TCP-IP论文合肥学院19

计算机科学与技术系课程论文专业名称网络工程课程名称TCP/IP协议分析班级学号姓名TCP\IP协议安全性研究一、摘要随着计算机网络技术的发展，信息安全问题越来越受到国家的关注，网络安全已经成为计算机网络通信领域的重点。这篇论文的从目前使用的TCP/IP协议入手来研究问题，从TCP/IP协议的安全性进行较为全面的解析，从TCP/IP的总体概括、现在存在安全隐患、以及各个层次之间安全问题进行了比较深入的讨论。二、小论文背景Internet/Intranet是基于TCP/IP协议簇的计算机网络。尽管TCP/IP技术获得了巨大的成功,但也越来越暴露出它在安全上的不足之处,这是由于TCP/IP协议簇在设计初期基本没有考虑到安全性问题而只是用于科学研究。但随着应用的普及,它不仅用于一些要求安全性很高的军事领域,也应用于商业领域,因而对其安全性的要求也越来越高。三、TCP/IP的组成机构TCP/IP协议不是TCP和IP这两个协议的合称，而是指因特网整个TCP/IP协议族。从协议分层模型方面来讲，TCP/IP由四个层次组成：网络接口层、网络层、传输层、应用层。TCP/IP协议并不完全符合OSI的七层参考模型，OSI（OpenSystemInterconnect）是传统的开放式系统互连参考模型，是一种通信协议的7层抽象的参考模型，其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是：物理层、数据链路层（网络接口层）、网络层（网络层）、传输层（传输层）、会话层、表示层和应用层（应用层）。而TCP/IP通讯协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。由于ARPANET的设计者注重的是网络互联，允许通信子网（网络接口层）采用已有的或是将来有的各种协议，所以这个层次中没有提供专门的协议。实际上，TCP/IP协议可以通过网络接口层连接到任何网络上，例如X.25交换网或IEEE802局域网。四、TCP/IP的工作原理网络接口层物理层是定义物理介质的各种特性：1、机械特性；2、电子特性；3、功能特性；4、规程特性。数据链路层是负责接收IP数据包并通过网络发送，或者从网络上接收物理帧，抽出IP数据包，交给IP层。常见的接口层协议有：Ethernet802.3、TokenRing802.5、X.25、Framerelay、HDLC、PPPATM等。网络层负责相邻计算机之间的通信。其功能包括三方面。1．.处理来自传输层的分组发送请求，收到请求后，将分组装入IP数据报，填充报头，选择去往信宿机的路径，然后将数据报发往适当的网络接口。2．处理输入数据报：首先检查其合法性，然后进行寻径--假如该数据报已到达信宿机，则去掉报头，将剩下部分交给适当的传输协议；假如该数据报尚未到达信宿，则转发该数据报。3．处理路径、流控、拥塞等问题。网络层包括：IP(InternetProtocol）协议、ICMP(InternetControlMessageProtocol)、控制报文协议、ARP(AddressResolutionProtocol）地址转换协议、RARP(ReverseARP)反向地址转换协议。IP是网络层的核心，通过路由选择将下一条IP封装后交给接口层。IP数据报是无连接服务。ICMP是网络层的补充，可以回送报文。用来检测网络是否通畅。Ping命令就是发送ICMP的echo包，通过回送的echorelay进行网络测试。ARP是正向地址解析协议，通过已知的IP，寻找对应主机的MAC地址。RARP是反向地址解析协议，通过MAC地址确定IP地址。比如无盘工作站还有DHCP服务。传输层提供应用程序间的通信。其功能包括：一、格式化信息流；二、提供可靠传输。为实现后者，传输层协议规定接收端必须发回确认，并且假如分组丢失，必须重新发送，即耳熟能详的“三次握手”过程，从而提供可靠的数据传输。传输层协议主要是：传输控制协议TCP(TransmissionControlProtocol）和用户数据报协议UDP(UserDatagramprotocol）。应用层向用户提供一组常用的应用程序，比如电子邮件、文件传输访问、远程登录等。远程登录TELNET使用TELNET协议提供在网络其它主机上注册的接口。TELNET会话提供了基于字符的虚拟终端。文件传输访问FTP使用FTP协议来提供网络内机器间的文件拷贝功能。应用层协议主要包括如下几个：FTP、TELNET、DNS、SMTP、NFS、HTTP。FTP(FileTransferProtocol）是文件传输协议，一般上传下载用FTP服务，数据端口是20H，控制端口是21H。Telnet服务是用户远程登录服务，使用23H端口，使用明码传送，保密性差、简单方便。DNS(DomainNameService）是域名解析服务，提供域名到IP地址之间的转换，使用端口53。SMTP(SimpleMailTransferProtocol）是简单邮件传输协议，用来控制信件的发送、中转，使用端口25。NFS（NetworkFileSystem）是网络文件系统，用于网络中不同主机间的文件共享。HTTP(HypertextTransferProtocol）是超文本传输协议，用于实现互联网中的服务，使用端口80。