計算機與編程移動ip技術詳解

IP包括從一幢大樓內的幾間房間到整個大學或公司，其最主要的特征是：網(wǎng)絡特別是路由結構完全由一個機構來管理。此外，我們還特別假設這個網(wǎng)絡與全球因特網(wǎng)不相連。首先，我們描述在這樣的一個園區(qū)中移動IPIP的好處，然后，討論其中具有挑戰(zhàn)性的問題，即這種情況下的安全措施。我們從移動用戶和網(wǎng)絡運營者的角度來分析安全威脅。在這一節(jié)中，我們將描述在園區(qū)網(wǎng)中使用移動IP到底意味著什么，尤其是我們將介紹家鄉(xiāng)代理和外地代理的選址，以及移動節(jié)點如何得到它們的服務。然后，在其他節(jié)中，我們將檢查這種網(wǎng)絡面臨的安全威脅，并對這些安全威脅提供防范措施。內部網(wǎng)是基于TCP/IP協(xié)議的一個專用網(wǎng)，它可以是全球因特網(wǎng)的一部分（但通常用防火墻阻止攻擊來保證安全，也可以是一個私有的網(wǎng)絡而根本不和全球因特網(wǎng)相連。一個園區(qū)內部網(wǎng)就是一個專用網(wǎng)，它為一個公司的所有計算機提供連接。在這一章中，我們假設一個園8-1給出了一幢具有這種網(wǎng)絡的公司大樓。這可以是一個大公司的園區(qū)，也可能是一個辦公樓內屬于一家公司的幾間房間。圖中，公司的每個部門有自己的局域網(wǎng)（LAN，包括部門的主機間通信用的一些物理媒介。為使事情變得更有趣，我們假設在這個網(wǎng)內有兩種媒介：有線以太網(wǎng)和某些類型的無線LAN網(wǎng)（如ATTaveLAN、Proxim等。在圖8-1中，主機被表示成一個個方盒子，每個都連接在LAN上。沒有被占用的LAN端口或網(wǎng)絡插座，被表示成沒有連接主機的垂直線，這些端口可能位于會議室等地方。在那些地方，雇員們可能要將一臺筆記本電腦連接到網(wǎng)絡上。未用的LAN圖8-1各個部門的LAN被連到了路由器上，它們對IP包進行盡量少的轉發(fā)。每臺路由器都連到了高速光纖主干網(wǎng)上，使得各個部門之間可以共享信息。另外，我們還假設所有主機完全由公司擁有，因此，假設在一般情況下這些主機都是可以相信的。（在第9章中，我們放松了這個假設，從而對安全問題提出了更多的挑戰(zhàn)。將圖8-1中的所有路由器升級成同時支持家鄉(xiāng)代理和外地代理絡，并在所有主機上安裝移動節(jié)點軟件，圖中的網(wǎng)絡就變成了一個支持移動IP的網(wǎng)絡。我們也可以將每個LAN上的一臺或多臺主機升級成家鄉(xiāng)代理和外地代理。最終的網(wǎng)絡如圖8-2所示，圖中的每臺路由器都同時執(zhí)行家鄉(xiāng)代理和外地代理的功能。在公司的所有路由器上安裝外地代理和家鄉(xiāng)代理軟件，或者將外地代理和家鄉(xiāng)代理軟件安裝在網(wǎng)絡上的各種個人計算機或工作站上，每一條鏈路至少有一臺。以簡單明了的方式為每個移動節(jié)點分配一條家鄉(xiāng)鏈路、一個家鄉(xiāng)地址和一個家鄉(xiāng)代理，例如，穿過R&D部門的地板和小間隔斷的以太網(wǎng)網(wǎng)段就可以成為這個部門的工程師們擁有的移動節(jié)點的家鄉(xiāng)鏈路。相似地，他們的移動節(jié)點將被分配網(wǎng)絡前綴與所在鏈路的網(wǎng)絡前綴相等的本地IP地址。最后，連到這條鏈路上的路由器就成了這些移動節(jié)點的家鄉(xiāng)代理。由于移動節(jié)點帶有認證注冊規(guī)程的要求，應為各個移動節(jié)點和它的家鄉(xiāng)代理分別分配一個共享密鑰。