TCP IP协议的安全隐患和防范措施论文ok.doc

《TCP IP协议的安全隐患和防范措施论文ok.doc》由会员分享，可在线阅读，更多相关《TCP IP协议的安全隐患和防范措施论文ok.doc（20页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流TCP IP协议的安全隐患和防范措施论文ok.精品文档.毕业设计（论文）题 目 TCP IP协议的安全隐患和防范措施学 生 XXX 联系电话 XXXXXXXXXXXXX 指导教师 评 阅 人 教学站点 XXXXXXXXXXXXXXXX 专 业 计算机网络工程 完成日期 XXX年XX月XX日 TCP IP协议的安全隐患和防范措施摘要：Internet的日益普及给人们的生活和工作方式带来了巨大的变革，人们在享受网络技术带来的便利的同时，安全问题也提上了议事日程，网络安全也成为计算机领域的研究热点之一。TCP/IP出现在20世纪70年代，80年代被

2、确定为Internet的通信协议，到了今天，TCP/IP已经成为网络世界中使用最广泛、最具有生命力的通信协议，并且成为事实上的网络互连工业标准。本文在介绍因特网中使用的TCP/IP协议的基础上，对TCP/IP协议的安全性进行了较为全面的讨论，具体分析了TCP/IP协议的基本体系结构、各层的常用协议及安全隐患和防范措施。希望能对未来的信息社会中网络安全环境的形成有所帮助。关键字：TCP/IP；安全性；网络；协议；体系结构目 录绪 论11 TCP/IP概述21.1 TCP/IP的历史21.2 TCP与IP简介21.3 网络协议与分层21.4 OSI 参考模型31.4 .1 OSI 各层简介41.4

3、.2 TCP/IP 协议的体系71.4 .3 TCP/IP 分层模型71.4 .4 TCP/IP 分层工作原理91.4 .5 TCP/IP 模型的分界线102 TCP/IP各层的安全性和提高各层安全性的方法112.1网络层的安全性112.2传输层的安全性122.3应用层的安全性133 存在的安全隐患与解决方法14总结19参考文献20致谢21绪论TCP/IP(Transmission Control Protocol/Intemet Protocol)是20世纪70年代中期美国国防部(DOD)为其研究性网络ARPNET开发的网络体系结构，ARPANET最初是通过租用的电话线将美国的几百所大学和研

4、究所连接起来。随着卫星通信技术和无线技术的发展，这些技术也被应用到ARPNET网络中，已有的协议已不能解决这些通信网络的互联问题，于是就提出了新的体系结构，用于将不同的通信网络无缝连接。这种体系结构后来被称为TCP/IP参考模型。TCP/IP协议时Internet进行网际互联通信的基础，目前Internet能如此迅速在全球延伸，主要是由于TCP/IP协议族的开放性，它打破了异构网络之间的壁垒，把不同国家的各种网络连接起来，使Internet成为了没有明确物理界限的网际。从而人们充分的享受全球共享，也因为TCP/IP的开放性，给Internet带来安全隐患也是正常的。当Internet遍布世界以

5、后，网络的环境发生了根本的变化，信任的问题变得突出起来，因此Internet出现了很多问题，由于自身的缺陷、网络的开放性以及黑客的攻击时造成互联网不安全的主要原因。TCP/IP作为Internet使用的标准协议集，是黑客实施网络攻击的重点目标。这种基于地址的协议本身就回泄露口令，运行一些无关的程序，这些都是网络的本身的缺陷。互联网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。这就给人们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。网络的开放性，TCP/IP协议完全公开，远程访问使许多攻击者无须到现场就能够得手

6、，连接的主机基于互相信任的原则等等性质使网络更加不安全。第一章 TCP/IP概述TCP/IP的历史，TCP/IP起源于20世纪60年代末美国政府资助的一个网络分组交换研究项目，被用于当今所构筑的最大的开放式网络系统Internet之上。1.2 TCP与IP简介TCP和IP是两个独立且紧密结合的协议，负责管理和引导数据报文在Internet上的传输，二者使用专门的报文头定义每个报文的内容。TCP负责和远程主机的连接；IP负责寻址，使报文被送到其该去的地方。1.3 网络协议与分层 计算机网络是为了实现计算机之间的通信，任何双方要成功地进行通信，必须遵守一定的信息交换规则和约定，这些信息交换规则和约

