TCPIP协议安全分析

1、湖北经济学院管理技术学院毕业论文（设计）题 目： TCP/IP协议安全分析 系 部： 计算机科学系 专 业： 计算机应用技术 学 号： 091808088 学生姓名： 毛祥雄 指导教师： 胡长坤 职 称： 讲师 二 一一 年 十二 月 二十五 日摘 要 Internet是一个基于TCP/IP协议的网络，通过TCP/IP协议实现了不同级别、不同厂商、不同操作系统的计算机通信。今天，TCP/IP协议已成为网络世界中使用最广泛、最具有生命力的通信协议，并且成为事实上的网络互联工业标准。由于TCP/IP协议一开始的实现主要目的是用于科学研究的，所以在安全性方面存在很大的欠缺。随着计算机网络技术的发展，

2、信息安全问题越来越受到国家的关注，网络安全也已经成为计算机网络通信领域的重点研究范围。本文在介绍现在因特网中使用的TCP/IP协议的基础上，以TCP/IP协议簇各层次的安全性为入手点，进行较为全面的解析，从理论上对TCP/IP协议的安全性进行分析，并对现有TCP/IP协议簇安全改进措施进行一定的总结。 关键词: TCP/IP协议，协议安全，计算机网络目 录一、TCP/IP协议概述1（一）TCP/IP协议定义和产生背景1（二）TCP/IP协议的总体概况3二、TCP/IP协议簇的安全隐患分析5（一）TCP协议和UDP协议的安全隐患5（二）IP协议和ICMP协议存在的安全隐患6（三）路由协议的安全隐

3、患6（五）应用层的安全隐患7三、TCP/IP 协议簇的改进与发展状况8（一）IP协议的改进8（二）路由技术的改进8（三）DNS安全扩充9（四）密钥管理协议9四、结 语10致 谢11参考文献12一、TCP/IP协议概述（一）TCP/IP协议定义和产生背景 TCP/IP是Transmission Control Protocol/Internet Protocol的简写，中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们

4、之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的网络来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。协议是互相通信的计算机双方必须共同遵从的一组约定。TCP/IP就是这样的约定，它规定了计算机之间互相通信的方法。TCP/IP是为了使接入因特网的异种网络、不同设备之间能够进行正常的数据通讯，而预先制定的一簇大家共同遵守的格式和约定。TCP/IP协议是美国国防部高级研究计划署（ARPA）开发的，在这个协议集中，两个最知名的协议就是传输控制协议（ TCP, T

5、ransfer Contorl Protocol）和网际协议（ IP，Internet Protocol），故而整个协议集被称为TCP/IP。之所以说TCP/IP是一个协议簇，是因为TCP/IP包括了TCP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP等许多协议，对因特网中主机的寻址方式、主机的命名机制、信息的传输规则，以及各种各样的服务功能均做了详细约定，这些约定一起称为TCP/IP。上世纪60年代中期，美国国防部希望有一个命令和控制网络能够在核战争的条件下幸免于难，而传统的电路交换的电话网络则显得太脆弱。国防部指定其下属的高级研究计划局解决这个问题，此后诞生的一个

6、新型网络便称为ARPANET。1983年，TCP/IP协议成为ARPANET上唯一的正式协议，ARPANET上连接的网络、机器和用户得到了快速的增长。当ARPANET与美国国家科学基金会（NSF）建成的NSFNET互联以后，其上的用户数以指数增长，并且开始与加拿大、欧洲和太平洋地区的网络连接。到了80年代中期，人们开始把互联的网络称为互联网。互联网在1994年进入商业化应用后得到了飞速的发展，1998年，因特网全球用户人数已激增到1.47亿。 70年代中期，ARPA为了实现异种网之间的互联与互通，开始制定TCP/IP体系结构和协议规范。时至今日，TCP/IP协议也成为最流行的网际互联协议。它不

7、是国际标准化组织制定的，却已成为网际互联事实上的标准，并由单纯的TCP/IP协议发展成为一系列以IP为基础的TCP/IP协议簇。TCPIP协议簇为互联网提供了基本的通信机制。随着互联网的指数增长，其体系结构也由ARPANET基于集中控制模型的网络体系结构演变为由ISP运营的分散的基于自治系统（Autonomous systems,AS）模型的体系结构。互联网目前几乎覆盖了全球的每一个角落，其飞速发展充分说明了TCP/IP协议取得了巨大的成功。 TCP/IP协议和开放系统互连参考模型一样，是一个分层结构。协议的分层使得各层的任务和目的十分明确，这样有利于软件编写和通信控制。TCP/IP协议分为4

