TCP IP协议的安全性与防范论文

1、毕业设计题目TCP/IP协议的安全性与防范摘要Internet的日益普及给人们的生活和工作方式带来了巨大的变革，人们 在享受网络技术带来的便利的同时，安全问题也提上了议事日程，网络安全也成为计算机领域的研究热点之一。本文在介绍因特网中使用的 TCP/IP协议的基础上，对TCP/IP协议的安全 性进行了较为全面的讨论，从理论上分析了协议中几种主要的安全隐患，然后在分析有关安全协议的研究成果的基础上，并加以防范。将网络安全理论与实 践结合是提高网络安全性的有效途径。本文利用目前常用的协议分析工具对TCP/IP协议子过程进行了深入的分析，希望能对未来的信息社会中网络安全 环境的形成有所帮助。关键词：

2、TCP/IP 安全性协议网络ABSTRACTThe increasingly popularization of Internet brings great changes to the manners of peoples living and working. As people enjoy the convenience brought by network technology, security issues also come into consideration. Network security also becomes one of the research hotspots

3、 in the computer domain.This paper mainly focuses on the security of the TCP/IP protocol on the basis of introduction of the TCP/IP protocol. It also analyzes the several main hidden troubles in this protocol. By analyzing the achievements in the research of the related secure protocol ， and plus in

4、 order to take away. It is an effective way to combine the theory of the network security with the practice. This paper studies deeply on the TCP/IP protocol s sub-process, using the protocol analyzing tools that currently usually used and hope to be helpful to form a network security environment in

5、 the coming information society.Keywords: TCP/IP Security Protocol Network目录 TOC o 1-5 h z HYPERLINK l bookmark7 o Current Document 引言 5 HYPERLINK l bookmark23 o Current Document 第一章TCP/IP体系结构 6应用层 6传输层 6网络层 7网络接口层 7 HYPERLINK l bookmark42 o Current Document 第二章TCP/IP协议安全设计缺陷的攻击与防范 8 HYPERLINK l boo

6、kmark50 o Current Document 网络接口层上的攻击与防范 8 HYPERLINK l bookmark58 o Current Document 网络层上的攻击与防范 9 HYPERLINK l bookmark90 o Current Document 传输层上的攻击与防范12 HYPERLINK l bookmark102 o Current Document 应用层上的攻击与防范14 HYPERLINK l bookmark109 o Current Document 第三章测试TCP/IP协议 16 HYPERLINK l bookmark118 o Curren

7、t Document 第四章用协议分析工具学习TCP/IP 17网络环境 17测试过程 17过程分析 19实例分析 22 HYPERLINK l bookmark163 o Current Document 总结 26 HYPERLINK l bookmark166 o Current Document 参考文献 27 HYPERLINK l bookmark181 o Current Document 致谢 28 HYPERLINK l bookmark184 o Current Document 附录 29引言由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的 主要原因。TC

8、P/IP作为Internet使用的标准协议集，是黑客实施网络攻击的 重点目标。TCP/IP协议族是目前使用最广泛的网络互联协议。但TCP/IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下，首先 考虑网络互联缺乏对安全方面的考虑；这种基于地址的协议本身就会泄露口令，而且经常会运行一些无关的程序，这些都是网络本身的缺陷。互联网技术 屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。这就给“黑客” 们攻击网络以可乘之机。由于大量重要的应用程序都以 TCP作为它们的传输层 协议，因此TCP的安全性问题会给网络带来严重的后果。网络的开放性，TCP/IP协议完全公开，远程访问

9、使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等性质使网络更加不安全。因此，目前正在制定安全协议， 在互联的基础上考虑了安全的因素， 希望能对未来的信息社会中对安全网络环 境的形成有所帮助。第一章 TCP/IP体系结构Internet上使用的是TCP/IP协议。IP, “网际互联协议”，即为计算机网 络相互连接进行通信而设计的协议。TCP是传输控制协议。TCP/IP协议是能使 连接到网上的所有计算机网络实现相互通信的一套规则， 任何厂家生产的计算 机系统，只要遵守IP协议就可以与因特网互联互通。虽然从名字上看TCP/IP包括两个协议，传输控制协议和网际互联协议， 但TCP/IP

