1、 TCP/IPTCP/IP 协议安全性分析协议安全性分析 摘要摘要:随着计算机网络的迅速发展,人们日常生活已经开始融进整个网络,信 息安全问题越来越受到人们的重视, 计算机网络安全也成为了人们广泛研究和讨 论的问题。TCP/IP 协议是目前使用最为广泛的网络互联协议,本文将在详细分 析 TCP/IP 协议原理的基础上,对 TCP/IP 协议组的安全性进行全面的剖析,并针 对安全漏洞提出防范手段和解决方案,为以后的网络安全研究提供参考和帮助。 关键词关键词:TCP/IP,协议,安全,网络 1,TCP/IP 协议概况协议概况 TCP/IP 是 TCP/IP 是 Transmission Contr
2、ol Protocol/Internet Protocol 的简写, 中译名为传输控协议/因特网互联协议, 又名网络通讯协议, 是 Internet 最基本的协议、Internet 国际互联网络的基础,由网络层的 IP 协议和传输层的 TCP 协议组成。TCP/IP 定义了电子设备如何连入因特网,以及数据如何在它们 之间传输的标准。TCP/IP 协议通常所指的是 TCP/IP 协议族,是一组不同协议组 合一起构成的协议族。协议采用了 4 层的层级结构,每一层都呼叫它的下一层所 提供的网络来完成自己的需求。(图 1-1 为 TCP/IP 协议族在不同层次的协议和基 本交互情形,图 1-2 为 T
3、CP/IP 协议族的四个层次) 应用层 Telnet,FTP 和 e-mail 等 运输层 TCP 和 IP 网络层 IP,ICMP 和 IGMP 链路层 设备驱动程序机其接口卡 图 1-1 TCP/IP 协议族的四个层次 图 1-2 TCP/IP 协议族在不同层次的协议和基本交互情形 1. 存在的安全隐患和解决方法存在的安全隐患和解决方法 针对 ICP/IP 协议族的四层结构,自底向下的分析协议的安全漏洞并提出相 应的解决方案。 2.1 链路层上的攻击和防范链路层上的攻击和防范 网络嗅探网络嗅探 网络接口层是T CP/ IP 网络中最复杂的一个层次, 常见的攻击是针对组成 TCP/ IP 网
4、络的以太网进行网络嗅探。所谓网络嗅探是利用网络上的接口接收不 属于本机的数据。 在以太网中, 所有的通讯都是广播的, 也就是说在同一个网段 的所有网络接口都可以访问在物理媒体上传输的所有数据, 而每一个网络接口 都有一个唯一的硬件地址, 这个硬件地址就是网卡的MAC 地址。 在网络上进行数 据通信时, 信息以数据报的形式传送, 其报头包含了目的主机的硬件地址, 只 有硬件地址匹配的机器才会接收该数据报。 然而网络上也存在一些能接收所有数 据报的机器( 或接口) , 称为杂错节点。一般情况下, 用户帐户和口令等信息都 是以明文的形式在网络上传输的, 所以一旦被黑客在杂错节点上嗅探到, 用户 就可
5、能遭到攻击, 从而遭受难以弥补的损失。 嗅探有分为下面几种: (1) 本机嗅探. 本机嗅探是指在某台计算机内,嗅探程序通过某种方式,获取发送给其他进 程的数据包的过程。例如,当邮件客户端在收发邮件时,嗅探程序可以窃听到所 有的交互过程和其中传递的数据 (2) 广播网嗅探 广播网,一般是基于集线器(HUB)的局域网络,其工作原理是基于总线方 式的,所有的数据包在该网络中都会被广播发送(即发送给所有端口) 。广播网 的数据传输是基于“共享”原理的,所有的同一本地网范围内的计算机共同接收 到相同的数据包。正是因为这样的原因,以太网卡都构造了硬件的“过滤器” , 这个过滤器将忽略掉一切和自己无关的网络
6、信息,事实上是忽略掉了与自身MAC 地址不符合的信息。换句话说,在广播网中,每一个网络数据包都被发送到所有 的端口,然后由各端口所连接的网卡来判断是否需要接收,所有目的地址与网卡 实际地址不符的数据包将被网卡驱动自动丢弃, 这确保了广播网中每台主机只接 受到以自己为目标的数据包。 广播网嗅探是在广播网(如HUB 环境) 中的网络嗅探行为。广播网嗅探利 用了广播网 “共享” 的通讯方式。 在广播网中所有的网卡都会收到所有的数据包, 然后再通过自身的过滤器过滤不需要的数据包,因此,只要将本机网卡设为混杂 模式,就可以使嗅探工具支持广播网或多播网的嗅探。广播嗅探的基本原理如图 2 所示。嗅探器将所处主机的网卡设为混杂模式,因此可以获得该广播网段的所 有数据 (3) 基于交换机的嗅探 交换机的工作原理与HUB 不同,它不再将数据包转发给所有的端口,而是通过 “分组交换”的方式进行单对单的数据传输。即交换机能记住每个端口的MAC 地 址,根据数据包的目的地址选择目的端口,所以只有对应该目的地址的网卡能接 收到数据。基于交换机的嗅探是指在交换环境中,通过某种方式进行的嗅探。由 于交换机基