7、定就称为通信协议（ protocol ）。计算机上的网络接口卡、通信软件、通信设备都是遵循一定的协议设计的，必须符合一定的协议规范。 为了减少协议设计的复杂性，大多数网络都按层或级的方式来组织，每一层都建立在它的下层之上。不同的网络在分层数量和各层的名字、内容与功能上都不尽相同，然而，在所有的网络中，每一层的目的都是向它的上一层提供一定的服务，而把这种服务是如何实现的细节对上层加以屏蔽。 层按功能来划分，每一层都有特定的功能，它一方面利用下一层所提供的功能，另一方面又为其上一层提供服务。通信双方在相同层之间进行通话，通话规则和协定的整体就是该层的协议。每一层都有一个或多个协议，几个层合成一个协

8、议栈（ protocol stack ）。协议的分层模型便于协议软件按模块方式进行设计和实现，这样每层协议的设计、修改、实现和测试都可以独立进行，从而减少复杂性。 不同机器内包含相同协议层的实体叫做对等进程，对等进程是利用协议进行通信的主体。相邻层之间通过接口来定义相互关系，接口定义下层向上层提供的原语操作和服务。层和协议的集合叫做网络体系结构。 1.4 OSI 参考模型 OSI 模型有七层，其分层原则如下： 根据不同层次的抽象分层； 每一层应当实现一个定义明确的功能； 每一层功能的选择应当有助于制定网络协议的国际标准； 各层边界的选择应尽量减少跨过接口的通信量； 层数应足够多，以避免不同的功

9、能混杂在同一层中；但也不能太多，否则体系结构会过于庞大。 根据这些原则， ISO 在 1983 年推出的 OSI 参考模型如图 1-1 所示。 图 1-1 OSI 七层参考模型 值得注意的是， OSI 参考模型本身并不是一个完整的网络体系结构，因为它并未确切地描述用于各层的协议和服务，它仅仅告诉我们每层应该做什么。不过， ISO 已经为各层制定了标准，但它们并不是参考模型的部分，而是作为独立的国际标准公布的。 1.4.1 OSI 各层简介 OSI 七层模型是指从物理层到应用层这七层，它不涉及通信的物理介质。随着网络技术的发展，特别是局域网的发展，后来对 OSI 七层模型进行了改进。修订之一就是

10、非正式地增加了一些子层和新层，如增加了第 0 层，使之覆盖了象电缆连接器和光纤这样的硬件细节。本节我们只对 OSI 模型的七层的功能作简单描述。 1. 物理层 物理层（ physical layer ）是 OSI 模型的最低层，它建立在物理通信介质的基础上，作为系统和通信介质的接口，用来实现数据链路实体间透明的比特流传输。在设计上必须保证一方发送出二进制“ 1 ”时，另一方收到的也是“ 1 ”而不是“ 0 ”。 物理层是 OSI 中唯一设计通信介质的一层，它提供与通信介质的连接，描述这种连接的机械、电气、功能和规程特性，以建 立、维护和释放数据链路实体之间的物理连接。物理层向上层提供位信息的正

11、确传送。 物理层协议定义了硬件接口的一系列标准，典型地如用多少伏特电压表示“ 1 ”，多少伏特表示“ 0 ”；一个比特持续多少时间；传输是双向的还是单向的；最初的连接如何建立和完成通信后连接如何终止；一次通信中发送方和接收方如何应答；设备之间连接件的尺寸和接头数；每根线的用途等。 2. 数据链路层 数据链路层（ data link layer ）的主要任务是加强物理层传输原始比特的功能，使之对网络层显现为一条无错链路。它在相邻网络实体之间建立、维持和释放数据链路连接，并传输数据链路数据单元（帧， frame ）。它是将位收集起来，按包处理的第一个层次，它完成发送包前的最后封装，及对到达包进行首

12、次检视。其主要功能为： (1)、 数据链路连接的建立与释放：在每次通信前后，双方相互联系以确认一次通信的开始和结束。数据链路层一般提供无应答无连接服务、有应答无连接服务和面向连接的服务等三种类型服务。 (2)、 数据链路数据单元的构成：在上层交付的数据的基础上加入数据链路协议控制信息，形成数据链路协议数据单元。 (3)、 数据链路连接的分裂：当数据量很大时，为提高传输速率和效率，将原来在一条物理链路上传输的数据改用多条物理链路来传输（与多路复用相反）。 (4)、 定界与同步：从物理连接上传输数的比特流中，识别出数据链路数据单元的开始和结束，以及识别出其中的每个字段，以便实现正确的接收和控制。

