TCPIP協(xié)議安全漏洞

1、湖北廣播電視大學(xué)TCP/IP協(xié)議安全漏洞 摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全問(wèn)題越來(lái)越受到國(guó)家的關(guān)注，網(wǎng)絡(luò)安全已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域的重點(diǎn)。這篇論文的從目前使用的TCP/IP協(xié)議入手來(lái)研究問(wèn)題，從 TCP/IP協(xié)議的安全性進(jìn)行較為全面的解析，從 TCP/IP的總體概括、現(xiàn)在存在安全隱患、以及各個(gè) 層次之間安全問(wèn)題進(jìn)行了比較深入的討論。然后用現(xiàn)在最為流行的Snifer工具從實(shí)驗(yàn)的角度上來(lái)分析數(shù)據(jù)包的安全情況，最后從SYN的攻擊代碼來(lái)分析 TCP/IP協(xié)議，并且實(shí)現(xiàn)了幾種防御SYN的方法。本文在介紹因特網(wǎng)中使用的TCP/IP協(xié)議的基礎(chǔ)上，對(duì) TCP/IP協(xié)議的安全性進(jìn)行了較為全面的討論，從

2、理論上分析了協(xié)議中幾種主要的安全隱患。由于TCP/IP協(xié)議一開(kāi)始的實(shí)現(xiàn)主要目的是用于科學(xué)研究的，所以很少考慮安全性方面的東西。但隨著其應(yīng)用的普及，它已經(jīng)成為了 Internet網(wǎng)絡(luò)通信協(xié)議的標(biāo)準(zhǔn)。希望本論文能對(duì)未來(lái)的信息社會(huì)中網(wǎng)絡(luò)安全環(huán)境的形成有所幫助。關(guān)鍵詞：TCP /IP協(xié)議，安全協(xié)議，服務(wù)，協(xié)議層，協(xié)議家人拒絕 ABSTRACTAbstract: With the development of computer network technology, the government concerns more and more the message safety, Now, networ

3、k security has become a key area of computer network communications. The paper start with the currently used TCP/IP protocol to study the problem. From the security On TCP/IP protocol we give more comprehensive analysis, Now from the exist security risks, and security issues between the various leve

4、ls we give more in-depth discussion. Then using the most popular tool of Snifer to come up safe circumstance that analytical data wrap from the experience angle, and at last we analyze from the SYN attacking code to TCP/IP protocol, and achieve several defenses the SYN attacking.This paper describes

5、 the use of the Internets TCP / IP protocol on the basis of TCP / IP protocol security for a more comprehensive discussion of the agreement from the theoretical analysis of several major security risk. As TCP / IP protocol began with the main purpose is for scientific research to achieve, so little

6、regard for the safety of things. But with the popularity of its application, it has become the standard Internet network communication protocol. Hope that this paper will in the future information society, network security environment, help the formation ofKeywords: TCP/IP; Security Protocol; Denial

7、 of Service, Protocol layer, protocol family 前言隨著網(wǎng)絡(luò)互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全性越來(lái)越重要。從定義上講，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害。隨著信息社會(huì)的到來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展不斷地深入到生活的各個(gè)領(lǐng)域。出現(xiàn)了許多網(wǎng)絡(luò)服務(wù)的新型業(yè) 務(wù)。比如：電子商務(wù)、數(shù)字貨幣、網(wǎng)絡(luò)銀行電子證券、網(wǎng)絡(luò)書(shū)店、網(wǎng)上拍賣、網(wǎng)絡(luò)防偽等。隨著這些業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題顯得越來(lái)越重要，成為關(guān)鍵所在。因此網(wǎng)絡(luò)安全研究成為計(jì)算機(jī)通訊領(lǐng)域和發(fā)展的重要方向。現(xiàn)在由于自身的缺陷，網(wǎng)絡(luò)的開(kāi)放性以及黑客的攻擊是造成互聯(lián)網(wǎng)絡(luò)不安全的主

8、要原因。當(dāng) 前，TCP/IP作為一個(gè)事實(shí)上的工業(yè)標(biāo)準(zhǔn)，在其制訂之初，沒(méi)有考慮安全因素，因此他本身無(wú) 安全可言。TCP/IP作為Internet使用的標(biāo)準(zhǔn)協(xié)議集，是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)和對(duì)象。TCP/IP協(xié)議組是目前使用最廣泛的網(wǎng)絡(luò)互連協(xié)議。但TCP/IP協(xié)議組本身存在著一些安全性問(wèn)題。TCP/IP協(xié)議是建立在可信的環(huán)境之下，首先考慮網(wǎng)絡(luò)互連缺乏對(duì)安全方面的考慮。其次，TCP/IP是建立在3次握手協(xié)議基礎(chǔ)之上， 本身就存在一定不安全的因素，握手協(xié)議的過(guò)程當(dāng)中有一定局限性。這種基于地址的協(xié)議本身就會(huì)泄露口令，而且經(jīng)常會(huì)運(yùn)行一些無(wú)關(guān)的程序，這些都是網(wǎng)絡(luò)本身的缺陷。 互連網(wǎng)技術(shù)屏蔽了底層網(wǎng)絡(luò)硬件

