计算机网络安全性剖析及对策.docVIP

计算机网络安全性剖析及对策 　　摘要：随着INTERNET的广泛应用,网络安全日益重要。由于INTERNET是基于TCP/IP协议的,因此对TCP/IP协议的研究显得尤为必要。本文对TCP/IP协议在网络层、传输层以及应用层的安全机制进行了研究,总结了其各自的特点并给出了应用。 　　关键词：网络安全 TCP/IP 　　 　　▲▲ 一、引言 　　 　　Internet的规模越来越大,应用领域越来越广, Internet/Intranet是基于TCP/IP协议簇的计算机网络。由于早期的TCP/IP协议在安全方面的一些漏洞,也出现了许多不安全因素,造成非法用户窃取重要资料、破坏文件和数据,病毒进入没有受保护的内部网络等。无论是有意的攻击,还是无意的误操作,都会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息:还可以篡改数据库的内容,伪造用户身份,更有甚者,攻击者可以删除数据库的内容,摧毁网络节点,释放计算机病毒。 　　网络系统的安全威胁主要来自以下几个方面: 　　(1)操作系统的安全性,目前流行的许多操作系统均存在网络安全漏洞: 　　(2)防火墙的安全性,防火墙产品自身是否安全,是否设置错误,需要经过认真检验: 　　(3)来自内部网用户的安全威胁; 　　(4)缺乏有效的手段监视网络系统的安全性; 　　(5)采用的TCP/IP,协议簇本身的安全隐患。 　　由于TCP/IP协议在网络中的广泛应用以及TCP/IP协议本身在安全性上的缺陷,大多数攻击都是基于TCP/IP协议的。下面从TCP/IP协议簇本身逐层来看它的安全漏洞。 　　 　　▲▲ 二、TCP/IP的工作机理 　　 　　为了向应用层提供可靠的数据传输,TCP/IP采取了一系列复杂的措施,包括三次握手、基于滑动窗口的确认和重传机制、流量控制等,其中主要通过三次握手实现TCP连接。三次握手:当收到客户机A向服务器B发送syn请求报文时,B将发送一个(ack,syn)应答报文,同时(创建一个控制结构,将其加入到一个队列中,等待A的ack报文;接收到A的ack报文后,双方都进入连接状态,就可以发送数据;如果B在一段时间内没有收到应答信息,则控制块将被释放。 　　 　　▲▲ 三、TCP/IP的安全隐患及对策 　　 　　1.链路层存在的安全漏洞 　　在以太网中,信道是共享的,数据在网络上是以很小的称为“帧”的单位传输的。同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个惟一的硬件地址,这个硬件地址就是网卡的MAC地址。也就是说任何主机发送的每一个以太帧都会到达别的与该主机处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/CD协议,正常状态下网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP层软件。当数据帧不属于自己时,就把它忽略掉。如果稍做设置或修改,使主机工作在监听模式下的话就可以使以太网卡接受不属于它的数据帧,实施侦听使网卡捕获任何经过它的数据。从而达到非法窃取他人信息(如密码、口令等)的目的。这类软件被称为嗅探器(Sniffer),如NeXRay,Sniffit,IPMan等。 　　解决该漏洞的对策是:采用SSH(Secure SHell)的加密手段加密传输数据,使对方无法正确还原窃取的数据。同时可以安装检测软件,查看是否有Sniffer在网络中运行,做到防范于未然。 　　2.网络层上的安全漏洞 　　(1)ARP欺骗 　　TCP/IP中使用的ARP(地址解析协议,Address ResolutioProtocol),是一种将IP转化成以IP对应的网卡的物理地址的一种协议,即将IP地址转化成MAC地址的一种协议。该协议大致工作过程如下:正数据包发送时会被发送到同一个子网中的主机或利用网关作第一个驿站。一无论哪种情况,都需要以太网物理地址用来发送包含IP数据包的以太网物理帧。首先源主机先在ARPCaclle中进行查询,如果找不到与IP地址相对应的物理地址,就会向网络上的所有主机广播一个包含目的主机IP地址、本机的物理地址和IP地址的特殊物理帧。每一个收到此帧的主机都会刷新自身ARP Cache中的护一物理地址联编,同时,目的主机还会向源主机发送一个包含自身IP地址和硬件地址的ARP回答。源主机收到此回答后就会刷新Cache,此时就可以发送数据报了。 　　Caehe中的数据通常几分钟后就会过期,攻击者就可以伪造IP一物理地址联系。攻击者可以暂时使用不工作的主机的IP地址,源主机可能关机、未与网络连接或被攻击者改变了原来的IP地址。过了几分钟后,Cache中的原数据过期后,攻