13、(5)、 顺序和流量控制：用以保证发送方发送的数据单元能以相同的顺序传输到接收方，并保持发送速率与接收速率的匹配。 (6)、 差错的检测与恢复：检测出传输、格式和操作等错误，并对错误进行恢复，如不能恢复则向相关网络实体报告。 3. 网络层 网络层（ network layer ）关系到子网的运行控制，其关键问题之一是确定分组从源端到目的端如何选择路由。本层维护路由表，并确定哪一条路由是最快捷的，及何时使用替代路由。路由既可以选用网络中固定的静态路由表，几乎保持不变，也可以在每一次会话开始时决定（如通过终端协商决定），还可以根据当前网络的负载状况，高度灵活地为每一个分组决定路由。 网络层的另一重

14、要功能是传输和流量控制，它在子网中同时出现过多的分组时，提供有效的流量控制服务来控制网络连接上传输的分组，以免发生信息“堵塞”或“拥挤”现象。 网络层提供两种类型的网络服务，即无连接的服务（数据报服务）和面向连接的服务（虚电路服务）。网络层使较高层与连接系统所用的数据传输和交换技术相独立。 IP 协议工作在本层，它提供“无连接的”或“数据报”服务。 4. 传输层 传输层（ transport layer ）的基本功能是从会话层接收数据，在必要时把它们划分成较小的单元传递给网络层，并确保到达对方的各段信息准确无误。而且，这些任务都必须高效率地完成。 传输层是在网络层的基础上再增添一层软件，使之能

15、屏蔽掉各类通信子网的差异，相用户进程提供一个能满足其要求的服务，其具有一个不变的通用接口，使用户进程只需了解该接口，便可方便地在网络上使用网络资源并进行通信。 通常情况下，会话层每请求建立一个传输连接，传输层就为其创建一个独立的网络连接。如果传输连接需要较高的信息吞吐量，传输层也可以为之创建多个网络连接，让数据在这些网络连接上分流，以提高吞吐量。另一方面，如果创建或维持一个网络连接不合算，传输层可以将几个传输连接复用到一个网络连接上，以降低费用。在任何情况下，都要求传输层能使多路复用对会话层透明。 传输层是真正的从源到目标“端到端”的层，也就是说，源端机上的某程序，利用报文头和控制报文与目标机

16、上的类似程序进行对话。在传输层以下的各项层中，协议是每台机器和它直接相邻的机器间的协议，而不是最终的源端机和目标机之间的协议，在他们中间可能还有多个路由器。TCP 协议工作在本层，它提供可靠的基于连接的服务。它在两个端点之间提供可靠的数据传送，并提供端到端的差错恢复与流控。 5. 会话层 会话层（ session layer ）允许不同机器上的用户之间建立会话关系，即正式的连接。这种正式的连接使得信息的收发具有高可靠性。会话层的目的就是有效地组织和同步进行合作的会话服务用户之间的对话，并对它们之间的数据交换进行管理。 会话层服务之一是管理对话，它允许信息同时双向传输，或任意时刻只能单向传输。约

17、属于后者，则类似于单线铁路，会话层将记录此时该轮到哪一方了。一种与会话有关的服务是令牌管理（ token management ），令牌可以在会话双方之间交换，只有持有令牌的一方可以执行某种关键操作。 另一种会话服务是同步（ synchronization ）。同步是在连续发送大量信息时，为了使发送的数据更加精细地结构化，在用户发送的数据中设置同步点，以便记录发送过程的状态，并且在错误发生导致会话中断时，会话实体能够从一个同步点恢复会话继续传送，而不必从开头恢复会话。 TCP/IP 协议体系中没有专门的会话层，但是在其传输层协议 TCP 协议实现了本层部分功能。 6. 表示层 表示层（ pre