9、細(xì)節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信。這就給黑客”們攻擊網(wǎng)絡(luò)以可乘之機(jī)。由于大量重要的應(yīng)用程序都以 TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問(wèn)題會(huì)給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果。網(wǎng)絡(luò)的開(kāi)放性，TCP/IP協(xié)議完全公開(kāi)，遠(yuǎn)程訪問(wèn)使許多攻擊者無(wú)須到現(xiàn)場(chǎng)就能夠得手，連接的主機(jī)基于互相信任的原則等等性質(zhì)使網(wǎng)絡(luò)更加不安全。協(xié)議中存在許多的安全問(wèn)題，隨著應(yīng)用的深入，逐漸受到人們的關(guān)注。因此，人們開(kāi)始研究各種各樣的安全技術(shù)來(lái)彌補(bǔ)它的缺陷，堵住安全漏洞，增加網(wǎng)絡(luò)安全。目前正在制定安全協(xié)議，在互連的基礎(chǔ)上考慮了安全的因素，希望能對(duì)未來(lái)的信息社會(huì)中對(duì)安全網(wǎng)絡(luò)環(huán)境的形成 有所幫助。網(wǎng)絡(luò)安全關(guān)系到國(guó)家安全。網(wǎng)絡(luò)安全的理論及

10、其應(yīng)用技術(shù)的研究，不僅受到學(xué)術(shù)界以及工業(yè)界的關(guān)注， 同時(shí)也受到各國(guó)政府的高度重視。為了自己國(guó)家的利益， 美國(guó)等西方發(fā)達(dá)國(guó)家將網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品視為如同核武器一樣的秘密技術(shù)，立法限制其向中國(guó)出口。 為保障中國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，國(guó)家安全部、公安部等明確要求使用國(guó)產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品來(lái)確保我國(guó)網(wǎng)絡(luò)的安全。 然而，由于種種原因，目前中國(guó)有關(guān)網(wǎng)絡(luò)安全技術(shù)及其產(chǎn)品的研發(fā) 與美國(guó)等西方發(fā)達(dá)國(guó)家相比尚有一定的距離。正因?yàn)槿绱?，?yīng)加倍努力，迎頭趕上。在這種背景下，應(yīng)該更加的重視網(wǎng)絡(luò)安全方面。國(guó)家信息安全的總體框架已經(jīng)搭就。已制定報(bào)批和發(fā)布了有關(guān)信息技術(shù)安全的一系列的國(guó)家標(biāo)準(zhǔn)、國(guó)家軍用標(biāo)準(zhǔn)。國(guó)家信息安全基礎(chǔ)設(shè)施正在

11、逐步建成包括國(guó)際出入口監(jiān)控中心、安全產(chǎn)品評(píng)測(cè)認(rèn)證中心、 病毒檢測(cè)和防治中心、 關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、電子保密標(biāo)簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置 中心、電子交易證書(shū)授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、公鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。第一章 TCP/IP協(xié)議概述TCP/IP協(xié)議定義協(xié)議是互相通信的計(jì)算機(jī)雙方必須共同遵從的一組約定。TCP/IP (傳輸控制協(xié)議/網(wǎng)際協(xié)議)就是這樣的約定，它規(guī)定了計(jì)算機(jī)之間互相通信的方法。TCP/IP是為了使接入因特網(wǎng)的異種網(wǎng)絡(luò)、不同設(shè)備之間能夠進(jìn)行正常的數(shù)據(jù)通訊，而預(yù)先制定的一簇大家共同遵守的格式和約定。該協(xié)議是美國(guó)國(guó)防部高級(jí)研究計(jì)劃署為

12、簡(jiǎn)歷ARPANET開(kāi)發(fā)的，在這個(gè)協(xié)議集中，兩個(gè)最知名的協(xié)議就是傳輸控制協(xié)議(TCf? Transfer Contorl Protocol)和網(wǎng)際協(xié)議(IP, InternetProtocol),故而整個(gè)協(xié)議集被稱為T(mén)CP/IP。之所以說(shuō) TCP/IP是一個(gè)協(xié)議簇，是因?yàn)?TCP/IP包括了 TCP IP、UDP、ICMP、RIP TELNET FTP SMTP、ARP等許多協(xié)議，對(duì)因特網(wǎng)中主 機(jī)的尋址方式、主機(jī)的命名機(jī)制、信息的傳輸規(guī)則，以及各種各樣的服務(wù)功能均做了詳細(xì)約 定，這些約定一起稱為T(mén)CP/IRTCP/IP協(xié)議和開(kāi)放系統(tǒng)互連參考模型一樣，是一個(gè)分層結(jié)構(gòu)。協(xié)議的分層使得各層的任務(wù)和目的

