IP協議根據IP報頭中的目的地址項發送IP數據包。如果目的地址是本地網絡中的地址,IP數據包將直接發送到目的地。如果目的地址不在本地網絡中,IP數據包將被發送到網關,然後網關將決定將它發送到哪裏。這就是IP路由IP數據包的方式。我們發現IP在路由IP包時沒有檢查IP頭中提供的IP源地址,認為IP頭中的IP源地址就是發送包的機器的IP地址。當收到數據包的目的主機想要與源主機通信時,它會將收到的IP數據包的IP報頭中的IP源地址用作發送的IP數據包的目的地址,以便與源主機通信。雖然IP的這種數據通信方式非常簡單高效,但這也是IP的安全隱患,很多網絡安全事故都是因為IP的缺點造成的。
IP的這壹隱患,往往使TCP/IP網絡遭受兩種攻擊。最常見的類型是DOS(拒絕服務)攻擊,即拒絕服務攻擊。DOS攻擊是指攻擊者通過網絡向被攻擊的主機發送特定的數據包,使被攻擊的主機無法再提供網絡服務。以TCP- SYN洪泛攻擊為例,攻擊者向被攻擊的主機發送許多TCP-SYN數據包。這些TCP-SYN包的源地址並不是攻擊者主機的IP地址,而是攻擊者自己填寫的IP地址。當被攻擊的主機接收到攻擊者發送的TCP-SYN包時,會為壹個TCP連接分配壹定的資源,以接收到的包中的源地址(即攻擊者自己偽造的IP地址)為目的地址,向目的主機發送TCP-(SYN+ACK)應答包。因為攻擊者自己偽造的IP地址壹定是精心挑選的不存在的地址,所以被攻擊的主機永遠無法收到其發送的TCP-(SYN+ACK)包的響應包,所以被攻擊主機的TCP狀態機會處於等待狀態。如果受攻擊主機的TCP狀態機具有超時控制,則在超時之前,不會回收為連接分配的資源。因此,如果攻擊者向被攻擊的主機發送足夠多的TCP-SYN數據包,並且速度足夠快,那麽被攻擊主機的TCP模塊肯定會處於拒絕服務狀態,因為它無法為新的TCP連接分配系統資源。而且即使被攻擊主機所在網絡的管理員監聽了攻擊者的數據包,也無法根據IP頭的源地址信息判斷攻擊者是誰。TCP-SYN FLOODING攻擊者不僅在實施攻擊時填寫偽造的IP源地址,實際上每個攻擊者都會利用IP不檢查IP頭源地址的特性,填寫偽造的IP源地址進行攻擊,從而保護自己不被發現。
在不檢查IP源地址的情況下,TCP/IP網絡經常受到另壹種最常見的攻擊,劫持攻擊。也就是說,攻擊者通過攻擊被攻擊的主機來獲得壹些特權。這種攻擊只對基於源地址身份驗證的主機有效,源地址身份驗證將IP地址作為安全權限分配的基礎。以防火墻為例。某些網絡的防火墻只允許可信網絡的IP數據包通過。但是,由於IP不會檢測IP數據包中的IP源地址是否是發送該數據包的源主機的真實地址,因此攻擊者仍然可以使用IP源地址欺騙來繞過此防火墻。此外,還有壹些網絡應用以IP地址作為安全權限分配的依據,攻擊者很容易利用IP源地址欺騙獲得權限,從而給被攻擊者造成嚴重損失。
解決方案:這個IP本身的缺陷造成的安全隱患,目前無法從根本上消除。我們只能采取壹些補救措施,把它造成的危害降到最低。防禦這種攻擊的最理想的方法是,連接到局域網的每個網關或路由器都應該檢查來自外部的IP數據包,然後再決定是否允許它們進入局域網。如果IP包的IP源地址是它想進入的局域網中的IP地址,則該IP包被網關或路由器拒絕,不允許進入局域網。雖然這種方法可以很好地解決問題,但是考慮到有些以太網卡接收自己發送的數據包,而在實際應用中,局域網之間往往存在相互信任的關系來共享資源,這種方案並不具有很好的實用價值。防禦這種攻擊的另壹個理想方法是在IP包離開局域網時檢查它們的IP源地址。也就是說,連接到局域網的每個網關或路由器在決定是否允許局域網內的IP分組被發送出局域網之前,檢查IP分組的IP源地址。如果IP分組的IP源地址不是局域網中的IP地址,則該IP分組被網關或路由器拒絕,並且不允許離開局域網。這樣,攻擊者至少需要使用其局域網中的IP地址,才能通過連接到局域網的網關或路由器。如果攻擊者想要攻擊,根據他發出的IP包的IP源地址,會很容易發現是誰實施了攻擊。因此,建議每個ISP或LAN網關路由器檢查並過濾傳出IP數據包的IP源地址。如果每個網關路由器都這麽做,IP源地址欺騙基本就不行了。目前,並不是每個網關和路由器都能做到這壹點,因此網絡系統成員只能將自己管理的網絡置於盡可能嚴密的監控之下,以防範可能的攻擊。
