日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

第3章Internet協議的安全性TCP/IP協議族在誕生之初，網絡中的用戶彼此之間被認為是互相信任的，沒有提供任何安全措施。現今，已不能認為網絡中的用戶是互相信任的，不能認為網絡是安全的。Internet協議概述Internet協議的主要協議及其層次關系如圖3-1所示。

圖3-1 TCP/IP協議族不同層次劃分示意圖網際層協議3.2.1 IP協議1.概述網際協議(Internet Protocol，IP)是TCP/IP協議族的核心，也是網際層中最重要的協議。IP數據報構成了TCP/IP協議族的基礎。典型的IP數據報有幾百個字節，其中首部占20～60字節，其余為數據凈荷部分。IP層接收由更低層(例如網絡接口層)發來的數據包，對數據包進行處理后交付到更高層(TCP或UDP協議)；相反，IP層也把從TCP或UDP協議來的數據包傳送到更低層。IP采用盡較大努力交付的服務，是一種不的無連接數據報協議。每個IP數據報獨立路由，各個數據報可能沿不同路徑由發送方傳送到接收方，因此，IP無法確認數據報是否丟失、失序或延遲到達。另外，雖然IP首部中存在校驗位，但此校驗位只用于檢測IP數據報首部的正確性，并沒有使用任何機制保障數據凈荷傳輸的正確性，因此，無法確認IP數據報是否損壞。較高層的協議(如TCP)負責處理這些問題，以便為應用程序提供一條的網絡通信鏈路。2.IP協議的安全問題及防護措施IP協議存在一系列典型的安全問題。(1)IP數據報在傳遞過程中易被攻擊者監聽、竊取。此種攻擊是一種被動的攻擊方式，攻擊者并不改變IP數據報的內容，但可截取IP數據報，解析數據凈荷，從而獲得數據內容。這種類型的攻擊很難被檢測，因為攻擊過程并不影響IP數據報的正確傳遞。針對這種攻擊的方法是對IP數據報進行加密。(2)由于IP層并沒有采用任何機制保障數據凈荷傳輸的正確性，攻擊者可截取IP數據報，修改數據報中的內容后，將修改結果發送給接收方。針對這種攻擊的方法是對IP數據報凈荷部分實行完整性檢測機制。接收方在收到IP數據報時，可先應用完整性檢測機制檢測數據報的完整性，從而保障收到的IP數據報在傳輸過程中未被惡意篡改。(3)高層的TCP和UDP服務在接收IP數據報時，通常假設數據報中的源地址是有效的。事實上，IP層不能保障IP數據報一定是從源地址發送的。任意一臺主機都可以發送具有任意源地址的IP數據報。攻擊者可偽裝成另一個網絡主機，發送含有偽造源地址的數據包以欺騙接收者。此種攻擊稱為IP欺騙攻擊。針對此種攻擊可以通過源地址鑒別機制加以防御。一般來說，認證需要采用高層協議中的安全機制來實現。(4)IP數據報在傳遞過程中，如果數據報太大，該數據報就會被分段。也就是說，大的IP數據報會被分成兩個或多個小數據報，每個小數據報都有自己的首部，但其數據凈荷僅是大數據報凈荷的一部分。每個小數據報可以經由不同的路徑到達目的地。在傳輸過程中，每個小數據報可能會被繼續分段。當這些小數據報到達接收方時，它們會被重組到一起。按照協議規則，中間節點不能對小數據報進行拼裝組合。一般來說，包過濾器完成IP數據報的分段和重組過程。然而，正是由于IP數據報在傳輸過程中要經歷被分段和重組的過程，攻擊者可在包過濾器中注入大量病態的小數據報，來破壞包過濾器的正常工作。當重要的信息被分成兩個IP數據報時，過濾器可能會錯誤地處理數據報，或者僅傳輸第2個IP數據報。更糟的是，當兩個重疊的IP數據報含有不同的內容時，重組規則并不提示如何處理這兩個IP數據報。許多防火墻能夠重組分段的IP數據報，以檢查其內容。(5)使用特殊的目的地址發送IP數據報也會引入安全問題。如發送目的地址是直接廣播地址的IP數據報，發送這樣的數據包是非常危險的，因為它們可以很容易地被用來攻擊許多不同類型的主機。許多攻擊者已將定向廣播作為一種網絡攻擊手段。其實許多路由器具有阻止發送這類數據包的能力，因此，強烈建議網絡管理員在配置路由器時，一定要啟用路由器的這個功能。