張 霞

摘要：TCP／IP協(xié)議是目前使用最為廣泛的網(wǎng)絡(luò)互聯(lián)協(xié)議。在詳細(xì)敘述TCP／IP基本工作原理的基礎(chǔ)上，深入分析了各層協(xié)議的安全性，指出了存在的安全漏洞及攻擊方式，并給出了針對安全性問題的防范措施。為網(wǎng)絡(luò)安全的研究提供了參考。

關(guān)鍵詞=TCP／IP協(xié)議；網(wǎng)絡(luò)安全；防范

1引言

隨著信息技術(shù)的迅猛發(fā)展，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛地應(yīng)用到名個領(lǐng)域。Internet，Intranet是基于TCP／IP協(xié)議簇的計算機網(wǎng)絡(luò)。TCP／IP協(xié)議簇在設(shè)計初期只是用于科學(xué)研究領(lǐng)域，因而沒有考慮安全性問題。但隨著Internet應(yīng)用迅猛發(fā)展和應(yīng)用的普及，它不僅用于安全性要求很高的軍事領(lǐng)域，也應(yīng)用于商業(yè)及金融等領(lǐng)域，因而對其安全性的要求也越來越高。對TCP／IP協(xié)議及其安全性進(jìn)行分析和研究就顯得尤為重要。

2TCP／IP的工作原理

TCP／JP協(xié)議是一組包括TCP協(xié)議和P協(xié)議、UDP協(xié)議、ICMF協(xié)議和其他協(xié)議的協(xié)議組。TCP／IP協(xié)議共分為4層，即應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層。其中應(yīng)用層向用戶提供訪問internet的一些高層協(xié)議，使用最為廣泛的有TELNET、FTP、SMTP、DNS等。傳輸層提供應(yīng)用程序端到端的通信服務(wù)。網(wǎng)絡(luò)層負(fù)責(zé)相鄰主機之間的通信。數(shù)據(jù)鏈路層是TCP／IP協(xié)議組的最低一層，主要負(fù)責(zé)數(shù)據(jù)幀的發(fā)送和接收。其工作原理是：源主機應(yīng)用層將一串應(yīng)用數(shù)據(jù)流傳送給傳輸層，傳輸層將其截成分組，并加上TCP報頭形成TCP段送交網(wǎng)絡(luò)層，網(wǎng)絡(luò)層給TCP段加上包括源主機和目的主機IP地址的IP報頭，生成一個IP數(shù)據(jù)包，并送交數(shù)據(jù)鏈路層；數(shù)據(jù)鏈路層在其MAC幀的數(shù)據(jù)部分裝上IP數(shù)據(jù)包，再加上源主機和目的主機的MAC地址和幀頭，并根據(jù)其目的MAC地址，將MAC幀發(fā)往目的主機或IP路由器。目的主機的數(shù)據(jù)鏈路層將MAC幀的幀頭去掉，將IP數(shù)據(jù)包送交網(wǎng)絡(luò)層：網(wǎng)絡(luò)層檢查IP報頭，如果報頭中校驗和與計算結(jié)果不一致，則丟棄該IP數(shù)據(jù)包。如果一致則去掉IP報頭，將TCP段送交傳輸層；傳輸層檢查順序號，判斷是否是正確的TCP分組，然后檢查TCP報頭數(shù)據(jù)，若正確，則向源主機發(fā)確認(rèn)信息，若不正確則丟包，向源主機要求重發(fā)信息，傳輸層去掉TCP報頭，將排好順序的分組組成應(yīng)用數(shù)據(jù)流送給應(yīng)用程序。這樣目的主機接收到的字節(jié)流，就像是直接來自源主機一樣。