18、sentation layer ）完成某些特定的功能，由于这些功能常被请求，因此人们希望找到通用的解决办法，而不 是要让每个用户来实现。值得一提的是，表示层以下的各层只关心可靠的传输比特流，而表示层关心的是所传输的信息的语法和语义。 表示层尚未完整定义和广泛使用，如 TCP/IP 协议体系中就没有定义表示层。表示层完成应用层所用数据所需要的任何转换，以提供标准化的应用接口和公共的通信服务。如数据格式转换、数据压缩 / 解压和数据加密 / 解密可能在表示层进行。 7. 应用层 应用层（ application layer ）包含大量人们普遍需要的协议。本层处理安全问题与资源的可用性。最近几年，应

19、用层协议发展很快，经常用到的应用层协议有： FTP 、 TELNET 、 HTTP 、 SMTP 等。 OSI 模型的各层之间任务明确，它们只与上下相邻层打交道：接受下层提供的服务，向上层提供服务。由于所有的网络协议都是分层的，象堆栈一样，因此经常将协议各层统称协议栈。它们的工作模式一般为：发送时接收上层的数据，将其分割打包，然后交给下层；接收时接收下层的数据包，将其拆包重组，然后交给上层。这样，一个包的传输过程是：发送主机的应用程序将数据传递给网络协议栈实现（网络通信程序），网络协议栈实现将数据层层打包，最后交由物理层在数据链路上发送；接收主机收到数据后，逐层拆包向上传递，直到最后达到应用层

20、，应用程序得到对等方的数据。 1.4.2 TCP/IP 协议的体系 Internet 采用的是 TCP/IP 协议体系， TCP/IP 协议体系是因其两个著名的协议 TCP 和 IP 而得名的。 TCP/IP 协议体系在和 OSI 的竞争中取得了决定性的胜利，得到了广泛的认可，成为了事实上的网络协议体系标准。 1.4.3 TCP/IP 分层模型 TCP/IP 协议体系和 OSI 参考模型一样，也是一种分层结构。它是由基于硬件层次上的四个概念性层次构成，即网络接口层、互联网层、传输层和应用层。图 1-2 表示了 TCP/IP 协议体系及其与 OSI 参考模型的对应关系。 OSI模型TCP/IP协

21、议体系应用层应用层TelnetFTPHTTPSMTPTIMEDNSSNMPTFTP表示层会话层传输层传输层TCPUDP网络层互联网层IP ICMP数据链路层网络接口层EthernetToken-RingpppOther Media物理层硬件Hardware图1-2 TCP/IP协议体系及其与OSI模型的对应关系从图 1-2 可以看出，对照 OSI 七层协议， TCP/IP 第三层以上是应用层、传输层和网际互联层， TCP/IP 的应用层组合了 OSI 的应用层和表示层，还包括 OSI 会话层的部分功能。但是，这样的对应关系并不是绝对的，它只有参考意义，因为 TCP/IP 各层功能和 OSI 模

22、型的对应层还是有一些区别的。 1. 网络接口层 网络接口层也称为数据链路层，它是 TCP/IP 的最底层，但是 TCP/IP 协议并没有严格定义该层，它只是要求主机必须使用某种协议与网络连接，以便能在其上传递 IP 分组。因此，在传统的 UNIX 里，网络接口通常是一个设备驱动器，并且随主机和网络的不同而不同。 2. 互联网层 互联网层（ Internet Layer ）俗称 IP 层，它处理机器之间的通信。它接受来自传输层的请求，传输某个具有目的地址信息的分组。该层把分组封装到 IP 数据报中，填入数据报的首部（也称为报头），使用路由算法来选择是直接把数据报发送到目标机还是把数据报发送给路由

23、器，然后报数据报交给下面的网络接口层中的对应网络接口模块。该层还有处理接收到的数据报，检验其正确性，使用路由算法来决定对数据报是否在本地进行处理还是继续向前传送。 3. 传输层 传输层的基本任务是提供应用层之间的通信，即端到端的通信。传输层管理信息流，提供可靠的传输服务，以确保数据无差错的、按序到达。为了这个目的，传输层协议软件要进行协商，让接收方回送确认信息及让发送方重发丢失的分组。传输层协议软件将要传送的数据流划分成分组，并把每个分组连同目的地址交给下一层去发送。 4. 应用层 在这个最高层，用户调用应用程序来访问 TCP/IP 互联网络提供的多种服务。应用程序负责发送和接收数据。每个应用