10、实际上是一组协议，它包括上百个各种功能的协议，如：UDP和ICMP等，通常我们叫它TCP/IP协议族，同其它的协议族一样，TCP/IP也是由不同 的层次组成，是一套分层的通信协议，但一个系统具体使用何种协议则取决于 网络用户的需求和网络设计人员的要求。从OSI的角度看，TCP/IP协议的层次结构并没有十分明确的划分，通常划分为四个层次，从上到下依次是应用层、 传输层、网络层和网络接口层。应用层应用层是TCP/IP的最高层，网络在此层向用户提供各种服务，用户则调 用相应的程序并通过TCP/IP网络来访问可用的服务，与每个传输层协议交互 的应用程序负责接收和发送数据。Internet在这一层中的协

11、议主要有：简单 电子邮件传输（SMTP）、超文本传输协议（HTTP）、文件传输协议（FTP）、网络 远程访问协议（Telnet）、域名服务协议（DNS）等，它们分别向用户提供了电 子邮件、网页浏览、文件传输、远程登录、域名解析等服务。传输层传输层的基本任务是提供应用程序之间的通信服务，即端到端的通信。当一个源主机上运行的应用程序要和目的主机联系时，它就向传输层发送消息， 并以数据包的形式送达目的主机。 传输层不仅要系统地管理信息的流动，还要提供可靠的端到端的传输服务，有确保数据到达无差错，无乱序。为了达到这 个目的，运输层协议软件要提供确认和重发的功能，同时传输层还处理控制、 拥塞控制等事务。

12、在TCP/IP的传输层有两个极为重要的协议：传输控制协议 TCP和用户数据报协议UDP。TCP是一个面向连接的协议，它允许从一台主机 发出的报文无差错地发往互联网上的其它机器。UDP是一个不可靠的、无连接协议，用于不需要TCP排序和流量控制而是自己完成这些功能的应用程序。它 也被广泛地应用于只有一次的客户-服务器模式的请求-应答查询，以及快速递 交更重要的应用程序，如传输语音或影像。另外，它还包含分级语音通信协议 NVP 等。网络层网络层是网络互联的关键，它解决了机器之间的通信问题。它接收传输层的请求，把来自传输层的报文分组封装在一个数据报中，并加上报头。然后按 照路由算法来确定是直接交付数据

13、报，还是先把它发送给某个路由器，再交给 相应的网络接口并发送出去。反过来对于接收到的数据报，网络层要校验其有 效性，然后根据路由算法决定数据报应该在本地处理还是转发出去。如果数据报的目的主机处于本机所在的网络，则网络层软件就会除去报头， 再选择适当的传输层协议来处理这个分组，同时网络层还处理局域网络互联和拥塞避免等 事务。网络层有向上面的传输层提供服务、路由选择、流量控制、网络互联等 四个主要功能，Internet的网络层协议主要有 IP协议、网络控制报文协议 ICMP、Internet组管理协议IGMP、地址解析协议ARP和反向地址转换协议RARP 等。网络接口层网络接口层是TCP/IP协议

14、的最低层，它负责接收来自网络层的IP数据报， 并把数据报发送到指定的网络上。或从网络上接收物理帧，抽出网络层数据报， 交给网络层。网络接口层可能由一个设备驱动程序组成，也可能是一个子系统， 且子系统使用自己的链路协议。 从理论上讲，该层并不是TCP/IP之间的接口， 是TCP/IP实现的基础，这些通信网络包括局域网（LAN）、城域网（MAN）、广 域网（WAN）等。其体系结构及各层集中的协议如下图所示：层次结构各层集中的主要协议应用层FTP HTTP TELNET SMTP DNS传输层TCP UDP网络层IP ARP ICMP IGMP RARP网络接口层LAN ARPANET SLIP第二

15、章 TCP/IP协议安全设计缺陷的攻击与防范分析网络系统的安全威胁主要来自以下几个方面：操作系统的安全性，目前流行的许多听任系统均存在网络安全漏洞；防火墙的安全性，防火墙产品自身是否安全，是否设置错误，需要经 过认真检验；来自内部网用户的安全检查威胁；缺乏有效的手段监视网络系统的安全性；采用的TCP/IP协议族本身的安全隐患；但由于TCP/IP协议在网络中的广泛应用及其自身安全性上的缺陷，大多 数攻击都是基于TCP/IP协议的，因此我们针对TCP/IP网络的四层结构，从下 向上，就常见的攻击与防范手段进行探讨。网络接口层上的攻击与防范网络窥探网络接口层是TCP/IP网络中最复杂的一个层次，常见

