網(wǎng)絡(luò)系統(tǒng)管理論文---tcpip協(xié)議的安全性研究畢業(yè)設(shè)計(jì)-文庫(kù)吧資料
2024-11-22 13:05本頁(yè)面
【正文】 定的一簇大家共同遵守的格式和約定該協(xié)議是美國(guó)國(guó)防部高級(jí)研究計(jì)劃署為簡(jiǎn)歷ARPANET 開發(fā)的在這個(gè)協(xié)議集中兩個(gè)最知名的協(xié)議就是傳輸控制協(xié)議 TCP Transfer Contorl Protocol 和網(wǎng)際協(xié)議 IPInter Protocol 故而整個(gè)協(xié)議集被稱為 TCPIP 之所以說(shuō) TCPIP 是一 個(gè) 協(xié) 議 簇 是 因?yàn)?TCPIP 包括了TCPIPUDPICMPRIPTELNETFTPSMTPARP 等許多協(xié)議對(duì)因特網(wǎng)中主機(jī)的尋址方式主機(jī)的命名機(jī)制信息的傳輸規(guī)則以及各種各樣的服務(wù)功能均做了詳細(xì)約定這些約定一起稱為 TCPIP TCPIP 協(xié)議和開放系統(tǒng)互連參考模型一樣是一個(gè)分層結(jié)構(gòu)協(xié)議的分層使得各層的任務(wù)和目的十分明確這樣有利于軟件編寫和通信控制 TCPIP 協(xié)議分為 4層由下至上分別是網(wǎng)路接口層網(wǎng)際層傳輸層和應(yīng)用層如圖 11 所示 圖 11 TCPIP 協(xié)議層次圖 12 TCPIP 協(xié)議的主要特點(diǎn) 1 開放的協(xié)議標(biāo)準(zhǔn)可以免費(fèi)使用并且 獨(dú)立于特定的計(jì)算機(jī)硬件與操作系統(tǒng) 2 獨(dú)立于特定的網(wǎng)絡(luò)硬件可以運(yùn)行在局域網(wǎng)廣域網(wǎng)更適用于互聯(lián)網(wǎng)中 3 統(tǒng)一的網(wǎng)絡(luò)地址分配方案使得整個(gè) TCPIP 設(shè)備在網(wǎng)中都具有惟一的地址 4 標(biāo)準(zhǔn)化的高層協(xié)議可以提供多種可靠的用戶服務(wù) 13 TCPIP 協(xié)議的總體概況 目前在 Inter 上使用的是 TCPIP 協(xié)議 TCPIP 協(xié)議叫做傳輸控制網(wǎng)際協(xié)議它是 Inter 國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ) TCPIP 是網(wǎng)絡(luò)中使用的基本的通信協(xié)議其中IP Inter Protocol 全名為 網(wǎng)際互連協(xié)議 它是為計(jì)算機(jī)網(wǎng)絡(luò) 相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議 TCP Transfer Control Protocol 是傳輸控制協(xié)議 TCPIP 協(xié)議是能夠使連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的一套規(guī)則正是因?yàn)橛辛?TCPIP 協(xié)議因特網(wǎng)才得以迅速發(fā)展成為世界上最大的開放的計(jì)算機(jī)通信網(wǎng)絡(luò) 從表面名字上看 TCPIP 包括兩個(gè)協(xié)議傳輸控制協(xié)議 TCP 和互聯(lián)網(wǎng)際協(xié)議 IP 其實(shí) TCPIP 實(shí)際上是 1 組協(xié)議的集合它包括了上百個(gè)各種功能的協(xié)議如遠(yuǎn)程登錄文件傳輸和電子郵件等等而 TCP 協(xié)議和 IP 協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議 IP 協(xié)議之所以能使各 種網(wǎng)絡(luò)互聯(lián)起來(lái)是由于它把各種不同的幀統(tǒng)一轉(zhuǎn)換成 IP數(shù)據(jù)報(bào)格式這種轉(zhuǎn)換是因特網(wǎng)的一個(gè)最重要的特點(diǎn)所以 IP協(xié)議使各種計(jì)算機(jī)網(wǎng)絡(luò)都能在因特網(wǎng)上實(shí)現(xiàn)互通即具有開放性的特點(diǎn) TCPIP 協(xié)議的基本傳輸單位是數(shù)據(jù)包 datagram TCP 協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包并給每個(gè)數(shù)據(jù)包加上包頭包頭上有相應(yīng)的編號(hào)以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來(lái)的格式 IP 協(xié)議在每個(gè)包頭上還要加上接收端主機(jī)地址這樣數(shù)據(jù)通過(guò)路由器中的MAC地址來(lái)確定數(shù)據(jù)的流向如果傳輸過(guò)程中出現(xiàn)數(shù)據(jù)丟失數(shù)據(jù)失真等情況 TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸并重新組總之 IP 