TCP/IP協(xié)議的安全性分析

張 霞

摘要：TCP／IP協(xié)議是目前使用最為廣泛的網(wǎng)絡(luò)互聯(lián)協(xié)議。在詳細(xì)敘述TCP／IP基本工作原理的基礎(chǔ)上，深入分析了各層協(xié)議的安全性，指出了存在的安全漏洞及攻擊方式，并給出了針對(duì)安全性問(wèn)題的防范措施。為網(wǎng)絡(luò)安全的研究提供了參考。

關(guān)鍵詞=TCP／IP協(xié)議；網(wǎng)絡(luò)安全；防范

1引言

隨著信息技術(shù)的迅猛發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已經(jīng)廣泛地應(yīng)用到名個(gè)領(lǐng)域。Internet，Intranet是基于TCP／IP協(xié)議簇的計(jì)算機(jī)網(wǎng)絡(luò)。TCP／IP協(xié)議簇在設(shè)計(jì)初期只是用于科學(xué)研究領(lǐng)域，因而沒(méi)有考慮安全性問(wèn)題。但隨著Internet應(yīng)用迅猛發(fā)展和應(yīng)用的普及，它不僅用于安全性要求很高的軍事領(lǐng)域，也應(yīng)用于商業(yè)及金融等領(lǐng)域，因而對(duì)其安全性的要求也越來(lái)越高。對(duì)TCP／IP協(xié)議及其安全性進(jìn)行分析和研究就顯得尤為重要。

2TCP／IP的工作原理

TCP／JP協(xié)議是一組包括TCP協(xié)議和P協(xié)議、UDP協(xié)議、ICMF協(xié)議和其他協(xié)議的協(xié)議組。TCP／IP協(xié)議共分為4層，即應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層。其中應(yīng)用層向用戶提供訪問(wèn)internet的一些高層協(xié)議，使用最為廣泛的有TELNET、FTP、SMTP、DNS等。傳輸層提供應(yīng)用程序端到端的通信服務(wù)。網(wǎng)絡(luò)層負(fù)責(zé)相鄰主機(jī)之間的通信。數(shù)據(jù)鏈路層是TCP／IP協(xié)議組的最低一層，主要負(fù)責(zé)數(shù)據(jù)幀的發(fā)送和接收。其工作原理是：源主機(jī)應(yīng)用層將一串應(yīng)用數(shù)據(jù)流傳送給傳輸層，傳輸層將其截成分組，并加上TCP報(bào)頭形成TCP段送交網(wǎng)絡(luò)層，網(wǎng)絡(luò)層給TCP段加上包括源主機(jī)和目的主機(jī)IP地址的IP報(bào)頭，生成一個(gè)IP數(shù)據(jù)包，并送交數(shù)據(jù)鏈路層；數(shù)據(jù)鏈路層在其MAC幀的數(shù)據(jù)部分裝上IP數(shù)據(jù)包，再加上源主機(jī)和目的主機(jī)的MAC地址和幀頭，并根據(jù)其目的MAC地址，將MAC幀發(fā)往目的主機(jī)或IP路由器。目的主機(jī)的數(shù)據(jù)鏈路層將MAC幀的幀頭去掉，將IP數(shù)據(jù)包送交網(wǎng)絡(luò)層：網(wǎng)絡(luò)層檢查IP報(bào)頭，如果報(bào)頭中校驗(yàn)和與計(jì)算結(jié)果不一致，則丟棄該IP數(shù)據(jù)包。如果一致則去掉IP報(bào)頭，將TCP段送交傳輸層；傳輸層檢查順序號(hào)，判斷是否是正確的TCP分組，然后檢查TCP報(bào)頭數(shù)據(jù)，若正確，則向源主機(jī)發(fā)確認(rèn)信息，若不正確則丟包，向源主機(jī)要求重發(fā)信息，傳輸層去掉TCP報(bào)頭，將排好順序的分組組成應(yīng)用數(shù)據(jù)流送給應(yīng)用程序。這樣目的主機(jī)接收到的字節(jié)流，就像是直接來(lái)自源主機(jī)一樣。

