TCP/IP協議對計算機網絡安全框架的影響研究

朱藝濤 徐杰

【關鍵詞】TCP/IP協議;計算機;網絡安全;影響

計算機網絡在搭建和使用的過程中雖然給人們的生產生活帶來了很多便利，但是在使用的過程中，計算機網絡也存在著一些安全問題，這些安全問題不僅影響計算機網絡的使用，也會對各種硬件造成一定的威脅，更會對信息安全造成一定的影響，所產生的各種違法犯罪事件會帶來巨大的經濟損失。雖然伴隨著計算機網絡安全技術的不斷增強，類似的網絡安全問題已經逐漸減少，但是計算機網絡安全問題并沒有得到徹底解決。一個非常重要的原因，我們現在所使用的計算機網絡采用的是TCP/IP協議，這一協議是多個協議的簡稱，這一協議統一了數字傳輸當中的信息標準問題，同樣這一傳輸協議本身也存在著一些技術漏洞，這是一些違法犯罪分子通過計算機網絡進行攻擊的一個重要原因。

一、TCP/IP協議簡介

TCP/IP傳輸協議也就是傳輸控制/網絡協議，是現在計算機網絡形成的技術標準和基礎，所有的國家在建立計算機網絡的過程中，都需要按照這一標準進行，否則就無法接人互聯網。另外，從網絡安全的角度來講，TCP/IP通信協議也是保證數據信息安全性的一個重要協議標準，在保證網絡通信安全等方面發揮了不錯的作用。該協議主要包括4個層次，也就是應用層、傳輸層、網絡層和數據鏈路層，每一層都有自己的協議，整個計算機網絡就是建立在傳輸協議的基礎之上，這些傳輸協議定義了網絡傳輸的一些數據標準和接入標準。之所以將這些協議簡稱為TCP/IP傳輸協議，主要是為了方便記憶和理解，當然這兩個協議也是整個計算機網絡當中最重要的協議。

二、TCP/IP傳輸協議的安全隱患分析

TCP/IP傳輸協議雖然具有一定的網絡安全防護能力，但是這一協議自身的不足也非常明顯，在實踐當中存在的安全隱患比較多，主要集中在以下幾個方面上。

（一）鏈路層上的攻擊

現在一些違法犯罪分子針對計算機網絡的攻擊都是在鏈路層上進行的，當然這種攻擊技術相對比較復雜，因為鏈路層上的攻擊要求必須先進人TCP/IP傳輸協議當中的鏈路傳輸層。在攻擊的過程中，黑客一般都是使用網絡嗅探組成的TCP/IP協議的以太網，只要能夠進入網絡中的共享信道，就可以竊取相關信息。我國目前在計算機網絡當中，因為最廣泛的局域網就是一種典型的以太網，這種網絡雖然能夠最大程度地利用信道運行數據傳輸，但是實踐當中也存在著更多的安全隱患，是被攻擊最多的一種網絡。以太網的工作方式主要有兩種，而在一般的工作方式當中，鏈路層被攻擊極容易出現信息丟失，而攻擊者通過獲取的數據，可以獲取用戶的賬戶密碼等關鍵數據信息，導致用戶其他方面的財產受損失。通過攻擊獲取用戶的個人銀行賬戶，再通過電子銀行的賬戶密碼來盜取用戶的個人財產。

（二）網絡層上的攻擊

網絡層的攻擊最多，也是最常見的一種攻擊方法和手段，對普通用戶的危害最大。

1、ARP欺騙

針對網絡損害的攻擊主要采用的就是ARP欺騙的方式進行，所謂的ARP就是地址解析協議，因為數據都是在不同的IP地址進行傳輸的，所以說在傳輸的過程中，需要先確定IP地址，在這一過程中也可以獲得該IP地址的TCP/IP協議。在一般的網絡傳輸的過程中，數據在傳輸的過程中存在于一個子網或者是多個子網主機利用網絡級別的第1層，在傳輸過程中ARP主要用于原主機的第1個查詢工具。一般情況下，可以輕易找到對應的物理地址，但是被攻擊以后可能出現無法找到物理地址的情況。這種情況下攻擊者可以將可疑信息欺騙ARP，在錯誤識別以后可能將混入的信息一同傳回主機，因為ARP協議并沒有狀態，所以主機不管存不存在請求信息都會自動緩存，如果混入的信息帶有病毒，就會導致主機中毒，以此，攻擊者就可以獲取主機上的相關信息，導致重要信息被泄露，這種簡單的IP識別機制是導致主機被攻擊的主要原因。

