tcp-ip協(xié)議安全分析畢業(yè)論文

1、<p>　　TCP/IP協(xié)議安全性分析</p><p>　　摘要：隨著計算機網(wǎng)絡(luò)的迅速發(fā)展，人們?nèi)粘Ｉ钜呀?jīng)開始融進整個網(wǎng)絡(luò)，信息安全問題越來越受到人們的重視，計算機網(wǎng)絡(luò)安全也成為了人們廣泛研究和討論的問題。TCP/IP協(xié)議是目前使用最為廣泛的網(wǎng)絡(luò)互聯(lián)協(xié)議，本文將在詳細分析TCP/IP協(xié)議原理的基礎(chǔ)上，對TCP/IP協(xié)議組的安全性進行全面的剖析，并針對安全漏洞提出防范手段和解決方案，為以后的網(wǎng)絡(luò)安全研究

2、提供參考和幫助。</p><p>　　關(guān)鍵詞：TCP/IP，協(xié)議，安全，網(wǎng)絡(luò)</p><p>　　1，TCP/IP協(xié)議概況</p><p>　　TCP/IP是TCP/IP是Transmission Control Protocol/Internet Protocol的簡寫，中譯名為傳輸控協(xié)議/因特網(wǎng)互聯(lián)協(xié)議，又名網(wǎng)絡(luò)通訊協(xié)議，是Internet最基本的協(xié)議、Inte

3、rnet國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)層的IP協(xié)議和傳輸層的TCP協(xié)議組成。TCP/IP 定義了電子設(shè)備如何連入因特網(wǎng)，以及數(shù)據(jù)如何在它們之間傳輸?shù)臉藴?。TCP/IP協(xié)議通常所指的是TCP/IP協(xié)議族，是一組不同協(xié)議組合一起構(gòu)成的協(xié)議族。協(xié)議采用了4層的層級結(jié)構(gòu)，每一層都呼叫它的下一層所提供的網(wǎng)絡(luò)來完成自己的需求。（圖1-1為TCP/IP協(xié)議族在不同層次的協(xié)議和基本交互情形，圖1-2為TCP/IP協(xié)議族的四個層次）</p>&

4、lt;p>　　圖1-1TCP/IP協(xié)議族的四個層次</p><p>　　圖1-2TCP/IP協(xié)議族在不同層次的協(xié)議和基本交互情形</p><p>　　存在的安全隱患和解決方法</p><p>　　針對ICP/IP協(xié)議族的四層結(jié)構(gòu)，自底向下的分析協(xié)議的安全漏洞并提出相應(yīng)的解決方案。</p><p>　　2.1鏈路層上的攻擊和防范<

5、;/p><p><b>　　網(wǎng)絡(luò)嗅探</b></p><p>　　網(wǎng)絡(luò)接口層是T CP/ IP 網(wǎng)絡(luò)中最復(fù)雜的一個層次, 常見的攻擊是針對組成TCP/ IP 網(wǎng)絡(luò)的以太網(wǎng)進行網(wǎng)絡(luò)嗅探。所謂網(wǎng)絡(luò)嗅探是利用網(wǎng)絡(luò)上的接口接收不屬于本機的數(shù)據(jù)。在以太網(wǎng)中, 所有的通訊都是廣播的, 也就是說在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù), 而每一個網(wǎng)絡(luò)接口都有一個唯

6、一的硬件地址, 這個硬件地址就是網(wǎng)卡的MAC 地址。在網(wǎng)絡(luò)上進行數(shù)據(jù)通信時, 信息以數(shù)據(jù)報的形式傳送, 其報頭包含了目的主機的硬件地址, 只有硬件地址匹配的機器才會接收該數(shù)據(jù)報。然而網(wǎng)絡(luò)上也存在一些能接收所有數(shù)據(jù)報的機器( 或接口) , 稱為雜錯節(jié)點。一般情況下, 用戶帳戶和口令等信息都是以明文的形式在網(wǎng)絡(luò)上傳輸?shù)? 所以一旦被黑客在雜錯節(jié)點上嗅探到, 用戶就可能遭到攻擊, 從而遭受難以彌補的損失。</p><p&g

7、t;　　嗅探有分為下面幾種：</p><p><b>　　本機嗅探.</b></p><p>　　本機嗅探是指在某臺計算機內(nèi)，嗅探程序通過某種方式，獲取發(fā)送給其他進程的數(shù)據(jù)包的過程。例如，當郵件客戶端在收發(fā)郵件時，嗅探程序可以竊聽到所有的交互過程和其中傳遞的數(shù)據(jù)</p><p><b>　　廣播網(wǎng)嗅探</b></p&

