TCPIP協(xié)議安全分析全解

1、精選優(yōu)質文檔-傾情為你奉上湖北經(jīng)濟學院管理技術學院畢業(yè)論文（設計）題 目： TCP/IP協(xié)議安全分析 系 部： 計算機科學系 專 業(yè)： 計算機應用技術 學 號： 學生姓名： 毛祥雄 指導教師： 胡長坤 職 稱： 講師 二 一一 年 十二 月 二十五 日專心-專注-專業(yè)摘 要 Internet是一個基于TCP/IP協(xié)議的網(wǎng)絡，通過TCP/IP協(xié)議實現(xiàn)了不同級別、不同廠商、不同操作系統(tǒng)的計算機通信。今天，TCP/IP協(xié)議已成為網(wǎng)絡世界中使用最廣泛、最具有生命力的通信協(xié)議，并且成為事實上的網(wǎng)絡互聯(lián)工業(yè)標準。由于TCP/IP協(xié)議一開始的實現(xiàn)主要目的是用于科學研究的，所以在安全性方面存在很大的欠缺。隨著

2、計算機網(wǎng)絡技術的發(fā)展，信息安全問題越來越受到國家的關注，網(wǎng)絡安全也已經(jīng)成為計算機網(wǎng)絡通信領域的重點研究范圍。本文在介紹現(xiàn)在因特網(wǎng)中使用的TCP/IP協(xié)議的基礎上，以TCP/IP協(xié)議簇各層次的安全性為入手點，進行較為全面的解析，從理論上對TCP/IP協(xié)議的安全性進行分析，并對現(xiàn)有TCP/IP協(xié)議簇安全改進措施進行一定的總結。 關鍵詞: TCP/IP協(xié)議，協(xié)議安全，計算機網(wǎng)絡目 錄一、TCP/IP協(xié)議概述1（一）TCP/IP協(xié)議定義和產(chǎn)生背景1（二）TCP/IP協(xié)議的總體概況3二、TCP/IP協(xié)議簇的安全隱患分析5（一）TCP協(xié)議和UDP協(xié)議的安全隱患5（二）IP協(xié)議和ICMP協(xié)議存在的安全隱患6

3、（三）路由協(xié)議的安全隱患6（五）應用層的安全隱患7三、TCP/IP 協(xié)議簇的改進與發(fā)展狀況8（一）IP協(xié)議的改進8（二）路由技術的改進8（三）DNS安全擴充9（四）密鑰管理協(xié)議9四、結 語10致 謝11參考文獻12一、TCP/IP協(xié)議概述（一）TCP/IP協(xié)議定義和產(chǎn)生背景 TCP/IP是Transmission Control Protocol/Internet Protocol的簡寫，中譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又名網(wǎng)絡通訊協(xié)議，是Internet最基本的協(xié)議、Internet國際互聯(lián)網(wǎng)絡的基礎，由網(wǎng)絡層的IP協(xié)議和傳輸層的TCP協(xié)議組成。TCP/IP 定義了電子設備如何連入因特

4、網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉藴?。協(xié)議采用了4層的層級結構，每一層都呼叫它的下一層所提供的網(wǎng)絡來完成自己的需求。通俗而言：TCP負責發(fā)現(xiàn)傳輸?shù)膯栴}，一有問題就發(fā)出信號，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給因特網(wǎng)的每一臺電腦規(guī)定一個地址。協(xié)議是互相通信的計算機雙方必須共同遵從的一組約定。TCP/IP就是這樣的約定，它規(guī)定了計算機之間互相通信的方法。TCP/IP是為了使接入因特網(wǎng)的異種網(wǎng)絡、不同設備之間能夠進行正常的數(shù)據(jù)通訊，而預先制定的一簇大家共同遵守的格式和約定。TCP/IP協(xié)議是美國國防部高級研究計劃署（ARPA）開發(fā)的，在這個協(xié)議集中，兩個最知名的協(xié)議就是傳輸控

5、制協(xié)議（ TCP, Transfer Contorl Protocol）和網(wǎng)際協(xié)議（ IP，Internet Protocol），故而整個協(xié)議集被稱為TCP/IP。之所以說TCP/IP是一個協(xié)議簇，是因為TCP/IP包括了TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP等許多協(xié)議，對因特網(wǎng)中主機的尋址方式、主機的命名機制、信息的傳輸規(guī)則，以及各種各樣的服務功能均做了詳細約定，這些約定一起稱為TCP/IP。上世紀60年代中期，美國國防部希望有一個命令和控制網(wǎng)絡能夠在核戰(zhàn)爭的條件下幸免于難，而傳統(tǒng)的電路交換的電話網(wǎng)絡則顯得太脆弱。國防部指定其下屬的高級研究計劃局解決這

