基于TCP/IP協議的網絡安全問題分析

◆張帥亮 張向磊 馬鵬博

(河南科技學院 河南 453003)

校園網絡安全

基于TCP/IP協議的網絡安全問題分析

◆張帥亮 張向磊 馬鵬博

(河南科技學院 河南 453003)

在科學和技術的進步，社會經濟的不斷發展，人民生活水平的提高，互聯網已經深入人們的日常生活，電子信息技術的重要技術支持人們生活正常運行，目前已進入大數據的時代網絡信息。互聯網使人們生活方便但也有一定的信息安全風險，如侵犯人們的隱私的行為越來越多。為了保護人民基本權利，要構建一個安全、穩定的網絡環境。本文基于TCP / IP協議的網絡安全問題進行了討論和分析。

TCP/IP協議；網絡安全；分析

0 TCP/IP協議概述

TCP/IP協議是指一個允許不同軟硬件結構計算機進行通信的協議族，是能將各個不同結構計算機連接起來的主要技術平臺，也是實現計算機資源共享的技術支持。其中我們常說的Internet互聯網就是建立在協議之上的計算機信息技術。TCP/IP協議主要有包括四個層次，第一層是應用層，是實現使用者去訪問、去具體使用的平臺，比如說常用的后綴 www.網址等；第二層是傳輸層，是將用戶使用平臺與計算機信息網內部數據結合的通道，實現數據的傳輸與共享，有TCP、FTP等；第三層就是網絡層，是負責網絡中的數據包傳送，并提供鏈接導向以及相關的數據報服務等；最后一層是網絡訪問層，是網絡的接口層，也稱數據鏈路層，能處理不同通信媒介的相關信息細節問題，比如說常見的以太網、ARP等。基于TCP/IP協議上互聯網的信息傳輸范圍變得更廣泛，且傳輸的內容來源更多，對傳輸對象以及輸送對象的信息安全要求降低，且多個端口使得數據信息被處理的步驟較多，不能對其保密性起到保障作用，TCP是使用一種介乎集中與動態分配之間的端口分配，端口也被分為保密與自由端口，這在一定程度上又大大增加了網絡信息安全風險。下面就幾個網絡安全的主要問題進行分析。

1 基于TCP / IP協議分析的網絡安全問題

1.1 應用程序層的TCP / IP協議

首先在應用程序層的TCP / IP協議，可能產生的網絡安全問題PTP的網絡接口接收到原本不屬于主機的數據，通常使用在應用程序層的設計是一個共享的端口，由于特定類型的端口設計成本費用較高，因此在接收數據共享平臺很容易得到不屬于應用平臺的相關收據，因此引入一些木馬病毒，導致里面的數據，網絡安全問題。為此，我們可以在應用平臺設置特殊的加密文件，可以設置一個密碼特殊信息內容可以允許接受和運輸，在完全接受所有信息的情況下，減少信息被惡意攻擊的風險。此外，網絡分割處理，應用平臺上設置更多的新聞發現信息渠道，一層一層過濾不符合安全信息，并沒有一個可靠的信息來源，從而減少網絡信息安全問題。

1.2 傳輸層TCP / IP協議

其次在傳輸層TCP / IP協議也有網絡安全問題的風險，例如在ICMP傳輸通道，ICMP是IP層的一部分，是在軟件和機器之間的傳輸和控制信息無連接協議。任何端口的計算機 IP軟件發送一個PING ICMP文件，文件傳輸，申請是否可以允許ICMP將源主機對應的響應，這個命令可以檢測是否合法的消息。基本上所有應用程序數據的傳輸層同意，軟件編程的主要原因不能智能識別惡意信息，在TCP / IP網絡和以太網，常見防火墻和網絡安全防護系統通常是自動默認端，而忽視可能存在安全風險。

