TCP安全問題淺析論文

1、TCP安全問題淺析論文 編號：_ xxxxx學(xué)院畢業(yè)論文（綜述） 題 目： TCP安全問題淺析 系 別 計(jì)算機(jī)科學(xué)系 專 業(yè) 計(jì)算機(jī)應(yīng)用 學(xué)生姓名 xxx 成 績 指導(dǎo)教師 xxx 2013年4月摘 要本文主要講述了TCP協(xié)議的來源、功能以及它連接的建立與終止的過程，和他本身安全問題上的缺陷和序列號攻擊的防御措施。 關(guān)鍵詞：TCP協(xié)議 網(wǎng)絡(luò)安全 協(xié)議攻擊目 錄 第一章 TCP概述11.1 TCP的起源11.2 TCP所支持的服務(wù)類21.3 TCP與UDP區(qū)別41.4 TCP的三次握手（Three-Way Handshake）51.5 TCP的滑動窗口（Sliding Windows）7第二章

2、TCP連接的建立與終止92.1 TCP的作用92.2 TCP連接的建立102.3 TCP連接的終止102.4 TCP的服務(wù)流程112.5 TCP所提供服務(wù)的主要特點(diǎn)122.6 TCP的重傳策略122.7 TCP的端口號132.8 如何重置TCP/IP協(xié)議132.9 什么是TCP半開連接14第三章 TCP的攻擊以及解決153.1 SYN攻擊153.2 TCP序列號預(yù)測攻擊18結(jié) 束 語21參考文獻(xiàn)22第一章 TCP概述1.1 TCP的起源早期的電腦o并非如我們?nèi)粘Ｉ钪幸姷降膫€人 PC 那樣細(xì)小r它們大都是以一個集中的中央運(yùn)算系統(tǒng)o用一定的線路與終端系統(tǒng) 輸入輸出設(shè)備 連接起來。這樣的一個連接系

3、統(tǒng)o就是網(wǎng)路的最初出現(xiàn)形式。各個網(wǎng)路都使用自己的一套規(guī)則協(xié)定o可以說是相互獨(dú)立的。在 1969 年o為美蘇冷戰(zhàn)期間o美國政府機(jī)構(gòu)試圖發(fā)展出一套機(jī)制o用來連接各個離散的網(wǎng)路系統(tǒng)o以應(yīng)付戰(zhàn)爭危機(jī)的需求。這個計(jì)劃o就是由美國國防部委托 Advanced Research Project Agency 發(fā)展的 ARPANET 網(wǎng)路系統(tǒng)o研究當(dāng)部份電腦網(wǎng)路遭到工具而癱瘓后o是否能夠透過其他未癱瘓的線路來傳送資料。ARPANET 的構(gòu)想和原理o除了研發(fā)出一套可靠的資料通訊技術(shù)外o還同時(shí)要兼顧跨平臺作業(yè)。后來oARPANET 的實(shí)驗(yàn)非常成功o從而奠定了今日的網(wǎng)際網(wǎng)路模式o它包括了一組電腦通訊細(xì)節(jié)的網(wǎng)路標(biāo)準(zhǔn)o

4、以及一組用來連接網(wǎng)路和選擇網(wǎng)路交通路徑的協(xié)定o就是大名鼎鼎的 TCP/IP 網(wǎng)際網(wǎng)路協(xié)定。 時(shí)至 1983 年o美國國防部下令用于連接長距離的網(wǎng)路的電話都必須適應(yīng) TCP/IPo同時(shí) Defense Communication Agency DCA 將 ARPANET Advanced Research Projects Agency Net 分成兩個獨(dú)立的網(wǎng)路s一個用于研究用途o依然叫做 ARPANETr另一個用于軍事通訊o則稱為 MILNET Military Network 。ARPA 后來發(fā)展出一個便宜版本o以鼓勵大學(xué)和研究人員來采用它的協(xié)定o其時(shí)正適逢大部份大學(xué)電腦學(xué)系的 UNIX