13、十分明確，這樣有利于軟件編寫(xiě)和通信控制。TCP/IP協(xié)議分為4層，由下至上分別是網(wǎng)路接口層、網(wǎng)際層、傳輸層和應(yīng)用層，如圖所示TCP/IP協(xié)議的總體概況目前在Internet上使用的是TCP/IP協(xié)議。TCP/IP協(xié)議叫做傳輸控制/網(wǎng)際協(xié)議，它是Internet 國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。TCP/IP是網(wǎng)絡(luò)中使用的基本的通信協(xié)議。其中 IP(Internet Protocol)全名為網(wǎng)際互連協(xié)議,它是為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議。TCP(TransferControl Protocol)是傳輸控制協(xié)議。TCP/IP協(xié)議是能夠使連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相 互通信的一套規(guī)則，正是因?yàn)橛辛?/p>

14、TCP/IP協(xié)議，因特網(wǎng)才得以迅速發(fā)展成為世界上最大的、開(kāi)放的計(jì)算機(jī)通信網(wǎng)絡(luò)。從表面名字上看 TCP/IP包括兩個(gè)協(xié)議，彳輸控制協(xié)議 （TCP）口互聯(lián)網(wǎng)際協(xié)議（IP）,其實(shí)TCP/IP 實(shí)際上是1組協(xié)議的集合，它包括了上百個(gè)各種功能的協(xié)議。如：遠(yuǎn)程登錄、文件傳輸和電子郵件等等，而 TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議。IP協(xié)議之所以能使各種網(wǎng)絡(luò)互聯(lián)起來(lái)是由于它把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“ IP數(shù)據(jù)報(bào)”格式，這 種轉(zhuǎn)換是因特網(wǎng)的一個(gè)最重要的特點(diǎn)。所以IP協(xié)議使各種計(jì)算機(jī)網(wǎng)絡(luò)都能在因特網(wǎng)上實(shí)現(xiàn)互通,即具有“開(kāi)放性”的特點(diǎn)。TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包 （datag

15、ram） o TCP協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包，并給每個(gè)數(shù)據(jù)包加上包頭，包頭上有相應(yīng)的編號(hào)，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來(lái)的格式，IP協(xié)議在每個(gè)包頭上還要加上接收端主機(jī)地址，這樣數(shù)據(jù)通過(guò)路由器中的 MAC地址來(lái)確定數(shù)據(jù)的流向，如果傳輸過(guò)程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù) 失真等情況，TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸，并重新組。.總之，IP協(xié)議保證數(shù)據(jù)的傳輸，而TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。TCP/IP協(xié)議數(shù)據(jù)的傳輸基于 TCP/IP協(xié)議的4層結(jié)構(gòu)：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、接口層。 第二章各協(xié)議層存在的安全漏洞 2.1鏈路層存在的安全漏洞我們知道，在以太網(wǎng)中，信道是共享的，任何主機(jī)發(fā)送的每一個(gè)以太

16、網(wǎng)幀都會(huì)到達(dá)別的與該 主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口，一般地，CSMA/CD協(xié)議使以太網(wǎng)接口在檢測(cè)到數(shù)據(jù)幀不屬于自己時(shí)， 就把它忽略，不會(huì)把它發(fā)送到上層協(xié)議 （如ARRRARP層或IP層）。 如果我們對(duì)其稍做設(shè)置或修改，就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。例如有的實(shí)現(xiàn)可以使用雜錯(cuò)接點(diǎn)，即能接收所有數(shù)據(jù)幀的機(jī)器節(jié)點(diǎn)。解決該漏洞的對(duì)策是：網(wǎng)絡(luò)分段、 利用交換器，動(dòng)態(tài)集線器和橋等設(shè)備對(duì)數(shù)據(jù)流進(jìn)行限制、加密（采用一次性口令技術(shù)） 和禁用雜錯(cuò)接點(diǎn)。網(wǎng)絡(luò)層漏洞幾乎所有的基于TCP/IP的機(jī)器都會(huì)對(duì)ICMP echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一個(gè)敵意主機(jī)同時(shí) 運(yùn)行很多個(gè)ping命令向一個(gè)服務(wù)器發(fā)

17、送超過(guò)其處理能力的ICMP echo請(qǐng)求時(shí)，就可以淹沒(méi)該服務(wù)器使其拒絕其他的服務(wù)。另外，ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而 可以在被攻擊系統(tǒng)中開(kāi)后門(mén)進(jìn)行方便的攻擊，如收集目標(biāo)上的信息并進(jìn)行秘密通信等。解決該漏洞的措施是拒名網(wǎng)絡(luò)上的所有ICMP echo響應(yīng)。IP漏洞IP包一旦從網(wǎng)絡(luò)中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄它或到達(dá)目標(biāo)端后，才被使用。這使得一個(gè)主機(jī)可以使用別的主機(jī)的IP地址發(fā)送IP包，只要它能把這類IP包放到網(wǎng)絡(luò)上就可以。因而如果攻擊者把自己的主機(jī)偽裝成被目標(biāo)主機(jī)信任的 友好主機(jī)，即把發(fā)送的IP包中白源IP地址改成被信任的友好主機(jī)的IP地址，

