TCP / IPにはどのようにセキュリティが不足していますか？

ルーティングはブラックボックスです

一般に、通信がインターネットを介してどのようにルーティングされるかを知る方法はありません。どのルータが通信を通過し、誰がそれらを制御するかは決してわかりません。特定のトラフィックを宛先変更して信頼できないサーバーを経由するようにルーターを構成できますが、エンドポイントにはこれを検出する方法がありません。あなたと別のホスト間のルートを検出するtraceroute（UNIX）またはtracert（Windows）プログラムについて知っているかもしれませんが、このツールによって生成されるネットワークトラフィックは、見た目と動作が大きく異なります通常のトラフィック。これにより、このツールは非常に信頼できなくなります。通常のトラフィックは、tracerouteが示すものとは完全に異なるルートを取る場合があります。

アドレスのなりすまし

各IPパケットには、送信元のIPアドレスと送信元のIPアドレスの両方が含まれています。ただし、デフォルトでは、送信元アドレスが実際にメッセージを作成したホストのアドレスであるかどうかの確認は行われません。これにより、任意のホストが他の任意のホストのソースIPを使用してIPパケットを偽造し、そこからルーティングしていると主張できます。 TCP/IPは、接続を確立するためにSYN/ACK/SYN-ACKハンドシェイクを必要とするため、TCP/IPよりもUDP/IPの方がはるかに深刻です。これは、接続を行うパケットのソースIPが正しい。しかし、そこにも...

シーケンス番号の推測

2つのホストが接続を確立すると、それらが交換する各パケットに番号が付けられます。攻撃者は、2つのホストが互いに通信していることを知っていて、次のシーケンス番号を推測できる場合、そのようなパケットを偽装して、偽のデータを通信に注入する可能性があります。

また、アドレススプーフィングの別のアプリケーションは次のとおりです。

SYNフラッディング

これは、サービス拒否攻撃であり、攻撃ホストは多数のSYNパケット（接続を開く要求）をターゲットホストに送信します。ただし、送信元IPがランダムなアドレスでスプーフィングされるため、サーバーはACKパケット（接続の受け入れ）を要求していないホストに送信します。次に、タイムアウトになるまでSYN-ACKパケット（イニシエーターによる受け入れの確認）を待ちます。これにより、ホスト上の大量のリソースがバインドされ、正当な接続を受け入れることができなくなります。これによってデータが漏洩したりデータが操作されたりすることはありませんが、ユーザーが特定のホストに到達するのを一時的に防ぐために頻繁に使用される方法です。

しかし、スプーフィングされたパケットに対するホストの応答を実際に読み取る必要がある場合はどうでしょうか。さて、あなたは持っています：

ARPスプーフィング

厳密に言えば、これはTCP/IPの欠陥ではなく、IPアドレスをネットワークインターフェイスにバインドする関連するアドレス解決プロトコルの欠陥です。ただし、1つのホストが別のホストのIPアドレスを「盗む」ことができるため、将来のIPパケットがリダイレクトされるため、IP通信のセキュリティに影響します。 ARPスプーフィングは通常、同じネットワークセグメントでのみ機能します。また、ARPポジショニング攻撃を検出でき、エンタープライズグレードのネットワーク機器は通常、それを防止できます。

ところで：言うまでもなく、ここで説明する方法のいずれかを使用することは、世界の多くの地域で違法です。それにもかかわらず、それらは世界中の犯罪者や政府機関によって頻繁に使用されています。

TCP/IPは悪意のあるインテリジェントな攻撃者に対してではなく、環境の危険に対して強力です。 TCP/IPは、最初からセキュリティを念頭に置いて設計されていますが、核戦争に対する回復力という非常に具体的なコンテキストで設計されています。 TCP/IPの最初の目標は、重要な米軍のインフラストラクチャが、共産主義の弾頭による攻撃を受けている間も通信を継続できるようにすることでした。そのため、TCP/IPは、論理レベルで、接続されているさまざまなホストが連携していることを想定しています。問題は、前述のホストのかなりの部分の損失に抵抗することです。

TCP/IPの核耐性機能の一部は、現代のelectronic攻撃者にとって障害になる可能性があることが判明しました。冗長ルーティングはローカルの意図的な混乱を回避でき、TCPシーケンス番号（最初は障害のあるハードウェアによって引き起こされるデータの混合に対する保護を提供するためのもの）はTCP盲目的なりすましははるかに困難ですが、これは偶然です。公平に言えば、現代的な意味でTCP/IPは本当の「セキュリティ」を提供しないと言えます（ICBMではなく、ハッカーがキーボードを振り回しているため）。 TCP/IPの弱点をリストするのは「簡単」です。

それにもかかわらず、より強力なセキュリティ機能が後で適用されています。 IPsec ; SSL/TLS またはS/MIMEやPGPなどの暗号化された電子メールプロトコルで一般的に発生する別の概念レイヤーに移動実際、TCP/IPは現在、ほとんどの場合、安全なトランスポートのプロバイダーとしてではなく、別の方法で別の方法で対処するのが最善の欠点を持つ共有メディアとして使用されています。