我們?yōu)槭裁匆顺鯥Pv6?很大一部分原因不僅僅是因?yàn)镮P地址的匱乏。更多的是它能改善現(xiàn)在網(wǎng)絡(luò)的安全問題?；赥CP IP協(xié)議族的互聯(lián)網(wǎng)第四協(xié)議版本，現(xiàn)在的確存在著很多安全問題。那么，在此我們就來做一個(gè)分析，看看這些安全隱患藏在哪里。

IP層的主要曲線是缺乏有效的安全認(rèn)證和保密機(jī)制，其中最主要的因素就是IP地址問題。TCP IP協(xié)議用IP地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識，許多 TCP/IP服務(wù)，包括Berkeley中的R命令、NFS、X Window等都是基于IP地址對用戶進(jìn)行認(rèn)證和授權(quán)。當(dāng)前TCP/IP網(wǎng)絡(luò)的安全機(jī)制主要是基于IP地址的包過濾（Packet Filtering）和認(rèn)證（Authentication）技術(shù)，它的有效性體現(xiàn)在可以根據(jù)IP包中的源IP地址判斷數(shù)據(jù)的真實(shí)性和安全性。然而IP地址存在許多問題，協(xié)議的最大缺點(diǎn)就是缺乏對IP地址的保護(hù)，缺乏對IP包中源IP地址真實(shí)性的認(rèn)證機(jī)制與保密措施。這也就是引起整個(gè)TCP IP協(xié)議不安全的根本所在。
由于UDP是基于IP協(xié)議之上的，TCP分段和UDP協(xié)議數(shù)據(jù)包是封裝在IP包中在網(wǎng)絡(luò)上傳輸?shù)?，因此同樣面臨IP層所遇到的安全威脅?，F(xiàn)在人們一直在想辦法解決，卻仍然無法避免的就是根據(jù)TCP連接建立時(shí)“三次握手”機(jī)制的攻擊。

TCP IP協(xié)議族之文件傳輸協(xié)議

FTP經(jīng)久不衰的原因在于它可以在互聯(lián)網(wǎng)上進(jìn)行與平臺無關(guān)的數(shù)據(jù)傳輸，它基于一個(gè)客戶機(jī)/服務(wù)器架構(gòu)。FTP 將通過兩個(gè)信道（端口）傳輸，一個(gè)傳輸數(shù)據(jù)（TCP 端口 20），另一個(gè)傳輸控制信息（TCP 端口 21）。在控制信道之上，雙方（客戶機(jī)和服務(wù)器）交換用于發(fā)起數(shù)據(jù)傳輸?shù)拿?。一個(gè) FTP 連接包含4個(gè)步驟：用戶鑒權(quán)→建立控制信道→建立數(shù)據(jù)信道→關(guān)閉連接。FTP 的連接控制使用 TCP （Transmission Control Protocol， 傳輸控制協(xié)議），它保障了數(shù)據(jù)的可靠傳輸。因此，F(xiàn)TP 在數(shù)據(jù)傳輸中不需要關(guān)心分組丟失和數(shù)據(jù)錯(cuò)誤檢測。

匿名FTP作為互聯(lián)網(wǎng)上廣泛應(yīng)用的服務(wù)，安全等級的低下受到了黑客的頻繁光顧。匿名FTP 是真的匿名，并沒有記錄誰請求了什么信息，誰下載了什么文件，上傳了什么東西（有可能是木馬）。FTP存在著致命的安全缺陷，F(xiàn)TP使用標(biāo)準(zhǔn)的用戶名和口令作為身份驗(yàn)證，缺乏有效的訪問權(quán)限的控制機(jī)制，而其口令和密碼的傳輸也都是明文的方式。

TCP IP協(xié)議族之Web服務(wù)

Web服務(wù)器位于宿主基礎(chǔ)結(jié)構(gòu)的前端，它與Internet直接相連，負(fù)責(zé)接收來自客戶端的請求，創(chuàng)建動態(tài)Web頁并響應(yīng)請求數(shù)據(jù)。最初WWW服務(wù)只提供靜態(tài)的HTML頁面，為改變?nèi)藗儗W(wǎng)絡(luò)互動請求的愿望，開始引入了CGI程序，CGI程序讓主頁活動起來。CGI程序可以接收用戶的輸入信息，一般用戶是通過表格把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用戶的要求進(jìn)行一些處理，一般情況下會生成一個(gè)HTML文件，并傳回給用戶。很多CGI 程序都存在安全漏洞，很容易被黑客利用做一些非法的事情?，F(xiàn)在很多人在編寫CGI程序時(shí)，可能對CGI軟件包中的安全漏洞并不了解，而且大多數(shù)情況下不會重新編寫程序的所有部分，只是對其加以適當(dāng)?shù)男薷?，這樣很多CGI程序就不可避免的具有相同的安全漏洞。很多 SQL Server 開發(fā)人員并沒有在代碼編寫開始的時(shí)候就從安全防護(hù)基礎(chǔ)開始，這樣就無法確保您開發(fā)的代碼的安全性，其結(jié)果就造成了無法將應(yīng)用程序的運(yùn)行控制在所需的最低權(quán)限之內(nèi)。

TCP IP協(xié)議族之提高網(wǎng)絡(luò)可信度

前面的IPv4存在的弊端，很多安全防范技術(shù)被忽略了，它不可避免地被新一代技術(shù)IPv6取代。IPsec安全協(xié)議就是事后 發(fā)展的一種協(xié)議（如圖3-1），而NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation）解決了IP地址短缺的問題，卻增加了安全風(fēng)險(xiǎn)，使真正的端到端的安全應(yīng)用難以實(shí)現(xiàn)。端到端安全性的兩個(gè)基本組件——鑒權(quán)和加密都是IPv6協(xié)議的集成組件；而在IPv4中，它們只是附加組件，因此，采用IPv6安全性會更加簡便、一致。

在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，尤其是園區(qū)網(wǎng)當(dāng)中，由于不存在NAT地址轉(zhuǎn)換的問題，所以IPSec具備允許部署可信計(jì)算基礎(chǔ)架構(gòu)的基本特征。IPSec數(shù)據(jù)包驗(yàn)證能夠確保整個(gè)IP報(bào)頭、下一層協(xié)議（例如TCP、UPD或ICMP）報(bào)頭以及數(shù)據(jù)包有效負(fù)載的數(shù)據(jù)完整性。 華夏網(wǎng)管ofAdmin.Com

另外，針對數(shù)據(jù)包的單向Hash算法用以提供校驗(yàn)和。通信發(fā)起方計(jì)算校驗(yàn)和并在發(fā)送之前將其附加到數(shù)據(jù)包中；響應(yīng)方則在收到數(shù)據(jù)包后為其計(jì)算校驗(yàn)和。如果響應(yīng)方所計(jì)算出的校驗(yàn)和與數(shù)據(jù)包中附帶的校驗(yàn)和完全匹配，則證明數(shù)據(jù)包在傳輸過程中未被修改。校驗(yàn)和的單向計(jì)算特性意味著其取值無法在傳輸過程中進(jìn)行修改，這也就保證了端到端的數(shù)據(jù)傳輸過程的可信程度。