18、利用主機(jī)間的信任關(guān)系（Unix網(wǎng)絡(luò)軟件的開(kāi)發(fā)者發(fā)明的術(shù)語(yǔ)）和這種信任關(guān)系的實(shí)際認(rèn)證中存在的脆弱 性（只通過(guò)IP確認(rèn)），就可以對(duì)信任主機(jī)進(jìn)行攻擊。注意，其中所說(shuō)的信任關(guān)系是指一個(gè)被 授權(quán)的主機(jī)可以對(duì)信任主機(jī)進(jìn)行方便的訪問(wèn)。所有的r*命令都采用信任主機(jī)方案，所以一個(gè)攻擊主機(jī)把自己的IP改為被信任主機(jī)的IP,就可以連接到信任主機(jī)并能利用r*命令開(kāi)后門(mén)達(dá)到攻擊的目的。解決這個(gè)問(wèn)題的一個(gè)辦法是，讓路由器拒絕接收來(lái)自網(wǎng)絡(luò)外部的IP地址與本地某一主機(jī)的IP地址相同的IP包的進(jìn)入。ARP欺騙ARP協(xié)議在對(duì)IP地址進(jìn)行解析時(shí)，利用 ARP緩存（也叫ARP表）來(lái)做。ARP緩存的每一條 目保存有IP地址到物理地址的

19、映射。如果在ARP表中沒(méi)有這樣的對(duì)應(yīng)條目，ARP協(xié)議會(huì)廣播ARP請(qǐng)求，獲得對(duì)應(yīng)于那個(gè)IP地址的物理地址，并把該對(duì)應(yīng)關(guān)系加入到ARP表中。ARP表中的每一個(gè)條目都有一個(gè)計(jì)時(shí)器，如果計(jì)時(shí)器過(guò)期，該條目就無(wú)效，因而被從緩存中刪除。顯然，如果攻擊者暫時(shí)使用不工作的主機(jī)的IP地址，就可以偽造 IP物理地址對(duì)應(yīng)關(guān)系對(duì)，把自己偽裝成象那個(gè)暫時(shí)不使用的主機(jī)一樣?？朔藛?wèn)題的方法是，讓硬件地址常駐內(nèi)存， 并可以用ARP命令手工加入(特權(quán)用戶才可以那樣做)；也可以通過(guò)向 RARP服務(wù)器詢問(wèn)來(lái)檢查客戶的ARP欺騙。因?yàn)镽ARP服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和IP的相關(guān)信息。路由欺騙：在路由協(xié)議中，主機(jī)利用重定向報(bào)文來(lái)改

20、變或優(yōu)化路由。如果一個(gè)路由器發(fā)送非法的重定向報(bào)文，就可以偽造路由表，錯(cuò)誤引導(dǎo)非本地的數(shù)據(jù)報(bào)。另外，各個(gè)路由器都會(huì)定期向其相鄰的路由器廣播路由信息，如果使用RIP特權(quán)的主機(jī)的520端口廣播非法路由信息，也可以達(dá)到路由欺騙的目的。 解決這些問(wèn)題的辦法有，通過(guò)設(shè)置主機(jī)忽略重定向信息可以防止路由欺騙；禁止路由器被動(dòng)使用RIP和限制被動(dòng)使用 RIP的范圍。DNS欺騙網(wǎng)絡(luò)上的所有主機(jī)都信任 DNS服務(wù)器，如果 DNS服務(wù)器中的數(shù)據(jù)被攻擊者破壞，就可以進(jìn) 行DNS欺騙。攔截TCP連接：攻擊者可以使TCP連接的兩端進(jìn)入不同步狀態(tài)，入侵者主機(jī)向兩端發(fā)送偽造的數(shù)據(jù)包。冒充被信任主機(jī)建立TCP連接，用SYN淹沒(méi)被信

21、任的主機(jī)，并猜測(cè) 3步握手中的響應(yīng)(建立多個(gè)連接到信任主機(jī)的TCP連接，獲得初始序列號(hào)ISN(IEtial Serial Number)和RTT,然后猜測(cè)響應(yīng)的ISN,因?yàn)樾蛄刑?hào)每隔半秒加 64000,每建立一個(gè)連接加 64000)。 預(yù)防方法：使所有的 r*命令失效，讓路由器拒絕來(lái)自外面的與本地主機(jī)有相同的IP地址的包。RARP查詢可用來(lái)發(fā)現(xiàn)與目標(biāo)服務(wù)器處在同一物理網(wǎng)絡(luò)的主機(jī)的攻擊。另外 ISN攻擊可 通過(guò)讓每一個(gè)連接的ISN隨機(jī)分配配合每隔半秒加64000來(lái)防止。使用TCP SYM艮文段淹沒(méi)服務(wù)器。利用 TCP建立連接的3步驟的缺點(diǎn)和服務(wù)器端口允許 的連接數(shù)量的限制，竊取不可達(dá)IP地址作為

