TCP-IP協(xié)議體系的安全性討論

1、TCP/IP協(xié)議體系的安全性討論固網(wǎng)產(chǎn)品技術(shù)支持部 肖正宏摘要:本文主要對 TCP/IP協(xié)議結(jié)構(gòu)、各層功能做簡單闡述,并對各層協(xié)議自身潛在的 安全性隱患做了分析討論,供我們在做數(shù)據(jù)網(wǎng)絡(luò)安全與優(yōu)化服務(wù)項(xiàng)目時(shí)參考。關(guān)鍵詞:TCP/IP、協(xié)議、安全、分析、路由、 ICMP 、 DNS近年來,黑客利用 Internet 作案的事件頻頻發(fā)生,導(dǎo)致絕密信息被竊取、重要數(shù)據(jù)被刪 除、 網(wǎng)絡(luò)系統(tǒng)遭破壞等嚴(yán)重后果, 給用戶造成了極大的損失。 盡管已采取了一些安全措 施, 并且也已起到了很大的作用, 但網(wǎng)絡(luò)中仍存在著許多安全缺口, 成為黑客的進(jìn)攻突 破點(diǎn)。 TCP/IP作為 Internet 使用的標(biāo)準(zhǔn)協(xié)議集,是

2、黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。本文 主要圍繞 TCP/IP的安全性隱患進(jìn)行討論。1 TCP/IP的協(xié)議結(jié)構(gòu)TCP/IP是一組協(xié)議的集合, 除了最常用的 TCP 和 IP 協(xié)議外, 還包含許多其他的工具性 協(xié)議、管理協(xié)議及應(yīng)用協(xié)議。 TCP/IP的協(xié)議結(jié)構(gòu)如下圖所示。 其中, 應(yīng)用層向用戶提供訪問 Internet 的一些高層協(xié)議, 使用最廣泛的有 TELNET 、 FTP 、 SMTP 、 DNS 等,同時(shí)新的應(yīng)用協(xié)議還在不斷涌現(xiàn)。傳輸層的作用是提供應(yīng)用程序 (端 到端 的通信服務(wù),該層有兩個(gè)協(xié)議:傳輸控制協(xié)議 TCP 和用戶數(shù)據(jù)報(bào)協(xié)議 UDP 。前者 提供高可靠的面向連接的數(shù)據(jù)傳送服務(wù), 后者

3、提供無連接的高效率的數(shù)據(jù)傳送服務(wù)。 網(wǎng) 間層負(fù)責(zé)相鄰主機(jī)之間的通信,該層協(xié)議主要有 IP 和 ICMP 等。網(wǎng)絡(luò)訪問層是 TCP/IP協(xié)議軟件的最低一層,其主要工作有:負(fù)責(zé)接收 IP 數(shù)據(jù)報(bào),通過網(wǎng)絡(luò)向外發(fā)送或者從 網(wǎng)絡(luò)上接收物理幀,抽出 IP 數(shù)據(jù)報(bào)向上層傳送。對不同的物理網(wǎng)絡(luò)配以相應(yīng)的網(wǎng)絡(luò)訪 問協(xié)議,如物理網(wǎng)是以太網(wǎng)時(shí),網(wǎng)絡(luò)訪問協(xié)議須使用 IP -E(RFC894。2 協(xié)議安全性分析2.1 TCP協(xié)議TCP 使用三次握手機(jī)制來建立一條連接,握手的第一個(gè)報(bào)文為 SYN 包;第二個(gè)報(bào)文為 SYN/ACK包,表明它應(yīng)答第一個(gè) SYN 包同時(shí)繼續(xù)握手過程;第三個(gè)報(bào)文僅僅是一個(gè) 應(yīng)答,表示為 ACK

4、 包。若 A 為連接方, B 為響應(yīng)方,其間可能的威脅有:z攻擊者監(jiān)聽 B 方發(fā)出的 SYN/ACK報(bào)文。z攻擊者向 B 方發(fā)送 RST 包,接著發(fā)送 SYN 包,假冒 A 方發(fā)起新的連接。zB 方響應(yīng)新連接,并發(fā)送連接響應(yīng)報(bào)文 SYN/ACK。z攻擊者再假冒 A 方對 B 方發(fā)送 ACK 包。這樣攻擊者便達(dá)到了破壞連接的作用, 若攻擊者再趁機(jī)插入有害數(shù)據(jù)包, 則后果更嚴(yán)重。 TCP 協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流, 用一個(gè) 32位整數(shù)對傳送的字節(jié)編號(hào)。 初始序列號(hào) (ISN在 TCP 握手時(shí)產(chǎn)生,產(chǎn)生機(jī)制與協(xié)議實(shí)現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主 機(jī)發(fā)送一個(gè)連接請求,即可獲得上次連接的 IS