移動IP管理信息庫MIB（ManagementInformationBase）[RFC2006]可以幫助網(wǎng)絡管理人員管理網(wǎng)上的這些移動節(jié)點、外地代理和家鄉(xiāng)代理。MIB定義了一個變量集合，它可以采用簡單網(wǎng)絡管理協(xié)議第二版本（SNMPv2SimpleNetworkManagementProtocol）[RFC1905]的MIB允行管理員將一個移動節(jié)點的家鄉(xiāng)地址和認證密鑰配置到移動節(jié)點的家鄉(xiāng)代理上。當然，這種操作應采用SNMP的安全版本，否則密鑰就會在網(wǎng)絡上以明碼傳送，從而很容易被截獲。MIB能進行的另外操作包括就認證失敗和安全侵害對代理進行監(jiān)測，它可以提出移動節(jié)點和家鄉(xiāng)代理是否使用了同一種防止重發(fā)攻擊的方法（即時間標記還是Nonces。相似地，管理員可以改變家鄉(xiāng)代理和外地代理在注冊中允許的最大生存時間等配置參數(shù)。未用的LAN圖8-2移動IP這個移動IP的“園區(qū)內部網(wǎng)”應用是非常簡明，而且實現(xiàn)起來也很容易，MIB使得這個應IP，雇員可以將他的筆記本電腦搬到內部網(wǎng)的任何地方，插到任何一個網(wǎng)絡插座上（或以無線方式通信，然后就可以訪問那些連接在自己的桌面上時能訪問的信息了。例如，當在會議過程中有一些問題時，人們可以用筆記本電腦查找電子郵箱或一個網(wǎng)頁來找尋答案，從而立即解決問題，而不是推遲作出一個重要決定，或在根本沒有充分事實的情況下爭吵不休而浪費時間。當筆記本電腦從它們的家鄉(xiāng)鏈路上拔下來，然后連接到會議室的一個網(wǎng)絡插座上時，不需要進行重新啟動或重新配置，另外，應用程序也不需要重起，因為移動IP允許筆記本電腦在園區(qū)網(wǎng)內移動時不改變IP地址。在以下的幾節(jié)中，我們將研究采用前面所述的移動IP的園區(qū)網(wǎng)存在哪些安全威脅。注意，安全威脅總是來自某些人，所以，研究帶來安全威脅的源頭的特性以及減小安全威脅應采取的步驟是非常重要的。我們用安全模型這個詞來表示我們在何種情況下允許哪些人訪問網(wǎng)絡。在本章中，我們假設對網(wǎng)絡的物理連接有嚴格的控制，也就是說，我們有一系列機制來防止未授權的用戶將計算機連到網(wǎng)上，無論是通過有線的還是無線的網(wǎng)絡接口，這些機制包括安全保衛(wèi)、印著名字的胸牌等等各種方式。我們還假設網(wǎng)絡管理員是唯一允許通過網(wǎng)絡或物理連接訪問路由器的人。對于那些確實想保護他們的計算機以及計算機中存儲的信息的公司來說，這種安全模型提供了非常謹慎的措施。這種安全模型和前面所說的移動IP沒有特別的關系，同樣的物理安全要求對所有的園區(qū)內部網(wǎng)都是適用的，無論這個網(wǎng)是否支持移動IP。如果對網(wǎng)絡的物理訪問有了嚴格的控制，那么網(wǎng)絡所面對的安全威脅就小得多了，但是物理安全從來都不是完美的，因此，一旦有人危及園區(qū)網(wǎng)的物理安全時，我們希望找到一些方法來減少可能發(fā)生的攻擊帶來的影響。在下面幾節(jié)中，我們將研究幾種安全威脅。這種攻擊與前面所說的移動IP沒有任何關系，但為了內容的完整性，我們注意到移動節(jié)點和網(wǎng)絡本身對來自“內部人員”的攻擊是非常脆弱的。所謂內部人員是指認為是可信的雇員。Ernst&oung和InformationWeek[Viol96]所作的一項調查表明，在對公司網(wǎng)絡成功的攻擊中，來自內部人員的攻擊是從外部攻入網(wǎng)絡的兩倍。