網(wǎng)絡(luò)系統(tǒng)管理畢業(yè)論文---tcpip協(xié)議的安全性研究

1、<p>　　專 科 畢 業(yè) 論 文</p><p>　　論 文 題 目：TCP\IP協(xié)議的安全性研究</p><p>　　年 級 專 業(yè)： 09網(wǎng)絡(luò)系統(tǒng)管理 </p><p>　　學(xué) 生 姓 名： </p><p>　　學(xué) 號： 0905107002

2、 </p><p>　　指 導(dǎo) 教 師： </p><p>　　評 閱 教 師： </p><p>　　完 成 日 期： 2012.5.30 </p><p>　　TCP\IP協(xié)議的安全性研究</p><

3、p><b>　　摘 要</b></p><p>　　隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全問題越來越受到國家的關(guān)注，網(wǎng)絡(luò)安全已經(jīng)成為計算機網(wǎng)絡(luò)通信領(lǐng)域的重點。這篇論文的從目前使用的TCP/IP協(xié)議入手來研究問題，從TCP/IP協(xié)議的安全性進行較為全面的解析，從TCP/IP的總體概括、現(xiàn)在存在安全隱患、以及各個層次之間安全問題進行了比較深入的討論。然后用現(xiàn)在最為流行的Snifer工具從

4、實驗的角度上來分析數(shù)據(jù)包的安全情況，最后從SYN的攻擊代碼來分析TCP/IP協(xié)議，并且實現(xiàn)了幾種防御SYN的方法。</p><p>　　本文在介紹因特網(wǎng)中使用的TCP/IP協(xié)議的基礎(chǔ)上，對TCP/IP協(xié)議的安全性進行了較為全面的討論，從理論上分析了協(xié)議中幾種主要的安全隱患。由于TCP/IP協(xié)議一開始的實現(xiàn)主要目的是用于科學(xué)研究的，所以很少考慮安全性方面的東西。但隨著其應(yīng)用的普及，它已經(jīng)成為了Internet網(wǎng)絡(luò)通

5、信協(xié)議的標(biāo)準(zhǔn)。希望本論文能對未來的信息社會中網(wǎng)絡(luò)安全環(huán)境的形成有所幫助。</p><p>　　關(guān)鍵詞：TCP / IP協(xié)議，安全協(xié)議，服務(wù)，協(xié)議層</p><p><b>　　，</b></p><p>　　TCP \ IP protocol security research </p><p>　　Name: Shen

6、 diaqiang</p><p>　　Major: Network management system</p><p>　　Tutor: Ren lifeng</p><p><b>　　Abstract </b></p><p>　　With the development of computer network t

7、echnology, information security is becoming more and more national attention, network security has become the focus in the field of computer network communication. This paper from the currently used TCP / IP protocol to

8、study problems, from the TCP / IP protocol security carries on a more comprehensive analysis, from the TCP / IP is overall and wraparound, now hidden safety problems, as well as various levels between safety issues more

9、in-depth discussio</p><p>　　Based on the introduction of the Internet using TCP / IP protocol based on TCP / IP protocol, the security to undertake relatively comprehensive discuss, from theoretic analysis p

10、rotocol in several major security hidden danger. Because the TCP / IP protocol at the start of the implementation is mainly used for scientific research, so rarely consider the security aspects. But with its application,

11、 it has already become a Internet network communication protocol standard. Hope this thesis could in </p><p>　　Key Words：TCP / IP protocol；security protocol；service；protocol layer</p><p><b&g

12、t;　　目 錄</b></p><p><b>　　摘 要I</b></p><p>　　AbstractII</p><p>　　1 TCP/IP協(xié)議概述1</p><p>　　1.1 TCP/IP協(xié)議定義1</p><p>　　1.2 TCP/IP協(xié)議的主要特

13、點2</p><p>　　1.3 TCP/IP協(xié)議的總體概況2</p><p>　　2 各協(xié)議層存在的安全漏洞3</p><p>　　2.1 鏈路層存在的安全漏洞3</p><p>　　2.2 網(wǎng)絡(luò)層漏洞4</p><p>　　2.3 IP漏洞4</p><p>　　2.4 ARP

14、欺騙4</p><p>　　2.5 路由欺騙5</p><p>　　2.6 DNS欺騙5</p><p>　　2.7 攔截TCP連接5</p><p>　　2.8 使用TCP/SYN報文段淹沒服務(wù)器5</p><p>　　3 關(guān)于TCP/IP協(xié)議族存在的脆弱性剖析6</p><p>

15、;　　3.1 TCP/IP協(xié)議族存在脆弱性6</p><p>　　3.2 應(yīng)用服務(wù)不容樂觀7</p><p>　　3.2.1 文件傳輸協(xié)議7</p><p>　　3.2.1 Web服務(wù)7</p><p>　　3.3 提高網(wǎng)絡(luò)可信度8</p><p>　　4 TCP/IP狀態(tài)轉(zhuǎn)移8</p>&l

16、t;p>　　4.1 TCP狀態(tài)轉(zhuǎn)移圖和定時器8</p><p>　　4.2 網(wǎng)絡(luò)入侵方式9</p><p>　　4.2.1 偽造IP地址9</p><p>　　4.2.2 TCP狀態(tài)轉(zhuǎn)移的問題10</p><p>　　4.2.3 定時器問題11</p><p>　　4.3 利用網(wǎng)絡(luò)監(jiān)控設(shè)備觀測網(wǎng)絡(luò)入侵

