看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学峸
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
IP协议就像白痴做出来的,丝毫不考虑安全 (转载)
查看未名空间今日新帖
最新回复:2019年9月28日 0点23分 PT
共 (7) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
o
omgpop
接近 6 年
楼主 (未名空间)
【 以下文字转载自 Programming 讨论区 】
发信人: minquan (三民主义), 信区: Programming
标 题: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
IP协议写个来源IP,写个目标IP
然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
这是理想情况,就是没人搞事的情况。
要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的,怎么着?
(这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
这种流量攻击非常难防
我现在采用了最终极的多出口网关模式,即把业务封在内网中,内网对外有多个公网IP,这样即使一个被打爆了,还可以补充,这也是阿里抗D的手法,阿里为此还写了个
fullNAT结构。
也就是大家被逼的都不敢只用一个公网IP了,而且在网关上还得用反代。
那么问题来了,业务主机不知道客户的真实IP,以为只是反代在找它。
所以在IP协议上这个就完全解决不了,目前的手段是利用http协议,在http的报头里做注释,然后让http主机去识别。
可是这样就造成了另外的问题,一则只能在http协议管用,二则http协议反代毕竟要求反代程序读里面的真实内容,影响效率。
TMD IP协议里面就没有一个位置,可以做一下注释的。
IP协议还傻白甜的以为只要按照一个发信人一个收信人写就够,完全没有考虑到中间这些匪患,以及为了对抗匪患所普遍采用的迂回战术。
o
omgpop
接近 6 年
2 楼
这是真的土味科学家还是刚好记得自个儿的梦境给记下来了?
【 在 omgpop (See my signature) 的大作中提到: 】
: 发信人: minquan (三民主义), 信区: Programming
: 标 题: IP协议就像白痴做出来的,丝毫不考虑安全
: 发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: ...................
h
hamsterdam4
接近 6 年
3 楼
哈哈,在linux版见过这位同学的文章,挺可爱
【 在 omgpop 的大作中提到: 】
:
:这是真的土味科学家还是刚好记得自个儿的梦境给记下来了?
:
:【 在 omgpop (See my signature) 的大作中提到: 】
:: 发信人: minquan (三民主义), 信区: Programming
:: 标 题: IP协议就像白痴做出来的,丝毫不考虑安全
:: 发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
:: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事
。: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
:: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
:: IP协议写个来源IP,写个目标IP
:: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
:: 这是理想情况,就是没人搞事的情况。
c
chatham
接近 6 年
4 楼
很久以前,你要寄一封信,只要把邮件的“收信人地址”写好,塞进任何一个街头的邮筒都可以寄出去。
现在,在中国,你的信要拿到邮局,掏出身份证,工作人员要打开来查看里面有没有繁体字,然后才能寄出去。
IP协议就是以前设计的,没有猜测到未来会这么麻烦。
f
fieldcoil
接近 6 年
5 楼
很久以前,你要寄一封电子邮件,只要把邮件的“收信人地址”写好,发送给任何一个 SMTP 服务器都可以寄出去。
现在,在网上,你的电子邮件要送到你的邮箱账户提供的 SMTP 服务器,服务器端通过两步验证账号密码,然后才能寄出去。
IP协议就是以前设计的,没有猜测到未来会这么麻烦。
【 在 chatham (聊天火腿) 的大作中提到: 】
: 很久以前,你要寄一封信,只要把邮件的“收信人地址”写好,塞进任何一个街头的邮
: 筒都可以寄出去。
: 现在,在中国,你的信要拿到邮局,掏出身份证,工作人员要打开来查看里面有没有繁
: 体字,然后才能寄出去。
: IP协议就是以前设计的,没有猜测到未来会这么麻烦。
o
omgpop
接近 6 年
6 楼
楼上二位真有趣
n
netghost
接近 6 年
7 楼
那哥們的想法就是比如說有麪粉,作饅頭的時候聽說要還要加酵母就爆了,問你麪粉爲什麼不自帶這個東西。你告訴他要加之後,他又爆了說做包子爲什麼還要加別的的東西。
【 在 omgpop (See my signature) 的大作中提到: 】
: 楼上二位真有趣
请输入帖子链接
收藏帖子
【 以下文字转载自 Programming 讨论区 】
发信人: minquan (三民主义), 信区: Programming
标 题: IP协议就像白痴做出来的,丝毫不考虑安全
发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。
可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
IP协议写个来源IP,写个目标IP
然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
这是理想情况,就是没人搞事的情况。
要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
然后自己的真实IP还可以篡改伪装,就是明明在中国发出的数据我就说是从美国发出的,怎么着?
