TCPIP協(xié)議安全分析

1、湖北經(jīng)濟(jì)學(xué)院管理技術(shù)學(xué)院畢業(yè)論文（設(shè)計(jì)）題 目： TCP/IP協(xié)議安全分析 系 部： 計(jì)算機(jī)科學(xué)系 專 業(yè)： 計(jì)算機(jī)應(yīng)用技術(shù) 學(xué) 號(hào)： 091808088 學(xué)生姓名： 毛祥雄 指導(dǎo)教師： 胡長(zhǎng)坤 職 稱： 講師 二 一一 年 十二 月 二十五 日摘 要 Internet是一個(gè)基于TCP/IP協(xié)議的網(wǎng)絡(luò)，通過(guò)TCP/IP協(xié)議實(shí)現(xiàn)了不同級(jí)別、不同廠商、不同操作系統(tǒng)的計(jì)算機(jī)通信。今天，TCP/IP協(xié)議已成為網(wǎng)絡(luò)世界中使用最廣泛、最具有生命力的通信協(xié)議，并且成為事實(shí)上的網(wǎng)絡(luò)互聯(lián)工業(yè)標(biāo)準(zhǔn)。由于TCP/IP協(xié)議一開始的實(shí)現(xiàn)主要目的是用于科學(xué)研究的，所以在安全性方面存在很大的欠缺。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，

2、信息安全問題越來(lái)越受到國(guó)家的關(guān)注，網(wǎng)絡(luò)安全也已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域的重點(diǎn)研究范圍。本文在介紹現(xiàn)在因特網(wǎng)中使用的TCP/IP協(xié)議的基礎(chǔ)上，以TCP/IP協(xié)議簇各層次的安全性為入手點(diǎn)，進(jìn)行較為全面的解析，從理論上對(duì)TCP/IP協(xié)議的安全性進(jìn)行分析，并對(duì)現(xiàn)有TCP/IP協(xié)議簇安全改進(jìn)措施進(jìn)行一定的總結(jié)。 關(guān)鍵詞: TCP/IP協(xié)議，協(xié)議安全，計(jì)算機(jī)網(wǎng)絡(luò)目 錄一、TCP/IP協(xié)議概述1（一）TCP/IP協(xié)議定義和產(chǎn)生背景1（二）TCP/IP協(xié)議的總體概況3二、TCP/IP協(xié)議簇的安全隱患分析5（一）TCP協(xié)議和UDP協(xié)議的安全隱患5（二）IP協(xié)議和ICMP協(xié)議存在的安全隱患6（三）路由協(xié)議的安全隱

3、患6（五）應(yīng)用層的安全隱患7三、TCP/IP 協(xié)議簇的改進(jìn)與發(fā)展?fàn)顩r8（一）IP協(xié)議的改進(jìn)8（二）路由技術(shù)的改進(jìn)8（三）DNS安全擴(kuò)充9（四）密鑰管理協(xié)議9四、結(jié) 語(yǔ)10致 謝11參考文獻(xiàn)12一、TCP/IP協(xié)議概述（一）TCP/IP協(xié)議定義和產(chǎn)生背景 TCP/IP是Transmission Control Protocol/Internet Protocol的簡(jiǎn)寫，中譯名為傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又名網(wǎng)絡(luò)通訊協(xié)議，是Internet最基本的協(xié)議、Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成。TCP/IP 定義了電子設(shè)備如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們

4、之間傳輸?shù)臉?biāo)準(zhǔn)。協(xié)議采用了4層的層級(jí)結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來(lái)完成自己的需求。通俗而言：TCP負(fù)責(zé)發(fā)現(xiàn)傳輸?shù)膯栴}，一有問題就發(fā)出信號(hào)，要求重新傳輸，直到所有數(shù)據(jù)安全正確地傳輸?shù)侥康牡?。而IP是給因特網(wǎng)的每一臺(tái)電腦規(guī)定一個(gè)地址。協(xié)議是互相通信的計(jì)算機(jī)雙方必須共同遵從的一組約定。TCP/IP就是這樣的約定，它規(guī)定了計(jì)算機(jī)之間互相通信的方法。TCP/IP是為了使接入因特網(wǎng)的異種網(wǎng)絡(luò)、不同設(shè)備之間能夠進(jìn)行正常的數(shù)據(jù)通訊，而預(yù)先制定的一簇大家共同遵守的格式和約定。TCP/IP協(xié)議是美國(guó)國(guó)防部高級(jí)研究計(jì)劃署（ARPA）開發(fā)的，在這個(gè)協(xié)議集中，兩個(gè)最知名的協(xié)議就是傳輸控制協(xié)議（ TCP, T

