TCPIP协议安全分析全解

湖北经济学院管理技术学院毕业论文（设计）题目：TCP/IP协议安全分析系部：计算机科学系专业：计算机应用技术学号：091808088学生姓名：毛祥雄指导教师：胡长坤职称：讲师二○一一年十二月二十五日摘要Internet是一个基于TCP/IP协议的网络，通过TCP/IP协议实现了不同级别、不同厂商、不同操作系统的计算机通信。今天，TCP/IP协议已成为网络世界中使用最广泛、最具有生命力的通信协议，并且成为事实上的网络互联工业标准。由于TCP/IP协议一开始的实现主要目的是用于科学研究的，所以在安全性方面存在很大的欠缺。随着计算机网络技术的发展，信息安全问题越来越受到国家的关注，网络安全也已经成为计算机网络通信领域的重点研究范围。本文在介绍现在因特网中使用的TCP/IP协议的基础上，以TCP/IP协议簇各层次的安全性为入手点，进行较为全面的解析，从理论上对TCP/IP协议的安全性进行分析，并对现有TCP/IP协议簇安全改进措施进行一定的总结。关键词:TCP/IP协议，协议安全，计算机网络目录一、TCP/IP协议概述····················1（一）TCP/IP协议定义和产生背景·············1（二）TCP/IP协议的总体概况···············3二、TCP/IP协议簇的安全隐患分析··············5（一）TCP协议和UDP协议的安全隐患···········5（二）IP协议和ICMP协议存在的安全隐患·········6（三）路由协议的安全隐患················6（五）应用层的安全隐患·················7三、TCP/IP协议簇的改进与发展状况·············8（一）IP协议的改进···················8（二）路由技术的改进··················8（三）DNS安全扩充···················9（四）密钥管理协议···················9四、结语·························10致谢··························11参考文献·························121一、TCP/IP协议概述（一）TCP/IP协议定义和产生背景TCP/IP是TransmissionControlProtocol/InternetProtocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。协议是互相通信的计算机双方必须共同遵从的一组约定。TCP/IP就是这样的约定，它规定了计算机之间互相通信的方法。TCP/IP是为了使接入因特网的异种网络、不同设备之间能够进行正常的数据通讯，而预先制定的一簇大家共同遵守的格式和约定。TCP/IP协议是美国国防部高级研究计划署（ARPA）开发的，在这个协议集中，两个最知名的协议就是传输控制协议（TCP,TransferContorlProtocol）和网际协议（IP，InternetProtocol），故而整个协议集被称为TCP/IP。之所以说TCP/IP是一个协议簇，是因为TCP/IP包括了TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP等许多协议，对因特网中主机的寻址方式、主机的命名机制、信息的传输规则，以及各种各样的服务功能均做了详细约定，这些约定一起称为TCP/IP。2上世纪60年代中期，美国国防部希望有一个命令和控制网络能够在核战争的条件下幸免于难，而传统的电路交换的电话网络则显得太脆弱。国防部指定其下属的高级研究计划局解决这个问题，此后诞生的一个新型网络便称为ARPANET。1983年，TCP/IP协议成为ARPANET上唯一的正式协议，ARPANET上连接的网络、机器和用户得到了快速的增长。当ARPANET与美国国家科学基金会（NSF）建成的NSFNET互联以后，其上的用户数以指数增长，并且开始与加拿大、欧洲和太平洋地区的网络连接。到了80年代中期，人们开始把互联的网络称为互联网。互联网在1994年进入商业化应用后得到了飞速的发展，1998年，因特网全球用户人数已激增到1.47亿。70年代中期，ARPA为了实现异种网之间的互联与互通，开始制定TCP/IP体系结构和协议规范。时至今日，TCP/IP协议也成为最流行的网际互联协议。它不是国际标准化组织制定的，却已成为网际互联事实上的标准，并由单纯的TCP/IP协议发展成为一系列以IP为基础的TCP/IP协议簇。TCP／IP协议簇为互联网提供了基本的通信机制。随着互联网的指数增长，其体系结构也由ARPANET基于集中控制模型的网络体系结构演变为由ISP运营的分散的基于自治系统（Autonomoussystems,AS）模型的体系结构。互联网目前几乎覆盖了全球的每一个角落，其飞速发展充分说明了TCP/IP协议取得了巨大的成功。TCP/IP协议和开放系统互连参考模型一样，是一个分层结构。协议的分层使得各层的任务和目的十分明确，这样有利于软件编写和通信控制。TCP/IP协议分为4层，由下至上分别是网路接口层、网际层、传输3层和应用层。（二）TCP/IP协议的总体概况TCP/IP协议是目前在Internet网络中使用的基本的通信协议，它是Internet国际互联网络的基础。其中IP(InternetProtocol)全名为网际互连协议，它是为计算机网络相互连接进行通信而设计的协议。TCP(TransferControlProtocol)是传输控制协议。TCP/IP协议是能够使连接到网上的所有计算机网络实现相互通信的一套规则，正是因为有了TCP/IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。