24、程序选择所需的传输服务类型，可以是独立的报文序列，或者是连续的字节流。应用程序将数据按要求的格式传送给传输层。 1.4.4 TCP/IP 分层工作原理 TCP/IP 协议体系和 OSI 模型的分层结构虽然不完全相同，但它们的分层原则是一致的，即都遵循这样的一个思想：分层的协议要被设计成达到这样的效果，即目标机的第 n 层所收到的数据就是源主机的第 n 层所发出的数据。 图 1-3 描述了 TCP/IP 分层工作原理，它表示了两台主机上的应用程序之间传输报文的路径。主机 B 上的第 n 层所收到的正是主机 A 上的第 n 层所发出的对象。 在图 1-3 中我们忽略了一个重要的内容，即没有描述发送

25、方主机上的应用程序与接收主机的应用程序之间通过路由器进行报 文传输的情况。图 1-4 中描述使用路由器的 TCP IP 分层工作，图中报文经历了两种结构不同的网络，也使用了两种不同的网络帧，即一个是从主机 A 到路由器 R ，另一个是从路由器 R 到主机 B 。主机 A 发出的帧和路由器 R 接收到的帧相同，但不同于路由器 R 和主机 B 之间传送的帧。与此形成对照的是应用程序层和传输层处理端到端的事务，因此发送方的软件能和最终的接收方的对等层软件进行通信。也就是说，分层原则保证了最终的接收方的传输层所收到的分组与发送方的传输层送出的分组是一样的。 图 1-3 TCP/IP 分层工作原理图 1

26、-4 使用路由器的 TCP/IP 分层工作原理1.4.5 TCP/IP 模型的分界线 TCP/IP 的概念性层次包含两个重要的分界线，一个是协议地址分界线，以区分高层和低层的寻址，另一个是操作系统分界线，以区分系统与应用程序。图 1-5 描述了 TCP/IP 概念层模型的分界。 图 1-5 TCP/IP 概念层模型的分界 高层寻址使用 IP 地址，低层寻址使用物理地址。一个概念性的界限把使用低层地址的软件和使用高层地址的软件区分开来，这个分界线出现在网络接口层和 Internet 层之间，即应用程序和在 Internet 层之上的所有协议软件只使用 IP 地址，而网络接口层处理的是物理地址。因

27、此，象 ARP 这样的处于网络接口层的协议，就不是 IP 的一部分。 第二章TCP/IP各层的安全性和提高各层安全性的方法2.1网络层的安全性过去十年里，已经提出了一些方案对网络层的安全协议进行标准化。例如，安全协议3号(SP3)就是美国国家安全局以及标准技术协会作为安全数据网络系统(SDNS)的一部分而制定的。网络层安全协议(NLSP)是由国际标准化组织为无连接网络协议(CLNP)制定的安全协议标准。事实上，他们用的都是IP封装技术。其本质是，纯文本的包被加密，封装在外层的IP报头里，用来对加密的包进行Internet上的路由选择。到达另一端时，外层的IP报头被拆开，报文被解密，然后送到收报

28、地点。 IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。该体制不仅能在目前通行的IP(IPv4)下工作，也能在IP的新版本(IPng或IPv6)下工作。该体制应该是与算法无关的，即使加密算法替换了，也不对其他部分的实现产生影响。此外，该体制必须能实行多种安全政策，但要避免给不使用该体制的人造成不利影响。IP AH指一段消息认证代码(Message Authentication Code，MAC)，在发送IP包之前，它已经被事先计算好。发送方用一个加密密钥算出AH，接收方用同一或另一密钥对之进行验证。如果收发双方使用的是单钥体制，那它们就使用同一密钥；如果收发双方使用公钥体制

29、，那它们就使用不同的密钥。在后一种情形，AH体制能额外提供不可否认的服务。有些在传输中可变的域。 RFC 1828首次规定了加封状态下AH的计算和验证中要采用带密钥的MD5算法。而与此同时，MD5和加封状态都被批评为加密强度太弱，并有替换方案提出。IP ESP的基本想法是整个IP包进行封装，或者只对ESP内上层协议的数据(运输状态)进行封装，并对ESP的绝大部分数据进行加密。在管道状态下，为当前已加密的ESP附加了一个新的IP头(纯文本)，它可以用来对IP包在Internet上作路由选择。接收方把这个IP头取掉，再对ESP进行解密，处理并取掉ESP头，再对原来的IP包或更高层协议的数据就象普通

