协议安全漏洞

湖北广播电视大学TCP/IP协议安全漏洞摘要随着计算机网络技术的发展，信息安全问题越来越受到国家的关注，网络安全已经成为计算机网络通信领域的重点。这篇论文的从目前使用的TCP/IP协议入手来研究问题，从TCP/IP协议的安全性进行较为全面的解析，从TCP/IP的总体概括、现在存在安全隐患、以及各个层次之间安全问题进行了比较深入的讨论。然后用现在最为流行的Snifer工具从实验的角度上来分析数据包的安全情况，最后从SYN的攻击代码来分析TCP/IP协议，并且实现了几种防御SYN的方法。本文在介绍因特网中使用的TCP/IP协议的基础上，对TCP/IP协议的安全性进行了较为全面的讨论，从理论上分析了协议中几种主要的安全隐患。由于TCP/IP协议一开始的实现主要目的是用于科学研究的，所以很少考虑安全性方面的东西。但随着其应用的普及，它已经成为了Internet网络通信协议的标准。希望本论文能对未来的信息社会中网络安全环境的形成有所帮助。关键词:TCP/IP协议，安全协议，服务，协议层，协议家人拒绝ABSTRACTAbstract:Withthedevelopmentofcomputernetworktechnology,thegovernmentconcernsmoreandmorethemessagesafety,Now,networksecurityhasbecomeakeyareaofcomputernetworkcommunications.ThepaperstartwiththecurrentlyusedTCP/IPprotocoltostudytheproblem.FromthesecurityOnTCP/IPprotocolwegivemorecomprehensiveanalysis,Nowfromtheexistsecurityrisks,andsecurityissuesbetweenthevariouslevelswegivemorein-depthdiscussion.ThenusingthemostpopulartoolofSnifertocomeupsafecircumstancethatanalyticaldatawrapfromtheexperienceangle,andatlastweanalyzefromtheSYNattackingcodetoTCP/IPprotocol,andachieveseveraldefensestheSYNattacking.ThispaperdescribestheuseoftheInternet'sTCP/IPprotocolonthebasisofTCP/IPprotocolsecurityforamorecomprehensivediscussionoftheagreementfromthetheoreticalanalysisofseveralmajorsecurityrisk.AsTCP/IPprotocolbeganwiththemainpurposeisforscientificresearchtoachieve,solittleregardforthesafetyofthings.Butwiththepopularityofitsapplication,ithasbecomethestandardInternetnetworkcommunicationprotocol.Hopethatthispaperwillinthefutureinformationsociety,networksecurityenvironment,helptheformationofKeywords:TCP/IP;SecurityProtocol;DenialofService，Protocollayer,protocolfamily前言随着网络互联网的飞速发展，计算机网络安全性越来越重要。从定义上讲，计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。随着信息社会的到来,计算机网络发展不断地深入到生活的各个领域。出现了许多网络服务的新型业务。比如：电子商务、数字货币、网络银行电子证券、网络书店、网上拍卖、网络防伪等。随着这些业务的发展，网络安全问题显得越来越重要，成为关键所在。因此网络安全研究成为计算机通讯领域和发展的重要方向。现在由于自身的缺陷,网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。当前，TCP/IP作为一个事实上的工业标准，在其制订之初，没有考虑安全因素，因此他本身无安全可言。TCP/IP作为Internet使用的标准协议集，是黑客实施网络攻击的重点目标和对象。TCP/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下，首先考虑网络互连缺乏对安全方面的考虑。其次，TCP/IP是建立在3次握手协议基础之上，本身就存在一定不安全的因素，握手协议的过程当中有一定局限性。这种基于地址的协议本身就会泄露口令，而且经常会运行一些无关的程序，这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。这就给黑客们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。网络的开放性，TCP/IP协议完全公开，远程访问使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等等性质使网络更加不安全。协议中存在许多的安全问题，随着应用的深入，逐渐受到人们的关注。因此，人们开始研究各种各样的安全技术来弥补它的缺陷，堵住安全漏洞，增加网络安全。目前正在制定安全协议,在互连的基础上考虑了安全的因素，希望能对未来的信息社会中对安全网络环境的形成有所帮助。网络安全关系到国家安全。网络安全的理论及其应用技术的研究，不仅受到学术界以及工业界的关注，同时也受到各国政府的高度重视。