TCP IP協(xié)議的安全性與防范論文

1、畢業(yè)設(shè)計(jì)題目TCP/IP協(xié)議的安全性與防范摘要Internet的日益普及給人們的生活和工作方式帶來了巨大的變革，人們 在享受網(wǎng)絡(luò)技術(shù)帶來的便利的同時(shí)，安全問題也提上了議事日程，網(wǎng)絡(luò)安全也成為計(jì)算機(jī)領(lǐng)域的研究熱點(diǎn)之一。本文在介紹因特網(wǎng)中使用的 TCP/IP協(xié)議的基礎(chǔ)上，對(duì)TCP/IP協(xié)議的安全 性進(jìn)行了較為全面的討論，從理論上分析了協(xié)議中幾種主要的安全隱患，然后在分析有關(guān)安全協(xié)議的研究成果的基礎(chǔ)上，并加以防范。將網(wǎng)絡(luò)安全理論與實(shí) 踐結(jié)合是提高網(wǎng)絡(luò)安全性的有效途徑。本文利用目前常用的協(xié)議分析工具對(duì)TCP/IP協(xié)議子過程進(jìn)行了深入的分析，希望能對(duì)未來的信息社會(huì)中網(wǎng)絡(luò)安全 環(huán)境的形成有所幫助。關(guān)鍵詞：

2、TCP/IP 安全性協(xié)議網(wǎng)絡(luò)ABSTRACTThe increasingly popularization of Internet brings great changes to the manners of peoples living and working. As people enjoy the convenience brought by network technology, security issues also come into consideration. Network security also becomes one of the research hotspots

3、 in the computer domain.This paper mainly focuses on the security of the TCP/IP protocol on the basis of introduction of the TCP/IP protocol. It also analyzes the several main hidden troubles in this protocol. By analyzing the achievements in the research of the related secure protocol ， and plus in

4、 order to take away. It is an effective way to combine the theory of the network security with the practice. This paper studies deeply on the TCP/IP protocol s sub-process, using the protocol analyzing tools that currently usually used and hope to be helpful to form a network security environment in

5、 the coming information society.Keywords: TCP/IP Security Protocol Network目錄 TOC o 1-5 h z HYPERLINK l bookmark7 o Current Document 引言 5 HYPERLINK l bookmark23 o Current Document 第一章TCP/IP體系結(jié)構(gòu) 6應(yīng)用層 6傳輸層 6網(wǎng)絡(luò)層 7網(wǎng)絡(luò)接口層 7 HYPERLINK l bookmark42 o Current Document 第二章TCP/IP協(xié)議安全設(shè)計(jì)缺陷的攻擊與防范 8 HYPERLINK l boo

6、kmark50 o Current Document 網(wǎng)絡(luò)接口層上的攻擊與防范 8 HYPERLINK l bookmark58 o Current Document 網(wǎng)絡(luò)層上的攻擊與防范 9 HYPERLINK l bookmark90 o Current Document 傳輸層上的攻擊與防范12 HYPERLINK l bookmark102 o Current Document 應(yīng)用層上的攻擊與防范14 HYPERLINK l bookmark109 o Current Document 第三章測(cè)試TCP/IP協(xié)議 16 HYPERLINK l bookmark118 o Curren

7、t Document 第四章用協(xié)議分析工具學(xué)習(xí)TCP/IP 17網(wǎng)絡(luò)環(huán)境 17測(cè)試過程 17過程分析 19實(shí)例分析 22 HYPERLINK l bookmark163 o Current Document 總結(jié) 26 HYPERLINK l bookmark166 o Current Document 參考文獻(xiàn) 27 HYPERLINK l bookmark181 o Current Document 致謝 28 HYPERLINK l bookmark184 o Current Document 附錄 29引言由于自身的缺陷、網(wǎng)絡(luò)的開放性以及黑客的攻擊是造成互聯(lián)網(wǎng)絡(luò)不安全的 主要原因。TC

8、P/IP作為Internet使用的標(biāo)準(zhǔn)協(xié)議集，是黑客實(shí)施網(wǎng)絡(luò)攻擊的 重點(diǎn)目標(biāo)。TCP/IP協(xié)議族是目前使用最廣泛的網(wǎng)絡(luò)互聯(lián)協(xié)議。但TCP/IP協(xié)議組本身存在著一些安全性問題。TCP/IP協(xié)議是建立在可信的環(huán)境之下，首先 考慮網(wǎng)絡(luò)互聯(lián)缺乏對(duì)安全方面的考慮；這種基于地址的協(xié)議本身就會(huì)泄露口令，而且經(jīng)常會(huì)運(yùn)行一些無關(guān)的程序，這些都是網(wǎng)絡(luò)本身的缺陷。互聯(lián)網(wǎng)技術(shù) 屏蔽了底層網(wǎng)絡(luò)硬件細(xì)節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信。這就給“黑客” 們攻擊網(wǎng)絡(luò)以可乘之機(jī)。由于大量重要的應(yīng)用程序都以 TCP作為它們的傳輸層 協(xié)議，因此TCP的安全性問題會(huì)給網(wǎng)絡(luò)帶來嚴(yán)重的后果。網(wǎng)絡(luò)的開放性，TCP/IP協(xié)議完全公開，遠(yuǎn)程訪問

9、使許多攻擊者無須到現(xiàn)場(chǎng)就能夠得手，連接的主機(jī)基于互相信任的原則等性質(zhì)使網(wǎng)絡(luò)更加不安全。因此，目前正在制定安全協(xié)議， 在互聯(lián)的基礎(chǔ)上考慮了安全的因素， 希望能對(duì)未來的信息社會(huì)中對(duì)安全網(wǎng)絡(luò)環(huán) 境的形成有所幫助。第一章 TCP/IP體系結(jié)構(gòu)Internet上使用的是TCP/IP協(xié)議。IP, “網(wǎng)際互聯(lián)協(xié)議”，即為計(jì)算機(jī)網(wǎng) 絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議。TCP是傳輸控制協(xié)議。TCP/IP協(xié)議是能使 連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的一套規(guī)則， 任何廠家生產(chǎn)的計(jì)算 機(jī)系統(tǒng)，只要遵守IP協(xié)議就可以與因特網(wǎng)互聯(lián)互通。雖然從名字上看TCP/IP包括兩個(gè)協(xié)議，傳輸控制協(xié)議和網(wǎng)際互聯(lián)協(xié)議， 但TCP/IP