17、12</p><p>　　4.3.1 偽造IP地址12</p><p>　　4.3.2 虛假狀態(tài)轉(zhuǎn)移12</p><p><b>　　結(jié) 論14</b></p><p><b>　　參考文獻：15</b></p><p><b>　　致 謝1

18、6</b></p><p><b>　　1</b></p><p>　　1 TCP/IP協(xié)議概述</p><p>　　1.1 TCP/IP協(xié)議定義</p><p>　　協(xié)議是互相通信的計算機雙方必須共同遵從的一組約定。TCP/IP（傳輸控制協(xié)議/網(wǎng)際協(xié)議）就是這樣的約定，它規(guī)定了計算機之間互相通信的方法。T

19、CP/IP是為了使接入因特網(wǎng)的異種網(wǎng)絡(luò)、不同設(shè)備之間能夠進行正常的數(shù)據(jù)通訊，而預(yù)先制定的一簇大家共同遵守的格式和約定。該協(xié)議是美國國防部高級研究計劃署為簡歷ARPANET開發(fā)的，在這個協(xié)議集中，兩個最知名的協(xié)議就是傳輸控制協(xié)議（TCP, Transfer Contorl Protocol）和網(wǎng)際協(xié)議（IP，Internet Protocol），故而整個協(xié)議集被稱為TCP/IP。之所以說TCP/IP是一個協(xié)議簇，是因為TCP/IP包括了T

20、CP、IP、UDP、ICMP、RIP、TELNET、FTP、SMTP、ARP等許多協(xié)議，對因特網(wǎng)中主機的尋址方式、主機的命名機制、信息的傳輸規(guī)則，以及各種各樣的服務(wù)功能均做了詳細(xì)約定，這些約定一起稱為TCP/IP。</p><p>　　TCP/IP協(xié)議和開放系統(tǒng)互連參考模型一樣，是一個分層結(jié)構(gòu)。協(xié)議的分層使得各層的任務(wù)和目的十分明確，這樣有利于軟件編寫和通信控制。TCP/IP協(xié)議分為4層，由下至上分別是網(wǎng)路接口層

21、、網(wǎng)際層、傳輸層和應(yīng)用層，如圖1-1所示</p><p>　　圖1-1 TCP/IP 協(xié)議層次圖</p><p>　　1.2 TCP/IP協(xié)議的主要特點 </p><p>　?。?）開放的協(xié)議標(biāo)準(zhǔn)，可以免費使用，并且獨立于特定的計算機硬件與操作系統(tǒng)；</p><p>　?。?）獨立于特定的網(wǎng)絡(luò)硬件，可以運行在局域網(wǎng)、廣域網(wǎng)，更適用于

22、互聯(lián)網(wǎng)中；</p><p>　　（3）統(tǒng)一的網(wǎng)絡(luò)地址分配方案，使得整個TCP/IP設(shè)備在網(wǎng)中都具有惟一的地址； </p><p>　?。?）標(biāo)準(zhǔn)化的高層協(xié)議，可以提供多種可靠的用戶服務(wù)。 </p><p>　　1.3 TCP/IP協(xié)議的總體概況</p><p>　　目前在Internet上使用的是TCP/IP協(xié)議。TCP/IP協(xié)議叫做傳

23、輸控制/網(wǎng)際協(xié)議，它是Internet國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。TCP/IP是網(wǎng)絡(luò)中使用的基本的通信協(xié)議。其中IP(Internet Protocol)全名為"網(wǎng)際互連協(xié)議"，它是為計算機網(wǎng)絡(luò)相互連接進行通信而設(shè)計的協(xié)議。TCP(Transfer Control Protocol)是傳輸控制協(xié)議。TCP/IP協(xié)議是能夠使連接到網(wǎng)上的所有計算機網(wǎng)絡(luò)實現(xiàn)相互通信的一套規(guī)則，正是因為有了TCP/IP協(xié)議,因特網(wǎng)才得以迅速發(fā)展成為

24、世界上最大的、開放的計算機通信網(wǎng)絡(luò)。</p><p>　　從表面名字上看TCP/IP包括兩個協(xié)議，傳輸控制協(xié)議(TCP)和互聯(lián)網(wǎng)際協(xié)議(IP)，其實TCP/IP實際上是1組協(xié)議的集合，它包括了上百個各種功能的協(xié)議。如：遠(yuǎn)程登錄、文件傳輸和電子郵件等等，而TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€基本的重要協(xié)議。IP協(xié)議之所以能使各種網(wǎng)絡(luò)互聯(lián)起來是由于它把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“IP數(shù)據(jù)報”格式，這種轉(zhuǎn)換是因

25、特網(wǎng)的一個最重要的特點。所以IP協(xié)議使各種計算機網(wǎng)絡(luò)都能在因特網(wǎng)上實現(xiàn)互通,即具有“開放性”的特點。TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包(datagram)。TCP協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個數(shù)據(jù)包，并給每個數(shù)據(jù)包加上包頭，包頭上有相應(yīng)的編號，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來的格式，IP協(xié)議在每個包頭上還要加上接收端主機地址，這樣數(shù)據(jù)通過路由器中的MAC地址來確定數(shù)據(jù)的流向，如果傳輸過程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù)失真等情況，TCP協(xié)議會自動

26、要求數(shù)據(jù)重新傳輸，并重新組。.總之，IP協(xié)議保證數(shù)據(jù)的傳輸，而TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的4層結(jié)構(gòu)：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、接口層。</p><p>　　2 各協(xié)議層存在的安全漏洞</p><p>　　2.1 鏈路層存在的安全漏洞</p><p>　　我們知道，在以太網(wǎng)中，信道是共享的，任何主機發(fā)送的每一個以太網(wǎng)幀

