朱藝濤 徐杰

【關(guān)鍵詞】TCP/IP協(xié)議;計算機;網(wǎng)絡(luò)安全;影響

計算機網(wǎng)絡(luò)在搭建和使用的過程中雖然給人們的生產(chǎn)生活帶來了很多便利，但是在使用的過程中，計算機網(wǎng)絡(luò)也存在著一些安全問題，這些安全問題不僅影響計算機網(wǎng)絡(luò)的使用，也會對各種硬件造成一定的威脅，更會對信息安全造成一定的影響，所產(chǎn)生的各種違法犯罪事件會帶來巨大的經(jīng)濟損失。雖然伴隨著計算機網(wǎng)絡(luò)安全技術(shù)的不斷增強，類似的網(wǎng)絡(luò)安全問題已經(jīng)逐漸減少，但是計算機網(wǎng)絡(luò)安全問題并沒有得到徹底解決。一個非常重要的原因，我們現(xiàn)在所使用的計算機網(wǎng)絡(luò)采用的是TCP/IP協(xié)議，這一協(xié)議是多個協(xié)議的簡稱，這一協(xié)議統(tǒng)一了數(shù)字傳輸當(dāng)中的信息標(biāo)準(zhǔn)問題，同樣這一傳輸協(xié)議本身也存在著一些技術(shù)漏洞，這是一些違法犯罪分子通過計算機網(wǎng)絡(luò)進(jìn)行攻擊的一個重要原因。

一、TCP/IP協(xié)議簡介

TCP/IP傳輸協(xié)議也就是傳輸控制/網(wǎng)絡(luò)協(xié)議，是現(xiàn)在計算機網(wǎng)絡(luò)形成的技術(shù)標(biāo)準(zhǔn)和基礎(chǔ)，所有的國家在建立計算機網(wǎng)絡(luò)的過程中，都需要按照這一標(biāo)準(zhǔn)進(jìn)行，否則就無法接人互聯(lián)網(wǎng)。另外，從網(wǎng)絡(luò)安全的角度來講，TCP/IP通信協(xié)議也是保證數(shù)據(jù)信息安全性的一個重要協(xié)議標(biāo)準(zhǔn)，在保證網(wǎng)絡(luò)通信安全等方面發(fā)揮了不錯的作用。該協(xié)議主要包括4個層次，也就是應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層，每一層都有自己的協(xié)議，整個計算機網(wǎng)絡(luò)就是建立在傳輸協(xié)議的基礎(chǔ)之上，這些傳輸協(xié)議定義了網(wǎng)絡(luò)傳輸?shù)囊恍?shù)據(jù)標(biāo)準(zhǔn)和接入標(biāo)準(zhǔn)。之所以將這些協(xié)議簡稱為TCP/IP傳輸協(xié)議，主要是為了方便記憶和理解，當(dāng)然這兩個協(xié)議也是整個計算機網(wǎng)絡(luò)當(dāng)中最重要的協(xié)議。

二、TCP/IP傳輸協(xié)議的安全隱患分析

TCP/IP傳輸協(xié)議雖然具有一定的網(wǎng)絡(luò)安全防護(hù)能力，但是這一協(xié)議自身的不足也非常明顯，在實踐當(dāng)中存在的安全隱患比較多，主要集中在以下幾個方面上。

（一）鏈路層上的攻擊

現(xiàn)在一些違法犯罪分子針對計算機網(wǎng)絡(luò)的攻擊都是在鏈路層上進(jìn)行的，當(dāng)然這種攻擊技術(shù)相對比較復(fù)雜，因為鏈路層上的攻擊要求必須先進(jìn)人TCP/IP傳輸協(xié)議當(dāng)中的鏈路傳輸層。在攻擊的過程中，黑客一般都是使用網(wǎng)絡(luò)嗅探組成的TCP/IP協(xié)議的以太網(wǎng)，只要能夠進(jìn)入網(wǎng)絡(luò)中的共享信道，就可以竊取相關(guān)信息。我國目前在計算機網(wǎng)絡(luò)當(dāng)中，因為最廣泛的局域網(wǎng)就是一種典型的以太網(wǎng)，這種網(wǎng)絡(luò)雖然能夠最大程度地利用信道運行數(shù)據(jù)傳輸，但是實踐當(dāng)中也存在著更多的安全隱患，是被攻擊最多的一種網(wǎng)絡(luò)。以太網(wǎng)的工作方式主要有兩種，而在一般的工作方式當(dāng)中，鏈路層被攻擊極容易出現(xiàn)信息丟失，而攻擊者通過獲取的數(shù)據(jù)，可以獲取用戶的賬戶密碼等關(guān)鍵數(shù)據(jù)信息，導(dǎo)致用戶其他方面的財產(chǎn)受損失。通過攻擊獲取用戶的個人銀行賬戶，再通過電子銀行的賬戶密碼來盜取用戶的個人財產(chǎn)。