8、gt;<p>　　廣播網(wǎng)，一般是基于集線器（HUB）的局域網(wǎng)絡(luò)，其工作原理是基于總線方式的，所有的數(shù)據(jù)包在該網(wǎng)絡(luò)中都會被廣播發(fā)送（即發(fā)送給所有端口）。廣播網(wǎng)的數(shù)據(jù)傳輸是基于“共享”原理的，所有的同一本地網(wǎng)范圍內(nèi)的計算機共同接收到相同的數(shù)據(jù)包。正是因為這樣的原因，以太網(wǎng)卡都構(gòu)造了硬件的“過濾器”，這個過濾器將忽略掉一切和自己無關(guān)的網(wǎng)絡(luò)信息，事實上是忽略掉了與自身MAC 地址不符合的信息。換句話說，在廣播網(wǎng)中，每一個網(wǎng)絡(luò)數(shù)據(jù)包

9、都被發(fā)送到所有的端口，然后由各端口所連接的網(wǎng)卡來判斷是否需要接收，所有目的地址與網(wǎng)卡實際地址不符的數(shù)據(jù)包將被網(wǎng)卡驅(qū)動自動丟棄，這確保了廣播網(wǎng)中每臺主機只接受到以自己為目標的數(shù)據(jù)包。</p><p>　　廣播網(wǎng)嗅探是在廣播網(wǎng)（如HUB 環(huán)境） 中的網(wǎng)絡(luò)嗅探行為。廣播網(wǎng)嗅探利用了廣播網(wǎng)“共享”的通訊方式。在廣播網(wǎng)中所有的網(wǎng)卡都會收到所有的數(shù)據(jù)包，然后再通過自身的過濾器過濾不需要的數(shù)據(jù)包，因此，只要將本機網(wǎng)卡設(shè)為混雜模

10、式，就可以使嗅探工具支持廣播網(wǎng)或多播網(wǎng)的嗅探。廣播嗅探的基本原理如圖2 所示。嗅探器將所處主機的網(wǎng)卡設(shè)為混雜模式，因此可以獲得該廣播網(wǎng)段的所有數(shù)據(jù)</p><p><b>　　基于交換機的嗅探</b></p><p>　　交換機的工作原理與HUB 不同，它不再將數(shù)據(jù)包轉(zhuǎn)發(fā)給所有的端口，而是通過“分組交換”的方式進行單對單的數(shù)據(jù)傳輸。即交換機能記住每個端口的MAC 地址

11、，根據(jù)數(shù)據(jù)包的目的地址選擇目的端口，所以只有對應(yīng)該目的地址的網(wǎng)卡能接收到數(shù)據(jù)。基于交換機的嗅探是指在交換環(huán)境中，通過某種方式進行的嗅探。由于交換機基于“分組交換”的工作模式，因此，簡單的將網(wǎng)卡設(shè)為“混雜”模式并不能夠嗅探到網(wǎng)絡(luò)上的數(shù)據(jù)包，而只能接收本機的數(shù)據(jù)包，因此必須要采用其他的方法來實現(xiàn)基于交換機的嗅探。</p><p><b>　　防御策略：</b></p><p&

12、gt;　　( 1) 網(wǎng)絡(luò)分段: 防止嗅探最有效的手段就是進行合理的網(wǎng)絡(luò)分段, 并在網(wǎng)絡(luò)中使用交換機和網(wǎng)橋, 最理想的情況應(yīng)使每一臺機器都擁有自己的網(wǎng)絡(luò)段, 當然這會相應(yīng)地增加很多網(wǎng)絡(luò)建設(shè)費用, 所以并不現(xiàn)實。可以盡量使相互信任的機器屬于同一個網(wǎng)段, 并在網(wǎng)段與網(wǎng)段間進行硬件屏障, 最大限度地防止嗅探的存在。</p><p>　　( 2) 一次性口令技術(shù): 口令并不在網(wǎng)絡(luò)上傳輸而是在兩端進行字符串的匹配, 客戶端利