10、實(shí)際上是一組協(xié)議，它包括上百個(gè)各種功能的協(xié)議，如：UDP和ICMP等，通常我們叫它TCP/IP協(xié)議族，同其它的協(xié)議族一樣，TCP/IP也是由不同 的層次組成，是一套分層的通信協(xié)議，但一個(gè)系統(tǒng)具體使用何種協(xié)議則取決于 網(wǎng)絡(luò)用戶的需求和網(wǎng)絡(luò)設(shè)計(jì)人員的要求。從OSI的角度看，TCP/IP協(xié)議的層次結(jié)構(gòu)并沒有十分明確的劃分，通常劃分為四個(gè)層次，從上到下依次是應(yīng)用層、 傳輸層、網(wǎng)絡(luò)層和網(wǎng)絡(luò)接口層。應(yīng)用層應(yīng)用層是TCP/IP的最高層，網(wǎng)絡(luò)在此層向用戶提供各種服務(wù)，用戶則調(diào) 用相應(yīng)的程序并通過TCP/IP網(wǎng)絡(luò)來訪問可用的服務(wù)，與每個(gè)傳輸層協(xié)議交互 的應(yīng)用程序負(fù)責(zé)接收和發(fā)送數(shù)據(jù)。Internet在這一層中的協(xié)

11、議主要有：簡(jiǎn)單 電子郵件傳輸（SMTP）、超文本傳輸協(xié)議（HTTP）、文件傳輸協(xié)議（FTP）、網(wǎng)絡(luò) 遠(yuǎn)程訪問協(xié)議（Telnet）、域名服務(wù)協(xié)議（DNS）等，它們分別向用戶提供了電 子郵件、網(wǎng)頁(yè)瀏覽、文件傳輸、遠(yuǎn)程登錄、域名解析等服務(wù)。傳輸層傳輸層的基本任務(wù)是提供應(yīng)用程序之間的通信服務(wù)，即端到端的通信。當(dāng)一個(gè)源主機(jī)上運(yùn)行的應(yīng)用程序要和目的主機(jī)聯(lián)系時(shí)，它就向傳輸層發(fā)送消息， 并以數(shù)據(jù)包的形式送達(dá)目的主機(jī)。 傳輸層不僅要系統(tǒng)地管理信息的流動(dòng)，還要提供可靠的端到端的傳輸服務(wù)，有確保數(shù)據(jù)到達(dá)無差錯(cuò)，無亂序。為了達(dá)到這 個(gè)目的，運(yùn)輸層協(xié)議軟件要提供確認(rèn)和重發(fā)的功能，同時(shí)傳輸層還處理控制、 擁塞控制等事務(wù)。

12、在TCP/IP的傳輸層有兩個(gè)極為重要的協(xié)議：傳輸控制協(xié)議 TCP和用戶數(shù)據(jù)報(bào)協(xié)議UDP。TCP是一個(gè)面向連接的協(xié)議，它允許從一臺(tái)主機(jī) 發(fā)出的報(bào)文無差錯(cuò)地發(fā)往互聯(lián)網(wǎng)上的其它機(jī)器。UDP是一個(gè)不可靠的、無連接協(xié)議，用于不需要TCP排序和流量控制而是自己完成這些功能的應(yīng)用程序。它 也被廣泛地應(yīng)用于只有一次的客戶-服務(wù)器模式的請(qǐng)求-應(yīng)答查詢，以及快速遞 交更重要的應(yīng)用程序，如傳輸語音或影像。另外，它還包含分級(jí)語音通信協(xié)議 NVP 等。網(wǎng)絡(luò)層網(wǎng)絡(luò)層是網(wǎng)絡(luò)互聯(lián)的關(guān)鍵，它解決了機(jī)器之間的通信問題。它接收傳輸層的請(qǐng)求，把來自傳輸層的報(bào)文分組封裝在一個(gè)數(shù)據(jù)報(bào)中，并加上報(bào)頭。然后按 照路由算法來確定是直接交付數(shù)據(jù)

13、報(bào)，還是先把它發(fā)送給某個(gè)路由器，再交給 相應(yīng)的網(wǎng)絡(luò)接口并發(fā)送出去。反過來對(duì)于接收到的數(shù)據(jù)報(bào)，網(wǎng)絡(luò)層要校驗(yàn)其有 效性，然后根據(jù)路由算法決定數(shù)據(jù)報(bào)應(yīng)該在本地處理還是轉(zhuǎn)發(fā)出去。如果數(shù)據(jù)報(bào)的目的主機(jī)處于本機(jī)所在的網(wǎng)絡(luò)，則網(wǎng)絡(luò)層軟件就會(huì)除去報(bào)頭， 再選擇適當(dāng)?shù)膫鬏攲訁f(xié)議來處理這個(gè)分組，同時(shí)網(wǎng)絡(luò)層還處理局域網(wǎng)絡(luò)互聯(lián)和擁塞避免等 事務(wù)。網(wǎng)絡(luò)層有向上面的傳輸層提供服務(wù)、路由選擇、流量控制、網(wǎng)絡(luò)互聯(lián)等 四個(gè)主要功能，Internet的網(wǎng)絡(luò)層協(xié)議主要有 IP協(xié)議、網(wǎng)絡(luò)控制報(bào)文協(xié)議 ICMP、Internet組管理協(xié)議IGMP、地址解析協(xié)議ARP和反向地址轉(zhuǎn)換協(xié)議RARP 等。網(wǎng)絡(luò)接口層網(wǎng)絡(luò)接口層是TCP/IP協(xié)議

14、的最低層，它負(fù)責(zé)接收來自網(wǎng)絡(luò)層的IP數(shù)據(jù)報(bào)， 并把數(shù)據(jù)報(bào)發(fā)送到指定的網(wǎng)絡(luò)上?；驈木W(wǎng)絡(luò)上接收物理幀，抽出網(wǎng)絡(luò)層數(shù)據(jù)報(bào)， 交給網(wǎng)絡(luò)層。網(wǎng)絡(luò)接口層可能由一個(gè)設(shè)備驅(qū)動(dòng)程序組成，也可能是一個(gè)子系統(tǒng)， 且子系統(tǒng)使用自己的鏈路協(xié)議。 從理論上講，該層并不是TCP/IP之間的接口， 是TCP/IP實(shí)現(xiàn)的基礎(chǔ)，這些通信網(wǎng)絡(luò)包括局域網(wǎng)（LAN）、城域網(wǎng)（MAN）、廣 域網(wǎng)（WAN）等。其體系結(jié)構(gòu)及各層集中的協(xié)議如下圖所示：層次結(jié)構(gòu)各層集中的主要協(xié)議應(yīng)用層FTP HTTP TELNET SMTP DNS傳輸層TCP UDP網(wǎng)絡(luò)層IP ARP ICMP IGMP RARP網(wǎng)絡(luò)接口層LAN ARPANET SLIP第二