（二）網(wǎng)絡(luò)層上的攻擊

網(wǎng)絡(luò)層的攻擊最多，也是最常見的一種攻擊方法和手段，對普通用戶的危害最大。

1、ARP欺騙

針對網(wǎng)絡(luò)損害的攻擊主要采用的就是ARP欺騙的方式進(jìn)行，所謂的ARP就是地址解析協(xié)議，因為數(shù)據(jù)都是在不同的IP地址進(jìn)行傳輸?shù)?，所以說在傳輸?shù)倪^程中，需要先確定IP地址，在這一過程中也可以獲得該IP地址的TCP/IP協(xié)議。在一般的網(wǎng)絡(luò)傳輸?shù)倪^程中，數(shù)據(jù)在傳輸?shù)倪^程中存在于一個子網(wǎng)或者是多個子網(wǎng)主機利用網(wǎng)絡(luò)級別的第1層，在傳輸過程中ARP主要用于原主機的第1個查詢工具。一般情況下，可以輕易找到對應(yīng)的物理地址，但是被攻擊以后可能出現(xiàn)無法找到物理地址的情況。這種情況下攻擊者可以將可疑信息欺騙ARP，在錯誤識別以后可能將混入的信息一同傳回主機，因為ARP協(xié)議并沒有狀態(tài)，所以主機不管存不存在請求信息都會自動緩存，如果混入的信息帶有病毒，就會導(dǎo)致主機中毒，以此，攻擊者就可以獲取主機上的相關(guān)信息，導(dǎo)致重要信息被泄露，這種簡單的IP識別機制是導(dǎo)致主機被攻擊的主要原因。

2、ICMP欺騙

針對網(wǎng)絡(luò)層的攻擊當(dāng)中，ICMP欺騙也是較為常見的一種方法，IGMP協(xié)議是指是因特網(wǎng)控制報文協(xié)議，該協(xié)議主要是為了解決主機與路由器之間的信息傳輸而出現(xiàn)的。在家庭生活中路由器是一種不可缺少電子產(chǎn)品，通過該協(xié)議可以最大程度地保證無線網(wǎng)絡(luò)的暢通，也可以作為查詢路由器及主機工作狀態(tài)的方法和途徑。針對主機的攻擊當(dāng)中，IGMP欺騙可以通過路由器來攻擊主機，在攻擊的時候ICMP欺騙錯誤識別，數(shù)據(jù)包結(jié)會自動利用主機進(jìn)行即時發(fā)送，攻擊者會發(fā)送大量的數(shù)據(jù)包，這些數(shù)據(jù)包在發(fā)送的過程中會占用大量的CPU資源，導(dǎo)致主機無法正常工作，嚴(yán)重的情況下會導(dǎo)致系統(tǒng)無法使用，一些數(shù)據(jù)包中還包含著木馬程序，可以記錄、獲取用戶的賬號密碼等信息，甚至還可能破壞用戶的硬件設(shè)備。

3、傳輸層的攻擊

相對于其它層，傳輸層的攻擊難度比較大，但是傳輸層也存在網(wǎng)絡(luò)安全問題，因為在網(wǎng)絡(luò)攻擊中，攻擊者為了避免被查到，會通過IP欺騙的方式來隱藏自己的IP地址，攻擊的方法也是偽造一個IP地址向被攻擊的主機發(fā)送訪問請求，主機在識別IP地址的時候因為攻擊者的可疑隱藏而無法識別，當(dāng)然，也可以通過偽造IP地址獲取主機的信任，一旦成功主機上的信息就會泄露。在早期的計算機網(wǎng)絡(luò)攻擊中，尤其是在DOS攻擊中的IP欺騙非常常見。因為DOS無法過濾非常多的地址，如果不能準(zhǔn)確識別，IP的防御能力會大大下降，也是攻擊者經(jīng)常能夠成功的原因。ICMP傳輸通道本身是IP層的重要組成部分，在傳輸?shù)倪^程中在IP軟件中任何端口向ICMP發(fā)送一個PING文件作為進(jìn)申請訪問，在這種情況ICMP必須做出應(yīng)答，但前提是能夠準(zhǔn)確識別出惡意信息，如果信息被偽裝成正常的信息，在這種情況也會被攻擊，因為只能被默認(rèn)PING存在，由此帶來的漏洞風(fēng)險非常大。