16、的攻击是针对组成 TCP/IP网络的以太网进行网络窥探。所谓网络窥探是利用网络上的接口接收 不属于本机的数据。在以太网中，所有的通讯都是广播的，也就是说在同一个 网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址， 这个硬件地址就是网卡的MAC地址，在网络上 进行数据通信时，信息以数据报的形式传送，其报头包含了目的主机的硬件地 址，只有硬件地址匹配的机器才会接收该数据报，然而网络上也存在一些能接收所有数据报的机器(或接口)，称为杂错节点。一般情况下，用户的帐号和 口令等信息都是以明文的形式在网络上传输的，所以一旦被黑客在杂错节点上窥探到，用户就可能遭

17、到攻击，从而遭受难以弥补的损失。针对这一类攻击， 通常可采取以下几种防范措施：网络分段：这是防止窥探最有效的手段。在网络中使用交换机、动态 集线器和网桥等设备，可以对数据流进行限制，最理想的情况应使每一台机器 都拥有自己的网络段，当然这会相应地增加很多网络建设费用。但可以尽量使相互信任的机器属于同一个网段，并在网段与网段间进行硬件屏障，最大限度 地防止窥探的产生。一次性口令技术：口令并不在网络上传输而是在两端进行字符串的匹配，客户端利用从服务器上得到的 Challenge和字符串只使用一次，我们就从 一定程度上限制了网络窥探。加密：对在网络中传送的敏感数据进行加密时，如用户 ID或口令等， 大

18、多采用SSH、FSSH等加密手段。禁用杂错节点：安装不支持杂错的网卡，通常可以有效地防止IBM兼容机进行窥探。网络层上的攻击与防范路由欺骗每一个IP数据报都是在主机的网络层被检查， 用以决定是转发同一子网 中的主机还是下一个路由器。路由欺骗有多种方法，但都有是采用伪造路由表， 错误引导非本地的数据报而实现的。基于源路由的攻击一般情况下，IP路由过程中是由路由器来动态决定下一个驿站的。但是 在TCP/IP协议中，IP数据报为进行测试而直接设置了一个选项，通过IP欺骗的方式，构造一个通往服务器的直接路径，从而对服务器展开攻击。防止源路由欺骗方法：通过检测本机的常驻数据，查看此信息是否来自于合法的路

19、由器，防 止路由欺骗；通过在服务器的网络中禁用相关的路由来防止这种攻击。基于RIP攻击现代计算机网络通常使用动态路由算法，RIP协议是为了对局域网中的节 点提供一致路由选择和可达性信息而设计的。但TCP/IP协议并未要求各节点检查收到信息的真实性，因此，攻击者可能使用RIP特权主机的520端口广播 假的路由信息来达到欺骗的目的。防止RIP攻击的方法是：禁止路由器被动使用RIP和限制被动使用RIP的范围。2.IP拒绝服务攻击(Smurf攻击)基于互联网控制信息包(ICMP )的Smurf攻击是一种强力的拒绝服务攻击方法，主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络， 以及被利

20、用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中，主要的角色有：攻击者、中间代理（也就是所说的扩散器）牺牲品（目标主机）Smurf攻击仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步：（1）锁定一个被攻击的主机（通常是一些Web服务）；（2）寻找可作为中间代理的站点，用来对攻击实施放大；（3）黑客给中间代理站点的广播地址发送大量的ICMP包（主要是指Pingecho包）。这些数据包全都以被攻击的主机的IP地址作为IP包的源地址；（4）中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包；（5）中间代理主机对被攻击的网络进行响应。防止网络遭受Smurf攻击：千万不能让网络里的人

21、发起这样的攻击。在Smurf攻击中，有大量的源欺骗的IP数据包离开了第一个网络。通过在路由器上使用输出过滤，就可以滤掉这样的包，从而阻止从网络中发起的Smurf攻击。在路由器上增加这类过 滤规则的命令是：Access-list 100 permit IP 网络号 网络子网掩码 any Access-list 100 deny IP any any ；在局域网的边界路由器上使用这一访问列表的过滤规则，就可以阻止网络上的任何人向局域网外发送这种源欺骗的 IP数据包。停止网络作为中间代理。如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播，命令如下：no ip dir