27、都會到達別的與該主機處于同一網(wǎng)段的所有主機的以太網(wǎng)接口，一般地，CSMA/CD協(xié)議使以太網(wǎng)接口在檢測到數(shù)據(jù)幀不屬于自己時，就把它忽略，不會把它發(fā)送到上層協(xié)議（如ARP、RARP層或IP層）。如果我們對其稍做設(shè)置或修改，就可以使一個以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。例如有的實現(xiàn)可以使用雜錯接點，即能接收所有數(shù)據(jù)幀的機器節(jié)點。解決該漏洞的對策是：網(wǎng)絡(luò)分段、利用交換器，動態(tài)集線器和橋等設(shè)備對數(shù)據(jù)流進行限制、加密（采用一次性口令技術(shù)）和禁用雜錯接

28、點。</p><p><b>　　2.2 網(wǎng)絡(luò)層漏洞</b></p><p>　　幾乎所有的基于TCP/IP的機器都會對ICMP echo請求進行響應(yīng)。所以如果一個敵意主機同時運行很多個ping命令向一個服務(wù)器發(fā)送超過其處理能力的ICMP echo請求時，就可以淹沒該服務(wù)器使其拒絕其他的服務(wù)。另外，ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而

29、可以在被攻擊系統(tǒng)中開后門進行方便的攻擊，如收集目標(biāo)上的信息并進行秘密通信等。解決該漏洞的措施是拒絕網(wǎng)絡(luò)上的所有ICMP echo響應(yīng)。</p><p><b>　　2.3 IP漏洞</b></p><p>　　IP包一旦從網(wǎng)絡(luò)中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄它或到達目標(biāo)端后，才被使用。這使得一個主機可以使用別的主機的IP地址發(fā)送

30、IP包，只要它能把這類IP包放到網(wǎng)絡(luò)上就可以。因而如果攻擊者把自己的主機偽裝成被目標(biāo)主機信任的友好主機，即把發(fā)送的IP包中的源IP地址改成被信任的友好主機的IP地址，利用主機間的信任關(guān)系（Unix網(wǎng)絡(luò)軟件的開發(fā)者發(fā)明的術(shù)語）和這種信任關(guān)系的實際認(rèn)證中存在的脆弱性（只通過IP確認(rèn)），就可以對信任主機進行攻擊。注意，其中所說的信任關(guān)系是指一個被授權(quán)的主機可以對信任主機進行方便的訪問。所有的r*命令都采用信任主機方案，所以一個攻擊主機把自己的

31、IP改為被信任主機的IP，就可以連接到信任主機并能利用r*命令開后門達到攻擊的目的。解決這個問題的一個辦法是，讓路由器拒絕接收來自網(wǎng)絡(luò)外部的IP地址與本地某一主機的IP地址相同的IP包的進入。</p><p><b>　　2.4 ARP欺騙</b></p><p>　　ARP協(xié)議在對IP地址進行解析時，利用ARP緩存（也叫ARP表）來做。ARP緩存的每一條目保存有IP

32、地址到物理地址的映射。如果在ARP表中沒有這樣的對應(yīng)條目，ARP協(xié)議會廣播ARP請求，獲得對應(yīng)于那個IP地址的物理地址，并把該對應(yīng)關(guān)系加入到ARP表中。ARP表中的每一個條目都有一個計時器，如果計時器過期，該條目就無效，因而被從緩存中刪除。顯然，如果攻擊者暫時使用不工作的主機的IP地址，就可以偽造IP-物理地址對應(yīng)關(guān)系對，把自己偽裝成象那個暫時不使用的主機一樣?？朔藛栴}的方法是，讓硬件地址常駐內(nèi)存，并可以用ARP命令手工加入（特權(quán)用戶

33、才可以那樣做）；也可以通過向RARP服務(wù)器詢問來檢查客戶的ARP欺騙。因為RARP服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和 IP的相關(guān)信息。</p><p><b>　　2.5 路由欺騙</b></p><p>　　在路由協(xié)議中，主機利用重定向報文來改變或優(yōu)化路由。如果一個路由器發(fā)送非法的重定向報文，就可以偽造路由表，錯誤引導(dǎo)非本地的數(shù)據(jù)報。另外，各個路由器都會定期向其

34、相鄰的路由器廣播路由信息，如果使用RIP特權(quán)的主機的520端口廣播非法路由信息，也可以達到路由欺騙的目的。解決這些問題的辦法有，通過設(shè)置主機忽略重定向信息可以防止路由欺騙；禁止路由器被動使用RIP和限制被動使用RIP的范圍。</p><p><b>　　2.6 DNS欺騙</b></p><p>　　網(wǎng)絡(luò)上的所有主機都信任DNS服務(wù)器，如果DNS服務(wù)器中的數(shù)據(jù)被攻擊者

35、破壞，就可以進行DNS欺騙。</p><p>　　2.7 攔截TCP連接</p><p>　　攻擊者可以使TCP連接的兩端進入不同步狀態(tài)，入侵者主機向兩端發(fā)送偽造的數(shù)據(jù)包。冒充被信任主機建立TCP連接，用SYN淹沒被信任的主機，并猜測3步握手中的響應(yīng)（建立多個連接到信任主機的TCP連接，獲得初始序列號ISN(Initial Serial Number)和RTT，然后猜測