2、ICMP欺騙

針對網絡層的攻擊當中，ICMP欺騙也是較為常見的一種方法，IGMP協議是指是因特網控制報文協議，該協議主要是為了解決主機與路由器之間的信息傳輸而出現的。在家庭生活中路由器是一種不可缺少電子產品，通過該協議可以最大程度地保證無線網絡的暢通，也可以作為查詢路由器及主機工作狀態的方法和途徑。針對主機的攻擊當中，IGMP欺騙可以通過路由器來攻擊主機，在攻擊的時候ICMP欺騙錯誤識別，數據包結會自動利用主機進行即時發送，攻擊者會發送大量的數據包，這些數據包在發送的過程中會占用大量的CPU資源，導致主機無法正常工作，嚴重的情況下會導致系統無法使用，一些數據包中還包含著木馬程序，可以記錄、獲取用戶的賬號密碼等信息，甚至還可能破壞用戶的硬件設備。

3、傳輸層的攻擊

相對于其它層，傳輸層的攻擊難度比較大，但是傳輸層也存在網絡安全問題，因為在網絡攻擊中，攻擊者為了避免被查到，會通過IP欺騙的方式來隱藏自己的IP地址，攻擊的方法也是偽造一個IP地址向被攻擊的主機發送訪問請求，主機在識別IP地址的時候因為攻擊者的可疑隱藏而無法識別，當然，也可以通過偽造IP地址獲取主機的信任，一旦成功主機上的信息就會泄露。在早期的計算機網絡攻擊中，尤其是在DOS攻擊中的IP欺騙非常常見。因為DOS無法過濾非常多的地址，如果不能準確識別，IP的防御能力會大大下降，也是攻擊者經常能夠成功的原因。ICMP傳輸通道本身是IP層的重要組成部分，在傳輸的過程中在IP軟件中任何端口向ICMP發送一個PING文件作為進申請訪問，在這種情況ICMP必須做出應答，但前提是能夠準確識別出惡意信息，如果信息被偽裝成正常的信息，在這種情況也會被攻擊，因為只能被默認PING存在，由此帶來的漏洞風險非常大。

三、TCP/IP協議在計算機網絡安全對策

（一）防火墻技術

防火墻技術仍然是確保計算機網絡安全的第1道防線，尤其是在紫網環境的網絡安全防護上，防火墻技術的應用非常有必要。防火墻技術主要是通過訪問權限的控制進行的，通過防火墻技術可以控制訪問權限來控制內部網絡的訪問。只有有權限的數據才能進入子網，沒有權限的通訊數據被隔離。現在已經出現了代理服務型防護墻等新型防火墻技術，這種防風險技術可以完全隔離子網與外網之間的通信，并且當子網被攻擊以后會留下攻擊痕跡，同時也會在第一時間之內向網絡管理員進行示警。所以，在子網的安全管理系統構建的過程中，防火墻技術是不可或缺的。

（二）入侵檢測系統

入侵檢測系統是最近幾年發展起來的一種新的計算機網絡安全技術，也是一種動態化的網絡安全技術，改變了原來的計算機網絡安全技術相對比較被動的情況。入侵檢測系統在技術的推動之下也不斷成熟，這種檢測技術是通過分析入侵行為特點和行為過程的方式來分析是否存在被攻擊的現象，確認被攻擊可以立即啟動系統的攔截和防護功能。從邏輯功能設計的角度來講，入侵檢測技術可以很好地配合防火墻技術，達到增強網絡安全的效果，因為入侵檢測系統不僅可以阻止外部入侵，也可以從事內部入侵，甚至內部網絡在使用過程中的各種誤操作也可以及時發現并予以糾正。當然，伴隨著入侵檢測技術的不斷增強，新的入侵檢測技術也不斷出現，不是說智能化檢測技術就是利用各種智能化軟件實現入侵的自動識別與防護，另外還有全面安全防御方案與分布式入侵檢測等，這些入侵檢測系統各有各的特點，在實踐當中可以根據自己的實際需求加以運用。

（三）殺毒軟件

實踐當中殺毒軟件是一種非常好的木馬病毒的預防策略，從前面的分析中可以看，多數網絡攻擊都是通過木馬病毒進行的，因為攻擊者通常將木馬病毒偽裝成正常的數據傳輸的主機當中，主機一旦接收就會被入侵，主機上的各種信息有可能被泄露。而個人計算機在使用的過程中，尤其是手機在使用的過程中，安裝殺毒軟件可以及時地識別系統當中可能存在的各種木馬病毒，并在第一時間啟動自動殺毒程序。當然，一般家庭使用免費的殺毒軟件就可以，如果說單位在使用的過程中最好使用付費的殺毒軟件，其功能更加強大，防護效果也更加突出。

總之，TCP/IP傳輸協議雖然定義了網絡傳輸的標準，并且在網絡安全方面也具有一定的保護能力，但是實踐當中此種傳輸協議的漏洞比較多，所以計算機網絡安全問題一直沒有得到徹底解決。從計算機網絡安全管理的角度來講，應用更加先進的網絡安全管理技術與方法，構建起一個科學完善的網絡安全體系，這是解決此種傳輸協議網絡安全問題的根本方法和手段。