8、层，由下至上分别是网路接口层、网际层、传输层和应用层。（二）TCP/IP协议的总体概况TCP/IP协议是目前在Internet网络中使用的基本的通信协议，它是Internet国际互联网络的基础。其中IP(Internet Protocol)全名为"网际互连协议"，它是为计算机网络相互连接进行通信而设计的协议。TCP(Transfer Control Protocol)是传输控制协议。TCP/IP协议是能够使连接到网上的所有计算机网络实现相互通信的一套规则，正是因为有了TCP/IP协议,因特网才得以迅速发展成为世界上最大的、开放的计算机通信网络。从表面名字上看TCP/IP包括

9、两个协议，传输控制协议(TCP)和互联网际协议(IP)，其实TCP/IP实际上是一组协议的集合，它包括了上百个各种功能的协议。如：远程登录、文件传输和电子邮件等等，而TCP协议和IP协议是保证数据完整传输的两个基本的重要协议。IP协议之所以能使各种网络互联起来是由于它把各种不同的“帧”统一转换成“IP数据报”格式，这种转换是因特网的一个最重要的特点。所以IP协议使各种计算机网络都能在因特网上实现互通,即具有“开放性”的特点。TCP/IP协议的基本传输单位是数据包(datagram)。TCP协议负责把数据分成若干个数据包，并给每个数据包加上包头，包头上有相应的编号，以保证在数据接收端能将数据还原

10、为原来的格式，IP协议在每个包头上还要加上接收端主机地址，这样数据通过路由器中的MAC地址来确定数据的流向，如果传输过程中出现数据丢失，数据失真等情况，TCP协议会自动要求数据重新传输，并重新组。总之，IP协议保证数据的传输，而TCP协议保证数据传输的质量。TCP/IP协议数据的传输基于TCP/IP协议的4层结构，TCP/IP协议各层次的体系结构和各层中集中的协议如下表1.1 。表1.1 TCP/IP协议各层次体系结构及应用的协议层次结构各层集中的主要协议应用层FTP、HTTP、TELNET、SMTP、DNS传输层TCP、UDP网络层IP、ARP、IGMP、RARP物理层LAN、ARPANET

11、、SLIP二、TCP/IP协议簇的安全隐患分析 从以TCP/IP协议为基础的Internet的发展历程可知，IP协议最可取的内涵与作用即在于其充分的开放透明性与灵活有效的多业务增值能力。然而，既要开放透明，往往便“充分暴露”，从而容易受到攻击，这是原本作为科研范围而开发的TCP/IP协议的不足之处。因此，在Internet商用化后，TCP/IP协议中存在的一系列问题暴露了出来，其中最棘手、解决难度最大的即为TCP/IP协议的安全性问题。TCP/IP协议存在的安全隐患主要有以下几个方面： （一）TCP协议和UDP协议的安全隐患 TCP使用三次握手机制建立一条连接，第一个报文为SYN包，第二个报文

12、为SYN/ACK包，第三个报文是应答ACK包。若A为连接方，B为响应方，其间可能的威胁为攻击者监听B方发出的SYN/ACK报文；攻击者向B方发送RST包，接着发送SYN包，假冒A方发起新的连接；B方响应并发送连接响应报文SYN/ACK，攻击者再假冒A方送ACK包。攻击者便达到了破坏连接的作用，若攻击者再趁机插入有害数据包，则后更严重。 此外还有序列号攻击。初始序列号（ISN）在TCP握手时产生，攻击者向目标主机发送连接请求可得到上次的ISN，再通过多次测量来回传输路径得到进攻主机目标主机间数据包传送的来回时间RTT。已知上次连接的ISN和RTT，就能预测下次连接的ISN。若攻击者预测到ISN就

13、能伪造有害数据包并使目标主机接受。 UDP（用户数据报协议，User Datagram Protocol) 协议是面向应用程序提供无连接服务。与 TCP 数据包相比，UDP 数据包更容易被假冒。给了恶意攻击者可乘之机。 （二）IP协议和ICMP协议存在的安全隐患 IP 层主要安全问题是 IP 地址假冒，IP 协议本身对 IP 数据包是否来自真正的源地址不提供任何保障。IP 层还存在利用源路由选项进行攻击的问题，源路由一方面方便了源 IP地址假冒的数据包能到达目的地址，另一方面使入侵者能绕开某些网络安全措施到达目的地址。 ICMP（网间控制报文协议，Internet Control Messag