30、的IP包那样进行处理。虽然其他算法和状态也是可以使用的，但一些国家对此类产品的进出口控制也是不能不考虑的因素。有些国家甚至连私用加密都要限制。 AH与ESP体制可以合用，也可以分用。不管怎么用，都逃不脱传输分析的攻击。人们不太清楚在Internet层上，是否真有经济有效的对抗传输分析的手段，但是在Internet用户里，真正把传输分析当回事儿的也是寥寥无几。 在最简单的情况下，IPSP用手工来配置密钥。然而，当IPSP大规模发展的时候，就需要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例的要求，指定管理密钥的方法。 因此，IPSEC工作组也负责进行Inter

31、net密钥管理协议(IKMP)，其他若干协议的标准化工作也已经提上日程。2.2 传输层的安全性在Internet应用编程序中，通常使用广义的进程间通信(IPC)机制来与不同层次的安全协议打交道。比较流行的两个IPC编程界面是BSD Sockets和传输层界面(TLI)，在Unix系统V命令里可以找到。 在Internet中提供安全服务的首先一个想法便是强化它的IPC界面，如BSD Sockets等，具体做法包括双端实体的认证，数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在可靠的传输服务(如TCP/IP所提供)基础上的安全套接层协议(SSL)。SSL版本3(SSL v

32、3)于1995年12月制定。它主要包含以下两个协议： SSL记录协议 它涉及应用程序提供的信息的分段、压缩、数据认证和加密。SSL v3提供对数据认证用的MD5和SHA以及数据加密用的R4和DES等的支持，用来对数据进行认证和加密的密钥可以通过SSL的握手协议来协商。 原则上，任何TCP/IP应用，只要应用传输层安全协议，比如说SSL或PCT，就必定要进行若干修改以增加相应的功能，并使用(稍微)不同的IPC界面。于是，传输层安全机制的主要缺点就是要对传输层IPC界面和应用程序两端都进行修改。可是，比起Internet层和应用层的安全机制来，这里的修改还是相当小的。另一个缺点是，基于UDP的通信

33、很难在传输层建立起安全机制来。同网络层安全机制相比，传输层安全机制的主要优点是它提供基于进程对进程的(而不是主机对主机的)安全服务。这一成就如果再加上应用级的安全服务，就可以再向前跨越一大步了。 2.3 应用层的安全性 必须牢记(且须仔细品味): 网络层(传输层)的安全协议允许为主机(进程)之间的数据通道增加安全属性。本质上，这意味着真正的(或许再加上机密的)数据通道还是建立在主机(或进程)之间，但却不可能区分在同一通道上传输的一个具体文件的安全性要求。比如说，如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包就都要自动地被加密。同样，如果一个进程和另一个进

34、程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的所有消息就都要自动地被加密。 提供应用层的安全服务实际上是最灵活的处理单个文件安全性的手段。例如一个电子邮件系统可能需要对要发出的信件的个别段落实施数据签名。较低层的协议提供的安全功能一般不会知道任何要发出的信件的段落结构，从而不可能知道该对哪一部分进行签名。只有应用层是唯一能够提供这种安全服务的层次。 第三章 存在的安全隐患与解决方法分析网络系统的安全威胁主要来自以下几个方面：操作系统的安全性，目前流行的许多操作系统均存在网络安全漏洞；防火墙的安全性，防火墙自身是否安全，是否设置错误，需要经过认真检验；来自内部用户的安全

35、威胁；缺乏有效的手段监视网络系统的安全性；采用的TCP/IP协议族本身的安全隐患；在TCP/IP协议组中存在安全问题的主要协议有ARP协议，IP协议，ICMP，协议，TCP协议，DNS协议。下面就来一个一个分析其存在的安全缺陷。 ARP协议 ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。比如在局域网内，一个中了ARP病毒的电脑，把自己伪装成路由器，告诉所有的电脑“我是路由器 大家都来”，结果大家的电脑相信了他，他就可以随意的把改装过的网络数据送给所有电脑，在这个数据里可以插

36、入病毒的程序。 中木马的电脑伪装自己的路由器，暂时把真正的路由器给“打晕”了骗了大家，真路由过一会“苏醒了”大家又重新回到真路由的怀抱中，这个网络切换的过程中 就会掉线。ARP攻击越强烈 掉线越频繁。 ARP欺骗的种类：ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理

