internet协议的安全性.pdfVIP

第 3 章 Internet 协议的安全性 TCP/IP 协议族在诞生之初，网络中的用户彼此之间被认为是互相信任的，没有提供 任何安全措施。现今，已不能认为网络中的用户是互相信任的，不能认为网络是安全的。 3.1 Internet 协议概述 Internet 协议的主要协议及其层次关系如图 3-1 所示。 图 3-1 TCP/IP 协议族不同层次划分示意图 3.2 网际层协议 3.2.1 IP 协议 1．概述 网际协议（Internet Protocol ，IP ）是 TCP/IP 协议族的核心，也是网际层中最重要的 网络安全——技术与实践（第 3 版） 协议。IP 数据报构成了 TCP/IP 协议族的基础。典型的 IP 数据报有几百个字节，其中首 部占 20～60 字节，其余为数据净荷部分。 IP 层接收由更低层（例如网络接口层）发来的数据包，对数据包进行处理后交付到 更高层（TCP 或 UDP 协议）；相反，IP 层也把从 TCP 或 UDP 协议来的数据包传送到更 低层。IP 采用尽最大努力交付的服务，是一种不可靠的无连接数据报协议。每个 IP 数据 报独立路由，各个数据报可能沿不同路径由发送方传送到接收方，因此，IP 无法确认数 据报是否丢失、失序或延迟到达。另外，虽然 IP 首部中存在校验位，但此校验位只用于 检测 IP 数据报首部的正确性，并没有使用任何机制保证数据净荷传输的正确性，因此， 无法确认 IP 数据报是否损坏。较高层的协议（如 TCP ）负责处理这些问题，以便为应用 程序提供一条可靠的网络通信链路。 2 ．IP 协议的安全问题及防护措施 IP 协议存在一系列典型的安全问题。 （1）IP 数据报在传递过程中易被攻击者监听、窃取。此种攻击是一种被动的攻击方 式，攻击者并不改变 IP 数据报的内容，但可截取 IP 数据报，解析数据净荷，从而获得 数据内容。这种类型的攻击很难被检测，因为攻击过程并不影响 IP 数据报的正确传递。 针对这种攻击的方法是对 IP 数据报进行加密。 （2 ）由于 IP 层并没有采用任何机制保证数据净荷传输的正确性，攻击者可截取 IP 数据报，修改数据报中的内容后，将修改结果发送给接收方。针对这种攻击的方法是对 IP 数据报净荷部分实行完整性检测机制。接收方在收到 IP 数据报时，可先应用完整性检 测机制检测数据报的完整性，从而保证收到的 IP 数据报在传输过程中未被恶意篡改。 （3 ）高层的 TCP 和 UDP 服务在接收 IP 数据报时，通常假设数据报中的源地址是有 效的。事实上，IP 层不能保证 IP 数据报一定是从源地址发送的。任意一台主机都可以发 送具有任意源地址的 IP 数据报。攻击者可伪装成另一个网络主机，发送含有伪造源地址 的数据包以欺骗接收者。此种攻击称为 IP 欺骗攻击。针对此种攻击可以通过源地址鉴别 机制加以防御。一般来说，认证需要采用高层协议中的安全机制来实现。 （4 ）IP 数据报在传递过程中，如果数据报太大，该数据报就会被分段 。也就是说， 大的 IP 数据报会被分成两个或多个小数据报，每个小数据报都有 自己的首部，但其数据 净荷仅是大数据报净荷的一部分。每个小数据报可以经 由不同的路径到达目的地。在传 输过程中，每个小数据报可能会被继续分段 。当这些小数据报到达接收方时，它们会被 重组到一起 。按照协议规则，中间节点不能对小数据报进行拼装组合 。一般来说，包过 滤器完成 IP 数据报的分段和重组过程。然而，正是由于 IP 数据报在传输过程中要经 被分段和重组的过程，攻击者可在包过滤器 中注入大量病态的小数据报，来破坏包过滤 器的正常工作 。当重要的信息被分成两个 IP 数据报时，过滤器可能会错误地处理数据报， 或者仅传输第 2 个 IP 数据报。更糟的是，当两个重叠的 IP 数据报含有不同的内容时， 重组规则并不提示如何处理这两个 IP 数据报。许多防火墙能够重组分段的 IP 数据报， 以检查其内容。 （5 ）使用特殊 的 目的地址发送 IP 数据报也会引入安全问题。如发送 目的地址是直接 44 第 3 章 Internet 协议的安全性 广播地址的 IP 数据报，发送这样的数据包是非常危险