13、用從服務(wù)器上得到的Challenge 和自身的口令計算出或從列表中選擇一個新的字符串并返回給服務(wù)器, 而后服務(wù)器利用比較算法進行匹配, 如果匹配, 則允許建立連接, 否則不允許建立連接。所有的Challeng e 和字符串只使用一次, 這樣就從一定程度上限制了網(wǎng)絡(luò)嗅探。</p><p>　　( 3) 加密: 對在網(wǎng)絡(luò)中傳送的敏感數(shù)據(jù)如用戶ID 或口令等進行加密, 一般可以選用SSH、FSSH 等加密手段。<

14、/p><p>　　( 4) 禁用雜錯節(jié)點: 安裝不支持雜錯的網(wǎng)卡可以有效地防止嗅探。</p><p>　　2.2網(wǎng)絡(luò)層上的攻擊和防范</p><p><b>　　ARP欺騙</b></p><p>　　ARP（Address Resolution Protocol，地址解析協(xié)議）是一個位于TCP/IP協(xié)議棧中的低層協(xié)議，負責

15、將某個IP地址解析成對應(yīng)的MAC地址。在每臺主機的cache中都會存在有一張IP-MAC地址對照關(guān)系的表（ARP緩存表）。當源主機要向目的主機發(fā)送數(shù)據(jù)時，源主機會在自己的ARP緩存表中尋找是否有目的主機的地址。如果找到了，也就知道了目的主機的MAC地址，直接把目的主機MAC地址寫入幀里面發(fā)送就可以；如果在ARP緩存表中沒有找到相對應(yīng)的IP地址，源主機就會在網(wǎng)絡(luò)上發(fā)送一個廣播，目標MAC地址是“ff.ff.ff.ff.ff.ff”，這表示

16、向同一網(wǎng)段內(nèi)的所有主機發(fā)出詢問：“192.168.1.2的MAC地址是什么？”網(wǎng)絡(luò)上其他主機并不響應(yīng)ARP詢問，只有目的主機接收到這個幀時，才向源主機做出回應(yīng)，并告訴源主機自己的MAC地址。源主機就知道了目標主機的MAC地址，它就可以向目的主機發(fā)送信息。同時源主機還更新了自己的ARP緩存表，下次再向目的主機發(fā)送信息時，直接從ARP緩存表里查找就可以了。而由于源主機發(fā)送的IP包沒有包括目的主機的MAC地址，而在ARP緩存表中又沒有目的&l

17、t;/p><p>　　ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為兩種：一，對路由器ARP緩存表的欺騙；二，對內(nèi)網(wǎng)PC的網(wǎng)關(guān)的欺騙。第一種欺騙是截獲網(wǎng)關(guān)的數(shù)據(jù)。它通知路由器一些列錯誤的內(nèi)網(wǎng)MAC地址，由于ARP緩存表的生命周期一般只有2～3分鐘。它會按照一定的頻率不斷的進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種欺騙你的原理是

18、偽造網(wǎng)關(guān)。它的原理是建立假的網(wǎng)關(guān)，讓它氣派你的PC向假的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，而不是通過正常的路由上網(wǎng)。在PC看來，就是上不了網(wǎng)了。</p><p><b>　　防御策略：</b></p><p>　　ARP欺騙是因為ARP協(xié)議的本身的不完善。要解決ARP欺騙必須在局域網(wǎng)內(nèi)的通信雙方之間建立可以信任的驗證體系。為了防范ARP欺騙的攻擊，我們給出了如下的防御建議：</p&

19、gt;<p>　　做好IP-MAC地址的綁定工作（將IP地址與MAC地址綁定），在交換機和客戶機都要綁定。</p><p>　　設(shè)置靜態(tài)的MAC地址---IP對應(yīng)表。不要讓主機刷新你設(shè)定好的轉(zhuǎn)換表。</p><p>　　如果情況特殊，可以停止使用ARP，將ARP做為永久條目表存在對應(yīng)表中。</p><p>　　使用ARP服務(wù)器。通過ARP服務(wù)器查找自己

20、的ARP轉(zhuǎn)換表來響應(yīng)其他機器的ARP廣播。但是必須卻保ARP服務(wù)器不被黑。</p><p>　　使用硬件地址屏蔽主機。設(shè)置好你的路由，確保IP地址到達合法的路徑。</p><p>　　管理員定期輪查，檢查主機上ARP緩存。</p><p><b>　　● 路由欺騙</b></p><p>　　每一個IP 數(shù)據(jù)報都是在主機

