不可能不注意到的是网络传输中信息内容，TCP/IP协议不包含加密层，那么一旦用户捕获到网络数据后再根据协议分层分析，有可能得到大量机密信息。比如说，局域网内可能就是纯文本的信息流，通常入的电子邮件也是不加密的，更糟的是，在缺省模式中电子邮件客户端用来与其电子邮件服务器进行核查的用户名与口令也是以纯文本形式发出的，可能被截获或假冒。

事实上，目前对于局域网（如一段共享式HUB构成的以太网）内部的网络监听工具非常多，著名的有NFSWATCH、NETXRAY等等，这些工具通常很容易在网上得到。现在的问题是：局域网外部的攻击者有什么办法能在局域网内部使用监听工具？而根据通常所假设的内部用户可信原则，却恰恰发生的是内部用户进行了非法的越权监听，怎么办？