从表面名字上看TCP/IP包括两个协议，传输控制协议(TCP)和互联网际协议(IP)，其实TCP/IP实际上是一组协议的集合，它包括了上百个各种功能的协议。如：远程登录、文件传输和电子邮件等等，而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。IP协议之所以能使各种网络互联起来是由于它把各种不同的“帧”统一转换成“IP数据报”格式，这种转换是因特网的一个最重要的特点。所以IP协议使各种计算机网络都能在因特网上实现互通,即具有“开放性”的特点。TCP/IP协议的基本传输单位是数据包(datagram)。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头，包头上有相应的编号，以保证在数据接收端能将数据还原为原来的格式，IP协议在每个包头上还要加上接收端主机地址，这样数据通过路由器中的MAC地址来确定数据的流向，如果传输过程中出现数据丢失，数据失真等情况，TCP协议会自动要求数据重新传输，并重新组。总之，IP协议保证数据的传输，而TCP协议保4证数据传输的质量。TCP/IP协议数据的传输基于TCP/IP协议的4层结构，TCP/IP协议各层次的体系结构和各层中集中的协议如下表1.1。表1.1TCP/IP协议各层次体系结构及应用的协议层次结构各层集中的主要协议应用层FTP、HTTP、TELNET、SMTP、DNS传输层TCP、UDP网络层IP、ARP、IGMP、RARP物理层LAN、ARPANET、SLIP5二、TCP/IP协议簇的安全隐患分析从以TCP/IP协议为基础的Internet的发展历程可知，IP协议最可取的内涵与作用即在于其充分的开放透明性与灵活有效的多业务增值能力。然而，既要开放透明，往往便“充分暴露”，从而容易受到攻击，这是原本作为科研范围而开发的TCP/IP协议的不足之处。因此，在Internet商用化后，TCP/IP协议中存在的一系列问题暴露了出来，其中最棘手、解决难度最大的即为TCP/IP协议的安全性问题。TCP/IP协议存在的安全隐患主要有以下几个方面：（一）TCP协议和UDP协议的安全隐患TCP使用三次握手机制建立一条连接，第一个报文为SYN包，第二个报文为SYN/ACK包，第三个报文是应答ACK包。若A为连接方，B为响应方，其间可能的威胁为攻击者监听B方发出的SYN/ACK报文；攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接；B方响应并发送连接响应报文SYN/ACK，攻击者再假冒A方送ACK包。攻击者便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则后更严重。此外还有序列号攻击。初始序列号（ISN）在TCP握手时产生，攻击者向目标主机发送连接请求可得到上次的ISN，再通过多次测量来回传输路径得到进攻主机目标主机间数据包传送的来回时间RTT。已知上次连接的ISN和RTT，就能预测下次连接的ISN。若攻击者预测到ISN就能伪造有害数据包并使目标主机接受。UDP（用户数据报协议，UserDatagramProtocol)协议是面向应用6程序提供无连接服务。与TCP数据包相比，UDP数据包更容易被假冒。给了恶意攻击者可乘之机。（二）IP协议和ICMP协议存在的安全隐患IP层主要安全问题是IP地址假冒，IP协议本身对IP数据包是否来自真正的源地址不提供任何保障。IP层还存在利用源路由选项进行攻击的问题，源路由一方面方便了源IP地址假冒的数据包能到达目的地址，另一方面使入侵者能绕开某些网络安全措施到达目的地址。ICMP（网间控制报文协议，InternetControlMessagesProtocol）；主要用于差错控制与拥塞控制。ICMP协议存在的安全隐患是攻击者可利用ICMP重定向报文破坏路由，攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。另外由于目前广泛使用的IPv4协议在设计之初未能考虑到用户数量的问题，导致IP地址数量不足，现有IPv4地址资源已消耗殆尽，无法实现IP地址的独享，使得IP地址的管理也比较混乱，无法在技术上解决网络实名制这个问题，造成了互联网监管上的漏洞。（三）路由协议的安全隐患Internet采用动态路由，路由协议存在的安全缺口是许多路由协议使用未加密的非一次性口令来认证数据中的路由信息，容易遭到非法窃听，攻击者通过伪造非法路由器或者其他手段发送伪造路由信息，扰乱合法路由器的路由表，同时由于BGP（边界网关协议，BorderGatewayProtocol）通过TCP传送数据，对TCP的攻击也是影响BGP安全的一个重要因素。7（四）DNS的安全隐患DNS（域名服务器，DomainNameServer）作用是自动将主机域名转换成对应的IP地址。DNS由于缺乏密码认证机制，攻击者可通过假冒其它系统或截取邮件等手段，对用户造成危害；许多防火墙产品基于未认证的IP地址来作出有关网络外部存取的决策，其中若插入假DNS信息，就会给攻击者造成便利。（五）应用层的安全隐患建立在TCP/IP协议上的应用程序有E-mail、Telnet（远程联接服务）、FTP（文件传输协议，FileTransferProtocol）及（万维网，WorldWideWeb）等。这些应用程序都以守护进程的形式以root权限运行且代码较大，可能出现安全漏洞，漏洞被黑客利用就有可能取得系统控制权并攻入系统内部；同时它们都采取简单的身份认证方式，且信息以明文的方式在网络中传输，容易被黑客窃取，非法访问各种资源和数据，从而危及整个系统的安全性。8三、TCP/IP协议簇的改进与发展状况由于Internet的安全性问题日益突出，TCP/IP协议簇也在不断地改善和发展之中。目前主要的发展和改进有以下几个方面：（一）IP协议的改进IPv4协议已经使用了20多年，在这20