15、章 TCP/IP協(xié)議安全設(shè)計(jì)缺陷的攻擊與防范分析網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自以下幾個(gè)方面：操作系統(tǒng)的安全性，目前流行的許多聽任系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞；防火墻的安全性，防火墻產(chǎn)品自身是否安全，是否設(shè)置錯(cuò)誤，需要經(jīng) 過認(rèn)真檢驗(yàn)；來自內(nèi)部網(wǎng)用戶的安全檢查威脅；缺乏有效的手段監(jiān)視網(wǎng)絡(luò)系統(tǒng)的安全性；采用的TCP/IP協(xié)議族本身的安全隱患；但由于TCP/IP協(xié)議在網(wǎng)絡(luò)中的廣泛應(yīng)用及其自身安全性上的缺陷，大多 數(shù)攻擊都是基于TCP/IP協(xié)議的，因此我們針對(duì)TCP/IP網(wǎng)絡(luò)的四層結(jié)構(gòu)，從下 向上，就常見的攻擊與防范手段進(jìn)行探討。網(wǎng)絡(luò)接口層上的攻擊與防范網(wǎng)絡(luò)窺探網(wǎng)絡(luò)接口層是TCP/IP網(wǎng)絡(luò)中最復(fù)雜的一個(gè)層次，常見

16、的攻擊是針對(duì)組成 TCP/IP網(wǎng)絡(luò)的以太網(wǎng)進(jìn)行網(wǎng)絡(luò)窺探。所謂網(wǎng)絡(luò)窺探是利用網(wǎng)絡(luò)上的接口接收 不屬于本機(jī)的數(shù)據(jù)。在以太網(wǎng)中，所有的通訊都是廣播的，也就是說在同一個(gè) 網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)，而每一個(gè)網(wǎng)絡(luò)接口都有一個(gè)唯一的硬件地址， 這個(gè)硬件地址就是網(wǎng)卡的MAC地址，在網(wǎng)絡(luò)上 進(jìn)行數(shù)據(jù)通信時(shí)，信息以數(shù)據(jù)報(bào)的形式傳送，其報(bào)頭包含了目的主機(jī)的硬件地 址，只有硬件地址匹配的機(jī)器才會(huì)接收該數(shù)據(jù)報(bào)，然而網(wǎng)絡(luò)上也存在一些能接收所有數(shù)據(jù)報(bào)的機(jī)器(或接口)，稱為雜錯(cuò)節(jié)點(diǎn)。一般情況下，用戶的帳號(hào)和 口令等信息都是以明文的形式在網(wǎng)絡(luò)上傳輸?shù)?，所以一旦被黑客在雜錯(cuò)節(jié)點(diǎn)上窺探到，用戶就可能遭

17、到攻擊，從而遭受難以彌補(bǔ)的損失。針對(duì)這一類攻擊， 通常可采取以下幾種防范措施：網(wǎng)絡(luò)分段：這是防止窺探最有效的手段。在網(wǎng)絡(luò)中使用交換機(jī)、動(dòng)態(tài) 集線器和網(wǎng)橋等設(shè)備，可以對(duì)數(shù)據(jù)流進(jìn)行限制，最理想的情況應(yīng)使每一臺(tái)機(jī)器 都擁有自己的網(wǎng)絡(luò)段，當(dāng)然這會(huì)相應(yīng)地增加很多網(wǎng)絡(luò)建設(shè)費(fèi)用。但可以盡量使相互信任的機(jī)器屬于同一個(gè)網(wǎng)段，并在網(wǎng)段與網(wǎng)段間進(jìn)行硬件屏障，最大限度 地防止窺探的產(chǎn)生。一次性口令技術(shù)：口令并不在網(wǎng)絡(luò)上傳輸而是在兩端進(jìn)行字符串的匹配，客戶端利用從服務(wù)器上得到的 Challenge和字符串只使用一次，我們就從 一定程度上限制了網(wǎng)絡(luò)窺探。加密：對(duì)在網(wǎng)絡(luò)中傳送的敏感數(shù)據(jù)進(jìn)行加密時(shí)，如用戶 ID或口令等， 大

18、多采用SSH、FSSH等加密手段。禁用雜錯(cuò)節(jié)點(diǎn)：安裝不支持雜錯(cuò)的網(wǎng)卡，通常可以有效地防止IBM兼容機(jī)進(jìn)行窺探。網(wǎng)絡(luò)層上的攻擊與防范路由欺騙每一個(gè)IP數(shù)據(jù)報(bào)都是在主機(jī)的網(wǎng)絡(luò)層被檢查， 用以決定是轉(zhuǎn)發(fā)同一子網(wǎng) 中的主機(jī)還是下一個(gè)路由器。路由欺騙有多種方法，但都有是采用偽造路由表， 錯(cuò)誤引導(dǎo)非本地的數(shù)據(jù)報(bào)而實(shí)現(xiàn)的?；谠绰酚傻墓粢话闱闆r下，IP路由過程中是由路由器來動(dòng)態(tài)決定下一個(gè)驛站的。但是 在TCP/IP協(xié)議中，IP數(shù)據(jù)報(bào)為進(jìn)行測(cè)試而直接設(shè)置了一個(gè)選項(xiàng)，通過IP欺騙的方式，構(gòu)造一個(gè)通往服務(wù)器的直接路徑，從而對(duì)服務(wù)器展開攻擊。防止源路由欺騙方法：通過檢測(cè)本機(jī)的常駐數(shù)據(jù)，查看此信息是否來自于合法的路

19、由器，防 止路由欺騙；通過在服務(wù)器的網(wǎng)絡(luò)中禁用相關(guān)的路由來防止這種攻擊?；赗IP攻擊現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)通常使用動(dòng)態(tài)路由算法，RIP協(xié)議是為了對(duì)局域網(wǎng)中的節(jié) 點(diǎn)提供一致路由選擇和可達(dá)性信息而設(shè)計(jì)的。但TCP/IP協(xié)議并未要求各節(jié)點(diǎn)檢查收到信息的真實(shí)性，因此，攻擊者可能使用RIP特權(quán)主機(jī)的520端口廣播 假的路由信息來達(dá)到欺騙的目的。防止RIP攻擊的方法是：禁止路由器被動(dòng)使用RIP和限制被動(dòng)使用RIP的范圍。2.IP拒絕服務(wù)攻擊(Smurf攻擊)基于互聯(lián)網(wǎng)控制信息包(ICMP )的Smurf攻擊是一種強(qiáng)力的拒絕服務(wù)攻擊方法，主要利用的是IP協(xié)議的直接廣播特性。Smurf攻擊對(duì)被攻擊的網(wǎng)絡(luò)， 以及被利

20、用來做擴(kuò)散器的網(wǎng)絡(luò)都具有破壞性。在這種拒絕服務(wù)攻擊中，主要的角色有：攻擊者、中間代理（也就是所說的擴(kuò)散器）犧牲品（目標(biāo)主機(jī)）Smurf攻擊僅僅是利用IP路由漏洞的攻擊方法。攻擊通常分為以下五步：（1）鎖定一個(gè)被攻擊的主機(jī)（通常是一些Web服務(wù)）；（2）尋找可作為中間代理的站點(diǎn)，用來對(duì)攻擊實(shí)施放大；（3）黑客給中間代理站點(diǎn)的廣播地址發(fā)送大量的ICMP包（主要是指Pingecho包）。這些數(shù)據(jù)包全都以被攻擊的主機(jī)的IP地址作為IP包的源地址；（4）中間代理向其所在的子網(wǎng)上的所有主機(jī)發(fā)送源IP地址欺騙的數(shù)據(jù)包；（5）中間代理主機(jī)對(duì)被攻擊的網(wǎng)絡(luò)進(jìn)行響應(yīng)。防止網(wǎng)絡(luò)遭受Smurf攻擊：千萬不能讓網(wǎng)絡(luò)里的人