超長IP分段包及其解決方案
互聯網是由許多網絡連接在壹起組成的。這些互聯網絡通常具有不同的最大傳輸單元(MTU)。為了使IP包能夠在具有不同MTU的網絡之間無差錯地傳輸,IP提供了對IP包進行分段和重組的功能。即IP為了向MTU較小的網絡發送IP包,以目的網絡的MTU作為IP包的最大包長,將本地生成的較大的IP包分成若幹段發送給目的主機。當這些IP分段包到達目的主機的IP時,目的主機的IP發現進來的IP包不是壹個完整的包,它會先緩沖這些IP包。壹旦這些IP包全部到達,IP就會把這些IP包組合成壹個完整的IP包,交給上層協議處理。IP報頭標識字段、協議字段、源地址字段和目的地址字段這四個字段可以用於唯壹地標識屬於完整IP分組的所有IP分段分組。IP報頭中的標誌字段的DF位指示是否允許分段,MF位指示IP分組是否是IP分段分組。IP報頭的片段偏移字段指示片段在完整IP分組中的位置。IP根據這六個域對IP數據包進行分段和重組。重組的過程是將屬於壹個標誌域中MF位為1的完整IP包的所有IP段組合成壹個IP包,直到接收到最後壹個MF位為0的IP段。重組後的IP數據包長度由每個IP段的數據長度累加而成。IP頭中的包長度字段只有16位,這將IP包的最大長度限制為65535。如果傳入IP段的累計長度大於65535,且未對該IP進行檢查,則該IP將處於崩潰狀態或因溢出而無法繼續提供服務。通常這種情況不會發生,但是攻擊者經常利用這個隱患發動攻擊,很多網絡操作系統都有這個隱患。著名的Ping攻擊就是利用這個安全隱患進行攻擊的。Ping是壹種常用的診斷程序,用於診斷網絡狀況。它實際上根據互聯網控制消息協議向目的主機發送請求響應(ECHO_REQUEST)的ICMP數據包。如果目的主機的ICMP模塊收到此數據包,它將向源主機發回壹個響應響應響應(ECHO_RESPONSE)的ICMP數據包。如果在指定時間內沒有返回ICMP響應數據包,ping將超時,顯示目的地址不可達。Ping攻擊也會向被攻擊的主機發送請求響應包,但請求響應包是由攻擊者手動生成的壹系列IP分段包組成的,這些IP分段包的累計和大於65535。其目的是使目的主機的IP重新組裝這些IP分段包,使其面臨如何處理長度大於65535的IP包的異常情況。
解決方案:在對IP數據段進行重組時,要增加對大於65535的IP包的判斷和處理。如果發現接收到的IP分段包的累計長度大於65535,則丟棄所有接收到的IP分段包,釋放其占用的資源。
廣義來說,IC是半導體元器件產品的總稱,包括:
1.集成電路
2.第二,三極管。
3.特殊電子元件。
更廣泛地說,它還涉及所有電子元件,如電阻器、電容器、電路板/PCB板以及許多其他相關產品。
1.世界集成電路產業結構的變化與發展
自1958年美國德州儀器公司(TI)發明集成電路(IC)以來,隨著矽平面技術的發展,20世紀60年代發明了雙極和MOS集成電路,標誌著電子管和晶體管電子器件時代發生了量變和質變的飛躍,創造了壹個前所未有的滲透力強、生命力旺盛的新興集成產業電路產業。
回顧集成電路的發展歷程,我們可以看到“從電路集成到系統集成”這句話是對IC產品從小規模集成電路(SSI)到今天的超大規模集成電路(ULSI)發展過程的最好概括,即整個集成電路產品的發展已經從傳統的系統級到系統級。在這壹歷史進程中,為了適應技術的發展和市場的需求,世界集成電路產業的產業結構經歷了三次變革。
第壹次轉型:以加工制造為主導的集成電路產業發展初級階段。
20世紀70年代,集成電路的主流產品是微處理器、存儲器和標準通用邏輯電路。在此期間,集成電路制造商(IDM)在集成電路市場上扮演著主要角色,集成電路設計只是作為壹個附屬部門而存在。此時,集成電路設計與半導體技術密切相關。IC設計以手工為主,CAD系統只用於數據處理和圖形編程。集成電路產業僅僅處於初級的生產導向階段。