14、es Protocol）； 主要用于差错控制与拥塞控制。ICMP 协议存在的安全隐患是攻击者可利用 ICMP 重定向报文破坏路由，攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。 另外由于目前广泛使用的IPv4协议在设计之初未能考虑到用户数量的问题，导致IP地址数量不足，现有IPv4地址资源已消耗殆尽，无法实现IP地址的独享，使得IP地址的管理也比较混乱，无法在技术上解决网络实名制这个问题，造成了互联网监管上的漏洞。 （三）路由协议的安全隐患 Internet 采用动态路由，路由协议存在的安全缺口是许多路由协议使用未加密的非一次性口令来认证数据中的路由信息，容易遭到非法窃听，攻击者通过伪造

15、非法路由器或者其他手段发送伪造路由信息，扰乱合法路由器的路由表，同时由于BGP （边界网关协议，Border Gateway Protocol）通过 TCP 传送数据，对 TCP 的攻击也是影响BGP 安全的一个重要因素。 （四）DNS 的安全隐患 DNS （ 域名服务器，Domain Name Server）作用是自动将主机域名转换成对应的 IP 地址。DNS 由于缺乏密码认证机制，攻击者可通过假冒其它系统或截取邮件等手段，对用户造成危害；许多防火墙产品基于未认证的 IP 地址来作出有关网络外部存取的决策，其中若插入假 DNS 信息，就会给攻击者造成便利。 （五）应用层的安全隐患 建立在 T

16、CP/IP 协议上的应用程序有 E-mail、Telnet（远程联接服务）、FTP（文件传输协议，File Transfer Protocol）及 WWW（万维网，World Wide Web）等。这些应用程序都以守护进程的形式以 root 权限运行且代码较大，可能出现安全漏洞，漏洞被黑客利用就有可能取得系统控制权并攻入系统内部；同时它们都采取简单的身份认证方式，且信息以明文的方式在网络中传输，容易被黑客窃取，非法访问各种资源和数据，从而危及整个系统的安全性。 三、TCP/IP 协议簇的改进与发展状况 由于Internet的安全性问题日益突出，TCP/IP协议簇也在不断地改善和发展之中。目前主

17、要的发展和改进有以下几个方面： （一）IP协议的改进 IPv4协议已经使用了20多年，在这20多年的应用中，IPv4获得了巨大的成功，同时随着应用范围的扩大，它也面临着越来越不容忽视的危机，例如地址匮乏等等。IPv6是为了解决IPv4所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，IPv6主要有如下的特点: 1.IPV6地址长度为128比特，地址空间增大了2的96次方倍； 2.灵活的IP报文头部格式,加快了报文处理速度； 3.简化了报文头部格式，加快报文转发，提高了吞吐量； 4.提高安全性。身份认证和隐私权是IPV6的关键特性； 5.支持更多的服务类型； 6.允许协议继续演变，增

18、加新的功能，使之适应未来技术的发展。 经过一个较长的IPv4和IPv6共存的时期，IPv6最终会完全取代IPv4在互连网上占据统治地位。 （二）路由技术的改进 为保护RIP（路由选择信息协议，Routing Information Protocol）和OSPF（ 开放式最短路径优先，Open Shortest Path First Interior Gateway Protocol）的报文安全，采用著名的MD5认证算法对发送路由报文的节点进行认证。路由器内含认证TCP绘画过程的机制能减少多个自治域之间通过BGP所传路由信息遭受攻击的危险性。由于IPv6提供AH和ESP机制，与IPv6一起使用的

19、内部网关协议也可获得安全保护。 （三）DNS安全扩充 DNS安全扩充提供了DNS信息认证机制，并允许用户的公开密钥存储与DNS中，由请求方对其进行认证，DNS安全扩充允许用户签名的公开密钥与地址记录、姓名记录、邮箱一起进行认证分配，从而使动态密钥管理轻易实现。 （四）密钥管理协议 密钥管理方面，IETF正在研究密钥交换协议Oakey并推出了ISAKMP协议。使用该协议产生的密钥与以往产生的任何密钥都无关，因此攻击者无法通过破获几个主密钥来导出会话密钥。ITEF还允许就密钥生存期、敏感级等问题进行协商。 四、结 语 以上通过对TCP/IP协议簇及其安全性的分析，对TCP/IP协议本身的缺陷进行了大致的了解。但由于网络安全问题非常复杂，由于本人水平有限，还有很多与TCP/IP协议有关的方面未能提及。 随着Internet技术的迅速发展和WWW、Java、ActiveX等技术的大量应用，计算机病毒的产生与传播，网络被非法入侵有愈演愈烈的趋势。因此，仅仅考虑TCP/IP的安全是远远不够的，其它如操作系统和防火墙的安全，网络安全意识的提高等都应该是我们关注的重点。 致 谢 在本文即将结束之际，我