TCP／IP协议安全性浅析.doc

TCPIP协议安全性浅析 导读：龙源期刊网 协议安全性浅析作者：柯 婷 来源：硅谷2009 年第 06 期摘要就 TCP/IP 协议的安全性作一浅显的分析，并对 ARP 欺骗实例进行分析研究对策。关用iris协议分析工具学习tcp/ip龙源期刊网 协议安全性浅析作者：柯 婷 来源：硅谷2009 年第 06 期摘要就 TCP/IP 协议的安全性作一浅显的分析，并对 ARP 欺骗实例进行分析研究对策。关键词TCP/IP 协议 安全性能 欺骗中图分类号：TP3 文献标识码：A 文章编号：16717597（2009）032005001一、TCP/IP 协议安全性能分析TCP/IP 协议的设计与实现使不同计算机之间、不同网络之间的通信成为可能。但是，该 协议是在网络规模不大、应用范围不广、计算机技术尚不够发达的情况下设计与实现的，当时 的一种普遍认识是：安全性问题是上层的问题与底层协议无关，因此 TCP/IP 在安全性方面做 得不够完善。随着网络规模、计算机技术的日益发展，TCP/IP 存在的不可克服的脆弱性越 来越阻碍着 TCP/IP 的进一步广泛使用，也难以满足未来网络发展的需求。总的来说，对于 TCP/IP 协议族的安全缺陷可得出三个结论：1依赖于 IP 源地址的认证是极其不安全的；2大量的入侵都源于序列号攻击；3大多数网络控制机制都是危险的，而且基于以太网的数据包易被监听，入侵者甚至可 以更改 IP 或 MAC 地址，致使攻击方式更加复杂。3（一）数据链路层的脆弱性在以太网中，信息以数据包的形式传送，其报头包含目的主机的 MAC 地址。网络上也存 在一些能接收所有数据包的接口，攻击通过某些手段使网卡一直工作在监听模式下，从而达到 非法窃取他人信息的目的。4（二）传输层的脆弱性主要是 TCP 会话劫持。TCP 通过三次握手建立连接以后，主要采用滑动窗口机制来验证 对方发送的数据。如果对方发送的数据不在自己的接收窗口内，则丢弃此数据。这种发送序号 不在对方接收窗口的状态称为非同步状态。当通信双方进入非同步状态后，攻击者可以伪造发龙源期刊网 送序号在有效接收窗口内的报文，也可以截获报文，篡改内容后，再修改发送序号而接收方会 认为数据是有效数据。5（三）应用层的脆弱性DNS 欺骗是一种复杂的攻击，但比 IP 欺骗要简单。攻击者伪造机器名称和网络的信息， 当主机需要将一个域名转化为 IP 地址时，向某 DNS 服务器发送一个查询请求。同样，将 IP 地 址转化为域名时，可发送一个反查询请求。如果服务器在进行 DNS 查询时人为地给出攻击者 自己的应答信息，DNS 欺骗就会产生。二、ARP 欺骗手段分析及其对策（一）正常 ARP 报文分析ARP 报文分为 ARP request 和 ARP response，其分组格式为：见图 2。图 2ARP 报文结构由于涉及到重新构造数据报文，笔者使用的分析软件为 EtherPeek。首先在 Windows 命令行模式使用 arp-d 命令清空 arp 缓存列表。启动 EtherPeek 新建一个任务，使用 IE 随机访问一个网址，捕获一组 arp 报文。图 3Decode ARP request 报文目标 MAC 地址是“FF.FF.FF.FF.FF.FF”，这个过程称作广播，表示向同一网段内的所有主 机发出询问：“ 的 MAC 地址是多少？”主机 识别出这是发送端在寻问它 的 IP 地址，于是发送一个 ARP response。这个 ARP response 包含其 IP 地址及对应的 MAC 地 址。如图 4：图 4Decode ARP response 报文这样本地就知道了 的 MAC 地址，就可以向 发送信息。由于本机和 已经发生过通信，