21、的網(wǎng)絡(luò)層被檢查, 用以決定是轉(zhuǎn)發(fā)給同一子網(wǎng)中的主機還是下一個路由器。路由欺騙有好幾種方法, 但都是采用偽造路由表, 錯誤引導(dǎo)非本地的數(shù)據(jù)報實現(xiàn)。</p><p>　　( 1) 基于源路由的攻擊</p><p>　　一般情況下, IP 路由過程中是由路由器來動態(tài)決定下一個驛站的。但是在T CP/ IP 協(xié)議中, IP 數(shù)據(jù)報為進行測試而直接設(shè)置了一個選項: IP Source Rut ing

22、 。該選項可以使發(fā)送者直接選擇源路由, 所以攻擊者可以利用這個選項, 通過IP 欺騙的方式, 構(gòu)造一個通往服務(wù)器的直接路徑, 從而對服務(wù)器展開攻擊。</p><p>　　( 2) 基于RIP 的攻擊</p><p>　　現(xiàn)代計算機網(wǎng)絡(luò)通常使用動態(tài)路由算法. RIP 協(xié)議是為了對局域網(wǎng)中的節(jié)點提供一致路由選擇和可達性信息而設(shè)計的。但是T CP/ IP 協(xié)議并未要求各節(jié)點檢查收到信息的真實性,

23、 因此攻擊者可以通過使用RIP 特權(quán)主機的520 端口廣播假的路由信息以達到欺騙的目的。</p><p>　　( 3) 基于ICMP 的攻擊</p><p>　　當一個源數(shù)據(jù)報必須發(fā)給另一個路由器時, 當前的路由器會給此源發(fā)送一個ICMP 重定向錯誤信息。這樣, 當源主機收到此信息時會更新路由表。所以通過發(fā)送非法的ICMP 回應(yīng)信息就可以進行路由欺騙。</p><p&g

24、t;<b>　　防御策略：</b></p><p>　?。?）防止源路由欺騙的方法主要有2 種: 一種是通過檢測本機的常駐數(shù)據(jù), 查看此信息是否來自于合法的路由器,防止路由欺騙。另一種是通過在服務(wù)器的網(wǎng)絡(luò)中禁用相關(guān)的路由來防止這種攻擊。</p><p>　　（2）防止RIP 攻擊的方法是禁止路由器被動使用RIP 和限制被動使用RIP 的范圍。</p>&

25、lt;p>　　（3）對于ICMP攻擊, 最好的辦法就是拒絕網(wǎng)絡(luò)上所有的ICMP 回應(yīng)。</p><p>　　2.3運輸層上的攻擊和防范</p><p><b>　　IP欺騙</b></p><p>　　在TCP/IP協(xié)議中，IP地址是用來作為網(wǎng)絡(luò)節(jié)點的唯一標識。協(xié)議根據(jù)IP頭中目的地址來發(fā)送IP數(shù)據(jù)包。在IP路由IP包時，對IP頭中提供的

26、源地址不做任何的檢查。并且認為IP頭中的源地址即為發(fā)送該包的機器的IP地址，這樣，黑客就可以直接修改節(jié)點的IP地址，冒充某個可信節(jié)點的IP地址給你攻擊。下面我看一下IP欺騙的過程（假設(shè)B上的客戶運行rlogin與A上的rlogin通信, 遠程登錄（rlogin）是一個 UNIX 命令，它允許授權(quán)用戶進入網(wǎng)絡(luò)中的其它 UNIX 機器并且就像用戶在現(xiàn)場操作一樣）。</p><p>　?。?）B發(fā)送帶有數(shù)據(jù)序列的SYN

27、（SYN是TCP/IP建立連接時使用的握手信號）標志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報頭中的SYN設(shè)置成自己本次連接的初始值ISN.</p><p>　?。?）A回傳給B一個帶有SYN+ACK（數(shù)據(jù)確認標志）的數(shù)據(jù)段，告之自己的ISN，并確認B發(fā)送的第一個數(shù)據(jù)段，將ACK設(shè)置成B的ISN+1。</p><p>　?。?）B確認收到A的SYN+ACK數(shù)據(jù)包，將ACK設(shè)置成ISN+

28、1。</p><p>　?。?）A收到B的ACK后，連接成功建立，雙方可以傳送數(shù)據(jù)了。</p><p>　　看了上面的過程?？梢灾溃尤胍俺銪對A攻擊，就要先使用B的IP地址發(fā)送SYN的標志給A，但是當A收到后，它并不會把SYN+ACK發(fā)送到我們的主機，而是發(fā)送到真正的B上去，但是事實上B根本沒有發(fā)過SYN請求。所有如果要冒充B，首先應(yīng)該讓B失去工作能力。這就要使用另一種攻擊—拒絕服務(wù)

