IP 网络漏洞和安全

第第页TCP/IP网络漏洞和安全TCP/IP网络漏洞和安全

发表于：2023-06-23来源：：点击数：标签：

TCP/IP协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务（DOS）、ConnectionHijacking以及其它一系列攻击行为。TCP/IP主要存在以下几个方面的安全问题：TCPSYNattacks或SYNFlooding―TCP利用序列号以确保数据以正确顺

TCP/IP协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务（DOS）、ConnectionHijacking以及其它一系列攻击行为。TCP/IP主要存在以下几个方面的安全问题：

TCPSYNattacks或SYNFlooding―TCP利用序列号以确保数据以正确顺序对应特定的用户。在三向握手（Three-WayHandshake）方式的连接打开阶段，序列号就已经建立好。TCPSYN攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机B接收到来自A的SYN请求，那么它必须以“ListenQueue”跟踪那部分打开的连接，时间至少维持75秒钟，并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送SYN请求，但不答复SYNACK，从而形成一个小型的ListenQueue，而另一台主机则发送返回。这样，另一台主机的ListenQueue迅速被排满，并且它将停止接收新连接，直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务（Denial-of-Service）攻击，而在其它攻击中也常发生这样的行为，如伪IP。

IPSpoofing―伪IP技术是指一种获取对计算机未经许可的访问的技术，即攻击者通过伪IP地址向计算机发送信息，并显示该信息来自于真实主机。IP层假设它所接收到的任何IP数据包上的源地址都与实际发送数据包的系统IP地址（没有经过认证）相同。很多高层协议和应用程序也会作这样的假设，所以似乎每个伪造IP数据包源地址的人都可以获得非认证特免。伪IP技术包含多种类型，如Blind和Non-BlindSpoofing、Man-in-the-Middle-Attack（ConnectionHijacking）等。详细内容请参照“伪IP”文档。

RoutingAttacks―该攻击利用路由选择信息协议（RIP：TCP/IP网络中的基本组成）。RIP主要用来为网络分配路由选择信息（如最短路径）并将线路传播出局域网络。与TCP/IP一样，RIP没有建立认证机制，所以在无需校验的情况下就可以使用RIP数据包中的信息。RIP攻击会改变数据发送目的地，而不能改变数据源位置。例如，攻击者可以伪造一个RIP数据包，并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送，并且进行修改或检查。攻击者还可以通过RIP高效模仿任何主机，并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。

ICMPAttacks―IP层通常使用Internet控制信息协议（ICMP：InternetControlMessageProtocol）向主机发送单行道信息，如“ping”信息。ICMP中不提供认证，这使得攻击者有机会利用ICMP漏洞攻击通信网络，从而导致拒绝服务（DenialofService）或数据包被截取等攻击。

拒绝服中务基本上利用ICMPTimeExceeded或DestinationUnreachable信息，使得主机立即放弃连接。攻击者可以伪造其中一个ICMP信息，然后将它发送给通信主机双方或其中一方，以取消通信双方之间的连接。另外通过ICMP中的Redirect信息（当某台主机错误地以为目的端不在局域网络中时，网关通常也会使用Redirect信息），攻击者可以截取网络数据包。如果攻击者伪造一个ICMP“Redirect”信息，另一台主机在不知情的情况下继续发送数据包，建立与攻击者机器之间的连接。这种攻击类型类似于RIP攻击，所不同的是ICMP信息只适用于现有连接，并且攻击者（接收重定向的主机）必须在局域网络中。

DNSAttacks―域名系统DNS是Internet中适用较为普遍的一种协议，主要用于映射主机名和IP地址。攻击者利用IP地址和主机名之间的映射性质欺骗名称认证。但可以通过在第一次查询返回的主机名上执行第二次查询的方法避免这种攻击。

TheIPAddressasIdentifierisnoLongerUnique―任何依靠IP地址维持机器时间或空间上唯一的安全模式都有其不足之处，这归因于广泛使用的网络地址转换和动态IP地址技术。在现今的TCP/IP网络中，各种网络协议应用广泛，如PPP/SLIP和DHCP协议，其中DHCP协议支持主机lease任意时间的IP地址。防火墙（代理socket服务器）以及其它网络地址转换器（NetworkAddressTranslators）是IP地址作为标识符的更为复杂的应用，这主要表现在当通信流量在网络内、外传输时，它们仍可以转换地址。不同的主机可能使用同样的IP地址，或同一台主机可能具有不同的IP地址。因此IP地址不再是用于识别主机的唯一标识。

有很多可行工具可以帮助最小化或阻止以上出现的各种安全问题。另一方面，为增强TCP/IP协议安全性