当前位置：首页 > news >正文

互联网架构困境：网络与信息安全

news 文章来源：https://blog.csdn.net/dog250/article/details/145157312 2025/2/6 1:05:43

当我们说 TCP/IP 没有内置安全属性时，这到底是什么意思？事实上仔细观察身边的世界，很少有内置安全属性的，这源自于石器时代的野人们没有粮仓需要保护。

“互联网前身 ARPAnet 最初来自于美国国防部对等通信需求”，即使它快速在学术界流行，也基本局限在交流和共享文档，Web 是很久以后的事。我们从互联网基因的层面去理解 TCP/IP 的本质，很多难题都可以给出解释并提供建议。

上一次谈到了拥塞难题，今天说说安全。
基于对等通信需求，地址是对称的，通信是地址实名的，这体现在 TCP/IP 报头。但互联网作为一个平行的线上世界，它是现实的映射。现实世界的对等通信几乎都是可信的。

现实世界中针对对等通信攻击的收益成本之比相当不划算。A 去 B 家，A 与 B 打电话，A 与 B 寄送物品，A 与 B 应该相识或即将相识，有非常小的概率 B 是名人，并不认识也不打算认识 A，A’，A’‘，A’‘’ …，这种单方面不对等通信意味着 B 需要甄别来者并加强安保。日常生活中，很少见到每家每户会为安全投入除防盗门窗之外的过高成本，普通人并不追求绝对安全，只要威胁发生的频率足够低，普通人并没有足够的吸引力招致威胁袭击，如果有，他的住所必然部署着安防措施。但工厂，学校，商场，写字楼，银行等场所则完全不同，这些地方是物资和人员聚集地，意味着巨大的等额财富，值得坏人花大代价去破坏。

早期的互联网互联着完全对等的主机，且源自 ARPAnet 的 NSFnet 均属于同一机构的熟人网络，受高尚的素质和道德伦理约束，让即使对主机的自我防护都显得没有必要，换句话说，主机 “连个防盗门都不需要安装”，TCP/IP 便诞生在这种背景下。

当 Web 和 CDN 这些大型服务出现时，TCP/IP 早已成熟，这些大型服务相当于一个任何人都可以持械自由进出的零元购奢侈品商场，或者穿戴价值连城但不防弹的衣饰手表一个人站在广场上，安全只能作为附属，很难内置。

随着内容信息服务向有实力者集中越做越大，资源越发集中(这是世界幂律本质)，服务器迅速从对等节点(比如办公室)向数据中心，云上集中，直到如今对等通信在内容信息服务面前不值得一提。

具有讽刺意义的是，很多大型攻击，比如 DDoS 都源自于对等通信的实名制属性本身，IP 报头里有明确的源和目标地址。正是由于 TCP/IP 的地址，才让各种恶意且花式登门拜访成为可能。

不可思议的是，对于 Web，CDN 等提供内容的服务而言，非 TCP/IP 的匿名协议族才安全。以 NDN 为例，兴趣包和数据包中不含任何地址信息，假设内容已经被足够的 NDN 路由器缓存，没了 Server 的概念，NDN 又以一种分布式对等网络实现了内容分发(到处都是小卖店)，攻击任何一个路由器都没有实际意义。由于内容提供者不知道请求来源，请求者也不知道内容从何获取，最小知识量(你提供的任何信息都降低了攻击熵，哪怕是虚假信息)让攻击任何一个确定的路由器变得困难。

作为一个 TCP/IP 网络中现实的匿名通信实例，简单介绍一下加密朋克转发器：
在这里插入图片描述

这很像一次成人商品的购买流程，事实上，对于内容获取而不是对等通信需求而言，我们需要这种流程。

至于普通 TCP/IP 如何确保安全，不要指望 IP(包括 IPv6) 协议本身会增加什么安全增强，先天的问题后天非常难以逆转。同时，在协议之外，任何网关，防火墙都解决不了根本问题，反而容易形成新的攻击面。就像现实世界一样(快递，外卖员不让进屋，陌生人保持警惕…)，对等通信安全的几乎唯一手段只有零信任，安全自决。

网络和信息安全，和任何领域的安全一样，只有在绝对安全时，闲着没事的人才会拿出空余的时间和精力讨论安全，真出了事的时候，当事人作为受害者会补洞，作为责任人要甩锅自保，谁还会考虑什么安全。安全的存在感低是注定的，不出问题没人会想到，出了问题会怪你做得不好。互联网不安全的本质，这不源自 TCP/IP，而来自人类的短视。

浙江温州皮鞋湿，下雨进水不会胖。

互联网架构困境：网络与信息安全

相关文章：

互联网架构困境：网络与信息安全

HIVE技术

RustDesk ID更新脚本

卷积神经网络的底层是傅里叶变换

Bootstrap 下拉菜单

计算机组成原理(计算机系统3)--实验一:WinMIPS64模拟器实验

读书笔记～管理修炼-风险性决策：学会缩小风险阈值

VIVADO FIFO (同步和异步) IP 核详细使用配置步骤

tcp粘包原理和解决

C语言预处理艺术：编译前的魔法之旅

C++算法第十六天

计算机网络（45）动态主机配置协议DHCP

归子莫的科技周刊#2：白天搬砖，夜里读诗

平滑算法效果比较

Elasticsearch容器启动报错：AccessDeniedException[/usr/share/elasticsearch/data/nodes]；

【Linux系统编程】——深入理解 GCC/G++ 编译过程及常用选项详解

Mac安装配置使用nginx的一系列问题

Vue3中使用组合式API通过路由传值详解

两分钟解决：！[rejected] master -＞ master (fetch first) ，无法正常push到远端库

浏览器安全（同源策略及浏览器沙箱）

w~Transformer~合集11

Coursera四门课备考入学考试

Flink（八）：DataStream API (五) Join

HarmonyOS NEXT边学边玩：从零实现一个影视App（六、视频播放页的实现）

salesforce实现一个字段的默认初始值根据另一个字段的值来自动确定

Linux 文件权限详解

【混合开发】CefSharp+Vue桌面应用程序开发

springBoot项目使用Elasticsearch教程

模型多元化思维（系统科学）

Google地图瓦片爬虫

wordpress 侧导航栏/新闻今日头条最新消息

wordpress kindeditor/抖音seo推广

visual composer wordpress.org/百度手机卫士

正规网站建设报价/seosem是什么职位

网站运营者网址/推广链接点击器

如何构建自己的网站/sem优化怎么做