三、TCP/IP協(xié)議在計算機網(wǎng)絡(luò)安全對策

（一）防火墻技術(shù)

防火墻技術(shù)仍然是確保計算機網(wǎng)絡(luò)安全的第1道防線，尤其是在紫網(wǎng)環(huán)境的網(wǎng)絡(luò)安全防護(hù)上，防火墻技術(shù)的應(yīng)用非常有必要。防火墻技術(shù)主要是通過訪問權(quán)限的控制進(jìn)行的，通過防火墻技術(shù)可以控制訪問權(quán)限來控制內(nèi)部網(wǎng)絡(luò)的訪問。只有有權(quán)限的數(shù)據(jù)才能進(jìn)入子網(wǎng)，沒有權(quán)限的通訊數(shù)據(jù)被隔離?，F(xiàn)在已經(jīng)出現(xiàn)了代理服務(wù)型防護(hù)墻等新型防火墻技術(shù)，這種防風(fēng)險技術(shù)可以完全隔離子網(wǎng)與外網(wǎng)之間的通信，并且當(dāng)子網(wǎng)被攻擊以后會留下攻擊痕跡，同時也會在第一時間之內(nèi)向網(wǎng)絡(luò)管理員進(jìn)行示警。所以，在子網(wǎng)的安全管理系統(tǒng)構(gòu)建的過程中，防火墻技術(shù)是不可或缺的。

（二）入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是最近幾年發(fā)展起來的一種新的計算機網(wǎng)絡(luò)安全技術(shù)，也是一種動態(tài)化的網(wǎng)絡(luò)安全技術(shù)，改變了原來的計算機網(wǎng)絡(luò)安全技術(shù)相對比較被動的情況。入侵檢測系統(tǒng)在技術(shù)的推動之下也不斷成熟，這種檢測技術(shù)是通過分析入侵行為特點和行為過程的方式來分析是否存在被攻擊的現(xiàn)象，確認(rèn)被攻擊可以立即啟動系統(tǒng)的攔截和防護(hù)功能。從邏輯功能設(shè)計的角度來講，入侵檢測技術(shù)可以很好地配合防火墻技術(shù)，達(dá)到增強網(wǎng)絡(luò)安全的效果，因為入侵檢測系統(tǒng)不僅可以阻止外部入侵，也可以從事內(nèi)部入侵，甚至內(nèi)部網(wǎng)絡(luò)在使用過程中的各種誤操作也可以及時發(fā)現(xiàn)并予以糾正。當(dāng)然，伴隨著入侵檢測技術(shù)的不斷增強，新的入侵檢測技術(shù)也不斷出現(xiàn)，不是說智能化檢測技術(shù)就是利用各種智能化軟件實現(xiàn)入侵的自動識別與防護(hù)，另外還有全面安全防御方案與分布式入侵檢測等，這些入侵檢測系統(tǒng)各有各的特點，在實踐當(dāng)中可以根據(jù)自己的實際需求加以運用。

（三）殺毒軟件

實踐當(dāng)中殺毒軟件是一種非常好的木馬病毒的預(yù)防策略，從前面的分析中可以看，多數(shù)網(wǎng)絡(luò)攻擊都是通過木馬病毒進(jìn)行的，因為攻擊者通常將木馬病毒偽裝成正常的數(shù)據(jù)傳輸?shù)闹鳈C當(dāng)中，主機一旦接收就會被入侵，主機上的各種信息有可能被泄露。而個人計算機在使用的過程中，尤其是手機在使用的過程中，安裝殺毒軟件可以及時地識別系統(tǒng)當(dāng)中可能存在的各種木馬病毒，并在第一時間啟動自動殺毒程序。當(dāng)然，一般家庭使用免費的殺毒軟件就可以，如果說單位在使用的過程中最好使用付費的殺毒軟件，其功能更加強大，防護(hù)效果也更加突出。

總之，TCP/IP傳輸協(xié)議雖然定義了網(wǎng)絡(luò)傳輸?shù)臉?biāo)準(zhǔn)，并且在網(wǎng)絡(luò)安全方面也具有一定的保護(hù)能力，但是實踐當(dāng)中此種傳輸協(xié)議的漏洞比較多，所以計算機網(wǎng)絡(luò)安全問題一直沒有得到徹底解決。從計算機網(wǎng)絡(luò)安全管理的角度來講，應(yīng)用更加先進(jìn)的網(wǎng)絡(luò)安全管理技術(shù)與方法，構(gòu)建起一個科學(xué)完善的網(wǎng)絡(luò)安全體系，這是解決此種傳輸協(xié)議網(wǎng)絡(luò)安全問題的根本方法和手段。