TCPIP协议安全分析Word文件下载.docx

1、1.存在的安全隐患和解决方法针对ICP/IP协议族的四层结构，自底向下的分析协议的安全漏洞并提出相应的解决方案。2.1链路层上的攻击和防范网络嗅探网络接口层是T CP/ IP 网络中最复杂的一个层次, 常见的攻击是针对组成TCP/ IP 网络的以太网进行网络嗅探。所谓网络嗅探是利用网络上的接口接收不属于本机的数据。在以太网中, 所有的通讯都是广播的, 也就是说在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据, 而每一个网络接口都有一个唯一的硬件地址, 这个硬件地址就是网卡的MAC 地址。在网络上进行数据通信时, 信息以数据报的形式传送, 其报头包含了目的主机的硬件地址, 只有硬件

2、地址匹配的机器才会接收该数据报。然而网络上也存在一些能接收所有数据报的机器（ 或接口） , 称为杂错节点。一般情况下, 用户帐户和口令等信息都是以明文的形式在网络上传输的, 所以一旦被黑客在杂错节点上嗅探到, 用户就可能遭到攻击, 从而遭受难以弥补的损失。嗅探有分为下面几种：（1）本机嗅探.本机嗅探是指在某台计算机内，嗅探程序通过某种方式，获取发送给其他进程的数据包的过程。例如，当邮件客户端在收发邮件时，嗅探程序可以窃听到所有的交互过程和其中传递的数据（2）广播网嗅探广播网，一般是基于集线器（HUB）的局域网络，其工作原理是基于总线方式的，所有的数据包在该网络中都会被广播发送（即发送给所有端口

3、）。广播网的数据传输是基于“共享”原理的，所有的同一本地网范围内的计算机共同接收到相同的数据包。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”，这个过滤器将忽略掉一切和自己无关的网络信息，事实上是忽略掉了与自身MAC 地址不符合的信息。换句话说，在广播网中，每一个网络数据包都被发送到所有的端口，然后由各端口所连接的网卡来判断是否需要接收，所有目的地址与网卡实际地址不符的数据包将被网卡驱动自动丢弃，这确保了广播网中每台主机只接受到以自己为目标的数据包。广播网嗅探是在广播网（如HUB 环境） 中的网络嗅探行为。广播网嗅探利用了广播网“共享”的通讯方式。在广播网中所有的网卡都会收到所有的数据包

4、，然后再通过自身的过滤器过滤不需要的数据包，因此，只要将本机网卡设为混杂模式，就可以使嗅探工具支持广播网或多播网的嗅探。广播嗅探的基本原理如图2 所示。嗅探器将所处主机的网卡设为混杂模式，因此可以获得该广播网段的所有数据（3）基于交换机的嗅探交换机的工作原理与HUB 不同，它不再将数据包转发给所有的端口，而是通过“分组交换”的方式进行单对单的数据传输。即交换机能记住每个端口的MAC 地址，根据数据包的目的地址选择目的端口，所以只有对应该目的地址的网卡能接收到数据。基于交换机的嗅探是指在交换环境中，通过某种方式进行的嗅探。由于交换机基于“分组交换”的工作模式，因此，简单的将网卡设为“混杂”模式并

5、不能够嗅探到网络上的数据包，而只能接收本机的数据包，因此必须要采用其他的方法来实现基于交换机的嗅探。防御策略：（ 1） 网络分段: 防止嗅探最有效的手段就是进行合理的网络分段, 并在网络中使用交换机和网桥, 最理想的情况应使每一台机器都拥有自己的网络段, 当然这会相应地增加很多网络建设费用, 所以并不现实。可以尽量使相互信任的机器属于同一个网段, 并在网段与网段间进行硬件屏障, 最大限度地防止嗅探的存在。（ 2） 一次性口令技术: 口令并不在网络上传输而是在两端进行字符串的匹配, 客户端利用从服务器上得到的Challenge 和自身的口令计算出或从列表中选择一个新的字符串并返回给服务器, 而后

6、服务器利用比较算法进行匹配, 如果匹配, 则允许建立连接, 否则不允许建立连接。所有的Challeng e 和字符串只使用一次, 这样就从一定程度上限制了网络嗅探。（ 3） 加密: 对在网络中传送的敏感数据如用户ID 或口令等进行加密, 一般可以选用SSH、FSSH 等加密手段。（ 4） 禁用杂错节点: 安装不支持杂错的网卡可以有效地防止嗅探。2.2网络层上的攻击和防范ARP欺骗ARP（Address Resolution Protocol，地址解析协议）是一个位于TCP/IP协议栈中的低层协议，负责将某个IP地址解析成对应的MAC地址。在每台主机的cache中都会存在有一张IP-MAC地址对

