【正文】 然從名字上看 TCP/IP 包括兩個協(xié)議，傳輸控制協(xié)議和網(wǎng)際互聯(lián)協(xié)議，但 TCP/IP 實(shí)際上是一組協(xié)議，它包括上百個各種功能的協(xié)議，如： UDP 和 ICMP等，通常我們叫它 TCP/IP 協(xié)議族，同其它的協(xié)議族一樣， TCP/IP 也是由不同的層次組成，是一套分層的通信協(xié)議，但一個系統(tǒng)具體使用何種協(xié)議則取決于網(wǎng)絡(luò)用戶的需求和網(wǎng)絡(luò)設(shè)計人員的要求。 應(yīng)用層 應(yīng)用層是 TCP/IP 的最高層，網(wǎng)絡(luò)在此層向用戶提供各種服務(wù)，用戶則調(diào)用相應(yīng)的程序并通過 TCP/IP 網(wǎng)絡(luò)來訪問可用的服務(wù)，與每個傳輸層協(xié)議交互的應(yīng)用程序負(fù)責(zé)接收和發(fā)送數(shù)據(jù)。 傳輸層 傳輸層的基本任務(wù)是提供應(yīng)用程序之 間的通信服務(wù)，即端到端的通信。傳輸層不僅要系統(tǒng)地管理信息的流動，還要提供可靠的端到端的傳輸服務(wù)，有確保數(shù)據(jù)到達(dá)無差錯，無亂序。在 TCP/IP 的傳輸層有兩個極為重要的協(xié)議：傳輸控制協(xié)議TCP 和用戶數(shù)據(jù)報協(xié)議 UDP。 UDP 是一個不可靠的 、無連接協(xié)議，用于不需要 TCP 排序和流量控制而是自己完成這些功能的應(yīng)用程序。另外，它還包含分級語音通信協(xié)議NVP 等。它接收傳輸層的請求，把來自傳輸層的報文分組封裝在一個數(shù)據(jù)報中，并加上報頭。反過來對于接收到的數(shù)據(jù)報，網(wǎng)絡(luò)層要校驗(yàn)其有效性，然 后根據(jù)路由算法決定數(shù)據(jù)報應(yīng)該在本地處理還是轉(zhuǎn)發(fā)出去。網(wǎng)絡(luò)層有向上面 的 傳輸層提供服務(wù)、路由選擇、流量控制、網(wǎng)絡(luò)互聯(lián)等四個主要功能， Inter 的網(wǎng)絡(luò)層協(xié)議主要有 IP 協(xié)議、網(wǎng)絡(luò)控制報文協(xié)議ICMP、 Inter 組管理協(xié)議 IGMP、地址解析協(xié)議 ARP 和反向地址轉(zhuǎn)換協(xié)議 RARP等?；驈木W(wǎng)絡(luò)上接收物理幀，抽出網(wǎng)絡(luò)層數(shù)據(jù)報，交給網(wǎng)絡(luò)層。從理論上講，該層并不是 TCP/IP 之間的接口，是 TCP/IP 實(shí)現(xiàn)的基礎(chǔ)，這 些 通信網(wǎng)絡(luò)包括局域網(wǎng)（ LAN）、城域網(wǎng)（ MAN）、廣域網(wǎng)（ WAN）等。 網(wǎng)絡(luò)接口層上的攻擊與防范 網(wǎng)絡(luò)窺探 網(wǎng)絡(luò)接口層是 TCP/IP 網(wǎng)絡(luò)中最復(fù)雜的一個層次，常見的攻擊是針對組成TCP/IP 網(wǎng)絡(luò)的以太網(wǎng)進(jìn)行網(wǎng)絡(luò)窺探。在以太網(wǎng)中，所有的通訊都是廣播的，也就是說在同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都可以訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)，而每一個網(wǎng)絡(luò)接口都有一個唯一的硬件地址，這個硬件地址就是網(wǎng)卡的 MAC 地址，在 網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)通信時，信息以數(shù)據(jù)報的形式傳送，其報頭包含了目的主機(jī)的硬件地址，只有硬件地址匹配的機(jī)器才會接收該數(shù)據(jù)報，然而網(wǎng)絡(luò)上也存在一些能接收所有數(shù)據(jù)報的機(jī)器（或接口），稱為雜錯節(jié)點(diǎn)。