摘要：隨著INTERNET的廣泛應(yīng)用，網(wǎng)絡(luò)安全日益重要。由于INTERNET是基于TCP/IP協(xié)議的，因此對(duì)TCP/IP協(xié)議的研究顯得尤為必要。本文對(duì)TCP/IP協(xié)議在網(wǎng)絡(luò)層、傳輸層以及應(yīng)用層的安全機(jī)制進(jìn)行了研究，總結(jié)了其各自的特點(diǎn)并給出了應(yīng)用。

關(guān)鍵詞：網(wǎng)絡(luò)安全 TCP/IP

▲▲ 一、引言

Internet的規(guī)模越來越大，應(yīng)用領(lǐng)域越來越廣， Internet/Intranet是基于TCP/IP協(xié)議簇的計(jì)算機(jī)網(wǎng)絡(luò)。由于早期的TCP/IP協(xié)議在安全方面的一些漏洞，也出現(xiàn)了許多不安全因素，造成非法用戶竊取重要資料、破壞文件和數(shù)據(jù)，病毒進(jìn)入沒有受保護(hù)的內(nèi)部網(wǎng)絡(luò)等。無論是有意的攻擊，還是無意的誤操作，都會(huì)給系統(tǒng)帶來不可估量的損失。攻擊者可以竊聽網(wǎng)絡(luò)上的信息，竊取用戶的口令、數(shù)據(jù)庫(kù)的信息:還可以篡改數(shù)據(jù)庫(kù)的內(nèi)容，偽造用戶身份，更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)的內(nèi)容，摧毀網(wǎng)絡(luò)節(jié)點(diǎn)，釋放計(jì)算機(jī)病毒。

網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個(gè)方面:

(1)操作系統(tǒng)的安全性，目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞:

(2)防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng)過認(rèn)真檢驗(yàn):

(3)來自內(nèi)部網(wǎng)用戶的安全威脅;

(4)缺乏有效的手段監(jiān)視網(wǎng)絡(luò)系統(tǒng)的安全性;

(5)采用的TCP/IP，協(xié)議簇本身的安全隱患。

由于TCP/IP協(xié)議在網(wǎng)絡(luò)中的廣泛應(yīng)用以及TCP/IP協(xié)議本身在安全性上的缺陷，大多數(shù)攻擊都是基于TCP/IP協(xié)議的。下面從TCP/IP協(xié)議簇本身逐層來看它的安全漏洞。

▲▲ 二、TCP/IP的工作機(jī)理

為了向應(yīng)用層提供可靠的數(shù)據(jù)傳輸，TCP/IP采取了一系列復(fù)雜的措施，包括三次握手、基于滑動(dòng)窗口的確認(rèn)和重傳機(jī)制、流量控制等，其中主要通過三次握手實(shí)現(xiàn)TCP連接。三次握手:當(dāng)收到客戶機(jī)A向服務(wù)器B發(fā)送syn請(qǐng)求報(bào)文時(shí)，B將發(fā)送一個(gè)(ack，syn)應(yīng)答報(bào)文，同時(shí)(創(chuàng)建一個(gè)控制結(jié)構(gòu)，將其加入到一個(gè)隊(duì)列中，等待A的ack報(bào)文;接收到A的ack報(bào)文后，雙方都進(jìn)入連接狀態(tài)，就可以發(fā)送數(shù)據(jù);如果B在一段時(shí)間內(nèi)沒有收到應(yīng)答信息，則控制塊將被釋放。