36、響應(yīng)的ISN，因為序列號每隔半秒加64000，每建立一個連接加64000）。預(yù)防方法：使所有的r*命令失效，讓路由器拒絕來自外面的與本地主機有相同的IP地址的包。RARP查詢可用來發(fā)現(xiàn)與目標(biāo)服務(wù)器處在同一物理網(wǎng)絡(luò)的主機的攻擊。另外ISN攻擊可通過讓每一個連接的ISN隨機分配配合每隔半秒加64000來防止。</p><p>　　2.8 使用TCP/SYN報文段淹沒服務(wù)器</p><p>　　

37、利用TCP建立連接的3步驟的缺點和服務(wù)器端口允許的連接數(shù)量的限制，竊取不可達IP地址作為源IP地址，使得服務(wù)器端得不到ACK而使連接處于半開狀態(tài)，從而阻止服務(wù)器響應(yīng)響應(yīng)別的連接請求。盡管半開的連接會被過期而關(guān)閉的，但只要攻擊系統(tǒng)發(fā)送的spoofed SYN請求的速度比過期的快就可以達到攻擊的目的。這種攻擊的方法一直是一種重要的攻擊ISP（Internet Service Provider）的方法，這種攻擊并

38、不會損害服務(wù)，而是使服務(wù)能力削弱。解決這種攻擊的辦法是，給Unix內(nèi)核加一個補丁程序或使用一些工具對內(nèi)核進行配置。一般的做法是，使允許的半開連接的數(shù)量增加，允許連接處于半開狀態(tài)的時間縮短。但這些并不能從根本上解決這些問題。實際上在系統(tǒng)的內(nèi)存中有一個專門的隊列包含所有的半開連接，這個隊列的大小是有限的，因而只要有意使服務(wù)器建立過多的半開連接就可以使服務(wù)器的這個隊列溢出，從而無法響應(yīng)其他客戶的連接請求。</p><p&g

39、t;　　3 關(guān)于TCP/IP協(xié)議族存在的脆弱性剖析</p><p>　　3.1 TCP/IP協(xié)議族存在脆弱性</p><p>　　IP層的主要曲線是缺乏有效的安全認(rèn)證和保密機制，其中最主要的因素就是IP地址問題。TCP/IP協(xié)議用IP地址來作為網(wǎng)絡(luò)節(jié)點的惟一標(biāo)識，許多 TCP/IP服務(wù)，包括Berkeley中的R命令、NFS、X Window等都是基于IP地址對用戶進行認(rèn)證和授權(quán)。當(dāng)前T

40、CP/IP網(wǎng)絡(luò)的安全機制主要是基于IP地址的包過濾（Packet Filtering）和認(rèn)證（Authentication）技術(shù)，它的有效性體現(xiàn)在可以根據(jù)IP包中的源IP地址判斷數(shù)據(jù)的真實性和安全性。然而IP地址存在許多問題，協(xié)議的最大缺點就是缺乏對IP地址的保護，缺乏對IP包中源IP地址真實性的認(rèn)證機制與保密措施。這也就是引起整個TCP/IP協(xié)議不安全的根本所在。</p><p>　　由于UDP是基于IP協(xié)議之

41、上的，TCP分段和UDP協(xié)議數(shù)據(jù)包是封裝在IP包中在網(wǎng)絡(luò)上傳輸?shù)?，因此同樣面臨IP層所遇到的安全威脅。現(xiàn)在人們一直在想辦法解決，卻仍然無法避免的就是根據(jù)TCP連接建立時“三次握手”機制的攻擊。</p><p>　　3.2 應(yīng)用服務(wù)不容樂觀</p><p>　　3.2.1 文件傳輸協(xié)議 </p><p>　　FTP經(jīng)久不衰的原因在于它可以在互聯(lián)網(wǎng)上進行與平臺無關(guān)的數(shù)據(jù)

42、傳輸，它基于一個客戶機/服務(wù)器架構(gòu)。FTP 將通過兩個信道（端口）傳輸，一個傳輸數(shù)據(jù)（TCP 端口 20），另一個傳輸控制信息（TCP 端口 21）。在控制信道之上，雙方（客戶機和服務(wù)器）交換用于發(fā)起數(shù)據(jù)傳輸?shù)拿睢Ｒ粋€ FTP 連接包含4個步驟：用戶鑒權(quán)→建立控制信道→建立數(shù)據(jù)信道→關(guān)閉連接。FTP 的連接控制使用 TCP （Transmission Control Protocol， 傳輸控制協(xié)議），它保障了數(shù)據(jù)的可靠傳輸。因此，F(xiàn)

43、TP 在數(shù)據(jù)傳輸中不需要關(guān)心分組丟失和數(shù)據(jù)錯誤檢測。 </p><p>　　匿名FTP作為互聯(lián)網(wǎng)上廣泛應(yīng)用的服務(wù)，安全等級的低下受到了黑客的頻繁光顧。匿名FTP 是真的匿名，并沒有記錄誰請求了什么信息，誰下載了什么文件，上傳了什么東西（有可能是木馬）。FTP存在著致命的安全缺陷，F(xiàn)TP使用標(biāo)準(zhǔn)的用戶名和口令作為身份驗證，缺乏有效的訪問權(quán)限的控制機制，而其口令和密碼的傳輸也都是明文的方式。 </p>

44、<p>　　3.2.1 Web服務(wù) </p><p>　　Web服務(wù)器位于宿主基礎(chǔ)結(jié)構(gòu)的前端，它與Internet直接相連，負(fù)責(zé)接收來自客戶端的請求，創(chuàng)建動態(tài)Web頁并響應(yīng)請求數(shù)據(jù)。最初WWW服務(wù)只提供靜態(tài)的HTML頁面，為改變?nèi)藗儗W(wǎng)絡(luò)互動請求的愿望，開始引入了CGI程序，CGI程序讓主頁活動起來。CGI程序可以接收用戶的輸入信息，一般用戶是通過表格把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用