3TCP／IP各層的安全性分析

3.1數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層是TCP／IP協(xié)議的最底層。它主要實現(xiàn)對上層數(shù)據(jù)(IP或ARP)進(jìn)行物理幀的封裝與拆封以及硬件尋址、管理等功能。在以太網(wǎng)中，由于信道是共享的，數(shù)據(jù)以“幀”為單位在網(wǎng)絡(luò)上傳輸，因此，任何主機發(fā)送的每一個以太幀都會到達(dá)與其處于同一網(wǎng)段的所有主機的以太網(wǎng)接口。當(dāng)數(shù)字信號到達(dá)一臺主機的網(wǎng)絡(luò)接口時，根據(jù)CSMA／CD協(xié)議，正常狀態(tài)下，網(wǎng)絡(luò)接口對讀入數(shù)據(jù)進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會將數(shù)據(jù)幀交給IP層軟件。當(dāng)數(shù)據(jù)幀不屬于自己時，就把它忽略掉。然而，目前網(wǎng)絡(luò)上存在一些被稱為嗅探器(sniffer)的軟件，如NeXRay、Sniffit、IPMan等。攻擊方稍作設(shè)置或修改，使網(wǎng)卡工作在監(jiān)聽模式下，則可達(dá)到非法竊取他人信息(如用戶賬戶、口令等)的目的。防范對策：(1)裝檢測軟件，查看是否有Sniffer在網(wǎng)絡(luò)中運行，做到防范于未然。(2)對數(shù)據(jù)進(jìn)行加密傳輸，使對方無法正確還原竊取的數(shù)據(jù)，并且對傳輸?shù)臄?shù)據(jù)進(jìn)行壓縮，以提高傳輸速度。(3)改用交換式的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使數(shù)據(jù)只發(fā)往目的地址的網(wǎng)卡，其他網(wǎng)卡接收不到數(shù)據(jù)包。這種方法的缺點是交換機成本太高。

3.2網(wǎng)絡(luò)層

3.2.1IP欺騙

在TCP／IP協(xié)議中，IP地址是用來作為網(wǎng)絡(luò)節(jié)點的惟一標(biāo)志。IP協(xié)議根據(jù)IP頭中的目的地址來發(fā)送IP數(shù)據(jù)包。在IP路由IP包時，對IP頭中提供的源地址不做任何檢查，并且認(rèn)為IP頭中的源地址即為發(fā)送該包的機器的IP地址。這樣，攻擊者可以直接修改節(jié)點的IP地址，冒充某個可信節(jié)點的IP地址攻擊或者編程(如RawSocket)，實現(xiàn)對IP地址的偽裝，即所謂IP欺騙。攻擊者可以采用IP欺騙的方法來繞過網(wǎng)絡(luò)防火墻。另外對一些以IP地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用IP欺騙的方法獲得特權(quán)，從而給被攻擊者造成嚴(yán)重的損失。防范對策：(1)拋棄基于地址的信任策略。(2)采用加密技術(shù)，在通信時要求加密傳輸和驗證。(3)進(jìn)行包過濾。如果網(wǎng)絡(luò)是通過路由器接入Internet的，那么可以利用路由器來進(jìn)行包過濾。確認(rèn)只有內(nèi)部IAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機對于LAN以外的主機要慎重處理。路由器可以過濾掉所有來自于外部而希望與內(nèi)部建立連接的請求。

3.2.2ICMP漏洞

ICMP運行于網(wǎng)絡(luò)層，它被用來傳送IP的控制信息，如網(wǎng)絡(luò)通不通、主機是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。常用的Ping命令就是使用ICMP協(xié)議，Ping程序是通過發(fā)送一個ICMP Echo請求消息和接收一個響應(yīng)的ICMP回應(yīng)來測試主機的連通性。幾乎所有的基于TCP/IP的機器都會對ICMP Echo請求進(jìn)行響應(yīng)。所以如果一個敵意主機同時運行很多個Ping命令，向一個服務(wù)器發(fā)送超過其處理能力的ICMP Echo請求時，就可以淹沒該服務(wù)器使其拒絕其它服務(wù)。即向主機發(fā)起“Ping of Death”(死亡之Ping)攻擊。死亡之Ping是較為原始的拒絕服務(wù)攻擊手段。解決方法較成熟：(1)可給操作系統(tǒng)打上補丁(patch)。(2)在主機上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。(3)利用防火墻來阻止Ping。但同時會阻擋一些合法應(yīng)用。可只阻止被分段的Ping。使得在大多數(shù)系統(tǒng)上只允許一般合法的64Byte的Ping通過，這樣就能擋住那些長度大于MTU(Maximum TransmiSsIon Unit)的ICMP數(shù)據(jù)包，從而防止此類攻擊。

