當我們說 TCP/IP 沒有內(nèi)置安全屬性時，這到底是什么意思？事實上仔細觀察身邊的世界，很少有內(nèi)置安全屬性的，這源自于石器時代的野人們沒有糧倉需要保護。

“互聯(lián)網(wǎng)前身 ARPAnet 最初來自于美國國防部對等通信需求”，即使它快速在學術(shù)界流行，也基本局限在交流和共享文檔，Web 是很久以后的事。我們從互聯(lián)網(wǎng)基因的層面去理解 TCP/IP 的本質(zhì)，很多難題都可以給出解釋并提供建議。

上一次談到了擁塞難題，今天說說安全。
基于對等通信需求，地址是對稱的，通信是地址實名的，這體現(xiàn)在 TCP/IP 報頭。但互聯(lián)網(wǎng)作為一個平行的線上世界，它是現(xiàn)實的映射?，F(xiàn)實世界的對等通信幾乎都是可信的。

現(xiàn)實世界中針對對等通信攻擊的收益成本之比相當不劃算。A 去 B 家，A 與 B 打電話，A 與 B 寄送物品，A 與 B 應(yīng)該相識或即將相識，有非常小的概率 B 是名人，并不認識也不打算認識 A，A’，A’‘，A’‘’ …，這種單方面不對等通信意味著 B 需要甄別來者并加強安保。日常生活中，很少見到每家每戶會為安全投入除防盜門窗之外的過高成本，普通人并不追求絕對安全，只要威脅發(fā)生的頻率足夠低，普通人并沒有足夠的吸引力招致威脅襲擊，如果有，他的住所必然部署著安防措施。但工廠，學校，商場，寫字樓，銀行等場所則完全不同，這些地方是物資和人員聚集地，意味著巨大的等額財富，值得壞人花大代價去破壞。

早期的互聯(lián)網(wǎng)互聯(lián)著完全對等的主機，且源自 ARPAnet 的 NSFnet 均屬于同一機構(gòu)的熟人網(wǎng)絡(luò)，受高尚的素質(zhì)和道德倫理約束，讓即使對主機的自我防護都顯得沒有必要，換句話說，主機 “連個防盜門都不需要安裝”，TCP/IP 便誕生在這種背景下。

當 Web 和 CDN 這些大型服務(wù)出現(xiàn)時，TCP/IP 早已成熟，這些大型服務(wù)相當于一個任何人都可以持械自由進出的零元購奢侈品商場，或者穿戴價值連城但不防彈的衣飾手表一個人站在廣場上，安全只能作為附屬，很難內(nèi)置。

隨著內(nèi)容信息服務(wù)向有實力者集中越做越大，資源越發(fā)集中(這是世界冪律本質(zhì))，服務(wù)器迅速從對等節(jié)點(比如辦公室)向數(shù)據(jù)中心，云上集中，直到如今對等通信在內(nèi)容信息服務(wù)面前不值得一提。

具有諷刺意義的是，很多大型攻擊，比如 DDoS 都源自于對等通信的實名制屬性本身，IP 報頭里有明確的源和目標地址。正是由于 TCP/IP 的地址，才讓各種惡意且花式登門拜訪成為可能。

不可思議的是，對于 Web，CDN 等提供內(nèi)容的服務(wù)而言，非 TCP/IP 的匿名協(xié)議族才安全。以 NDN 為例，興趣包和數(shù)據(jù)包中不含任何地址信息，假設(shè)內(nèi)容已經(jīng)被足夠的 NDN 路由器緩存，沒了 Server 的概念，NDN 又以一種分布式對等網(wǎng)絡(luò)實現(xiàn)了內(nèi)容分發(fā)(到處都是小賣店)，攻擊任何一個路由器都沒有實際意義。由于內(nèi)容提供者不知道請求來源，請求者也不知道內(nèi)容從何獲取，最小知識量(你提供的任何信息都降低了攻擊熵，哪怕是虛假信息)讓攻擊任何一個確定的路由器變得困難。

作為一個 TCP/IP 網(wǎng)絡(luò)中現(xiàn)實的匿名通信實例，簡單介紹一下加密朋克轉(zhuǎn)發(fā)器：

這很像一次成人商品的購買流程，事實上，對于內(nèi)容獲取而不是對等通信需求而言，我們需要這種流程。

至于普通 TCP/IP 如何確保安全，不要指望 IP(包括 IPv6) 協(xié)議本身會增加什么安全增強，先天的問題后天非常難以逆轉(zhuǎn)。同時，在協(xié)議之外，任何網(wǎng)關(guān)，防火墻都解決不了根本問題，反而容易形成新的攻擊面。就像現(xiàn)實世界一樣(快遞，外賣員不讓進屋，陌生人保持警惕…)，對等通信安全的幾乎唯一手段只有零信任，安全自決。

網(wǎng)絡(luò)和信息安全，和任何領(lǐng)域的安全一樣，只有在絕對安全時，閑著沒事的人才會拿出空余的時間和精力討論安全，真出了事的時候，當事人作為受害者會補洞，作為責任人要甩鍋自保，誰還會考慮什么安全。安全的存在感低是注定的，不出問題沒人會想到，出了問題會怪你做得不好?；ヂ?lián)網(wǎng)不安全的本質(zhì)，這不源自 TCP/IP，而來自人類的短視。

浙江溫州皮鞋濕，下雨進水不會胖。