對于TCPIP協議棧與網絡攻擊的分析

中圖分類號：TP 文獻標識碼：A 文章編號：1008—925X（2012）10—0113—02

摘要：從網絡安全的角度出發，介紹TCP/IP計算機網絡體系結構、TCP/IP協議棧的層次結構、各層的功能、常用協議和信息數據包格式，對TCP/IP網絡的脆弱性，對網絡攻擊的方法進行分析。

關鍵詞：網絡對抗 TCP/IP協議 數據包

TCP/IP協議使得世界上不同體系結構的計算機網絡互連在一起形成一個全球性的廣域網絡Internet，實現信息共享，由此展開TCP/IP協議和網絡攻擊分析和研究，尋求網絡安全的措施，是有效實施計算機網絡對抗的關鍵。

一、TCP/IP協議棧

（一）因特網依賴于一組稱為TCP/IP的協議組。TCP/IP是一組通信協議集的縮寫，它包含了一組互補和合作的協議。所有協議規范均以RFC（Request for Comment）文檔給出。由于規范的不完善和實現上的缺陷使得針對網絡協議的攻擊成為可能。TCP/IP協議ISO/OSI參考模型將網絡設計劃分成七個功能層。但此模型只起到一個指導作用，它本身并不是一個規范。TCP/IP網絡只使用ISO/OSI模型中的五層。圖1顯示了一個簡單的五層網絡模型，其中每層都采用了TCP/IP協議。

在圖一中，有箭頭的線表示不同的網絡軟件和硬件之間可能的通信信道。例如，為了和傳輸層通信，應用程序必須與用戶數據報文協議（UDP）或傳輸控制協議（TCP）模塊對話。為了在應用程序間交換數據報文，應用層必須與互聯網控制報文協議（ICMP）或者互聯網協議（IP）模塊對話。但是，不管數據通過什么路徑從應用層到網絡層，數據都必須經過IP模塊才能到達網絡硬件。

（二）在TCP/IP協議體系結構中，每層負責不同的網絡通信功能。1.數據鏈路層： 建立，維持和釋放網絡實體之間的數據鏈路，它們一起處理與電纜（或其他任何傳輸媒介）的物理接口細節，以及數據幀的組裝。典型的協議包括ARP（地址解析協議）和RARP。

2.網絡層：屬于通信子網，通過網絡連接交換傳輸層實體發出的數據。它解決的問題是路由選擇、網絡擁塞、異構網絡互聯等問題。在TCP/IP協議族中，網絡層協議包括IP協議（網際協議），ICMP協議（互聯網控制報文協議），以及IGMP協議（因特網組管理協議）。

3.傳輸層：主要為兩臺主機上的應用程序提供端到端的通信。在TCP/IP協議族中，有兩個互不相同的傳輸協議：TCP（傳輸控制協議）和UDP（用戶數據報協議）。TCP為兩臺主機提供高可靠性的數據通信，通過使用滑動窗口還可解決傳輸效率和流量控制的問題。它所做的工作包括把應用程序交給它的數據分成合適的報文段交給下面的網絡層，確認接收到的分組報文，設置發送最后確認分組的超時時鐘等。由于傳輸層提供了高可靠性的端到端的通信，因此應用層可以忽略所有這些細節。

二、常用探測技術方法

入侵者之所以能突破網絡網關是因為他們對所要突破的網絡有更多的了解。通常是使用下面幾種工具來收集信息：

1.Ping實用程序：可以用來確定一個指定的主機的位置。

2.Whois協議：具體點說，whois就是一個用來查詢域名是否已經被注冊，以及注冊域名的詳細信息的數據庫。

3.Traceroute：程序能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數。

三、攻擊方法

惡意攻擊者攻擊的方法多種多樣，一般的攻擊方法有：分布式拒絕服務攻擊；網絡層協議攻擊；拒絕服務攻擊。

拒絕服務攻擊（Denial of Service），簡稱DoS。這種攻擊行動使網站服務器充斥了大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓。拒絕服務攻擊根據其攻擊的手法和目的不同，有兩種不同的存在形式。①迫使服務器緩沖區滿，不接受新的請求。②使用IP欺騙，迫使服務器把合法用戶連接復位，影響合法用戶的連接，這也是DoS攻擊的基本思想。