37、是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。IP协议如果你的计算机需要和其他计算机联系，那么IP地址是必须的。尽管互联网上联接了无数的服务和电脑，但它们并不是处于杂乱无章的无序状态，而是每一个主机都有惟一的地址，作为该主机在I

38、nternet上的唯一标志。我们称为IP地址。基于IP协议的安全问题主要是IP地址欺骗。IP地址欺骗是指行动产生IP包的假冒源IP地址，以冒充其他系统或保护发送人的身分。 ip是无连接的，不可靠的协议它的32bit的头中，包含了自己要去的目的主机的ip地址，几乎所有的tcp/ip协议的传输都是被包含在ip包中发送的它的所有的可靠性都是由它的上层协议来保证的。如果不可达，icmp的不可达报文就会发送会主机。它的无状态的特性,说明它不保存上一个包的任何状态。因此,我们就可以通过修改ip协议栈的方法,把所需要的ip地址填写到我们所发送出去的ip包中,来达到冒充其他主机的目的。 ICMP协议 ICMP

39、的漏洞可以在不需要嗅探网络数据流的情况下直接被利用，而且不需要任何“中间人”就可以进行。可以对目标主机经行性能衰竭攻击：攻击者可以发送大量的ICMP包给目标主机使得它不能够对合法的服务请求做出响应。中美黑客大战中的多数中国黑客采用的正是此项技术。ICMP FLOOD攻击实际上是一种两败俱伤的攻击方式，在主机疯狂地向攻击目标发送ICMP消息的时候，主机也在消耗自身的系统资源。如果自身的网络资源小 于目标的话，这种攻击就是蚍蜉撼大树。因此，ICMP FLOOD攻击为了达到很好的效果，往往要联合多台机器同时攻击同一台机器，从而形成分布式拒绝服务攻击（DDoS）。 DNS协议当客户向一台服务器请求服务

40、时，服务器方一般会根据客户的ip反向解析出该ip对应的域名。这种反向域名解析就是一个查DNS的过程。 如果客户的ip对应有域名，那么DNS查询会返回其域名。服务器端得到这一机器名后会将其记录下来并传递给应用程序。你必须有一台Internet上的授权的DNS服务器,并且你能控制这台服务器,至少要能修改这台服务器的DNS记录。假如某个域名的真实地址是1.1.1.1，而我们通过修改DNS记录，使得这个域名对应的地址为2.2.2.2，那么会出现什么情况，你到的根本不是真实的网站，而且如果这个是黑客制造的假的和真实网站看上去一样的，会有什么后果？针对TCP/IP安全漏洞进行攻击的具体实现和防御针对以上有

41、安全缺陷的协议，相应的攻击实现方法有ARP欺骗，IP欺骗，Ping洪水，TCP连接劫持（SYN洪水），DNS欺骗, DOS攻击 1 ARP欺骗 ARP欺骗攻击反复袭击，是近来网络行业普遍了解的现象，随着ARP攻击的不断升级，不同的解决方案在市场上流传。但是最近发现，有一些方案，从短期看来似乎有效，实际上对于真正的ARP攻击发挥不了作用，也降低局域网工作效率。对于ARP攻击防制，最好的方法是先踏踏实实把基本防制工作做好，才是根本解决的方法。由于市场上的解决方式众多，我们无法一一加以说明优劣，因此我们仅从ARP攻击防制的基本思想来进行解释。不坚定的ARP协议一般计算机中的原始的ARP协议，很像一个

42、思想不坚定，容易被其它人影响的人，ARP欺骗/攻击就是利用这个特性，误导计算机作出错误的行为。ARP攻击的原理，互联网上很容易找到，这里不再覆述。原始的ARP协议运作，会附在局域网接收的广播包或是ARP询问包，无条件覆盖本机缓存中的ARP/MAC对照表。这个特性好比一个意志不坚定的人，听了每一个人和他说话都信以为真，并立刻以最新听到的信息作决定。就像一个没有计划的快递员，想要送信给张三，只在马路上问张三住那儿？，并投递给最近和他说我就是！或张三住那间！，来决定如何投递一样。在一个人人诚实的地方，快递员的工作还是能切实地进行；但若是旁人看快递物品值钱，想要欺骗取得的话，快递员这种工作方式就会带来

