關于TCP/IP網絡的安全問題研究

吳建軍

摘要本文通過對TCP/IP協議的基本體系結構的研究，針對其特點分析存在的脆弱性。在這個基礎上提出TCP/IP協議自身存在的安全隱患及其應用于互聯網的一些安全問題，從不同層次討論了各種潛在的攻擊方法和對應的防范措施，并介紹了幾種基于TCP/IP網絡的基本安全策略。

關鍵詞：TCP/IP協議；網絡安全；層次

中圖分類號： TP393 文獻標識碼：A 文章編號：1672-3791（2015）11（b）-0000-00

1、TCP/IP協議

Transmission Control Protocol/Internet Protocol是TCP/IP協議的全稱，不但這個協議是Internet最基本的，同時也在Internet國際互聯網絡中屬于非?；A的。傳輸控制協議/因特網互聯協議是它的中文名稱，也叫作網絡通訊協議。TCP/IP 協議對電子設備怎樣做到和因特網連接以及數據在它們之間進行傳輸的標準做了規定。4層的分層結構是協議所采用的，對于每一層來說，完成自身的請求都利用對下一層進行呼叫并依據提供的協議來實現。

2、存在的安全隱患

2.1網絡接口層上的攻擊

網絡接口層在TCP/IP網絡中，屬于復雜程度最高的一個層次，一般來說，進行網絡嗅探組成TCP/IP網絡的以太網是最為常見的攻擊方式。以太網應用非常廣泛，并且共享信道得到了普遍使用，廣播機制在媒體訪問協議CSMA/CD中使用的較多，這也使得網絡嗅探的物理基礎得到構建。以太網卡的工作方式包含兩種，首先是一般工作方式，而就另一種方式來說，顯得較為特殊屬于混雜方式。來自共享信道上的數據包能被主機說接收。網管工作的需要可能是網絡嗅探進行的初衷，但是這種情況下極有可能導致因為被攻擊方面原因導致的信息丟失，同時攻擊者能夠依據數據分析獲得諸多關鍵數據比如賬戶、密碼等。

2.2網絡層上的攻擊

2.2.1 ARP欺騙

一般來說是為了把目標主機的IP地址關聯到攻擊者的MAC地址上，使得目標主機的IP地址的流量定位到攻擊者處。局域網通信在數據鏈路層進行傳輸的時候數據鏈路層的MAC地址是網絡層的IP地址需要轉換的，假如一個主機的IP地址知道以后，獲取其MAC地址就需要通過一個廣播來實現主機響應中有這個IP的MAC地址。ARP協議沒有狀態，無論是否收到請求，主機都會自動緩存任何它們收到的ARP響應。這樣的話新ARP響應會覆蓋哪怕沒有過期的ARP緩存，并且主機對數據包的來歷無法認定。而這個漏洞是ARP欺騙所采用的，與目標主機通過MAC地址的偽造產生關聯，實現ARP欺騙。

2.2.2 ICMP欺騙

ICMP協議也就是Internet控制報文協議，它主要的功能就是在路由器和主機之間進行控制信息的傳遞。控制信息就是主機能不能可達、網絡是不是暢通以及路由是不是可用等網絡自身方面的信息，如果差錯出現，ICMP數據包會通過主機馬上進行發送，對描述錯誤的信息做到自動返回?；贗CMP的服務最常用的就是Ping命令，ICMP協議在網絡安全中是非常重要的，因為它自身特點的原因使得它遭受入侵很容易，一般來說，目標主機通過長期、大量ICMP數據包的發送，導致大量的CPU資源被目標主機所占用，最終導致系統癱瘓。