45、戶的要求進行一些處理，一般情況下會生成一個HTML文件，并傳回給用戶。很多CGI 程序都存在安全漏洞，很容易被黑客利用做一些非法的事情。現(xiàn)在很多人在編寫CGI程序時，可能對CGI軟件包中的安全漏洞并不了解，而且大多數(shù)情況下不會重新編寫程序的所有部分，只是對其加以適當(dāng)?shù)男薷?，這樣很多CGI程序就不可避免的具有相同的安全漏洞。很多 SQL Server 開發(fā)人員并沒有在代碼編寫開始的時候就從安全防護基礎(chǔ)開始，這樣就無法確保您開發(fā)的代碼的安全

46、性，其結(jié)果就造成了無法將應(yīng)用程序的運行控制在所需的最低權(quán)限之內(nèi)。</p><p>　　3.3 提高網(wǎng)絡(luò)可信度</p><p>　　前面的IPv4存在的弊端，很多安全防范技術(shù)被忽略了，它不可避免地被新一代技術(shù)IPv6取代。IPsec安全協(xié)議就是事后 發(fā)展的一種協(xié)議（如圖3-1），而NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation）解決了IP地址短缺的問題，卻增加了

47、安全風(fēng)險，使真正的端到端的安全應(yīng)用難以實現(xiàn)。端到端安全性的兩個基本組件——鑒權(quán)和加密都是IPv6協(xié)議的集成組件；而在IPv4中，它們只是附加組件，因此，采用IPv6安全性會更加簡便、一致。</p><p>　　在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，尤其是園區(qū)網(wǎng)當(dāng)中，由于不存在NAT地址轉(zhuǎn)換的問題，所以IPSec具備允許部署可信計算基礎(chǔ)架構(gòu)的基本特征。IPSec數(shù)據(jù)包驗證能夠確保整個IP報頭、下一層協(xié)議（例如TCP、UPD或ICMP

48、）報頭以及數(shù)據(jù)包有效負(fù)載的數(shù)據(jù)完整性。 華夏網(wǎng)管ofAdmin.Com </p><p>　　另外，針對數(shù)據(jù)包的單向Hash算法用以提供校驗和。通信發(fā)起方計算校驗和并在發(fā)送之前將其附加到數(shù)據(jù)包中；響應(yīng)方則在收到數(shù)據(jù)包后為其計算校驗和。如果響應(yīng)方所計算出的校驗和與數(shù)據(jù)包中附帶的校驗和完全匹配，則證明數(shù)據(jù)包在傳輸過程中未被修改。校驗和的單向計算特性意味著其取值無法在傳輸過程中進行修改，這也就保證了端到端的數(shù)據(jù)傳輸過程

49、的可信程度。 </p><p>　　4 TCP/IP狀態(tài)轉(zhuǎn)移</p><p>　　4.1 TCP狀態(tài)轉(zhuǎn)移圖和定時器</p><p>　　應(yīng)于連接建立或終止、流量控制和數(shù)據(jù)傳輸。幾類主要的定時器及其功能如下TCP狀態(tài)轉(zhuǎn)移圖控制了一次連接的初始化、建立和終止，該圖由定義的狀態(tài)以及這些狀態(tài)之間的轉(zhuǎn)移弧構(gòu)成。TCP狀態(tài)轉(zhuǎn)移圖與定時器密切相關(guān)，不同的定時器：</p>

50、;<p>　?、龠B接定時器：在連接建立階段，當(dāng)發(fā)送了SYN包后，就啟動連接定時器。如果在75秒內(nèi)沒有收到應(yīng)答，則放棄連接建立。 </p><p>　?、贔IN-WAIT-2定時器：當(dāng)連接從FIN-WAIT-1狀態(tài)轉(zhuǎn)移到FIN-WAIT-2狀態(tài)時，將一個 FIN-WAIT-2定時器設(shè)置為10分鐘。如果在規(guī)定時間內(nèi)該連接沒有收到一個帶有置位FIN的TCP包，則定時器超時，再定時為75秒。如果在該時間段內(nèi)

51、仍無FIN包到達，則放棄該連接。 </p><p>　　③TIME-WAIT定時器：當(dāng)連接進入TIME-WAIT狀態(tài)時，該定時器被激活。當(dāng)定時器超時時，與該連接相關(guān)的內(nèi)核數(shù)據(jù)塊被刪除，連接終止。 </p><p>　?、芫S持連接定時器：其作用是預(yù)測性地檢測連接的另一端是否仍為活動狀態(tài)。如果設(shè)置了SO-KEEPALIVE套接字選擇項，則TCP機狀態(tài)是ESTABLISHED或CLOSE-WAI

52、T。</p><p>　　4.2 網(wǎng)絡(luò)入侵方式 </p><p>　　4.2.1 偽造IP地址</p><p>　　入侵者使用假IP地址發(fā)送包，利用基于IP地址證實的應(yīng)用程序。其結(jié)果是未授權(quán)的遠(yuǎn)端用戶進入帶有防火墻的主機系統(tǒng)。 </p><p>　　假設(shè)有兩臺主機A、B和入侵者控制的主機X。假設(shè)B授予A某些特權(quán)，使得A能夠獲得B所執(zhí)行的一些操

