【文章內(nèi)容簡(jiǎn)介】 。 其實(shí)地址空間缺乏并不單是亞洲存在，全世界都存在這樣的問(wèn)題。所以現(xiàn)在世界各國(guó)都在積極的推動(dòng) IPv6 和下一代網(wǎng)絡(luò)的發(fā)展。 由于 IPv4的開(kāi)發(fā)是在可信賴的網(wǎng)絡(luò)環(huán)境下進(jìn)行的，缺乏安全方面考慮造成了 IPv4的先天不足。IPv6 在 IPv4的基礎(chǔ)上在安全方面做了很多的考慮，但 IPv6 的實(shí)現(xiàn)需要 硬件的支持，所以在短時(shí)間內(nèi)無(wú)法大范圍的推廣。所以在目前的情況下針對(duì) IPv4 的攻擊仍然是網(wǎng)絡(luò)安全的主要威脅。本文在后續(xù)章節(jié)中所有的論述也是主要針對(duì) IPv4。 9 2 TCP/IP 協(xié)議安全性分析 Inter 是基于 TCP/IP 協(xié)議的， TCP/IP 協(xié)議具有網(wǎng)絡(luò)互連能力強(qiáng)、網(wǎng)絡(luò)技術(shù)獨(dú)立，支持 FTP, TELNET, SMTP 和 HTTP 等標(biāo)準(zhǔn)應(yīng)用協(xié)議等特點(diǎn)，是目前能夠滿足不同種計(jì)算機(jī)之間、異構(gòu)網(wǎng)絡(luò)之間互連要求的網(wǎng)絡(luò)互連協(xié)議。但是，由于它主要考慮的是異種網(wǎng)間的互連問(wèn)題，并沒(méi)有考慮安全 性，因此協(xié)議中存在著很多安全問(wèn)題。另一方面由于大量重要的應(yīng)用程序都以 TCP 作為它們的傳輸層協(xié)議，因此 TCP 的安全性問(wèn)題又會(huì)給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果和影響。 TCP/IP 協(xié)議主要安全隱患 TCP/IP 協(xié)議的安全隱患主要有 : （ 1） TCP/IP 協(xié)議數(shù)據(jù)流采用明文傳輸，因此數(shù)據(jù)信息很容易被竊聽(tīng)、篡改和偽造。特別是在使用 FTP 和 TELNET 時(shí)，用戶的帳號(hào)、口令是明文傳輸，所以攻擊者可以截取含有用戶帳號(hào)、口令的數(shù)據(jù)包，進(jìn)行攻擊，例如使用 SNIFFER 程序、 SNOOP 程序、網(wǎng)絡(luò)分析儀等。 （ 2） 源地址欺騙 (Source address spoofing), TCP/IP 協(xié)議是用 IP 地址來(lái)作為網(wǎng)絡(luò)節(jié)點(diǎn)的唯一標(biāo)識(shí)，但是節(jié)點(diǎn)的 IP 地址又是不固定的，因此攻擊者可以直接修改節(jié)點(diǎn)的 IP 地址，冒充某個(gè)可信節(jié)點(diǎn)的 IP地址，進(jìn)行攻擊。下面分別來(lái)舉例兩種源地址欺騙攻擊 [3]。 方式一：假設(shè)主機(jī) A是攻擊主機(jī)，它偽裝成 B主機(jī)和 C主機(jī)對(duì)話。 A主機(jī)在發(fā)出數(shù)據(jù)包的時(shí)候，入侵者可以用軟件把源地址從 A主機(jī)的地址改成 B主機(jī)的地址。雖然 C 主機(jī)的數(shù)據(jù)包仍然會(huì)發(fā)送到B 主機(jī)而不是 A主機(jī)，但是這對(duì)于一些黑客來(lái)說(shuō)無(wú)關(guān)緊要，他們不用看到結(jié)果就能 實(shí)施攻擊。 方式二：這是一種“中間人”式的欺騙。它會(huì)截獲目標(biāo)主機(jī)返回給真實(shí)主機(jī)的數(shù)據(jù)包。這種欺騙下，攻擊主機(jī)可以和被攻擊主機(jī)進(jìn)行完整的對(duì)話，入侵者也可以看到結(jié)果，即要能截獲返回的數(shù)據(jù)包。為此，攻擊主機(jī)需要做到：攻擊主機(jī)潛入目標(biāo)主機(jī)和真實(shí)主機(jī)之間的路徑上，這在路徑的末段最容易做到。