因特網的哪幾個特性容易被攻擊者利用

因特網的以下幾個特性易被攻擊者利用：

• 分組交換：因特網是基于分組交換的，這使得它比采用電路交換的電信網更容易受攻擊，主要表現在：所有用戶共享所有資源，給予一個用戶的服務會受到其他用戶的影響；攻擊數據包在被判斷為是否惡意之前都會被轉發到受害者；路由分散決策，流量無序等。

• 認證與可追蹤性：因特網沒有認證機制，任何一個終端接入即可訪問全網（而電信網則不是，有UNI、NNI接口之分），這導致了一個嚴重的問題就是IP欺騙，攻擊者可以偽造數據包中的任何區域的內容然后發送數據包到Internet中。通常情況下，路由器不具備數據追蹤功能，因此很難去驗證一個數據包是否來自其所聲稱的地方。通過IP欺騙隱藏來源，攻擊者就可以發起攻擊而無須擔心對由此造成的損失負責。

• 匿名與隱私：網絡上的身份是虛擬的，普通用戶無法知道對方的真實身份，也無法拒絕來路不明的信息（如郵件）。20年前，美國《紐約客》雜志以黑色幽默方式直指網絡虛擬化之弊—“在互聯網上，沒有人知道你是一條狗。”

• 盡力而為的服務策略：因特網采取的是盡力而為策略，即只要是交給網絡的數據，不管其是正常用戶發送的正常數據，還是攻擊者發送的攻擊流量，網絡都會盡可能地將其送到目的地。把網絡資源的分配和公平性完全寄托在終端的自律上，在現在看來，這顯然是不現實的。

• 對全球網絡基礎實施的依賴：全球網絡基礎設施不提供可靠性、安全性保證，這使得攻擊者可以放大其攻擊效力：首先，一些不恰當的協議設計導致一些（尤其是畸形的）數據包比其他數據包耗費更多的資源（如TCP 協議的連接請求SYN包比其他的TCP包占用的目標資源更多）；其次，Internet是一個大“集體”，其中存在的很多不安全系統會嚴重威脅整個網絡的安全。

• 無尺度網絡：因特網是一種無尺度網絡。無尺度網絡的典型特征是網絡中的大部分節點只和很少節點連接，而有極少數節點與非常多的節點連接。這種關鍵節點（稱為“樞紐”或“集散節點”）的存在使得無尺度網絡對意外故障有強大的承受能力（刪除大部分網絡節點而不會引發網絡分裂），但面對針對樞紐節點的協同性攻擊時則顯得脆弱（刪除少量樞紐節點就能讓無尺度網絡分裂成微小的孤立碎片）。例如，2016年清華大學段海新等人在NDSS 2016會議上提出的CDN Loop攻擊可導致多個內容分發網絡（Content Delivery Network，CDN）平臺癱瘓，進而導致互聯網大面積癱瘓。

• 互聯網的級聯特性：互聯網是一個由路由器將眾多小的網絡級聯而成的大網絡。當網絡中的一條通信線路發生變化時，附近的路由器會通過“邊界網關協議（BGP）”向其鄰近的路由器發出通知。這些路由器接著又向其他鄰近路由器發出通知，最后將新路徑的情況發布到整個互聯網。也就是說，一個路由器消息可以逐級影響到網絡中的其他路由器，形成“蝴蝶效應”。“網絡數字大炮”就是針對互聯網的這種級聯結構發起的一種拒絕服務攻擊武器，利用偽造的BGP協議消息攻擊路由器，導致網絡中幾乎所有路由器都被占用，正常的路由中斷無法得到修復，最終可導致互聯網大面積癱瘓。

• 中間盒子：“中間盒子”由美國UCLA大學的張麗霞教授提出，是指部署在源與目的主機之間的數據傳輸路徑上的、實現各種非IP轉發功能的任何中介設備，例如：用于改善性能的DNS 緩存（cache）、HTTP代理／緩存、CDN等，用于協議轉換的NAT（Network Address Translation）、IPv4-IPv6轉換器等，用于安全防護的防火墻、入侵檢測系統／入侵防御系統（IDS/IPS）等不同類型的中間盒子大量被插入互聯網之中。

回答所涉及的環境：聯想天逸510S、Windows 10。