6、個問題，此后誕生的一個新型網(wǎng)絡便稱為ARPANET。1983年，TCP/IP協(xié)議成為ARPANET上唯一的正式協(xié)議，ARPANET上連接的網(wǎng)絡、機器和用戶得到了快速的增長。當ARPANET與美國國家科學基金會（NSF）建成的NSFNET互聯(lián)以后，其上的用戶數(shù)以指數(shù)增長，并且開始與加拿大、歐洲和太平洋地區(qū)的網(wǎng)絡連接。到了80年代中期，人們開始把互聯(lián)的網(wǎng)絡稱為互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)在1994年進入商業(yè)化應用后得到了飛速的發(fā)展，1998年，因特網(wǎng)全球用戶人數(shù)已激增到1.47億。 70年代中期，ARPA為了實現(xiàn)異種網(wǎng)之間的互聯(lián)與互通，開始制定TCP/IP體系結構和協(xié)議規(guī)范。時至今日，TCP/IP協(xié)議也成為最流

7、行的網(wǎng)際互聯(lián)協(xié)議。它不是國際標準化組織制定的，卻已成為網(wǎng)際互聯(lián)事實上的標準，并由單純的TCP/IP協(xié)議發(fā)展成為一系列以IP為基礎的TCP/IP協(xié)議簇。TCPIP協(xié)議簇為互聯(lián)網(wǎng)提供了基本的通信機制。隨著互聯(lián)網(wǎng)的指數(shù)增長，其體系結構也由ARPANET基于集中控制模型的網(wǎng)絡體系結構演變?yōu)橛蒊SP運營的分散的基于自治系統(tǒng)（Autonomous systems,AS）模型的體系結構?；ヂ?lián)網(wǎng)目前幾乎覆蓋了全球的每一個角落，其飛速發(fā)展充分說明了TCP/IP協(xié)議取得了巨大的成功。 TCP/IP協(xié)議和開放系統(tǒng)互連參考模型一樣，是一個分層結構。協(xié)議的分層使得各層的任務和目的十分明確，這樣有利于軟件編寫和通信控制。

8、TCP/IP協(xié)議分為4層，由下至上分別是網(wǎng)路接口層、網(wǎng)際層、傳輸層和應用層。（二）TCP/IP協(xié)議的總體概況TCP/IP協(xié)議是目前在Internet網(wǎng)絡中使用的基本的通信協(xié)議，它是Internet國際互聯(lián)網(wǎng)絡的基礎。其中IP(Internet Protocol)全名為"網(wǎng)際互連協(xié)議"，它是為計算機網(wǎng)絡相互連接進行通信而設計的協(xié)議。TCP(Transfer Control Protocol)是傳輸控制協(xié)議。TCP/IP協(xié)議是能夠使連接到網(wǎng)上的所有計算機網(wǎng)絡實現(xiàn)相互通信的一套規(guī)則，正是因為有了TCP/IP協(xié)議,因特網(wǎng)才得以迅速發(fā)展成為世界上最大的、開放的計算機通信網(wǎng)絡。從表面名

9、字上看TCP/IP包括兩個協(xié)議，傳輸控制協(xié)議(TCP)和互聯(lián)網(wǎng)際協(xié)議(IP)，其實TCP/IP實際上是一組協(xié)議的集合，它包括了上百個各種功能的協(xié)議。如：遠程登錄、文件傳輸和電子郵件等等，而TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€基本的重要協(xié)議。IP協(xié)議之所以能使各種網(wǎng)絡互聯(lián)起來是由于它把各種不同的“幀”統(tǒng)一轉換成“IP數(shù)據(jù)報”格式，這種轉換是因特網(wǎng)的一個最重要的特點。所以IP協(xié)議使各種計算機網(wǎng)絡都能在因特網(wǎng)上實現(xiàn)互通,即具有“開放性”的特點。TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包(datagram)。TCP協(xié)議負責把數(shù)據(jù)分成若干個數(shù)據(jù)包，并給每個數(shù)據(jù)包加上包頭，包頭上有相應的編號，以保證在

10、數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來的格式，IP協(xié)議在每個包頭上還要加上接收端主機地址，這樣數(shù)據(jù)通過路由器中的MAC地址來確定數(shù)據(jù)的流向，如果傳輸過程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù)失真等情況，TCP協(xié)議會自動要求數(shù)據(jù)重新傳輸，并重新組?？傊琁P協(xié)議保證數(shù)據(jù)的傳輸，而TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|量。TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的4層結構，TCP/IP協(xié)議各層次的體系結構和各層中集中的協(xié)議如下表1.1 。表1.1 TCP/IP協(xié)議各層次體系結構及應用的協(xié)議層次結構各層集中的主要協(xié)議應用層FTP、HTTP、TELNET、SMTP、DNS傳輸層TCP、UDP網(wǎng)絡層IP、ARP、IGMP、RARP物理層