3.2.2 ARP協議1.概述在通常情況下，當我們訪問一臺機器的時候一定可以知道它的邏輯地址，而物理地址就不一定知道。如果不知道物理地址則不能把網絡層的數據包封裝成MAC幀，完不成通信。ARP協議正是為了解決這個問題而設置的。在每臺主機上都設置有一個所在網段上的各主機和路由器的 IP 地址到硬件地址的映射表，也稱為ARP高速緩存。在數據發送方，當網絡層的數據報要封裝成MAC幀時，首先在高速緩存中查看有無該數據報首部的目的地址所對應的硬件地址，若有，則將該硬件地址寫入MAC幀的目的地址中，完成數據報的封裝。若無，ARP協議則在本局域網上廣播發出一個ARP請求分組。在ARP請求分組中，發送方的IP地址和發送方硬件地址，以及目標IP地址都是應該寫入已知的數據，要尋找的目標硬件地址寫入全0。當該請求分組到達每一個機器上時，每一臺機器都要拿自己的IP地址和請求分組中的目標IP地址進行比較，如果不同則不做任何動作；若相同則發送一個ARP相應分組給請求方(這里不再使用廣播，而是單播)。在相應分組中發送方寫明了自己的硬件地址。當這一通信過程完成時，通信雙方都要對自己的ARP高速緩存進行修改，添加上一條記錄。2.ARP協議的安全問題及防護措施通過上述ARP協議的工作原理可知，一名黑客只要能把他的主機成功插入某個網段，這臺主機就能夠接收到所在網段的ARP請求分組，從而獲知該網段上主機IP和MAC地址的對應關系。從這里也可以看出，ARP攻擊僅僅在內網進行，它無法對外網(互聯網、非本區域內的局域網)進行攻擊。局域網中有一臺主機C，其MAC地址為00-aa-00-F2-c8-04，現在假設它感染了ARP木馬。 那么主機C將會向某主機A發送一個偽造的ARP響應，告知主機A：主機B的IP地址192.168.10.8對應的MAC地址是00-aa-00-F2-c8-04(其實是主機C的MAC地址)，于是，主機A將這個對應關系寫入自己的ARP緩存表中。以后當主機A向主機B發送數據時，都會將本應發往主機B的數據發送給攻擊者(主機C)。同樣地，如果攻擊者向主機B也發送一個偽造的ARP響應，告訴主機B：主機A的IP地址192.168.0.1對應的MAC地址是00-aa-00-F2-c8-04，主機B也會將數據發送給攻擊者。至此攻擊者就控制了主機A和主機B之間的流量，他可以選擇被動地監測流量，獲取密碼和其他涉密信息，也可以偽造數據，改變主機A和主機B之間的通信內容。這種攻擊稱為ARP欺騙。為了解決ARP攻擊問題，可以在網絡中的交換機上配置802.1x協議。IEEE 802.1x是基于端口的訪問控制協議，它對連接到交換機的用戶進行認證和授權。在交換機上配置802.1x協議后，攻擊者在連接交換機時需要進行身份認證(結合MAC、端口、賬戶、VLAN和密碼等)，只有通過認證后才能向網絡發送數據。攻擊者未通過認證就不能向網絡發送偽造的ARP報文。另外，建立靜態ARP表，也是一種有效地抵抗ARP攻擊的方法，而且對系統影響不大。缺點是破壞了動態ARP協議。3.2.3 ICMP協議1.概述Internet控制報文協議(Internet Control Message Protocol，ICMP)是一個重要的錯誤處理和信息處理協議，運行在網際層。它可以用來通知主機到達目的地的路由，報告路由故障，或者因網絡故障中斷某個連接。ICMP的主要功能之一是向IP節點發送一個簡單消息，并將消息回顯到發送主機。因而，它可以提供目的節點的可達性和到達目的節點所采用的傳輸路徑等信息，在網絡監控和故障診斷方面具有重要作用，是網絡管理員常用的兩個監控工具——Ping和Traceroute的重要組成部分。ICMP提供了IP路由和交付問題的關鍵反饋信息，以及重要的IP診斷和控制能力，可用于網絡的可達性分析、擁塞控制、路由優化和超時錯誤報告等方面[Jeffrey等 2014]。ICMP最典型的用途是差錯報告。例如，當某個網關發現傳輸錯誤時，該協議會立即向信源主機發送ICMP報文，報告出錯信息，讓信源主機采取相應處理措施。