跳到主要内容

15. Security Considerations (安全考虑)

15. Security Considerations (安全考虑)

头压缩本身不会引入新的安全问题.然而, 需要考虑以下几点:

Denial of service (拒绝服务)

攻击者可能会尝试通过发送许多不同的分组流来耗尽压缩器或解压缩器的上下文空间.这可以通过限制可以同时压缩的分组流数量来缓解.

攻击者还可能尝试通过发送具有许多扩展头的分组来耗尽上下文内存.这可以通过限制存储在上下文中的头的最大长度来缓解 (见 MAX_HEADER 参数).

Context hijacking (上下文劫持)

攻击者可能会尝试通过发送具有相同 CID 的分组来劫持现有的上下文.这只能在攻击者可以访问链路的情况下发生.在这种情况下, 攻击者已经可以读取或修改所有流量, 因此头压缩不会使情况变得更糟.

IPsec considerations (IPsec 考虑)

当与 IPsec 一起使用头压缩时, 需要特别小心.IPsec 身份验证头 (AH) 保护整个 IP 分组, 包括 IP 头.如果 IP 头被压缩, 则 AH 将无法验证分组.

一种解决方案是在 IPsec 隧道的端点应用头压缩, 即在 IPsec 处理之后或之前.另一种解决方案是使用 IPsec 封装安全有效载荷 (ESP) 而不是 AH, 因为 ESP 不保护外部 IP 头.