关于TCP/IP网络的安全问题研究
2016-05-25吴建军
吴建军
摘要本文通过对TCP/IP协议的基本体系结构的研究,针对其特点分析存在的脆弱性。在这个基础上提出TCP/IP协议自身存在的安全隐患及其应用于互联网的一些安全问题,从不同层次讨论了各种潜在的攻击方法和对应的防范措施,并介绍了几种基于TCP/IP网络的基本安全策略。
关键词:TCP/IP协议;网络安全;层次
中图分类号: TP393 文献标识码:A 文章编号:1672-3791(2015)11(b)-0000-00
1、TCP/IP协议
Transmission Control Protocol/Internet Protocol是TCP/IP协议的全称,不但这个协议是Internet最基本的,同时也在Internet国际互联网络中属于非常基础的。传输控制协议/因特网互联协议是它的中文名称,也叫作网络通讯协议。TCP/IP 协议对电子设备怎样做到和因特网连接以及数据在它们之间进行传输的标准做了规定。4层的分层结构是协议所采用的,对于每一层来说,完成自身的请求都利用对下一层进行呼叫并依据提供的协议来实现。
2、存在的安全隐患
2.1网络接口层上的攻击
网络接口层在TCP/IP网络中,属于复杂程度最高的一个层次,一般来说,进行网络嗅探组成TCP/IP网络的以太网是最为常见的攻击方式。以太网应用非常广泛,并且共享信道得到了普遍使用,广播机制在媒体访问协议CSMA/CD中使用的较多,这也使得网络嗅探的物理基础得到构建。以太网卡的工作方式包含两种,首先是一般工作方式,而就另一种方式来说,显得较为特殊属于混杂方式。来自共享信道上的数据包能被主机说接收。网管工作的需要可能是网络嗅探进行的初衷,但是这种情况下极有可能导致因为被攻击方面原因导致的信息丢失,同时攻击者能够依据数据分析获得诸多关键数据比如账户、密码等。
2.2网络层上的攻击
2.2.1 ARP欺骗
一般来说是为了把目标主机的IP地址关联到攻击者的MAC地址上,使得目标主机的IP地址的流量定位到攻击者处。局域网通信在数据链路层进行传输的时候数据链路层的MAC地址是网络层的IP地址需要转换的,假如一个主机的IP地址知道以后,获取其MAC地址就需要通过一个广播来实现主机响应中有这个IP的MAC地址。ARP协议没有状态,无论是否收到请求,主机都会自动缓存任何它们收到的ARP响应。这样的话新ARP响应会覆盖哪怕没有过期的ARP缓存,并且主机对数据包的来历无法认定。而这个漏洞是ARP欺骗所采用的,与目标主机通过MAC地址的伪造产生关联,实现ARP欺骗。
2.2.2 ICMP欺骗
ICMP协议也就是Internet控制报文协议,它主要的功能就是在路由器和主机之间进行控制信息的传递。控制信息就是主机能不能可达、网络是不是畅通以及路由是不是可用等网络自身方面的信息,如果差错出现,ICMP数据包会通过主机马上进行发送,对描述错误的信息做到自动返回。基于ICMP的服务最常用的就是Ping命令,ICMP协议在网络安全中是非常重要的,因为它自身特点的原因使得它遭受入侵很容易,一般来说,目标主机通过长期、大量ICMP数据包的发送,导致大量的CPU资源被目标主机所占用,最终导致系统瘫痪。
2.3运输层上的攻击
在网络安全领域,隐藏自己的一种有效手段就是IP欺骗—伪造自身的IP地址向目标主机发送恶意请求,造成目标主机受到攻击却无法确认攻击源,或者取得目标主机的信任以便获取机密信息。进行DOS攻击经常会利用IP欺骗的方式实现,因为数据包的地址来源非常广泛,过滤不能轻松地进行,这使得基于IP的防御不再有效。IP欺骗也会用来跳过基于IP的认证,虽然这种方法要一次更改数量众多的数据包,使得实施攻击远端系统非常困难,但在受信任的内网主机之间却很有效。此外,IP欺骗偶尔也用作网站性能测试。
2.4应用层上的攻击
域名系统的英文缩写是DNS,这个系统用在组织到域层次结构中的各项网络服务的命名。对于Internet来说,域名和IP地址都是一一对应,它们之间工作进行转换叫做域名解析,而域名解析的服务器就是DNS。而对于DNS欺骗来说,它就是攻击者一种对域名服务器进行冒充的欺骗行为,它可以为目标主机提供错误DNS信息。例如用户在浏览网页时,攻击者把原有的IP地址偷换成攻击者的IP地址,这样的话,用户看到的就不是原有的页面,而是攻击者的页面。DNS服务器能够误导客户引导进入非法服务器,也能够对服务器进行误导使他们相信诈骗IP。
3、基于TCP/IP网络的安全策略
3.1防火墙技术
防火墙是网络访问控制设备,除了有访问权限的资源可以通过,各种没有权限的通信数据都会被拒绝。从层次上来说,防火墙的实现一般包含两种:应用层网关以及报文过滤。报文过滤在防火墙中占据非常核心的地位,它在网络层实现以及过滤器方面发挥非常大的作用,在进行设计的时候对防火墙的访问要尽可能减少。在调用过滤器的时候将被调度到内核中实现执行,服务停止的时候,将会从内核中消除过滤规则,在内核中一切分组过滤功能运行在IP堆栈的深层中。此外,技术实现上还有代管服务器、隔离域名服务器、邮件技术等,都是在内外网上建立一道屏障,对外使得内部的信息得到屏蔽,同时对内进行代理服务的提供。
3.2入侵检测系统
入侵检测技术属于动态安全技术的范畴,通过研究入侵行为的特征及过程,使得安全系统做出实时响应入侵过程能。另外这也属于网络安全研究的非常重要的内容,入侵检测技术可以实现逻辑补偿防火墙技术,是在安全防护技术上属于较为积极主动的,它实时保护外部入侵、内部入侵以及误操作,它能够使得网络系统免遭破坏。入侵检测技术的发展有三个方向:智能化入侵检测、分布式入侵检测以及全面的安全防御方案。
3.3访问控制策略
每个系统都要访问用户是有访问权限的,这样才允许他们访问,这种机制叫做访问控制。访问控制虽然不是直接抵御入侵行为,但在实际网络应用中迫切需要,也是网络防护的一个重要方面。访问控制包括两个方面,一方面是对来自外部的访问进行合法性检查,这类似于防火墙的功能;另一方面是对由内到外的访问做一些目标站点检查,对非法站点的访问进行封锁。在服务器上必须对那些用户可以守护进程以及访问服务进行限制。
结束语
总之,虽然使协议中的存在的安全缺口免遭攻击实现起来很困难,但是科技的发展以及安全技的不断改进,只有对我们的安全体系采用新技术进行完善,TCP/IP协议才会有更安全的明天。才能给TCP/IP网络信息服务安全带来足够的保障。
参考文献
[1]谢希仁.《计算机网络(第5版)》[M] ,电子工业出版社,2012.5.
[2]梁毅.《TCP/IP协议的漏洞和防御》[J], 清华大学出版社,2014.3.
[3]龙东阳.《网络安全技术及应用》[M], 华南理工大学出版社,2012.9 .
[4]张千里.《网络安全新技术》[M], 人民邮电出版社,2013.7.
[5]谢正均.《IP欺骗原理及其对策》 [M],电信快报,2012.5.