吳建軍

摘要本文通過對TCP/IP協(xié)議的基本體系結(jié)構(gòu)的研究，針對其特點(diǎn)分析存在的脆弱性。在這個(gè)基礎(chǔ)上提出TCP/IP協(xié)議自身存在的安全隱患及其應(yīng)用于互聯(lián)網(wǎng)的一些安全問題，從不同層次討論了各種潛在的攻擊方法和對應(yīng)的防范措施，并介紹了幾種基于TCP/IP網(wǎng)絡(luò)的基本安全策略。

關(guān)鍵詞：TCP/IP協(xié)議；網(wǎng)絡(luò)安全；層次

中圖分類號： TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1672-3791（2015）11（b）-0000-00

1、TCP/IP協(xié)議

Transmission Control Protocol/Internet Protocol是TCP/IP協(xié)議的全稱，不但這個(gè)協(xié)議是Internet最基本的，同時(shí)也在Internet國際互聯(lián)網(wǎng)絡(luò)中屬于非?；A(chǔ)的。傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議是它的中文名稱，也叫作網(wǎng)絡(luò)通訊協(xié)議。TCP/IP 協(xié)議對電子設(shè)備怎樣做到和因特網(wǎng)連接以及數(shù)據(jù)在它們之間進(jìn)行傳輸?shù)臉?biāo)準(zhǔn)做了規(guī)定。4層的分層結(jié)構(gòu)是協(xié)議所采用的，對于每一層來說，完成自身的請求都利用對下一層進(jìn)行呼叫并依據(jù)提供的協(xié)議來實(shí)現(xiàn)。

2、存在的安全隱患

2.1網(wǎng)絡(luò)接口層上的攻擊

網(wǎng)絡(luò)接口層在TCP/IP網(wǎng)絡(luò)中，屬于復(fù)雜程度最高的一個(gè)層次，一般來說，進(jìn)行網(wǎng)絡(luò)嗅探組成TCP/IP網(wǎng)絡(luò)的以太網(wǎng)是最為常見的攻擊方式。以太網(wǎng)應(yīng)用非常廣泛，并且共享信道得到了普遍使用，廣播機(jī)制在媒體訪問協(xié)議CSMA/CD中使用的較多，這也使得網(wǎng)絡(luò)嗅探的物理基礎(chǔ)得到構(gòu)建。以太網(wǎng)卡的工作方式包含兩種，首先是一般工作方式，而就另一種方式來說，顯得較為特殊屬于混雜方式。來自共享信道上的數(shù)據(jù)包能被主機(jī)說接收。網(wǎng)管工作的需要可能是網(wǎng)絡(luò)嗅探進(jìn)行的初衷，但是這種情況下極有可能導(dǎo)致因?yàn)楸还舴矫嬖驅(qū)е碌男畔G失，同時(shí)攻擊者能夠依據(jù)數(shù)據(jù)分析獲得諸多關(guān)鍵數(shù)據(jù)比如賬戶、密碼等。

2.2網(wǎng)絡(luò)層上的攻擊

2.2.1 ARP欺騙

一般來說是為了把目標(biāo)主機(jī)的IP地址關(guān)聯(lián)到攻擊者的MAC地址上，使得目標(biāo)主機(jī)的IP地址的流量定位到攻擊者處。局域網(wǎng)通信在數(shù)據(jù)鏈路層進(jìn)行傳輸?shù)臅r(shí)候數(shù)據(jù)鏈路層的MAC地址是網(wǎng)絡(luò)層的IP地址需要轉(zhuǎn)換的，假如一個(gè)主機(jī)的IP地址知道以后，獲取其MAC地址就需要通過一個(gè)廣播來實(shí)現(xiàn)主機(jī)響應(yīng)中有這個(gè)IP的MAC地址。ARP協(xié)議沒有狀態(tài)，無論是否收到請求，主機(jī)都會(huì)自動(dòng)緩存任何它們收到的ARP響應(yīng)。這樣的話新ARP響應(yīng)會(huì)覆蓋哪怕沒有過期的ARP緩存，并且主機(jī)對數(shù)據(jù)包的來歷無法認(rèn)定。而這個(gè)漏洞是ARP欺騙所采用的，與目標(biāo)主機(jī)通過MAC地址的偽造產(chǎn)生關(guān)聯(lián)，實(shí)現(xiàn)ARP欺騙。

