◆張帥亮 張向磊 馬鵬博

(河南科技學(xué)院 河南 453003)

校園網(wǎng)絡(luò)安全

基于TCP/IP協(xié)議的網(wǎng)絡(luò)安全問題分析

◆張帥亮 張向磊 馬鵬博

(河南科技學(xué)院 河南 453003)

在科學(xué)和技術(shù)的進(jìn)步，社會(huì)經(jīng)濟(jì)的不斷發(fā)展，人民生活水平的提高，互聯(lián)網(wǎng)已經(jīng)深入人們的日常生活，電子信息技術(shù)的重要技術(shù)支持人們生活正常運(yùn)行，目前已進(jìn)入大數(shù)據(jù)的時(shí)代網(wǎng)絡(luò)信息?；ヂ?lián)網(wǎng)使人們生活方便但也有一定的信息安全風(fēng)險(xiǎn)，如侵犯人們的隱私的行為越來越多。為了保護(hù)人民基本權(quán)利，要構(gòu)建一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。本文基于TCP / IP協(xié)議的網(wǎng)絡(luò)安全問題進(jìn)行了討論和分析。

TCP/IP協(xié)議；網(wǎng)絡(luò)安全；分析

0 TCP/IP協(xié)議概述

TCP/IP協(xié)議是指一個(gè)允許不同軟硬件結(jié)構(gòu)計(jì)算機(jī)進(jìn)行通信的協(xié)議族，是能將各個(gè)不同結(jié)構(gòu)計(jì)算機(jī)連接起來的主要技術(shù)平臺(tái)，也是實(shí)現(xiàn)計(jì)算機(jī)資源共享的技術(shù)支持。其中我們常說的Internet互聯(lián)網(wǎng)就是建立在協(xié)議之上的計(jì)算機(jī)信息技術(shù)。TCP/IP協(xié)議主要有包括四個(gè)層次，第一層是應(yīng)用層，是實(shí)現(xiàn)使用者去訪問、去具體使用的平臺(tái)，比如說常用的后綴 www.網(wǎng)址等；第二層是傳輸層，是將用戶使用平臺(tái)與計(jì)算機(jī)信息網(wǎng)內(nèi)部數(shù)據(jù)結(jié)合的通道，實(shí)現(xiàn)數(shù)據(jù)的傳輸與共享，有TCP、FTP等；第三層就是網(wǎng)絡(luò)層，是負(fù)責(zé)網(wǎng)絡(luò)中的數(shù)據(jù)包傳送，并提供鏈接導(dǎo)向以及相關(guān)的數(shù)據(jù)報(bào)服務(wù)等；最后一層是網(wǎng)絡(luò)訪問層，是網(wǎng)絡(luò)的接口層，也稱數(shù)據(jù)鏈路層，能處理不同通信媒介的相關(guān)信息細(xì)節(jié)問題，比如說常見的以太網(wǎng)、ARP等。基于TCP/IP協(xié)議上互聯(lián)網(wǎng)的信息傳輸范圍變得更廣泛，且傳輸?shù)膬?nèi)容來源更多，對傳輸對象以及輸送對象的信息安全要求降低，且多個(gè)端口使得數(shù)據(jù)信息被處理的步驟較多，不能對其保密性起到保障作用，TCP是使用一種介乎集中與動(dòng)態(tài)分配之間的端口分配，端口也被分為保密與自由端口，這在一定程度上又大大增加了網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。下面就幾個(gè)網(wǎng)絡(luò)安全的主要問題進(jìn)行分析。