2.3運輸層上的攻擊

在網絡安全領域，隱藏自己的一種有效手段就是IP欺騙—偽造自身的IP地址向目標主機發送惡意請求，造成目標主機受到攻擊卻無法確認攻擊源，或者取得目標主機的信任以便獲取機密信息。進行DOS攻擊經常會利用IP欺騙的方式實現，因為數據包的地址來源非常廣泛，過濾不能輕松地進行，這使得基于IP的防御不再有效。IP欺騙也會用來跳過基于IP的認證，雖然這種方法要一次更改數量眾多的數據包，使得實施攻擊遠端系統非常困難，但在受信任的內網主機之間卻很有效。此外，IP欺騙偶爾也用作網站性能測試。

2.4應用層上的攻擊

域名系統的英文縮寫是DNS，這個系統用在組織到域層次結構中的各項網絡服務的命名。對于Internet來說，域名和IP地址都是一一對應，它們之間工作進行轉換叫做域名解析，而域名解析的服務器就是DNS。而對于DNS欺騙來說，它就是攻擊者一種對域名服務器進行冒充的欺騙行為，它可以為目標主機提供錯誤DNS信息。例如用戶在瀏覽網頁時，攻擊者把原有的IP地址偷換成攻擊者的IP地址，這樣的話，用戶看到的就不是原有的頁面，而是攻擊者的頁面。DNS服務器能夠誤導客戶引導進入非法服務器，也能夠對服務器進行誤導使他們相信詐騙IP。

3、基于TCP/IP網絡的安全策略

3.1防火墻技術

防火墻是網絡訪問控制設備，除了有訪問權限的資源可以通過，各種沒有權限的通信數據都會被拒絕。從層次上來說，防火墻的實現一般包含兩種：應用層網關以及報文過濾。報文過濾在防火墻中占據非常核心的地位，它在網絡層實現以及過濾器方面發揮非常大的作用，在進行設計的時候對防火墻的訪問要盡可能減少。在調用過濾器的時候將被調度到內核中實現執行，服務停止的時候，將會從內核中消除過濾規則，在內核中一切分組過濾功能運行在IP堆棧的深層中。此外，技術實現上還有代管服務器、隔離域名服務器、郵件技術等，都是在內外網上建立一道屏障，對外使得內部的信息得到屏蔽，同時對內進行代理服務的提供。

3.2入侵檢測系統

入侵檢測技術屬于動態安全技術的范疇，通過研究入侵行為的特征及過程，使得安全系統做出實時響應入侵過程能。另外這也屬于網絡安全研究的非常重要的內容，入侵檢測技術可以實現邏輯補償防火墻技術，是在安全防護技術上屬于較為積極主動的，它實時保護外部入侵、內部入侵以及誤操作，它能夠使得網絡系統免遭破壞。入侵檢測技術的發展有三個方向：智能化入侵檢測、分布式入侵檢測以及全面的安全防御方案。

3.3訪問控制策略

每個系統都要訪問用戶是有訪問權限的，這樣才允許他們訪問，這種機制叫做訪問控制。訪問控制雖然不是直接抵御入侵行為，但在實際網絡應用中迫切需要，也是網絡防護的一個重要方面。訪問控制包括兩個方面，一方面是對來自外部的訪問進行合法性檢查，這類似于防火墻的功能；另一方面是對由內到外的訪問做一些目標站點檢查，對非法站點的訪問進行封鎖。在服務器上必須對那些用戶可以守護進程以及訪問服務進行限制。

結束語

總之，雖然使協議中的存在的安全缺口免遭攻擊實現起來很困難，但是科技的發展以及安全技的不斷改進，只有對我們的安全體系采用新技術進行完善，TCP/IP協議才會有更安全的明天。才能給TCP/IP網絡信息服務安全帶來足夠的保障。

參考文獻

[1]謝希仁.《計算機網絡（第5版）》[M] ，電子工業出版社，2012.5.

[2]梁毅.《TCP/IP協議的漏洞和防御》[J]， 清華大學出版社，2014.3.

[3]龍東陽.《網絡安全技術及應用》[M]， 華南理工大學出版社，2012.9 .

[4]張千里.《網絡安全新技術》[M]， 人民郵電出版社，2013.7.

[5]謝正均.《IP欺騙原理及其對策》 [M]，電信快報，2012.5.