▲▲ 三、TCP/IP的安全隱患及對(duì)策

1.鏈路層存在的安全漏洞

在以太網(wǎng)中，信道是共享的，數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為“幀”的單位傳輸?shù)摹Ｍ粋€(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)，而每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)惟一的硬件地址，這個(gè)硬件地址就是網(wǎng)卡的MAC地址。也就是說任何主機(jī)發(fā)送的每一個(gè)以太幀都會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，根據(jù)CSMA/CD協(xié)議，正常狀態(tài)下網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會(huì)將數(shù)據(jù)幀交給IP層軟件。當(dāng)數(shù)據(jù)幀不屬于自己時(shí)，就把它忽略掉。如果稍做設(shè)置或修改，使主機(jī)工作在監(jiān)聽模式下的話就可以使以太網(wǎng)卡接受不屬于它的數(shù)據(jù)幀，實(shí)施偵聽使網(wǎng)卡捕獲任何經(jīng)過它的數(shù)據(jù)。從而達(dá)到非法竊取他人信息(如密碼、口令等)的目的。這類軟件被稱為嗅探器(Sniffer)，如NeXRay，Sniffit，IPMan等。

解決該漏洞的對(duì)策是:采用SSH(Secure SHell)的加密手段加密傳輸數(shù)據(jù)，使對(duì)方無法正確還原竊取的數(shù)據(jù)。同時(shí)可以安裝檢測(cè)軟件，查看是否有Sniffer在網(wǎng)絡(luò)中運(yùn)行，做到防范于未然。

2.網(wǎng)絡(luò)層上的安全漏洞

(1)ARP欺騙

TCP/IP中使用的ARP(地址解析協(xié)議，Address ResolutioProtocol)，是一種將IP轉(zhuǎn)化成以IP對(duì)應(yīng)的網(wǎng)卡的物理地址的一種協(xié)議，即將IP地址轉(zhuǎn)化成MAC地址的一種協(xié)議。該協(xié)議大致工作過程如下:正數(shù)據(jù)包發(fā)送時(shí)會(huì)被發(fā)送到同一個(gè)子網(wǎng)中的主機(jī)或利用網(wǎng)關(guān)作第一個(gè)驛站。一無論哪種情況，都需要以太網(wǎng)物理地址用來發(fā)送包含IP數(shù)據(jù)包的以太網(wǎng)物理幀。首先源主機(jī)先在ARPCaclle中進(jìn)行查詢，如果找不到與IP地址相對(duì)應(yīng)的物理地址，就會(huì)向網(wǎng)絡(luò)上的所有主機(jī)廣播一個(gè)包含目的主機(jī)IP地址、本機(jī)的物理地址和IP地址的特殊物理幀。每一個(gè)收到此幀的主機(jī)都會(huì)刷新自身ARP Cache中的護(hù)一物理地址聯(lián)編，同時(shí)，目的主機(jī)還會(huì)向源主機(jī)發(fā)送一個(gè)包含自身IP地址和硬件地址的ARP回答。源主機(jī)收到此回答后就會(huì)刷新Cache，此時(shí)就可以發(fā)送數(shù)據(jù)報(bào)了。

Caehe中的數(shù)據(jù)通常幾分鐘后就會(huì)過期，攻擊者就可以偽造IP一物理地址聯(lián)系。攻擊者可以暫時(shí)使用不工作的主機(jī)的IP地址，源主機(jī)可能關(guān)機(jī)、未與網(wǎng)絡(luò)連接或被攻擊者改變了原來的IP地址。過了幾分鐘后，Cache中的原數(shù)據(jù)過期后，攻擊者就可以入侵信任服務(wù)器。

對(duì)策:不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，理想的關(guān)系是建立在IP+MAC基礎(chǔ)上;設(shè)置靜態(tài)的MAC→IP對(duì)應(yīng)表，使主機(jī)不能刷新設(shè)定好的轉(zhuǎn)換表;使用\"proxy\"代理IP的傳輸;使用硬件屏蔽主機(jī)，設(shè)置路由確保IP地址能到達(dá)合法的路徑，(靜態(tài)配置路由ARP條目);定期檢查ARP請(qǐng)求，使用AR監(jiān)視工具，例如ARPWatch監(jiān)視并探測(cè)ARP欺騙。

另外，可使用專門的安全ARP服務(wù)器來回答ARP請(qǐng)求:最后，由于路由器可以防止子網(wǎng)之間的ARP欺騙，要將被信任主機(jī)和不安全的子網(wǎng)分開。

