摘 要:网络安全是一个永恒的主题,按照TCP/IP协议层,对安全性进行探讨,为进一步研究网络安全提供了参考。
关键词:网络安全; TCP/IP协议;安全性
引言
现在Internet已在全世界普及,它使人们稳坐家中就可以得到世界各国的所有信息,并已经逐渐成为通信方面的基础设施。但是从另一方面来说,由于世界的计算机通过网络互相连通潜在了很多不安全的因素。于是,要安全地使用Internet,就需要具备防止信息泄漏以及防止被篡改等网络安全问题的能力。为了预防这些网络上的不正当行为,特别需要理解Internet在安全方面的特性,以便采取适当的防范对策。
1. TCP/IP的协议结构
TCP/IP作为通信协议,它是一组协议的集合,其中有我们常见的TCP和IP协议,也有用于管理通信方法的协议,也有测试网络状态等工具性的协议。
支持因特网通信的TCP/IP是以TCP协议和IP协议为中心构成的协议群的总称。TCP/IP通信协议从最底层开始,是由网间层、传输层以及应用层构成的。像这样的构成层次,可以使开发工作形成模块式开发。
2. 按TCP/IP的协议层,对其安全性探讨
2.1网间层在安全方面的隐患主要包括以下几种:
(1)伪造IP地址
在Internet中,各个设备是按照预先分配的IP地址或者通过DHCP的方式来分配IP地址来标识。于是,如果其中的某个设备设置成其他设备所属的IP或者冒充网关向设备发送数据包,就会造成通信混乱,从而导致网络瘫痪。举个简单的例子,以太网上抢夺其他计算机的IP,就可以谎称是被抢夺计算机IP数据包的源地址。致使在这种情况下,被冒充的计算机上会出现显示IP地址冲突的提示框。而且在这种状态下,也不能保证计算机能够正常运行。对于这样的伪造IP地址(IP Spoofing:IP欺诈)的攻击行为,需要采取以下的措施:
> 利用网络监视工具,对冒充源地址的数据包通过外部网络进行检查,确认是否真正来自于送信源地址。
> 在服务器上生成对于远程接入进程的记录机制,用来见识服务器的适用情况。
(2)伪造ARP
在网间层上,虽然在设置发送端与接收端时,利用了IP地址通信,但在作为物理层之一的以太网上却利用了MAC地址来标识发送端与接收端的地址。像这种网间层的IP地址体系与数据链路层的MAC地址体系相互对应的分配取决于地址解析协议(ARP)。计算机在通信时首先利用ARP获得与目的IP地址所对应的MAC地址。从减少通信流量的观点出发,一旦给予对应MAC地址的IP地址,这种对应组合将在ARP表中保持一定时间的缓存,这样通过发送伪造的ARP数据包就可以改写这个缓存。
作为防范上述攻击行为的对策,可以采取两种方法:
> 利用保证IP数据包合法性的IPSec中的AH的认证功能
> 采用使应用软件具备对通信过程进行加密的方式以及强化认证机构。
2.2传输层上存在的安全隐患主要包括以下几种:
(1)假冒TCP初始序号
在通信过程中,采用被称为三次握手的步骤建立起来的TCP连接。在这个过程,对于使用IP地址认证的应用程序,如果可以顺推出初始序号,那么只要模拟发送端的IP地址,就可以建立TCP连接。不过现在的操作系统中,初始序号的分配方法已变得相当复杂,事实上序号已不能随便推测。
(2)利用TCP/UDP数据包的DoS攻击
DoS攻击是通过生成大量的、已处于连接状态的TCP连接,使TCP/IP模块陷入崩溃状态的操作。对于以操作系统为目标的攻击,可以通过导入具备屏蔽TCP SYN数据包功能的防火墙来防范。
2.3应用层上存在的安全隐患主要包括以下几个方面:
(1)扫描/搜索
对信息系统的非法入侵,是通过收集作为攻击目标的设备以及用户的相关信息开始的。首先通过扫描搜索设备,同时通过BBS、网络新闻以及主链接清单等资源数据收集用户的信息。扫描用户的设备后,通过截取用户的通信数据或数据包、收集认证信息以及尝试用户密码等方法,使自己能够获得对计算机信息和资源的读写权以及控制权,从而再访问该计算机。
(2)DNS欺骗
DNS欺骗是一种从外部改写由DNS服务器管理的主机名与IP地址对应表的攻击方式。如前所述,在Internet世界中,计算机以及路由器是通过被分配的、特有的IP地址来识别的。但是IP地址作为一串数值,人们不便于记忆,因而出现了主机名这一概念。DNS是提供IP地址与主机名对应的机制,因此,一旦这种对应关系出现问题,那么IP数据包就不能够被发送到主机名所对应的IP地址。DNS欺骗的一个简单事例,就是在IP地址与主机名对应表的hosts文件中,进行对应关系不一致的设定。所以对于用户来说,接收网络安全方面的教育是非常重要的。
(3)窃听用户认证信息
这种行为大多是在非法侵入计算机后,安装木马程序,以非法手段获取该计算机所连接的网络的通信信息。特别是将以非加密报文形式传输数据的TELNET、FTP、POP以及HTTP等作为监听对象,来获取密码等用户认证信息。
防窃听的对策有以下两种:
> 在通信过程中进行加密,使得数据包不能被任意读取
> 通过限制注入网络交换机的设备,缩小窃听范围。
(4)利用电子邮件进行的DoS攻击
利用电子邮件进行的拒绝服务攻击包括:反复频繁发送大数据量的电子邮件,耗尽磁盘空间的电子邮件炸弹,以及通过其他的邮件服务器,连续发送邮件造成第三方延迟等等。
互联网工作工程小组最近发布了一种新的邮件认证技术说明,该说明加入了域名密钥识别邮件技术(DKIM),希望借此来加速对抗垃圾邮件。它把IP地址和邮件的发送人放在一起进行分析,然后通过公共密钥加密,给邮件加上一个数字签名,这个数字签名包含着发件人的域名。
(5)病毒
计算机病毒是附着于程序中可以自我繁殖的程序。现在所发现的病毒一般具有以下的形态:
* 以篡改或破坏计算机中所存储的数据为攻击目标
* 利用用户作为中介(U盘、电子邮件等)来进行传播。
2011年影响最大的十大病毒之中,鬼影病毒、QQ群蠕虫病毒QQ假面病毒、DNF假面病毒、新型QQ大盗等新老变种病毒榜上有名。对于病毒的防护,我们要加强计算机安全意识,提高警惕,不随便访问不可靠网站,定时对计算机进行查杀病毒。
3.结束语
通过对TCP/IP协议层的安全问题进行阐述及分析,不难发现其在设计上存在很多安全隐患,黑客或黑客工具往往利用这些隐患对网络进行攻击,只有充分了解这些隐患并采取相应的防范措施,才能增强网络的安全性。
参考文献:
[1]石志国等编著.计算机网络安全教程[M]. 北京交通大学出版社;北京:,2004
[2]李美萍. TCP/IP协议体系的安全性探讨[J]. 山西通信科技, 2007(4): 11-13.
[3]周业如,徐擒彪. 网络安全的被动防御与主动防御体系应用研究[J]. 安徽电气工程职业技术学院学报, 2004(1): 55-57
