当前在线人数10105
首页 - 分类讨论区 - 电脑网络 - 葵花宝典版 - 同主题阅读文章

此篇文章共收到打赏
0

  • 10
  • 20
  • 50
  • 100
您目前伪币余额:0
未名交友
[更多]
[更多]
IP协议就像白痴做出来的,丝毫不考虑安全
[版面:葵花宝典][首篇作者:minquan] , 2019年09月09日00:01:34 ,1751次阅读,16次回复
来APP回复,赚取更多伪币 关注本站公众号:
[分页:1 ]
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 1 ]

发信人: minquan (三民主义), 信区: Programming
标  题: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep  9 00:01:34 2019, 美东)

也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
可是发展了这么多年了,还缝缝补补又三年,真是先天不足。

我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去

IP协议写个来源IP,写个目标IP
然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
这是理想情况,就是没人搞事的情况。

要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发

然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
,怎么着?
(这个电信运营商自己是否给检查,有问题自己先给枪毙了?)

这种流量攻击非常难防

我现在采用了最终极的多出口网关模式,即把业务封在内网中,内网对外有多个公网IP
,这样即使一个被打爆了,还可以补充,这也是阿里抗D的手法,阿里为此还写了个
fullNAT结构。

也就是大家被逼的都不敢只用一个公网IP了,而且在网关上还得用反代。

那么问题来了,业务主机不知道客户的真实IP,以为只是反代在找它。
所以在IP协议上这个就完全解决不了,目前的手段是利用http协议,在http的报头里做
注释,然后让http主机去识别。

可是这样就造成了另外的问题,一则只能在http协议管用,二则http协议反代毕竟要求
反代程序读里面的真实内容,影响效率。
TMD IP协议里面就没有一个位置,可以做一下注释的。
IP协议还傻白甜的以为只要按照一个发信人一个收信人写就够,完全没有考虑到中间这
些匪患,以及为了对抗匪患所普遍采用的迂回战术。
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 72.]

 
sayid
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 2 ]

发信人: sayid (全家果粉准备全家当海军), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep  9 14:56:22 2019, 美东)

ipv6解决了这些问题吗

【 在 minquan (三民主义) 的大作中提到: 】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给
转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
: ...................




--
☆ 发自 iPhone 买买提 1.24.08
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 2600:387:b:9a2:]

 
netghost
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 3 ]

发信人: netghost (Up to Isomorphism), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep  9 16:39:42 2019, 美东)

IP本來只是用來轉發數據包的,爲啥要考慮你這些東西啊?

【 在 minquan (三民主义) 的大作中提到: 】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给
转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
: ...................


--

※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 204.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 4 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep  9 22:46:45 2019, 美东)

“本來只是”
问题在于世界并不是最初设计者想象的童话世界啊
不考虑安全问题,就是拱手让坏人得逞吗?

【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: IP本來只是用來轉發數據包的,爲啥要考慮你這些東西啊?
: 转发



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 5 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep  9 22:48:31 2019, 美东)

好像只解决了ip数量不够用的问题

【 在 sayid (全家果粉准备全家当海军) 的大作中提到: 】
: ipv6解决了这些问题吗
: 转发



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
stid
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 6 ]

发信人: stid (stid.smth), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep  9 22:52:11 2019, 美东)

网络协议栈的原则就是有所为,有所不为
你说的这些安全特性,可以有别的协议层像SSL
或者其它手段像连接追踪,IP spoofing 检查等来实现

谁也不是圣人,一开始就预想到了几十年后的事情

【 在 minquan (三民主义) 的大作中提到: 】
: 好像只解决了ip数量不够用的问题



--

※ 修改:·stid 于 Sep  9 22:53:29 2019 修改本文·[FROM: 73.]
※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 73.]

 
suntu
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 7 ]

发信人: suntu (世道恶劣), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 00:11:12 2019, 美东)

楼主牛逼就自己设计一个出来呗
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 73.]

 
yhangw
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 8 ]

发信人: yhangw (老妖), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 08:48:57 2019, 美东)

IP很冤啊,丫设计就是电子usps尽力而为的在一个你不可能有上帝视角的网络里帮你送
信罢了。要可靠性,要加密,要安全,得去上层找或者造协议。

【 在 minquan (三民主义) 的大作中提到: 】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给
转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
: ...................



