tcpip 的安全性分析

tcpip 的安全性分析

ID:14462286

大小:28.00 KB

页数:3页

时间:2018-07-28

tcpip 的安全性分析_第1页
tcpip 的安全性分析_第2页
tcpip 的安全性分析_第3页
资源描述:

《tcpip 的安全性分析》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、一、TCP/IP协议简介TCP/IP协议起源于60年代末美国政府资助的一个分组交换网络研究项目,到90年代已发展成为计算机之间最常用的组网形式,它是一个真正的开发系统,支持不同操作系统的主机以及不同类型网络的互联。TCP/IP协议是一组不同层次上的多个协议的组合,通常被分为4层。(1)链路层,有时也称作数据链路层或网络接口层,负责处理与电缆的物理接口细节。如从网络层接受IP数据包加上物理头发送到线路上。(2)网络层,从传输层接受数据包加上IP头,负责数据包的分片与重组,以及传输过程中的路由选择等。(3)传输层。主要为2台主机上的应用程序提供端到端得通信。主要有2个协

2、议:TCP(传输控制协议)和UDP(用户数据报协议),其中TCP提供可靠的面向连接的服务,而UDP提供不可靠无连接服务。(4)应用层,负责处理特定的应用程序细节。IP协议是TCP/IP网络层唯一的核心协议。这一点是TCP/IP协议得以广泛应用的重要原因。因为无论网络采用的是何种协议,所有的TCP,UDP及其他协议数据包都被IP数据报直接封装,作为其数据字段进行传输,这对异构网络的互联提供了极大的灵活性。IP协议主要负责数据包的分片与重组,路由选择等。二、TCP/IP协议的安全隐患造成操作系统漏洞的一个重要原因,就是协议本身的缺陷给系统带来的攻击点。网络协议是计算机之

3、间为了互联共同遵守的规则。目前的互联网络所采用的主流协议TCP/IP,由于在其设计初期人们过分强调其开发性和便利性,没有仔细考虑其安全性,因此很多的网络协议都存在严重的安全漏洞,给Internet留下了许多安全隐患。另外,有些网络协议缺陷造成的安全漏洞还会被黑客直接用来攻击受害者系统。本文就TCP/IP协议自身所存在的安全问题和协议守护进程进行了详细讨论,指出针对这些安全隐患的攻击。1TCP协议的安全问题TCP使用三次握手机制来建立一条连接,握手的第一个报文为SYN包;第二个报文为SYN/ACK包,表明它应答第一个SYN包同时继续握手的过程;第三个报文仅仅是一个应答

4、,表示为ACK包。若A放为连接方,B为响应方,其间可能的威胁有:1.攻击者监听B方发出的SYN/ACK报文。2.攻击者向B方发送RST包,接着发送SYN包,假冒A方发起新的连接。3.B方响应新连接,并发送连接响应报文SYN/ACK。4.攻击者再假冒A方对B方发送ACK包。这样攻击者便达到了破坏连接的作用,若攻击者再趁机插入有害数据包,则后果更严重。TCP协议把通过连接而传输的数据看成是字节流,用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生,产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求,即可获得上次连接的ISN,再通过多次测量

5、来回传输路径,得到进攻主机到目标主机之间数据包传送的来回时间RTT。已知上次连接的ISN和RTT,很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接,并预测到目标主机的TCP序列号,攻击者就能伪造有害数据包,使之被目标主机接受。IP协议的安全问题IP协议在互连网络之间提供无连接的数据包传输。IP协议根据IP头中的目的地址项来发送IP数据包。也就是说,IP路由IP包时,对IP头中提供的源地址不作任何检查,并且认为IP头中的源地址即为发送该包的机器的IP地址。这样,许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。其中最重要的就是利用

6、IP欺骗引起的各种攻击。以防火墙为例,一些网络的防火墙只允许网络信任的IP数据包通过。但是由于IP地址不检测IP数据包中的IP源地址是否为放送该包的源主机的真实地址,攻击者可以采用IP源地址欺骗的方法来绕过这种防火墙。另外有一些以IP地址作为安全权限分配依据的网络应用,攻击者很容易使用IP源地址欺骗的方法获得特权,从而给被攻击者造成严重的损失。事实上,每一个攻击者都可以利用IP不检验IP头源地址的特点,自己填入伪造的IP地址来进行攻击,使自己不被发现。三、TCP/IP协议安全问题的防范TCP协议安全问题的防范对于SYNFlood攻击,目前还没有完全有效的方法,但可以

7、从以下几个方面加以防范:1.对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包的复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。2.建议在该网段的路由器上做些配置的调整,这些调整包括限制SYN半开数据包的流量和个数。3.建议在路由器的前端多必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可以进入该网段,这样可以有效的保护本网段内的服务器不受此类攻击。IP协议安全问题的防范1.抛弃基于地址的信任策略。这是最简单的方法。2.进行包过滤。如果网络是通过路由器接入Internet的,那么可以利用路由器来进行包过

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。