TCP-IP协议安全讲解.doc

TCP/IP协议安全性分析 摘要：随着计算机网络的迅速发展，人们日常生活已经开始融进整个网络，信息安全问题越来越受到人们的重视，计算机网络安全也成为了人们广泛研究和讨论的问题。TCP/IP协议是目前使用最为广泛的网络互联协议，本文将在详细分析TCP/IP协议原理的基础上，对TCP/IP协议组的安全性进行全面的剖析，并针对安全漏洞提出防范手段和解决方案，为以后的网络安全研究提供参考和帮助。 关键词：TCP/IP，协议，安全，网络 1，TCP/IP协议概况 TCP/IP是TCP/IP是Transmission Control Protocol/Internet Protocol的简写，中译名为传输控协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。TCP/IP协议通常所指的是TCP/IP协议族，是一组不同协议组合一起构成的协议族。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。（图1-1为TCP/IP协议族在不同层次的协议和基本交互情形，图1-2为TCP/IP协议族的四个层次） 应用层 Telnet，FTP和e-mail等 运输层 TCP和IP 网络层 IP，ICMP和IGMP 链路层 设备驱动程序机其接口卡 图1-1 TCP/IP协议族的四个层次 图1-2 TCP/IP协议族在不同层次的协议和基本交互情形 存在的安全隐患和解决方法 针对ICP/IP协议族的四层结构，自底向下的分析协议的安全漏洞并提出相应的解决方案。 2.1链路层上的攻击和防范 网络嗅探 网络接口层是T CP/ IP 网络中最复杂的一个层次, 常见的攻击是针对组成TCP/ IP 网络的以太网进行网络嗅探。所谓网络嗅探是利用网络上的接口接收不属于本机的数据。在以太网中, 所有的通讯都是广播的, 也就是说在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据, 而每一个网络接口都有一个唯一的硬件地址, 这个硬件地址就是网卡的MAC 地址。在网络上进行数据通信时, 信息以数据报的形式传送, 其报头包含了目的主机的硬件地址, 只有硬件地址匹配的机器才会接收该数据报。然而网络上也存在一些能接收所有数据报的机器( 或接口) , 称为杂错节点。一般情况下, 用户帐户和口令等信息都是以明文的形式在网络上传输的, 所以一旦被黑客在杂错节点上嗅探到, 用户就可能遭到攻击, 从而遭受难以弥补的损失。 嗅探有分为下面几种： 本机嗅探. 本机嗅探是指在某台计算机内，嗅探程序通过某种方式，获取发送给其他进程的数据包的过程。例如，当邮件客户端在收发邮件时，嗅探程序可以窃听到所有的交互过程和其中传递的数据 广播网嗅探 广播网，一般是基于集线器（HUB）的局域网络，其工作原理是基于总线方式的，所有的数据包在该网络中都会被广播发送（即发送给所有端口）。广播网的数据传输是基于“共享”原理的，所有的同一本地网范围内的计算机共同接收到相同的数据包。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”，这个过滤器将忽略掉一切和自己无关的网络信息，事实上是忽略掉了与自身MAC 地址不符合的信息。换句话说，在广播网中，每一个网络数据包都被发送到所有的端口，然后由各端口所连接的网卡来判断是否需要接收，所有目的地址与网卡实际地址不符的数据包将被网卡驱动自动丢弃，这确保了广播网中每台主机只接受到以自己为目标的数据包。 广播网嗅探是在广播网（如HUB 环境） 中的网络嗅探行为。广播网嗅探利用了广播网“共享”的通讯方式。在广播网中所有的网卡都会收到所有的数据包，然后再通过自身的过滤器过滤不需要的数据包，因此，只要将本机网卡设为混杂模式，就可以使嗅探工具支持广播网或多播网的嗅探。广播嗅探的基本原理如图2 所示。嗅探器将所处主机的网卡设为混杂模式，因此可以获得该广播网段的所有数据 基于交换机的嗅探 交换机的工作原理与HUB 不同，它不再将数据包转发给所有的端口，而是通过“分组交换”的方式进行单对单的数据传输。即交换机能记住每个端口的MAC 地址，根据数据包的目的地址选择目的端口，所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中，通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式，因此，简单的将网卡设为“混杂”模式并不能够嗅探到网络上的数据包，而只能接收本机的数据包，因此必须要采用其他的方法来实现基于交换机的嗅探。 防御策略： ( 1) 网络分段: 防止嗅探最有效的手段就是进行合理的网络分段, 并在网络中使用交换机和网桥, 最理想的情况应使每一台机器都拥有自己的网络段