7、照关系的表（ARP缓存表）。当源主机要向目的主机发送数据时，源主机会在自己的ARP缓存表中寻找是否有目的主机的地址。如果找到了，也就知道了目的主机的MAC地址，直接把目的主机MAC地址写入帧里面发送就可以；如果在ARP缓存表中没有找到相对应的IP地址，源主机就会在网络上发送一个广播，目标MAC地址是“ff.ff.ff.ff.ff.ff”，这表示向同一网段内的所有主机发出询问：“192.168.1.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有目的主机接收到这个帧时，才向源主机做出回应，并告诉源主机自己的MAC地址。源主机就知道了目标主机的MAC地址，它就可以向目的主机发送信息。

8、同时源主机还更新了自己的ARP缓存表，下次再向目的主机发送信息时，直接从ARP缓存表里查找就可以了。而由于源主机发送的IP包没有包括目的主机的MAC地址，而在ARP缓存表中又没有目的主机的IP和MAC地址的对应表。并且源主机的ARP缓存表的更新是信任广播域内所有机器的回应包的，也就是在说在ARP协议中，接受回应帧的主机无法验证回应包的真伪。这样就很容易产生ARP欺骗。ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为两种：一，对路由器ARP缓存表的欺骗；二，对内网PC的网关的欺骗。第一种欺骗是截获网关的数据。它通知路由器一些列错误的内网MAC地址，由于ARP缓存表的生命周期一般只有23分钟。它

9、会按照一定的频率不断的进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种欺骗你的原理是伪造网关。它的原理是建立假的网关，让它气派你的PC向假的网关发送数据，而不是通过正常的路由上网。在PC看来，就是上不了网了。 ARP欺骗是因为ARP协议的本身的不完善。要解决ARP欺骗必须在局域网内的通信双方之间建立可以信任的验证体系。为了防范ARP欺骗的攻击，我们给出了如下的防御建议：（1）做好IP-MAC地址的绑定工作（将IP地址与MAC地址绑定），在交换机和客户机都要绑定。（2）设置静态的MAC地址-IP对应表。不要让主机刷

10、新你设定好的转换表。（3）如果情况特殊，可以停止使用ARP，将ARP做为永久条目表存在对应表中。（4）使用ARP服务器。通过ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播。但是必须却保ARP服务器不被黑。（5）使用硬件地址屏蔽主机。设置好你的路由，确保IP地址到达合法的路径。（6）管理员定期轮查，检查主机上ARP缓存。 路由欺骗每一个IP 数据报都是在主机的网络层被检查, 用以决定是转发给同一子网中的主机还是下一个路由器。路由欺骗有好几种方法, 但都是采用伪造路由表, 错误引导非本地的数据报实现。（ 1） 基于源路由的攻击一般情况下, IP 路由过程中是由路由器来动态决定下一个驿

11、站的。但是在T CP/ IP 协议中, IP 数据报为进行测试而直接设置了一个选项: IP Source Rut ing 。该选项可以使发送者直接选择源路由, 所以攻击者可以利用这个选项, 通过IP 欺骗的方式, 构造一个通往服务器的直接路径, 从而对服务器展开攻击。 （ 2） 基于RIP 的攻击现代计算机网络通常使用动态路由算法. RIP 协议是为了对局域网中的节点提供一致路由选择和可达性信息而设计的。但是T CP/ IP 协议并未要求各节点检查收到信息的真实性, 因此攻击者可以通过使用RIP 特权主机的520 端口广播假的路由信息以达到欺骗的目的。（ 3） 基于ICMP 的攻击当一个源数据

12、报必须发给另一个路由器时, 当前的路由器会给此源发送一个ICMP 重定向错误信息。这样, 当源主机收到此信息时会更新路由表。所以通过发送非法的ICMP 回应信息就可以进行路由欺骗。（1）防止源路由欺骗的方法主要有2 种: 一种是通过检测本机的常驻数据, 查看此信息是否来自于合法的路由器,防止路由欺骗。另一种是通过在服务器的网络中禁用相关的路由来防止这种攻击。（2）防止RIP 攻击的方法是禁止路由器被动使用RIP 和限制被动使用RIP 的范围。（3）对于ICMP攻击, 最好的办法就是拒绝网络上所有的ICMP 回应。2.3运输层上的攻击和防范IP欺骗在TCP/IP协议中，IP地址是用来作为网络节点