29、攻擊，讓B癱瘓。</p><p>　　然而這還不夠，最難的是要對A進行攻擊，必須知道A使用的ISN。TCP使用的ISN是一個32位的計數(shù)器，從0到4294967295。TCP為每一個連接選擇一個初始序號ISN，為了防止因為延遲、重傳等擾亂“三次握手”，ISN不能隨便選取，不同的系統(tǒng)有不同的算法。知道TCP如何分配ISN以及ISN隨時間變化的規(guī)律，對于成功的進行 欺騙攻擊很重要。ISN每秒增加128000，如果有連

30、接出現(xiàn)，每次連接將把計數(shù)器的數(shù)值增加64000。很顯然，這使得用于表示ISN的32位計數(shù)器在沒有連接的情況下每9．32小時復(fù)位～ 次。之所以這樣，是因為它有利于最大限度地減少“舊有”連接的信息干擾當前連接的機會。如果初始序列號是隨意選擇的，那么不能保證現(xiàn)有序列號是不同于先前的。假設(shè)有這樣一種情況，在一個路由回路中的數(shù)據(jù)包最終跳出了循環(huán)，回到了“舊有”的連接，顯然這會對現(xiàn)有連接產(chǎn)生干擾。</p><p>　　預(yù)測出

31、攻擊目標的序列號非常困難，而且各個系統(tǒng)也不相同，在某些系統(tǒng)(如Berkeley)中，最初的序列號變量由一個常數(shù)每秒加1產(chǎn)生，等加到這個常數(shù)的一半時，就開始一次連接。這樣，如果開始了一個合法連接，并觀察到一個ISN正在使用，便可以進行預(yù)測，而且這樣做有很高的可信度?，F(xiàn)在我們假設(shè)使用某一種方法，能預(yù)測出ISN。在這樣情況下，就可以將ACK序號送給主機A，這時連接就建立了。</p><p><b>　　防御策

32、略：</b></p><p>　　禁止建立基于IP地址的信任關(guān)系，不采用使用源地認證服務(wù)系統(tǒng)，而是采用基于密碼認證機制。IP之所以能實現(xiàn)因為目標主機有信任的主機可供黑客冒充。因此只要沒有信任的對象，就能徹底的杜絕IP欺騙。在unix上面可以禁止r類遠程調(diào)用命令的使用;刪除.rhosts文件；清空/etc/hosts.equiv文件。這將迫使用戶使用其他的遠程通信手段。如telnet,ssh,shey等

33、等。</p><p>　　使用加密方法：在包發(fā)送到網(wǎng)絡(luò)之前，我們可以對它進行加密。雖然</p><p>　　在路由器上進行過濾，監(jiān)控通過路由器的數(shù)據(jù)包，如果發(fā)現(xiàn)數(shù)據(jù)包的源IP和目的IP地址都是本地域的地址，就可以肯定有人試圖要攻擊系統(tǒng)。因為同一個域中的通信是不需要路由器的。</p><p>　　2.4應(yīng)用層上的攻擊和防范</p><p>&l

34、t;b>　　DNS欺騙</b></p><p>　　當主機需要將一個域名轉(zhuǎn)化為IP 地址時, 它會向DNS 服務(wù)器發(fā)送一個查詢請求; 同樣, 把IP 地址轉(zhuǎn)化為域名時會發(fā)送一個反查詢請求. 這樣一旦DNS 服務(wù)器中數(shù)據(jù)被破壞, DNS 欺騙就會產(chǎn)生. 網(wǎng)絡(luò)上的主機都信任DNS 服務(wù)器, 所以一個被破壞的DNS 服務(wù)器可以將客戶引導(dǎo)到非法服務(wù)器, 也可欺騙服務(wù)器相信某個IP 地址是被信任客戶。&l

35、t;/p><p>　　首先我看一些DNS協(xié)議的特點：</p><p>　　(1) DNS 報文只使用一個序列號來進行有效性鑒別，序列號由客戶程序設(shè)置并由服務(wù)器返回結(jié)果，客戶程序通過它來確定響應(yīng)與查詢是否匹配，這就引入了序列號攻擊的危險;</p><p>　　(2) 在DNS 應(yīng)答報文中可以附加信息，該信息可以和所請求的信息沒有直接關(guān)系，這樣，攻擊者就可以在應(yīng)答中隨意添加