22、源IP地址，使得服務(wù)器端得不到ACK而使連接處于半開(kāi)狀態(tài)，從而阻止服務(wù)器響應(yīng)響應(yīng)別的連接請(qǐng)求。盡管半開(kāi)的連接會(huì)被過(guò)期而關(guān)閉的，但只要攻擊系統(tǒng)發(fā)送的 spoofed SYN請(qǐng)求的速度比過(guò)期的快就可以達(dá)到攻擊的目的。這種攻 擊的方法一直是一種重要的攻擊ISP (Internet Service Provider )的方法，這種攻擊并不會(huì)損害服務(wù)，而是使服務(wù)能力削弱。解決這種攻擊的辦法是，給 Unix內(nèi)核加一個(gè)補(bǔ)丁程序或使 用一些工具對(duì)內(nèi)核進(jìn)行配置。一般的做法是，使允許的半開(kāi)連接的數(shù)量增加，允許連接處于半開(kāi)狀態(tài)的時(shí)間縮短。但這些并不能從根本上解決這些問(wèn)題。實(shí)際上在系統(tǒng)的內(nèi)存中有一個(gè)專門(mén)的隊(duì)列包含所有

23、的半開(kāi)連接，這個(gè)隊(duì)列的大小是有限的，因而只要有意使服務(wù)器建立過(guò)多的半開(kāi)連接就可以使服務(wù)器的這個(gè)隊(duì)列溢出，從而無(wú)法響應(yīng)其他客戶的連接請(qǐng)求。第三章關(guān)于TCP/IP協(xié)議族存在的脆弱性剖析TCP/IP協(xié)議族存在脆弱性IP層的主要曲線是缺乏有效的安全認(rèn)證和保密機(jī)制，其中最主要的因素就是IP地址問(wèn)題。TCP/IP協(xié)議用IP地址來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí)，許多TCP/IP服務(wù)，包括 Berkeley中的R命令、NFS X Window等都是基于IP地址對(duì)用戶進(jìn)行認(rèn)證和授權(quán)。當(dāng)前TCP/IP網(wǎng)絡(luò)的安全機(jī)制主要是基于IP地址的包過(guò)濾(Packet Filtering )和認(rèn)證(Authentication )技術(shù)

24、，它的有 效性體現(xiàn)在可以根據(jù)IP包中白源IP地址判斷數(shù)據(jù)的真實(shí)性和安全性。然而IP地址存在許多問(wèn)題，協(xié)議的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù)，缺乏對(duì)IP包中源IP地址真實(shí)性的認(rèn)證機(jī)制與保密措施。這也就是引起整個(gè)TCP/IP協(xié)議不安全的根本所在。由于UDP是基于IP協(xié)議之上的，TCP分段和UDP協(xié)議數(shù)據(jù)包是封裝在IP包中在網(wǎng)絡(luò)上傳輸 的，因此同樣面臨IP層所遇到的安全威脅?，F(xiàn)在人們一直在想辦法解決，卻仍然無(wú)法避免 的就是根據(jù)TCP連接建立時(shí)“三次握手”機(jī)制的攻擊。應(yīng)用服務(wù)不容樂(lè)觀文件傳輸協(xié)議FTP經(jīng)久不衰的原因在于它可以在互聯(lián)網(wǎng)上進(jìn)行與平臺(tái)無(wú)關(guān)的數(shù)據(jù)傳輸，它基于一個(gè)客戶機(jī)/服務(wù)器架構(gòu)。FTP將通過(guò)

25、兩個(gè)信道（端口）傳輸，一個(gè)傳輸數(shù)據(jù)（ TCP端口 20）,另一個(gè) 傳輸控制信息（TCP端口 21）。在控制信道之上，雙方（客戶機(jī)和服務(wù)器）交換用于發(fā)起數(shù) 據(jù)傳輸?shù)拿睢Ｒ粋€(gè)FTP連接包含4個(gè)步驟：用戶鑒權(quán)-建立控制信道-建立數(shù)據(jù)信道-關(guān)閉連接。FTP的連接控制使用 TCP （Transmission Control Protocol ,傳輸控制協(xié)議），它 保障了數(shù)據(jù)的可靠傳輸。因此，F(xiàn)TP在數(shù)據(jù)傳輸中不需要關(guān)心分組丟失和數(shù)據(jù)錯(cuò)誤檢測(cè)。匿名FTP作為互聯(lián)網(wǎng)上廣泛應(yīng)用的服務(wù)，安全等級(jí)的低下受到了黑客的頻繁光顧。匿名 FTP是真的匿名，并沒(méi)有記錄誰(shuí)請(qǐng)求了什么信息，誰(shuí)下載了什么文件，上傳了什么東西（有