13、的唯一标识。协议根据IP头中目的地址来发送IP数据包。在IP路由IP包时，对IP头中提供的源地址不做任何的检查。并且认为IP头中的源地址即为发送该包的机器的IP地址，这样，黑客就可以直接修改节点的IP地址，冒充某个可信节点的IP地址给你攻击。下面我看一下IP欺骗的过程（假设B上的客户运行rlogin与A上的rlogin通信, 远程登录（rlogin）是一个 UNIX 命令，它允许授权用户进入网络中的其它 UNIX 机器并且就像用户在现场操作一样）。 （1）B发送带有数据序列的SYN（SYN是TCP/IP建立连接时使用的握手信号）标志的数据段通知A需要建立TCP连接。并将TCP报头中的SYN设置

14、成自己本次连接的初始值ISN. （2）A回传给B一个带有SYN+ACK（数据确认标志）的数据段，告之自己的ISN，并确认B发送的第一个数据段，将ACK设置成B的ISN+1。 （3）B确认收到A的SYN+ACK数据包，将ACK设置成ISN+1。 （4）A收到B的ACK后，连接成功建立，双方可以传送数据了。看了上面的过程。可以知道，加入要冒充B对A攻击，就要先使用B的IP地址发送SYN的标志给A，但是当A收到后，它并不会把SYN+ACK发送到我们的主机，而是发送到真正的B上去，但是事实上B根本没有发过SYN请求。所有如果要冒充B，首先应该让B失去工作能力。这就要使用另一种攻击拒绝服务攻击，让B瘫痪

15、。然而这还不够，最难的是要对A进行攻击，必须知道A使用的ISN。TCP使用的ISN是一个32位的计数器，从0到4294967295。TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱“三次握手”，ISN不能随便选取，不同的系统有不同的算法。知道TCP如何分配ISN以及ISN随时间变化的规律，对于成功的进行 欺骗攻击很重要。ISN每秒增加128000，如果有连接出现，每次连接将把计数器的数值增加64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每932小时复位 次。之所以这样，是因为它有利于最大限度地减少“旧有”连接的信息干扰当前连接的机会。如果初始序列

16、号是随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一种情况，在一个路由回路中的数据包最终跳出了循环，回到了“旧有”的连接，显然这会对现有连接产生干扰。预测出攻击目标的序列号非常困难，而且各个系统也不相同，在某些系统（如Berkeley）中，最初的序列号变量由一个常数每秒加1产生，等加到这个常数的一半时，就开始一次连接。这样，如果开始了一个合法连接，并观察到一个ISN正在使用，便可以进行预测，而且这样做有很高的可信度。现在我们假设使用某一种方法，能预测出ISN。在这样情况下，就可以将ACK序号送给主机A，这时连接就建立了。（1）禁止建立基于IP地址的信任关系，不采用使用源地认证服务

17、系统，而是采用基于密码认证机制。IP之所以能实现因为目标主机有信任的主机可供黑客冒充。因此只要没有信任的对象，就能彻底的杜绝IP欺骗。在unix上面可以禁止r类远程调用命令的使用;删除.rhosts文件；清空/etc/hosts.equiv文件。这将迫使用户使用其他的远程通信手段。如telnet,ssh,shey等等。（2）使用加密方法：在包发送到网络之前，我们可以对它进行加密。虽然（3）在路由器上进行过滤，监控通过路由器的数据包，如果发现数据包的源IP和目的IP地址都是本地域的地址，就可以肯定有人试图要攻击系统。因为同一个域中的通信是不需要路由器的。2.4应用层上的攻击和防范DNS欺骗当主机

18、需要将一个域名转化为IP 地址时, 它会向DNS 服务器发送一个查询请求; 同样, 把IP 地址转化为域名时会发送一个反查询请求. 这样一旦DNS 服务器中数据被破坏, DNS 欺骗就会产生. 网络上的主机都信任DNS 服务器, 所以一个被破坏的DNS 服务器可以将客户引导到非法服务器, 也可欺骗服务器相信某个IP 地址是被信任客户。首先我看一些DNS协议的特点：（1） DNS 报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险;（2） 在DNS 应答报文中可以附加信息，该信息可以和所请求的信息没有直