在運行Telnet、FTP或HTTP會話時，通常會遇到如“目的網絡不可達”之類的錯誤報文，這些報文就是在ICMP中產生的。IPv6有新版本的ICMP。ICMPv6與ICMPv4的很多消息是相似的，如Echo請求與應答消息、路由請求和公告等，但ICMPv6也新增了一些消息，如路由器重編號等。2.ICMP協議的安全問題及防護措施ICMP能夠提供有關網絡配置和連接狀態等信息，為網絡監控和故障診斷提供了重要依據。然而，黑客也能夠利用ICMP提供的這些信息，進行各種網絡攻擊和信息偵察。例如，一些黑客會濫用ICMP來中斷某些連接，網上流行的nuke.c黑客程序就采用了這類攻擊方式。此外，ICMP還存在一些典型的安全問題。(1)ICMP重定向攻擊。ICMP可以用來對主機之間的消息進行重定向，同樣，黑客也能夠用ICMP對消息進行重定向，進而使得目標機器遭受連接劫持和拒絕服務等攻擊。一般來說，重定向消息應該僅由主機執行，而不是由路由器來執行。僅當消息直接來自路由器時，才由路由器執行重定向。然而，網絡管理員有時可能會使用ICMP創建通往目的地的新路由。這種非常不謹慎的行為最終會導致非常嚴重的網絡安全問題。(2)ICMP路由器發現攻擊[James等 2014]。在進行路由發現時，ICMP并不對應答方進行認證，這使得它可能遭受嚴重的中間人攻擊。例如，在正常的路由器響應ICMP詢問之前，攻擊者可能會假冒正常的路由器，使用偽造的響應信息應答ICMP詢問。由于在路由發現的過程中，ICMP并不對應答方進行認證，因此接收方將無法知道這個響應是偽造的。(3)防火墻穿越攻擊。通過防火墻穿越攻擊技術(Firewalking)，攻擊者能夠穿越某個防火墻的訪問控制列表和規則集，進而確定該防火墻過濾的內容和具體的過濾方式。盡管防火墻面臨著啟用ICMP所帶來的風險，但在防火墻上封堵所有的ICMP消息并不妥當。這是因為主機常采用一種稱為Path MTU的機制，來測試究竟多大的數據包可以不用分段發送，而這種測試需要依賴于地址不可達的ICMP數據包穿過防火墻。3.2.4 IGMP協議1.概述IGMP(Internet Group Management Protocol)作為因特網組播管理協議，是TCP/IP協議族中的重要協議之一，所有IP組播系統(包括主機和路由器)都需要支持IGMP。IGMP運行于主機和組播路由器之間，用來在IP主機和與其直接相鄰的組播路由器之間建立、維護組播組成員關系。到目前為止，IGMP共有三個版本，即IGMP v1、v2和v3。IGMP實現的主要功能包括：主機通過IGMP通知路由器希望接收或離開某個特定組播組的信息；路由器通過IGMP周期性地查詢局域網內的組播組成員是否處于活動狀態，實現所連網段組成員關系的收集與維護。2.IGMP協議的安全問題及防護措施IGMP組播報文在IP數據包的基礎上封裝了組播地址等信息，鑒于組播報文基于UDP進行傳輸并缺少用戶認證措施，網絡中任何主機都可以向組播路由器發送IGMP包，請求加入或離開，導致非法用戶很容易加入組播組，竊聽組播數據或者發動其他針對計算機網絡系統的攻擊。目前，針對IGMP協議的攻擊主要有以下幾種：(1)利用查詢報文攻擊。利用具有較低數值的 IP 地址路由器發送偽造的查詢報文，由當前的查詢方轉變為響應查詢請求，并且不再發出查詢報文。攻擊產生的效果包括：組播路由器對子網內各主機的加入請求不做任何響應，將屏蔽合法用戶；組播路由器對子網內主機撤離報文不做響應，造成該子網內不存在組播用戶，但是，組播數據又不斷向該子網組播路由器發送請求報文，浪費有限的帶寬和資源。(2)利用離開報文進行 DOS 攻擊。子網內非法用戶通過截獲某個合法用戶信息來發送偽造的 IGMP 離開報文，組播路由器接收到報文后誤認為該合法用戶已經撤離該組播組，則不再向該用戶發送詢問請求，導致該合法用戶不能再接收到組播數據包，造成拒絕服務攻擊。(3)利用報告報文攻擊。