【正文】 因素，希望能對未來的信息社會中 對安全網(wǎng)絡(luò)環(huán)境的形成有所幫助。由于大量重要的應(yīng)用程序都以 TCP 作為它們的傳輸層協(xié)議，因此 TCP 的安全性問題會給網(wǎng)絡(luò)帶來嚴(yán)重的后果。 互連網(wǎng)技術(shù)屏蔽了底層網(wǎng)絡(luò)硬件細(xì)節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信。但 TCP／ IP 協(xié)議組本身存在著一些安全性問題。由于自身的缺陷、網(wǎng)絡(luò)的開放性以及黑客的攻擊是造成互聯(lián)網(wǎng)絡(luò)不安全的主要原因。當(dāng)初美國開發(fā) TCP/IP 協(xié)議的框架的時(shí)候基本沒有考慮安全問題 ，因?yàn)樗麄兪窃诳梢孕刨嚨沫h(huán)境下開發(fā) TCP/IP 協(xié)協(xié)議的，主要應(yīng)用在美國國防部內(nèi)部網(wǎng)絡(luò)，并沒有考慮到以后的大規(guī)模應(yīng)用。 TCP/IP 協(xié)議是 Inter 進(jìn)行網(wǎng)際互聯(lián)通信的基礎(chǔ)，目前 Inter 能如此迅速的在全球延伸，主要是由于 TCP/IP 協(xié)議簇的開放性，它打破了異構(gòu)網(wǎng)絡(luò)之間的壁壘，把不同國家的各種網(wǎng)絡(luò)連接起來，使 Inter 成為了沒有明確物理界限的網(wǎng)際。隨著衛(wèi)星通信技術(shù)和無線電技術(shù)的發(fā)展，這些技術(shù)也被應(yīng)用到 ARPANET網(wǎng)絡(luò)中，而已有的協(xié)議已不能解決這些通信網(wǎng)絡(luò)的互聯(lián)問題，于是就提出了新 的體系結(jié)構(gòu)，用于將不同的通信網(wǎng)絡(luò)無縫連接。 關(guān)鍵詞 ： TCP/IP；安全性；協(xié)議； IPSec； SSL The Study on TCP/IP Protocol Security 3 Specialty: Network Engineering SiLi Teacher:FuKaiyao Abstract： The increasingly popularization of Inter brings great changes to the manners of people39。本文利用目前常用的協(xié)議分析工具對 TCP/IP 協(xié)議子過程進(jìn)行了比較深入的分析，并針 對TCP/IP 協(xié)議存在的安全隱患做了一些實(shí)際操作和實(shí)驗(yàn)。本文在介紹因特網(wǎng)中使用的 TCP/IP 協(xié)議的基礎(chǔ)上，對 TCP/IP 協(xié)議及其子協(xié)議的安全性進(jìn)行了全面的分析，從理論上分析了協(xié)議中幾種主要的安全隱患。1 目 錄 前 言 ............................................................................ 1 1 TCP/IP 協(xié)議 ..................................................................... 2 TCP/IP 參考模型 ............................................................................................................. 2 TCP/IP 的可靠性思想 ...................................................................................................... 3 網(wǎng)際協(xié)議第 4 版 （ IPv4） .................................................................................................. 3 網(wǎng)際協(xié)議第 6 版 （ IPv6） .................................................................................................. 6 2 TCP/IP 協(xié)議安全性分析 ........................................................... 9 TCP/IP 協(xié)議主要安全隱患 ............................................................................................... 9 針對 TCP/IP 安全漏洞進(jìn)行攻擊的理論分析 ...................................................................... 10 3 安全協(xié)議分析 ................................................................... 17 Inter 層 的安全 ........................................................................................................... 17 傳輸層的安全 ................................................................................................................. 25 應(yīng)用層的安全 ................................................................................................................. 28 4 試驗(yàn)過程和方法 .................................................................. 30 以 Iris 為工具對 TCP/IP 協(xié)議進(jìn)行分析研究 ...................................................................... 30 Ping命令掃描試驗(yàn) ........................................................................................................ 39 SYN Flooder 攻擊的研究 ............................................................................................... 41 設(shè)計(jì)簡單的 TCP 連接監(jiān)控器 ........................................................................................... 45 結(jié) 束 語 .......................................................................... 49 參考文獻(xiàn) .......................................................................... 