36、某些信息，指示某域的權(quán)威域名服務(wù)器的域名及IP，導(dǎo)致在被影響的域名服務(wù)器上查詢該域的請求都會被轉(zhuǎn)向攻擊者所指定的域名服務(wù)器上去，從而對網(wǎng)絡(luò)的完整性構(gòu)成威脅; </p><p>　　(3) DNS的高速緩存機制，當一個域名服務(wù)器收到有關(guān)域名和IP的映射信息時，它會將該信息存放在高速緩存中，當再次遇到對此域名的查詢請求時就直接使用緩存中的結(jié)果而無需重新查詢。</p><p>　　針對DNS協(xié)議

37、存在的安全缺陷，目前可采用DNS 欺騙技術(shù)有：</p><p><b>　?。?）內(nèi)應(yīng)攻擊。</b></p><p>　　攻擊者在非法或合法地控制一臺DNS 服務(wù)器后，可以直接操作域名數(shù)據(jù)庫，修改指定域名所對應(yīng)的IP 為自己所控制的主機IP。于是，當客戶發(fā)出對指定域名的查詢請求后，將得到偽造的IP 地址。</p><p>　?。?） 序列號攻擊

38、。</p><p>　　DNS協(xié)議格式中定義了序列號ID是用來匹配請求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)報，客戶端首先以特定的ID向 DNS服務(wù)器發(fā)送域名查詢數(shù)據(jù)包，在DNS服務(wù)器查詢之后以相同的ID號給客戶端發(fā)送域名響應(yīng)數(shù)據(jù)包。這時客戶端會將收到的DNS響應(yīng)數(shù)據(jù)包的ID和自己發(fā)送的查詢數(shù)據(jù)包ID相比較，如果匹配則表明接收到的正是自己等待的數(shù)據(jù)報，如果不匹配則丟棄之。利用序列號進行DNS欺騙的關(guān)鍵是偽裝DNS服務(wù)器向客戶端發(fā)送DN

39、S 響應(yīng)數(shù)據(jù)包，并在DNS服務(wù)器發(fā)送的真實DNS響應(yīng)數(shù)據(jù)報之前到達客戶端，從而使客戶端DNS緩存中查詢域名所對應(yīng)的IP就是攻擊者偽造的IP，因此將客戶端帶到攻擊者所希望的網(wǎng)站。其欺騙的前提條件是攻擊者發(fā)送的DNS響應(yīng)數(shù)據(jù)包ID必須匹配客戶的DNS查詢數(shù)據(jù)包ID。</p><p>　　在實際欺騙攻擊中，利用序列號進行DNS欺騙可分兩種情況：第一，當攻擊者與DNS服務(wù)器、本地主機與客戶端主機均不在同一個局域網(wǎng)內(nèi)時,攻

40、擊者可以向客戶端主機隨機發(fā)送大量DNS響應(yīng)數(shù)據(jù)報，其中序列號是任意給定的，因此序列號和客戶端查詢報文序列號匹配的概率很低； 第二，當攻擊者至少與DNS服務(wù)器或客戶端主機中的某一個處在同一個局域網(wǎng)內(nèi)時，對于共享式以太網(wǎng)攻擊者可以通過嗅探得到DNS查詢報文的序列號，對于交換式以太網(wǎng)攻擊者就需要通過ARP欺騙獲取DNS查詢報文序列號。</p><p><b>　　防御策略</b></p>

41、;<p>　　使用IP登錄當然可以有效防御DNS欺騙，這種方法雖然有效，但是不現(xiàn)實。</p><p>　　對高速緩存加以限制。</p><p>　　加密所有對外的數(shù)據(jù)流。使用SSL之類的加密技術(shù)，即使被攻擊，難度也會加大。</p><p><b>　　ftp服務(wù)</b></p><p>　　FTP服務(wù)已廣泛

42、用于internet的連接．對于文件傳輸來說，它明顯優(yōu)于其它協(xié)議，但是它提供一種“代理”機制，允許客戶在兩臺FTP服務(wù)器之間建立一個控制連接，進行文件傳輸．這將造成一種著名的網(wǎng)絡(luò)攻擊THE BOUNCE攻擊．同時FTP服務(wù)器允許無限制輸入口令，故會造成強迫口令破解攻擊．而FrP服務(wù)規(guī)范使用明文傳輸數(shù)據(jù)和控制命令，這也將造成安全隱患．</p><p><b>　　常有的攻擊方法：</b><