非法用戶偽裝報告報文，或截獲合法用戶的報告報文向組播路由器發送偽造報文，使組播路由器誤以為有新用戶加入，于是將組播樹擴展到非法用戶所在的子網，此后非法用戶就可以接收到來自組播路由的組播報文，并分析該報文以展開新的攻擊。IGMP安全性的基本要求是只有注冊的合法主機才能夠向組播組發送數據和接收組播數據。但是，IP 組播很難保障這一點。首先，IP 組播使用UDP，網絡中任何主機都可以向某個組播地址發送UDP 包；其次，Internet缺少對于網絡層的訪問控制，組成員可以隨時加入和退出組播組；，采用明文傳輸的IGMP組播報文很容易被竊聽、冒充和篡改，使得組播安全性問題仍然是一個技術難點。針對以上安全問題，一種有效的安全增強措施是利用IGMP v3的擴展性在組播報文中未使用的輔助字段部分增加認證信息，即在每個首次加入組播的報文中添加關聯主機身份的認證信息，組播路由器接收到認證信息并通過公鑰密碼技術實現成員身份的認證，隨后，在發送給組播成員的查詢信息中添加成功/失敗標識的認證信息。通過此認證機制來保障IGMP的安全運行。3.2.5 OSPF協議1.概述由于Internet規模太大，所以常把它劃分成許多較小的自治系統(Autonomous System，AS)。自治系統內部的路由協議稱為內部網關協議，自治系統之間的協議稱為外部網關協議。常見的內部網關協議有RIP協議和OSPF協議；外部網關協議有BGP協議。OSPF協議和BGP協議都位于網絡層，但RIP協議位于應用層。OSPF協議是分布式的鏈路狀態路由協議。鏈路在這里代表該路由器和哪些路由器是相鄰的，即通過一個網絡是可以連通的。鏈路狀態說明了該通路的連通狀態以及距離、時延、帶寬等參數。在該協議中，只有當鏈路狀態發生變化時，路由器才用洪泛法向所有路由器發送路由信息。所發送的信息是與本路由器相鄰的所有路由器的鏈路狀態。為了保存這些鏈路狀態信息，每個路由器都建立有一個鏈路狀態數據庫，因為路由器交換信息時使用的是洪泛法，所以每個路由器都存有全網的鏈路狀態信息，也就是說每個路由器都知道整個網絡的連通情況和拓撲結構。這樣每個路由器都可以根據鏈路狀態數據庫的信息來構造自己的路由表。路由表內包含有數據包去往目的地地址的下一跳路由信息。OSPF協議是TCP/IP工作的基礎。2.OSPF協議的安全問題及防護措施OSPF的報文中包含了認證類型以及認證數據字段，如圖3-2所示。其中主要有密碼認證、空認證以及明文認證這3種認證模式。明文認證是將口令通過明文的方式來進行傳輸，只要可以訪問到網絡的人都可以獲得這個口令，易遭受來自網絡內部的攻擊。密碼認證則能夠提供良好的安全性。為接入同一個網絡或者是子網的路由器配置一個共享密鑰，然后這些路由器所發送的每一個OSPF報文都會攜帶一個建立在這個共享密鑰基礎之上的消息認證碼。當路由器接收到報文之后，根據路由器上的共享密鑰以及接收到的報文通過MD5 Hash函數生成一個消息認證碼，并將生成的消息認證碼與接收到的消

圖3-2 OSPF報文結構息認證碼進行對比，如果兩者一致就接收，反之則丟棄。OSPF協議規定了認證域，但其作用非常有限。主要原因有：(1)即使OSPF提供了較強的認證，但某些節點仍然使用簡單的口令認證。那些能夠戲弄路由協議的人也就有能力收集到本地以太網上傳送的口令。(2)在路由對話中，如果有一個合法的用戶遭到破壞，那么它的消息就不再可信。(3)在許多路由協議中，每臺機器只對它鄰近的計算機對話，而這些鄰近的計算機將會重復舊的會話內容。這樣，欺騙就會得到傳播擴散。路由信息確定了兩條通道：一條是從主叫機器到目標主機，另一條是從目標主機返回到主叫機器。第2條通道可以是第1條的逆通道，也可以不是。當它們不是逆通道的時候，就叫非對稱路由。這種情況在Internet上非常普遍。當網絡有多個防火墻時，就會產生問題。從安全的角度看，返回通道通常更加重要。當目標主機遭到攻擊的時候，反向流動的數據包是通過什么通道到達攻擊主機的呢？如果敵人能夠破壞路由機制，那么目標主機就會被欺騙，使其相信敵人的機器是一臺真正可信賴的機器。