返回
TCPIP协议安全性能的改进.doc

TCPIP协议安全性能的改进.doc

ID:49200293

大小:68.00 KB

页数:5页

时间:2020-03-01

TCPIP协议安全性能的改进.doc_第1页
TCPIP协议安全性能的改进.doc_第2页
TCPIP协议安全性能的改进.doc_第3页
TCPIP协议安全性能的改进.doc_第4页
TCPIP协议安全性能的改进.doc_第5页
资源描述:

《TCPIP协议安全性能的改进.doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、TCP/IP协议安全性能的改进互连网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。TCP/IP协议组是目前使用最广泛的网络互连协议。但TCP/IP协议组本身存在着一些安全性问题。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议,因此TCP的安全性问题会给网络带来严重的后果。§1TCP状态转移图和定时器TCP状态转移图控制了一次连接的初始化、建立和终止,该图由定叉的状态以及这些状态之间的转移弧构成.TCP状态转移图与定时器密切相关,不同的定时器对应于连接建立或终止、流量控制和数据

2、传输。几类主要的定时器及其功能如下:•连接定时器:在连接建立阶段,当发送了SYN包后,就启动连接定时器。如果在75秒内没有收到应答,则放弃连接建立。•FIN-WAIT-2定时器:当连接从FIN-WAIT-1状态转移到FIN-WAIT-2状态时,将一个FIN-WAIT-2定时器设置为10分钟。如果在规定时间内该连接没有收到一个带有置位FIN的TCP包,则定时器超时,再定时为75秒。如果在该时间段内仍无FIN包到达,则放弃该连接。•TIME-WAIT定时器:当连接进入TIME-WAIT状态时,该定时器被激活。当定时器超时时,与该连接

3、相关的内核数据块被删除,连接终止。•维持连接定时器:其作用是预测性地检测连接的另一端是否仍为活动状态。如果设置了SO-KEEPALIVE套接字选择项,则TCP机状态是ESTABLISHED或CLOSE-WAIT,下面我们就着重讨论TCP状态转移图和定时器所带来的网络安全性问题。§2网络入侵方式§2.1伪造IP地址入侵者使用假ip地址发送包,利用基于ip地址证实的应用程序。其结果是未授权的远端用户进入带有防火墙的主机系统。ESTABLlSHEdHCbOSHwAniCLOSEDLISTENI图1TCP状态转移图假设有两台主机A、B和

4、入侵者控制的主机X。假设B授予A某些特权,使得A能够获得B所执行的一些操作。X的目标就是得到与B相同的权利。为了实现该目标,X必须执行两步操作:首先,与B建立一个虚假连接;然后,阻止A向B报告网络证实系统的问题。主机X必须假造A的IP地址,从而使B相信从X发来的包的确是从A发来的。我们同时假/设主机A和B之间的通信遵守TCP/IP的三次握手机制。握手方法是:A-:SYN(序列号=M)B-A:SYN(序列号=“),ACK(应答序号="+1)A->B:ACK(应答序号=N+1)主机X伪造IP地址步骤如下:首先,X冒充A,向主机B发送

5、一个带有随机序列号的SYN包。主机B响应,向主机A发送一个带有应答号的SYN+ACK包、该应答号等于原序列号加1。同时,主机B产生自己发送包序列号,并将其与应答号一起发送。为了完成三次握手,主机X需要向主机B回送一个应答包,其应答号等于主机B向主机A发送的包序列号加1。假设主机X与A和B不同在一个子网内,则不能检测到B的包,主机X只有算出B的序列号,才能创建TCP连接。其过程描述如下:X-B:SYN(序列号=“),SRC=AB-A:SYN(序列号=“),ACK(应答号=M+1)X-B:ACK(应答号=N+l),SRC=A同时,主

6、机X应该阻止主机A响应主机B的包。为此,X可以等到主机A因某种原因终止运行,或者阻塞主机A的操作系统协议部分,使它不能响应主机B。一旦主机X完成了以上操作,它就可以向主机B发送命令。主机B将执行这些命令,认为他们是由合法主机A发来的。§2.2TCP状态转移的问题上述的入侵过程,主机X是如何阻止主机A向主机B发送响应在的,主机调通过发送一系列的SYN包,但不让A向调发送SYN-ACK包而中止主机A的登录端口。如前所述,TCP维持一个连接建立定时器。如果在规定时间内(通常为75秒)不能建立连接,则TCP将重置连接。在前面的例子中,服

7、务器端口是无法在75秒内作出响应的。ISYN-SENT1―ISYN-RCVDby--FIN-WAJTH站TabU五产Iclose-watHILAST-ACKI—丽肩AIT-21—IWWAH卜——-寥户机正常转務一--外押转移图2TCP状态图的一个外部转移下面我们来讨论一下主机X和主机A之间相互发送的包序列。X向A发送一个包,其SYN位和FIN位置位,A向X发送ACK包作为响应:X-A:SYNFIN(系列号=M)A-X:ACK(应答序号=M+1)从图2的状态转移可以看出,A开始处于监听(LISTEN)状态。当它收到来自X的包后,就

8、开始处理这个包。值得注意的是,在TCP协议中,关于如何处理SYN和FIN同时置位的包并未作出明确的规定。我们假■设它首先处理SYN标志位,转移到SYN-RCVD状态。然后再处理FIN标志位,转移到CLOSE-WAIT状态。如果前一个状态是ESTABLISHED,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。