【正文】 f Service,ToS)， 8 位，根據分組的處理指定對應的運輸層請求。無連接 (connectionless)這個木語的意思是 IP 并不維護任何關于后續(xù)數據報的狀態(tài)信息，每個數據報的處理是相互獨立的。 IP 報文 IP 是 TCP/IP 協(xié)議族中最為核心的協(xié)議。上面的劃分方法造成了 B 類 IP 地址的大量浪費，因為一個主機數超過 256 的網絡不得不去申請一個 B 類 IP 地址，而 B 類 IP 地址能容納 65536 臺。 IP 地址有兩部分組成，一部分為網絡地址，另一部分為主機地址， IP 地址分為 A, B, C, D, E， 5 類。傳輸層協(xié)議之一的 TCP 提供面向連接的服務，因為傳輸層是端到端的，所以傳輸層的安全性被稱為端到端的安全性。 （ 4） 應用層，處理特定的應用程序細節(jié)。 TCP/IP 網絡模型的網絡層在功能上非常類似于 OSI 參考模型中的網絡層。通常包括操作系統(tǒng)中的設備驅動程序（如局域網的網絡接口）和含自身數據3 鏈路協(xié)議的復雜子系統(tǒng)（如 ）。 TCP/IP 協(xié)議的基本傳輸單位是數據包 (datagram)。正是因為有了此協(xié)議，因特網才得以迅速發(fā)展成為世界上最大的、開放的計算機通信 網絡 。 2 1 TCP/IP 協(xié)議 Inter上使用的是 TCP/IP 協(xié)議。這就給 “黑客 ”們攻擊網絡以可乘之機。 TCP/IP 作為 Inter使用的標準協(xié)議集，是黑客實施網絡攻擊的重點目標。從而人們能充分的享受的全球共享，但是正因為 TCP/IP的開放性，它給 Inter 帶來的安全隱患也是全面而且系統(tǒng)的。s living and working. As people enjoy the convenience brought by work technology, security issues also e into consideration. As the design of the TCP/IP protocol is in the trusted environment, so itself has many security nonavoidant security also bees one of the research hotspots in the puter domain. This paper mainly focuses on the security of the TCP/IP protocol on the basis of introduction of the TCP/IP protocol and subprotocol. It also analyzes the several main hidden troubles in this protocol. And it is an effective way to bine the theory of the work security with the practice. This paper studies deeply on the TCP/IP protocol’s subprocess, using the protocol analyzing tools that currently usually used. Many experiments have been done on the hidden troubles in the TCP/IP protocol, and hope to be helpful to the user which are in the protocol application field. Keywords: TCP/IP ； Security ； Protocol ； IPSec ； SSL 1 前 言 TCP/IP（ Transmission Control Protocol/Inter Protocol）是 20世紀 70 年代中期美國國防部（ DoD）為其研究性網絡 ARPANET 開發(fā)的網絡體系結構， ARPANET 最初是通過租用的電話線將美國的幾百所大學和研究所連接起來。將網絡安全理論與實踐結合是提高網絡安全性的有效途徑。1 目 錄 前 言 ............................................................................ 1 1 TCP/IP 協(xié)議 ..................................................................... 2 TCP/IP 參考模型 ............................................................................................................. 2 TCP/IP 的可靠性思想 ...................................................................................................... 3 網際協(xié)議第 4 版 （ IPv4） .................................................................................................. 3 網際協(xié)議第 6 版 （ IPv6） .................................................................................................. 6 2 TCP/IP 協(xié)議安全性分析 ........................................................... 9 TCP/IP 協(xié)議主要安全隱患 ............................................................................................... 9 針對 TCP/IP 安全漏洞進行攻擊的理論分析 ...................................................................... 10 3 安全協(xié)議分析 ................................................................... 