43、;/p><p>　?。?）THEBOONCE攻擊</p><p>　　針對FTP服務(wù)標準．攻擊者可以使用FTP“代理”機制．送一個包含網(wǎng)絡(luò)地址和被攻擊服務(wù)器端口號的FTP端口命令到一臺FrP服務(wù)器，這時，攻擊者就可以利用第三臺FTp服務(wù)器去攻擊其它客戶或服務(wù)器。并且很難被追蹤．例如：一個客戶上傳一個包含SMTP命令的文件到一個FTP服務(wù)器，然后利用一個適當?shù)亩丝诿钪甘痉?wù)器打開第三個機器的S

44、MTP端口．最后。客戶指示服務(wù)器傳送包含SMTP命令的文件到第三個機器．這時．客戶就可以在第三個機器上偽造郵件而不是直接使用本機連接</p><p>　?。?）口令強迫破解攻擊</p><p>　　由于FTP服務(wù)器允許無限制輸入口令．故攻擊者可以編寫一個程序，使其自動循環(huán)從口令字典里取單詞強迫猜測用戶口令，直到獲得口令，進而攻擊服務(wù)器”。</p><p><b

45、>　　端口偷竊</b></p><p>　　許多開放系統(tǒng)分發(fā)動態(tài)端口號給增加的命令．依靠一個合法的傳輸。攻擊者可以觀測到服務(wù)器分發(fā)端口號的流動并猜測下一個將分配的端口，攻擊者可制造一個連接到這個端口以拒絕另一個合法用戶的連接能力．由于FTP服務(wù)使用明文傳輸文件．所以攻擊者可偷竊合法用戶的文件或加入偽造的文件到—個經(jīng)過驗證的客戶的數(shù)據(jù)流.</p><p><b>

46、　　防御策略：</b></p><p>　?。?）建立口令、用戶名保護機制為防止口令被強迫破解，首先應(yīng)限制送入正確口令前的輸入次數(shù)，在3～5次后關(guān)閉和客戶的連接·其次，可采取在錯誤口令輸入回復(fù)時加入幾秒延遲，以降低破解攻擊效率．采取這兩種方法提高了FTP服務(wù)器的安全性，但是卻很可能造成對合法用戶的拒絕服務(wù)攻擊．這就需要對用戶名也加以保護．我們可以采用在使用錯誤用戶名登錄三次后，拒絕使用此用戶

47、名硬件地址再次登錄服務(wù)器以防止攻擊者造成合法用戶的拒絕服務(wù)．對于口令、用戶名保護更好的方法還是建立在身份認證基礎(chǔ)上的動態(tài)口令機制．動態(tài)口令是單向散列函數(shù)理論的擴展——報文摘要理論及技術(shù)的應(yīng)用．當一個用戶在FTP服務(wù)器上首次注冊時，系統(tǒng)分配給用戶一個種子值一個迭代值，這兩個值就構(gòu)成一個原始口令，同時在服務(wù)器上還保留用戶自己知道的通行短語．當客戶和服務(wù)器連接時，客戶蠟和服務(wù)器端分別利用MIM或MD5散列算法和通行短語計算本次口令．這樣，就形

48、成了交叉信任關(guān)系，更好的提高了口令的安全性。</p><p>　?。?）限制FTP的TCP端口數(shù)據(jù)連接FTp規(guī)范假定數(shù)據(jù)連接依靠TCP協(xié)議。TCP端口0—1023保留給已知的服務(wù)．例如，郵件服務(wù)、網(wǎng)絡(luò)新聞、WWW服務(wù)、FTP服務(wù)等．為避免THEBONUCE攻擊這些已知服務(wù)，應(yīng)該使服務(wù)器不能打開低于1024號TCP數(shù)據(jù)端口的數(shù)據(jù)連接，當接到低于1024 TCP端口號的端口命令。應(yīng)返回504信息(命令不能實現(xiàn))。&l

49、t;/p><p>　?。?）建立數(shù)字授權(quán)、數(shù)字驗證、數(shù)字簽名機制使用限制低于102．4號TCP端口數(shù)據(jù)連接雖然能防止利用THE BOUNCE攻擊攻擊已知服務(wù)，但是卻不能防范高于1023號TCP端口的服務(wù)．使用禁止端口命令。卻又失去了FTP“代理”功能，而這種功能在慢速連接的環(huán)境中又很有用．對于這種情況，如果我們知道是誰在使用這種“代理機制”，就可以解決這個問題．故限制訪問的方法可解決這個問題，可是目前的限制訪問是建立