3.3傳輸層

TCP是基于連接的。為了在主機A和B之間傳遞TCP數(shù)據(jù)，必須通三次握手機制建立連接。其連接過程如下：A→B：A向B發(fā)SYN，初始序列號為ISNI；B→A：B向A發(fā)SYN，初始序列號為ISN2，同時對ISNI確認(rèn)；A→B：A向B發(fā)對ISN2的確認(rèn)。建立連接以后，主要采用滑動窗口機制來驗證對方發(fā)送的數(shù)據(jù)，如果對方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi)，則丟棄此數(shù)據(jù)，這種發(fā)送序號不在對方接收窗口的狀態(tài)稱為非同步狀態(tài)。由于TCP協(xié)議并不對數(shù)據(jù)包進(jìn)行加密和認(rèn)證，確認(rèn)數(shù)據(jù)包的主要根據(jù)就是判斷序列號是否正確。這樣一來，當(dāng)通信雙方進(jìn)入非同步狀態(tài)后，攻擊者可以偽造發(fā)送序號在有效接收窗口內(nèi)的報文，也可以截獲報文，篡改內(nèi)容后，再修改發(fā)送序號，而接收方會認(rèn)為數(shù)據(jù)是有效數(shù)據(jù)，即進(jìn)行TCP會話劫持。目前存在一些軟件可以進(jìn)行TCP會話劫持，如Hunt等。防范對策：(1)在傳輸層對數(shù)據(jù)進(jìn)行加密。(2)使用安全協(xié)議，對通信和會話加密，如使用SSI代替telnet和ftp。(3)運用某些入侵檢測軟件(IDS)或者審計工具，來查看和分析自己的系統(tǒng)是否受到了攻擊。

3.4應(yīng)用層

在應(yīng)用層常見的攻擊手段是DNS欺騙。攻擊者偽造機器名稱和網(wǎng)絡(luò)的信息，當(dāng)主機需要將一個域名轉(zhuǎn)化為IP地址時，它會向某DNS服務(wù)器發(fā)送一個查詢請求。同樣，在將IP地址轉(zhuǎn)化為域名時，可發(fā)送一個反查詢請求。如果服務(wù)器在進(jìn)行DNS查詢時人為地給出攻擊者自己的應(yīng)答信息，就產(chǎn)生了DNS欺騙。由于網(wǎng)絡(luò)上的主機都信任DNS服務(wù)器，一個被破壞的DNS服務(wù)器就可以將客戶引導(dǎo)到非法的服務(wù)器，從而就可以使某個地址產(chǎn)生欺騙。防范對策：(1)直接用IP訪問重要的服務(wù)，從而避開DNS欺騙攻擊。(2)加密所有對外的數(shù)據(jù)流。在服務(wù)器端，盡量使用SSH等有加密支持的協(xié)議；在客戶端，應(yīng)用PGP等軟件加密發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。

4結(jié)束語

網(wǎng)絡(luò)安全是一個永恒的主題。通過對TCP／IP各層協(xié)議的分析，不難發(fā)現(xiàn)其在設(shè)計上存在很多漏洞，黑客或黑客工具往往利用這些漏洞對網(wǎng)絡(luò)進(jìn)行破壞。相信隨著網(wǎng)絡(luò)的發(fā)展和安全技術(shù)應(yīng)用的深入，TCP／IP將不斷地改進(jìn)和完善。一個穩(wěn)定的、安全的網(wǎng)絡(luò)世界必將到來。