网络系统管理论文---tcpip协议的安全性研究毕业设计

网络系统管理论文---tcpip协议的安全性研究毕业设计内容摘要：

路由欺骗 在路由协议中主机利用重定向报文来改变或优化路由如果一个路由器发送非法的重定向报文就可以伪造路由表错误引 导非本地的数据报另外各个路由器都会定期向其相邻的路由器广播路由信息如果使用 RIP特权的主机的 520端口广播非法路由信息也可以达到路由欺骗的目的解决这些问题的办法有通过设置主机忽略重定向信息可以防止路由欺骗禁止路由器被动使用 RIP 和限制被动使用RIP 的范围 26 DNS 欺骗 网络上的所有主机都信任 DNS服务器如果 DNS服务器中的数据被攻击者破坏就可以进行 DNS 欺骗 27 拦截 TCP 连接 攻击者可以使 TCP 连接的两端进入不同步状态入侵者主机向两端发送伪造的数据包冒充被信任主机建立 TCP连接用 SYN淹没被信任的主 机并猜测 3步握手中的响应建立多个连接到信任主机的 TCP 连接获得初始序列号 ISN InitialSerialNumber 和 RTT然后猜测响应的 ISN因为序列号每隔半秒加 64000每建立一个连接加 64000预防方法使所有的 r命令失效让路由器拒绝来自外面的与本地主机有相同的 IP地址的包 RARP查询可用来发现与目标服务器处在同一物理网络的主机的攻击另外 ISN攻击可通过让每一个连接的 ISN随机分配配合每隔半秒加 64000 来防止 28 使用 TCPSYN 报文段淹没服务器 利用 TCP建立连接的 3步骤的缺点和服务器端口允许 的连接数量的限制窃取不可达 IP地址作为源 IP地址使得服务器端得不到 ACK而使连接处于半开状态从而阻止服务器响应响应别的连接请求尽管半开的连接会被过期而关闭的但只要攻击系统发送的 spoofedSYN 请求的速度比过期的快就可以达到攻击的目的这种攻击的方法一直是一种重要的攻击 ISPInterServiceProvider 的方法这种攻击并不会损害服务而是使服务能力削弱解决这种攻击的办法是给 Unix 内核加一个补丁程序或使用一些工具对内核进行配置一般的做法是使允许的半开连接的数量增加允许连接处于半开状态的时间缩短 但这些并不能从根本上解决这些问题实际上在系统的内存中有一个专门的队列包含所有的半开连接这个队列的大小是有限的因而只要有意使服务器建立过多的半开连接就可以使服务器的这个队列溢出从而无法响应其他客户的连接请求 3 关于 TCPIP 协议族存在的脆弱性剖析 31 TCPIP 协议族存在脆弱性 IP 层的主要曲线是缺乏有效的安全认证和保密机制其中最主要的因素就是IP地址问题 TCPIP协议用 IP 地址来作为网络节点的惟一标识许多 TCPIP服务包括 Berkeley 中的 R 命令 NFSX Window 等都是基于 IP 地址对用户进行认 证和授权当前 TCPIP 网络的安全机制主要是基于 IP 地址的包过滤 Packet Filtering 和认证 Authentication 技术它的有效性体现在可以根据 IP 包中的源 IP 地址判断数据的真实性和安全性然而 IP 地址存在许多问题协议的最大缺点就是缺乏对 IP地址的保护缺乏对 IP包中源 IP地址真实性的认证机制与保密措施这也就是引起整个 TCPIP 协议不安全的根本所在 由于 UDP是基于 IP协议之上的 TCP分段和 UDP协议数据包是封装在 IP包中在网络上传输的因此同样面临 IP 层所遇到的安全威胁现在人们一直在想办法解决却仍然 无法避免的就是根据 TCP 连接建立时三次握手机制的攻击 32 应用服务不容乐观 文件传输协议 FTP 经久不衰的原因在于它可以在互联网上进行与平台无关的数据传输它基于一个客户机服务器架构 FTP 将通过两个信道端口传输一个传输数据 TCP 端口 20另一个传输控制信息 TCP 端口 21在控制信道之上双方客户机和服务器交换用于发起数据传输的命令一个 FTP 连接包含 4 个步骤用户鉴权→建立控制信道→建立数据信道→关闭连接 FTP 的连接控制使用 TCP Transmission Control Protocol 传输控制协议它保障了数据的可靠传输因此 FTP 在数据传输中不需要关心分组丢失和数据错误检测 匿名 FTP 作为互联网上广泛应用的服务安全等级的低下受到了黑客的频繁光顾匿名 FTP 是真的匿名并没有记录谁请求了什么信息谁下载了什么文件上传了什么东西有可能是木马 FTP存在着致命的安全缺陷 FTP使用标准的用户名和口令作为身份验证缺乏有效的访问权限的控制机制而其口令和密码的传输也都是明文的方式 Web 服务 Web 服务器位于宿主基础结构的前端它与 Inter 直接相连负责接收来自客户端的请求创建动态 Web 页并响应请求数据最初服务只提供静态的 6HTML 页面为改变人们对网络互动请求的愿望开始引入了 CGI程序 CGI程序让主页活动起来 CGI 程序可以接收用户的输入信息一般用户是通过表格把输入信息传给 CGI程序的然后 CGI 程序可以根据用户的要求进行一些处理一般情况下会生成一个HTML 文件并传回给用户很多 CGI 程序都存在安全漏洞很容易被黑客利用做一些非法的事情现在很多人在编写 CGI程序时可能对 CGI软件包中的安全漏洞并不了解而且大多数情况下不会重新编写程序的所有部分只是对其加以适当的修改这样很多 CGI程序就不可避免的具有相同的安全漏洞很多 SQL Server 开发人员并没有在代码编写开始的时候就从安全防护基础开始这样就无法确保您开发的代码的安全性其结果就造成了无法将应用程序的运行控制在所需的最低权限之内 33 提高网络可信度 前面的 IPv4 存在的弊端很多安全防范技术被忽略了它不可避免地被新一代技术 IPv6取代 IPsec安全协议就是事后 发展的一种协议如图 31而 NAT网络地址转换 Network Address Translation 解决了 IP 地址短缺的问题却增加了安全风险使真正的端到端的安全应用难以实现端到端安全性的两个基本组件鉴权和加密都是 IPv6 协议的集成组件而在 IPv4 中它们只是附加组件因此采用 IPv6 安全性会更加简便一。