tcpip协议的安全性与防范论文

tcpip协议的安全性与防范论文内容摘要：

的路由），则路由器会丢弃它。 3. ARP 欺骗 11 TCP/IP 中使用的地址转换协议 ARP，主要解决 32 位的 IP 地址和物理地址的互相 转换问题。 在 TCP/IP 网络环境下，每个 主 机都分配了一个 32 位的 IP地址，这种互联网地址是在国际范围内唯一标识主机的一种逻辑地址。 为了让报文在物理网上传送，还必须知道相应的物理地址， 我 们就存在把互联网地址变换为物理地址的地址转换问题。 以以太网为例，在进行报文发送时，如果源网络层给的报文只有 IP 地址，而没有对应的以太网地址，则网络层广播 ARP请求以获取目的站信息，而目的站必须回答该 ARP 请求。 这样源站点可以收到以太网 48 位地址，并将地址放入相应的高速缓存（ cache）。 下一次源站点对同一目的站点的地址转换可直 接引用高速缓存中的地址内容。 地址转换协议ARP 使主机只需给出目的主机的 IP 地址就可以找出同一物理网络中任一个物理主机的物理地址。 由于 cache 中的数据通常几分钟后就会过期，攻击者就可以伪造 IP物理地址联系，并且可以使用不工作主机的 IP 地址。 一旦 cache中的数据过期，攻击者便可入侵信任服务器。 ARP 欺骗防范 : 在 win xp 下输入命令： arp s gatewayip gatewaymac固化 arp表，阻止 arp 欺骗。 通过查询 IPMAC 对应表 (1)不要把网络安全信任关系建 立在 IP 基础上或 MAC 基础上 ，理想的关系应该建立在 IP+MAC 基础上。 (2)设置静态的 MACIP 对应表，不要让主机刷新设定好的转换表。 (3)除非很有必要，否则停止使用 ARP，将 ARP 作 为永久条目保存在对应表中。 (4)使用 ARP 服务器。 通过该服务器查找自己的 ARP 转换表来响应其他机器的 ARP 广播。 确保这台 ARP 服务器不被黑。 (5)使用 proxy代理 IP 的传输。 (6)使用硬件屏蔽主机。 设置好的路由，确保 IP地址能到达合法的路径。 (7)管理员定期用响应的 IP 包中获得一个 rarp 请求，然后检查 ARP 响应的真实性 (8)管理员定期轮询，检查主机上的 ARP 缓存。 (9)使用防火墙连续监控网络。 注意有使用 SNMP 的情况下， ARP 的欺骗有 12 可能导致陷阱包丢失。 (Ping of Death 攻击 ) ICMP 即 Inter 控制消息协议。 用于在 IP 主机、路由器之间传递控制消息。 控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。 Ping 就是最常用的基于 ICMP 的服务。 ICMP 协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机。 比如 ,可以利用操作系统规定的ICMP 数据包最大尺寸不超过 64KB 这一规定 ,向主机发起“ Ping of Death”攻击。 “ Ping of Death” 攻击的原理是 : 利用 IP 广播发送伪造的 ICMP 回应请求包，向目标主机长时间、连续、大量地发送 ICMP 数据包 ,使得目标主机耗费大量的 CPU 资源处理。 如果 ICMP 数据包的尺寸超过 64KB 上限时 ,主机就会出现内存分配错误 ,导致 TCP/IP 堆栈崩溃 ,致使主机死机。 对于“ Ping of Death”攻击 ,可以采取两种方法进行防范 : (1)路由器上对 ICMP数据包进行带宽限制 ,将 ICMP占用的 带宽控制在一定的范围内。 这样即使有 ICMP 攻击 ,它所占用的带宽也是非常有限的 ,对整个网络的影响非常少； (2)在主机上设置 ICMP 数据包的处理规则 ,最好是设定拒绝所有的 ICMP数据包。 传输层上的攻击与防范 1. TCP 连接欺骗 (IP 欺骗 ) IP 协议在互联网络之间提供无连接的数据包传输。 IP 协议根据 IP 头中的目的地址项来发送 IP数据包。 也就是说 ,IP 路由 IP 包时 ,对 IP 头中提供的源地址不作任何检查 ,并且认为 IP头中的源地址即为发送该包的机器的 IP地址。 这样 ,许多依靠 IP 源地址做确认的服务将产生问题并且会被非法入侵。 其中最重要的就是利用 IP 欺骗引起的各种攻击。 以防火墙为例 ,一些网络的防火墙只允许网络信任的 IP数据包通过。 