在中間是最難的，因?yàn)楦鶕?jù) IP 網(wǎng)絡(luò)的路徑選擇特點(diǎn)，“中間”路徑的選擇變化是非常大的。在機(jī)器之間改變路徑，從而引導(dǎo)攻擊機(jī)器，這取決于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及你的網(wǎng)絡(luò)、遠(yuǎn)程網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間的 ISP 使用的路由系統(tǒng)，這可能十分容易，也可能十分困難 。 （ 3） 源路由選擇欺騙 (Source Routing spoofing),TCP/IP 協(xié)議中， IP 數(shù)據(jù)包為測(cè)試目的設(shè)置了一個(gè)選項(xiàng) — IP Source Routing，該選項(xiàng)可以直接指明到達(dá)節(jié)點(diǎn)的路由，攻擊者可以利用這個(gè)選項(xiàng)進(jìn)行欺騙，進(jìn)行非法連接。攻擊者可以冒充某個(gè)可信節(jié)點(diǎn)的 IP 地址，構(gòu)造一個(gè)通往某個(gè)服務(wù)器的直接路徑和返回的路徑，利用可信用戶作為通往服務(wù)器的路由中的最后一站，就可以向服務(wù)器發(fā)請(qǐng)求，對(duì)其進(jìn)行攻擊。在 TCP/ IP 協(xié)議的兩個(gè)傳輸層協(xié)議 TCP 和 UDP 中，由于 UDP 是面向非連接的，因而沒(méi)有初始化的 連接建立過(guò)程，所以 UDP 更容易被欺騙。 （ 4） 路由選擇信息協(xié)議攻擊 (RIP Attacks) 。 RIP 協(xié)議用來(lái)在局域網(wǎng)中發(fā)布動(dòng)態(tài)路由信息，它10 是為了在局域網(wǎng)中的節(jié)點(diǎn)提供一致路由選擇和可達(dá)性信息而設(shè)計(jì)的?？墒歉鞴?jié)點(diǎn)對(duì)收到的信息是不檢查它的真實(shí)性的， TCP/IP 協(xié)議沒(méi)有提供這個(gè)功能。 ICMP 協(xié)議存在有安全缺口，攻擊者可利用 ICMP重定向報(bào)文破壞路由，并以此增強(qiáng)其竊聽(tīng)能力。 （ 5） 鑒別攻擊 (Authentication Attacks). TCP/IP 協(xié)議只能以 IP 地址進(jìn)行鑒別，而不能對(duì)節(jié)點(diǎn)上的用戶進(jìn)行有效的身 份認(rèn)證，因此服務(wù)器無(wú)法鑒別登錄用戶的身份有效性。目前主要依靠服務(wù)器軟件平臺(tái)提供的用戶控制機(jī)制，比如 UNIX系統(tǒng)采用用戶名、口令。雖然口令是密文存放在服務(wù)器上，但是由于口令是靜態(tài)的、明文傳輸?shù)?，所以無(wú)法抵御重傳和竊聽(tīng)。而且在 UNIX 系統(tǒng)中常常將加密后的口令文件存放在一個(gè)普通用戶就可以讀的文件里，攻擊者也可以運(yùn)行己準(zhǔn)備好的口令破譯程序來(lái)破譯口令，對(duì)系統(tǒng)進(jìn)行攻擊。 （ 6） TCP 序列號(hào)欺騙 (TCP Sequence number spoofing)。由于 TCP 序列號(hào)可以預(yù)測(cè)，因此攻擊者可以構(gòu)造一個(gè) TCP 包序列，對(duì) 網(wǎng)絡(luò)中的某個(gè)可信節(jié)點(diǎn)進(jìn)行攻擊。 （ 7） TCP 序列號(hào)轟炸攻擊（ TCP SYN Flooding Attack）， 簡(jiǎn)稱 SYN 攻擊（ SYN Attack），又稱作拒絕服務(wù)攻擊。 TCP 是一個(gè)面向連接、可靠的傳輸層協(xié)議。黑客可以不斷向服務(wù)器發(fā)送連接請(qǐng)求，而又不返回應(yīng)答包，使得服務(wù)器總處于等待狀態(tài)，而無(wú)法釋放資源。 （ 8） IP 棧攻擊 利用操作系統(tǒng)缺陷，偽造某種數(shù)據(jù)包發(fā)到主機(jī)，導(dǎo)致目標(biāo)主機(jī) TCP/IP 協(xié)議棧鎖死，甚至系統(tǒng)崩潰。以 Linux上的一個(gè)實(shí)現(xiàn)為例來(lái)說(shuō)明： Linux操作系統(tǒng)在它的 IP 數(shù)據(jù)包重裝模塊有一個(gè)嚴(yán)重的 錯(cuò)誤，當(dāng) Linux收到一個(gè) IP 包送到 IP 層進(jìn)行組裝，以還原 IP 包，它將進(jìn)入一個(gè)循環(huán)中，將列隊(duì) 的數(shù)據(jù)包的有效數(shù)據(jù)復(fù)制到一個(gè)新分配的緩沖區(qū)去。在程序中，檢查了每段數(shù)據(jù)區(qū)是否過(guò)長(zhǎng)，但沒(méi)檢查有效數(shù)據(jù)長(zhǎng)度是否過(guò)小。當(dāng)表示有效數(shù)據(jù)長(zhǎng)度的量變成了一個(gè)負(fù)數(shù)的時(shí)候（ length0），系統(tǒng)不會(huì)進(jìn)行檢查，結(jié)果是是將過(guò)多的數(shù)據(jù)復(fù)制到內(nèi)核中去。我們可以準(zhǔn)備這樣的包，讓前后包中的“ fragment offset”字段交疊在一起，這樣計(jì)算出來(lái)的 length 值變成了一個(gè)負(fù)數(shù)。因?yàn)橄到y(tǒng)的計(jì)數(shù)器是一個(gè)反碼，這會(huì)造成一個(gè)非常大的數(shù)值。根據(jù)使用 的內(nèi)存管理機(jī)制不同，將會(huì)導(dǎo)致系統(tǒng)重啟或者停機(jī)。 針對(duì) TCP/IP 安全漏洞進(jìn)行攻擊的 理論分析 TCP/IP 協(xié)議的連接是通過(guò)三次握手實(shí)現(xiàn)的。圖 15 是 TCP/IP 連接的建立和撤消的過(guò)程。 關(guān)于連接的過(guò)程有一個(gè)非常形象的比喻叫做兩軍定理。 A軍和 B軍將敵人夾在了中間， A軍欲聯(lián)合 B 軍夾擊敵人，于是 A排出信使聯(lián)系 B軍。 B軍同意夾擊之后，信使返回 A軍?？赡苡腥擞X(jué)得到了這里，聯(lián)絡(luò)過(guò)程已經(jīng)完成，可以發(fā)動(dòng)攻擊了。其實(shí)不然，雖然 A 軍已經(jīng)知道 B 軍同意了夾擊，但是 B 軍卻不知道 A軍是否已經(jīng)知道自己同意了夾擊。所以信使需要再返回 B軍告訴 B軍， A軍已經(jīng)收到了信息，攻擊在這個(gè)時(shí)候才能確定的展開(kāi)。 說(shuō)到這里，問(wèn)題也出現(xiàn)了。如果信使回到 A軍之后因?yàn)榉N種原因沒(méi)有再回到 B 軍那會(huì)出現(xiàn)什么11 樣的情況呢？ B 軍會(huì)一直等待而不敢輕易發(fā)動(dòng)進(jìn)攻，因?yàn)樗淮_定 A 軍已經(jīng)得知 B 軍已經(jīng)同意夾擊計(jì)劃。將這個(gè)問(wèn)題轉(zhuǎn)換到 TCP/IP 連接的過(guò)程中，這個(gè)問(wèn)題就是這樣的： A主機(jī)向 B主機(jī)發(fā)出連接請(qǐng)求， B 主機(jī)返回同意連接請(qǐng)求并在內(nèi)存中開(kāi)辟出一個(gè)緩存之后， A 主機(jī)卻不再向 B 主機(jī)返回確認(rèn)信息。于是 B 主機(jī)將一直等待，處于“半連接”狀態(tài)直到超時(shí)。當(dāng)大量這樣的數(shù)據(jù)包涌向某臺(tái)主機(jī)的時(shí)候， 受害主機(jī)會(huì)為了維持大量的這樣的半連接而耗盡資源。這便形成了一次 SYN flooder 攻擊。 