50 致 謝 ........................................................................... 51 附 錄 SYN Flooder 攻擊代碼 2 TCP/IP 協(xié)議安全性研究 摘要 ： Inter 的日益普及給人們的生活和工作方式帶來了巨大的變革，人們在享受網(wǎng)絡(luò)技術(shù)帶來的便利的同時(shí)，安全問題也提上了議事日程，網(wǎng)絡(luò)安全也成為計(jì)算機(jī)領(lǐng)域的研究熱點(diǎn)之一。由于 TCP/IP 協(xié)議的設(shè)計(jì)是針對可以信任的環(huán)境，所以協(xié)議本身存在著許多的安全隱患。將網(wǎng)絡(luò)安全理論與實(shí)踐結(jié)合是提高網(wǎng)絡(luò)安全性的有效途徑。希望能在協(xié)議的應(yīng)用中對使用者能有所幫助。s living and working. As people enjoy the convenience brought by work technology, security issues also e into consideration. As the design of the TCP/IP protocol is in the trusted environment, so itself has many security nonavoidant security also bees one of the research hotspots in the puter domain. This paper mainly focuses on the security of the TCP/IP protocol on the basis of introduction of the TCP/IP protocol and subprotocol. It also analyzes the several main hidden troubles in this protocol. And it is an effective way to bine the theory of the work security with the practice. This paper studies deeply on the TCP/IP protocol’s subprocess, using the protocol analyzing tools that currently usually used. Many experiments have been done on the hidden troubles in the TCP/IP protocol, and hope to be helpful to the user which are in the protocol application field. Keywords: TCP/IP ； Security ； Protocol ； IPSec ； SSL 1 前 言 TCP/IP（ Transmission Control Protocol/Inter Protocol）是 20世紀(jì) 70 年代中期美國國防部（ DoD）為其研究性網(wǎng)絡(luò) ARPANET 開發(fā)的網(wǎng)絡(luò)體系結(jié)構(gòu)， ARPANET 最初是通過租用的電話線將美國的幾百所大學(xué)和研究所連接起來。這種體系結(jié)構(gòu)后來被稱為 TCP/IP 參考模型。從而人們能充分的享受的全球共享，但是正因?yàn)?TCP/IP的開放性，它給 Inter 帶來的安全隱患也是全面而且系統(tǒng)的。當(dāng) Inter遍布世界以后，網(wǎng)絡(luò)的環(huán)境發(fā)生了根本的變化，信任的問題變得突出起來，因此 Inter 變得充滿了問題。 TCP/IP 作為 Inter使用的標(biāo)準(zhǔn)協(xié)議集，是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。 TCP/IP 協(xié)議是建立在可信的環(huán)境之下，首先考慮網(wǎng)絡(luò)互連缺乏對安全方面的考慮 ；這種基于地址的協(xié)議本身就會泄露口令，而且經(jīng)常會運(yùn)行一些無關(guān)的程序，這些都是網(wǎng)絡(luò)本身的缺陷。這就給 “黑客 ”們攻擊網(wǎng)絡(luò)以可乘之機(jī)。 網(wǎng)絡(luò)的開放性， TCP/IP 協(xié)議完全公開，遠(yuǎn)程訪問使許多攻擊者無須到現(xiàn)場就能夠得手，連接的主機(jī)基于互相信任的原則等等性質(zhì)使網(wǎng)絡(luò)更加不安全。 2 1 TCP/IP 協(xié)議 Inter上使用的是 TCP/IP 協(xié)議。 TCP (Transfer Control Protocol)是傳輸控制協(xié)議。正是因?yàn)橛辛舜藚f(xié)議，因特網(wǎng)才得以迅速發(fā)展成為世界上最大的、開放的計(jì)算機(jī)通信 網(wǎng)絡(luò) 。 IP 協(xié)議之所以能使各種網(wǎng)絡(luò)互聯(lián)起來是由于它把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“ IP 數(shù)據(jù)報(bào)”格式，這種轉(zhuǎn)換是因特 網(wǎng)的一個(gè)最重要的特點(diǎn)。 TCP/IP 協(xié)議的基本傳輸單位是數(shù)據(jù)包 (datagram)?？傊?， IP 協(xié)議保 證數(shù)據(jù)的傳輸， TCP 協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量 [1]。通常包括操作系統(tǒng)中的設(shè)備驅(qū)動程序（如局域網(wǎng)的網(wǎng)絡(luò)接口）和含自身數(shù)據(jù)3 鏈路協(xié)議的復(fù)雜子系統(tǒng)（如 ）。 應(yīng) 用 層表 示 層傳 輸 層網(wǎng) 絡(luò) 層數(shù) 據(jù) 鏈 路 層物 理 層E m a i l 和 W e b 瀏 覽 器H T T P 、 P O P 3 、 S M T P 、 F T PT C PT C PI P各 種 異 構(gòu) 網(wǎng) 絡(luò)硬 件 電 纜 、 電 纜 接 頭會 話 層I S O T C P / I P 圖 12 TCP/IP 參考模型與 ISO模型對應(yīng)關(guān)系 （ 2） 網(wǎng)絡(luò)層，有時(shí)也稱作互聯(lián)網(wǎng)層，主要的功能是負(fù)責(zé)相臨的兩個(gè)節(jié)點(diǎn)之間的數(shù)據(jù)傳輸，處理分組在網(wǎng)絡(luò)中的活動。 TCP/IP 網(wǎng)絡(luò)模型的網(wǎng)絡(luò)層在功能上非常類似于 OSI 參考模型中的網(wǎng)絡(luò)層。在 TCP/IP 協(xié)議族中，有兩個(gè)互不相同的傳輸層協(xié)議： TCP(傳輸控制協(xié)議 )和 UDP(用戶數(shù)據(jù)報(bào)協(xié)議 )。 （ 4） 應(yīng)用層，處理特定的應(yīng)用程序細(xì)節(jié)。 TCP/IP 的可靠性思想 在 TCP/IP 網(wǎng)絡(luò)中， IP 采用無連接的數(shù)據(jù)報(bào)機(jī)制，對數(shù)據(jù)“盡力傳遞”，即只傳送報(bào)文，無論是否正確，不做驗(yàn)證，不發(fā)確認(rèn)，也不保證報(bào)文的順序。傳輸層協(xié)議之一的 TCP 提供面向連接的服務(wù)，因?yàn)閭鬏攲邮嵌说蕉说?，所以傳輸層的安全性被稱為端到端的安全性。 網(wǎng)際協(xié)議第 4 版 （ IPv4） 4