5、ransfer Contorl Protocol）和網(wǎng)際協(xié)議（ IP，Internet Protocol），故而整個(gè)協(xié)議集被稱為TCP/IP。之所以說(shuō)TCP/IP是一個(gè)協(xié)議簇，是因?yàn)門CP/IP包括了TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP等許多協(xié)議，對(duì)因特網(wǎng)中主機(jī)的尋址方式、主機(jī)的命名機(jī)制、信息的傳輸規(guī)則，以及各種各樣的服務(wù)功能均做了詳細(xì)約定，這些約定一起稱為TCP/IP。上世紀(jì)60年代中期，美國(guó)國(guó)防部希望有一個(gè)命令和控制網(wǎng)絡(luò)能夠在核戰(zhàn)爭(zhēng)的條件下幸免于難，而傳統(tǒng)的電路交換的電話網(wǎng)絡(luò)則顯得太脆弱。國(guó)防部指定其下屬的高級(jí)研究計(jì)劃局解決這個(gè)問題，此后誕生的一個(gè)

6、新型網(wǎng)絡(luò)便稱為ARPANET。1983年，TCP/IP協(xié)議成為ARPANET上唯一的正式協(xié)議，ARPANET上連接的網(wǎng)絡(luò)、機(jī)器和用戶得到了快速的增長(zhǎng)。當(dāng)ARPANET與美國(guó)國(guó)家科學(xué)基金會(huì)（NSF）建成的NSFNET互聯(lián)以后，其上的用戶數(shù)以指數(shù)增長(zhǎng)，并且開始與加拿大、歐洲和太平洋地區(qū)的網(wǎng)絡(luò)連接。到了80年代中期，人們開始把互聯(lián)的網(wǎng)絡(luò)稱為互聯(lián)網(wǎng)?；ヂ?lián)網(wǎng)在1994年進(jìn)入商業(yè)化應(yīng)用后得到了飛速的發(fā)展，1998年，因特網(wǎng)全球用戶人數(shù)已激增到1.47億。 70年代中期，ARPA為了實(shí)現(xiàn)異種網(wǎng)之間的互聯(lián)與互通，開始制定TCP/IP體系結(jié)構(gòu)和協(xié)議規(guī)范。時(shí)至今日，TCP/IP協(xié)議也成為最流行的網(wǎng)際互聯(lián)協(xié)議。它不

7、是國(guó)際標(biāo)準(zhǔn)化組織制定的，卻已成為網(wǎng)際互聯(lián)事實(shí)上的標(biāo)準(zhǔn)，并由單純的TCP/IP協(xié)議發(fā)展成為一系列以IP為基礎(chǔ)的TCP/IP協(xié)議簇。TCPIP協(xié)議簇為互聯(lián)網(wǎng)提供了基本的通信機(jī)制。隨著互聯(lián)網(wǎng)的指數(shù)增長(zhǎng)，其體系結(jié)構(gòu)也由ARPANET基于集中控制模型的網(wǎng)絡(luò)體系結(jié)構(gòu)演變?yōu)橛蒊SP運(yùn)營(yíng)的分散的基于自治系統(tǒng)（Autonomous systems,AS）模型的體系結(jié)構(gòu)?；ヂ?lián)網(wǎng)目前幾乎覆蓋了全球的每一個(gè)角落，其飛速發(fā)展充分說(shuō)明了TCP/IP協(xié)議取得了巨大的成功。 TCP/IP協(xié)議和開放系統(tǒng)互連參考模型一樣，是一個(gè)分層結(jié)構(gòu)。協(xié)議的分層使得各層的任務(wù)和目的十分明確，這樣有利于軟件編寫和通信控制。TCP/IP協(xié)議分為4

8、層，由下至上分別是網(wǎng)路接口層、網(wǎng)際層、傳輸層和應(yīng)用層。（二）TCP/IP協(xié)議的總體概況TCP/IP協(xié)議是目前在Internet網(wǎng)絡(luò)中使用的基本的通信協(xié)議，它是Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。其中IP(Internet Protocol)全名為"網(wǎng)際互連協(xié)議"，它是為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議。TCP(Transfer Control Protocol)是傳輸控制協(xié)議。TCP/IP協(xié)議是能夠使連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的一套規(guī)則，正是因?yàn)橛辛薚CP/IP協(xié)議,因特網(wǎng)才得以迅速發(fā)展成為世界上最大的、開放的計(jì)算機(jī)通信網(wǎng)絡(luò)。從表面名字上看TCP/IP包括