53、作。X的目標(biāo)就是得到與B相同的權(quán)利。為了實現(xiàn)該目標(biāo)，X必須執(zhí)行兩步操作：首先，與B建立一個虛假連接；然后，阻止A向B報告網(wǎng)絡(luò)證實系統(tǒng)的問題。主機X必須假造A的IP地址，從而使B相信從X發(fā)來的包的確是從A發(fā)來的。 </p><p>　　我們同時假設(shè)主機A和B之間的通信遵守TCP／IP的三次握手機制。握手方法是： </p><p>　　A→：SYN（序列號=M） </p><

54、;p>　　B→A：SYN（序列號＝N），ACK（應(yīng)答序號=M+1） </p><p>　　A→B：ACK（應(yīng)答序號＝N+1） </p><p>　　主機X偽造IP地址步驟如下：首先，X冒充A，向主機B發(fā)送一個帶有隨機序列號的SYN包。主機B響應(yīng)，向主機A發(fā)送一個帶有應(yīng)答號的SYN+ACK包、該應(yīng)答號等于原序列號加1。同時，主機B產(chǎn)生自己發(fā)送包序列號，并將其與應(yīng)答號一起發(fā)送。為了完成三

55、次握手，主機X需要向主機B回送一個應(yīng)答包，其應(yīng)答號等于主機B向主機A發(fā)送的包序列號加1。假設(shè)主機X與A和B不同在一個子網(wǎng)內(nèi)，則不能檢測到B的包，主機X只有算出B的序列號，才能創(chuàng)建TCP連接。其過程描述如下： </p><p>　　X→B：SYN（序列號=M），SRC=A </p><p>　　B→A：SYN（序列號=N），ACK（應(yīng)答號=M+1） </p><p>

56、　　X→B：ACK（應(yīng)答號＝N+1），SRC＝A </p><p>　　同時，主機X應(yīng)該阻止主機A響應(yīng)主機B的包。為此，X可以等到主機A因某種原因終止運行，或者阻塞主機A的操作系統(tǒng)協(xié)議部分，使它不能響應(yīng)主機B。 一旦主機X完成了以上操作，它就可以向主機B發(fā)送命令。主機B將執(zhí)行這些命令，認(rèn)為他們是由合法主機A發(fā)來的。 </p><p>　　4.2.2 TCP狀態(tài)轉(zhuǎn)移的問題 </p>

57、;<p>　　上述的入侵過程，主機X是如何阻止主機A向主機B發(fā)送響應(yīng)在的，主機調(diào)通過發(fā)送一系列的SYN包，但不讓A向調(diào)發(fā)送SYN-ACK包而中止主機A的登錄端口。如前所述，TCP維持一個連接建立定時器。如果在規(guī)定時間內(nèi)（通常為75秒）不能建立連接，則TCP將重置連接。在前面的例子中，服務(wù)器端口是無法在75秒內(nèi)作出響應(yīng)的。 </p><p>　　下面我們來討論一下主機X和主機A之間相互發(fā)送的包序列。X

58、向A發(fā)送一個包，其SYN位和FIN位置位，A向X發(fā)送ACK包作為響應(yīng)： X→A：SYN FIN（系列號=M）A→X：ACK（應(yīng)答序號＝M+1）從上面的狀態(tài)轉(zhuǎn)移可以看出，A開始處于監(jiān)聽（LISTEN）狀態(tài)。當(dāng)它收到來自X的包后，就開始處理這個包。值得注意的是，在TCP協(xié)議中，關(guān)于如何處理SYN和FIN同時置位的包并未作出明確的規(guī)定。我們假設(shè)它首先處理SYN標(biāo)志位，轉(zhuǎn)移到SYN-RCVD狀態(tài)。然后再處理FIN標(biāo)志位，轉(zhuǎn)移到CLOSE-WAI

59、T狀態(tài)。如果前一個狀態(tài)是ESTABLISHED，那么轉(zhuǎn)移到CLOSE-WAIT狀態(tài)就是正常轉(zhuǎn)移。但是，TCP協(xié)議中并未對從SYN-RCVD狀態(tài)到CLOSE-WAIT狀態(tài)的轉(zhuǎn)移作出定義。但在幾種TCP應(yīng)用程序中都有這樣的轉(zhuǎn)移，例如開放系統(tǒng)SUN OS4.2， SUR4和ULTRX4.3</p><p>　　因此，在這些TCP應(yīng)用程序中存在一條TCP協(xié)議中未作定義的從狀態(tài)SYN-RCVD到狀態(tài)CLOSE-WAIT的轉(zhuǎn)

60、移弧，在上述入侵例子中，由于三次握手沒能徹底完成，因此并未真正建立TCP連接，相應(yīng)的網(wǎng)絡(luò)應(yīng)用程序并未從核心內(nèi)獲得連接。但是，主機A的TCP機處CLOSE-WAIT狀態(tài)，因此它可以向X發(fā)送一個FIN包終止連接。這個半開放連接保留在套接字偵聽隊列中，而且應(yīng)用進程不發(fā)送任何幫助TCP執(zhí)行狀態(tài)轉(zhuǎn)移的消息。因此，主機A的TCP機被鎖在了CL0SE-WAIT狀態(tài)。如果維持活動定時器特征被使用，通常2小時后TCP將會重置連接并轉(zhuǎn)移到CLOSED狀態(tài)。

61、當(dāng)TCP機收到來自對等主機的RST時，就從TABLISHED，F(xiàn)INWAIT-1和FIN-WAIT-2狀態(tài)轉(zhuǎn)移到CLOSED狀態(tài)。這些轉(zhuǎn)移是很重要的，因為它們重置TCP機且中斷網(wǎng)絡(luò)連接。但是，由于到達的數(shù)據(jù)段只根據(jù)源IP地址和當(dāng)前隊列窗口號來證實。因此入侵者可以假裝成已建立了合法連接的一個主機，然后向另一臺主機發(fā)送一個帶有適當(dāng)序列號的RST段，這樣就可以終止連接了！</p><p>　　從上面的分析我們可以看到幾