3TCP／IP各層的安全性分析

3.1數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層是TCP／IP協(xié)議的最底層。它主要實(shí)現(xiàn)對(duì)上層數(shù)據(jù)(IP或ARP)進(jìn)行物理幀的封裝與拆封以及硬件尋址、管理等功能。在以太網(wǎng)中，由于信道是共享的，數(shù)據(jù)以“幀”為單位在網(wǎng)絡(luò)上傳輸，因此，任何主機(jī)發(fā)送的每一個(gè)以太幀都會(huì)到達(dá)與其處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口。當(dāng)數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，根據(jù)CSMA／CD協(xié)議，正常狀態(tài)下，網(wǎng)絡(luò)接口對(duì)讀入數(shù)據(jù)進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的或者物理地址是廣播地址，那么就會(huì)將數(shù)據(jù)幀交給IP層軟件。當(dāng)數(shù)據(jù)幀不屬于自己時(shí)，就把它忽略掉。然而，目前網(wǎng)絡(luò)上存在一些被稱為嗅探器(sniffer)的軟件，如NeXRay、Sniffit、IPMan等。攻擊方稍作設(shè)置或修改，使網(wǎng)卡工作在監(jiān)聽(tīng)模式下，則可達(dá)到非法竊取他人信息(如用戶賬戶、口令等)的目的。防范對(duì)策：(1)裝檢測(cè)軟件，查看是否有Sniffer在網(wǎng)絡(luò)中運(yùn)行，做到防范于未然。(2)對(duì)數(shù)據(jù)進(jìn)行加密傳輸，使對(duì)方無(wú)法正確還原竊取的數(shù)據(jù)，并且對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行壓縮，以提高傳輸速度。(3)改用交換式的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，使數(shù)據(jù)只發(fā)往目的地址的網(wǎng)卡，其他網(wǎng)卡接收不到數(shù)據(jù)包。這種方法的缺點(diǎn)是交換機(jī)成本太高。

3.2網(wǎng)絡(luò)層

3.2.1IP欺騙

在TCP／IP協(xié)議中，IP地址是用來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)志。IP協(xié)議根據(jù)IP頭中的目的地址來(lái)發(fā)送IP數(shù)據(jù)包。在IP路由IP包時(shí)，對(duì)IP頭中提供的源地址不做任何檢查，并且認(rèn)為IP頭中的源地址即為發(fā)送該包的機(jī)器的IP地址。這樣，攻擊者可以直接修改節(jié)點(diǎn)的IP地址，冒充某個(gè)可信節(jié)點(diǎn)的IP地址攻擊或者編程(如RawSocket)，實(shí)現(xiàn)對(duì)IP地址的偽裝，即所謂IP欺騙。攻擊者可以采用IP欺騙的方法來(lái)繞過(guò)網(wǎng)絡(luò)防火墻。另外對(duì)一些以IP地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用IP欺騙的方法獲得特權(quán)，從而給被攻擊者造成嚴(yán)重的損失。防范對(duì)策：(1)拋棄基于地址的信任策略。(2)采用加密技術(shù)，在通信時(shí)要求加密傳輸和驗(yàn)證。(3)進(jìn)行包過(guò)濾。如果網(wǎng)絡(luò)是通過(guò)路由器接入Internet的，那么可以利用路由器來(lái)進(jìn)行包過(guò)濾。確認(rèn)只有內(nèi)部IAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)要慎重處理。路由器可以過(guò)濾掉所有來(lái)自于外部而希望與內(nèi)部建立連接的請(qǐng)求。

3.2.2ICMP漏洞

ICMP運(yùn)行于網(wǎng)絡(luò)層，它被用來(lái)傳送IP的控制信息，如網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。常用的Ping命令就是使用ICMP協(xié)議，Ping程序是通過(guò)發(fā)送一個(gè)ICMP Echo請(qǐng)求消息和接收一個(gè)響應(yīng)的ICMP回應(yīng)來(lái)測(cè)試主機(jī)的連通性。幾乎所有的基于TCP/IP的機(jī)器都會(huì)對(duì)ICMP Echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一個(gè)敵意主機(jī)同時(shí)運(yùn)行很多個(gè)Ping命令，向一個(gè)服務(wù)器發(fā)送超過(guò)其處理能力的ICMP Echo請(qǐng)求時(shí)，就可以淹沒(méi)該服務(wù)器使其拒絕其它服務(wù)。即向主機(jī)發(fā)起“Ping of Death”(死亡之Ping)攻擊。死亡之Ping是較為原始的拒絕服務(wù)攻擊手段。解決方法較成熟：(1)可給操作系統(tǒng)打上補(bǔ)丁(patch)。(2)在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。(3)利用防火墻來(lái)阻止Ping。但同時(shí)會(huì)阻擋一些合法應(yīng)用。可只阻止被分段的Ping。使得在大多數(shù)系統(tǒng)上只允許一般合法的64Byte的Ping通過(guò)，這樣就能擋住那些長(zhǎng)度大于MTU(Maximum TransmiSsIon Unit)的ICMP數(shù)據(jù)包，從而防止此類攻擊。

