TCP_IP协议安全性问题的分析与防范

1、 39网络安全技术与应用前言协议是网络中使用的基本通信协议。虽然从名字上看它包括两个协议：协议和协议，但确切的说，实际上是一组协议，除了最常用的和协议外，还包含许多其他的工具性协议、管理协议及应用协议。协议共分为层，即应用层、传输层、互连网络层、网络接入层。其中，应用层向用户提供访问的一些高层协议，使用最广泛的有、等。传输层提供应用程序端到端的通信服务，该层有两个协议：和。互连网络层负责相邻主机之间的通信，该层协议主要有和等。网络接口层是协议软件的最低一层，主要负责数据帧的发送和接收。典型协议安全性分析与防范协议工作过程是基于连接的。为了在主机和之间传送数据，必须先通过三次握手机制建立一条连接

2、。若为连接方，为响应方，则连接建立过程如下：首先，连接方发送一个包含标志的报文（即同步报文）给，报文会指明连接方使用的端口以及连接的初始序号；随后，响应方在收到连接方的报文后，返回一个的报文（其中是自己的初始序号，为确认号，表示客户端的请求被接受，正在等待下一个报文）。最后，连接方也返回一个确认报文（序列号）给响应方。到此一个连接完成。协议的安全问题在连接过程中，可能受到的威胁如下：攻击者监听方发出的报文，然后向方发送包。接着发送包，假冒方发起新的连接。方响应新连接，并发送连接响应报文。攻击者再假冒方对方发送包。这样攻击者便达到了破坏连接的作用。若攻击者再趁机插入有害数据包，则后果更严重。例如

3、，在的三次握手中，假设一个用户向服务器发送了报文后突然死机或掉线，那么服务器在发出应答报文后是无法收到客户端的报文的（即第三次握手无法完成），这种情况下服务器端一般会再次发送给客户端，并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为，一般来说这个时间是分钟的数量级（大约为秒分钟）；一个用户出现异常导致服务器的一个线程等待分钟并不是什么大问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。服务器端将忙于处理攻击者伪造的连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去响应，这种情况我们称作服务器端受到了攻击。

4、防范方法对于攻击，目前还没有完全有效的方法，但可以从以下几个方面加以防范：（）对系统设定相应的内核参数，使得系统强制对超时的请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的请求数据包。（）建议在该网段的路由器上做些配置的调整，这些调整包括限制半开数据包的流量和个数。（）建议在路由器的前端做必要的拦截，使得只有完成三次握手过程的数据包才可进入该网段，这 协议安全性问题的分析与防范作者简介：柴争义（），男，讲师，郑州大学研究生，主要从事计算机网络方面的教学和研究工作。摘要：协议本身存在的一些安全性问题可以被攻击者用来进行安全攻击，如，欺骗等。通过对典型协议的安全性分析

5、，指出了存在的问题以及相关的防范措施。关键词：；安全性；攻击；防范柴争义郑丽萍河南工业大学信息工程学院河南 40网络安全技术与应 用样可以有效的保护本网段内的服务器不受此类攻击。协议协议的安全问题协议在互连网络之间提供无连接的数据包传输。协议根据头中的目的地址项来发送数据包。也就是说，路由包时，对头中提供的源地址不作任何检查，并且认为头中的源地址即为发送该包的机器的地址。这样，许多依靠源地址做确认的服务将产生问题并且会被非法入侵。其中最重要的就是利用欺骗引起的各种攻击。以防火墙为例，一些网络的防火墙只允许网络信任的数据包通过。但是由于地址不检测数据包中的源地址是否为放送该包的源主机的真实地址，

6、攻击者可以采用源地址欺骗的方法来绕过这种防火墙。另外有一些以地址作为安全权限分配依据的网络应用，攻击者很容易使用源地址欺骗的方法获得特权，从而给被攻击者造成严重的损失。事实上，每一个攻击者都可以利用不检验头源地址的特点，自己填入伪造的地址来进行攻击，使自己不被发现。防范方法基于欺骗的防范方法有：（）抛弃基于地址的信任策略。这是最简单的方法。（）进行包过滤。如果网络是通过路由器接入的，那么可以利用路由器来进行包过滤。确认只有内部可以使用信任关系，而内部上的主机对于以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。（）使用加密技术。阻止欺骗的一种简单的方法是在通信时要

7、求加密传输和验证。当有多种手段并存时，加密方法可能最为适用。协议协议的安全问题即控制消息协议。用于在主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。就是最常用的基于的服务。协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。比如，可以利用操作系统规定的数据包最大尺寸不超过这一规定，向主机发起“”（死亡之）攻击。“”攻击的原理是：如果数据包的尺寸超过上限时，主机就会出现内存分配错误，导致堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、大量地发送数据包，使得目标主机耗费大量的资源处理，也会最终使系统瘫痪。防范方法对于“”攻击，可以采取两种方法进行防范：（）路由器上对数据包进行带宽限制，将占用的带宽控制在一定的范围内。这样即使有攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；（）在主机上设置数据包的处理规则，最好是设定拒绝所有的数据包。结束语本文仅仅介绍了部分协议的安全问题和一些常见的攻击方法及防范的措施。尽管利用协议中存在的安全缺口来实施攻击技术性强、难度大，但突破率高、危害性极大。目前，致力于该问题的研究已取得了显著的成效，针对协议本身作了很多的改进。相信随着网络的发展和安全技术应用的深入，将不断地改进和