5、系統(tǒng)需要連接它們的區(qū)域網(wǎng)路。由于 UNIX 系統(tǒng)上面研究出來的許多抽象概念與 TCP/IP 的特性有非常高度的吻合o再加上設(shè)計(jì)上的公開性o而導(dǎo)致其它組織也紛紛使用 TCP/IP 協(xié)定。從 1985 年開始o(jì)TCP/IP 網(wǎng)路迅速擴(kuò)展至美國p歐洲好幾百個大學(xué)p政府機(jī)構(gòu)p研究實(shí)驗(yàn)室。它的發(fā)展大大超過了人們的預(yù)期o而且每年以超過 15% 的速度成長o到了 1994 年o使用 TCP/IP 協(xié)定的電腦已經(jīng)超過三百萬臺之多。及后數(shù)年o由于 Internet 的爆炸性成長oTCP/IP 協(xié)定已經(jīng)成為無人不知p無人不用的電腦網(wǎng)路協(xié)定了。1.2 TCP所支持的服務(wù)類 不管怎樣,TCP/IP是一個協(xié)議集。為應(yīng)用

6、提供一些"低級"功能,這些包括IP、TCP、UDP。其它是執(zhí)行特定任務(wù)的應(yīng)用協(xié)議,如計(jì)算機(jī)間傳送文件、發(fā)送電子郵件、或找出誰注冊到另外一臺計(jì)算機(jī)。因此, 最重要的"商業(yè)"TCP/IP服務(wù)有文件傳送協(xié)議FTP File TransferProtocol 允許用戶從一臺計(jì)算機(jī)到另一臺取得文件,或發(fā)送文件到另外一臺計(jì)算機(jī)。從安全性方面考慮,需要用戶指定一個使用其它計(jì)算機(jī)的用戶名和口令。它不同于NFS Network File System 和Netbios協(xié)議。一旦你要訪問另一臺系統(tǒng)中的文件,任何時(shí)刻都要運(yùn)行FTP。而且你只能拷貝文件到自己的機(jī)器中去來使用它。

7、RFC 959中有關(guān)于FTP的詳盡說明。 1.2.2 RLogin 遠(yuǎn)程登錄 Remote login 網(wǎng)絡(luò)終端協(xié)議TELNET允許用戶登錄到網(wǎng)絡(luò)上任一計(jì)算機(jī)上。你可啟動一個遠(yuǎn)程進(jìn)程連接到指定的計(jì)算機(jī),直到進(jìn)程結(jié)束,期間你所鍵入的內(nèi)容被送到所指定的計(jì)算機(jī)。值得注意的是,這時(shí)你實(shí)際上是與你的計(jì)算機(jī)進(jìn)行對話。TELENET程序使得你的計(jì)算機(jī)在整個過程中不見了,所敲的每一個字符直接送到所登錄的計(jì)算機(jī)系統(tǒng)。一般的說,這種遠(yuǎn)程連接是通過類式撥號連接的,也就是,撥通后,遠(yuǎn)程系統(tǒng)提示你輸入注冊名和口令,退出遠(yuǎn)程系統(tǒng),TELNET程序也就退出,你又與自己的計(jì)算機(jī)對話了。微電腦中的TELNET工具一般含有一個終

8、端仿真程序。 1.2.3 SMTP POP3 電子郵件 Mail 允許你發(fā)送消息給其它計(jì)算機(jī)的用戶。通常,人們趨向于使用指定的一臺或兩臺計(jì)算機(jī)。計(jì)算機(jī)郵件系統(tǒng)只需你簡單地往另一用戶的郵件文件中添加信息,但隨之產(chǎn)生問題,使用的微電腦的環(huán)境不同,還有重要的是宏 MACRO 不適合于接受計(jì)算機(jī)郵件。為了發(fā)送電子郵件,郵件軟件希望連接到目的計(jì)算機(jī),如果是微電腦,也許它已關(guān)機(jī),或者正在運(yùn)行另一個應(yīng)用程序呢?出于這種原因,通常由一個較大的系統(tǒng)來處理這些郵件,也就是一個一直運(yùn)行著的郵件服務(wù)器。郵件軟件成為用戶從郵件服務(wù)器取回郵件的一個界面。 任何一個的TCP/IP工具提供上述這些服務(wù)。這些傳統(tǒng)的應(yīng)用功能在基