主 機(jī) B主 機(jī) AS Y N s e q = XS Y N s e q = Y ， A C K = X = + 1A C K = Y + 1 建立過(guò)程 主 機(jī) A主 機(jī) B發(fā) 送 F I N s e q = X接 收 F I N發(fā) 送 A C K = x + 1接 收 A C K接 收 F I N發(fā) 送 A C K = x + 1發(fā) 送 F I N s e q = X接 收 A C K 撤消過(guò)程 圖 21 TCP連接建立和撤消過(guò)程 TCP 連接的撤消過(guò)程使用改進(jìn)的三次握手撤消連接。 TCP 連接是一個(gè)全雙工的，可以看作是兩個(gè)不同方向上的獨(dú)立的數(shù)據(jù)流傳輸。當(dāng)某個(gè)應(yīng)用程序通知本端 TCP 軟件，數(shù)據(jù)傳輸已完成時(shí)，該機(jī)器上的 TCP 軟件將撤消本方向的連接。為了撤消自己一放的連接， TCP 軟件首先將剩余數(shù)據(jù)傳輸完畢并確認(rèn)報(bào) 文的返回，然后它發(fā)送一個(gè)帶 FIN 標(biāo)志的報(bào)文給對(duì)方，接收方對(duì) FIN 報(bào)文進(jìn)行確認(rèn)，并通知本方 TCP 應(yīng)用程序停止接收數(shù)據(jù)。但是反方向上數(shù)據(jù)仍然可以發(fā)送，直到該方向上的連接也撤消。當(dāng)兩個(gè)方向上的的連接都關(guān)閉以后，在該連接的兩個(gè)端點(diǎn)上的 TCP 軟件就刪除該連接的記錄。 （ 1） TCP/IP 狀態(tài)轉(zhuǎn)移圖和定時(shí)器 TCP 狀態(tài)轉(zhuǎn)移圖控制了一次連接的初始化、建立和終止，如 22 圖所示： 圖 22 由定義的狀態(tài)以及這些狀態(tài)之間的轉(zhuǎn)移弧構(gòu)成。 TCP 狀態(tài)轉(zhuǎn)移圖與定時(shí)器密切相關(guān)，不12 同的定時(shí)器對(duì)應(yīng)于連接建立或 終止、流量控制和數(shù)據(jù)傳輸。幾類主要的定時(shí)器及其功能如下： ① 連接定時(shí)器：在連接建立階段，當(dāng)發(fā)送了 SYN 包后，就啟動(dòng)連接定時(shí)器。如果在 75 秒內(nèi)沒(méi)有收到應(yīng)答，則放棄連接建立。 ② FINWAIT2 定時(shí)器：當(dāng)連接從 FINWAIT1 狀態(tài)轉(zhuǎn)移到 FINWAIT2 狀態(tài)時(shí)，將一個(gè)FINWAIT2 定時(shí)器設(shè)置為 10 分鐘。如果在規(guī)定時(shí)間內(nèi)該連接沒(méi)有收到一個(gè)帶有置位 FIN 的 TCP 包，則定時(shí)器超時(shí)，再定時(shí)為 75 秒。如果在第二個(gè)時(shí)間段內(nèi)仍無(wú) FIN 包到達(dá)，則放棄該連接。 ③ 維持連接定時(shí)器：其作用是預(yù)測(cè)性地檢測(cè)連 接的另一端是否仍為活動(dòng)狀態(tài)。如果設(shè)置了SOKEEPALIVE 套接字選擇項(xiàng)，則 TCP 狀態(tài)是 ESTABLISHED 或 CLOSEWAIT 。 C L O S EL I S T E N S Y N S E N TS Y N R C V D E S T A D L I S H E D C L O S E W A I TL A S T A C KC L O S I N CF I N W A I T 1F I N W A I T 2 T I M E W A客 戶 機(jī) 正 常 運(yùn) 轉(zhuǎn)服 務(wù) 器 正 常 運(yùn) 轉(zhuǎn) 圖 22 TCP狀態(tài)轉(zhuǎn)移圖 （ 2） 網(wǎng)絡(luò)入侵方式 ① 偽造 IP 地址 入侵者使用假 IP 地址發(fā)送包，利用基于 IP 地址證實(shí)的應(yīng)用程序聯(lián)接到目的主機(jī)。其結(jié)果是未授權(quán)的遠(yuǎn)端用戶進(jìn)入帶有防火墻的主機(jī)系統(tǒng)。 