m*****n
发帖数: 3575 | 1 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
IP协议写个来源IP,写个目标IP
然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
这是理想情况,就是没人搞事的情况。
要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
,怎么着?
(这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
这种流量攻击非常难防
我现在采用了最终极的多出口网关模式,即把业务封在内网中,内网对外有多个公网IP
,这样即使一个被打爆了,还可以补充,这也是阿里抗D的手法,阿里为此还写了个
fullNAT结构。
也就是大家被逼的都不敢只用一个公网IP了,而且在网关上还得用反代。
那么问题来了,业务主机不知道客户的真实IP,以为只是反代在找它。
所以在IP协议上这个就完全解决不了,目前的手段是利用http协议,在http的报头里做
注释,然后让http主机去识别。
可是这样就造成了另外的问题,一则只能在http协议管用,二则http协议反代毕竟要求
反代程序读里面的真实内容,影响效率。
TMD IP协议里面就没有一个位置,可以做一下注释的。
IP协议还傻白甜的以为只要按照一个发信人一个收信人写就够,完全没有考虑到中间这
些匪患,以及为了对抗匪患所普遍采用的迂回战术。 |
s***d
发帖数: 15421 | 2 ipv6解决了这些问题吗
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
n******t
发帖数: 4406 | 3 IP本來只是用來轉發數據包的,爲啥要考慮你這些東西啊?
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
m*****n
发帖数: 3575 | 4 “本來只是”
问题在于世界并不是最初设计者想象的童话世界啊
不考虑安全问题,就是拱手让坏人得逞吗?
【在 n******t 的大作中提到】
: IP本來只是用來轉發數據包的,爲啥要考慮你這些東西啊?
:
: 转发
|
m*****n
发帖数: 3575 | 5 好像只解决了ip数量不够用的问题
【在 s***d 的大作中提到】
: ipv6解决了这些问题吗
:
: 转发
|
s**d
发帖数: 258 | 6 网络协议栈的原则就是有所为,有所不为
你说的这些安全特性,可以有别的协议层像SSL
或者其它手段像连接追踪,IP spoofing 检查等来实现
谁也不是圣人,一开始就预想到了几十年后的事情
【在 m*****n 的大作中提到】
: 好像只解决了ip数量不够用的问题
|
s***u
发帖数: 1 | |
y****w
发帖数: 3747 | 8 IP很冤啊,丫设计就是电子usps尽力而为的在一个你不可能有上帝视角的网络里帮你送
信罢了。要可靠性,要加密,要安全,得去上层找或者造协议。
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
B********r
发帖数: 397 | |
n******t
发帖数: 4406 | 10 No,IP EXACTLY是想象到了世界不是通話世界設計出來的東西。
IP是一個非常非常牛逼的設計,牛逼不在於技術而在於眼光,
不在於有什麼功能,而在於沒有什麼功能。
【在 m*****n 的大作中提到】
: “本來只是”
: 问题在于世界并不是最初设计者想象的童话世界啊
: 不考虑安全问题,就是拱手让坏人得逞吗?
|
|
|
y****w
发帖数: 3747 | 11 re. IP是奠基协议。
【在 n******t 的大作中提到】
: No,IP EXACTLY是想象到了世界不是通話世界設計出來的東西。
: IP是一個非常非常牛逼的設計,牛逼不在於技術而在於眼光,
: 不在於有什麼功能,而在於沒有什麼功能。
|
d*******r
发帖数: 3299 | 12 哥们你跨专业乱喷啊, 哈哈哈
安全啊, 认证啊, 是一般是由IP上面的协议实现的
而且你后面说到另外一个topic了,好像你是在抱怨 DoS, DDoS.
不该是 IP 的锅, DDoS 理论上没有完美解决方案.
DDoS 即使不发生在 IP 层, 也可以发生在另外的协议层. |
m*******7
发帖数: 189 | 13 你也说了人家本来是想做什么的。不是为你的要求准备的。不喜欢别用啊。
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
m*****n
发帖数: 3575 | 14 我觉得至少在TCP层得解决
如果传输层不解决,5G迟早得用新协议替代现在这种在底层根本不考虑安全性的协议
【在 s**d 的大作中提到】
: 网络协议栈的原则就是有所为,有所不为
: 你说的这些安全特性,可以有别的协议层像SSL
: 或者其它手段像连接追踪,IP spoofing 检查等来实现
: 谁也不是圣人,一开始就预想到了几十年后的事情
|
m*****n
发帖数: 3575 | 15 complain一下都不行?
