o****p 发帖数: 9785 | 1 【 以下文字转载自 Programming 讨论区 】
发信人: minquan (三民主义), 信区: Programming
标 题: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
IP协议写个来源IP,写个目标IP
然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
这是理想情况,就是没人搞事的情况。
要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
,怎么着?
(这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
这种流量攻击非常难防
我现在采用了最终极的多出口网关模式,即把业务封在内网中,内网对外有多个公网IP
,这样即使一个被打爆了,还可以补充,这也是阿里抗D的手法,阿里为此还写了个
fullNAT结构。
也就是大家被逼的都不敢只用一个公网IP了,而且在网关上还得用反代。
那么问题来了,业务主机不知道客户的真实IP,以为只是反代在找它。
所以在IP协议上这个就完全解决不了,目前的手段是利用http协议,在http的报头里做
注释,然后让http主机去识别。
可是这样就造成了另外的问题,一则只能在http协议管用,二则http协议反代毕竟要求
反代程序读里面的真实内容,影响效率。
TMD IP协议里面就没有一个位置,可以做一下注释的。
IP协议还傻白甜的以为只要按照一个发信人一个收信人写就够,完全没有考虑到中间这
些匪患,以及为了对抗匪患所普遍采用的迂回战术。 |
o****p 发帖数: 9785 | 2 这是真的土味科学家还是刚好记得自个儿的梦境给记下来了?
转发
【在 o****p 的大作中提到】 : 【 以下文字转载自 Programming 讨论区 】 : 发信人: minquan (三民主义), 信区: Programming : 标 题: IP协议就像白痴做出来的,丝毫不考虑安全 : 发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东) : 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。 : 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。 : 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去 : IP协议写个来源IP,写个目标IP : 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标 : 这是理想情况,就是没人搞事的情况。
|
h*********4 发帖数: 1 | 3 哈哈,在linux版见过这位同学的文章,挺可爱
。: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
【在 o****p 的大作中提到】 : 这是真的土味科学家还是刚好记得自个儿的梦境给记下来了? : : 转发
|
c*****m 发帖数: 1160 | 4 很久以前,你要寄一封信,只要把邮件的“收信人地址”写好,塞进任何一个街头的邮
筒都可以寄出去。
现在,在中国,你的信要拿到邮局,掏出身份证,工作人员要打开来查看里面有没有繁
体字,然后才能寄出去。
IP协议就是以前设计的,没有猜测到未来会这么麻烦。 |
f*******l 发帖数: 964 | 5 很久以前,你要寄一封电子邮件,只要把邮件的“收信人地址”写好,发送给任何一个
SMTP 服务器都可以寄出去。
现在,在网上,你的电子邮件要送到你的邮箱账户提供的 SMTP 服务器,服务器端通过
两步验证账号密码,然后才能寄出去。
IP协议就是以前设计的,没有猜测到未来会这么麻烦。
【在 c*****m 的大作中提到】 : 很久以前,你要寄一封信,只要把邮件的“收信人地址”写好,塞进任何一个街头的邮 : 筒都可以寄出去。 : 现在,在中国,你的信要拿到邮局,掏出身份证,工作人员要打开来查看里面有没有繁 : 体字,然后才能寄出去。 : IP协议就是以前设计的,没有猜测到未来会这么麻烦。
|
o****p 发帖数: 9785 | |
n******t 发帖数: 4406 | 7 那哥們的想法就是比如說有麪粉,作饅頭的時候聽說要還要加酵母就爆了,問你麪粉爲
什麼不自帶這個東西。你告訴他要加之後,他又爆了說做包子爲什麼還要加別的的東西。
【在 o****p 的大作中提到】 : 楼上二位真有趣
|