TCP 協(xié)議把通過(guò)連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個(gè) 32 位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào) (ISN)在 TCP 握手時(shí) 產(chǎn)生，產(chǎn)生機(jī)制與協(xié)議實(shí)現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求，即可獲得上次連接的 ISN，再通過(guò)多次測(cè)量來(lái)回傳輸路徑，得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來(lái)回時(shí)間 RTT。已知上次連接的 ISN 和 RTT，很容易就能預(yù)測(cè)下一次連接的 ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出 TCP 連接，并預(yù)測(cè)到目標(biāo)主機(jī)的TCP 序列號(hào)，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標(biāo)主機(jī)接受。 假設(shè)有兩臺(tái)主機(jī) A, B 和入侵者控制的主機(jī) C。假設(shè) B 授予 A 某些特權(quán)，使得 A 能夠獲得對(duì) B所執(zhí)行的一些操作。 C 的目標(biāo)就是獲得與 A 相同的權(quán)利。為了 實(shí)現(xiàn)該目標(biāo)， C 必須執(zhí)行兩步操作：13 首先，與 B 建立一個(gè)虛假連接；然后，阻止 A 向 B 報(bào)告網(wǎng)絡(luò)證實(shí)的通信。主機(jī) C 必須假造 A 的 IP地址，從而使 B 相信從 C 發(fā)來(lái)的包的確是從 A發(fā)來(lái)的。 主機(jī) C 偽造 IP 地址步驟如下：首先， C冒充 A，向主機(jī) B 發(fā)送一個(gè)帶有隨機(jī)序列號(hào)的 SYN包。主機(jī) B 響應(yīng)，向主機(jī) A 發(fā)送一個(gè)帶有應(yīng)答號(hào)的 SYN+ACK 包、該應(yīng)答號(hào)等于原序列號(hào)加 1。同時(shí)，主機(jī) B 產(chǎn)生自己發(fā)送包序列號(hào)，并將其與應(yīng)答號(hào)一起發(fā)送。為了完成三次握手，主機(jī) C 需要向主機(jī)B 回送一個(gè)應(yīng)答包，其應(yīng)答號(hào)等于主機(jī) B 向主機(jī) A 發(fā)送的包序列號(hào)加 1 。假設(shè)主機(jī) C 與 A 和 B 不同在一個(gè)子網(wǎng)內(nèi)，則不能檢測(cè)到 B的包，主機(jī) C只有算出 B 的序列號(hào)，才能創(chuàng)建 TCP 連接。其過(guò)程描述如下： CB: SYN(序列號(hào) =M)， SRC=A BA: SYN(序列號(hào) =N)， ACK(應(yīng)答號(hào) =M+1) CB: ACK(應(yīng)答號(hào) =N+1)， SRC=A 同時(shí)，主機(jī) C應(yīng)該阻止主機(jī) A響應(yīng)主機(jī) B 的包。為此， C可以等到主機(jī) A因某種原因終止運(yùn)行，或者阻塞主機(jī) A 的操作系統(tǒng)協(xié)議部分，使它不能響應(yīng)主機(jī) B。一旦主機(jī) C 完成了以上操作，它就可以向主機(jī) B 發(fā)送命令。主機(jī) B 將執(zhí)行這些命令，認(rèn)為他 們是由合法主機(jī) A發(fā)來(lái)的。 ② TCP 狀態(tài)轉(zhuǎn)移的問(wèn)題 C L O S EL I S T E N S Y N S E N TS Y N R C V D E S T A D L I S H E D C L O S E W A I TL A S T A C KC L O S I N CF I N W A