9、兩個(gè)協(xié)議，傳輸控制協(xié)議(TCP)和互聯(lián)網(wǎng)際協(xié)議(IP)，其實(shí)TCP/IP實(shí)際上是一組協(xié)議的集合，它包括了上百個(gè)各種功能的協(xié)議。如：遠(yuǎn)程登錄、文件傳輸和電子郵件等等，而TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議。IP協(xié)議之所以能使各種網(wǎng)絡(luò)互聯(lián)起來(lái)是由于它把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“IP數(shù)據(jù)報(bào)”格式，這種轉(zhuǎn)換是因特網(wǎng)的一個(gè)最重要的特點(diǎn)。所以IP協(xié)議使各種計(jì)算機(jī)網(wǎng)絡(luò)都能在因特網(wǎng)上實(shí)現(xiàn)互通,即具有“開放性”的特點(diǎn)。TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包(datagram)。TCP協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包，并給每個(gè)數(shù)據(jù)包加上包頭，包頭上有相應(yīng)的編號(hào)，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原

10、為原來(lái)的格式，IP協(xié)議在每個(gè)包頭上還要加上接收端主機(jī)地址，這樣數(shù)據(jù)通過(guò)路由器中的MAC地址來(lái)確定數(shù)據(jù)的流向，如果傳輸過(guò)程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù)失真等情況，TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸，并重新組。總之，IP協(xié)議保證數(shù)據(jù)的傳輸，而TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的4層結(jié)構(gòu)，TCP/IP協(xié)議各層次的體系結(jié)構(gòu)和各層中集中的協(xié)議如下表1.1 。表1.1 TCP/IP協(xié)議各層次體系結(jié)構(gòu)及應(yīng)用的協(xié)議層次結(jié)構(gòu)各層集中的主要協(xié)議應(yīng)用層FTP、HTTP、TELNET、SMTP、DNS傳輸層TCP、UDP網(wǎng)絡(luò)層IP、ARP、IGMP、RARP物理層LAN、ARPANET

11、、SLIP二、TCP/IP協(xié)議簇的安全隱患分析 從以TCP/IP協(xié)議為基礎(chǔ)的Internet的發(fā)展歷程可知，IP協(xié)議最可取的內(nèi)涵與作用即在于其充分的開放透明性與靈活有效的多業(yè)務(wù)增值能力。然而，既要開放透明，往往便“充分暴露”，從而容易受到攻擊，這是原本作為科研范圍而開發(fā)的TCP/IP協(xié)議的不足之處。因此，在Internet商用化后，TCP/IP協(xié)議中存在的一系列問題暴露了出來(lái)，其中最棘手、解決難度最大的即為TCP/IP協(xié)議的安全性問題。TCP/IP協(xié)議存在的安全隱患主要有以下幾個(gè)方面： （一）TCP協(xié)議和UDP協(xié)議的安全隱患 TCP使用三次握手機(jī)制建立一條連接，第一個(gè)報(bào)文為SYN包，第二個(gè)報(bào)文

12、為SYN/ACK包，第三個(gè)報(bào)文是應(yīng)答ACK包。若A為連接方，B為響應(yīng)方，其間可能的威脅為攻擊者監(jiān)聽B方發(fā)出的SYN/ACK報(bào)文；攻擊者向B方發(fā)送RST包，接著發(fā)送SYN包，假冒A方發(fā)起新的連接；B方響應(yīng)并發(fā)送連接響應(yīng)報(bào)文SYN/ACK，攻擊者再假冒A方送ACK包。攻擊者便達(dá)到了破壞連接的作用，若攻擊者再趁機(jī)插入有害數(shù)據(jù)包，則后更嚴(yán)重。 此外還有序列號(hào)攻擊。初始序列號(hào)（ISN）在TCP握手時(shí)產(chǎn)生，攻擊者向目標(biāo)主機(jī)發(fā)送連接請(qǐng)求可得到上次的ISN，再通過(guò)多次測(cè)量來(lái)回傳輸路徑得到進(jìn)攻主機(jī)目標(biāo)主機(jī)間數(shù)據(jù)包傳送的來(lái)回時(shí)間RTT。已知上次連接的ISN和RTT，就能預(yù)測(cè)下次連接的ISN。若攻擊者預(yù)測(cè)到ISN就