22、ected-broadcast ；如果网络比较大，具有多个路由器，那么可以在边界路由器上使用以下命令：ip verify unicast reverse-path ；让路由器对具有相反路径的ICMP欺骗数据包进行校验，丢弃那些没有路径存在的包。最好是运行Cisco快速转 发（CEF），或者其它相应的软件。这是因为在路由器的CEF表中，列出了该数据包所到达网络接口的所有路由项，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。例如，路由器接收到一个源IP地址为的数据包，如果CEF路由表中没有为IP地址提供任何路由（即反向数据包 传输时所需的路由），则路由器会丢弃它。ARP欺骗TCP/IP中

23、使用的地址转换协议 ARP，主要解决32位的IP地址和物理地址 的互相转换问题。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在国际范围内唯一标识主机的一种逻辑地址。为了让报文在物理网上传送，还必须知道相应的物理地址，我们就存在把互联网地址变换为物理地址的地址转换问题。以以太网为例，在进行报文发送时，如果源 网络层给的报文只有IP地址，而没有对应的以太网地址，则网络层广播ARP请求以获取目的站信息，而目的站必须回答该ARP请求。这样源站点可以收到 以太网48位地址，并将地址放入相应的高速缓存(cache)。下一次源站点对 同一目的站点的地址转换可直接引用高速缓

24、存中的地址内容。地址转换协议 ARP使主机只需给出目的主机的IP地址就可以找出同一物理网络中任一个物理主机的物理地址。由于cache中的数据通常几分钟后就会过期，攻击者就可以伪造IP-物理地址联系，并且可以使用不工作主机的IP地址。一旦cache中的数据过期，攻击者便可入侵信任服务器。ARP欺骗防范：1、在 win xp 下输入命令： arp -s gate-way-ip gate-way-mac 固化 arp 表，阻止arp欺骗。2、通过查询IP-MAC对应表不要把网络安全信任关系建立在IP基础上或MAC基础上，理想的关系应该建立在IP+MAC基础上。设置静态的MAC-IP对应表，不要让主机

25、刷新设定好的转换表。除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。使用proxy代理IP的传输。使用硬件屏蔽主机。设置好的路由，确保IP地址能到达合法的路径。管理员定期用响应的IP包中获得一个rarp请求，然后检查ARP响应 的真实性管理员定期轮询，检查主机上的 ARP缓存。使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有 可能导致陷阱包丢失。网际控制报文协议攻击(Ping of Death攻击)ICMP即Internet控制消息协议。用于在 I

26、P主机、路由器之间传递控制 消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的 消息。Ping就是最常用的基于ICMP的服务。ICMP协议本身的特点决定了它非 常容易被用于攻击网络上的路由器和主机。比如，可以利用操作系统规定的 ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death ”攻 击。“Ping of Death”攻击的原理是：利用IP广播发送伪造的ICMP回应请 求包，向目标主机长时间、连续、大量地发送ICMP数据包，使得目标主机耗费大量的CPU资源处理。如果ICMP数据包的尺寸超过64KB上限时，主机就会出 现内存分配错误，导致TCP

27、/IP堆栈崩溃，致使主机死机。对于“ Ping of Death ”攻击,可以采取两种方法进行防范：路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定 的范围内。这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网 络的影响非常少；在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。传输层上的攻击与防范TCP连接欺骗(IP欺骗)IP协议在互联网络之间提供无连接的数据包传输。IP协议根据IP头中的 目的地址项来发送IP数据包。也就是说，IP路由IP包时，对IP头中提供的源 地址不作任何检查，并且认为IP头中的源地址即为发送该包的机器的 IP地址。

28、 这样，许多依靠IP源地址做确认的服务将产生问题并且会被非法入侵。 其中最 重要的就是利用IP欺骗引起的各种攻击。以防火墙为例，一些网络的防火墙只允许网络信任的IP数据包通过。但是由于IP地址不检测IP数据包中的IP源地址是否为发送该包的源主机的真实 地址，攻击者可以采用IP源地址欺骗的方法来绕过这种防火墙。另外有一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP源地址欺骗 的方法获得特权，从而给被攻击者造成严重的损失。事实上，每一个攻击者都可 以利用IP不检验IP头源地址的特点，自己填入伪造的IP地址来进行攻击，使 自己不被发现。基于IP欺骗的防范方法有：（1）抛弃基于地址的