檢測(cè)ARp欺騙:服務(wù)器可以通過向RARP(Reverse Addres:ResolutionProtocol)服務(wù)器詢問來檢測(cè)客戶的ARP欺騙，RAR衛(wèi)服務(wù)器保留著網(wǎng)絡(luò)中硬件和相關(guān)IP地址的信息。

(2) ICMP 漏洞

ICMP(internet Control Message Protocol)是IP層的一部分。它在IP軟件和機(jī)器(主機(jī)或路由器)間傳送出錯(cuò)和控制信息的無連接協(xié)議。它用來傳送一些關(guān)于網(wǎng)絡(luò)和主機(jī)的控制信息，如目標(biāo)主機(jī)是不可到達(dá)的、路由的重定向等。常用的Ping命令就是使用ICMP協(xié)議。幾乎所有的基于TCP/IP的機(jī)器都會(huì)對(duì)ICMP Echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一個(gè)敵意主機(jī)同時(shí)運(yùn)行很多個(gè)Ping命令向一個(gè)服務(wù)器發(fā)送超過其處理能力的ICMP Echo請(qǐng)求時(shí)，就可以淹沒該服務(wù)器使其拒絕其它服務(wù)。另外，Ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以再被攻擊系統(tǒng)中開后門進(jìn)行方便的攻擊，如收集目標(biāo)上的信息并進(jìn)行秘密通信等。

對(duì)策:如果ICMP回應(yīng)被允許的話，那么數(shù)據(jù)包過濾將無法檢測(cè)是否有秘密通道的存在。對(duì)ICMP這樣一個(gè)無連接的協(xié)議，偽裝的主機(jī)(利用偽造的IP地址)仍然可以將含有秘密數(shù)據(jù)的回應(yīng)請(qǐng)求發(fā)到目標(biāo)主機(jī)，引起該主機(jī)的回應(yīng)，所以限定ICMP回應(yīng)到信任主機(jī)是沒有用的。最好的辦法就是拒絕網(wǎng)絡(luò)上的所有ICMP回應(yīng)。

(3)IP漏洞

IP協(xié)議運(yùn)行于網(wǎng)絡(luò)層。在TCP/IP協(xié)議中，IP地址是用來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)志，但是節(jié)點(diǎn)的IP地址又不是固定的，是一個(gè)公共數(shù)據(jù)，因此攻擊者可以直接修改節(jié)點(diǎn)的IP地址，冒充某個(gè)可信節(jié)點(diǎn)的IP地址攻擊，或者編程(如RawSocket)，實(shí)現(xiàn)對(duì)IP地址的偽裝。具體做法是在發(fā)出的所有數(shù)據(jù)包中都用信任主機(jī)FRIEND.COM的IP地址代替他的主機(jī)IP地址。被攻擊主機(jī)就相信入侵者就是信任主機(jī)FRIEND.COM.

3.傳輸層上的TCP會(huì)話劫持

會(huì)話劫持是劫持一個(gè)現(xiàn)存的會(huì)話，利用合法用戶進(jìn)行連接并通過驗(yàn)證，之后順其自然接管會(huì)話。TCP通過三次握手建立連接以后，主要采用滑動(dòng)窗口機(jī)制來驗(yàn)證對(duì)方發(fā)送的數(shù)據(jù)。如果對(duì)方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi)，則丟棄此數(shù)據(jù)，這種發(fā)送序號(hào)不在對(duì)方接收窗口的狀態(tài)稱為非同步狀態(tài)。當(dāng)通信雙方進(jìn)入非同步狀態(tài)后，攻擊者可以偽造發(fā)送序號(hào)在有效接收窗口內(nèi)的報(bào)文，也可以截獲報(bào)文，篡改內(nèi)容后，再修改發(fā)送序號(hào)，而接收方會(huì)認(rèn)為數(shù)據(jù)是有效數(shù)據(jù)。