9、于TCP/IP的網(wǎng)絡(luò)中一直扮演非常重要的角色。目前情況有點(diǎn)變化,這些功能使用也發(fā)生變化,如老系統(tǒng)的改造,計(jì)算機(jī)的發(fā)展等,出現(xiàn)了各種安裝版本,如:微電腦、工作站、小型機(jī)、和巨型機(jī)等。這些計(jì)算機(jī)好像在一起完成指定的任務(wù),盡管有時(shí)看來像是只用到某個指定的計(jì)算機(jī),但它是通過網(wǎng)絡(luò)得到其它計(jì)算機(jī)系統(tǒng)的服務(wù)。服務(wù)器Server是為網(wǎng)絡(luò)上其它提供指定服務(wù)的系統(tǒng),客戶Client是得到這種服務(wù)的另外計(jì)算機(jī)系統(tǒng)。 值得注意的是,服務(wù)/客戶機(jī)不一定是不同的計(jì)算機(jī),有可能是同一計(jì)算機(jī)中的不同運(yùn)行程序 。以下是幾種目前計(jì)算機(jī)上典型的一些服務(wù),這些服務(wù)可在TCP/IP網(wǎng)絡(luò)上調(diào)用。 1.2.4 NFS 網(wǎng)絡(luò)文件系統(tǒng) Net

10、work File System 這種訪問另一計(jì)算機(jī)的文件的方法非常接近于流行的FTP。網(wǎng)絡(luò)文件系統(tǒng)提供磁盤或設(shè)備服務(wù),而無需特定的網(wǎng)絡(luò)實(shí)用程序來訪問另一系統(tǒng)的文件?？梢院唵蔚卣J(rèn)為它是一個外加的磁盤驅(qū)動器。這種額外"虛擬"磁盤驅(qū)動器就是其它計(jì)算機(jī)系統(tǒng)的磁盤。這非常有用。你只需加大幾臺計(jì)算機(jī)的磁盤容量,就可使網(wǎng)絡(luò)上其他用戶訪問它,且不說所帶來的經(jīng)濟(jì)效益,它還能夠讓幾臺工作的計(jì)算機(jī)共享相同的文件。它也使得系統(tǒng)維護(hù)和備份易如反掌,因?yàn)樵俨槐貫榇罅康牟煌瑱C(jī)器上的文件的升級和備份而擔(dān)心。 1.2.5 遠(yuǎn)程打印 Remote Printing 允許你使用其它計(jì)算機(jī)上的打印機(jī),好像這些打

11、印機(jī)直接連到你的計(jì)算機(jī)上。 1.2.6 遠(yuǎn)程執(zhí)行 Remote Execution 允許你請求運(yùn)行在不同計(jì)算機(jī)上的特殊程序。當(dāng)你在一個很小的計(jì)算機(jī)上運(yùn)行一個需要大機(jī)系統(tǒng)資源的程序時(shí),這時(shí)候遠(yuǎn)程執(zhí)行非常有用。 1.2.7 名字服務(wù)器 Name Servers 在一個大的系統(tǒng)安裝過程中,需要用到大量的各種名字,包括用戶名、口令,姓名、網(wǎng)絡(luò)地址、帳號等,管理這些是非常令人乏味的。因此將這些數(shù)據(jù)形成數(shù)據(jù)庫,放到一個小系統(tǒng)中去,其它系統(tǒng)通過網(wǎng)絡(luò)來訪問這些數(shù)據(jù)。 1.2.8 終端服務(wù)器 Terminal Servers 很多的終端連接安裝不再直接將終端連到計(jì)算機(jī),取而代之的是,將他們連接到終端服務(wù)器上。終

12、端服務(wù)器是一個小的計(jì)算機(jī),它只需知道怎樣運(yùn)行TELNET 或其它一些完成遠(yuǎn)程登錄的協(xié)議 。如果你的終端想連上去,只用鍵入要連的計(jì)算機(jī)名就可。通常有可能同時(shí)有幾個這種連接,這時(shí)終端服務(wù)器采用快速開關(guān)技術(shù)來切換。 第二章 TCP連接的建立與終止2.1 TCP的作用? TCP建立連接時(shí)的三次握手在因特網(wǎng)協(xié)議簇（Internet protocol suite）中，TCP層是位于IP層之上，應(yīng)用層之下的運(yùn)輸層。不同主機(jī)的應(yīng)用層之間經(jīng)常需要可靠的、像管道一樣的連接，但是IP層不提供這樣的流機(jī)制，而是提供不可靠的包交換。 應(yīng)用層向TCP層發(fā)送用于網(wǎng)間傳輸?shù)?、?位字節(jié)表示的數(shù)據(jù)流，然后TCP把數(shù)據(jù)流分割成適