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 96.]

 
Brogrammer
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 9 ]

发信人: Brogrammer (BrogrammerZ), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 11:26:18 2019, 美东)


lol  没听说过OSI model? 秀智商?
--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 69.]

 
netghost
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 10 ]

发信人: netghost (Up to Isomorphism), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 11:36:54 2019, 美东)

No,IP EXACTLY是想象到了世界不是通話世界設計出來的東西。

IP是一個非常非常牛逼的設計,牛逼不在於技術而在於眼光,
不在於有什麼功能,而在於沒有什麼功能。


【 在 minquan (三民主义) 的大作中提到: 】
: “本來只是”
: 问题在于世界并不是最初设计者想象的童话世界啊
: 不考虑安全问题,就是拱手让坏人得逞吗?



--

※ 来源:·BBS 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 71.]

 
yhangw
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 11 ]

发信人: yhangw (老妖), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 17:53:42 2019, 美东)

re. IP是奠基协议。

【 在 netghost (Up to Isomorphism) 的大作中提到: 】
: No,IP EXACTLY是想象到了世界不是通話世界設計出來的東西。
: IP是一個非常非常牛逼的設計,牛逼不在於技術而在於眼光,
: 不在於有什麼功能,而在於沒有什麼功能。



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 96.]

 
dumbCoder
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 12 ]

发信人: dumbCoder (HumbleCoder 不懂就问-_-), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 19:15:30 2019, 美东)

哥们你跨专业乱喷啊, 哈哈哈
安全啊, 认证啊, 是一般是由IP上面的协议实现的

而且你后面说到另外一个topic了,好像你是在抱怨 DoS, DDoS.
不该是 IP 的锅, DDoS 理论上没有完美解决方案.
DDoS 即使不发生在 IP 层, 也可以发生在另外的协议层.




--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 24.]

 
m20170327
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 13 ]

发信人: m20170327 (青橄榄), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Tue Sep 10 21:30:25 2019, 美东)

你也说了人家本来是想做什么的。不是为你的要求准备的。不喜欢别用啊。

【 在 minquan (三民主义) 的大作中提到: 】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给
转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
: ...................


--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 167.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 14 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Thu Sep 12 07:50:00 2019, 美东)

我觉得至少在TCP层得解决

如果传输层不解决,5G迟早得用新协议替代现在这种在底层根本不考虑安全性的协议

【 在 stid (stid.smth) 的大作中提到: 】
: 网络协议栈的原则就是有所为,有所不为
: 你说的这些安全特性,可以有别的协议层像SSL
: 或者其它手段像连接追踪,IP spoofing 检查等来实现
: 谁也不是圣人,一开始就预想到了几十年后的事情



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 15 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Thu Sep 12 07:50:41 2019, 美东)

complain一下都不行?

你的思维太老中,要求绝对服从

【 在 m20170327 (青橄榄) 的大作中提到: 】
: 你也说了人家本来是想做什么的。不是为你的要求准备的。不喜欢别用啊。
: 转发



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

 
WhereIsMyGCU
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 16 ]

发信人: WhereIsMyGCU (LifeIsTough), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Thu Sep 12 08:15:32 2019, 美东)

IP 层也是有安全机制的:IPsec/ESP/AH, 只不过它们是后来添加的。

但是不像IP, IPsec没有得到普及应用。原因是多方面的。

【 在 minquan (三民主义) 的大作中提到: 】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给
转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
: ...................



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 71.]

 
minquan
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 17 ]

发信人: minquan (三民主义), 信区: Programming
标  题: Re: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Thu Sep 12 08:19:21 2019, 美东)

本帖唯一的有建设性的回复

你是高手

【 在 WhereIsMyGCU (LifeIsTough) 的大作中提到: 】
: IP 层也是有安全机制的:IPsec/ESP/AH, 只不过它们是后来添加的。
: 但是不像IP, IPsec没有得到普及应用。原因是多方面的。
: 转发



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: unknown,65.]

[分页:1 ]
[快速返回] [ 进入葵花宝典讨论区] [返回顶部]
回复文章
标题:
内 容:

未名交友
将您的链接放在这儿

友情链接


 

Site Map - Contact Us - Terms and Conditions - Privacy Policy

版权所有,未名空间(mitbbs.com),since 1996