針對這一類攻擊，通?？刹扇∫韵聨追N防范措施： (1)網(wǎng)絡(luò)分段：這是防止窺探最有效的手段。但可以 盡量 使相互信任的機(jī)器屬于同一個網(wǎng)段，并在網(wǎng)段與網(wǎng)段間進(jìn)行硬件屏障，最大限度地防止窺探的產(chǎn)生。 (3)加密：對在網(wǎng)絡(luò)中傳送的敏感數(shù)據(jù)進(jìn)行加密時，如用戶 ID或口令等，大多采用 SSH、 FSSH 等加密手段。 網(wǎng)絡(luò)層上的攻擊與防范 1. 路由欺騙 每一個 IP 數(shù)據(jù)報都是在主機(jī)的網(wǎng)絡(luò)層被檢查，用以決定是轉(zhuǎn)發(fā)同一子網(wǎng)中的主機(jī)還是下一個路由器。 (1)基于源路由的攻擊 一般情況下， IP 路由過程中是由路由器來動態(tài)決定下一個驛站的。 防止源路由欺騙方法： 1．通過檢測本機(jī)的常駐數(shù)據(jù)，查看此信息是否來自于合法的 路由器，防止路由欺騙； 2．通 過 在服務(wù)器的網(wǎng)絡(luò)中禁用相關(guān)的路由來防止這種攻擊。但 TCP/IP 協(xié)議并未要求各節(jié)點(diǎn)檢查收到信息的真實(shí)性，因此，攻擊者可能使用 RIP 特權(quán)主機(jī)的 520 端口廣播假的路由信息來達(dá)到欺騙的目的。 拒絕服務(wù)攻擊 (Smurf 攻擊 ) 基于互聯(lián)網(wǎng)控制信息包（ ICMP）的 Smurf攻擊是 一種強(qiáng)力的拒絕服務(wù)攻擊 10 方法，主要利用的是 IP 協(xié)議的直接廣播特性。在這種拒絕服務(wù)攻擊中，主要的角色有：攻擊者、中間代理（也就是所說的擴(kuò)散器）犧牲品（目標(biāo)主機(jī)） Smurf 攻擊僅僅是利用 IP 路由漏洞的攻擊方法。這些數(shù) 據(jù)包全都以被攻擊的主機(jī)的 IP 地址作為 IP 包的源地址； (4)中間代理向其所在的子網(wǎng)上的所有主機(jī)發(fā)送源 IP 地址欺騙的數(shù)據(jù)包； (5)中間代理主機(jī)對被攻擊的網(wǎng)絡(luò)進(jìn)行響應(yīng)。在 Smurf 攻擊中，有大量的源欺騙的 IP 數(shù)據(jù)包離開了第一個網(wǎng)絡(luò)。在路由器上增加這類過濾規(guī)則的命令是： Accesslist 100 permit IP {網(wǎng)絡(luò)號 } {網(wǎng)絡(luò)子網(wǎng)掩碼 } any Accesslist 100 deny IP any any； 在局域網(wǎng)的邊界路由器上使用這一訪問列表的過濾規(guī)則，就可以阻止網(wǎng)絡(luò)上的任何人向局域網(wǎng)外發(fā)送這種源欺騙的IP 數(shù)據(jù)包。如果沒有必須要向外發(fā)送廣播數(shù)據(jù)包的情況，就可以在路由器的每個接口上設(shè)置禁止直接廣播，命令如下： no ip directedbroadcast； ，具有多個路由器，那么可以在邊界路由器上使用以下命令： ip verify unicast reversepath； 讓路由器對具有相反路徑 的 ICMP欺騙數(shù)據(jù)包進(jìn)行校驗(yàn)，丟棄那些沒有路徑存在的包。這是因?yàn)樵诼酚善鞯?CEF 表中，列出了該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)，如果沒有該數(shù)據(jù)包源 IP 地址的路由，路由器將丟棄該數(shù)據(jù)包。 3. ARP 欺騙 11 TCP/IP 中使用的地址轉(zhuǎn)換協(xié)議 ARP，主要解決 32 位的 IP 地址和物理地址的互相 轉(zhuǎn)換問題。為了讓報文在物理網(wǎng)上傳送，還必須知道相應(yīng)的物理地址， 我 們就存在把互聯(lián)網(wǎng)地址變換為物理地址的地址轉(zhuǎn)換問題。這樣源站點(diǎn)可以收到以太網(wǎng) 48 位地址，并將地址放入相應(yīng)的高速緩存（ cache）。