網(wǎng)絡(luò)系統(tǒng)管理論文---tcpip協(xié)議的安全性研究畢業(yè)設(shè)計-文庫吧
2024-10-25 13:05 本頁面
【正文】 定的一簇大家共同遵守的格式和約定該協(xié)議是美國國防部高級研究計劃署為簡歷ARPANET 開發(fā)的在這個協(xié)議集中兩個最知名的協(xié)議就是傳輸控制協(xié)議 TCP Transfer Contorl Protocol 和網(wǎng)際協(xié)議 IPInter Protocol 故而整個協(xié)議集被稱為 TCPIP 之所以說 TCPIP 是一 個 協(xié) 議 簇 是 因為 TCPIP 包括了TCPIPUDPICMPRIPTELNETFTPSMTPARP 等許多協(xié)議對因特網(wǎng)中主機的尋址方式主機的命名機制信息的傳輸規(guī)則以及各種各樣的服務(wù)功能均做了詳細(xì)約定這些約定一起稱為 TCPIP TCPIP 協(xié)議和開放系統(tǒng)互連參考模型一樣是一個分層結(jié)構(gòu)協(xié)議的分層使得各層的任務(wù)和目的十分明確這樣有利于軟件編寫和通信控制 TCPIP 協(xié)議分為 4層由下至上分別是網(wǎng)路接口層網(wǎng)際層傳輸層和應(yīng)用層如圖 11 所示 圖 11 TCPIP 協(xié)議層次圖 12 TCPIP 協(xié)議的主要特點 1 開放的協(xié)議標(biāo)準(zhǔn)可以免費使用并且 獨立于特定的計算機硬件與操作系統(tǒng) 2 獨立于特定的網(wǎng)絡(luò)硬件可以運行在局域網(wǎng)廣域網(wǎng)更適用于互聯(lián)網(wǎng)中 3 統(tǒng)一的網(wǎng)絡(luò)地址分配方案使得整個 TCPIP 設(shè)備在網(wǎng)中都具有惟一的地址 4 標(biāo)準(zhǔn)化的高層協(xié)議可以提供多種可靠的用戶服務(wù) 13 TCPIP 協(xié)議的總體概況 目前在 Inter 上使用的是 TCPIP 協(xié)議 TCPIP 協(xié)議叫做傳輸控制網(wǎng)際協(xié)議它是 Inter 國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ) TCPIP 是網(wǎng)絡(luò)中使用的基本的通信協(xié)議其中IP Inter Protocol 全名為 網(wǎng)際互連協(xié)議 它是為計算機網(wǎng)絡(luò) 相互連接進行通信而設(shè)計的協(xié)議 TCP Transfer Control Protocol 是傳輸控制協(xié)議 TCPIP 協(xié)議是能夠使連接到網(wǎng)上的所有計算機網(wǎng)絡(luò)實現(xiàn)相互通信的一套規(guī)則正是因為有了 TCPIP 協(xié)議因特網(wǎng)才得以迅速發(fā)展成為世界上最大的開放的計算機通信網(wǎng)絡(luò) 從表面名字上看 TCPIP 包括兩個協(xié)議傳輸控制協(xié)議 TCP 和互聯(lián)網(wǎng)際協(xié)議 IP 其實 TCPIP 實際上是 1 組協(xié)議的集合它包括了上百個各種功能的協(xié)議如遠程登錄文件傳輸和電子郵件等等而 TCP 協(xié)議和 IP 協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€基本的重要協(xié)議 IP 協(xié)議之所以能使各 種網(wǎng)絡(luò)互聯(lián)起來是由于它把各種不同的幀統(tǒng)一轉(zhuǎn)換成 IP數(shù)據(jù)報格式這種轉(zhuǎn)換是因特網(wǎng)的一個最重要的特點所以 IP協(xié)議使各種計算機網(wǎng)絡(luò)都能在因特網(wǎng)上實現(xiàn)互通即具有開放性的特點 TCPIP 協(xié)議的基本傳輸單位是數(shù)據(jù)包 datagram TCP 協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個數(shù)據(jù)包并給每個數(shù)據(jù)包加上包頭包頭上有相應(yīng)的編號以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來的格式 IP 