五、TCP/IP存在的安全漏洞链路层存在的安全漏洞在以太网中,信道是共享的,数据在网络上是以很小的称为“帧”的单位传输的。如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路,这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。也就是说任何主机发送的每一个以太帧都会到达别的与该主机处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/CD协议,正常状态下网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP层软件。当数据帧不属于自己时,就把它忽略掉。如果稍做设置或修改,使主机工作在监听模式下的话就可以使以太网卡接受不属于它的数据帧。或者采用虚拟设备开发技术,动态加载虚拟网络设备(VxD或WDM)驱动模块,驻留内存,实施侦听使网卡捕获任何经过它的数据。从而达到非法窃取他人信息(如密码、口令等)的目的。解决该漏洞的对策是:改用交换式网络拓扑结构,在交换式以太网中,数据只会被发往目的地址的网卡,其它网卡接收不到数据包。但交换机的成本比较高。或者采用加密传输数据,使对方无法正确还原窃取的数据。同时可以安装检测软件,查看是否有Sniffer在网络中运行,做到防范于未然。ICMP漏洞ICMP(Internet控制信息协议)运行于网络层,它用来传送一些关于网络和主机的控制信息,如目标主机是不可到达的、路由的重定向等。常用的Ping命令就是使用ICMP协议。几乎所有的基于TCP/IP的机器都会对ICMPEcho请求进行响应。所以如果一个敌意主机同时运行很多个Ping命令向一个服务器发送超过其处理能力的ICMPEcho请求时,就可以淹没该服务器使其拒绝其它服务。另外,Ping命令可以在得到允许的网络中建立秘密通道从而可以再被攻击系统中开后门进行方便的攻击,如收集目标上的信息并进行秘密通信等。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟,现在所有标准TCP/IP都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击。此外,对防火墙进行配置,阻断ICMPEcho响应,都能防止此类攻击。六、TCP/IP安全性的应用场合ARP欺骗ARP(地址解析协议)用来将IP地址映射成相应的主机MAC地址,运行于网络层。ARP协议在对IP地址进行解析时,利用ARP缓存(也叫ARP表)来进行。ARP缓存的每一条目保存有IP地址到物理地址的映射。如果在ARP表中没有这样的对应条目,协议会广播ARP请求,获得对应那个IP地址的物理地址,并把该对应关系加入到ARP表中。ARP表中的每一个条目都有一个记时器,如果记时器过期,该条目就无效,因而从缓存中删除。显然,如果攻击者暂时使用不工作的主机的IP地址,就可伪造IP2物理地址对应关系对。把自己伪装成与那个暂时不使用的主机一样。克服此问题的方法是:让硬件地址常驻内存,并可以用ARP命令手工加入(特权用户才可以那样做);也可以通过RARP服务器来检查客户的ARP欺骗。因为RARP服务器保留着网络中硬件地址和IP的相关信息。路由欺骗路由协议(RIP)用来在局域网中发布动态路由信息,但是各节点对接收到的信息是不检查它的真实性的(TCP/IP协议没有提供这个功能),因此攻击者可以在网上发布假的路由信息,利用ICMP的重定向信息欺骗路由器或主机,伪造路由表,错误引导非本地的数据报。另外,各个路由器都会定期向其相邻的路由器广播路由信息,如果使用RIP特权的主机的520端口广播非法路由信息,也可以达到路由欺骗的目的。解决这些问题的办法是:通过设置主机忽略重定向信息可以防止路由欺骗;禁止路由器被动使用RIP和限制被动使用RIP的范围。七、个人小结通过对TCP/IP协议的分析,我们不难发现其在设计和实现上存在的种种缺陷,这是由于TCP/IP协议在设计初期只是用于科学研究,而未考虑到当今会如此广泛地被应用。黑客或黑客工具往往利用这些漏洞,对网络进行破坏。了解这些漏洞并熟悉相应的对策,做到知己知彼,我们才能构建一个安全稳固的网络。通过本次的论文研究，我了解到，虽然计算机网络方面发展得如此之快，但其中体现出的问题也是越来越多，安全性就是其中比较重要的问题之一，只有保证了其安全，才能保证其他。我也更加清晰的认识到了TCP/IP的层次结构和协议的功能，更加深刻的了解到很多协议中还存在着很多安全问题，虽然TCP/IP应用非常广泛，但是黑客的技术也不断强大，不断的攻击着协议的漏洞，同时促进着各种各样安全技术的研究出台。随着现在科技的不断发展，网络安全已经关系到国家安全，所以网络安全更应该受到重视。这学期我们只是学习了TCP/IP的基础理论，在接下来的学习中我们希望学到网络安全方面的知识，小到可以防范自己的电脑，大到一个学校，甚至更大的网络可能会得到防范。在最后希望大家能够道德上网，抵制黑客，尽力维护网络的安全。八、参考文献[1]余伟建,严忠军,卢科霞,等.防守反击黑客攻击手段分析与防范[M].北京:人民邮电出版社,20011[2][美]拉斯・克兰德.挑战黑客———网络安全的最终解决方案[M].北京:电子工业出版社,20001[3]楚狂.网络安全与防火墙技术[M].北京:人民邮电出版社,20001