13、當(dāng)長度的報(bào)文段（通常受該計(jì)算機(jī)連接的網(wǎng)絡(luò)的數(shù)據(jù)鏈路層的最大傳送單元 MTU 的限制）。之后TCP把結(jié)果包傳給IP層，由它來通過網(wǎng)絡(luò)將包傳送給接收端實(shí)體的TCP層。TCP為了保證不發(fā)生丟包，就給每個字節(jié)一個序號，同時(shí)序號也保證了傳送到接收端實(shí)體的包的按序接收。然后接收端實(shí)體對已成功收到的字節(jié)發(fā)回一個相應(yīng)的確認(rèn) ACK ；如果發(fā)送端實(shí)體在合理的往返時(shí)延 RTT 內(nèi)未收到確認(rèn)，那么對應(yīng)的數(shù)據(jù)（假設(shè)丟失了）將會被重傳。TCP用一個校驗(yàn)和函數(shù)來檢驗(yàn)數(shù)據(jù)是否有錯誤；在發(fā)送和接收時(shí)都要計(jì)算校驗(yàn)和。 首先，TCP建立連接之后，通信雙方都同時(shí)可以進(jìn)行數(shù)據(jù)的傳輸，其次，他是全雙工的；在保證可靠性上，采用超時(shí)重傳和

14、捎帶確認(rèn)機(jī)制。 在流量控制上，采用滑動窗口協(xié)議，協(xié)議中規(guī)定，對于窗口內(nèi)未經(jīng)確認(rèn)的分組需要重傳。 在擁塞控制上，采用慢啟動算法。 2.2 TCP連接的建TCP協(xié)議通過三個報(bào)文段完成連接的建立，這個過程稱為三次握手 three-way handshake ，過程如下圖所示。 TCP的三次握手2.3 TCP連接的終止TCP連接的終止2.4 TCP的服務(wù)流程TCP協(xié)議提供的是可靠的、面向連接的傳輸控制協(xié)議，即在傳輸數(shù)據(jù)前要先建立邏輯連接，然后再傳輸數(shù)據(jù)，最后釋放連接3個過程。TCP提供端到端、全雙工通信；采用字節(jié)流方式，如果字節(jié)流太長，將其分段；提供緊急數(shù)據(jù)傳送功能。 盡管TCP和UDP都使用相同的網(wǎng)

15、絡(luò)層（IP），TCP卻向應(yīng)用層提供與UDP完全不同的服務(wù)。 TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。 面向連接意味著兩個使用TCP的應(yīng)用（通常是一個客戶和一個服務(wù)器）在彼此交換數(shù)據(jù)之前必須先建立一個TCP連接。這一過程與打電話很相似，先撥號振鈴，等待對方摘機(jī)說“喂”，然后才說明是誰。 在一個TCP連接中，僅有兩方進(jìn)行彼此通信。廣播和多播不能用于TCP。 TCP通過下列方式來提供可靠性： 應(yīng)用數(shù)據(jù)被分割成TCP認(rèn)為最適合發(fā)送的數(shù)據(jù)塊。這和UDP完全不同，應(yīng)用程序產(chǎn)生的數(shù)據(jù)報(bào)長度將保持不變。由TCP傳遞給IP的信息單位稱為報(bào)文段或段（segment）TCP如何確定報(bào)文段的長度。 當(dāng)TCP發(fā)出一