通常，這些內部攻擊牽扯到一個不滿的雇員得到一些敏感的數(shù)據(jù)，然后將這些數(shù)據(jù)通過電子的方式或物理的方式轉發(fā)給競爭對手。減小這種攻擊的影響的唯一方法是：對誰能訪問哪些數(shù)據(jù)作出嚴格的控制（如讓人力資源部的員工訪問放在工程部門的計算機中的集成電路設計是毫無必要的。對用戶和計算機采取嚴格的認證來保證這種訪問控制。特別是消除用戶名/口令的明碼對在源和目的計算機間傳送的所有數(shù)據(jù)采用端到端的加密，以防止數(shù)據(jù)在網(wǎng)上傳送時被那些偷聽者偷走。這些方法無法阻止不滿的雇員將他有權訪問的信息透露給競爭對手，然而，這些步驟確實可以防止一個部門的人員將另一個部門的信息泄露出去。我們再一次說明，本節(jié)中所介紹的安全威脅不只是針對移動IP的，移動IP也根本不會加劇這些安全威脅。這只是提供一個安全的專用網(wǎng)環(huán)境，了解這些安全威脅是非常重要的。在這一節(jié)中，我們介紹對移動節(jié)點的拒絕服務攻擊。如果移動IP不是從開始就設計專門的方法來對付這種攻擊，那么任一個移動節(jié)點都可能受到這種攻擊。特別要注意，這種攻擊不是專門針對本章中采用移動IP園區(qū)網(wǎng)情況的，這種攻擊對所有使用移動節(jié)點、外地代理和家鄉(xiāng)代理的情況都有效。我們在這一章中討論這個問題，是因為這是本書研究移動節(jié)點所面臨的安全威脅的第一個機會。一般來說，拒絕服務攻擊是指一個“壞家伙”為阻止另一個人正常工作所做的一些事情。在計算機網(wǎng)絡中，拒絕服務攻擊常采用以下形式：“壞家伙”向主機（如一個Web服務器）CPU忙于處理“壞家伙”對網(wǎng)絡上兩個節(jié)點之間傳送的包進行干擾。通常，這個“壞家伙”必須位于這兩個節(jié)點之間的路徑上才可以發(fā)動這種攻擊。移動IP本身對這些無用的數(shù)據(jù)包無能為力。在第10章中，我們還會看到，解決這個問題IP對IP路由技術的一個主要假設變得無效了。這方面的細節(jié)我們將在第10.3中研究。如果移動IP沒有從開始就設計對付第二種形式的拒絕服務攻擊，即“壞家伙”阻止兩個合法節(jié)點間的數(shù)據(jù)傳送，那么這種攻擊引起的威脅會因為移動而加劇。在本節(jié)的余下部分，IP是如何來對付它的?；叵胍幌?，移動IP注冊的一個主要目的是讓移動節(jié)點將它的轉交地址通知給它的家鄉(xiāng)代理，家鄉(xiāng)代理將根據(jù)轉交地址把目的地址為移動節(jié)點地址的數(shù)據(jù)包通過隧道送給移動節(jié)點。當一個“壞家伙”發(fā)出一個偽造的注冊請求，把它自己的IP地址當作移動節(jié)點的轉交地址時，如圖8-3所示，通信對端送出的所有數(shù)據(jù)包都會被移動節(jié)點的家鄉(xiāng)代理通過隧道送給這個“壞理發(fā)送一條偽造的注冊請求消息。與固定的主機和路由器比較一下，對于固定的主機，一個節(jié)點要想中斷另兩個主機之間的通信，通常它必須位于這兩臺主機之間的路徑上，但在移動狀況下，節(jié)點可以從網(wǎng)絡的任一個角落進行這種拒絕服務攻擊。這就是IAB（InternetArchitectureBoard）要求移動IP的設計者們對付的又一個安全威脅。地址為外地鏈 圖8-3對這種安全威脅的解決方法是要求移動節(jié)點和它的家鄉(xiāng)代理之間交互的所有注冊消息都7.4中所述，有效的認證是指“壞家伙”幾乎不可能產(chǎn)生一個偽造的注冊請求消息而又不被家鄉(xiāng)代理識破。