62、種TCP應(yīng)用程序中都存在外部狀態(tài)轉(zhuǎn)移。這會給系統(tǒng)帶來嚴(yán)重的安全性問題。</p><p>　　4.2.3 定時器問題</p><p>　　正如前文所述，一旦進入連接建立過程，則啟動連接定時器。如果在規(guī)定時間內(nèi)不能建立連接，則TCP機回到CLOSED狀態(tài)。</p><p>　　我們來分析一下主機A和主機X的例子。主機A向主機X發(fā)送一個SYN包，期待著回應(yīng)一個SYN-A

63、CK包。假設(shè)幾乎同時，主機X想與主機A建立連接，向A發(fā)送一個SYN包。A和X在收到對方的SYN包后都向?qū)Ψ桨l(fā)送一個SYN-ACK包。當(dāng)都收到對方的SYN-ACK包后，就可認(rèn)為連接已建立。在本文中，假設(shè)當(dāng)主機收到對方的SYN包后，就關(guān)閉連接建立定時器。</p><p>　　X→A：SYN（序列號=M） </p><p>　　A→X：SYN（序列號=N） </p><p&g

64、t;　　X→A：SYN（序列號=M），ACK（應(yīng)答號=N+1）①</p><p>　　A→X：SYN（序列號=N），ACK（應(yīng)答號＝M+1）</p><p>　?、僦鳈CX向主機A發(fā)送一個FTP請求。在X和A之間建立起一個TCP連接來傳送控制信號。主機A向 </p><p>　　X發(fā)送一個SYN包以啟動一個TCP連接用來傳輸數(shù)據(jù)，其狀態(tài)轉(zhuǎn)移到SYN-SENT狀態(tài)。 &

65、lt;/p><p>　?、诋?dāng)X收到來自A的SYN包時，它回送一個SYN包作為響應(yīng)。</p><p>　?、壑鳈CX收到來自A的SYN-ACK包，但不回送任何包。</p><p>　?、苤鳈CA期待著接收來自X的SYN-ACK。由于X不回送任何包，因此A被鎖在SYN-RCVD狀態(tài)。這樣，X就成功地封鎖了A的一個端口。</p><p>　　4.3 利用網(wǎng)

66、絡(luò)監(jiān)控設(shè)備觀測網(wǎng)絡(luò)入侵</p><p>　　我們在局域網(wǎng)上安裝一個網(wǎng)絡(luò)監(jiān)控設(shè)備觀測通過網(wǎng)絡(luò)的包，從而判斷是否發(fā)生了網(wǎng)絡(luò)入侵。下面我們將討論在幾種入侵過程中網(wǎng)絡(luò)監(jiān)控設(shè)備可觀測到的序列包。</p><p>　　4.3.1 偽造IP地址</p><p>　　最初，網(wǎng)絡(luò)監(jiān)控設(shè)備會監(jiān)測到大量的TCP SYN包從某個主機發(fā)往A的登錄端口。主機A會回送相應(yīng)的SYN-ACK包。SY

67、N包的目的是創(chuàng)建大量的與主機A的半開放的TCP連接，從而填滿了主機A的登錄端口連接隊列。</p><p>　　大量的TCP SYN包將從主機X經(jīng)過網(wǎng)絡(luò)發(fā)往主機B，相應(yīng)地有SYN-ACK包從主機B發(fā)往主機X。然后主機X將用RST包作應(yīng)答。這個SYN／SYN-ACK／RST包序列使得入侵者可以知道主機B的TCP序列號發(fā)生器的動作。</p><p>　　主機A向主機B發(fā)送一個SYN包。實際上，這

68、是主機X發(fā)送的一個“偽造”包。收到這個包之后，主機B將向主機A發(fā)送相應(yīng)的SYN-ACK包。主機A向主機B發(fā)送ACK包。按照上述步驟，入侵主機能夠與主機B建立單向TCP連接。</p><p>　　4.3.2 虛假狀態(tài)轉(zhuǎn)移</p><p>　　當(dāng)入侵者試圖利用從SYN-RCVD到CLOSE-WAIT的狀態(tài)轉(zhuǎn)移長時間阻塞某服務(wù)器的一個網(wǎng)絡(luò)端口時，可以觀察到如下序列包： </p>&

69、lt;p>　?、購闹鳈CX到主機B發(fā)送一個帶有SYN和FIN標(biāo)志位置位的TCP包。</p><p>　　主機B首先處理SYN標(biāo)志，生成一個帶有相應(yīng)ACK標(biāo)志位置位的包，并使?fàn)顟B(tài)轉(zhuǎn)移到SYN-RCVD，然后處理FIN標(biāo)志，使?fàn)顟B(tài)轉(zhuǎn)移到CLOSE-WAIT，并向X回送ACK包。</p><p>　?、谥鳈CX不向主機B發(fā)送其它任何包。主機的TCP機將固定在CLOSE-WAIT狀態(tài)。直到維持連

70、接定時器將其重置為CLOSED狀態(tài)。</p><p>　　因此，如果網(wǎng)絡(luò)監(jiān)控設(shè)備發(fā)現(xiàn)一串SYN-FIN／ACK包，可推斷入侵者正在阻塞主機B的某個端口。 </p><p>　　4.3.3 定時器問題 </p><p>　　如果一入侵者企圖在不建立連接的情況下使連接建立定時器無效，我們可以觀察到以下序列包：</p><p>　?、僦鳈CX從主機B