如果這種情況發生，那么依賴于源地址驗證的認證機制將會失敗。3.2.6 BGP協議1.概述BGP(Border Gateway Protocol)是邊界網關協議，它將單一管理的網絡轉化為由多個自治系統分散互聯的網絡。它通常工作于ISP內部或ISP之間，有時也工作于Intranet內部。BGP使用TCP作為路由交換的底層傳輸協議，其以增量的更新實現路由信息交換。首個BGP協議版本在RFC1105中規定，目前實際運行版本為BGP-4(RFC1771)。有關BGP的詳細描述可參閱相關文獻[Stewart 1999]。2.BGP協議的安全問題及防護措施BGP協議最主要的安全問題在于：每個自治系統向外通告自己所擁有的CIDR(Classless Inter-Domain Routing)地址塊，并且協議無條件信任對等系統的路由宣告，這就導致一個自治系統向外通告不屬于自己的前綴時，也會被BGP用戶認為合法，從而接受和傳播。有研究人員[Li等2013]將問題歸結為BGP缺乏一個安全可信的路由認證機制，即BGP無法對所傳播的路由信息的安全性進行驗證。為了抵抗針對BGP協議的攻擊，研究人員主要提出了兩類方案：路由認證類方案和前綴劫持檢測類方案。路由認證類方案利用數字證書、簽名和其他密碼學技術來保護路由信息的真實性和完整性。(1)首先出現的是針對劫持BGP TCP會話的MD5 BGP認證技術[Heffernan 1998]。會話者通過驗證TCP偽首部、首部、數據段和共享秘密的MD5雜湊值，來實現認證。這種方法比較成熟，也具有很高的效率，但是其安全性隨著MD5算法的安全性減弱已經逐漸降低。(2)S-BGP方案[Kent等2000a，2000b]利用PKI技術來增強BGP的安全性。該方案在BGP會話者接收到的整個路徑上提供數字簽名鏈。這種方案受到PKI技術的制約，存在計算開銷大等問題。同時，受制于各廠商和管理機構的標準難于統一，該方案推廣與部署困難。(3)為了解決S-BGP方案不易部署等缺陷，出現了許多基于S-BGP的改進方案。如Cisco公司的soBGP方案[White 2003]、IRV(Interdomain Routing Validation)方案[Goodell等 2003]以及IETF的SIDR工作組開發的RPKI(Resource Public Key infrastructure)& BGPsec方案[Lepinski 2012a，2012b]。前綴劫持檢測類方案利用異常檢測(Anomaly Detection)技術提取BGP協議運行中的異常信息，對前綴劫持行為進行檢測，從而提高BGP的安全性。(1)多源AS(Multiple Origin AS，MOAS)檢測技術[Zhao等 2001]通過獲取網絡中控制平面的信息，對比MOAS列表的一致性，來區分有效的MOAS和攻擊的MOAS。PHAS(Prefix Hijack Alert System)檢測技術通過審查BGP協議獲得的路由數據，發現前綴劫持威脅，并向管理者通報路由異常[Lad等 2006]。(2)主動探測技術是利用數據平面反饋的信息來發現前綴劫持行為。根據觀測點(Vantage Point)與被測自治系統位置的對應關系，可以分為由外及內探測[Zheng等 2007]和由內及外探測[Zhang等 2010]兩類主動探測技術。為了綜合利用以上兩類檢測技術的優點，研究人員也提出了將主動探測技術和MOAS檢測技術結合的前綴劫持混合檢測技術[Hu等 2007]。傳輸層協議本節主要討論傳輸層協議及其安全性分析。傳輸層的任務是在源主機和目的主機之間提供的、性價比合理的數據傳輸功能，向下利用網絡層提供給它的服務，向上為其用戶(通常為應用層中的進程)提供高效、和性價比合理的服務。傳輸層的存在使得傳輸服務有可能比網絡服務更加，丟失的分組和損壞的數據可以在傳輸層上檢測出來，并進行糾正。Internet傳輸層有兩個主要協議，一個是面向連接的TCP協議，一個是無連接的UDP協議。3.3.1 TCP協議1.概述TCP是一個面向連接的傳輸協議，提供了一些用戶所期望的而IP協議又不能提供的功能。如IP層的數據包非常容易丟失、被復制或以錯誤的次序傳遞，無法保障數據包一定被正確遞交到目標端。而TCP協議會對數據包進行排序和校驗，未按照順序收到的數據包會被重排，而損壞的數據包也可以被重傳。TCP協議的原始正式定義位于RFC793中，此外在RFC1122中詳細闡述了一些錯誤的修補方案，在RFC1323中又進一步作了擴展。