移動IP允許移動節(jié)點和家鄉(xiāng)代理采用它們選擇的任何認證算法，然而，所有實現(xiàn)必須支持“KeyedMD5”作為缺省算法。這種認證利用MD5消息摘要算法[RFC1321]來提供第7.4.4中所介紹的密鑰認證和完整性檢查。移動IP認證是這樣采用KeyedMD5的，如圖8-4所示，移動節(jié)點產(chǎn)生一條注冊請求消息，其中包括固定部分和移動-家鄉(xiāng)認證擴展，移動節(jié)點填寫消息和擴展部分中除認證域外的所有其他的域，認證域為空白，然后移動節(jié)點對以下這一串字節(jié)計算出一個MD5[RFC1321消息摘要：包括移動-家鄉(xiāng)認證擴展在內的所有擴展（即類型、長度和安全參數(shù)索引域，但不包括認證域。MD5計算的輸出為一個16字節(jié)的消息摘要，移動節(jié)點將這個消息摘要放入移動-家鄉(xiāng)認證擴展的認證域中，這樣就完成了一個注冊請求消息的組裝。然后，移動節(jié)點將這個消息送給家鄉(xiāng)代理，具體方法已在第5.3.2中說明了。當消息到達家鄉(xiāng)代理后，家鄉(xiāng)代理所做的工作與移動節(jié)點在組裝消息時所做的工作大致相同。家鄉(xiāng)代理用它和移動節(jié)點共有的秘密密鑰以及接收到的注冊請求消息的各個域計算消息摘要，然后將計算結果與從移動節(jié)點那里接收到的認證域相比較。如果相等，家鄉(xiāng)代理就知道移動節(jié)點確實發(fā)出了一條注冊請求消息，而且這條消息在傳送過程中沒有被更改。因此，移動IP的認證擴展同時提供了認證和完整性檢查。家鄉(xiāng)代理向移動節(jié)點返回注冊應答時的過程正好相反。家鄉(xiāng)代理計算注冊應答消息和密鑰的消息摘要，將消息摘要放在注冊應答的認證域中，移動節(jié)點檢查消息摘要來對家鄉(xiāng)代理進行認證，并檢查應答消息的完整性。函數(shù)

圖8-4利用KeyedMD5如上所述，移動-家鄉(xiāng)認證擴展防止了拒絕服務攻擊。然而這還不夠，因為一個“壞家伙”可以將一個有效的注冊請求消息存起來，然后過了一段時間后再重發(fā)這個消息，從而注冊一個偽造的轉交地址。這防止這種重發(fā)攻擊的發(fā)生，移動節(jié)點為每一個連續(xù)的注冊消息標識域（Identification）產(chǎn)生一個唯一值。這個值使得家鄉(xiāng)代理可以知道下一個值應是多少，這樣，“壞家伙”就無能為力了，因為它保存的注冊請求消息會被家鄉(xiāng)代理判定為已經(jīng)過時了。為防止重發(fā)攻擊，移動IP定義了兩種填寫標識域的方法。第一種方法是用時間標簽，移動節(jié)點將它當前估計的日期和時間填寫進標識域中。如果這種估計和家鄉(xiāng)代理估計的時間不夠接近，那么家鄉(xiāng)代理會拒絕這個注冊請求，并向移動節(jié)點提供一些信息來同步它的時鐘，這樣移動節(jié)點以后產(chǎn)生的標識就會在家鄉(xiāng)代理允許的誤差范圍內了。另一種方法采用Nonces，這讓我們聯(lián)想起第7.4.4中的隨機數(shù)Challenges。在這種方法中，移動節(jié)點向家鄉(xiāng)代理規(guī)定了向移動節(jié)點發(fā)送下一個注冊應答消息標識域的低半部分中必須放置的值，相似地，家鄉(xiāng)代理向移動節(jié)點規(guī)定了在下一個注冊請求消息標識域的高半部分中必須放置的值。如果有任一個節(jié)點接收到的注冊消息的標識域與期望的值不符，如果是家鄉(xiāng)代理，它就拒絕這條消息，而移動節(jié)點則不理會這條消息。