TCP IP协议体系的安全性讨论

1、 TCP/IP协议体系的安全性讨论 固网产品技术支持部 肖正宏 摘要:本文主要对 TCP/IP协议结构、各层功能做简单阐述,并对各层协议自身潜在的 安全性隐患做了分析讨论,供我们在做数据网络安全与优化服务项目时参考。 关键词:TCP/IP、协议、安全、分析、路由、 ICMP 、 DNS 近年来,黑客利用 Internet 作案的事件频频发生,导致绝密信息被窃取、重要数据被删 除、 网络系统遭破坏等严重后果, 给用户造成了极大的损失。 尽管已采取了一些安全措 施, 并且也已起到了很大的作用, 但网络中仍存在着许多安全缺口, 成为黑客的进攻突 破点。 TCP/IP作为 Internet 使用的标准

2、协议集,是黑客实施网络攻击的重点目标。本文 主要围绕 TCP/IP的安全性隐患进行讨论。 1 TCP/IP的协议结构 TCP/IP是一组协议的集合, 除了最常用的 TCP 和 IP 协议外, 还包含许多其他的工具性 协议、管理协议及应用协议。 TCP/IP的协议结构如下图所示。 其中, 应用层向用户提供访问 Internet 的一些高层协议, 使用最广泛的有 TELNET 、 FTP 、 SMTP 、 DNS 等,同时新的应用协议还在不断涌现。传输层的作用是提供应用程序 (端 到端 的通信服务,该层有两个协议:传输控制协议 TCP 和用 户数据报协议 UDP 。前者 提供高可靠的面向连接的数据

3、传送服务, 后者提供无连接的高效率的数据传送服务。 网 间层负责相邻主机之间的通信,该层协议主要有 IP 和 ICMP 等。网络访问层是 TCP/IP 协议软件的最低一层,其主要工作有:负责接收 IP 数据报,通过网络向外发送或者从 网络上接收物理帧,抽出 IP 数据报向上层传送。对不同的物理网络配以相应的网络访 问协议,如物理网是以太网时,网络访问协议须使用 IP -E(RFC894。 2 协议安全性分析 2.1 TCP协议 TCP 使用三次握手机制来建立一条连接,握手的第一个报文为 SYN 包;第二个报文为 SYN/ACK包,表明它应答第一个 SYN 包同时继续握手过程;第三个报文仅仅是一

4、个 应答,表示为 ACK 包。若 A 为连接方, B 为响应方,其间可能的威胁有: z攻击者监听 B 方发出的 SYN/ACK报文。 z攻击者向 B 方发送 RST 包,接着发送 SYN 包,假冒 A 方发起新的连接。 zB 方响应新连接,并发送连接响应报文 SYN/ACK。 z攻击者再假冒 A 方对 B 方发送 ACK 包。 这样攻击者便达到了破坏连接的作用, 若攻击者再趁机插入有害数据包, 则后果更严重。 TCP 协议把通过连接而传输的数据看成是字节流, 用一个 32位整数对传送的字节编号。 初始序列号 (ISN在 TCP 握手时产生,产生机制与协议实现有关。攻击者只要向目标主 机发送一个

5、连接请求,即可获得上次连接的 ISN ,再通过多次测量来回传输路径,得到 进攻主机到目标主机之间数据包传送的来回时间 RTT 。已知上次连接的 ISN 和 RTT , 很容易就能预测下一次连接的 ISN 。 若攻击者假冒信任主机向目标主机发出 TCP 连接, 并预测到目标主机的 TCP 序列号, 攻击者就能伪造有害数据包, 使之被目标主机接受。 2.2 IP协议和 ICMP 协议 IP 协议是 TCP/IP中最重要的协议之一, 提供无连接的数据包传输机制, 其主要功能有:寻址、路由选择、分段和组装。传送层把报文分成若干个数据报,每个数据包在网关中 进行路由选择, 穿越一个个物理网络从源主机到达

6、目标主机。 在传输过程中数据包可能 被分成若干小段, 以满足物理网络中最大传输单元长度的要求, 每一小段都当作一个独 立的数据包被传输,其中只有第一个数据报含有 TCP 层的端口信息。在包过滤防火墙 中根据数据包的端口号检查是否合法, 这样后续数据包可以不经检查而直接通过。 攻击 者若发送一系列有意设置的数据包, 以非法端口号为数据的后续数据包覆盖前面的具有 合法端口号的数据包, 那么该路由器防火墙上的过滤规则被旁路, 从而攻击者便达到了 进攻目的。 ICMP 是在网间层中与 IP 一起使用的协议。如果一个网关不为 IP 分组选择路由、不能 递交 IP 分组或者测试到某种不正常状态,如网络拥挤

7、影响 IP 分组的传递,那么就需要 ICMP 来通知源端主机采取措施,避免或纠正这类问题。 ICMP 被认为是 IP 协议不可缺 少的组成部分,是 IP 协议正常工作的辅助协议。 ICMP 协议存在的安全缺口有: z攻击者可利用 ICMP 重定向报文破坏路由,并以此增强其窃听能力。 z攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。 2.3 路由协议 Internet 使用动态路由, 通过路由器相互通信和传递路由信息, 实现路由表的自动更新。 自治域内部采用的路由协议称为内部网关协议,常用的有路由信息协议 RIP(Routing Information Protocol、 开放式最短路径优

8、先协议 OSPF(Open Shortest Path First。 外部网 关协议主要用于多个自治域之间的路由选择,常用的是边界网关协议 BGP(Border Gateway Protocol。 路由协议存在的安全缺口有: z许多路由协议使用未加密的非一次性口令来证实数据中的路由信息, 容易遭到非法 窃听。 攻击者通过伪造一非法路由器或者其它手段发送伪造路由信息, 扰乱合法路 由器的路由,从而使本应到达目标主机的数据包转发至入侵主机。 z由于 BGP 通过 TCP 传送数据, 目前对 TCP 不断加剧的攻击也是影响 BGP 安全的一个 重要因素。 2.4 域名系统 为了解决 IP 地址难于记忆的问题, TCP/IP设计了一种层次性命名协议,即域名系统 DNS ,其作用是自动将主机域名转换成对应的 IP 地址。 DNS 也存在着一些安全缺口, 主要有: z由于 DNS 缺乏密码认证机制, 攻击者可通过假冒其它系统或截取发往其它系统的邮 件等手段,对用户造成危害。 z目前许多防火墙产品基于未证实的 IP 地址来作出有关网络外部存取的决策,其中 若被插入假 DNS 信息,就