29、信任策略；（2）进行包过滤。如果网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤。确认只有内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希 望与内部建立连接的请求；（3）使用加密技术。阻止IP欺骗的一种简单的方法是在通信时要求加密传 输和验证。当有多种手段并存时，加密方法可能最为适用。SYN Flood 攻击TCP是基于连接的。为了在主机 A和B之间传送TCP数据，必须先通过3 次握手机制建立一条TCP连接。若A为连接方、B为响应方，则连接建立过程 如下：首先，连接方A发送一个包含SYN标志的TCP报文（即

30、同步报文）给B,SYN 报文会指明连接方A使用的端口以及TCP连接的初始序号X;随后，响应方B 在收到连接方A的SYN报文后，返回一个SYN+ACK的报文（其中SYN是自己的 初始序号Y,ACK为确认号X+1,表示客户端的请求被接受，正在等待下一个报 文）。最后，连接方A也返回一个确认报文ACK（序列号y+1）给响应方B。到此 一个TCP连接完成。在连接过程中，可能受到的威胁如下：攻击者监听B方发出的SYN+ACK报文, 然后向B方发送RST包。接着发送SYN包，假冒A方发起新的连接。B方响应 新连接，并发送连接响应报文SYN+ACK。攻击者再假冒A方对B方发送ACK包。 这样攻击者便达到了破

31、坏连接的作用。若攻击者再趁机插入有害数据包，则后果更严重。例如，在TCP的3次握手中，假设1个用户向服务器发送了 SYN报文后突然 死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（即第3次握手无法完成），这种情况下服务器端一般会再次发送 SYN+ACK给客户端，并等待一段时间后丢弃这个未完成的连接 ，这段时间的长 度我们称为SYN Timeout, 一般来说这个时间是分钟的数量级（大约为30秒-2 分钟）；1个用户出现异常导致服务器的一个线程等待 1分钟并不是什么大问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常 大的半连接列表而消

32、耗非常多的资源。服务器端将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求，此时从正常客户的角度看来，服务器失去响应，这种情况我们称作服务器端受到了SYN Flood攻击。如下图所示TCP Syn攻击客尸服务器客户围锌器(1) TCP SynCDTCP Syn1TCP Syn AcKTCP AcK分配资温等帝回复TCP Syn AcK等帝回复等律超时(Ti耻Out)正常TCP请求SYN-Flooding 攻击示意图对于SYN Flood攻击，可以从以下几个方面加以防范：对系统设定相应的内核参数，使得系统强制对超时的 SYN请求连接数 据包复位，同时通过缩短超时常数和加长等候队列使得系

33、统能迅速处理无效的 SYN请求数据包；建议在该网段的路由器上做些配置的调整，这些调整包括限制 SYN半开数据包的流量和个数；建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过 程的数据包才可进入该网段，这样可以有效的保护本网段内的服务器不受此类 攻击。应用层上的攻击与防范DNS欺骗当主机需要将一个域名转化为IP地址时，它会向某DNS服务器发送一个查询请求。同样道理，将IP地址转化为域名时，可发送一个反查询请求。这 样，一旦DNS服务器中的数据被修改破坏，DNS欺骗就会产生。因为网络上的 主机都信任DNS服务器，所以一个被破坏的DNS服务器就可以将客户引导到非 法的服务器，从而就

34、可以使某个IP地址产生IP欺骗。防范方法有：直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击，这种方 式简单，但有时不现实；在主机上保留一个域名和相应IP地址的数据库，至少要保留信任主机的相关信息，同时使用交叉查询的方法来杜绝攻击的发生；加密所有对外的数据流，对服务器来说就是使用SSH之类的有加密支持 的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。第三章测试TCP/IP协议安装网络硬件和网络协议之后，一般要进行TCP/IP协议的测试工作，应从局域网和互联网两个方面测试，以下是利用命令行测试TCP/IP配置的步骤：1、单击“开始” / “运行”，输入CMD按回车，打开