16、個段后，它啟動一個定時(shí)器，等待目的端確認(rèn)收到這個報(bào)文段。如果不能及時(shí)收到一個確認(rèn)，將重發(fā)這個報(bào)文段。o當(dāng)TCP收到發(fā)自TCP連接另一端的數(shù)據(jù)，它將發(fā)送一個確認(rèn)。這個確認(rèn)不是立即發(fā)送，通常將推遲幾分之一秒 TCP將保持它首部和數(shù)據(jù)的檢驗(yàn)和。這是一個端到端的檢驗(yàn)和，目的是檢測數(shù)據(jù)在傳輸過程中的任何變化。如果收到段的檢驗(yàn)和有差錯，TCP將丟棄這個報(bào)文段和不確認(rèn)收到此報(bào)文段（希望發(fā)端超時(shí)并重發(fā)）。 既然TCP報(bào)文段作為IP數(shù)據(jù)報(bào)來傳輸，而IP數(shù)據(jù)報(bào)的到達(dá)可能會失序，因此TCP報(bào)文段的到達(dá)也可能會失序。如果必要，TCP將對收到的數(shù)據(jù)進(jìn)行重新排序，將收到的數(shù)據(jù)以正確的順序交給應(yīng)用層。 既然IP數(shù)據(jù)報(bào)會發(fā)生

17、重復(fù)，TCP的接收端必須丟棄重復(fù)的數(shù)據(jù)。 TCP還能提供流量控制。TCP連接的每一方都有固定大小的緩沖空間。TCP的接收端只允許另一端發(fā)送接收端緩沖區(qū)所能接納的數(shù)據(jù)。這將防止較快主機(jī)致使較慢主機(jī)的緩沖區(qū)溢出。 兩個應(yīng)用程序通過TCP連接交換8bit字節(jié)構(gòu)成的字節(jié)流。TCP不在字節(jié)流中插入記錄標(biāo)識符。我們將這稱為字節(jié)流服務(wù)（bytestreamservice）。如果一方的應(yīng)用程序先傳10字節(jié)，又傳20字節(jié)，再傳50字節(jié)，連接的另一方將無法了解發(fā)方每次發(fā)送了多少字節(jié)。收方可以分4次接收這80個字節(jié)，每次接收20字節(jié)。一端將字節(jié)流放到TCP連接上，同樣的字節(jié)流將出現(xiàn)在TCP連接的另一端。 另外，TC

18、P對字節(jié)流的內(nèi)容不作任何解釋。TCP不知道傳輸?shù)臄?shù)據(jù)字節(jié)流是二進(jìn)制數(shù)據(jù)，還是ASCII字符、EBCDIC字符或者其他類型數(shù)據(jù)。對字節(jié)流的解釋由TCP連接雙方的應(yīng)用層解釋。 這種對字節(jié)流的處理方式與Unix操作系統(tǒng)對文件的處理方式很相似。Unix的內(nèi)核對一個應(yīng)用讀或?qū)懙膬?nèi)容不作任何解釋，而是交給應(yīng)用程序處理。對Unix的內(nèi)核來說，它無法區(qū)分一個二進(jìn)制文件與一個文本文件。 2.5 TCP所提供服務(wù)的主要特點(diǎn)（1）面向連接的傳輸； （2）端到端的通信； （3）高可靠性，確保傳輸數(shù)據(jù)的正確性，不出現(xiàn)丟失或亂序； （4）全雙工方式傳輸； 5）采用字節(jié)流方式，即以字節(jié)為單位傳輸字節(jié)序列； （6）緊急數(shù)據(jù)傳送功能。 2.6 TCP的重傳策略TCP協(xié)議用于控制數(shù)據(jù)段是否需要重傳的依據(jù)是設(shè)立重發(fā)定時(shí)器。在發(fā)送一個數(shù)據(jù)段的同時(shí)啟動一個重發(fā)定時(shí)器，如果在定時(shí)器超時(shí)前收到確認(rèn)就關(guān)閉該定時(shí)器，如果定時(shí)器超時(shí)前沒有收到確認(rèn)，則重傳該數(shù)據(jù)段。 這種重傳策略的關(guān)鍵是對定時(shí)器初值的設(shè)定。目前采用較多的算法是Jacobson于1988年提出的一種不斷調(diào)整超時(shí)時(shí)間間隔的動態(tài)算法。其工作原理是：對每條連接TCP都保持一個變量RTT，用于存放當(dāng)前到目的端往返所需要時(shí)間最接近的估計(jì)值。當(dāng)發(fā)送一個數(shù)據(jù)段時(shí)，同時(shí)啟動連接的定時(shí)器，如果在定時(shí)器超時(shí)前確認(rèn)到達(dá)，則記錄所需要的時(shí)間（M），并修