TCP/IP的安全缺陷_tcp协议可靠但不安全是

端到端原则是一把双刃剑，它成就了互联网，但广受诟病的安全问题也来自于它。

开放，互联是核心理念

TCP/IP最大缺陷就是不安全。这是可以推导出来的。

端到端原则构建了细腰的TCP/IP-based互联网，该“细腰”必然极其脆弱。

​TCP/IP安全从根本上无法内置。IP无状态，任何数据包可以出现在任何地方。端到端的TCP over 无状态IP，这意味着只有主机才能分辨攻击，而IP逐跳路由能确保攻击报文到达主机。换句话说，TCP/IP安全来自于自救，原则上安全设施必须下沉到端。

​一大票SYN报文包在IP中，路由器无法分辨，到了主机才知道这是SYN Flood，但为时已晚。与IP无法分辨TCP SYN Flood同理，TCP也无力分辨cc报文。

​TCP/IP攻击技术便成了数据包嗅探和注入的艺术。

从攻的角度，嗅探不易，可能要动用社工(比如收买经理)，物理攻击(比如潜入机房或在线缆周围探测电磁波)，从防的角度，防火墙本质上是对端到端的破坏，手段不过于深度解析，流量识别与清洗。无论攻防，都不能从协议栈本身获取任何信息。理想的IP路由器甚至无法识别TCP协议。

我们假想一下内置的安全是什么样的。

路由器严格限制每一个数据包必须来自哪里而不能来自哪里，这样路由便不能逐跳，必须全局限制路径，相当于把公路换成了铁路。传统的电话网类似于此，如果你想在电话网上实施DDoS，把经理电话打爆，就很难了。

DDoS之美在于攻击者无需在细腰状网络核心做任何事，只需在端便能完成所有动作。换句话说，只需要目标经理的IP地址。

中间人攻击的约束就多得多了，至少攻击者需拦在能嗅探到经理流量的路上，即便一端在局域网，也需要先实施另一类攻击，比如洪泛欺骗。至于精确流量注入，比如我提到过的针对TCP拥塞状态机的攻击，更是需要拦截在必经之路，这些显然只适合课堂教学，不适合实战。

正是端到端原则成就了端到端攻击，所有需要动网络核心的攻击都不美。

正是端到端原则让位于网络核心的安全设施成了一种破坏性反动，它们深度嗅探流量，增加成本影响性能，细腰逐渐变粗，便不再适合开放，互联，互联网不再善于互联，便不再发展以至于崩溃了，这才是更致命的问题。

端到端原则让互联网开放，互联，却带来了安全隐患，弥补这些安全隐患的非端到端措施让互联网不再开放，互联，又是更大的安全隐患。是非。

从性能视角来看，互联网讲的就是吞吐和时延，互联网的高效来自于IP路由的极简，如果在网络核心路由交换基础设施层层加码做安全加固，势必造成吞吐下降时延增加，并且越安全对效率的影响越大，直到端到端服务不可用。大部分资源用于安全加固，这便是一次成功的“主动DDoS”。是非。

是非不宜再谈。

​昨晚加班开会到凌晨两点，然后也睡不着，就不睡了，手机上写了一篇感想。有句话没写进正文，因为它是导引：“足不出户但可以点外卖让志愿者送，如果大量处在不同小区不同楼宇不同楼层的人一起点便宜，重量大，体积大，易碎，易倾倒的物品，比如19公斤的桶装水，那就相当于一次DDoS攻击，如何让买桶装水成为需求呢？1950年代，自来水厂，电厂经常被破坏，就是这个道理，DDoS的之美在于一个单点就是一个穴位，保护这些基础设施单点比什么都重要”，散开点说，疫情接近三年，从DDoS视角看，还是有些issues的。

浙江温州皮鞋湿，下雨进水不会胖。