35、命令提示符窗口。2、首先检查IP地址、子网掩码、默认网关、DNS服务器地址是否正确， 输入命令ipconfig/all,按回车。此时显示了网络配置，观查是否正确。3、输入ping ，观查网卡是否能转发数据，如果出现“ Requesttimed out”，表明配置差错或网络有问题。界面不通有两种情况，一是该计算 机不存在或没接网线，二是该计算机安装了防火墙并设置为不允许ping。4、Ping 一个互联网地址，如ping 8,看是否有数据包传回， 以验证与互联网的连接性。5、Ping 一个局域网地址，观查与它的连通性。6、用nslookup测试DNS解析是否正确，输入如nslookup ， 查看是

36、否能解析。如果计算机通过了全部测试， 则说明网络正常，否则网络可能有不同程度 的问题。不过，要注意，在使用 ping命令时，有些公司会在其主机设置丢弃 ICMP数据包，造成ping命令无法正常返回数据包，不防换个网站试试。第四章用协议分析工具学习TCP/IP目前，网络的速度发展非常快,TCP/IP协议是网络的基础，是 Internet 的语言，可以说没有 TCP/IP协议就没有互联网的今天。利用协议分析 IRIS 工具学习TCP/IP，在学习的过程中能直观的看到数据的具体传输过程。4.1网络环境如图1所示2掀号机1号机 TOC o 1-5 h z II_I _ 一LIII1 insL| |口飘

37、图1为了表述方便，下文中208号机即指地址为08的计算机， 1号即指地址为的计算机。2、操作系统两台机器都为Windows 2003，1号机机器作为服务器，安装 FTP服务器。3、协议分析工具本文选用Iris作为协议分析工具。在客户机208号机安装IRIS软件。4.2 测试过程1、测试例子将1号机计算机中的一个文件通过 FTP下载到208号机中。2、IRIS的设置由于IRIS具有网络监听的功能，如果网络环境中还有其它的机器将抓很 多别的数据包，因此首先将IRIS设置为只抓208号机和1号机之间的数据包。 设置过程如下：用热键CTRL+B弹出如图2地址表，在表中填写机器的 IP地址，为了 对抓的

38、包看得更清楚不要添主机的名字(name),设置好后关闭此窗口。图2用热键CTRL+E弹出如图3过滤设置，选择左栏 IP address ”，右栏 将address book中的地址拽到下面，设置好后确定，这样就这抓这两台计算 机之间的包。:dlt filter setthiys燃* Hardware filterT Layer Z, 3WurdsMA亡 addressIP addressPortsAdvancedIP addressNoAddrei3i3 1Dir.AddEei3i3 21192.ICO.113.203t=3，|192.ICO.11.125456间 This host 1G8.

39、 113.ffl-Dr u ide as t/Hiil t i c t曰 Aldr es 3 Be ck 192.16S.113.SOS D192.168,113,1 OM&iIhG IiLcludeL Ek ClUliXXXXXXX确号 职清 I 瓯用 I 做 j图33、抓包按下IRIS工具栏中开始按钮如图4所示的。在浏览器中输入： FTP:/，找到要下载的文件，鼠标右键该文件，在弹出的菜单 中选择“复制到文件夹”开始下载，下载完后在IRIS工具栏中按按钮停止抓包。图4过程分析1、TCP/IP的基本原理网络是分层的，每一层分别负责不同的通信功能。TCP/IP通常被认为是一个四层协议系统，TC

40、P/IP协议族是一组不同的协 议组合在一起构成的协议族，如图5所示。图5各层协议的关系数据发送时是自上而下，层层加码；数据接收时是自下而上，层层解码。 当应用程序用TCP传送数据时，数据被送入协议栈中，然后逐个通过每一层直 到被当作一串比特流送入网络。其中每一层对收到的数据都要增加一些首部信 息(有时还要增加尾部信息)，该过程如图6所示。TCP传给IP的数据单元称 作TCP报文段或简称为TCP段。I P传给网络接口层的数据单元称作 IP数据 报。通过以太网传输的比特流称作帧(Frame)。数据发送时是按照图6自上而下，层层加码；数据接收时是自下而上，层 层解码。图6逻辑上通讯是在同级完成的垂直