5、N ,再通過多次測量來回傳輸路徑,得到 進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來回時(shí)間 RTT 。已知上次連接的 ISN 和 RTT , 很容易就能預(yù)測下一次連接的 ISN 。 若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出 TCP 連接, 并預(yù)測到目標(biāo)主機(jī)的 TCP 序列號(hào), 攻擊者就能偽造有害數(shù)據(jù)包, 使之被目標(biāo)主機(jī)接受。2.2 IP協(xié)議和 ICMP 協(xié)議IP 協(xié)議是 TCP/IP中最重要的協(xié)議之一, 提供無連接的數(shù)據(jù)包傳輸機(jī)制, 其主要功能有:尋址、路由選擇、分段和組裝。傳送層把報(bào)文分成若干個(gè)數(shù)據(jù)報(bào),每個(gè)數(shù)據(jù)包在網(wǎng)關(guān)中 進(jìn)行路由選擇, 穿越一個(gè)個(gè)物理網(wǎng)絡(luò)從源主機(jī)到達(dá)目標(biāo)主機(jī)。 在傳輸過程中數(shù)據(jù)包可能 被

6、分成若干小段, 以滿足物理網(wǎng)絡(luò)中最大傳輸單元長度的要求, 每一小段都當(dāng)作一個(gè)獨(dú) 立的數(shù)據(jù)包被傳輸,其中只有第一個(gè)數(shù)據(jù)報(bào)含有 TCP 層的端口信息。在包過濾防火墻 中根據(jù)數(shù)據(jù)包的端口號(hào)檢查是否合法, 這樣后續(xù)數(shù)據(jù)包可以不經(jīng)檢查而直接通過。 攻擊 者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包, 以非法端口號(hào)為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有 合法端口號(hào)的數(shù)據(jù)包, 那么該路由器防火墻上的過濾規(guī)則被旁路, 從而攻擊者便達(dá)到了 進(jìn)攻目的。ICMP 是在網(wǎng)間層中與 IP 一起使用的協(xié)議。如果一個(gè)網(wǎng)關(guān)不為 IP 分組選擇路由、不能遞交 IP 分組或者測試到某種不正常狀態(tài),如網(wǎng)絡(luò)擁擠影響 IP 分組的傳遞,那么就需要 ICM

7、P 來通知源端主機(jī)采取措施,避免或糾正這類問題。 ICMP 被認(rèn)為是 IP 協(xié)議不可缺 少的組成部分,是 IP 協(xié)議正常工作的輔助協(xié)議。ICMP 協(xié)議存在的安全缺口有:z攻擊者可利用 ICMP 重定向報(bào)文破壞路由,并以此增強(qiáng)其竊聽能力。z攻擊者可利用不可達(dá)報(bào)文對某用戶節(jié)點(diǎn)發(fā)起拒絕服務(wù)攻擊。2.3 路由協(xié)議Internet 使用動(dòng)態(tài)路由, 通過路由器相互通信和傳遞路由信息, 實(shí)現(xiàn)路由表的自動(dòng)更新。 自治域內(nèi)部采用的路由協(xié)議稱為內(nèi)部網(wǎng)關(guān)協(xié)議,常用的有路由信息協(xié)議 RIP(Routing Information Protocol、 開放式最短路徑優(yōu)先協(xié)議 OSPF(Open Shortest Pat

8、h First。 外部網(wǎng) 關(guān)協(xié)議主要用于多個(gè)自治域之間的路由選擇,常用的是邊界網(wǎng)關(guān)協(xié)議 BGP(Border Gateway Protocol。路由協(xié)議存在的安全缺口有:z許多路由協(xié)議使用未加密的非一次性口令來證實(shí)數(shù)據(jù)中的路由信息, 容易遭到非法 竊聽。 攻擊者通過偽造一非法路由器或者其它手段發(fā)送偽造路由信息, 擾亂合法路 由器的路由,從而使本應(yīng)到達(dá)目標(biāo)主機(jī)的數(shù)據(jù)包轉(zhuǎn)發(fā)至入侵主機(jī)。z由于 BGP 通過 TCP 傳送數(shù)據(jù), 目前對 TCP 不斷加劇的攻擊也是影響 BGP 安全的一個(gè) 重要因素。2.4 域名系統(tǒng)為了解決 IP 地址難于記憶的問題, TCP/IP設(shè)計(jì)了一種層次性命名協(xié)議,即域名系統(tǒng) DNS ,其作用是自動(dòng)將主機(jī)域名轉(zhuǎn)換成對應(yīng)的 IP 地址。 DNS 也存在著一些安全缺口, 主要有:z由于 DNS 缺乏密碼認(rèn)證機(jī)制, 攻擊者可通過假冒其它系統(tǒng)或截取發(fā)往其它系統(tǒng)的郵 件等手段,對用戶造成危害。z目前許多防火墻產(chǎn)品基于未證實(shí)的 IP 地址來作出有關(guān)網(wǎng)絡(luò)外部存取的決策,其中 若被插入假 DNS 信息,就