2.3 网络层的安全威胁

2.3.1 网络层介绍

TCP/IP堆栈的下一层是网络层，或叫做IP层。网络层主要用于寻址和路由，它并不提供任何错误纠正和流控制的方法。网络层使用较高的服务来传送数据报文，所有上层通信，如TCP、UDP、ICMP、IGMP都被封装到一个IP数据报中。ICMP和IGMP仅存于网络层，因此被当作一个单独的网络层协议来对待。网络层应用的协议在主机到主机的通信中起到了帮助作用，绝大多数的安全威胁并不来自TCP/IP堆栈的这一层。

IP地址是一个32位的地质，可以在TCP/IP网络中说明一台主机的惟一性。我们需要知道一个IP地址是什么，以及IP报头中包含什么。一个IP报头的大小为20字节，IP报头中包含一些信息和控制字段，以及32位的源IP地址和32位的目标IP地址。这个字段包括一些信息，如IP的版本号、长度、服务类型和其他配置。每一个IP数据报文都是单独的信息，从一台主机传递到另一台主机，主机把受到的IP数据包拯历程一个可使用的形式。这种开放式的构造使得IP层很容易成为黑客的目标。

2.3.2 网络层的安全威胁

IP欺骗

黑客经常利用一种叫做IP欺骗的技术，把源IP地址替换成一个错误的IP地址。接收主机不能判断源IP地址是不正确的，并且上层协议必须执行一些检查来防止这种欺骗。在这层中经常发现的历一种策略是利用源路由IP数据包，仅仅被用于一个特殊的路径中传输，这种利用被称为源路由，这种数据包被用于击破安全措施，例如防火墙。

使用IP欺骗的攻击很有名的是一种Smurf攻击。一个Smurf攻击向大量的远程主机发送一系列的Ping请求，然后对目标地址进行回复。

ICMP攻击

Internet控制信息协议（ICMP）在IP曾检查错误和其他条件。Tribal flood network是一种利用ICMP的攻击，利用ICMP消耗带宽来有效地摧毁站点。另外微软早期版本的TCP/IP堆栈有缺陷，黑客发送一个特殊的ICMP包，就可以使之崩溃。（WinNuke）

2.3.3 网络层的安全性

网络层安全性的主要优点是它的透明性。也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。

它的主要缺点是网络层一般对属于不同进程和相应条例的包不做区别。对所有去往同一地址的包，它将按照相同的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能，也可能导致性能下降。