1 基于TCP / IP協(xié)議分析的網(wǎng)絡(luò)安全問題

1.1 應(yīng)用程序?qū)拥腡CP / IP協(xié)議

首先在應(yīng)用程序?qū)拥腡CP / IP協(xié)議，可能產(chǎn)生的網(wǎng)絡(luò)安全問題PTP的網(wǎng)絡(luò)接口接收到原本不屬于主機(jī)的數(shù)據(jù)，通常使用在應(yīng)用程序?qū)拥脑O(shè)計(jì)是一個(gè)共享的端口，由于特定類型的端口設(shè)計(jì)成本費(fèi)用較高，因此在接收數(shù)據(jù)共享平臺(tái)很容易得到不屬于應(yīng)用平臺(tái)的相關(guān)收據(jù)，因此引入一些木馬病毒，導(dǎo)致里面的數(shù)據(jù)，網(wǎng)絡(luò)安全問題。為此，我們可以在應(yīng)用平臺(tái)設(shè)置特殊的加密文件，可以設(shè)置一個(gè)密碼特殊信息內(nèi)容可以允許接受和運(yùn)輸，在完全接受所有信息的情況下，減少信息被惡意攻擊的風(fēng)險(xiǎn)。此外，網(wǎng)絡(luò)分割處理，應(yīng)用平臺(tái)上設(shè)置更多的新聞發(fā)現(xiàn)信息渠道，一層一層過濾不符合安全信息，并沒有一個(gè)可靠的信息來源，從而減少網(wǎng)絡(luò)信息安全問題。

1.2 傳輸層TCP / IP協(xié)議

其次在傳輸層TCP / IP協(xié)議也有網(wǎng)絡(luò)安全問題的風(fēng)險(xiǎn)，例如在ICMP傳輸通道，ICMP是IP層的一部分，是在軟件和機(jī)器之間的傳輸和控制信息無連接協(xié)議。任何端口的計(jì)算機(jī) IP軟件發(fā)送一個(gè)PING ICMP文件，文件傳輸，申請是否可以允許ICMP將源主機(jī)對應(yīng)的響應(yīng)，這個(gè)命令可以檢測是否合法的消息。基本上所有應(yīng)用程序數(shù)據(jù)的傳輸層同意，軟件編程的主要原因不能智能識(shí)別惡意信息，在TCP / IP網(wǎng)絡(luò)和以太網(wǎng)，常見防火墻和網(wǎng)絡(luò)安全防護(hù)系統(tǒng)通常是自動(dòng)默認(rèn)端，而忽視可能存在安全風(fēng)險(xiǎn)。

1.3 TCP / IP協(xié)議在網(wǎng)絡(luò)層

然后在TCP / IP協(xié)議在網(wǎng)絡(luò)層也有網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)問題，主要表現(xiàn)為IP欺騙，因?yàn)門CP / IP協(xié)議的信任機(jī)制非常簡單和方便，所以很多的 IP欺騙利用這一特點(diǎn)，利用虛假信息來假裝重要的數(shù)據(jù)信息。許多身份只有所有者的IP地址，這里篡改的IP地址可以攻擊主機(jī)數(shù)據(jù)管理中心。我們可以設(shè)置更多的 IP地址來識(shí)別不同的檢查點(diǎn)，在確定正確后可以給 IP流量，除了加強(qiáng)網(wǎng)絡(luò)防火墻的防護(hù)功能，網(wǎng)絡(luò)信息安全。

1.4 ARP欺騙的TCP / IP網(wǎng)絡(luò)層

最后，在TCP / IP協(xié)議和ARP欺騙的網(wǎng)絡(luò)層的網(wǎng)絡(luò)安全問題。主機(jī) IP數(shù)據(jù)包的過程中會(huì)有一個(gè)或多個(gè)主機(jī)使用網(wǎng)絡(luò)級別的第一層，和 ARP源主機(jī)第一個(gè)查詢工具，在沒有找到對應(yīng)的物理地址的 IP地址將發(fā)送主機(jī)包含物理地址與 IP地址的主機(jī)的信息。與此同時(shí)，源主機(jī)到目的主機(jī)將包含它自己的IP地址和ARP檢測應(yīng)答。如果在 ARP識(shí)別鏈接錯(cuò)誤，直接應(yīng)用到目標(biāo)主機(jī)的可疑信息，如攜帶病毒，如果惡意攻擊使用 ARP欺騙會(huì)導(dǎo)致網(wǎng)絡(luò)信息安全漏洞。為此，應(yīng)加強(qiáng)其保護(hù)功能的 ARP識(shí)別鏈接，建立更多的識(shí)別水平，不僅按照名稱作為主要依據(jù)識(shí)別IP，也指IP的相關(guān)屬性，等等。

