网络攻防学习笔记 Day23

IPv4 没有对报文源进行认证，无法确保接收到的 IP 包是 IP 包头中源地址所指出的源端实体发出的；IPv4 也没有对报文内容进行认证，无法确保报文在传输过程中的完整性没有受到破坏。

IPv4 报文没有使用加密机制，因此攻击者很容易窃听到 IP 数据包并提取出其中的应用数据。

利用 IPv4 协议没有带宽控制的缺陷，进行数据包风暴攻击来消耗网络带宽、系统资源，从而导致拒绝服务攻击。

为了解决 IPv4 存在的安全问题，IETF 设计了一套端到端的确保 IP 通信安全的机制，称为 IPsec（IP Security）。在 IPv6 中，IPsec 是必须支持的，但在 IPv4 中，则是可选的。IPsec 提供三种功能：认证、加密和密钥管理。

IPsec 操作的基础是应用于每一个从源端到目的端传输的 IP 包上的安全策略。IPsec 安全策略主要由两个交互的数据库、安全关联数据库（Security Association Database,SAD）和安全策略数据库（Security Policy Database,SPD）来确定。

当要将 IP 包发送出去时，或者接收到 IP 包时，首先要查找 SPD 来决定如何进行处理。存在 3 种可能的处理方式：丢弃（Discard）、通过（Bypass）、保护（Protect）。

IPsec 有两种运行模式：传输模式（Transport Mode）和隧道模式（Tunnel Mode）。AH 协议和 ESP 协议都支持这两种模式，因此有 4 种可能的应用组合：传输模式的 AH、隧道模式的 AH、传输模式的 ESP、隧道模式的 ESP。

传输模式为上层协议提供安全保护，因此保护的对象是 IP 包的载荷，如 TCP、UDP 等传输层协议报文，或者 ICMP 协议报文，甚至是 AH 或 ESP 协议报文（在嵌套情况下）。一般来说，传输模式只用于两台主机之间的端到端安全通信。

与传输模式不同的是，隧道模式保护整个 IP 包。为实现这一目标，在把 AH 或 ESP 域添加到 IP 包中后，整个包加上安全域被作为带有新外部 IP 首部的新“外部”IP 包的载荷。

通常情况下，只要 IPsec 一方是安全网关（如防火墙）或路由器，应该使用隧道模式。

IPsec 隧道模式下的数据包有两个 IP 首部：内部首部和外部首部。内部首部由路由器背后的主机创建，它指出了 IP 通信的最终目的地；外部首部由提供 IPsec 的设备（可能是主机，也可能是路由器）创建，它指出了 IPsec 的终点。