19、接关系，这样，攻击者就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名及IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去，从而对网络的完整性构成威胁;（3） DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。针对DNS协议存在的安全缺陷，目前可采用DNS 欺骗技术有：（1）内应攻击。攻击者在非法或合法地控制一台DNS 服务器后，可以直接操作域名数据库，修改指定域名所对应的IP 为自己所控制的主机IP。于是，当客户发出对指定域名的查

20、询请求后，将得到伪造的IP 地址。（2） 序列号攻击。DNS协议格式中定义了序列号ID是用来匹配请求数据包和响应数据报，客户端首先以特定的ID向 DNS服务器发送域名查询数据包，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据包。这时客户端会将收到的DNS响应数据包的ID和自己发送的查询数据包ID相比较，如果匹配则表明接收到的正是自己等待的数据报，如果不匹配则丢弃之。利用序列号进行DNS欺骗的关键是伪装DNS服务器向客户端发送DNS 响应数据包，并在DNS服务器发送的真实DNS响应数据报之前到达客户端，从而使客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP，因此将客户端带

21、到攻击者所希望的网站。其欺骗的前提条件是攻击者发送的DNS响应数据包ID必须匹配客户的DNS查询数据包ID。在实际欺骗攻击中，利用序列号进行DNS欺骗可分两种情况：第一，当攻击者与DNS服务器、本地主机与客户端主机均不在同一个局域网内时,攻击者可以向客户端主机随机发送大量DNS响应数据报，其中序列号是任意给定的，因此序列号和客户端查询报文序列号匹配的概率很低； 第二，当攻击者至少与DNS服务器或客户端主机中的某一个处在同一个局域网内时，对于共享式以太网攻击者可以通过嗅探得到DNS查询报文的序列号，对于交换式以太网攻击者就需要通过ARP欺骗获取DNS查询报文序列号。防御策略（1）使用IP登录当然

22、可以有效防御DNS欺骗，这种方法虽然有效，但是不现实。（2）对高速缓存加以限制。（3）加密所有对外的数据流。使用SSL之类的加密技术，即使被攻击，难度也会加大。ftp服务FTP服务已广泛用于internet的连接对于文件传输来说，它明显优于其它协议，但是它提供一种“代理”机制，允许客户在两台FTP服务器之间建立一个控制连接，进行文件传输这将造成一种著名的网络攻击THE BOUNCE攻击同时FTP服务器允许无限制输入口令，故会造成强迫口令破解攻击而FrP服务规范使用明文传输数据和控制命令，这也将造成安全隐患常有的攻击方法：（1）THEBOONCE攻击针对FTP服务标准攻击者可以使用FTP“代理”

23、机制送一个包含网络地址和被攻击服务器端口号的FTP端口命令到一台FrP服务器，这时，攻击者就可以利用第三台FTp服务器去攻击其它客户或服务器。并且很难被追踪例如：一个客户上传一个包含SMTP命令的文件到一个FTP服务器，然后利用一个适当的端口命令指示服务器打开第三个机器的SMTP端口最后。客户指示服务器传送包含SMTP命令的文件到第三个机器这时客户就可以在第三个机器上伪造邮件而不是直接使用本机连接（2）口令强迫破解攻击由于FTP服务器允许无限制输入口令故攻击者可以编写一个程序，使其自动循环从口令字典里取单词强迫猜测用户口令，直到获得口令，进而攻击服务器”。（4）端口偷窃许多开放系统分发动态端口

24、号给增加的命令依靠一个合法的传输。攻击者可以观测到服务器分发端口号的流动并猜测下一个将分配的端口，攻击者可制造一个连接到这个端口以拒绝另一个合法用户的连接能力由于FTP服务使用明文传输文件所以攻击者可偷窃合法用户的文件或加入伪造的文件到个经过验证的客户的数据流.（1）建立口令、用户名保护机制为防止口令被强迫破解，首先应限制送入正确口令前的输入次数，在35次后关闭和客户的连接其次，可采取在错误口令输入回复时加入几秒延迟，以降低破解攻击效率采取这两种方法提高了FTP服务器的安全性，但是却很可能造成对合法用户的拒绝服务攻击这就需要对用户名也加以保护我们可以采用在使用错误用户名登录三次后，拒绝使用此用