21、發(fā)起這樣的攻擊。在Smurf攻擊中，有大量的源欺騙的IP數(shù)據(jù)包離開了第一個(gè)網(wǎng)絡(luò)。通過在路由器上使用輸出過濾，就可以濾掉這樣的包，從而阻止從網(wǎng)絡(luò)中發(fā)起的Smurf攻擊。在路由器上增加這類過 濾規(guī)則的命令是：Access-list 100 permit IP 網(wǎng)絡(luò)號(hào) 網(wǎng)絡(luò)子網(wǎng)掩碼 any Access-list 100 deny IP any any ；在局域網(wǎng)的邊界路由器上使用這一訪問列表的過濾規(guī)則，就可以阻止網(wǎng)絡(luò)上的任何人向局域網(wǎng)外發(fā)送這種源欺騙的 IP數(shù)據(jù)包。停止網(wǎng)絡(luò)作為中間代理。如果沒有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個(gè)接口上設(shè)置禁止直接廣播，命令如下：no ip dir

22、ected-broadcast ；如果網(wǎng)絡(luò)比較大，具有多個(gè)路由器，那么可以在邊界路由器上使用以下命令：ip verify unicast reverse-path ；讓路由器對(duì)具有相反路徑的ICMP欺騙數(shù)據(jù)包進(jìn)行校驗(yàn)，丟棄那些沒有路徑存在的包。最好是運(yùn)行Cisco快速轉(zhuǎn) 發(fā)（CEF），或者其它相應(yīng)的軟件。這是因?yàn)樵诼酚善鞯腃EF表中，列出了該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個(gè)源IP地址為的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址提供任何路由（即反向數(shù)據(jù)包 傳輸時(shí)所需的路由），則路由器會(huì)丟棄它。ARP欺騙TCP/IP中

23、使用的地址轉(zhuǎn)換協(xié)議 ARP，主要解決32位的IP地址和物理地址 的互相轉(zhuǎn)換問題。在TCP/IP網(wǎng)絡(luò)環(huán)境下，每個(gè)主機(jī)都分配了一個(gè)32位的IP地址，這種互聯(lián)網(wǎng)地址是在國(guó)際范圍內(nèi)唯一標(biāo)識(shí)主機(jī)的一種邏輯地址。為了讓報(bào)文在物理網(wǎng)上傳送，還必須知道相應(yīng)的物理地址，我們就存在把互聯(lián)網(wǎng)地址變換為物理地址的地址轉(zhuǎn)換問題。以以太網(wǎng)為例，在進(jìn)行報(bào)文發(fā)送時(shí)，如果源 網(wǎng)絡(luò)層給的報(bào)文只有IP地址，而沒有對(duì)應(yīng)的以太網(wǎng)地址，則網(wǎng)絡(luò)層廣播ARP請(qǐng)求以獲取目的站信息，而目的站必須回答該ARP請(qǐng)求。這樣源站點(diǎn)可以收到 以太網(wǎng)48位地址，并將地址放入相應(yīng)的高速緩存(cache)。下一次源站點(diǎn)對(duì) 同一目的站點(diǎn)的地址轉(zhuǎn)換可直接引用高速緩

24、存中的地址內(nèi)容。地址轉(zhuǎn)換協(xié)議 ARP使主機(jī)只需給出目的主機(jī)的IP地址就可以找出同一物理網(wǎng)絡(luò)中任一個(gè)物理主機(jī)的物理地址。由于cache中的數(shù)據(jù)通常幾分鐘后就會(huì)過期，攻擊者就可以偽造IP-物理地址聯(lián)系，并且可以使用不工作主機(jī)的IP地址。一旦cache中的數(shù)據(jù)過期，攻擊者便可入侵信任服務(wù)器。ARP欺騙防范：1、在 win xp 下輸入命令： arp -s gate-way-ip gate-way-mac 固化 arp 表，阻止arp欺騙。2、通過查詢IP-MAC對(duì)應(yīng)表不要把網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上或MAC基礎(chǔ)上，理想的關(guān)系應(yīng)該建立在IP+MAC基礎(chǔ)上。設(shè)置靜態(tài)的MAC-IP對(duì)應(yīng)表，不要讓主機(jī)

25、刷新設(shè)定好的轉(zhuǎn)換表。除非很有必要，否則停止使用ARP，將ARP作為永久條目保存在對(duì)應(yīng)表中。使用ARP服務(wù)器。通過該服務(wù)器查找自己的ARP轉(zhuǎn)換表來響應(yīng)其他機(jī)器的ARP廣播。確保這臺(tái)ARP服務(wù)器不被黑。使用proxy代理IP的傳輸。使用硬件屏蔽主機(jī)。設(shè)置好的路由，確保IP地址能到達(dá)合法的路徑。管理員定期用響應(yīng)的IP包中獲得一個(gè)rarp請(qǐng)求，然后檢查ARP響應(yīng) 的真實(shí)性管理員定期輪詢，檢查主機(jī)上的 ARP緩存。使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。注意有使用SNMP的情況下，ARP的欺騙有 可能導(dǎo)致陷阱包丟失。網(wǎng)際控制報(bào)文協(xié)議攻擊(Ping of Death攻擊)ICMP即Internet控制消息協(xié)議。用于在 I

26、P主機(jī)、路由器之間傳遞控制 消息。控制消息是指網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的 消息。Ping就是最常用的基于ICMP的服務(wù)。ICMP協(xié)議本身的特點(diǎn)決定了它非 常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)。比如，可以利用操作系統(tǒng)規(guī)定的 ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定，向主機(jī)發(fā)起“Ping of Death ”攻 擊。“Ping of Death”攻擊的原理是：利用IP廣播發(fā)送偽造的ICMP回應(yīng)請(qǐng) 求包，向目標(biāo)主機(jī)長(zhǎng)時(shí)間、連續(xù)、大量地發(fā)送ICMP數(shù)據(jù)包，使得目標(biāo)主機(jī)耗費(fèi)大量的CPU資源處理。如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時(shí)，主機(jī)就會(huì)出 現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP

27、/IP堆棧崩潰，致使主機(jī)死機(jī)。對(duì)于“ Ping of Death ”攻擊,可以采取兩種方法進(jìn)行防范：路由器上對(duì)ICMP數(shù)據(jù)包進(jìn)行帶寬限制，將ICMP占用的帶寬控制在一定 的范圍內(nèi)。這樣即使有ICMP攻擊，它所占用的帶寬也是非常有限的，對(duì)整個(gè)網(wǎng) 絡(luò)的影響非常少；在主機(jī)上設(shè)置ICMP數(shù)據(jù)包的處理規(guī)則，最好是設(shè)定拒絕所有的ICMP數(shù)據(jù)包。傳輸層上的攻擊與防范TCP連接欺騙(IP欺騙)IP協(xié)議在互聯(lián)網(wǎng)絡(luò)之間提供無連接的數(shù)據(jù)包傳輸。IP協(xié)議根據(jù)IP頭中的 目的地址項(xiàng)來發(fā)送IP數(shù)據(jù)包。也就是說，IP路由IP包時(shí)，對(duì)IP頭中提供的源 地址不作任何檢查，并且認(rèn)為IP頭中的源地址即為發(fā)送該包的機(jī)器的 IP地址。

28、 這樣，許多依靠IP源地址做確認(rèn)的服務(wù)將產(chǎn)生問題并且會(huì)被非法入侵。 其中最 重要的就是利用IP欺騙引起的各種攻擊。以防火墻為例，一些網(wǎng)絡(luò)的防火墻只允許網(wǎng)絡(luò)信任的IP數(shù)據(jù)包通過。但是由于IP地址不檢測(cè)IP數(shù)據(jù)包中的IP源地址是否為發(fā)送該包的源主機(jī)的真實(shí) 地址，攻擊者可以采用IP源地址欺騙的方法來繞過這種防火墻。另外有一些以IP地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用IP源地址欺騙 的方法獲得特權(quán)，從而給被攻擊者造成嚴(yán)重的損失。事實(shí)上，每一個(gè)攻擊者都可 以利用IP不檢驗(yàn)IP頭源地址的特點(diǎn)，自己填入偽造的IP地址來進(jìn)行攻擊，使 自己不被發(fā)現(xiàn)。基于IP欺騙的防范方法有：（1）拋棄基于地址的

29、信任策略；（2）進(jìn)行包過濾。如果網(wǎng)絡(luò)是通過路由器接入Internet的，那么可以利用路由器來進(jìn)行包過濾。確認(rèn)只有內(nèi)部LAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)要慎重處理。路由器可以過濾掉所有來自于外部而希 望與內(nèi)部建立連接的請(qǐng)求；（3）使用加密技術(shù)。阻止IP欺騙的一種簡(jiǎn)單的方法是在通信時(shí)要求加密傳 輸和驗(yàn)證。當(dāng)有多種手段并存時(shí)，加密方法可能最為適用。SYN Flood 攻擊TCP是基于連接的。為了在主機(jī) A和B之間傳送TCP數(shù)據(jù)，必須先通過3 次握手機(jī)制建立一條TCP連接。若A為連接方、B為響應(yīng)方，則連接建立過程 如下：首先，連接方A發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文（即

30、同步報(bào)文）給B,SYN 報(bào)文會(huì)指明連接方A使用的端口以及TCP連接的初始序號(hào)X;隨后，響應(yīng)方B 在收到連接方A的SYN報(bào)文后，返回一個(gè)SYN+ACK的報(bào)文（其中SYN是自己的 初始序號(hào)Y,ACK為確認(rèn)號(hào)X+1,表示客戶端的請(qǐng)求被接受，正在等待下一個(gè)報(bào) 文）。最后，連接方A也返回一個(gè)確認(rèn)報(bào)文ACK（序列號(hào)y+1）給響應(yīng)方B。到此 一個(gè)TCP連接完成。在連接過程中，可能受到的威脅如下：攻擊者監(jiān)聽B方發(fā)出的SYN+ACK報(bào)文, 然后向B方發(fā)送RST包。接著發(fā)送SYN包，假冒A方發(fā)起新的連接。B方響應(yīng) 新連接，并發(fā)送連接響應(yīng)報(bào)文SYN+ACK。攻擊者再假冒A方對(duì)B方發(fā)送ACK包。 這樣攻擊者便達(dá)到了破

31、壞連接的作用。若攻擊者再趁機(jī)插入有害數(shù)據(jù)包，則后果更嚴(yán)重。例如，在TCP的3次握手中，假設(shè)1個(gè)用戶向服務(wù)器發(fā)送了 SYN報(bào)文后突然 死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無法收到客戶端的ACK報(bào)文的（即第3次握手無法完成），這種情況下服務(wù)器端一般會(huì)再次發(fā)送 SYN+ACK給客戶端，并等待一段時(shí)間后丟棄這個(gè)未完成的連接 ，這段時(shí)間的長(zhǎng) 度我們稱為SYN Timeout, 一般來說這個(gè)時(shí)間是分鐘的數(shù)量級(jí)（大約為30秒-2 分鐘）；1個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待 1分鐘并不是什么大問題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常 大的半連接列表而消

32、耗非常多的資源。服務(wù)器端將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無暇理睬客戶的正常請(qǐng)求，此時(shí)從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作服務(wù)器端受到了SYN Flood攻擊。如下圖所示TCP Syn攻擊客尸服務(wù)器客戶圍鋅器(1) TCP SynCDTCP Syn1TCP Syn AcKTCP AcK分配資溫等帝回復(fù)TCP Syn AcK等帝回復(fù)等律超時(shí)(Ti恥Out)正常TCP請(qǐng)求SYN-Flooding 攻擊示意圖對(duì)于SYN Flood攻擊，可以從以下幾個(gè)方面加以防范：對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的 SYN請(qǐng)求連接數(shù) 據(jù)包復(fù)位，同時(shí)通過縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系

33、統(tǒng)能迅速處理無效的 SYN請(qǐng)求數(shù)據(jù)包；建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制 SYN半開數(shù)據(jù)包的流量和個(gè)數(shù)；建議在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過 程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類 攻擊。應(yīng)用層上的攻擊與防范DNS欺騙當(dāng)主機(jī)需要將一個(gè)域名轉(zhuǎn)化為IP地址時(shí)，它會(huì)向某DNS服務(wù)器發(fā)送一個(gè)查詢請(qǐng)求。同樣道理，將IP地址轉(zhuǎn)化為域名時(shí)，可發(fā)送一個(gè)反查詢請(qǐng)求。這 樣，一旦DNS服務(wù)器中的數(shù)據(jù)被修改破壞，DNS欺騙就會(huì)產(chǎn)生。因?yàn)榫W(wǎng)絡(luò)上的 主機(jī)都信任DNS服務(wù)器，所以一個(gè)被破壞的DNS服務(wù)器就可以將客戶引導(dǎo)到非 法的服務(wù)器，從而就