17 Inter 層 的安全 ........................................................................................................... 17 傳輸層的安全 ................................................................................................................. 25 應用層的安全 ................................................................................................................. 28 4 試驗過程和方法 .................................................................. 30 以 Iris 為工具對 TCP/IP 協(xié)議進行分析研究 ...................................................................... 30 Ping命令掃描試驗 ........................................................................................................ 39 SYN Flooder 攻擊的研究 ............................................................................................... 41 設計簡單的 TCP 連接監(jiān)控器 ........................................................................................... 45 結 束 語 .......................................................................... 49 參考文獻 .......................................................................... 50 致 謝 ........................................................................... 51 附 錄 SYN Flooder 攻擊代碼 2 TCP/IP 協(xié)議安全性研究 摘要 ： Inter 的日益普及給人們的生活和工作方式帶來了巨大的變革，人們在享受網絡技術帶來的便利的同時，安全問題也提上了議事日程，網絡安全也成為計算機領域的研究熱點之一。本文利用目前常用的協(xié)議分析工具對 TCP/IP 協(xié)議子過程進行了比較深入的分析，并針 對TCP/IP 協(xié)議存在的安全隱患做了一些實際操作和實驗。隨著衛(wèi)星通信技術和無線電技術的發(fā)展，這些技術也被應用到 ARPANET網絡中，而已有的協(xié)議已不能解決這些通信網絡的互聯問題，于是就提出了新 的體系結構，用于將不同的通信網絡無縫連接。當初美國開發(fā) TCP/IP 協(xié)議的框架的時候基本沒有考慮安全問題 ，因為他們是在可以信賴的環(huán)境下開發(fā) TCP/IP 協(xié)協(xié)議的，主要應用在美國國防部內部網絡，并沒有考慮到以后的大規(guī)模應用。但 TCP／ IP 協(xié)議組本身存在著一些安全性問題。由于大量重要的應用程序都以 TCP 作為它們的傳輸層協(xié)議，因此 TCP 的安全性問題會給網絡帶來嚴重的后果。 IP (Inter Protocol)，“網際互連協(xié)議”，即為計算機網絡相互連接進行通信而設計的協(xié)議。 雖然從名字上看 TCP/IP 包括兩個協(xié)議，傳輸控制協(xié)議 (TCP)和 互聯 網際協(xié)議 (IP)，但 TCP/IP 實際上是一組協(xié)議，它包括上百個各種功能的協(xié)議，如： 遠程訪問（ TELNET）、文件傳輸協(xié)議（ FTP File Transfer Protocol）、簡單郵件傳輸協(xié)議（ SMTP Simple Mail Transfer Protocol）等 ，而 TCP 協(xié)議和 IP協(xié)議是保證數據完整傳輸的兩個基本的重要協(xié)議。 TCP 協(xié)議負責把數據分成若干個數據包，并給每個數據包加上包頭 (就像給一封信 裝進 信封 )，包頭上有相應的編號，以保證在數據接收端能將數據還原為原來的格式， IP 協(xié)議在每個包頭上再加上接收端主機地址，這樣數據找到自己要去的地方 (就像信封上要寫明地址一樣 )，如果傳輸過程中出現數據丟失、數據失真等情況， TCP 協(xié)議會自動要求數據重新傳輸，并重新組包。它們一起處理與電纜 (或其他任何傳輸介質 )的物理接口細節(jié)。 （ 3） 傳輸層， TCP/IP 參考模型中的傳輸層和 OSI 參考模型中的傳輸層的作用是一致的，即在源 結點和目標結點之間的兩個進程實體之間提供可靠的端到端的通信。幾乎各種不同的 TCP/IP 實現都會提供下面這些通用的應用程序： Tel 遠程登錄， FTP(File Transfer Protocol)文件傳輸協(xié)議， SMTP(Simple Mail Transfer Protocol)簡單郵件傳送協(xié)議， HTTP(Hyper Text Transfer Protocol)超文本傳輸協(xié)議 ,DNS(Domain Name Service)域名服務等。 UDP 不保證可靠性，傳輸的可靠性的保障由應用程序完成。常用的是 B 和 C 兩類。在這樣的情況下，可變長子網掩碼（ VLSM Valiable Length Subwork Mask）出現了。所有的 TCP、 UDP、 ICMP 及 IGMP 數據都以 IP 數據報格式傳輸。這也說明， IP 數據報可以不按發(fā)送順序接收。這個字段有 4 種選擇 :優(yōu)先、低延遲、高吞吐和高可靠。） 圖 13 IP 數據報格式 （ 5） 標識 (Identification)， 16 位 。這三個字段用于分段，說明分段在數據報中的位置。這個步驟保證了路由或擁塞問題不會造成分組在因特網中無止境地循環(huán)。含有 UDP 和 ICMP 分組的協(xié)議字段分別是 17和1。 （ 10） 源 IP 地址（ source address）和目的 IP 地址 (destination address)， 32位，這些字段包含了發(fā)送和接收的結點地址?？蛇x項由選項代碼、長度和選項數據三項組成。 ② 嚴格路由選擇（ strict source rout