2.2.2 ICMP欺騙

ICMP協(xié)議也就是Internet控制報(bào)文協(xié)議，它主要的功能就是在路由器和主機(jī)之間進(jìn)行控制信息的傳遞。控制信息就是主機(jī)能不能可達(dá)、網(wǎng)絡(luò)是不是暢通以及路由是不是可用等網(wǎng)絡(luò)自身方面的信息，如果差錯(cuò)出現(xiàn)，ICMP數(shù)據(jù)包會(huì)通過主機(jī)馬上進(jìn)行發(fā)送，對描述錯(cuò)誤的信息做到自動(dòng)返回?；贗CMP的服務(wù)最常用的就是Ping命令，ICMP協(xié)議在網(wǎng)絡(luò)安全中是非常重要的，因?yàn)樗陨硖攸c(diǎn)的原因使得它遭受入侵很容易，一般來說，目標(biāo)主機(jī)通過長期、大量ICMP數(shù)據(jù)包的發(fā)送，導(dǎo)致大量的CPU資源被目標(biāo)主機(jī)所占用，最終導(dǎo)致系統(tǒng)癱瘓。

2.3運(yùn)輸層上的攻擊

在網(wǎng)絡(luò)安全領(lǐng)域，隱藏自己的一種有效手段就是IP欺騙—偽造自身的IP地址向目標(biāo)主機(jī)發(fā)送惡意請求，造成目標(biāo)主機(jī)受到攻擊卻無法確認(rèn)攻擊源，或者取得目標(biāo)主機(jī)的信任以便獲取機(jī)密信息。進(jìn)行DOS攻擊經(jīng)常會(huì)利用IP欺騙的方式實(shí)現(xiàn)，因?yàn)閿?shù)據(jù)包的地址來源非常廣泛，過濾不能輕松地進(jìn)行，這使得基于IP的防御不再有效。IP欺騙也會(huì)用來跳過基于IP的認(rèn)證，雖然這種方法要一次更改數(shù)量眾多的數(shù)據(jù)包，使得實(shí)施攻擊遠(yuǎn)端系統(tǒng)非常困難，但在受信任的內(nèi)網(wǎng)主機(jī)之間卻很有效。此外，IP欺騙偶爾也用作網(wǎng)站性能測試。

2.4應(yīng)用層上的攻擊

域名系統(tǒng)的英文縮寫是DNS，這個(gè)系統(tǒng)用在組織到域?qū)哟谓Y(jié)構(gòu)中的各項(xiàng)網(wǎng)絡(luò)服務(wù)的命名。對于Internet來說，域名和IP地址都是一一對應(yīng)，它們之間工作進(jìn)行轉(zhuǎn)換叫做域名解析，而域名解析的服務(wù)器就是DNS。而對于DNS欺騙來說，它就是攻擊者一種對域名服務(wù)器進(jìn)行冒充的欺騙行為，它可以為目標(biāo)主機(jī)提供錯(cuò)誤DNS信息。例如用戶在瀏覽網(wǎng)頁時(shí)，攻擊者把原有的IP地址偷換成攻擊者的IP地址，這樣的話，用戶看到的就不是原有的頁面，而是攻擊者的頁面。DNS服務(wù)器能夠誤導(dǎo)客戶引導(dǎo)進(jìn)入非法服務(wù)器，也能夠?qū)Ψ?wù)器進(jìn)行誤導(dǎo)使他們相信詐騙IP。