2.TCP協議的安全問題及防護措施目前針對TCP協議的攻擊主要可以劃分為以下三類。及時類攻擊是針對TCP連接建立階段的三次握手過程。TCP是一個面向連接的協議，即在數據傳輸之前要首先建立連接，然后傳輸數據，當數據傳輸完畢后釋放所建立的連接。TCP使用三次握手來建立連接，這種方式大大增強了傳輸的性，如防止已失效的連接請求報文段到達被請求方，產生錯誤造成資源的浪費。具體過程如圖3-3所示。但與此同時，三次握手機制卻給攻擊者提供了可以利用的漏洞，這類攻擊中最常見的就是SYN FLOOD攻擊，攻擊者不斷向服務器的監聽端口發送建立TCP連接的請求SYN數據包，但收到服務器的SYN包后卻不回復ACK確認信息，每次操作都會使服務器端保留一個半開放的連接，當這些半開放連接填滿服務器的連接隊列時，服務器便不再接受后續的任何連接請求，這種攻擊屬于拒絕服務(DoS)攻擊。防御這類攻擊的主要思路是在服務器前端部署相應的網絡安全設備(如防火墻設備)對SYN FLOOD攻擊數據包進行過濾。第二類攻擊針對TCP協議不對數據包進行加密和認證的漏洞，進行TCP會話劫持攻擊。TCP協議有一個關鍵特征，即TCP連接上的每一個字節都有它自己獨有的32位序列號，數據包的次序就靠每個數據包中的序列號來維持。在數據傳輸過程中所發送的每一個字節，包括TCP連接的打開和關閉請求，都會獲得的標號。TCP協議確認數據包的真實性的主要根據就是判斷序列號是否正確，但這種機制的安全性并不夠，如果攻擊者能夠預測目標主機選擇的起始序號，就可以欺騙該目標主機，使其相信自己正在與一臺可信主機進行會話。攻擊者還可以偽造發送序列號在有效接收窗口內的報文，也可以截獲報文并篡改內容后再發送給接收方。防御此類攻擊的思路是在TCP連接建立時采用一個隨機數作為初始序列號，規避攻擊者對序列號的猜測。第三類攻擊是針對TCP的擁塞控制機制的特性，在TCP連接建立后的數據傳輸階段進行攻擊，降低網絡的數據傳輸能力。擁塞控制是TCP的一項重要功能，所謂擁塞控

圖3-3 TCP三次握手連接建立過程制就是防止過多的數據注入網絡，使網絡中的鏈路和交換結點(路由器)的負荷不致過載而發生擁塞，TCP的擁塞控制主要有以下4種方法：慢啟動、擁塞避免、快重傳和快恢復。發送端主機在確定發送報文段的速率時，既要考慮接收端的接收能力，又要考慮網絡的傳輸能力。因此，每一個 TCP 連接都需要維護接收窗口和擁塞窗口兩個狀態變量，接收窗口是接收端主機根據其目前的接收緩存大小所許諾的近期窗口值；擁塞窗口的大小表示了當前網絡的傳輸能力，由發送端設置。發送窗口取這兩者中的較小值。攻擊者會利用發送端計算擁塞窗口的漏洞，通過降低擁塞窗口大小來降低發送窗口的大小。擁塞窗口的計算采用了所謂的慢啟動(slow start)算法，其具體特征就是擁塞窗口在傳輸正常時成指數增長，增長到一定閾值后按線性增長，一旦出現數據包傳輸超時，則擁塞窗口變為最小值，閾值變為原來一半。有經驗的攻擊者可以利用這種特性，周期性地制造網絡關鍵節點的擁塞，不斷觸發擁塞窗口的慢啟動過程，最終達到降低正常數據傳輸能力的目的。因為此類攻擊的具體手段比較靈活，防御此類攻擊的難度較大，需要網絡管理人員實時監測網絡的異常流量，避免攻擊者制造網絡關鍵節點的擁塞。3.3.2 UDP協議1.概述相較于TCP提供的豐富功能，UDP協議只在IP的數據報服務之上增加了很少的一點功能，即端口的功能和差錯檢測的功能。雖然UDP用戶數據報只能提供不的交付，但UDP在某些方面有其特殊的優點：及時，發送數據之前不需要建立連接