3.3傳輸層

TCP是基于連接的。為了在主機(jī)A和B之間傳遞TCP數(shù)據(jù)，必須通三次握手機(jī)制建立連接。其連接過(guò)程如下：A→B：A向B發(fā)SYN，初始序列號(hào)為ISNI；B→A：B向A發(fā)SYN，初始序列號(hào)為ISN2，同時(shí)對(duì)ISNI確認(rèn)；A→B：A向B發(fā)對(duì)ISN2的確認(rèn)。建立連接以后，主要采用滑動(dòng)窗口機(jī)制來(lái)驗(yàn)證對(duì)方發(fā)送的數(shù)據(jù)，如果對(duì)方發(fā)送的數(shù)據(jù)不在自己的接收窗口內(nèi)，則丟棄此數(shù)據(jù)，這種發(fā)送序號(hào)不在對(duì)方接收窗口的狀態(tài)稱為非同步狀態(tài)。由于TCP協(xié)議并不對(duì)數(shù)據(jù)包進(jìn)行加密和認(rèn)證，確認(rèn)數(shù)據(jù)包的主要根據(jù)就是判斷序列號(hào)是否正確。這樣一來(lái)，當(dāng)通信雙方進(jìn)入非同步狀態(tài)后，攻擊者可以偽造發(fā)送序號(hào)在有效接收窗口內(nèi)的報(bào)文，也可以截獲報(bào)文，篡改內(nèi)容后，再修改發(fā)送序號(hào)，而接收方會(huì)認(rèn)為數(shù)據(jù)是有效數(shù)據(jù)，即進(jìn)行TCP會(huì)話劫持。目前存在一些軟件可以進(jìn)行TCP會(huì)話劫持，如Hunt等。防范對(duì)策：(1)在傳輸層對(duì)數(shù)據(jù)進(jìn)行加密。(2)使用安全協(xié)議，對(duì)通信和會(huì)話加密，如使用SSI代替telnet和ftp。(3)運(yùn)用某些入侵檢測(cè)軟件(IDS)或者審計(jì)工具，來(lái)查看和分析自己的系統(tǒng)是否受到了攻擊。

3.4應(yīng)用層

在應(yīng)用層常見(jiàn)的攻擊手段是DNS欺騙。攻擊者偽造機(jī)器名稱和網(wǎng)絡(luò)的信息，當(dāng)主機(jī)需要將一個(gè)域名轉(zhuǎn)化為IP地址時(shí)，它會(huì)向某DNS服務(wù)器發(fā)送一個(gè)查詢請(qǐng)求。同樣，在將IP地址轉(zhuǎn)化為域名時(shí)，可發(fā)送一個(gè)反查詢請(qǐng)求。如果服務(wù)器在進(jìn)行DNS查詢時(shí)人為地給出攻擊者自己的應(yīng)答信息，就產(chǎn)生了DNS欺騙。由于網(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器，一個(gè)被破壞的DNS服務(wù)器就可以將客戶引導(dǎo)到非法的服務(wù)器，從而就可以使某個(gè)地址產(chǎn)生欺騙。防范對(duì)策：(1)直接用IP訪問(wèn)重要的服務(wù)，從而避開(kāi)DNS欺騙攻擊。(2)加密所有對(duì)外的數(shù)據(jù)流。在服務(wù)器端，盡量使用SSH等有加密支持的協(xié)議；在客戶端，應(yīng)用PGP等軟件加密發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。

4結(jié)束語(yǔ)

網(wǎng)絡(luò)安全是一個(gè)永恒的主題。通過(guò)對(duì)TCP／IP各層協(xié)議的分析，不難發(fā)現(xiàn)其在設(shè)計(jì)上存在很多漏洞，黑客或黑客工具往往利用這些漏洞對(duì)網(wǎng)絡(luò)進(jìn)行破壞。相信隨著網(wǎng)絡(luò)的發(fā)展和安全技術(shù)應(yīng)用的深入，TCP／IP將不斷地改進(jìn)和完善。一個(gè)穩(wěn)定的、安全的網(wǎng)絡(luò)世界必將到來(lái)。