TCP會(huì)話劫持的攻擊方式可以對(duì)基于TCP的任何應(yīng)用發(fā)起攻擊，如HTTP、FTP、Telnet等。攻擊者通過正在進(jìn)行TCP通信的兩臺(tái)主機(jī)之間傳送的報(bào)文，得知該報(bào)文的源IP、源TCP端口號(hào)、目的IP、目的TCP端號(hào)，從而可以得知其中一臺(tái)主機(jī)對(duì)將要收到的下一個(gè)TCP報(bào)文段中seq和ackseq值的要求。這樣，在該合法主機(jī)收到另一臺(tái)合法主機(jī)發(fā)送的TCP報(bào)文前，攻擊者根據(jù)所截獲的信息向該主機(jī)發(fā)出一個(gè)帶有凈荷的TCP報(bào)文，如果該主機(jī)先收到攻擊報(bào)文，就可以把合法的TCP會(huì)話建立在攻擊主機(jī)與被攻擊主機(jī)之間。TCP會(huì)話劫持避開了被攻擊主機(jī)對(duì)訪問者的身份驗(yàn)證和安全認(rèn)證，使攻擊者直接進(jìn)入對(duì)被攻擊主機(jī)的的訪問狀態(tài)，因此對(duì)系統(tǒng)安全構(gòu)成的威脅比較嚴(yán)重。

對(duì)策:對(duì)同一IP發(fā)來的SYN進(jìn)行限量處理，即對(duì)同一個(gè)IP發(fā)出的多個(gè)SYN請(qǐng)求報(bào)文進(jìn)行限量，來達(dá)到主機(jī)對(duì)應(yīng)的TCP端口的資源不能耗盡，使合法用戶對(duì)主機(jī)的該端口能夠正常使用;通信和會(huì)話加密，使用安全協(xié)議，例如使用SSH代替telnet和ftp，使用SSL代替http。完善認(rèn)證措施，即不僅僅在建立會(huì)話時(shí)進(jìn)行認(rèn)證。

4.應(yīng)用層的DNS欺騙

攻擊者偽造關(guān)于機(jī)器名稱和網(wǎng)絡(luò)信息。當(dāng)主機(jī)需要將一個(gè)域名轉(zhuǎn)化為IP地址時(shí)，它會(huì)向某DNS服務(wù)器發(fā)送一個(gè)查詢請(qǐng)求。同樣道理，將IP地址轉(zhuǎn)化為域名時(shí)，可發(fā)送一個(gè)反查詢請(qǐng)求。這樣，一旦DNS服務(wù)器中的數(shù)據(jù)被修改破壞，DNS欺騙就會(huì)產(chǎn)生。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器，所以一個(gè)被破壞的DNS服務(wù)器就可以將客戶引導(dǎo)到非法的服務(wù)器，從而就可以使某個(gè)地址產(chǎn)生欺騙。

對(duì)策:直接用IP訪問重要的服務(wù)，這樣至少可以避開DNS欺騙攻擊;在主機(jī)上保留一個(gè)域名和相應(yīng)IP地址的數(shù)據(jù)庫(kù)，至少要保留信任主機(jī)的相關(guān)信息;同時(shí)使用正向和反向查詢(交叉查詢)的方法來杜絕攻擊的發(fā)生;最根本的解決辦法就是加密所有對(duì)外的數(shù)據(jù)流，對(duì)服務(wù)器來說就是盡量使用SSH之類的有加密支持的協(xié)議，對(duì)一般用戶應(yīng)該用PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。

▲▲ 四、結(jié)束語

通過對(duì)TCP/IP協(xié)議的分析，我們不難發(fā)現(xiàn)其在設(shè)計(jì)和實(shí)現(xiàn)上存在的種種缺陷，這是由于TCP/IP協(xié)議在設(shè)計(jì)初期未考慮到當(dāng)今會(huì)如此廣泛地被應(yīng)用。黑客或黑客工具往往利用這些漏洞，對(duì)網(wǎng)絡(luò)進(jìn)行破壞。了解這些漏洞并熟悉相應(yīng)的對(duì)策，做到知己彼，我們才能構(gòu)建一個(gè)安全穩(wěn)固的網(wǎng)絡(luò)。

（責(zé)任編輯：何小軍）