(这个电信运营商自己是否给检查,有问题自己先给枪毙了?)
这种流量攻击非常难防
我现在采用了最终极的多出口网关模式,即把业务封在内网中,内网对外有多个公网IP,这样即使一个被打爆了,还可以补充,这也是阿里抗D的手法,阿里为此还写了个
fullNAT结构。
也就是大家被逼的都不敢只用一个公网IP了,而且在网关上还得用反代。
那么问题来了,业务主机不知道客户的真实IP,以为只是反代在找它。
所以在IP协议上这个就完全解决不了,目前的手段是利用http协议,在http的报头里做注释,然后让http主机去识别。
可是这样就造成了另外的问题,一则只能在http协议管用,二则http协议反代毕竟要求反代程序读里面的真实内容,影响效率。
TMD IP协议里面就没有一个位置,可以做一下注释的。
IP协议还傻白甜的以为只要按照一个发信人一个收信人写就够,完全没有考虑到中间这些匪患,以及为了对抗匪患所普遍采用的迂回战术。
这是真的土味科学家还是刚好记得自个儿的梦境给记下来了?
【 在 omgpop (See my signature) 的大作中提到: 】
: 发信人: minquan (三民主义), 信区: Programming
: 标 题: IP协议就像白痴做出来的,丝毫不考虑安全
: 发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事。: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
: IP协议写个来源IP,写个目标IP
: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
: 这是理想情况,就是没人搞事的情况。
: 要搞事,只需要找足够的主机狂轰目标IP就可以了,而网路上所有的服务器都义务给转发
: ...................
哈哈,在linux版见过这位同学的文章,挺可爱
【 在 omgpop 的大作中提到: 】
:
:这是真的土味科学家还是刚好记得自个儿的梦境给记下来了?
:
:【 在 omgpop (See my signature) 的大作中提到: 】
:: 发信人: minquan (三民主义), 信区: Programming
:: 标 题: IP协议就像白痴做出来的,丝毫不考虑安全
:: 发信站: BBS 未名空间站 (Mon Sep 9 00:01:34 2019, 美东)
:: 也是,原来是美国国防部内部网络用的,都是自己人,就几十个点,不用考虑搞事
。: 可是发展了这么多年了,还缝缝补补又三年,真是先天不足。
:: 我给讲讲最近遇上的安全问题,有些勉强解决,有些绕不过去
:: IP协议写个来源IP,写个目标IP
:: 然后底下写个现在的节点,下一个可达的节点位置,一跳跳传给最终的目标
:: 这是理想情况,就是没人搞事的情况。
很久以前,你要寄一封信,只要把邮件的“收信人地址”写好,塞进任何一个街头的邮筒都可以寄出去。
现在,在中国,你的信要拿到邮局,掏出身份证,工作人员要打开来查看里面有没有繁体字,然后才能寄出去。
IP协议就是以前设计的,没有猜测到未来会这么麻烦。
很久以前,你要寄一封电子邮件,只要把邮件的“收信人地址”写好,发送给任何一个 SMTP 服务器都可以寄出去。
现在,在网上,你的电子邮件要送到你的邮箱账户提供的 SMTP 服务器,服务器端通过两步验证账号密码,然后才能寄出去。
IP协议就是以前设计的,没有猜测到未来会这么麻烦。
【 在 chatham (聊天火腿) 的大作中提到: 】
: 很久以前,你要寄一封信,只要把邮件的“收信人地址”写好,塞进任何一个街头的邮
: 筒都可以寄出去。
: 现在,在中国,你的信要拿到邮局,掏出身份证,工作人员要打开来查看里面有没有繁
: 体字,然后才能寄出去。
: IP协议就是以前设计的,没有猜测到未来会这么麻烦。
楼上二位真有趣
那哥們的想法就是比如說有麪粉,作饅頭的時候聽說要還要加酵母就爆了,問你麪粉爲什麼不自帶這個東西。你告訴他要加之後,他又爆了說做包子爲什麼還要加別的的東西。
【 在 omgpop (See my signature) 的大作中提到: 】
: 楼上二位真有趣