TCPIP协议安全性分析与防范.docVIP

TCPIP协议安全性分析与防范 　　TCP/IP协议本身存在的一些安全性问题可以被攻击者用来进行安全攻击，如TCP SYN Flood，IP欺骗等。通过对典型TCP/IP协议的安全性分析，指出了存在的问题以及相关的防范措施。 　　 　　TCP/IP协议是网络中使用的基本通信协议。虽然从名字上看它包括两个协议：TCP协议和IP协议，但确切的说，TCP/IP实际上是一组协议，除了最常用的TCP和IP协议外，还包含许多其它的工具性协议、管理协议及应用协议。TCP/IP协议共分为4层，即：应用层、传输层、互连网络层、网络接入层。其中，应用层向用户提供访问Internet的一些高层协议，使用最广泛的有TELNET、FTP、SMTP、DNS等。传输层提供应用程序端到端的通信服务，该层有两个协议：TCP和UDP。互连网络层负责相邻主机之间的通信，该层协议主要有IP和ICMP等。网络接口层是TCP/IP协议软件的最低一层，主要负责数据帧的发送和接收。 　　 　　典型协议安全性分析与防范 　　TCP协议 　　协议工作过程 　　 　　TCP是基于连接的。为了在主机A和B之间传送TCP数据，必须先通过3次握手机制建立一条TCP连接。若A为连接方、B为响应方，则连接建立过程如下：首先，连接方A发送一个包含SYN标志的TCP报文(即同步报文)给B，SYN报文会指明连接方A使用的端口以及TCP连接的初始序号X； 随后，响应方B在收到连接方A的SYN报文后， 返回一个SYN+ACK的报文(其中SYN是自己的初始序号Y，ACK为确认号X+1，表示客户端的请求被接受，正在等待下一个报文)。最后，连接方A也返回一个确认报文ACK(序列号y+1)给响应方B。到此一个TCP连接完成。 　　 　　TCP协议的安全问题 　　 　　在连接过程中，可能受到的威胁如下：攻击者监听B方发出的SYN＋ACK报文，然后向B方发送RST包。接着发送SYN包，假冒A方发起新的连接。B方响应新连接，并发送连接响应报文SYN＋ACK。攻击者再假冒A方对B方发送ACK包。这样攻击者便达到了破坏连接的作用。若攻击者再趁机插入有害数据包，则后果更严重。 　　例如，在TCP的3次握手中，假设1个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(即第3次握手无法完成)，这种情况下服务器端一般会再次发送SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒-2分钟)；1个用户出现异常导致服务器的一个线程等待1分钟并不是什么大问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。服务器端将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去响应，这种情况我们称作服务器端受到了SYN Flood攻击。 　　 　　防范方法 　　 　　对于SYN Flood攻击，目前还没有完全有效的方法，但可以从以下几个方面加以防范： 　　(1)对系统设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包； 　　(2)建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数； 　　(3)建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效的保护本网段内的服务器不受此类攻击。 　　 　　IP协议 　　IP协议的安全问题 　　 　　 　　IP协议在互连网络之间提供无连接的数据包传输。IP协议根据IP头中的目的地址项来发送IP数据包。也就是说，IP路由IP包时，对IP头中提供的源地址不作任何检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。这样，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。其中最重要的就是利用IP欺骗引起的各种攻击。 　　以防火墙为例，一些网络的防火墙只允许网络信任的IP数据包通过。但是由于IP地址不检测IP数据包中的IP源地址是否为放送该包的源主机的真实地址，攻击者可以采用IP源地址欺骗的方法来绕过这种防火墙。另外有一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP源地址欺骗的方法获得特权，从而给被攻击者造成严重的损失。事实上，每一个攻击者都可以利用IP不检验IP头源地址的特点，自己填入伪造的IP地址来进行攻击，使自己不被发现。 　　 　　防范方法 　　 　　基于IP欺骗的防范方法有：