網絡層協議的攻擊主要包含幾個方面。①IP地址欺騙：攻擊者假冒IP地址發送數據包，從而達到偽裝成目標主機信任的友好主機得到非授權服務。② 淚滴攻擊：發送多段數據包，使偏移量故意出錯，造成主機計算出錯，系統崩潰。③RIP路由欺騙：聲明攻擊者所控制的路由器A可以最快達到某站點B，從而導致發送至B的數據包經A中轉。由于A被控制，達到完成偵聽，篡改的目的。

分布式拒絕服務DDoS（distributed denial of service）攻擊就是要阻止合法用戶對正常網絡資源的訪問，從而達成攻擊者不可告人的目的。DDOS和DOS還是有所不同，DDOS的攻擊策略側重于通過被攻擊者入侵過或可間接利用的主機向受害主機發送大量看似合法的網絡包，從而造成網絡阻塞或服務器資源耗盡而導致合法用戶無法正常訪問服務器的網絡資源。

分布式拒絕服務攻擊的體系結構—DDoS攻擊按照不同主機在攻擊時的角色可分為攻擊者、主控端、代理端和受害者。分布式拒絕服務攻擊體系結構如圖二。

攻擊者采用一些典型的入侵手段，如：通過緩沖區溢出攻擊提升用戶權限；設置后門、上載木馬；通過發現有配置漏洞的FTP服務器TELNET服務器上載后門程序；通過窺探網絡信息，非法獲得用戶名和口令，獲得目標主機權限；通過社交工程，冒充目標主機所有者向不知情的信息服務部門打電話、發郵件獲得目標主機口令、密碼，非法入侵目標主機等等，以獲得一定數據量和規模的主機的控制權，然后在這些主機上安裝攻擊軟件。主控端的控制傀儡機用于向攻擊傀儡機發布攻擊命令，但控制傀儡機本身不參與實際的攻擊，實際攻擊由代理端的攻擊傀儡機實現，受害主機接收到的是來自攻擊傀儡機的數據包。攻擊者在實施攻擊之前，被設置在受控主機上的程序與正常的程序一樣運行，并等待來自攻擊者的命令。

四、保障網絡安全的措施

1. 防火墻技術

防火墻技術是網絡安全的第一道門戶，實現信任網絡和外部不可信任網絡之間的隔離和訪問控制，保證網絡系統服務的可用性。防火墻的結構通常包括：①包過濾型防火墻。對進出內部網絡的所有信息進行分析，并按照一定的安全策略對進出內部網絡的信息進行限制。②雙宿網關防火墻。它由裝有兩塊網卡的堡壘主機做防火墻，對內外網實現物理隔開。它有兩種服務方式：一是用戶直接登錄到主機上；二是雙宿主機運行代理服務器。③屏蔽子網防火墻。它使用兩個屏蔽路由器和一個堡壘主機，也被定義為單DMZ防火墻結構。

2. 入侵檢測系統

入侵檢測系統作為防火墻之后的第二道屏障，通過從網絡中關鍵地點收集信息分析，對違反安全策略的行為作出相應。入侵檢測是個監聽設備，一般部署在防火墻附近比較好。放在防火墻之外的DMZ中，可以使監聽器能夠看見所有來自Internet的攻擊，從而了解被攻擊的重點方面。放在防火墻之內，減少攻擊者的行動被審計的機會，減少誤報警，而且如果本應由防護墻封鎖的攻擊滲透進來，可以發現防火墻的設置失誤。

五、結束語

通過對TCP/IP網絡協議的分析，對TCP/IP協議本身的脆弱性和攻擊方法有了一個基本的了解，鑒于TCP/IP協議在網絡通信中的重要地位，開展對TCP/IP計算機網絡攻擊和安全措施的研究，是網絡對抗的關鍵。