13、能偽造有害數(shù)據(jù)包并使目標(biāo)主機(jī)接受。 UDP（用戶數(shù)據(jù)報(bào)協(xié)議，User Datagram Protocol) 協(xié)議是面向應(yīng)用程序提供無(wú)連接服務(wù)。與 TCP 數(shù)據(jù)包相比，UDP 數(shù)據(jù)包更容易被假冒。給了惡意攻擊者可乘之機(jī)。 （二）IP協(xié)議和ICMP協(xié)議存在的安全隱患 IP 層主要安全問題是 IP 地址假冒，IP 協(xié)議本身對(duì) IP 數(shù)據(jù)包是否來(lái)自真正的源地址不提供任何保障。IP 層還存在利用源路由選項(xiàng)進(jìn)行攻擊的問題，源路由一方面方便了源 IP地址假冒的數(shù)據(jù)包能到達(dá)目的地址，另一方面使入侵者能繞開某些網(wǎng)絡(luò)安全措施到達(dá)目的地址。 ICMP（網(wǎng)間控制報(bào)文協(xié)議，Internet Control Messag

14、es Protocol）； 主要用于差錯(cuò)控制與擁塞控制。ICMP 協(xié)議存在的安全隱患是攻擊者可利用 ICMP 重定向報(bào)文破壞路由，攻擊者可利用不可達(dá)報(bào)文對(duì)某用戶節(jié)點(diǎn)發(fā)起拒絕服務(wù)攻擊。 另外由于目前廣泛使用的IPv4協(xié)議在設(shè)計(jì)之初未能考慮到用戶數(shù)量的問題，導(dǎo)致IP地址數(shù)量不足，現(xiàn)有IPv4地址資源已消耗殆盡，無(wú)法實(shí)現(xiàn)IP地址的獨(dú)享，使得IP地址的管理也比較混亂，無(wú)法在技術(shù)上解決網(wǎng)絡(luò)實(shí)名制這個(gè)問題，造成了互聯(lián)網(wǎng)監(jiān)管上的漏洞。 （三）路由協(xié)議的安全隱患 Internet 采用動(dòng)態(tài)路由，路由協(xié)議存在的安全缺口是許多路由協(xié)議使用未加密的非一次性口令來(lái)認(rèn)證數(shù)據(jù)中的路由信息，容易遭到非法竊聽，攻擊者通過(guò)偽造

15、非法路由器或者其他手段發(fā)送偽造路由信息，擾亂合法路由器的路由表，同時(shí)由于BGP （邊界網(wǎng)關(guān)協(xié)議，Border Gateway Protocol）通過(guò) TCP 傳送數(shù)據(jù)，對(duì) TCP 的攻擊也是影響B(tài)GP 安全的一個(gè)重要因素。 （四）DNS 的安全隱患 DNS （ 域名服務(wù)器，Domain Name Server）作用是自動(dòng)將主機(jī)域名轉(zhuǎn)換成對(duì)應(yīng)的 IP 地址。DNS 由于缺乏密碼認(rèn)證機(jī)制，攻擊者可通過(guò)假冒其它系統(tǒng)或截取郵件等手段，對(duì)用戶造成危害；許多防火墻產(chǎn)品基于未認(rèn)證的 IP 地址來(lái)作出有關(guān)網(wǎng)絡(luò)外部存取的決策，其中若插入假 DNS 信息，就會(huì)給攻擊者造成便利。 （五）應(yīng)用層的安全隱患 建立在 T

16、CP/IP 協(xié)議上的應(yīng)用程序有 E-mail、Telnet（遠(yuǎn)程聯(lián)接服務(wù)）、FTP（文件傳輸協(xié)議，F(xiàn)ile Transfer Protocol）及 WWW（萬(wàn)維網(wǎng)，World Wide Web）等。這些應(yīng)用程序都以守護(hù)進(jìn)程的形式以 root 權(quán)限運(yùn)行且代碼較大，可能出現(xiàn)安全漏洞，漏洞被黑客利用就有可能取得系統(tǒng)控制權(quán)并攻入系統(tǒng)內(nèi)部；同時(shí)它們都采取簡(jiǎn)單的身份認(rèn)證方式，且信息以明文的方式在網(wǎng)絡(luò)中傳輸，容易被黑客竊取，非法訪問各種資源和數(shù)據(jù)，從而危及整個(gè)系統(tǒng)的安全性。 三、TCP/IP 協(xié)議簇的改進(jìn)與發(fā)展?fàn)顩r 由于Internet的安全性問題日益突出，TCP/IP協(xié)議簇也在不斷地改善和發(fā)展之中。目前主