26、 可能是木馬）。FTP存在著致命的安全缺陷，F(xiàn)TP使用標(biāo)準(zhǔn)的用戶名和口令作為身份驗(yàn)證，缺乏有效的訪問(wèn)權(quán)限的控制機(jī)制，而其口令和密碼的傳輸也都是明文的方式。Web 服務(wù)Web服務(wù)器位于宿主基礎(chǔ)結(jié)構(gòu)的前端，它與Internet直接相連，負(fù)責(zé)接收來(lái)自客戶端的請(qǐng)求，創(chuàng)建動(dòng)態(tài) Web頁(yè)并響應(yīng)請(qǐng)求數(shù)據(jù)。最初WWW服務(wù)只提供靜態(tài)的 HTML頁(yè)面，為改變?nèi)藗儗?duì)網(wǎng)絡(luò)互動(dòng)請(qǐng)求的愿望，開(kāi)始引入了CGI程序，CGI程序讓主頁(yè)活動(dòng)起來(lái)。CGI程序可以接收用戶的輸入信息，一般用戶是通過(guò)表格把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用戶的要求進(jìn)行一些處理，一般情況下會(huì)生成一個(gè) HTML文件，并傳回給用戶。很多CGI

27、程序都存在安全漏洞，很容易被黑客利用做一些非法的事情?，F(xiàn)在很多人在編寫(xiě)CGI程序時(shí)，可能對(duì)CGI軟件包中的安全漏洞并不了解，而且大多數(shù)情況下不會(huì)重新編寫(xiě)程序的所有部分，只是對(duì)其加以適當(dāng)?shù)男薷?，這樣很多CGI程序就不可避免的具有相同的安全漏洞。很多SQLServer開(kāi)發(fā)人員并沒(méi)有在代碼編寫(xiě)開(kāi)始的時(shí)候就從安全防護(hù)基礎(chǔ)開(kāi)始，這樣就無(wú)法確保您 開(kāi)發(fā)的代碼的安全性，其結(jié)果就造成了無(wú)法將應(yīng)用程序的運(yùn)行控制在所需的最低權(quán)限之內(nèi)。 3.3提高網(wǎng)絡(luò)可信度 前面的IPv4存在的弊端，很多安全防范技術(shù)被忽略了，它不可避免地被新一代技術(shù)IPv6取代。IPsec安全協(xié)議就是事后發(fā)展的一種協(xié)議（如圖 3-1）,而NAT

28、（網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation）解決了 IP地址短缺的問(wèn)題，卻增加了安全風(fēng)險(xiǎn)，使真正的端到端的安 全應(yīng)用難以實(shí)現(xiàn)。端到端安全性的兩個(gè)基本組彳鑒權(quán)和加密都是IPv6協(xié)議的集成組件；而在IPv4中，它們只是附加組件，因此，采用IPv6安全性會(huì)更加簡(jiǎn)便、一致。在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，尤其是園區(qū)網(wǎng)當(dāng)中，由于不存在NAT地址轉(zhuǎn)換的問(wèn)題，所以IPSec具備允許部署可信計(jì)算基礎(chǔ)架構(gòu)的基本特征。IPSec數(shù)據(jù)包驗(yàn)證能夠確保整個(gè)IP報(bào)頭、下一層協(xié)議（例如TCP UPD或ICMP）報(bào)頭以及數(shù)據(jù)包有效負(fù)載的數(shù)據(jù)完整性。華夏網(wǎng)管ofAdmin.Com另外，針對(duì)數(shù)據(jù)包的單向Hash算

29、法用以提供校驗(yàn)和。通信發(fā)起方計(jì)算校驗(yàn)和并在發(fā)送之前將其附加到數(shù)據(jù)包中；響應(yīng)方則在收到數(shù)據(jù)包后為其計(jì)算校驗(yàn)和。如果響應(yīng)方所計(jì)算出的校驗(yàn)和與數(shù)據(jù)包中附帶的校驗(yàn)和完全匹配，則證明數(shù)據(jù)包在傳輸過(guò)程中未被修改。校驗(yàn)和的單向計(jì)算特性意味著其取值無(wú)法在傳輸過(guò)程中進(jìn)行修改，這也就保證了端到端的數(shù)據(jù)傳輸過(guò)程的可信程度。第四章TCP/IP協(xié)議安全性分析TCP狀態(tài)轉(zhuǎn)移圖和定時(shí)器應(yīng)于連接建立或終止、流量控制和數(shù)據(jù)傳輸。幾類主要的定時(shí)器及其功能如下TCP狀態(tài)轉(zhuǎn)移圖控制了一次連接的初始化、建立和終止，該圖由定義的狀態(tài)以及這些狀態(tài)之間的轉(zhuǎn)移弧構(gòu)成。TCP狀態(tài)轉(zhuǎn)移圖與定時(shí)器密切相關(guān)，不同的定時(shí)器對(duì)：連接定時(shí)器：在連接建立階段

30、，當(dāng)發(fā)送了SYN包后，就啟動(dòng)連接定時(shí)器。如果在 75秒內(nèi)沒(méi)有收到應(yīng)答，則放棄連接建立。 FIN-WAIT-2定時(shí)器：當(dāng)連接從FIN-WAIT-1狀態(tài)轉(zhuǎn)移到FIN-WAIT-2狀態(tài)時(shí)，將一個(gè)FIN-WAIT-2定時(shí)器設(shè)置為10分鐘。如果在規(guī)定時(shí)間內(nèi)該連接沒(méi)有收到一個(gè)帶有置位FIN的TCP包，則定時(shí)器超時(shí)，再定時(shí)為75秒。如果在該時(shí)間段內(nèi)仍無(wú)FIN包到達(dá)，則放棄該連接。 TIME-WAIT定時(shí)器：當(dāng)連接進(jìn)入 TIME-WAIT狀態(tài)時(shí)，該定時(shí)器被激活。當(dāng)定時(shí)器超時(shí)時(shí)， 與該連接相關(guān)的內(nèi)核數(shù)據(jù)塊被刪除，連接終止。維持連接定時(shí)器：其作用是預(yù)測(cè)性地檢測(cè)連接的另一端是否仍為活動(dòng)狀態(tài)。如果設(shè)置了 SO-KEE