3、基于TCP/IP網(wǎng)絡(luò)的安全策略

3.1防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，除了有訪問權(quán)限的資源可以通過，各種沒有權(quán)限的通信數(shù)據(jù)都會(huì)被拒絕。從層次上來說，防火墻的實(shí)現(xiàn)一般包含兩種：應(yīng)用層網(wǎng)關(guān)以及報(bào)文過濾。報(bào)文過濾在防火墻中占據(jù)非常核心的地位，它在網(wǎng)絡(luò)層實(shí)現(xiàn)以及過濾器方面發(fā)揮非常大的作用，在進(jìn)行設(shè)計(jì)的時(shí)候?qū)Ψ阑饓Φ脑L問要盡可能減少。在調(diào)用過濾器的時(shí)候?qū)⒈徽{(diào)度到內(nèi)核中實(shí)現(xiàn)執(zhí)行，服務(wù)停止的時(shí)候，將會(huì)從內(nèi)核中消除過濾規(guī)則，在內(nèi)核中一切分組過濾功能運(yùn)行在IP堆棧的深層中。此外，技術(shù)實(shí)現(xiàn)上還有代管服務(wù)器、隔離域名服務(wù)器、郵件技術(shù)等，都是在內(nèi)外網(wǎng)上建立一道屏障，對外使得內(nèi)部的信息得到屏蔽，同時(shí)對內(nèi)進(jìn)行代理服務(wù)的提供。

3.2入侵檢測系統(tǒng)

入侵檢測技術(shù)屬于動(dòng)態(tài)安全技術(shù)的范疇，通過研究入侵行為的特征及過程，使得安全系統(tǒng)做出實(shí)時(shí)響應(yīng)入侵過程能。另外這也屬于網(wǎng)絡(luò)安全研究的非常重要的內(nèi)容，入侵檢測技術(shù)可以實(shí)現(xiàn)邏輯補(bǔ)償防火墻技術(shù)，是在安全防護(hù)技術(shù)上屬于較為積極主動(dòng)的，它實(shí)時(shí)保護(hù)外部入侵、內(nèi)部入侵以及誤操作，它能夠使得網(wǎng)絡(luò)系統(tǒng)免遭破壞。入侵檢測技術(shù)的發(fā)展有三個(gè)方向：智能化入侵檢測、分布式入侵檢測以及全面的安全防御方案。

3.3訪問控制策略

每個(gè)系統(tǒng)都要訪問用戶是有訪問權(quán)限的，這樣才允許他們訪問，這種機(jī)制叫做訪問控制。訪問控制雖然不是直接抵御入侵行為，但在實(shí)際網(wǎng)絡(luò)應(yīng)用中迫切需要，也是網(wǎng)絡(luò)防護(hù)的一個(gè)重要方面。訪問控制包括兩個(gè)方面，一方面是對來自外部的訪問進(jìn)行合法性檢查，這類似于防火墻的功能；另一方面是對由內(nèi)到外的訪問做一些目標(biāo)站點(diǎn)檢查，對非法站點(diǎn)的訪問進(jìn)行封鎖。在服務(wù)器上必須對那些用戶可以守護(hù)進(jìn)程以及訪問服務(wù)進(jìn)行限制。

結(jié)束語

總之，雖然使協(xié)議中的存在的安全缺口免遭攻擊實(shí)現(xiàn)起來很困難，但是科技的發(fā)展以及安全技的不斷改進(jìn)，只有對我們的安全體系采用新技術(shù)進(jìn)行完善，TCP/IP協(xié)議才會(huì)有更安全的明天。才能給TCP/IP網(wǎng)絡(luò)信息服務(wù)安全帶來足夠的保障。

參考文獻(xiàn)

[1]謝希仁.《計(jì)算機(jī)網(wǎng)絡(luò)（第5版）》[M] ，電子工業(yè)出版社，2012.5.

[2]梁毅.《TCP/IP協(xié)議的漏洞和防御》[J]， 清華大學(xué)出版社，2014.3.

[3]龍東陽.《網(wǎng)絡(luò)安全技術(shù)及應(yīng)用》[M]， 華南理工大學(xué)出版社，2012.9 .

[4]張千里.《網(wǎng)絡(luò)安全新技術(shù)》[M]， 人民郵電出版社，2013.7.

[5]謝正均.《IP欺騙原理及其對策》 [M]，電信快報(bào)，2012.5.