17、要的發(fā)展和改進(jìn)有以下幾個(gè)方面： （一）IP協(xié)議的改進(jìn) IPv4協(xié)議已經(jīng)使用了20多年，在這20多年的應(yīng)用中，IPv4獲得了巨大的成功，同時(shí)隨著應(yīng)用范圍的擴(kuò)大，它也面臨著越來(lái)越不容忽視的危機(jī)，例如地址匱乏等等。IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時(shí)它還在許多方面提出了改進(jìn)，IPv6主要有如下的特點(diǎn): 1.IPV6地址長(zhǎng)度為128比特，地址空間增大了2的96次方倍； 2.靈活的IP報(bào)文頭部格式,加快了報(bào)文處理速度； 3.簡(jiǎn)化了報(bào)文頭部格式，加快報(bào)文轉(zhuǎn)發(fā)，提高了吞吐量； 4.提高安全性。身份認(rèn)證和隱私權(quán)是IPV6的關(guān)鍵特性； 5.支持更多的服務(wù)類型； 6.允許協(xié)議繼續(xù)演變，增

18、加新的功能，使之適應(yīng)未來(lái)技術(shù)的發(fā)展。 經(jīng)過(guò)一個(gè)較長(zhǎng)的IPv4和IPv6共存的時(shí)期，IPv6最終會(huì)完全取代IPv4在互連網(wǎng)上占據(jù)統(tǒng)治地位。 （二）路由技術(shù)的改進(jìn) 為保護(hù)RIP（路由選擇信息協(xié)議，Routing Information Protocol）和OSPF（ 開放式最短路徑優(yōu)先，Open Shortest Path First Interior Gateway Protocol）的報(bào)文安全，采用著名的MD5認(rèn)證算法對(duì)發(fā)送路由報(bào)文的節(jié)點(diǎn)進(jìn)行認(rèn)證。路由器內(nèi)含認(rèn)證TCP繪畫過(guò)程的機(jī)制能減少多個(gè)自治域之間通過(guò)BGP所傳路由信息遭受攻擊的危險(xiǎn)性。由于IPv6提供AH和ESP機(jī)制，與IPv6一起使用的

19、內(nèi)部網(wǎng)關(guān)協(xié)議也可獲得安全保護(hù)。 （三）DNS安全擴(kuò)充 DNS安全擴(kuò)充提供了DNS信息認(rèn)證機(jī)制，并允許用戶的公開密鑰存儲(chǔ)與DNS中，由請(qǐng)求方對(duì)其進(jìn)行認(rèn)證，DNS安全擴(kuò)充允許用戶簽名的公開密鑰與地址記錄、姓名記錄、郵箱一起進(jìn)行認(rèn)證分配，從而使動(dòng)態(tài)密鑰管理輕易實(shí)現(xiàn)。 （四）密鑰管理協(xié)議 密鑰管理方面，IETF正在研究密鑰交換協(xié)議Oakey并推出了ISAKMP協(xié)議。使用該協(xié)議產(chǎn)生的密鑰與以往產(chǎn)生的任何密鑰都無(wú)關(guān)，因此攻擊者無(wú)法通過(guò)破獲幾個(gè)主密鑰來(lái)導(dǎo)出會(huì)話密鑰。ITEF還允許就密鑰生存期、敏感級(jí)等問題進(jìn)行協(xié)商。 四、結(jié) 語(yǔ) 以上通過(guò)對(duì)TCP/IP協(xié)議簇及其安全性的分析，對(duì)TCP/IP協(xié)議本身的缺陷進(jìn)行了大致的了解。但由于網(wǎng)絡(luò)安全問題非常復(fù)雜，由于本人水平有限，還有很多與TCP/IP協(xié)議有關(guān)的方面未能提及。 隨著Internet技術(shù)的迅速發(fā)展和WWW、Java、ActiveX等技術(shù)的大量應(yīng)用，計(jì)算機(jī)病毒的產(chǎn)生與傳播，網(wǎng)絡(luò)被非法入侵有愈演愈烈的趨勢(shì)。因此，僅僅考慮TCP/IP的安全是遠(yuǎn)遠(yuǎn)不夠的，其它如操作系統(tǒng)和防火墻的安全，網(wǎng)絡(luò)安全意識(shí)的提高等都應(yīng)該是我們關(guān)注的重點(diǎn)。 致 謝 在本文即將結(jié)束之際，我