---

一、TCP/IP协议族

---

二、IP协议

网际协议（Internet Protocol，IP）是TCP/IP协议族的核心，也是网际层最重要的协议。

• IP数据报由首部和数据两部分组成；
• 首部前一部分是固定长度20字节，是数据报必有的；
• 首部固定部分之后，是一些可选字段，长度可变。

---

三、IP协议的安全问题及防护措施

安全问题1：IP数据报在传递过程中易被攻击者监听、窃取。这是一种被动攻击，攻击者可截取数据报，解析数据净荷，从而获得数据内容。

防护措施1：对IP数据报进行加密。

安全问题2：由于IP层并没有采用任何机制保证数据净荷传输的正确性，攻击者可能截取数据报，修改数据报中的内容后，将修改结果发送给接收方。

防护措施2：对IP数据报净荷部分实行完整性检测机制。

安全问题3：IP层不能保证IP数据报一定是从源地址发送的，攻击者可伪装成另一个网络主机，发送含有伪造源地址的数据包欺骗接受者，此攻击称为IP欺骗攻击。

防护措施3：通过源地址鉴别机制加以防御。

安全问题4：IP数据报在传输过程中要经历被分段和重组的过程，攻击者可以在包过滤器中注入大量病态的小数据包，来破坏包过滤器的正常工作。

防护措施4：许多防火墙能够重组分段的IP数据报，以检查其内容。

安全问题5：使用特殊的目的地址发送IP数据报也会引入安全问题，如攻击者可使用目的地址为定向广播地址的IP数据报来攻击许多不同类型的主机。

防护措施5：配置路由器时启用禁止发送定向广播数据包的功能。

---