41、方向的结构层次是当今普遍认可的数据处理的功能流程。每一层都有与其相邻层的接口。为了通信，两个系统必须在各层之间传递数据、指令、地 址等信息，通信的逻辑流程与真正的数据流的不同。虽然通信流程垂直通过各层次，但每一层都在逻辑上能够直接与远程计算机系统的相应层直接通信。 从图7可以看出，通讯实际上是按垂直方向进行的， 但在逻辑上通信是在同级 进行的。FTP1 rr-：!.；ITJ?客户m| i-间|,._也Q何洛居:、河土：一：姒唯绑SITE* 匚洲图72、过程描述为了更好的分析协议，我们先描述一下上述例子数据的传输步骤。如图8所示：FTP客户端请求TCP用服务器的IP地址建立连接。TCP发送一个连

42、接请求分段到远端的主机，即用上述IP地址发送一份IP数据报。如果目的主机在本地网络上，那么IP数据报可以直接送到目的主机上。如果目的主机在一个远程网络上，那么就通过IP选路函数来确定位于本地网络上的下一站路由器地址，并让它转发IP数据报。在这两种情况下，IP数据报都是被送到位于本地网络上的一台主机或路由器。本例是一个以太网，那么发送端主机必须把32位的IP地址变换成48位的以太网地址，该地址也称为MAC地址，它是出厂时写到网卡上的世界唯一 的硬件地址。把IP地址翻译到对应的MAC地址是由ARP协议完成的。如图的虚线所示，ARP发送一份称作ARP请求的以太网数据帧给以太网上的每个主机，这个过程称

43、作广播。ARP请求数据帧中包含目的主机的IP地址，其意思是“如果你是这个IP地址的拥有者，请回答你的硬件地址。”目的主机的ARP层收到这份广播后，识别出这是发送端在寻问它的IP地址，于是发送一个ARP应答。这个ARP应答包含IP地址及对应的硬件地址。收到ARP应答后，使ARP进行请求一应答交换的IP数据包现在就可以 传送了。发送IP数据报到目的主机。图8实例分析卜面通过分析用iris捕获的包来分析一下TCP/IP的工作过程。第一组查找服务器下图显示的是1、2行的数据| Aidr IF etcIF dltst 一世 二Jh16:B:M:TTTBE FF:fP:Ff :FF:TF:FF 店 Afi

44、JT血112. I&fi. 113. EDS 192. I&8. 1X1 一 -一 ie：6:5:37T M:2r：?iE:54:53M:50:K：:!:CT:BE 谜 ARJ-；-K*ply 1. I&B. 111. I192.哪.113.2仲 这两行数据就是查找服务器及服务器应答的过程。在第1行中，源端主机的MAC地址是00:50:FC:22:C7:BE。目的端主机的F换算为二进MAC地址是FF:FF:FF:FF:FF:FF，这个地址是十六进制表示的， 制就是1111，全1的地址就是广播地址。所谓广播就是向本网上的每台网络 设备发送信息，电缆上的每个以太网接口都要接收这个数据帧并对它进行处

45、 理，这一行反映的是步骤5的内容，ARP发送一份称作ARP请求的以太网数据 帧给以太网上的每个主机。网内的每个网卡都接到这样的信息“谁是 的IP地址的拥有者，请将你的硬件地址告诉我”。第2行反映的是步骤6）的内容，在同一个以太网中的每台机器都会接收到这个报文，但正常状态下除了 1号机外其他主机应该会忽略这个报文，而 1号的主机的ARP层收到这份广播报文后，识别出这是发送端在寻问它的IP地址，于是发送一个 ARP应答。告知自己的IP地址和MAC地址。1号回答的 信息自己的MAC地址00:50:FC:22:C7:BE。第二组建立连接下图显示的是3-5行的数据Ml TlrreI仙二sojt沽日酎 M

46、AC det edit Frame Proceed ftddrAdii .IP dst I Pat am Pott Jest SEQACt：上16Ss51：377 B：50F二史;C7BE DO：知27代：削1 P TOP-J FT?斑】&WC9 】氾HXA 219町062QQt-Kt27S：S45300;SO:K：C7：BEPTOP- FTP吧-168J13J腺鼠21lOH1T73I952D69B祁舸做 柜16:59:377二您;C7BEDO:9ft27:54S3IPFCP- FTPTK-lfiSd饮2呻1驰60口1064219671423i773195209 54这三行数据是两台机器建立连