協(xié)議保證數(shù)據(jù)的傳輸而 TCP 協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量 TCPIP協(xié)議數(shù)據(jù)的傳輸基于 TCPIP協(xié)議的 4層結(jié)構(gòu)應(yīng)用層傳輸層網(wǎng)絡(luò)層接口層 2 各協(xié)議層存在的安全漏洞 21 鏈路層存在的安全漏洞 我們知道在以太網(wǎng)中信道是共享的任何主機(jī)發(fā)送的每一個(gè)以太網(wǎng)幀都會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口一般地 CSMACD 協(xié)議使以太網(wǎng)接口在檢測(cè)到數(shù)據(jù)幀不屬于自己時(shí)就把它忽略不會(huì)把它發(fā)送到上層協(xié)議如ARPRARP 層或 IP 層如果我們對(duì)其稍做設(shè)置或修改就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀例如有的實(shí)現(xiàn)可以使用雜錯(cuò)接點(diǎn) 即能接收所有數(shù)據(jù)幀的機(jī)器節(jié)點(diǎn)解決該漏洞的對(duì)策是網(wǎng)絡(luò)分段利用交換器動(dòng)態(tài)集線器和橋等設(shè)備對(duì)數(shù)據(jù)流進(jìn)行限制加密采用一次性口令技術(shù)和禁用雜錯(cuò)接點(diǎn) 22 網(wǎng)絡(luò)層漏洞 幾乎所有的基于 TCPIP 的機(jī)器都會(huì)對(duì) ICMPecho 請(qǐng)求進(jìn)行響應(yīng)所以如果一個(gè)敵意主機(jī)同時(shí)運(yùn)行很多個(gè) ping 命令向一個(gè)服務(wù)器發(fā)送超過(guò)其處理能力的ICMPecho請(qǐng)求時(shí)就可以淹沒(méi)該服務(wù)器使其拒絕其他的服務(wù)另外 ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進(jìn)行方便的攻擊如收集目標(biāo)上的信息并進(jìn)行秘密通信等解決該漏洞的措施是拒絕網(wǎng)絡(luò)上的 所有 ICMPecho 響應(yīng) 23 IP 漏洞 IP包一旦從網(wǎng)絡(luò)中發(fā)送出去源 IP地址就幾乎不用僅在中間路由器因某種原因丟棄它或到達(dá)目標(biāo)端后才被使用這使得一個(gè)主機(jī)可以使用別的主機(jī)的 IP 地址發(fā)送 IP包只要它能把這類 IP包放到網(wǎng)絡(luò)上就可以因而如果攻擊者把自己的主機(jī)偽裝成被目標(biāo)主機(jī)信任的友好主機(jī)即把發(fā)送的 IP包中的源 IP地址改成被信任的友好主機(jī)的 IP地址利用主機(jī)間的信任關(guān)系 Unix網(wǎng)絡(luò)軟件的開發(fā)者發(fā)明的術(shù)語(yǔ)和這種信任關(guān)系的實(shí)際認(rèn)證中存在的脆弱性只通過(guò) IP 確認(rèn)就可以對(duì)信任主機(jī)進(jìn)行攻擊注意其中所說(shuō)的信任關(guān)系是指一個(gè)被授權(quán)的主 機(jī)可以對(duì)信任主機(jī)進(jìn)行方便的訪問(wèn)所有的 r 命令都采用信任主機(jī)方案所以一個(gè)攻擊主機(jī)把自己的 IP 改為被信任主機(jī)的 IP 就可以連接到信任主機(jī)并能利用 r 命令開后門達(dá)到攻擊的目的解決這個(gè)問(wèn)題的一個(gè)辦法是讓路由器拒絕接收來(lái)自網(wǎng)絡(luò)外部的 IP 地址與本地某一主機(jī)的 IP 地址相同的 IP 包的進(jìn)入 24 ARP 欺騙 ARP 協(xié)議在對(duì) IP 地址進(jìn)行解析時(shí)利用 ARP 緩存也叫 ARP 表來(lái)做 ARP 緩存的每一條目保存有 IP 地址到物理地址的映射如果在 ARP 表中沒(méi)有這樣的對(duì)應(yīng)條目ARP 協(xié)議會(huì)廣播 ARP 請(qǐng)求獲得對(duì)應(yīng)于那個(gè) IP 地址的物理地址并把該對(duì)應(yīng)關(guān)系加入到 ARP表中 ARP表中的每一個(gè)條目都有一個(gè)計(jì)時(shí)器如果計(jì)時(shí)器過(guò)期該條目就無(wú)效因而被從緩存中刪除顯然如果攻擊者暫時(shí)使用不工作的主機(jī)的 IP 地址就可以偽造 IP物理地址對(duì)應(yīng)關(guān)系對(duì)把自己偽裝成象那個(gè)暫時(shí)不使用的主機(jī)一樣克服此問(wèn)題的方法是讓硬件地址常駐內(nèi)存并可以用 ARP 命令手工加入特權(quán)用戶才可以那樣做也可以通過(guò)向 RARP服務(wù)器詢問(wèn)來(lái)檢查客戶的 ARP欺騙因?yàn)?RARP服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和 IP 的相關(guān)信息 25
法律信息相關(guān)推薦
鄂ICP備17016276號(hào)-1