11、LAN、ARPANET、SLIP二、TCP/IP協(xié)議簇的安全隱患分析 從以TCP/IP協(xié)議為基礎的Internet的發(fā)展歷程可知，IP協(xié)議最可取的內涵與作用即在于其充分的開放透明性與靈活有效的多業(yè)務增值能力。然而，既要開放透明，往往便“充分暴露”，從而容易受到攻擊，這是原本作為科研范圍而開發(fā)的TCP/IP協(xié)議的不足之處。因此，在Internet商用化后，TCP/IP協(xié)議中存在的一系列問題暴露了出來，其中最棘手、解決難度最大的即為TCP/IP協(xié)議的安全性問題。TCP/IP協(xié)議存在的安全隱患主要有以下幾個方面： （一）TCP協(xié)議和UDP協(xié)議的安全隱患 TCP使用三次握手機制建立一條連接，第一個報文

12、為SYN包，第二個報文為SYN/ACK包，第三個報文是應答ACK包。若A為連接方，B為響應方，其間可能的威脅為攻擊者監(jiān)聽B方發(fā)出的SYN/ACK報文；攻擊者向B方發(fā)送RST包，接著發(fā)送SYN包，假冒A方發(fā)起新的連接；B方響應并發(fā)送連接響應報文SYN/ACK，攻擊者再假冒A方送ACK包。攻擊者便達到了破壞連接的作用，若攻擊者再趁機插入有害數(shù)據(jù)包，則后更嚴重。 此外還有序列號攻擊。初始序列號（ISN）在TCP握手時產(chǎn)生，攻擊者向目標主機發(fā)送連接請求可得到上次的ISN，再通過多次測量來回傳輸路徑得到進攻主機目標主機間數(shù)據(jù)包傳送的來回時間RTT。已知上次連接的ISN和RTT，就能預測下次連接的ISN。

13、若攻擊者預測到ISN就能偽造有害數(shù)據(jù)包并使目標主機接受。 UDP（用戶數(shù)據(jù)報協(xié)議，User Datagram Protocol) 協(xié)議是面向應用程序提供無連接服務。與 TCP 數(shù)據(jù)包相比，UDP 數(shù)據(jù)包更容易被假冒。給了惡意攻擊者可乘之機。 （二）IP協(xié)議和ICMP協(xié)議存在的安全隱患 IP 層主要安全問題是 IP 地址假冒，IP 協(xié)議本身對 IP 數(shù)據(jù)包是否來自真正的源地址不提供任何保障。IP 層還存在利用源路由選項進行攻擊的問題，源路由一方面方便了源 IP地址假冒的數(shù)據(jù)包能到達目的地址，另一方面使入侵者能繞開某些網(wǎng)絡安全措施到達目的地址。 ICMP（網(wǎng)間控制報文協(xié)議，Internet Con

14、trol Messages Protocol）； 主要用于差錯控制與擁塞控制。ICMP 協(xié)議存在的安全隱患是攻擊者可利用 ICMP 重定向報文破壞路由，攻擊者可利用不可達報文對某用戶節(jié)點發(fā)起拒絕服務攻擊。 另外由于目前廣泛使用的IPv4協(xié)議在設計之初未能考慮到用戶數(shù)量的問題，導致IP地址數(shù)量不足，現(xiàn)有IPv4地址資源已消耗殆盡，無法實現(xiàn)IP地址的獨享，使得IP地址的管理也比較混亂，無法在技術上解決網(wǎng)絡實名制這個問題，造成了互聯(lián)網(wǎng)監(jiān)管上的漏洞。 （三）路由協(xié)議的安全隱患 Internet 采用動態(tài)路由，路由協(xié)議存在的安全缺口是許多路由協(xié)議使用未加密的非一次性口令來認證數(shù)據(jù)中的路由信息，容易遭到非