2 TCP/IP協(xié)議安全問題的防范

對于SYN Flood攻擊，目前還沒有完全有效的方法，但可以從以下幾個(gè)方面加以防范：

（1）對系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對超時(shí)的SYN請求連接數(shù)據(jù)包的復(fù)位，同時(shí)通過縮短超時(shí)常數(shù)和加長等候隊(duì)列使得系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。

（2）建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個(gè)數(shù)。

（3）建議在路由器的前端TCP攔截，使得只有完成TCP三次過程的數(shù)據(jù)包才可以進(jìn)入該網(wǎng)段，這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。

3 TCP/IP各層的安全性和提高各層安全性

網(wǎng)絡(luò)層的安全性；傳輸層的安全性；應(yīng)用層的安全性。

一般來說，在應(yīng)用層提供安全服務(wù)有幾種可能的做法，一個(gè)是對每個(gè)應(yīng)用（及應(yīng)用協(xié)議）分別進(jìn)行修改。一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了。在RFC1421至1424中，IETF規(guī)定了私用強(qiáng)化郵件（PEM）來為基于SMTP的電子郵件系統(tǒng)提供安全服務(wù)。Internet業(yè)界采納PEM的步子太慢的原因是PEM依賴于一個(gè)既存的、完全可操作的PKI（公鑰基礎(chǔ)結(jié)構(gòu)）。建立一個(gè)符合PEM規(guī)范的 PKI需要多方在一個(gè)共同點(diǎn)上達(dá)成信任。作為一個(gè)中間步驟，Phil Zimmermann開發(fā)了一個(gè)軟件包，叫做PGP（Pretty GoodPrivacy）。PGP符合PEM的絕大多數(shù)規(guī)范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，暨由每個(gè)用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個(gè)全局的PKI，而是讓用戶自己建立自己的信任之網(wǎng)。

4 總結(jié)

最重要的是，在一些基于TCP / IP協(xié)議的網(wǎng)絡(luò)安全問題的分析和討論，我們了解到應(yīng)用程序?qū)?、傳輸層、網(wǎng)絡(luò)層、傳輸層可能有幾個(gè)方面，如網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)的主要原因是由于信任機(jī)制的協(xié)議設(shè)計(jì)相對簡單，審定的信息來源不到位，使大量的惡意內(nèi)容利用漏洞，導(dǎo)致很多軟件欺騙。在解決這些問題，因此，我們需要在網(wǎng)絡(luò)信息傳輸通道和信息識(shí)別單元和數(shù)據(jù)存儲(chǔ)信息鏈接中增加安全保護(hù)，增強(qiáng)警惕詐騙信息的意識(shí)，建立更多的保護(hù)環(huán)節(jié)，避免之間信息傳輸?shù)目稍L問性。在未來，我們將繼續(xù)進(jìn)一步探索相關(guān)結(jié)構(gòu)的網(wǎng)絡(luò)信息安全保護(hù)功能，提出更科學(xué)、有效的措施，加強(qiáng)我國網(wǎng)絡(luò)信息安全，促進(jìn)我國網(wǎng)絡(luò)信息產(chǎn)業(yè)的發(fā)展。

[1]基于 ARP數(shù)據(jù)包調(diào)度系統(tǒng)連接狀態(tài)檢測[J]．電力系統(tǒng)自動(dòng)化，2006．

[2]基于技術(shù)PVLAN針對ARP欺騙技術(shù)研究[J]．計(jì)算機(jī)知識(shí)和技術(shù)(學(xué)術(shù))，2007．

[3]校園網(wǎng)的 ARP欺騙攻擊和保護(hù)[J]．福建計(jì)算機(jī)學(xué)報(bào)，2007．

[4]TCP/IP協(xié)議及其工作原理[J]．廣西民族學(xué)院學(xué)報(bào)(自然科學(xué)版)，2000．

[5]在防火墻的應(yīng)用研究[J]．電子科技大學(xué)學(xué)報(bào)，1999．