31、PALIV窿接字選擇項(xiàng)，貝U TCP機(jī)狀態(tài)是 ESTABLISHED CLOSE-WAIT 4.2網(wǎng)絡(luò)入侵方式偽造IP地址入侵者使用假I(mǎi)P地址發(fā)送包，利用基于 IP地址證實(shí)的應(yīng)用程序。其結(jié)果是未授權(quán)的遠(yuǎn)端用 戶進(jìn)入帶有防火墻的主機(jī)系統(tǒng)。假設(shè)有兩臺(tái)主機(jī) A、B和入侵者控制的主機(jī) X。假設(shè)B授予A某些特權(quán)，使得 A能夠獲得B 所執(zhí)行的一些操作。X的目標(biāo)就是得到與 B相同的權(quán)利。為了實(shí)現(xiàn)該目標(biāo)，X必須執(zhí)行兩步操作：首先，與B建立一個(gè)虛假連接；然后，阻止 A向B報(bào)告網(wǎng)絡(luò)證實(shí)系統(tǒng)的問(wèn)題。主機(jī) X 必須假造A的IP地址，從而使 B相信從X發(fā)來(lái)的包的確是從 A發(fā)來(lái)的。我們同時(shí)假設(shè)主機(jī) A和B之間的通信遵守

32、TCP/ IP的三次握手機(jī)制。握手方法是：Af: SYN （序列號(hào)=M）BfA: SYN （序列號(hào)=N）, ACK （應(yīng)答序號(hào)=M+1）AfB: ACK （應(yīng)答序號(hào)= N+1）主機(jī)X偽造IP地址步驟如下：首先， X冒充A,向主機(jī)B發(fā)送一個(gè)帶有隨機(jī)序列號(hào)的SYN包。主機(jī)B響應(yīng)，向主機(jī) A發(fā)送一個(gè)帶有應(yīng)答號(hào)的 SYN+AC&、該應(yīng)答號(hào)等于原序列號(hào)加 1。同時(shí)，主機(jī)B產(chǎn)生自己發(fā)送包序列號(hào)，并將其與應(yīng)答號(hào)一起發(fā)送。為了完成三次握手， 主機(jī)X需要向主機(jī)B回送一個(gè)應(yīng)答包，其應(yīng)答號(hào)等于主機(jī) B向主機(jī)A發(fā)送的包序列號(hào)加 1。 假設(shè)主機(jī)X與A和B不同在一個(gè)子網(wǎng)內(nèi)，則不能檢測(cè)到B的包，主機(jī)X只有算出B的序列號(hào)，才

33、能創(chuàng)建TCP連接。其過(guò)程描述如下：Xf B: SYN （序歹號(hào)=），SRC=ABfA: SYN （序列號(hào)=N）, ACK （應(yīng)答號(hào)=M+1）Xf B: ACK （應(yīng)答號(hào)=N+1）, SRC= A同時(shí)，主機(jī)X應(yīng)該阻止主機(jī) A響應(yīng)主機(jī)B的包。為此，X可以等到主機(jī) A因某種原因終止運(yùn) 行，或者阻塞主機(jī) A的操作系統(tǒng)協(xié)議部分，使它不能響應(yīng)主機(jī)Bo一旦主機(jī)X完成了以上操作，它就可以向主機(jī)B發(fā)送命令。主機(jī) B將執(zhí)行這些命令，認(rèn)為他們是由合法主機(jī) A發(fā)來(lái)的。TCP狀態(tài)轉(zhuǎn)移的問(wèn)題上述的入侵過(guò)程，主機(jī) X是如何阻止主機(jī) A向主機(jī)B發(fā)送響應(yīng)在的，主機(jī)調(diào)通過(guò)發(fā)送一系 列的SYN包，但不讓A向調(diào)發(fā)送SYN-AC而中止

34、主機(jī) A的登錄端口。如前所述，TCP維持 一個(gè)連接建立定時(shí)器。如果在規(guī)定時(shí)間內(nèi)（通常為75秒）不能建立連接，則 TCP將重置連接。在前面的例子中，服務(wù)器端口是無(wú)法在75秒內(nèi)作出響應(yīng)的。下面我們來(lái)討論一下主機(jī) X和主機(jī)A之間相互發(fā)送的包序列。X向A發(fā)送一個(gè)包，其 SYN位和FIN位置位，A向X發(fā)送ACK包作為響應(yīng)：Xf A: SYN FIN（系列號(hào)=M） A-X: ACK（應(yīng)答序號(hào)=M+1）從上面的狀態(tài)轉(zhuǎn)移可以看出，A開(kāi)始處于監(jiān)聽(tīng)（LISTEN狀態(tài)。當(dāng)它收到來(lái)自X的包后，就開(kāi)始處理這個(gè)包。值得注意的是，在TCP協(xié)議中，關(guān)于如何處理 SYN和FIN同時(shí)置位的包并未作出明確的規(guī)定。我們假設(shè)它首先處理