地址轉(zhuǎn)換協(xié)議ARP 使主機(jī)只需給出目的主機(jī)的 IP 地址就可以找出同一物理網(wǎng)絡(luò)中任一個物理主機(jī)的物理地址。一旦 cache中的數(shù)據(jù)過期，攻擊者便可入侵信任服務(wù)器。 通過查詢 IPMAC 對應(yīng)表 (1)不要把網(wǎng)絡(luò)安全信任關(guān)系建 立在 IP 基礎(chǔ)上或 MAC 基礎(chǔ)上 ，理想的關(guān)系應(yīng)該建立在 IP+MAC 基礎(chǔ)上。 (3)除非很有必要，否則停止使用 ARP，將 ARP 作 為永久條目保存在對應(yīng)表中。通過該服務(wù)器查找自己的 ARP 轉(zhuǎn)換表來響應(yīng)其他機(jī)器的 ARP 廣播。 (5)使用 proxy代理 IP 的傳輸。設(shè)置好的路由，確保 IP地址能到達(dá)合法的路徑。 (9)使用防火墻連續(xù)監(jiān)控網(wǎng)絡(luò)。 (Ping of Death 攻擊 ) ICMP 即 Inter 控制消息協(xié)議?？刂葡⑹侵妇W(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。 ICMP 協(xié)議本身的特點(diǎn)決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機(jī)?！?Ping of Death” 攻擊的原理是 : 利用 IP 廣播發(fā)送偽造的 ICMP 回應(yīng)請求包，向目標(biāo)主機(jī)長時間、連續(xù)、大量地發(fā)送 ICMP 數(shù)據(jù)包 ,使得目標(biāo)主機(jī)耗費(fèi)大量的 CPU 資源處理。 對于“ Ping of Death”攻擊 ,可以采取兩種方法進(jìn)行防范 : (1)路由器上對 ICMP數(shù)據(jù)包進(jìn)行帶寬限制 ,將 ICMP占用的 帶寬控制在一定的范圍內(nèi)。 傳輸層上的攻擊與防范 1. TCP 連接欺騙 (IP 欺騙 ) IP 協(xié)議在互聯(lián)網(wǎng)絡(luò)之間提供無連接的數(shù)據(jù)包傳輸。也就是說 ,IP 路由 IP 包時 ,對 IP 頭中提供的源地址不作任何檢查 ,并且認(rèn)為 IP頭中的源地址即為發(fā)送該包的機(jī)器的 IP地址。其中最重要的就是利用 IP 欺騙引起的各種攻擊。但是由于 IP 地址不檢測 IP 數(shù)據(jù)包中的 IP 源地址是否為 發(fā) 送該包的源主機(jī)的真實(shí)地址 ,攻擊者可以采用 IP 源地址欺騙的方法來繞過這種 防火墻。事實(shí)上 ,每一個攻擊者都可 13 以利用 IP 不檢驗(yàn) IP 頭源地址的特點(diǎn) ,自己填入偽造的 IP 地址來進(jìn)行攻擊 ,使自己不被發(fā)現(xiàn)。如果網(wǎng)絡(luò)是通過路由器接入 Inter 的 ,那么可以利用路由器來進(jìn)行包過濾。路由器可以過濾掉所 有來自于外部而希望與內(nèi)部建立連接的請求； (3)使用加密技術(shù)。當(dāng)有多種手段并存時 ,加密方法可能最為適用。為了在主機(jī) A 和 B 之間傳送 TCP 數(shù)據(jù) ,必須先通過 3次握手機(jī)制建立一條 TCP 連接。 隨后 ,響應(yīng)方 B在收到連接方 A 的 SYN 報 文后 , 返回一個 SYN+ACK 的報文 (其中 SYN 是自己的初始序號 Y,ACK 為確認(rèn)號 X+1,表示客戶端的請求被接受 ,正在等待下一個報文 )。到此一個 TCP 連接完成。接著發(fā)送 SYN 包 ,假冒 A 方發(fā)起新的連接。攻擊者再假冒 A 方對 B 方發(fā)送 ACK包。若攻擊者再趁機(jī)插入有害數(shù) 據(jù)包 ,則后果更嚴(yán)重。1個用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個線程等待 1分鐘并不是什么大問題 , 14 但如果有一個惡意的攻擊者大量模擬這種情況 ,服務(wù)器端 將為了維護(hù)一個