34、可以使某個(gè)IP地址產(chǎn)生IP欺騙。防范方法有：直接用IP訪問重要的服務(wù)，這樣至少可以避開DNS欺騙攻擊，這種方 式簡(jiǎn)單，但有時(shí)不現(xiàn)實(shí)；在主機(jī)上保留一個(gè)域名和相應(yīng)IP地址的數(shù)據(jù)庫(kù)，至少要保留信任主機(jī)的相關(guān)信息，同時(shí)使用交叉查詢的方法來杜絕攻擊的發(fā)生；加密所有對(duì)外的數(shù)據(jù)流，對(duì)服務(wù)器來說就是使用SSH之類的有加密支持 的協(xié)議，對(duì)一般用戶應(yīng)該用PGP之類的軟件加密所有發(fā)到網(wǎng)絡(luò)上的數(shù)據(jù)。第三章測(cè)試TCP/IP協(xié)議安裝網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)協(xié)議之后，一般要進(jìn)行TCP/IP協(xié)議的測(cè)試工作，應(yīng)從局域網(wǎng)和互聯(lián)網(wǎng)兩個(gè)方面測(cè)試，以下是利用命令行測(cè)試TCP/IP配置的步驟：1、單擊“開始” / “運(yùn)行”，輸入CMD按回車，打開

35、命令提示符窗口。2、首先檢查IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器地址是否正確， 輸入命令ipconfig/all,按回車。此時(shí)顯示了網(wǎng)絡(luò)配置，觀查是否正確。3、輸入ping ，觀查網(wǎng)卡是否能轉(zhuǎn)發(fā)數(shù)據(jù)，如果出現(xiàn)“ Requesttimed out”，表明配置差錯(cuò)或網(wǎng)絡(luò)有問題。界面不通有兩種情況，一是該計(jì)算 機(jī)不存在或沒接網(wǎng)線，二是該計(jì)算機(jī)安裝了防火墻并設(shè)置為不允許ping。4、Ping 一個(gè)互聯(lián)網(wǎng)地址，如ping 8,看是否有數(shù)據(jù)包傳回， 以驗(yàn)證與互聯(lián)網(wǎng)的連接性。5、Ping 一個(gè)局域網(wǎng)地址，觀查與它的連通性。6、用nslookup測(cè)試DNS解析是否正確，輸入如nslookup ， 查看是

36、否能解析。如果計(jì)算機(jī)通過了全部測(cè)試， 則說明網(wǎng)絡(luò)正常，否則網(wǎng)絡(luò)可能有不同程度 的問題。不過，要注意，在使用 ping命令時(shí)，有些公司會(huì)在其主機(jī)設(shè)置丟棄 ICMP數(shù)據(jù)包，造成ping命令無法正常返回?cái)?shù)據(jù)包，不防換個(gè)網(wǎng)站試試。第四章用協(xié)議分析工具學(xué)習(xí)TCP/IP目前，網(wǎng)絡(luò)的速度發(fā)展非?？?TCP/IP協(xié)議是網(wǎng)絡(luò)的基礎(chǔ)，是 Internet 的語言，可以說沒有 TCP/IP協(xié)議就沒有互聯(lián)網(wǎng)的今天。利用協(xié)議分析 IRIS 工具學(xué)習(xí)TCP/IP，在學(xué)習(xí)的過程中能直觀的看到數(shù)據(jù)的具體傳輸過程。4.1網(wǎng)絡(luò)環(huán)境如圖1所示2掀號(hào)機(jī)1號(hào)機(jī) TOC o 1-5 h z II_I _ 一LIII1 insL| |口飄

37、圖1為了表述方便，下文中208號(hào)機(jī)即指地址為08的計(jì)算機(jī)， 1號(hào)即指地址為的計(jì)算機(jī)。2、操作系統(tǒng)兩臺(tái)機(jī)器都為Windows 2003，1號(hào)機(jī)機(jī)器作為服務(wù)器，安裝 FTP服務(wù)器。3、協(xié)議分析工具本文選用Iris作為協(xié)議分析工具。在客戶機(jī)208號(hào)機(jī)安裝IRIS軟件。4.2 測(cè)試過程1、測(cè)試?yán)訉?號(hào)機(jī)計(jì)算機(jī)中的一個(gè)文件通過 FTP下載到208號(hào)機(jī)中。2、IRIS的設(shè)置由于IRIS具有網(wǎng)絡(luò)監(jiān)聽的功能，如果網(wǎng)絡(luò)環(huán)境中還有其它的機(jī)器將抓很 多別的數(shù)據(jù)包，因此首先將IRIS設(shè)置為只抓208號(hào)機(jī)和1號(hào)機(jī)之間的數(shù)據(jù)包。 設(shè)置過程如下：用熱鍵CTRL+B彈出如圖2地址表，在表中填寫機(jī)器的 IP地址，為了 對(duì)抓的

38、包看得更清楚不要添主機(jī)的名字(name),設(shè)置好后關(guān)閉此窗口。圖2用熱鍵CTRL+E彈出如圖3過濾設(shè)置，選擇左欄 IP address ”，右欄 將address book中的地址拽到下面，設(shè)置好后確定，這樣就這抓這兩臺(tái)計(jì)算 機(jī)之間的包。:dlt filter setthiys燃* Hardware filterT Layer Z, 3WurdsMA亡 addressIP addressPortsAdvancedIP addressNoAddrei3i3 1Dir.AddEei3i3 21192.ICO.113.203t=3，|192.ICO.11.125456間 This host 1G8.

39、 113.ffl-Dr u ide as t/Hiil t i c t曰 Aldr es 3 Be ck 192.16S.113.SOS D192.168,113,1 OM&iIhG IiLcludeL Ek ClUliXXXXXXX確號(hào) 職清 I 甌用 I 做 j圖33、抓包按下IRIS工具欄中開始按鈕如圖4所示的。在瀏覽器中輸入： FTP:/，找到要下載的文件，鼠標(biāo)右鍵該文件，在彈出的菜單 中選擇“復(fù)制到文件夾”開始下載，下載完后在IRIS工具欄中按按鈕停止抓包。圖4過程分析1、TCP/IP的基本原理網(wǎng)絡(luò)是分層的，每一層分別負(fù)責(zé)不同的通信功能。TCP/IP通常被認(rèn)為是一個(gè)四層協(xié)議系統(tǒng)，TC

40、P/IP協(xié)議族是一組不同的協(xié) 議組合在一起構(gòu)成的協(xié)議族，如圖5所示。圖5各層協(xié)議的關(guān)系數(shù)據(jù)發(fā)送時(shí)是自上而下，層層加碼；數(shù)據(jù)接收時(shí)是自下而上，層層解碼。 當(dāng)應(yīng)用程序用TCP傳送數(shù)據(jù)時(shí)，數(shù)據(jù)被送入?yún)f(xié)議棧中，然后逐個(gè)通過每一層直 到被當(dāng)作一串比特流送入網(wǎng)絡(luò)。其中每一層對(duì)收到的數(shù)據(jù)都要增加一些首部信 息(有時(shí)還要增加尾部信息)，該過程如圖6所示。TCP傳給IP的數(shù)據(jù)單元稱 作TCP報(bào)文段或簡(jiǎn)稱為TCP段。I P傳給網(wǎng)絡(luò)接口層的數(shù)據(jù)單元稱作 IP數(shù)據(jù) 報(bào)。通過以太網(wǎng)傳輸?shù)谋忍亓鞣Q作幀(Frame)。數(shù)據(jù)發(fā)送時(shí)是按照?qǐng)D6自上而下，層層加碼；數(shù)據(jù)接收時(shí)是自下而上，層 層解碼。圖6邏輯上通訊是在同級(jí)完成的垂直