43、混乱了。我们再回来看ARP攻击和这个意志不坚定快递员的关系。常见ARP攻击对象有两种，一是网络网关，也就是路由器，二是局域网上的计算机，也就是一般用户。攻击网络网关就好比发送错误的地址信息给快递员，让快递员整个工作大乱，所有信件无法正常送达；而攻击一般计算机就是直接和一般人谎称自己就是快递员，让一般用户把需要传送物品传送给发动攻击的计算机。由于一般的计算机及路由器的ARP协议的意志都不坚定，因此只要有恶意计算机在局域网持续发出错误的ARP讯息，就会让计算机及路由器信以为真，作出错误的传送网络包动作。一般的ARP就是以这样的方式，造成网络运作不正常，达到盗取用户密码或破坏网络运作的目的。针对AR

44、P攻击的防制，常见的方法，可以分为以下三种作法： 利用ARP echo传送正确的ARP讯息：通过频繁地提醒正确的ARP对照表，来达到防制的效果。利用绑定方式，固定ARP对照表不受外来影响：通过固定正确的ARP对照表，来达到防制的效果。 舍弃ARP协议，采用其它寻址协议：不采用ARP作为传送的机制，而另行使用其它协议例如PPPoE方式传送。以上三种方法中，前两种方法较为常见，第三种方法由于变动较大，适用于技术能力较佳的应用。常见的ARP echo处理手法有两种，一种是由路由器持续发送，另一则是在计算机或服务器安装软件发送。路由器持续发送的缺点是路由器原本的工作就很忙，因此无法发送高频率的广播包，

45、被覆盖掉的机会很大，因此面对新型的ARP攻击防制效果小。因此，有些解决方法，就是拿ARP攻击的软件来用，只是持续发出正确的网关、服务器对照表，安装在服务器或是计算机上，由于服务器或是计算机运算能力较强，可以同一时间内发出更多广播包，效果较大，但是这种作法一则大幅影响局域网工作，因为整个局域网都被广播包占据，另则攻击软件通常会设定更高频率的广播包，误导局域网计算机，效果仍然有限。ARP echo的作法是不断提醒计算机正确的ARP对照表，ARP绑定则是针对ARP协议思想不坚定的基本问题来加以解决。ARP绑定的作法，等于是从基本上给这个快递员培训，让他把正确的人名及地址记下来，再也不受其它人的信息干

46、扰。由于快递员脑中记住了这个对照表，因此完全不会受到有心人士的干扰，能有效地完成工作。在这种情况下，无论如何都可以防止因受到攻击而掉线的情况发生。但是ARP绑定并不是万灵药，还需要作的好才有完全的效果。第一 即使这个快递员思想正确，不受影响，但是攻击者的网络包还是会小幅影响局域网部份运作，网管必须通过网络监控或扫瞄的方法，找出攻击者加以去除第二 必须作双向绑定才有完全的效果，只作路由器端绑定效果有限，一般计算机仍会被欺骗，而发生掉包或掉线的情况。但是从以上的说明可知道，只有双向绑定才能有效果地解决ARP攻击的问题，而不会发生防制效果不佳、局域网效率受影响、影响路由器效能或影响服务器效能的缺点。

47、也就是说双向绑定是个硬工夫，可以较全面性地解决现在及未来ARP攻击的问题，网管为了一时的省事，而采取片面的ARP echo解决方式，未来还是要回来解决这个问题。一般攻击从一台你拥有root账号的主机开始,以获取另一个主机的root账号为目的。 IP-spoofing的最大困难是你所进行的是一次盲攻击.因为你伪装成别的主机,所以中间的路由器不会把包路由回来.当然主机B(被信任的主机)已经被你攻击瘫痪,它无法回应.而你要在无法接受任何回应包的同时,参测可能的回应包,并替代主机B做回答.怎么样?不容易吧!这其中最需要的。虽然攻击者可以欺骗任何IP地址，最常被欺骗的IP地址是私有IP地址（请参考RFC1918）和其它类型的共享/特别的IP地址。实施访问控制列表(ACL) 最简单的防止欺骗的方法就是对所有的互联网通信使用一个进入过滤器。进入过滤器会丢弃源地址为以上所列地址的任何数据包。 总 结 计算机网络的发展过程实际上是 TCP/IP 网络协议体系不断战胜其他网络