47、接的过程。这三行的核心意思就是TCP协议的三次握手。TCP的数据包是靠IP协议 来传输的。但IP协议是只管把数据送到出去，但不能保证IP数据报能成功地到达目的地，保证数据的可靠传输是靠TCP协议来完成的。当接收端收到来自 发送端的信息时，接受端详发送短发送一条应答信息，意思是：“我已收到你的信息了。”第三组数据将能看到这个过程。TCP是一个面向连接的协议。无 论哪一方向另一方发送数据之前，都必须先在双方之间建立一条连接。建立连接的过程就是三次握手的过程。下面来分析一下此例的三次握手过程。（1）请求端208号机发送一个初始序号（SEQ）987694419给1号机。（2）服务器1号机收到这个序号后

48、，将此序号加 1值为987694419作为应 答信号（ACK），同时随机产生一个初始序号（SEQ）1773195208，这两个信号 同时发回到请求端208号机，意思为：“消息已收到，让我们的数据流以 1773195208这个数开始。”SEQ)（3）请求端208号机收到后将确认序号设置为服务器的初始序号（ 1773195208加1为1773195209作为应答信号。如图 112睡号机】导机图9三次握手以上三步完成了三次握手，双方建立了一条通道，接下来就可以进行数据 传输了。第三组数据传输下图显示的是57-60行的数据NO.uma 们I M有匚dsSL小Fl-difieI FTM：心IF S IX

49、Add!. FijfestI FCrt.SrCreq1S70&WiFC；EZ7lBEJPTCPL9E.LEfl.Ll3i.lL?E.16B.1L?.3WD571曜6H7B3EIZ72LSHS316:9:35Mk&(l:fC2:C7jBprepl.ltd.L9Ji.20gL盟柏.113.1Chb110527珪娘1!消囱邃耳35 4网g切汪心在拆黄IPrp1驼L的L特,1IWtII相孔巷EL5H316:35 4用Oft统弭攵p1费L曲仙L鸵:拍,lL3.itab的立王5弟54这四行数据是数据传输过程中一个发送一个接收的过程。前文说过，TCP提供一种面向连接的、可靠的字节流服务。当接收端收到 来自发

50、送端的信息时，接受端要发送一条应答信息，表示收到此信息。数据传 送时被TCP分割成认为最适合发送的数据块。一般以太网在传送时TCP将数据 分为1460字节。也就是说数据在发送方被分成一块一块的发送，接受端收到 这些数据后再将它们组合在一起。57行显示1号机给208号机发送了大小为1514字节大小的数据，数据发 送时是层层加协议头的，应答信号ACK为：1781514222，SEQ序号1781512762 加上传送的数据1460，208号机将这个应答信号发给1号机说明已收到发来的 数据。58行显示的应答信号 ACK为：1781514222，这个数是57行得SEQ序号 1781512762加上传送的

51、数据1460，208号机将这个应答信号发给 1号机说明 已收到发来的数据。59、60行显示的是继续传送数据的过程。第四组终止连接下图显示的是93-96行的数据Kw IhttrwFr-WltPwlwdAM IPM硕】pgPM 如5EQACK5tt 土I都flkSh心 2 心:BEJPrap庆g ILL奶L疝L6MHL06E 1ffi7的沏光碰H6T535盛弭1G;心协gg圣 EEVTCPUS色3漓村M铀,LI乱浏I? ING/由富跋：古B0S?3S?9D也：史3&宓ffl:5a：FC22:C7:EEIFrd ftpwgisaiLLm12166.113.1106421童为 5+574L?73i9t

52、BE54勺L做IFg# FTPu*心m湖2Lll?31Sttl饲抬HEX9216:9:35: ffi?OI:5Q:FC22:C7:EEPTCP-5 FTP庞1跖LL混Lg2.L6fi.il3d1064219S7457Wl!77319t(KE54OJ;50B;那ft*;施;51 $3IFTOa Ftp曲ILL血L?E.LH.LX1LIW1 tl3孔宋村H切郭国t，5t 函前:而一bi:W:Ffe5453E:成宜妄行拍FIF_ KP Java ActiveX 等技术的大量应用，计算机病毒的产生与传播，网络被非法入侵有愈演愈烈的 趋势。因此，仅仅考虑TCP/IP的安全是远远不够的，其它如操作系统和防火 墙的安全，网络安全意识的提高等都应该是我们关注或研究的重点。参考文献寺田真敏，萱岛信，TCP/IP网络安全篇，北京：科学出版社，2003Sean Convery.CCIE No.4232: Network Security Architectures, Bei