41、方向的結(jié)構(gòu)層次是當(dāng)今普遍認(rèn)可的數(shù)據(jù)處理的功能流程。每一層都有與其相鄰層的接口。為了通信，兩個(gè)系統(tǒng)必須在各層之間傳遞數(shù)據(jù)、指令、地 址等信息，通信的邏輯流程與真正的數(shù)據(jù)流的不同。雖然通信流程垂直通過各層次，但每一層都在邏輯上能夠直接與遠(yuǎn)程計(jì)算機(jī)系統(tǒng)的相應(yīng)層直接通信。 從圖7可以看出，通訊實(shí)際上是按垂直方向進(jìn)行的， 但在邏輯上通信是在同級(jí) 進(jìn)行的。FTP1 rr-：!.；ITJ?客戶m| i-間|,._也Q何洛居:、河土：一：姒唯綁SITE* 匚洲圖72、過程描述為了更好的分析協(xié)議，我們先描述一下上述例子數(shù)據(jù)的傳輸步驟。如圖8所示：FTP客戶端請(qǐng)求TCP用服務(wù)器的IP地址建立連接。TCP發(fā)送一個(gè)連

42、接請(qǐng)求分段到遠(yuǎn)端的主機(jī)，即用上述IP地址發(fā)送一份IP數(shù)據(jù)報(bào)。如果目的主機(jī)在本地網(wǎng)絡(luò)上，那么IP數(shù)據(jù)報(bào)可以直接送到目的主機(jī)上。如果目的主機(jī)在一個(gè)遠(yuǎn)程網(wǎng)絡(luò)上，那么就通過IP選路函數(shù)來確定位于本地網(wǎng)絡(luò)上的下一站路由器地址，并讓它轉(zhuǎn)發(fā)IP數(shù)據(jù)報(bào)。在這兩種情況下，IP數(shù)據(jù)報(bào)都是被送到位于本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)或路由器。本例是一個(gè)以太網(wǎng)，那么發(fā)送端主機(jī)必須把32位的IP地址變換成48位的以太網(wǎng)地址，該地址也稱為MAC地址，它是出廠時(shí)寫到網(wǎng)卡上的世界唯一 的硬件地址。把IP地址翻譯到對(duì)應(yīng)的MAC地址是由ARP協(xié)議完成的。如圖的虛線所示，ARP發(fā)送一份稱作ARP請(qǐng)求的以太網(wǎng)數(shù)據(jù)幀給以太網(wǎng)上的每個(gè)主機(jī)，這個(gè)過程稱

43、作廣播。ARP請(qǐng)求數(shù)據(jù)幀中包含目的主機(jī)的IP地址，其意思是“如果你是這個(gè)IP地址的擁有者，請(qǐng)回答你的硬件地址?！蹦康闹鳈C(jī)的ARP層收到這份廣播后，識(shí)別出這是發(fā)送端在尋問它的IP地址，于是發(fā)送一個(gè)ARP應(yīng)答。這個(gè)ARP應(yīng)答包含IP地址及對(duì)應(yīng)的硬件地址。收到ARP應(yīng)答后，使ARP進(jìn)行請(qǐng)求一應(yīng)答交換的IP數(shù)據(jù)包現(xiàn)在就可以 傳送了。發(fā)送IP數(shù)據(jù)報(bào)到目的主機(jī)。圖8實(shí)例分析卜面通過分析用iris捕獲的包來分析一下TCP/IP的工作過程。第一組查找服務(wù)器下圖顯示的是1、2行的數(shù)據(jù)| Aidr IF etcIF dltst 一世 二Jh16:B:M:TTTBE FF:fP:Ff :FF:TF:FF 店 Afi

44、JT血112. I&fi. 113. EDS 192. I&8. 1X1 一 -一 ie：6:5:37T M:2r：?iE:54:53M:50:K：:!:CT:BE 謎 ARJ-；-K*ply 1. I&B. 111. I192.哪.113.2仲 這兩行數(shù)據(jù)就是查找服務(wù)器及服務(wù)器應(yīng)答的過程。在第1行中，源端主機(jī)的MAC地址是00:50:FC:22:C7:BE。目的端主機(jī)的F換算為二進(jìn)MAC地址是FF:FF:FF:FF:FF:FF，這個(gè)地址是十六進(jìn)制表示的， 制就是1111，全1的地址就是廣播地址。所謂廣播就是向本網(wǎng)上的每臺(tái)網(wǎng)絡(luò) 設(shè)備發(fā)送信息，電纜上的每個(gè)以太網(wǎng)接口都要接收這個(gè)數(shù)據(jù)幀并對(duì)它進(jìn)行處

45、 理，這一行反映的是步驟5的內(nèi)容，ARP發(fā)送一份稱作ARP請(qǐng)求的以太網(wǎng)數(shù)據(jù) 幀給以太網(wǎng)上的每個(gè)主機(jī)。網(wǎng)內(nèi)的每個(gè)網(wǎng)卡都接到這樣的信息“誰是 的IP地址的擁有者，請(qǐng)將你的硬件地址告訴我”。第2行反映的是步驟6）的內(nèi)容，在同一個(gè)以太網(wǎng)中的每臺(tái)機(jī)器都會(huì)接收到這個(gè)報(bào)文，但正常狀態(tài)下除了 1號(hào)機(jī)外其他主機(jī)應(yīng)該會(huì)忽略這個(gè)報(bào)文，而 1號(hào)的主機(jī)的ARP層收到這份廣播報(bào)文后，識(shí)別出這是發(fā)送端在尋問它的IP地址，于是發(fā)送一個(gè) ARP應(yīng)答。告知自己的IP地址和MAC地址。1號(hào)回答的 信息自己的MAC地址00:50:FC:22:C7:BE。第二組建立連接下圖顯示的是3-5行的數(shù)據(jù)Ml TlrreI仙二sojt沽日酎 M

46、AC det edit Frame Proceed ftddrAdii .IP dst I Pat am Pott Jest SEQACt：上16Ss51：377 B：50F二史;C7BE DO：知27代：削1 P TOP-J FT?斑】&WC9 】氾HXA 219町062QQt-Kt27S：S45300;SO:K：C7：BEPTOP- FTP吧-168J13J腺鼠21lOH1T73I952D69B祁舸做 柜16:59:377二您;C7BEDO:9ft27:54S3IPFCP- FTPTK-lfiSd飲2呻1馳60口1064219671423i773195209 54這三行數(shù)據(jù)是兩臺(tái)機(jī)器建立連