25、户名硬件地址再次登录服务器以防止攻击者造成合法用户的拒绝服务对于口令、用户名保护更好的方法还是建立在身份认证基础上的动态口令机制动态口令是单向散列函数理论的扩展报文摘要理论及技术的应用当一个用户在FTP服务器上首次注册时，系统分配给用户一个种子值一个迭代值，这两个值就构成一个原始口令，同时在服务器上还保留用户自己知道的通行短语当客户和服务器连接时，客户蜡和服务器端分别利用MIM或MD5散列算法和通行短语计算本次口令这样，就形成了交叉信任关系，更好的提高了口令的安全性。（2）限制FTP的TCP端口数据连接FTp规范假定数据连接依靠TCP协议。TCP端口01023保留给已知的服务例如，邮件服务、网

26、络新闻、WWW服务、FTP服务等为避免THEBONUCE攻击这些已知服务，应该使服务器不能打开低于1024号TCP数据端口的数据连接，当接到低于1024 TCP端口号的端口命令。应返回504信息（命令不能实现）。 （3）建立数字授权、数字验证、数字签名机制使用限制低于1024号TCP端口数据连接虽然能防止利用THE BOUNCE攻击攻击已知服务，但是却不能防范高于1023号TCP端口的服务使用禁止端口命令。却又失去了FTP“代理”功能，而这种功能在慢速连接的环境中又很有用对于这种情况，如果我们知道是谁在使用这种“代理机制”，就可以解决这个问题故限制访问的方法可解决这个问题，可是目前的限制访问是

27、建立在网络地址的基础上，这样就可能遭受基于IP地址欺骗的攻击，所以需要建立数字授权、数字验证、数字签名机制作为限制访问的基础首先由数字授权服务器向用户发放数字证书。当用户向FTP服务器发连接请求时，FTP服务器先对连接进行数字验证。根据结果判断用户的访问权限及记录，对服务器和客户通信内容加数字签名以防lP欺骗或端口偷窃。（4）对需保密内容使用数据加密机制由于FTP规范使用明文传输，当攻击者使用端口偷窃时将可能造成文件失密故可对需加密文件使用公钥加密体制，这样就充分保障了传输的文件的可靠性5对于匿名FTP服务的安全考虑匿名FTP服务指的是对用户使用最少的验证就可使其访问公共数据区对于这种用户一定

28、要严格限制其访问权限并必须禁止使用FTP“代理”机制其次还包含：（I）确保拥有最新的FTPdaemon服务器皈本（2）设定FTP目录时。匿名FTP根目录“Rp，|和其下级目录不属m帐户所有，或根本不在同一组内（3）只有root拥有VFP根目录及其下级目录（4）文件和库，包含FTPdaemon使用的和；fEfipbin和-fipetc下的文件和库也应象FTP根目录一样保护（5）-ttpetcpasswd文件中不应包含系统的etcpasswd文件中已有的帐户名和加密口令（6）不允许匿名用户编写耳录或文件（7）永远不要把系统文件放在fcpetc目录下 3，结束语通过以上对TCP/IP协议族的安全性的

29、分析。读者对于TCP/IP整体的安全状况应该有一定了解。希望能给读者的研究或学习有所帮助。4，参考文献：1W.Pichard Stevens.TCP/IP详解卷一：协议.机械工业出版社.2012-05.2Charles M.Koierok.TCP/IP指南（卷一）底层协议.人民邮电大学出版社.2008-053刘捷,张琦.ARP欺骗的防御策略.技术探讨4DOUGLAS E.COMER AND DAVID L.STEVENS.用TCP/IP进行网际互联.电子工业出版社.19985孔旭影等.计算机网络实用技术.电子工业出版社.20006DNS欺骗攻击的检测和防范-计算机工程2006年21期7贺龙涛，方滨兴，胡铭曾; 主动监听中协议欺骗的研究； 通信学报;2003.118任侠，吕述望; ARP协议欺骗原理分析与抵御方法； 计算机工程;2003.69李耀疆.聚焦黑客-攻击手段与防护策略.北京:人民邮电出版社.200210谢希仁. 计算机网络（ 第2 版） . 北京: 电子工业出版社, 1999.11杨路;林麟信息安全身份认证中的动态口令电子令牌技术期刊论文-信息网络安全 2001