50、在網(wǎng)絡(luò)地址的基礎(chǔ)上，這樣就可能遭受基于IP地址欺騙的攻擊，所以需要建立數(shù)字授權(quán)、數(shù)字驗證、數(shù)字簽名機制作為限制訪問的基礎(chǔ)．首先由數(shù)字授權(quán)服務(wù)器向用戶發(fā)放數(shù)字證書。當用戶向FTP服務(wù)器發(fā)連接請求時，F(xiàn)TP服務(wù)器先對連接進行數(shù)字驗證。根據(jù)結(jié)果判斷用戶的訪問權(quán)限及記錄，對服務(wù)器和客戶通信內(nèi)容加數(shù)字簽名以防lP欺騙或端口偷竊。</p><p>　?。?）對需保密內(nèi)容使用數(shù)據(jù)加密機制由于FTP規(guī)范使用明文傳輸，當攻擊者使用

51、端口偷竊時．將可能造成文件失密．故可對需加密文件使用公鑰加密體制，這樣就充分保障了傳輸?shù)奈募目煽啃?．對于匿名FTP服務(wù)的安全考慮匿名FTP服務(wù)指的是對用戶使用最少的驗證就可使其訪問公共數(shù)據(jù)區(qū)．對于這種用戶一定要嚴格限制其訪問權(quán)限．并必須禁止使用FTP“代理”機制．其次還包含：(I)確保擁有最新的FTPdaemon／服務(wù)器皈本．(2)設(shè)定FTP目錄時。匿名FTP根目錄“～Rp，|和其下級目錄不屬m帳戶所有，或根本不在同一組內(nèi)．(3)只

52、有root擁有VFP根目錄及其下級目錄．(4)文件和庫，包含F(xiàn)TPdaemon使用的和；fE～fip／bin和-fi'p／etc下的文件和庫也應(yīng)象FTP根目錄一樣保護．(5)-ttp／etc／passwd文件中不應(yīng)包含系統(tǒng)的／etc／passwd文件中已有的帳戶名和加密口令．(6)不允許匿名用戶編寫耳錄或文件．(7)永遠不要把系統(tǒng)文件放在～fcp／etc目錄下． </p><p><b>　　3

53、，結(jié)束語</b></p><p>　　通過以上對TCP/IP協(xié)議族的安全性的分析。讀者對于TCP/IP整體的安全狀況應(yīng)該有一定了解。希望能給讀者的研究或?qū)W習(xí)有所幫助。</p><p><b>　　4，參考文獻：</b></p><p>　　[1]W.Pichard Stevens.TCP/IP詳解卷一：協(xié)議.機械工業(yè)出版社.2012

54、-05.</p><p>　　[2]Charles M.Koierok.TCP/IP指南(卷一)底層協(xié)議.人民郵電大學(xué)出版社..2008-05</p><p>　　[3]劉捷,張琦.ARP欺騙的防御策略.技術(shù)探討</p><p>　　[4]DOUGLAS E.COMER AND DAVID L.STEVENS.用TCP/IP進行網(wǎng)際互聯(lián).電子工業(yè)出版社.1998&l

55、t;/p><p>　　[5]孔旭影等.計算機網(wǎng)絡(luò)實用技術(shù).電子工業(yè)出版社.2000</p><p>　　[6]DNS欺騙攻擊的檢測和防范--《計算機工程》2006年21期</p><p>　　[7]賀龍濤，方濱興，胡銘曾; 主動監(jiān)聽中協(xié)議欺騙的研究； 通信學(xué)報;2003.11</p><p>　　[8]任俠，呂述望; ARP協(xié)議欺騙原理分析與抵御

56、方法； 計算機工程;2003.6</p><p>　　[9]李耀疆.聚焦黑客-攻擊手段與防護策略.北京:人民郵電出版社.2002</p><p>　　[10謝希仁. 計算機網(wǎng)絡(luò)( 第2 版) . 北京: 電子工業(yè)出版社, 1999.</p><p>　　[11]楊路;林麟信息安全身份認證中的動態(tài)口令電子令牌技術(shù)[期刊論文]-信息網(wǎng)絡(luò)安全 2001</p>