网络安全之TCP/IP协议安全性探讨

摘　要：网络安全是一个永恒的主题，按照TCP/IP协议层，对安全性进行探讨,为进一步研究网络安全提供了参考。

关键词：网络安全； TCP/IP协议；安全性

引言
　　现在Internet已在全世界普及，它使人们稳坐家中就可以得到世界各国的所有信息，并已经逐渐成为通信方面的基础设施。但是从另一方面来说，由于世界的计算机通过网络互相连通潜在了很多不安全的因素。于是，要安全地使用Internet，就需要具备防止信息泄漏以及防止被篡改等网络安全问题的能力。为了预防这些网络上的不正当行为，特别需要理解Internet在安全方面的特性，以便采取适当的防范对策。
1. TCP/IP的协议结构
　　TCP/IP作为通信协议，它是一组协议的集合，其中有我们常见的TCP和IP协议，也有用于管理通信方法的协议，也有测试网络状态等工具性的协议。
　　支持因特网通信的TCP/IP是以TCP协议和IP协议为中心构成的协议群的总称。TCP/IP通信协议从最底层开始，是由网间层、传输层以及应用层构成的。像这样的构成层次，可以使开发工作形成模块式开发。
2. 按TCP/IP的协议层，对其安全性探讨
　　2.1网间层在安全方面的隐患主要包括以下几种：
　　(1)伪造IP地址
　　在Internet中，各个设备是按照预先分配的IP地址或者通过DHCP的方式来分配IP地址来标识。于是，如果其中的某个设备设置成其他设备所属的IP或者冒充网关向设备发送数据包，就会造成通信混乱，从而导致网络瘫痪。举个简单的例子，以太网上抢夺其他计算机的IP，就可以谎称是被抢夺计算机IP数据包的源地址。致使在这种情况下，被冒充的计算机上会出现显示IP地址冲突的提示框。而且在这种状态下，也不能保证计算机能够正常运行。对于这样的伪造IP地址(IP Spoofing：IP欺诈)的攻击行为，需要采取以下的措施：
> 利用网络监视工具，对冒充源地址的数据包通过外部网络进行检查，确认是否真正来自于送信源地址。
> 在服务器上生成对于远程接入进程的记录机制，用来见识服务器的适用情况。
　　(2)伪造ARP
　　在网间层上，虽然在设置发送端与接收端时，利用了IP地址通信，但在作为物理层之一的以太网上却利用了MAC地址来标识发送端与接收端的地址。像这种网间层的IP地址体系与数据链路层的MAC地址体系相互对应的分配取决于地址解析协议(ARP)。计算机在通信时首先利用ARP获得与目的IP地址所对应的MAC地址。从减少通信流量的观点出发，一旦给予对应MAC地址的IP地址，这种对应组合将在ARP表中保持一定时间的缓存，这样通过发送伪造的ARP数据包就可以改写这个缓存。
　　作为防范上述攻击行为的对策，可以采取两种方法：
> 利用保证IP数据包合法性的IPSec中的AH的认证功能
> 采用使应用软件具备对通信过程进行加密的方式以及强化认证机构。
　　2.2传输层上存在的安全隐患主要包括以下几种：
　　(1)假冒TCP初始序号
　　在通信过程中，采用被称为三次握手的步骤建立起来的TCP连接。在这个过程，对于使用IP地址认证的应用程序，如果可以顺推出初始序号，那么只要模拟发送端的IP地址，就可以建立TCP连接。不过现在的操作系统中，初始序号的分配方法已变得相当复杂，事实上序号已不能随便推测。
　　(2)利用TCP/UDP数据包的DoS攻击
　　DoS攻击是通过生成大量的、已处于连接状态的TCP连接，使TCP/IP模块陷入崩溃状态的操作。对于以操作系统为目标的攻击，可以通过导入具备屏蔽TCP SYN数据包功能的防火墙来防范。
　　2.3应用层上存在的安全隐患主要包括以下几个方面：
　　(1)扫描/搜索
　　对信息系统的非法入侵，是通过收集作为攻击目标的设备以及用户的相关信息开始的。首先通过扫描搜索设备，同时通过BBS、网络新闻以及主链接清单等资源数据收集用户的信息。扫描用户的设备后，通过截取用户的通信数据或数据包、收集认证信息以及尝试用户密码等方法，使自己能够获得对计算机信息和资源的读写权以及控制权，从而再访问该计算机。
　　(2)DNS欺骗
　　DNS欺骗是一种从外部改写由DNS服务器管理的主机名与IP地址对应表的攻击方式。如前所述，在Internet世界中，计算机以及路由器是通过被分配的、特有的IP地址来识别的。但是IP地址作为一串数值，人们不便于记忆，因而出现了主机名这一概念。DNS是提供IP地址与主机名对应的机制，因此，一旦这种对应关系出现问题，那么IP数据包就不能够被发送到主机名所对应的IP地址。DNS欺骗的一个简单事例，就是在IP地址与主机名对应表的hosts文件中，进行对应关系不一致的设定。所以对于用户来说，接收网络安全方面的教育是非常重要的。
　　(3)窃听用户认证信息
　　这种行为大多是在非法侵入计算机后，安装木马程序，以非法手段获取该计算机所连接的网络的通信信息。特别是将以非加密报文形式传输数据的TELNET、FTP、POP以及HTTP等作为监听对象，来获取密码等用户认证信息。
　　防窃听的对策有以下两种：
> 在通信过程中进行加密，使得数据包不能被任意读取
> 通过限制注入网络交换机的设备，缩小窃听范围。
　　 (4)利用电子邮件进行的DoS攻击
　　利用电子邮件进行的拒绝服务攻击包括：反复频繁发送大数据量的电子邮件，耗尽磁盘空间的电子邮件炸弹，以及通过其他的邮件服务器，连续发送邮件造成第三方延迟等等。
　　互联网工作工程小组最近发布了一种新的邮件认证技术说明，该说明加入了域名密钥识别邮件技术(DKIM)，希望借此来加速对抗垃圾邮件。它把IP地址和邮件的发送人放在一起进行分析，然后通过公共密钥加密，给邮件加上一个数字签名，这个数字签名包含着发件人的域名。
　　(5)病毒
　　计算机病毒是附着于程序中可以自我繁殖的程序。现在所发现的病毒一般具有以下的形态：
* 以篡改或破坏计算机中所存储的数据为攻击目标
* 利用用户作为中介(U盘、电子邮件等)来进行传播。
　　2011年影响最大的十大病毒之中，鬼影病毒、QQ群蠕虫病毒QQ假面病毒、DNF假面病毒、新型QQ大盗等新老变种病毒榜上有名。对于病毒的防护，我们要加强计算机安全意识，提高警惕，不随便访问不可靠网站，定时对计算机进行查杀病毒。
3.结束语
    通过对TCP/IP协议层的安全问题进行阐述及分析，不难发现其在设计上存在很多安全隐患，黑客或黑客工具往往利用这些隐患对网络进行攻击，只有充分了解这些隐患并采取相应的防范措施,才能增强网络的安全性。
参考文献：
[1]石志国等编著.计算机网络安全教程[M]. 北京交通大学出版社;北京:,2004
[2]李美萍. TCP/IP协议体系的安全性探讨[J]. 山西通信科技, 2007(4): 11-13.
[3]周业如,徐擒彪. 网络安全的被动防御与主动防御体系应用研究[J]. 安徽电气工程职业技术学院学报, 2004(1): 55-57

 

本文链接：http://www.qk112.com/lwfw/jsjlw/xinxianquan/225206.html