71、收到一個TCP SYN包。</p><p>　　②主機X向主機B回送一個SYN包。</p><p>　　主機X不向主機B發(fā)送任何ACK包。因此，B被阻塞在SYN-RCVD狀態(tài)，無法響應(yīng)來自其它客戶機的連接請求。</p><p><b>　　結(jié) 論</b></p><p>　　在計算機網(wǎng)絡(luò)日益發(fā)展的今天，TCP\IP

72、協(xié)議在安全性方面的缺陷日益暴露出來。本文介紹了TCP\IP協(xié)議在網(wǎng)絡(luò)安全方面的不足，病從理論上分析了其可能出現(xiàn)的安全隱患。雖然IPv6在IPv4的基礎(chǔ)上，在安全性上有了很大的改善，但是IPv6在這段時間里無法全面地實現(xiàn)，所以本文把大量的篇幅花費在了對IPSec和SSL兩個安全協(xié)議的分析上。畢竟就目前說，對象這兩個安全協(xié)議的安全性分析比IPv6的安全性分析具有更大的實現(xiàn)意義。Interent完全是廣大網(wǎng)絡(luò)用戶普遍關(guān)心的一個重要問題。只有不

73、斷完善網(wǎng)絡(luò)協(xié)議的安全性，才能使網(wǎng)絡(luò)成為大家工作和生活的有效工具。盡管利用協(xié)議中存在的安全缺口來實施攻擊技術(shù)性強、難度大，但突破率高、危險性極大。正因為如此，各國耗資致力于該問題的研究，并已獲得顯著的成績。TCP\IP的重要性是毋庸置疑的，可以相信，隨著網(wǎng)絡(luò)的發(fā)展和安全技術(shù)應(yīng)用的深入，TCP\IP將不斷的改進和完善，從而顯示出其旺盛的生命力。</p><p><b>　　參考文獻：</b>&l

74、t;/p><p>　　[1] 韋衛(wèi)，王德杰，《Interne網(wǎng)絡(luò)層安全協(xié)議理論研究與實現(xiàn)》，計算機學(xué)報 1999年22期</p><p>　　[2] 謝正均，《IP欺騙原理及其對策》，電信快報 1999年2期</p><p>　　[3] 林敏，《網(wǎng)絡(luò)互連安全技術(shù)及解決方案》，中國金融電腦 1999年3期</p><p>　　[4] 胡英偉等，《網(wǎng)

75、絡(luò)認(rèn)證技術(shù)及其發(fā)展》，微型機與應(yīng)用 1999年12期</p><p>　　[5] 陳永軍.什么是TCP/IP協(xié)議 [J].化工管理.2000年08期. </p><p>　　[6] 凌俊峰.TCP/IP協(xié)議淺釋 [J].韶關(guān)學(xué)院學(xué)報.2001年09期.</p><p>　　[7] 電腦虎.網(wǎng)絡(luò)大廈的互聯(lián)基礎(chǔ)——TCP/IP協(xié)議 [N].中國電腦教育報.2004:12

76、-23.</p><p><b>　　謝 致 </b></p><p>　　當(dāng)我寫完這篇畢業(yè)論文的時候，有一種如釋重負(fù)的感覺，在經(jīng)歷了找工作的焦灼、寫論文的煎熬之后，感覺好像一切都塵埃落定，想起了那句傷感的歌詞：“Time to say goodbye.”即將給自己的學(xué)生時代和校園生活劃上一個分號，之所以說它是分號，是因為我對無憂無慮的學(xué)生生活還有無比的懷念，對單純

77、美好的校園生活還有無比的向往。</p><p>　　 感謝我的母校吉林農(nóng)業(yè)科技學(xué)院尤其是信息工程學(xué)院學(xué)院所有的老師們,在這片凈土讀書三載，無形中塑造了我生命的氣質(zhì)、生活的方式，也練就了我樂觀的心態(tài)和一顆感恩的心。尊敬的導(dǎo)師們無論是為人還是為學(xué)都是我生活上和學(xué)術(shù)上的引路人，感激之情無以言表，只能在日后的工作和學(xué)習(xí)中踏實做人、勤奮做事，做出一番成績來回報他們對我的恩惠。宿舍同學(xué)的互幫互助和深厚友誼更是賜予了我研究

78、生生活不可磨滅的記憶，畢業(yè)前夕的寢室夜談更是成為宿舍生活的美好回憶。在這三年中，我收獲快樂并且成長：</p><p>　　 這個論文選題對于我的意義在于它引導(dǎo)我用大學(xué)期間所學(xué)的研究方法對一個我喜歡的行業(yè)進行摸索和研究，透過現(xiàn)象去挖掘和探討現(xiàn)象背后的原因。</p><p>　　 在畢業(yè)前最后的時光，仍舊要感謝我生命中出現(xiàn)的那些十分重要的師姐師兄、師弟師妹們，以及我結(jié)識的朋友們。他們不

79、僅在學(xué)術(shù)上給予我指點，同時也是我生活中一起同行的人，在交往的過程中我們建立信任、彼此鼓勵、互相支持與幫助。</p><p>　　 當(dāng)然，在我求學(xué)期間，還要感謝我深愛的父母親一直以來對我無怨無悔的付出、支持、關(guān)愛、尊重和信任，在我學(xué)習(xí)、生活、感情、工作上遇到困難時，是您們幫我抵御風(fēng)霜，謝謝您們。我是幸運而幸福的，我知足并且義無反顧的在大家的關(guān)愛下堅持自己的信念和理想一路前行。</p><p&