47、接的過程。這三行的核心意思就是TCP協(xié)議的三次握手。TCP的數(shù)據(jù)包是靠IP協(xié)議 來傳輸?shù)?。但I(xiàn)P協(xié)議是只管把數(shù)據(jù)送到出去，但不能保證IP數(shù)據(jù)報(bào)能成功地到達(dá)目的地，保證數(shù)據(jù)的可靠傳輸是靠TCP協(xié)議來完成的。當(dāng)接收端收到來自 發(fā)送端的信息時(shí)，接受端詳發(fā)送短發(fā)送一條應(yīng)答信息，意思是：“我已收到你的信息了。”第三組數(shù)據(jù)將能看到這個(gè)過程。TCP是一個(gè)面向連接的協(xié)議。無 論哪一方向另一方發(fā)送數(shù)據(jù)之前，都必須先在雙方之間建立一條連接。建立連接的過程就是三次握手的過程。下面來分析一下此例的三次握手過程。（1）請(qǐng)求端208號(hào)機(jī)發(fā)送一個(gè)初始序號(hào)（SEQ）987694419給1號(hào)機(jī)。（2）服務(wù)器1號(hào)機(jī)收到這個(gè)序號(hào)后

48、，將此序號(hào)加 1值為987694419作為應(yīng) 答信號(hào)（ACK），同時(shí)隨機(jī)產(chǎn)生一個(gè)初始序號(hào)（SEQ）1773195208，這兩個(gè)信號(hào) 同時(shí)發(fā)回到請(qǐng)求端208號(hào)機(jī)，意思為：“消息已收到，讓我們的數(shù)據(jù)流以 1773195208這個(gè)數(shù)開始?！盨EQ)（3）請(qǐng)求端208號(hào)機(jī)收到后將確認(rèn)序號(hào)設(shè)置為服務(wù)器的初始序號(hào)（ 1773195208加1為1773195209作為應(yīng)答信號(hào)。如圖 112睡號(hào)機(jī)】導(dǎo)機(jī)圖9三次握手以上三步完成了三次握手，雙方建立了一條通道，接下來就可以進(jìn)行數(shù)據(jù) 傳輸了。第三組數(shù)據(jù)傳輸下圖顯示的是57-60行的數(shù)據(jù)NO.uma 們I M有匚dsSL小Fl-difieI FTM：心IF S IX

49、Add!. FijfestI FCrt.SrCreq1S70&WiFC；EZ7lBEJPTCPL9E.LEfl.Ll3i.lL?E.16B.1L?.3WD571曜6H7B3EIZ72LSHS316:9:35Mk&(l:fC2:C7jBprepl.ltd.L9Ji.20gL盟柏.113.1Chb110527珪娘1!消囪邃耳35 4網(wǎng)g切汪心在拆黃IPrp1駝L的L特,1IWtII相孔巷EL5H316:35 4用Oft統(tǒng)弭攵p1費(fèi)L曲仙L鴕:拍,lL3.itab的立王5弟54這四行數(shù)據(jù)是數(shù)據(jù)傳輸過程中一個(gè)發(fā)送一個(gè)接收的過程。前文說過，TCP提供一種面向連接的、可靠的字節(jié)流服務(wù)。當(dāng)接收端收到 來自發(fā)

50、送端的信息時(shí)，接受端要發(fā)送一條應(yīng)答信息，表示收到此信息。數(shù)據(jù)傳 送時(shí)被TCP分割成認(rèn)為最適合發(fā)送的數(shù)據(jù)塊。一般以太網(wǎng)在傳送時(shí)TCP將數(shù)據(jù) 分為1460字節(jié)。也就是說數(shù)據(jù)在發(fā)送方被分成一塊一塊的發(fā)送，接受端收到 這些數(shù)據(jù)后再將它們組合在一起。57行顯示1號(hào)機(jī)給208號(hào)機(jī)發(fā)送了大小為1514字節(jié)大小的數(shù)據(jù)，數(shù)據(jù)發(fā) 送時(shí)是層層加協(xié)議頭的，應(yīng)答信號(hào)ACK為：1781514222，SEQ序號(hào)1781512762 加上傳送的數(shù)據(jù)1460，208號(hào)機(jī)將這個(gè)應(yīng)答信號(hào)發(fā)給1號(hào)機(jī)說明已收到發(fā)來的 數(shù)據(jù)。58行顯示的應(yīng)答信號(hào) ACK為：1781514222，這個(gè)數(shù)是57行得SEQ序號(hào) 1781512762加上傳送的

51、數(shù)據(jù)1460，208號(hào)機(jī)將這個(gè)應(yīng)答信號(hào)發(fā)給 1號(hào)機(jī)說明 已收到發(fā)來的數(shù)據(jù)。59、60行顯示的是繼續(xù)傳送數(shù)據(jù)的過程。第四組終止連接下圖顯示的是93-96行的數(shù)據(jù)Kw IhttrwFr-WltPwlwdAM IPM碩】pgPM 如5EQACK5tt 土I都flkSh心 2 心:BEJPrap慶g ILL奶L疝L6MHL06E 1ffi7的沏光碰H6T535盛弭1G;心協(xié)gg圣 EEVTCPUS色3漓村M鈾,LI亂瀏I? ING/由富跋：古B0S?3S?9D也：史3&宓ffl:5a：FC22:C7:EEIFrd ftpwgisaiLLm12166.113.1106421童為 5+574L?73i9t

52、BE54勺L做IFg# FTPu*心m湖2Lll?31Sttl飼抬HEX9216:9:35: ffi?OI:5Q:FC22:C7:EEPTCP-5 FTP龐1跖LL混Lg2.L6fi.il3d1064219S7457Wl!77319t(KE54OJ;50B;那ft*;施;51 $3IFTOa Ftp曲ILL血L?E.LH.LX1LIW1 tl3孔宋村H切郭國(guó)t，5t 函前:而一bi:W:Ffe5453E:成宜妄行拍FIF_ KP Java ActiveX 等技術(shù)的大量應(yīng)用，計(jì)算機(jī)病毒的產(chǎn)生與傳播，網(wǎng)絡(luò)被非法入侵有愈演愈烈的 趨勢(shì)。因此，僅僅考慮TCP/IP的安全是遠(yuǎn)遠(yuǎn)不夠的，其它如操作系統(tǒng)和防火 墻的安全，網(wǎng)絡(luò)安全意識(shí)的提高等都應(yīng)該是我們關(guān)注或研究的重點(diǎn)。參考文獻(xiàn)寺田真敏，萱島信，TCP/IP網(wǎng)絡(luò)安全篇，北京：科學(xué)出版社，2003Sean Convery.CCIE No.4232: Network Security Architectures, Bei