35、SYN標(biāo)志位，轉(zhuǎn)移到 SYN-RCVD犬態(tài)。然后再處理 FIN標(biāo)志位，轉(zhuǎn)移到 CLOSE-WAIT犬態(tài)。如果前一個(gè)狀態(tài)是 ESTABLISHEDD那 么轉(zhuǎn)移到CLOSE-WAIT狀態(tài)就是正常轉(zhuǎn)移。但是， TCP協(xié)議中并未對(duì)從 SYN-RCVD狀態(tài)到CLOSE-WAIT狀態(tài)的轉(zhuǎn)移作出定義。但在幾種TCP應(yīng)用程序中都有這樣的轉(zhuǎn)移，例如開(kāi)放系統(tǒng)SUN OS4.1.3, SUR4和ULTRX4.3因此，在這些 TCP應(yīng)用程序中存在一條 TCP協(xié)議中未作 定義的從狀態(tài) SYN-RCVCgiJ狀態(tài)CLOSE-WAIT勺轉(zhuǎn)移弧，在上述入侵例子中，由于三次握手 沒(méi)能徹底完成，因此并未真正建立TCP連接，相應(yīng)的

36、網(wǎng)絡(luò)應(yīng)用程序并未從核心內(nèi)獲得連接。但是，主機(jī) A的TCP機(jī)處于CLOSE-WAI就態(tài)，因此它可以向 X發(fā)送一個(gè)FIN包終止連接。 這個(gè)半開(kāi)放連接保留在套接字偵聽(tīng)隊(duì)列中，而且應(yīng)用進(jìn)程不發(fā)送任何幫助TCP執(zhí)行狀態(tài)轉(zhuǎn)移的消息。因此，主機(jī) A的TCP機(jī)被鎖在了 CL0SE-WAIT犬態(tài)。如果維持活動(dòng)定時(shí)器特征被使 用，通常2小時(shí)后TCP將會(huì)重置連接并轉(zhuǎn)移到 CLOSED犬態(tài)。當(dāng)TCP機(jī)收到來(lái)自對(duì)等主機(jī)的 RST時(shí)，就從 ESTABLISHEPFINWAIT-1和FIN-WAIT-2狀態(tài)轉(zhuǎn)移至U CLOSED犬態(tài)。這些轉(zhuǎn)移是 很重要的，因?yàn)樗鼈冎刂?TCP機(jī)且中斷網(wǎng)絡(luò)連接。但是，由于到達(dá)的數(shù)據(jù)段只根據(jù)源

37、IP地址和當(dāng)前隊(duì)列窗口號(hào)來(lái)證實(shí)。因此入侵者可以假裝成已建立了合法連接的一個(gè)主機(jī)，然后向另一臺(tái)主機(jī)發(fā)送一個(gè)帶有適當(dāng)序列號(hào)的RST段，這樣就可以終止連接了 ！從上面的分析我們可以看到幾種TCP應(yīng)用程序中都存在外部狀態(tài)轉(zhuǎn)移。這會(huì)給系統(tǒng)帶來(lái)嚴(yán)重的安全性問(wèn)題。 4.2.3定時(shí)器問(wèn)題 正如前文所述，一旦進(jìn)入連接建立過(guò)程，則啟動(dòng)連接定時(shí)器。如果在規(guī)定時(shí)間內(nèi)不能建立連 接，則TCP機(jī)回到CLOSED犬態(tài)。 我們來(lái)分析一下主機(jī) A和主機(jī)X的例子。主機(jī) A向主機(jī)X發(fā)送一個(gè)SYN包，期待著回應(yīng)一 個(gè)SYN-AC。假設(shè)幾乎同時(shí)，主機(jī) X想與主機(jī)A建立連接，向 A發(fā)送一個(gè)SYN包。A和X 在收到方的 SYN包后都向?qū)Ψ桨l(fā)送一個(gè) SYN-ACK。當(dāng)都收到對(duì)方的 SYN-ACK&后，就 可認(rèn)為連接已建立。在本文中，假設(shè)當(dāng)主機(jī)收到對(duì)方的 SYN包后，就關(guān)閉連接建立定時(shí)器。 Xf A: SYN （序列號(hào)=M） AfX: SYN （序歹U號(hào)=N） Xf A: SYN （序列號(hào)=M）, ACK （應(yīng)答號(hào)=N+1） AfX: SYN （序歹（Pt=N）, ACK （應(yīng)答號(hào)=M+1 ） 主機(jī)X向主機(jī)A發(fā)送一個(gè)FTP請(qǐng)求。在X和A之間建立