但是由于 IP 地址不检测 IP 数据包中的 IP 源地址是否为 发 送该包的源主机的真实地址 ,攻击者可以采用 IP 源地址欺骗的方法来绕过这种 防火墙。 另外有一些以IP 地址作为安全权限分配依据的网络应用 ,攻击者很容易使用 IP 源地址欺骗的方法获得特权 ,从而给被攻击者造成严重的损失。 事实上 ,每一个攻击者都可 13 以利用 IP 不检验 IP 头源地址的特点 ,自己填入伪造的 IP 地址来进行攻击 ,使自己不被发现。 基于 IP 欺骗的防范方法有 : (1)抛弃基于地址的信任策略； (2)进行包过滤。 如果网络是通过路由器接入 Inter 的 ,那么可以利用路由器来进行包过滤。 确认只有内部 LAN 可以使用信任关系 ,而内部 LAN 上的主机对于 LAN 以外的主机要慎重处理。 路由器可以过滤掉所 有来自于外部而希望与内部建立连接的请求； (3)使用加密技术。 阻止 IP欺骗的一种简单的方法是在通信时要求加密传输和验证。 当有多种手段并存时 ,加密方法可能最为适用。 2. SYN Flood 攻击 TCP 是基于连接的。 为了在主机 A 和 B 之间传送 TCP 数据 ,必须先通过 3次握手机制建立一条 TCP 连接。 若 A 为连接方、 B 为响应方 ,则连接建立过程如下 :首先 ,连接方 A 发送一个包含 SYN 标志的 TCP 报文 (即同步报文 )给 B,SYN报文会指明连接方 A 使用的端口以及 TCP 连接的初始序号 X。 随后 ,响应方 B在收到连接方 A 的 SYN 报 文后 , 返回一个 SYN+ACK 的报文 (其中 SYN 是自己的初始序号 Y,ACK 为确认号 X+1,表示客户端的请求被接受 ,正在等待下一个报文 )。 最后 ,连接方 A 也返回一个确认报文 ACK(序列号 y+1)给响应方 B。 到此一个 TCP 连接完成。 在连接过程中 ,可能受到的威胁如下 :攻击者监听 B方发出的 SYN+ACK报文 ,然后向 B 方发送 RST 包。 接着发送 SYN 包 ,假冒 A 方发起新的连接。 B 方响应新连接 ,并发送连接响应报文 SYN+ACK。 攻击者再假冒 A 方对 B 方发送 ACK包。 这样攻击者便达到了破坏连接的作用。 若攻击者再趁机插入有害数 据包 ,则后果更严重。 例如 ,在 TCP的 3 次握手中 ,假设 1 个用户向服务器发送了 SYN报文后突然死机或掉线 ,那么服务器在发出 SYN+ACK 应答报文后是无法收到客户端的 ACK报文的 (即第 3 次握手无法完成 ),这种情况下服务器端一般会再次发送SYN+ACK 给客户端 ,并等待一段时间后丢弃这个未完成的连接 ,这段时间的长度我们称为 SYN Timeout,一般来说这个时间是分钟的数量级 (大约为 30 秒 2分钟 )。 1个用户出现异常导致服务器的一个线程等待 1分钟并不是什么大问题 , 14 但如果有一个恶意的攻击者大量模拟这种情况 ,服务器端 将为了维护一个非常大的半连接列表而消耗非常多的资源。 服务器端将忙于处理攻击者伪造的 TCP连接请求而无暇理睬客户的正常请求 ,此时从正常客户的角度看来 ,服务器失去响应 ,这种情况我们称作服务器端受到了 SYN Flood 攻击。 如下图所示 SYNFlooding 攻击示意图 对于 SYN Flood 攻击 ,可以从以下几个方面加以防范 : (1)对系统设定相应的内核参数 ,使得系统强制对超时的 SYN 请求连接数据包复位 ,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN 请求 数据包； (2)建议在该网段的路由器上做些配置的调整 ,这些调整包括限制 SYN 半开数据包的流量和个数； (3)建议在路由器的前端做必要的 TCP拦截 ,使得只有完成 TCP三次握手过程的数据包才可进入该网段 ,这样可以有效的保护本网段内的服务器不受此类攻击。 应用层上的攻击与防范 DNS 欺骗 当主机需要将一个域名转化为 IP 地址时，它会向某 DNS 服务器发送一个查询请求。 同样道理，将 IP 地址转化为域名时，可发送一个反查询请求。 这样，一旦 DNS 服务器中的数据被修改破坏， DNS 欺骗就会产生。 因为网络上的主机都信任 DNS 服务器 ，所以一个被破坏的 DNS 服务器就可以将客户 引导到非法的服务器，从而就可以使某个 IP 地址产生 IP 欺骗。