1.3 TCP / IP協議在網絡層

然后在TCP / IP協議在網絡層也有網絡安全的風險問題，主要表現為IP欺騙，因為TCP / IP協議的信任機制非常簡單和方便，所以很多的 IP欺騙利用這一特點，利用虛假信息來假裝重要的數據信息。許多身份只有所有者的IP地址，這里篡改的IP地址可以攻擊主機數據管理中心。我們可以設置更多的 IP地址來識別不同的檢查點，在確定正確后可以給 IP流量，除了加強網絡防火墻的防護功能，網絡信息安全。

1.4 ARP欺騙的TCP / IP網絡層

最后，在TCP / IP協議和ARP欺騙的網絡層的網絡安全問題。主機 IP數據包的過程中會有一個或多個主機使用網絡級別的第一層，和 ARP源主機第一個查詢工具，在沒有找到對應的物理地址的 IP地址將發送主機包含物理地址與 IP地址的主機的信息。與此同時，源主機到目的主機將包含它自己的IP地址和ARP檢測應答。如果在 ARP識別鏈接錯誤，直接應用到目標主機的可疑信息，如攜帶病毒，如果惡意攻擊使用 ARP欺騙會導致網絡信息安全漏洞。為此，應加強其保護功能的 ARP識別鏈接，建立更多的識別水平，不僅按照名稱作為主要依據識別IP，也指IP的相關屬性，等等。

2 TCP/IP協議安全問題的防范

對于SYN Flood攻擊，目前還沒有完全有效的方法，但可以從以下幾個方面加以防范：

（1）對系統設定相應的內核參數，使得系統強制對超時的SYN請求連接數據包的復位，同時通過縮短超時常數和加長等候隊列使得系統能迅速處理無效的SYN請求數據包。

（2）建議在該網段的路由器上做些配置的調整，這些調整包括限制SYN半開數據包的流量和個數。

（3）建議在路由器的前端TCP攔截，使得只有完成TCP三次過程的數據包才可以進入該網段，這樣可以有效的保護本網段內的服務器不受此類攻擊。

3 TCP/IP各層的安全性和提高各層安全性

網絡層的安全性；傳輸層的安全性；應用層的安全性。

一般來說，在應用層提供安全服務有幾種可能的做法，一個是對每個應用（及應用協議）分別進行修改。一些重要的TCP/IP應用已經這樣做了。在RFC1421至1424中，IETF規定了私用強化郵件（PEM）來為基于SMTP的電子郵件系統提供安全服務。Internet業界采納PEM的步子太慢的原因是PEM依賴于一個既存的、完全可操作的PKI（公鑰基礎結構）。建立一個符合PEM規范的 PKI需要多方在一個共同點上達成信任。作為一個中間步驟，Phil Zimmermann開發了一個軟件包，叫做PGP（Pretty GoodPrivacy）。PGP符合PEM的絕大多數規范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，暨由每個用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個全局的PKI，而是讓用戶自己建立自己的信任之網。

4 總結

最重要的是，在一些基于TCP / IP協議的網絡安全問題的分析和討論，我們了解到應用程序層、傳輸層、網絡層、傳輸層可能有幾個方面，如網絡安全風險。風險的主要原因是由于信任機制的協議設計相對簡單，審定的信息來源不到位，使大量的惡意內容利用漏洞，導致很多軟件欺騙。在解決這些問題，因此，我們需要在網絡信息傳輸通道和信息識別單元和數據存儲信息鏈接中增加安全保護，增強警惕詐騙信息的意識，建立更多的保護環節，避免之間信息傳輸的可訪問性。在未來，我們將繼續進一步探索相關結構的網絡信息安全保護功能，提出更科學、有效的措施，加強我國網絡信息安全，促進我國網絡信息產業的發展。

[1]基于 ARP數據包調度系統連接狀態檢測[J]．電力系統自動化，2006．

[2]基于技術PVLAN針對ARP欺騙技術研究[J]．計算機知識和技術(學術)，2007．

[3]校園網的 ARP欺騙攻擊和保護[J]．福建計算機學報，2007．

[4]TCP/IP協議及其工作原理[J]．廣西民族學院學報(自然科學版)，2000．

[5]在防火墻的應用研究[J]．電子科技大學學報，1999．