为了自己国家的利益，美国等西方发达国家将网络安全技术及产品视为如同核武器一样的秘密技术，立法限制其向中国出口。为保障中国网络基础设施的安全，国家安全部、公安部等明确要求使用国产的网络安全产品来确保我国网络的安全。然而，由于种种原因，目前中国有关网络安全技术及其产品的研发与美国等西方发达国家相比尚有一定的距离。正因为如此，应加倍努力，迎头赶上。在这种背景下，应该更加的重视网络安全方面。国家信息安全的总体框架已经搭就。已制定报批和发布了有关信息技术安全的一系列的国家标准、国家军用标准。国家信息安全基础设施正在逐步建成包括国际出入口监控中心、安全产品评测认证中心、病毒检测和防治中心、关键网络系统灾难恢复中心、系统攻击和反攻击中心、电子保密标签监管中心、网络安全紧急处置中心、电子交易证书授权中心、密钥恢复监管中心、公钥基础设施与监管中心、信息战防御研究中心等。第一章TCP/IP协议概述1.1TCP/IP协议定义协议是互相通信的计算机双方必须共同遵从的一组约定。TCP/IP（传输控制协议/网际协议）就是这样的约定，它规定了计算机之间互相通信的方法。TCP/IP是为了使接入因特网的异种网络、不同设备之间能够进行正常的数据通讯，而预先制定的一簇大家共同遵守的格式和约定。该协议是美国国防部高级研究计划署为简历ARPANET开发的，在这个协议集中，两个最知名的协议就是传输控制协议（TCP,TransferContorlProtocol）和网际协议（IP，InternetProtocol），故而整个协议集被称为TCP/IP。之所以说TCP/IP是一个协议簇，是因为TCP/IP包括了TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP等许多协议，对因特网中主机的寻址方式、主机的命名机制、信息的传输规则，以及各种各样的服务功能均做了详细约定，这些约定一起称为TCP/IP。TCP/IP协议和开放系统互连参考模型一样，是一个分层结构。协议的分层使得各层的任务和目的十分明确，这样有利于软件编写和通信控制。TCP/IP协议分为4层，由下至上分别是网路接口层、网际层、传输层和应用层，如图所示1.2TCP/IP协议的总体概况目前在Internet上使用的是TCP/IP协议。TCP/IP协议叫做传输控制/网际协议，它是Internet国际互联网络的基础。TCP/IP是网络中使用的基本的通信协议。其中IP(InternetProtocol)全名为网际互连协议，它是为计算机网络相互连接进行通信而设计的协议。TCP(TransferControlProtocol)是传输控制协议。TCP/IP协议是能够使连接到网上的所有计算机网络实现相互通信的一套规则，正是因为有了TCP/IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。从表面名字上看TCP/IP包括两个协议，传输控制协议(TCP)和互联网际协议(IP)，其实TCP/IP实际上是1组协议的集合，它包括了上百个各种功能的协议。如：远程登录、文件传输和电子邮件等等，而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。IP协议之所以能使各种网络互联起来是由于它把各种不同的“帧”统一转换成“IP数据报”格式，这种转换是因特网的一个最重要的特点。所以IP协议使各种计算机网络都能在因特网上实现互通,即具有“开放性”的特点。TCP/IP协议的基本传输单位是数据包(datagram)。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头，包头上有相应的编号，以保证在数据接收端能将数据还原为原来的格式，IP协议在每个包头上还要加上接收端主机地址，这样数据通过路由器中的MAC地址来确定数据的流向，如果传输过程中出现数据丢失，数据失真等情况，TCP协议会自动要求数据重新传输，并重新组。.总之，IP协议保证数据的传输，而TCP协议保证数据传输的质量。TCP/IP协议数据的传输基于TCP/IP协议的4层结构：应用层、传输层、网络层、接口层。第二章各协议层存在的安全漏洞2.1链路层存在的安全漏洞我们知道，在以太网中，信道是共享的，任何主机发送的每一个以太网帧都会到达别的与该主机处于同一网段的所有主机的以太网接口，一般地，CSMA/CD协议使以太网接口在检测到数据帧不属于自己时，就把它忽略，不会把它发送到上层协议（如ARP、RARP层或IP层）。如果我们对其稍做设置或修改，就可以使一个以太网接口接收不属于它的数据帧。例如有的实现可以使用杂错接点，即能接收所有数据帧的机器节点。解决该漏洞的对策是：网络分段、利用交换器，动态集线器和桥等设备对数据流进行限制、加密（采用一次性口令技术）和禁用杂错接点。2.2网络层漏洞几乎所有的基于TCP/IP的机器都会对ICMPecho请求进行响应。所以如果一个敌意主机同时运行很多个ping命令向一个服务器发送超过其处理能力的ICMPecho请求时，就可以淹没该服务器使其拒绝其他的服务。另外，ping命令可以在得到允许的网络中建立秘密通道从而可以在被攻击系统中开后门进行方便的攻击，如收集目标上的信息并进行秘密通信等。解决该漏洞的措施是拒绝网络上的所有ICMPecho响应。2.3IP漏洞IP包一旦从网络中发送出去，源IP地址就几乎不用，仅在中间路由器因某种原因丢弃它或到达目标端后，才被使用。这使得一个主机可以使用别的主机的IP地址发送IP包，只要它能把这类IP包放到网络上就可以。因而如果攻击者把自己的主机伪装成被目标主机信任的友好主机，即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址，利用主机间的信任关系（Unix网络软件的开发者发明的术语）和这种信任关系的实际认证中存在的脆弱性（只通过IP确认），就可以对信任主机进行攻击。注意，其中所说的信任关系是指一个被授权的主机可以对信任主机进行方便的访问。所有的r*命令都采用信任主机方案，所以一个攻击主机把自己的IP改为被信任主机的IP，就可以连接到信任主机并能利用r*命令