15、法竊聽，攻擊者通過偽造非法路由器或者其他手段發(fā)送偽造路由信息，擾亂合法路由器的路由表，同時由于BGP （邊界網(wǎng)關協(xié)議，Border Gateway Protocol）通過 TCP 傳送數(shù)據(jù)，對 TCP 的攻擊也是影響B(tài)GP 安全的一個重要因素。 （四）DNS 的安全隱患 DNS （ 域名服務器，Domain Name Server）作用是自動將主機域名轉換成對應的 IP 地址。DNS 由于缺乏密碼認證機制，攻擊者可通過假冒其它系統(tǒng)或截取郵件等手段，對用戶造成危害；許多防火墻產(chǎn)品基于未認證的 IP 地址來作出有關網(wǎng)絡外部存取的決策，其中若插入假 DNS 信息，就會給攻擊者造成便利。 （五）應用層

16、的安全隱患 建立在 TCP/IP 協(xié)議上的應用程序有 E-mail、Telnet（遠程聯(lián)接服務）、FTP（文件傳輸協(xié)議，F(xiàn)ile Transfer Protocol）及 WWW（萬維網(wǎng)，World Wide Web）等。這些應用程序都以守護進程的形式以 root 權限運行且代碼較大，可能出現(xiàn)安全漏洞，漏洞被黑客利用就有可能取得系統(tǒng)控制權并攻入系統(tǒng)內部；同時它們都采取簡單的身份認證方式，且信息以明文的方式在網(wǎng)絡中傳輸，容易被黑客竊取，非法訪問各種資源和數(shù)據(jù)，從而危及整個系統(tǒng)的安全性。 三、TCP/IP 協(xié)議簇的改進與發(fā)展狀況 由于Internet的安全性問題日益突出，TCP/IP協(xié)議簇也在不斷地

17、改善和發(fā)展之中。目前主要的發(fā)展和改進有以下幾個方面： （一）IP協(xié)議的改進 IPv4協(xié)議已經(jīng)使用了20多年，在這20多年的應用中，IPv4獲得了巨大的成功，同時隨著應用范圍的擴大，它也面臨著越來越不容忽視的危機，例如地址匱乏等等。IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進，IPv6主要有如下的特點: 1.IPV6地址長度為128比特，地址空間增大了2的96次方倍； 2.靈活的IP報文頭部格式,加快了報文處理速度； 3.簡化了報文頭部格式，加快報文轉發(fā)，提高了吞吐量； 4.提高安全性。身份認證和隱私權是IPV6的關鍵特性； 5.支持更多的服務類型； 6

18、.允許協(xié)議繼續(xù)演變，增加新的功能，使之適應未來技術的發(fā)展。 經(jīng)過一個較長的IPv4和IPv6共存的時期，IPv6最終會完全取代IPv4在互連網(wǎng)上占據(jù)統(tǒng)治地位。 （二）路由技術的改進 為保護RIP（路由選擇信息協(xié)議，Routing Information Protocol）和OSPF（ 開放式最短路徑優(yōu)先，Open Shortest Path First Interior Gateway Protocol）的報文安全，采用著名的MD5認證算法對發(fā)送路由報文的節(jié)點進行認證。路由器內含認證TCP繪畫過程的機制能減少多個自治域之間通過BGP所傳路由信息遭受攻擊的危險性。由于IPv6提供AH和ESP機制

19、，與IPv6一起使用的內部網(wǎng)關協(xié)議也可獲得安全保護。 （三）DNS安全擴充 DNS安全擴充提供了DNS信息認證機制，并允許用戶的公開密鑰存儲與DNS中，由請求方對其進行認證，DNS安全擴充允許用戶簽名的公開密鑰與地址記錄、姓名記錄、郵箱一起進行認證分配，從而使動態(tài)密鑰管理輕易實現(xiàn)。 （四）密鑰管理協(xié)議 密鑰管理方面，IETF正在研究密鑰交換協(xié)議Oakey并推出了ISAKMP協(xié)議。使用該協(xié)議產(chǎn)生的密鑰與以往產(chǎn)生的任何密鑰都無關，因此攻擊者無法通過破獲幾個主密鑰來導出會話密鑰。ITEF還允許就密鑰生存期、敏感級等問題進行協(xié)商。 四、結 語 以上通過對TCP/IP協(xié)議簇及其安全性的分析，對TCP/IP協(xié)議本身的缺陷進行了大致的了解。但由于網(wǎng)絡安全問題非常復雜，由于本人水平有限，還有很多與TCP/IP協(xié)議有關的方面未能提及。 隨著Internet技術的迅速發(fā)展和WWW、Java、ActiveX等技術的大量應用，計算機病毒的產(chǎn)生與傳播，網(wǎng)絡被非法入侵有愈演愈烈的趨勢。因此，僅僅考慮TCP/IP的安全是遠遠不夠的，其它如操作系統(tǒng)和防火墻的安全，網(wǎng)絡安全意識的提高等都應該是我們關注的重點。 致 謝 在本文即將結束