基于TCPIP协议的网络不安全.docx

TCP/IP协议中译名为传输控制协议/因特网互联协议，又名网络通讯协议，是Internet最基本的协议、Internet国际互联网络的基础，由网络层的IP协议和传输层的TCP协议组成。TCP/IP 定义了电子设备如何连入因特网，以及数据如何在它们之间传输的标准。协议采用了4层的层级结构，每一层都呼叫它的下一层所提供的协议来完成自己的需求。通俗而言：TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。建立连接协议（三次握手）第一次握手：建立连接时，客户端发送syn包(syn=j)到服务器，并进入SYN_SEND状态，等待服务器确认；第二次握手：服务器收到syn包，必须确认客户的syn（ack=j+1），同时自己也发送一个SYN包（syn=k），即SYN+ACK包，此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ack=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 OSI参考模型中的网络层，在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。完成三次握手，客户端与服务器开始传送数据，在上述过程中，还有一些重要的概念：未连接队列：在三次握手协议中，服务器维护一个未连接队列，该队列为每个客户端的SYN包（syn=j）开设一个条目，该条目表明服务器已收到SYN包，并向客户发出确认，正在等待客户的确认包。这些条目所标识的连接在服务器处于Syn_RECV状态，当服务器收到客户的确认包时，删除该条目，服务器进入ESTABLISHED状态。SYN-ACK 重传次数：服务器发送完SYN－ACK包，如果未收到客户确认包，服务器进行首次重传，等待一段时间仍未收到客户确认包，进行第二次重传，如果重传次数超过系统规定的最大重传次数，系统将该连接信息从半连接队列中删除。注意，每次重传等待的时间不一定相同。半连接存活时间：是指半连接队列的条目存活的最长时间，也即服务从收到SYN包到确认这个报文无效的最长时间，该时间值是所有重传请求包的最长等待时间总和。有时我们也称半连接存活时间为Timeout时间、SYN_RECV存活时间。工作原理由于TCP 需要时刻跟踪，这需要额外开销，使得TCP 的格式有些显得复杂。下面就让我们看一个TCP 的经典案例，这是后来被称为MITNICK 攻击中KEVIN 开创的两种攻击技术：TCP 会话劫持和SYN FLOOD（同步洪流）SYN FLOOD当客户端和服务器在网络中使用TCP协议发起会话时，在服务器内存中会开辟一小块缓冲区来处理会话过程中消息的“握手”交换。会话建立数据包包含一个SYN片段，用于标识消息交换中的序列号。而SYN FLOOD试图摧毁这一过程。攻击者快速发送一连串连接请求，之后并不响应服务器发送回来的应答，造成三次握手无法完成，在服务器上留下半打开的连接，分配给他们的缓存也被保留下来，使其他程序不能使用服务器。尽管缓冲区中的数据包在没有应答超过一段时间（通常3min）就会被丢弃，但大量虚假请求的后果是用于建立会话的合法请求难以建立。TCP 会话劫持假设A 为攻击者，B 为中介跳板机器（受信任的服务器），C 为目的主机（多是服务器）。会话劫持的常用方法：使用源路由（source Routed）IP数据包，使位于网络上的A 参与到B与C的连接中。会话劫持的常见类型：中间人攻击。攻击者A通过某种类型的数据包嗅探程序侦听B与C的数据传输，可以截获他想要的任何信息而不打断会话。会话劫持的方法：攻击者A向正在通话的B发送大量请求使其无暇响应合法用户C，此时A预测B的TCP序列号冒充B与C进行会话，骗取C的信任，从而达到攻击的目的。有效抵御会话劫持的方法：使用加密传输。现将TCP/IP攻击的常用原理介绍如下：(1) 源地址欺骗(Source Address Spoofing)、IP欺骗(IP Spoofing)和DNS欺骗(DNS Spoofing).其基本原理:是利用IP地址并不是出厂的时候与MAC固定在一起的，攻击者通过自封包和修改网络节点的IP地址，冒充某个可信节点的IP地址，进行攻击。主要有三种手法：1. 瘫痪真正拥有IP的可信主机，伪装可信主机攻击服务器;2. 中间人攻击;3. DNS欺骗(DNS Spoofing)和“会话劫持”(Session Hijack);(2) 源路由选择欺骗(Source Routing Spoofing)。原理:利用IP数据包中的一个选项-IP Source Routing来指定路由，利用可信用户对服务器进行攻击，特别是基于UDP协议的由于其是面向非连接的，更容易被利用来攻击