拒絕機制使移動節(jié)點可以和家鄉(xiāng)代理同步，以防止它們保留有關下一個消息標識域過時的值。移動IP個假的移動節(jié)點當前轉交地址報告給移動節(jié)點的家鄉(xiāng)代理，因為所有的注冊消息對消息源進行認證，并有完整性檢查和防止重發(fā)攻擊的機制。移動節(jié)點和網(wǎng)絡上的其他節(jié)點面對的另一個嚴重的安全威脅就是信息的竊取。當一個“壞家伙”偷聽其他人的數(shù)據(jù)包，以竊取數(shù)據(jù)包中可能包含的機密和私有信息時，就稱為竊取信息。如第7.3中所述，經(jīng)常采用加密的方法來防止數(shù)據(jù)被未經(jīng)授權的人檢看。在這一節(jié)中，我們將介紹兩種方法，這兩種方法采用了加密來防止數(shù)據(jù)中的機密被網(wǎng)絡上的移動節(jié)點和其他節(jié)點發(fā)送和接收。根據(jù)第8.1.4中介紹的安全模型，我們已經(jīng)知道為使安全措施有效，必須保證網(wǎng)絡的物理安全性。總有一些人會被授予訪問網(wǎng)絡的權力，如銷售商、客戶、求職者和維修人員等。物理安全也很難做得完美，總有一些未經(jīng)授權的人被允許接入網(wǎng)絡。我們注意到，無線鏈路是非常脆弱的，為得到鏈路上傳送的信息，人們并不需要物理地連接到網(wǎng)絡上。我們認識到了網(wǎng)絡物理安全的脆弱特性，并采取措施來加固網(wǎng)絡的安全。假設總會有未經(jīng)授權的用戶通過無線的或有線的方式接入網(wǎng)絡，因此必須采取步驟來加固網(wǎng)絡以防止這些人。在本章的移動園區(qū)網(wǎng)例子中，我們假設移動節(jié)點可以通過兩種媒介連接到外地代理和家鄉(xiāng)代理上：無線LAN（LocalAreaNetworks）和有線的以太網(wǎng)。在這一節(jié)中，我們將介紹一種當移動節(jié)點和它的外地代理之間的數(shù)據(jù)在較脆弱的無線鏈路上傳送時，防止“壞家伙”偷聽的方法。下一節(jié)中，我們將介紹一種更好的方法，它與物理媒介無關，而且可以在網(wǎng)絡的任一個點上保護數(shù)據(jù)，而不僅僅是在移動節(jié)點的外地鏈路上對數(shù)據(jù)進行保護。圖8-5所示的上半部分表明了數(shù)據(jù)鏈路層加密。在這里，移動節(jié)點和外地代理對它們在外地鏈路上交換的所有數(shù)據(jù)包進行加密，我們還假設這種加密中的密鑰管理沒有將密鑰泄露給任何經(jīng)授權的人，這樣在鏈路上傳送的幀包含了只有移動節(jié)點和外地代理才能解密的加密數(shù)據(jù)包。當外地鏈路是無線LAN時，數(shù)據(jù)鏈路層加密變得尤為重要。在無線鏈路上進行偷聽要更容易一些，因為偷聽者不需要物理地連接到鏈路上就可以接收數(shù)據(jù)了。因此，為防止偷聽，對無線鏈路上傳送的數(shù)據(jù)包進行加密是非常重要的。正是由于這個原因，許多銷售無線LAN網(wǎng)絡接口的銷售商都將加密作為一個可選項做進了他們的產(chǎn)品。還有一些銷售商不提供這種加密機制，而宣稱就偷聽而言，他們的物理層協(xié)議是“安全的”，因為他們的物理層協(xié)議很難解碼。這種宣稱是不可信的，因為許多密碼學家一致認為這些產(chǎn)品傳送的信息相對來說是比較容易攻破的，特別是與強大的加密算法相比時。對這種方法有一個說法稱為“隱匿中的安全”，它可能被稱為是“隱匿”的，但決不是“安全”的！對于想保證他們的數(shù)據(jù)的機密性和完整性的人來說，采用端到端加密總是對的。