協(xié)議在每個包頭上還要加上接收端主機地址這樣數(shù)據(jù)通過路由器中的MAC地址來確定數(shù)據(jù)的流向如果傳輸過程中出現(xiàn)數(shù)據(jù)丟失數(shù)據(jù)失真等情況 TCP協(xié)議會自動要求數(shù)據(jù)重新傳輸并重新組總之 IP 協(xié)議保證數(shù)據(jù)的傳輸而 TCP 協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量 TCPIP協(xié)議數(shù)據(jù)的傳輸基于 TCPIP協(xié)議的 4層結(jié)構(gòu)應(yīng)用層傳輸層網(wǎng)絡(luò)層接口層 2 各協(xié)議層存在的安全漏洞 21 鏈路層存在的安全漏洞 我們知道在以太網(wǎng)中信道是共享的任何主機發(fā)送的每一個以太網(wǎng)幀都會到達別的與該主機處于同一網(wǎng)段的所有主機的以太網(wǎng)接口一般地 CSMACD 協(xié)議使以太網(wǎng)接口在檢測到數(shù)據(jù)幀不屬于自己時就把它忽略不會把它發(fā)送到上層協(xié)議如ARPRARP 層或 IP 層如果我們對其稍做設(shè)置或修改就可以使一個以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀例如有的實現(xiàn)可以使用雜錯接點 即能接收所有數(shù)據(jù)幀的機器節(jié)點解決該漏洞的對策是網(wǎng)絡(luò)分段利用交換器動態(tài)集線器和橋等設(shè)備對數(shù)據(jù)流進行限制加密采用一次性口令技術(shù)和禁用雜錯接點 22 網(wǎng)絡(luò)層漏洞 幾乎所有的基于 TCPIP 的機器都會對 ICMPecho 請求進行響應(yīng)所以如果一個敵意主機同時運行很多個 ping 命令向一個服務(wù)器發(fā)送超過其處理能力的ICMPecho請求時就可以淹沒該服務(wù)器使其拒絕其他的服務(wù)另外 ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進行方便的攻擊如收集目標(biāo)上的信息并進行秘密通信等解決該漏洞的措施是拒絕網(wǎng)絡(luò)上的 所有 ICMPecho 響應(yīng) 23 IP 漏洞 IP包一旦從網(wǎng)絡(luò)中發(fā)送出去源 IP地址就幾乎不用僅在中間路由器因某種原因丟棄它或到達目標(biāo)端后才被使用這使得一個主機可以使用別的主機的 IP 地址發(fā)送 IP包只要它能把這類 IP包放到網(wǎng)絡(luò)上就可以因而如果攻擊者把自己的主機偽裝成被目標(biāo)主機信任的友好主機即把發(fā)送的 IP包中的源 IP地址改成被信任的友好主機的 IP地址利用主機間的信任關(guān)系 Unix網(wǎng)絡(luò)軟件的開發(fā)者發(fā)明的術(shù)語和這種信任關(guān)系的實際認(rèn)證中存在的脆弱性只通過 IP 確認(rèn)就可以對信任主機進行攻擊注意其中所說的信任關(guān)系是指一個被授權(quán)的主 機可以對信任主機進行方便的訪問所有的 r 命令都采用信任主機方案所以一個攻擊主機把自己的 IP 改為被信任主機的 IP 就可以連接到信任主機并能利用 r 命令開后門達到攻擊的目的解決這個問題的一個辦法是讓路由器拒絕接收來自網(wǎng)絡(luò)外部的 IP 地址與本地某一主機的 IP 地址相同的 IP 包的進入 24 ARP 欺騙 ARP 協(xié)議在對 IP 地址進行解析時利用 ARP 緩存也叫 ARP 表來做 ARP 緩存的每一條目保存有 IP 地址到物理地址的映射如果在 ARP 表中沒有這樣的對應(yīng)條目ARP 協(xié)議會廣播 ARP 請求獲得對應(yīng)于那個 IP 地址的物理地址并把該對應(yīng)關(guān)系加入到 ARP表中 ARP表中的每一個條目都有一個計時器如果計時器過期該條目就無效因而被從緩存中刪除顯然如果攻擊者暫時使用不工作的主機的 IP 地址就可以偽造 IP物理地址對應(yīng)關(guān)系對把自己偽裝成象那個暫時不使用的主機一樣克服此問題的方法是讓硬件地址常駐內(nèi)存并可以用 ARP 命令手工加入特權(quán)用戶才可以那樣做也可以通過向 RARP服務(wù)器詢問來檢查客戶的 ARP欺騙因為 RARP服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和 IP 的相關(guān)信息 25
法律信息相關(guān)推薦
鄂ICP備17016276號-1