第二次革命:代工和IC設計公司的崛起。
80年代,集成電路的主流產品是微處理器(MPU)、微控制器(MCU)和專用集成電路(ASIC)。此時,無生產線的Fabless與代工的結合開始成為集成電路產業發展的新模式。
隨著微處理器和pc機的廣泛應用和普及(特別是在通信、工業控制、消費電子等領域),集成電路行業開始進入以客戶為導向的階段。壹方面,功能標準化的IC已經很難滿足客戶對系統成本和可靠性的要求。同時,整機客戶要求不斷提高IC的集成度,提高保密性,減少芯片面積,減小系統體積,降低成本,提高產品的性價比,從而增強產品的競爭力,獲得更多的市場份額和更豐厚的利潤。另壹方面,由於集成電路微加工技術的進步,使得軟件的硬件化成為可能。為了提高系統速度,簡化程序,出現了門陣列、可編程邏輯器件(包括FPGA)、標準單元、全定制電路等各種硬件結構的ASIC,占整個IC銷量的12%。第三,隨著EDA工具(電子設計自動化工具)的發展,PCB設計方法被引入到ic設計中,如庫的概念、工藝仿真參數及其仿真概念,設計開始進入抽象階段,使設計過程可以獨立於生產過程而存在。看到ASIC的市場和發展前景,有遠見的整機廠商和企業家,包括風險投資基金(VC),開始成立專業的設計公司和IC設計部門,無生產線的無晶圓廠集成電路設計公司或設計部門成立並迅速發展。同時也帶動了標準制造線的興起。全球第壹家代工工廠是臺灣省集成電路公司,成立於1987。其創始人張忠謀也被稱為“晶圓加工之父”。
第三次改革:“四業分離”的集成電路產業
20世紀90年代,隨著互聯網的興起,集成電路產業進入了以競爭為導向的高級階段,國際競爭從原來的資源競爭和價格競爭轉變為人才知識競爭和資本密集型競爭。以DRAM為中心擴大設備投資的競爭模式已經成為過去。比如1990年,以Intel為代表的美國主動放棄DRAM市場,從事CPU,對半導體產業進行重大結構調整,重新奪回世界半導體霸主地位。這讓人們意識到,日益龐大的集成電路產業體系不利於整個集成電路產業的發展,只有“分工”才能精細化,“集成”才能成為優勢。由此,集成電路產業結構高度專業化成為趨勢,設計業、制造業、封裝業、測試業各自獨立的局面開始形成(如下圖所示)。近年來,全球集成電路產業的發展越來越顯示出這種結構的優勢。比如臺灣省的集成電路產業以中小企業為主,形成了高度分化的產業結構。所以從1996開始,受亞洲經濟危機影響,全球半導體行業產能過剩,效益下滑,而集成電路設計行業卻實現了持續增長。
尤其是1996年、1997年、1998年,DRAM價格下跌,MPU下滑,持續了三年。世界半導體行業的增速已經遠遠低於之前的增長值17%。如果依靠高投入的提升技術,追求大尺寸矽片和微加工,降低成本,從量產推動其增長,這將是不可持續的。而IC設計企業更貼近和了解市場,通過創新開發高附加值產品,直接促進電子系統的升級換代;同時,從創新中獲取利潤,在快速協調發展的基礎上積累資本,帶動半導體設備的更新和新的投資;集成電路設計產業作為集成電路產業的“領頭羊”,為整個集成電路產業的增長註入了新的動力和活力。
二、集成電路的分類
根據功能,集成電路可分為數字集成電路、模擬集成電路、微波集成電路和其他集成電路。其中,數字集成電路是近年來應用最廣泛、發展最快的集成電路品種。數字集成電路是傳輸、處理和加工數字信號的集成電路,可分為通用數字集成電路和專用數字集成電路。
通用集成電路:指那些用戶眾多、應用領域廣泛的標準電路,如存儲器(DRAM)、微處理器(MPU)、微控制器(MCU),反映了數字集成電路的現狀和水平。
專用集成電路(ASIC)是指為特定用戶和特定或特殊目的而設計的電路。
目前,集成電路產品有以下幾種設計、生產和銷售模式。
1.IC廠商(IDM)自己設計,自己加工,自己封裝,測試的成品芯片自己賣。
2.無廠和代工的結合。設計公司將設計好的芯片最終物理版圖交給代工廠加工制造。同樣的,封裝測試也是委托給專業廠商,最終成品芯片作為IC設計公司的產品自行銷售。比如Fabless相當於作者和出版商,Foundry相當於印刷廠,在行業中起主導作用的應該是前者。