端到端加密是指在通信的源對數(shù)據(jù)進行加密，在目的地對數(shù)據(jù)進行解密，而不只是在最后一段或第一段鏈路上對數(shù)據(jù)進行加解密(這并不是說鏈路加密不好，只是說，端到端加密要更好些)。端到端加密的好處有很多：無論外地鏈路采用的是什么媒介，數(shù)據(jù)都得到了保護（很難找到一種產(chǎn)品，它采用特定的鏈路技術，同時又實現(xiàn)了加密。只在源和目的地(而不是在許多地方)才對數(shù)據(jù)進行展開，這樣防止了通信過程中不必要的時延。這種方法可以擴展到通過公用網(wǎng)訪問專用網(wǎng)的情況，這時不會犧牲專用網(wǎng)上數(shù)據(jù)的機密性（在第9章中可以看到這種例子。圖8-5中的第二張圖表明了采用端到端加密對付信息竊取的方法。如圖所示，鏈路層加密不能阻止“壞家伙”在外地代理和通信對端之間的路徑上偷聽，它只能阻止“壞家伙”在外地鏈路上偷聽。相反，端到端加密不存在這種脆弱性。在圖8-5的第二張圖中，在任何一點偷聽的偷聽者看到的只是他無法解密的密文。在基于因特網(wǎng)的應用中采用端到端加密的例子有SSH（Secureremote[Unix]SHell、（SecureremotefileCoPy）和SSL(SecureSocketsLayer)(在許多安全站點和WWW瀏覽器上使用)。ESP（EncapsulationSecurityPayload）[RFC1827]可以為不能支持加密的應用程序提供1.1.移動節(jié)點外地鏈路2.使用IP封裝安全凈荷進行的端到端加密：沒有明顯的漏 移動節(jié)點未加密的移動IP圖8-5竊取信息：會話竊取攻擊會話竊取攻擊是指一個“壞家伙”等一個合法節(jié)點進行認證并開始應用會話后，通過假扮合法節(jié)點將會話竊取過去。通常，這個“壞家伙”必須發(fā)送大量的無用數(shù)據(jù)包來防止合法節(jié)點發(fā)現(xiàn)會話已被竊取了。這一節(jié)中的安全威脅的特性與被動偷聽的特性有些相似。也就是說，我們假設這個“壞家伙”已經(jīng)通過了公司的物理安全防護，并且在移動節(jié)點的外地鏈路無線收發(fā)器的工作范圍內。同樣，我們也可以假設它物理地連接在一條基于以太網(wǎng)的外地鏈路上。這種會話竊取攻擊是這樣發(fā)起的：“壞家伙”偷聽移動節(jié)點是否開始了一個感興趣的通信（如主機的遠程登錄會話或連接到它在遠端的電子郵箱。CPU“壞家伙”發(fā)送一個似乎是從移動節(jié)點發(fā)出的數(shù)據(jù)包，并截獲發(fā)往移動節(jié)點的數(shù)據(jù)包，從而竊取會話。移動節(jié)點的用戶可能意識到有些不對頭，因為它的應用停止工作了。但是，這個用戶可能并不知道它的會話已被竊取了，因為在屏幕上并沒有顯示發(fā)生了這種事情?！皦募一铩边€可以竊取那些碰巧與移動節(jié)點連在同一條鏈路上的主機的會話。這些主機包括沒有使用移動IP的節(jié)點以及連在家鄉(xiāng)鏈路上的移動節(jié)點。防止這種攻擊的方法與防止偷聽的方法一樣，至少要求移動節(jié)點和它的外地代理之間有鏈路層加密。和前面所說的一樣，最好是在移動節(jié)點和它的通信對端之間有端到端加密，我們將把這方面的討論放到下一節(jié)中去。加密可以防止會話竊取攻擊的原因是：如果移動節(jié)點和外地代理之間采用了鏈路層加密，那么它們各自都認為從另一方接收到的數(shù)據(jù)包是加密的。這就意味著，為了得到明文，它們中的每個節(jié)點都要對接收到的數(shù)據(jù)包進行解密。注意，只有移動節(jié)點和外地代理才擁有對它們之間交換的數(shù)據(jù)進行加解密的密鑰。