你的思维太老中,要求绝对服从
【在 m*******7 的大作中提到】
: 你也说了人家本来是想做什么的。不是为你的要求准备的。不喜欢别用啊。
:
: 转发
|
W**********U
发帖数: 132 | 16 IP 层也是有安全机制的:IPsec/ESP/AH, 只不过它们是后来添加的。
但是不像IP, IPsec没有得到普及应用。原因是多方面的。
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
m*****n
发帖数: 3575 | 17 本帖唯一的有建设性的回复
你是高手
【在 W**********U 的大作中提到】
: IP 层也是有安全机制的:IPsec/ESP/AH, 只不过它们是后来添加的。
: 但是不像IP, IPsec没有得到普及应用。原因是多方面的。
:
: 转发
|
m*******0
发帖数: 19 | 18 IPSec没普及的原因,就是当初IP层没加入安全设计的原因。
事实证明原设计的方针伟光正。
: 本帖唯一的有建设性的回复
: 你是高手
【在 m*****n 的大作中提到】
: 本帖唯一的有建设性的回复
: 你是高手
|
f*******t
发帖数: 7549 | 19 什么原因?副作用很大吗?
【在 m*******0 的大作中提到】
: IPSec没普及的原因,就是当初IP层没加入安全设计的原因。
: 事实证明原设计的方针伟光正。
:
:
: 本帖唯一的有建设性的回复
:
: 你是高手
:
|
y****w
发帖数: 3747 | 20 你可以理解就是加密的信息放在tcp/udp外边,ssh是包在里面的。 这个额外的header
会和太多已有的东西不兼容了。
【在 f*******t 的大作中提到】
: 什么原因?副作用很大吗?
|
|
|
n***p
发帖数: 110 | 21 Exactly
【在 n******t 的大作中提到】
: No,IP EXACTLY是想象到了世界不是通話世界設計出來的東西。
: IP是一個非常非常牛逼的設計,牛逼不在於技術而在於眼光,
: 不在於有什麼功能,而在於沒有什麼功能。
|
m*******0
发帖数: 19 | 22 IP层是点到点。而点到点的机密意义不大,加密是端到端。
试问,ATT告诉你,他们在IP层全网实现加密。你能相信他们吗?能确保黑客不会在你
和ATT之间捣鬼吗?我肯定还是要走SSL的。而双层加密没什么意义。
安全必须控制在自己手里,指望底层提供安全服务没有什么意义。就好像指望Facebook
不会泄露你的个人资料一样。
甚至目前基于浏览器的内置SSL也并不安全,除非假定浏览器的开发者百分百无恶意。
最安全是自己手动用PGP加密,让对端手动解锁。
当然啦,没有“最安全”一说。总会有漏洞。
IPSec是试图硬塞给IP层端到端加密,昂贵且累赘。
【在 f*******t 的大作中提到】
: 什么原因?副作用很大吗?
|
f*******t
发帖数: 7549 | 23 有道理
Facebook
【在 m*******0 的大作中提到】
: IP层是点到点。而点到点的机密意义不大,加密是端到端。
: 试问,ATT告诉你,他们在IP层全网实现加密。你能相信他们吗?能确保黑客不会在你
: 和ATT之间捣鬼吗?我肯定还是要走SSL的。而双层加密没什么意义。
: 安全必须控制在自己手里,指望底层提供安全服务没有什么意义。就好像指望Facebook
: 不会泄露你的个人资料一样。
: 甚至目前基于浏览器的内置SSL也并不安全,除非假定浏览器的开发者百分百无恶意。
: 最安全是自己手动用PGP加密,让对端手动解锁。
: 当然啦,没有“最安全”一说。总会有漏洞。
: IPSec是试图硬塞给IP层端到端加密,昂贵且累赘。
|
k***e
发帖数: 1931 | 24 换一个角度看,如果你说这痛点在ipv6没解决,说明1,你的痛对别人对大部分来说不
够痛;2,目前已经有了可以用的解决方案,3,大家共识ip层不应该去干安全的事
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
c****3
发帖数: 10787 | 25 IP网是packet switch网,是没有仔细讨论的设计
电信以前设计了电路交换的数据网,比如ATM,现在都死了。这些问题ATM网里都不存在。
转发
【在 m*****n 的大作中提到】
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: 然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的
: ,怎么着?
: (这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
|
m*****n
发帖数: 3575 | 26 谁想要真正的搞产业互联网,必须解决IP这个问题
在。
【在 c****3 的大作中提到】
: IP网是packet switch网,是没有仔细讨论的设计
: 电信以前设计了电路交换的数据网,比如ATM,现在都死了。这些问题ATM网里都不存在。
:
: 转发
|
c****3
发帖数: 10787 | 27 有各种漏洞挺好,弄出一堆相关产业,反垃圾邮件的,反DDoS的
【在 m*****n 的大作中提到】
: 谁想要真正的搞产业互联网,必须解决IP这个问题
:
: 在。
|