“壞家伙”由于得不到合適的密鑰，他就不可能產(chǎn)生移動節(jié)點和外地代理能正常解密的密文，或者解出的明文全是亂碼。進一步地，好的加密機制可以提供一種方法讓解密的一方能確定恢復的明文是合法的還是亂碼。實現(xiàn)這種功能的一種明顯的方法是同時提供數(shù)據(jù)加密和完整性檢查，在解密時，如果數(shù)據(jù)不能通過完整性檢查，那么接收節(jié)點就知道這是亂碼了。如[Bellovin96]中所描述的，不帶認證的加密存在嚴重的弱點，對敏感的數(shù)據(jù)同時進行加密和認證是明智的選擇。正確使用的加密使得本節(jié)中所描述的會話竊取攻擊變得無法實現(xiàn)。如果“壞家伙”沒有連接到外地鏈路上（如鏈路是有線的，或他位于無線收發(fā)器的工作范圍以外，他仍然可以發(fā)動會話竊取攻擊。當然，這要求他可以從移動節(jié)點和通信對端之間“壞家伙”發(fā)動攻擊的方法也與前一節(jié)中討論的一樣。也就是說，他先偷聽對話過程，直到發(fā)現(xiàn)有感興趣的攻擊目標，然后用無用的數(shù)據(jù)包攻擊一個端點，最后假扮被攻擊節(jié)點加密仍然是防止這種攻擊的方法。顯然，只在外地鏈路上使用的鏈路層加密不再夠用，而要求用端到端加密來保護網(wǎng)絡上任一點上的數(shù)據(jù)，這種加密可以用ESP8.4.3這一節(jié)描述一個“壞家伙”在本章所說的園區(qū)網(wǎng)上可能發(fā)起的其他主動攻擊。與前面幾IP地址，并設法攻入網(wǎng)絡上的其他主機。這種威脅的特性與第8.5.2中所說的攻擊相同。也就是說，“壞家伙”先通過網(wǎng)絡的物理安收聽移動IP收聽鏈路上各個節(jié)點的數(shù)據(jù)包，仔細檢查源IP地址和目的IP地址，從中推斷出鏈路的網(wǎng)向DHCP服務器發(fā)送數(shù)據(jù)包，由于這臺服務器的安全漏洞或配置錯誤，服務器會告訴他想要的東西，甚至給他分配一個IP地址！“壞家伙”猜測一個可用的主機號，與第一步中得到的網(wǎng)絡前綴一起就得到了一個在IP地址。一種得到未用主機號的方法是：對數(shù)據(jù)包進行一段時間的監(jiān)聽，然后找到一個目前可能沒用的主機號。另一種方法是選一個主機號，發(fā)送一些帶這個IP地址的ARP請求消息，然后看一下這個消息是否得到應答。如果沒有應答，那么這個主機號很可能還沒有被使用?！皦募一铩崩^續(xù)設法攻入網(wǎng)絡上的其他主機。例如，設法登錄到一臺UNIX機器，猜測用戶名/口令直到成功。我們注意到，有那么多的網(wǎng)絡具有口令很容易猜的主機帳號，因此這8個字符長，并至少有一個或多個標點符號或空格，而且不應寫在紙上或貼在計算機監(jiān)視器上。防止網(wǎng)絡攻擊的一種方法是使“壞家伙”在這種網(wǎng)絡接口上無法與網(wǎng)絡上的其他節(jié)點通信，這要求以下的安全措施：所有公共的網(wǎng)絡接口（如在會議室內的）必須連接到外地代理上，這個外地代理配置成實現(xiàn)與它的代理廣播消息中的R比特有關的策略。這臺外地代理應拒絕為鏈路上那些沒有在外地代理上注冊過的節(jié)點路由數(shù)據(jù)包（5.3.7。在會話可能被竊取的鏈路上不應該有任何節(jié)點，不管是移動的還是非移動的。提供這種保護的最簡單的方法是將所有非移動的節(jié)點從這條鏈路上移走，并要求所有合法的移動節(jié)點（至少）使用鏈路層加密。進行攻擊了。需要注意，與連接這種會議室的路由器相比，上面所描述的R比特置位的外地代理能提供更好的防范攻擊的能力。因此，在某種意義上，如果使用得當，移動IP能提供更好一些的安在這一章中我們介紹了在一個公司網(wǎng)絡上