1、湖北廣播電視大學(xué)TCP/IP協(xié)議安全漏洞摘要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全問題越來越受到國家的關(guān)注，網(wǎng)絡(luò)安 全已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)通信領(lǐng)域的重點(diǎn)。這篇論文的從目前使用的TCP/IP協(xié)議 入手來研究問題，從TCP/IP協(xié)議的安全性進(jìn)行較為全面的解析，從TCP/IP的總 體概括、現(xiàn)在存在安全隱患、以及各個(gè)層次之間安全問題進(jìn)行了比較深入的討論。 然后用現(xiàn)在最為流行的Snifer工具從實(shí)驗(yàn)的角度上來分析數(shù)據(jù)包的安全情況， 最后從SYN的攻擊代碼來分析TCP/IP協(xié)議，并且實(shí)現(xiàn)了幾種防御SYN的方法。本文在介紹因特網(wǎng)中使用的TCP/IP協(xié)議的基礎(chǔ)上，對(duì)TCP/IP協(xié)議的安全性 進(jìn)行了較為全面的討論，從

2、理論上分析了協(xié)議中幾種主要的安全隱患。由于 TCP/IP協(xié)議一開始的實(shí)現(xiàn)主要目的是用于科學(xué)研究的，所以很少考慮安全性方 面的東西。但隨著其應(yīng)用的普及，它已經(jīng)成為了 Internet網(wǎng)絡(luò)通信協(xié)議的標(biāo)準(zhǔn)。 希望本論文能對(duì)未來的信息社會(huì)中網(wǎng)絡(luò)安全環(huán)境的形成有所幫助。關(guān)鍵詞：TCP / IP協(xié)議，安全協(xié)議，服務(wù)，協(xié)議層，協(xié)議家人拒絕ABSTRACTAbstract: With the development of computer network technology, the government concerns more and more the message safety, Now, net

3、work security has become a key area of computer network communications. The paper start with the currently used TCP/IP protocol to study the problem. From the security On TCP/IP protocol we give more comprehensive analysis, Now from the exist security risks, and security issues between the various l

4、evels we give more in-depth discussion. Then using the most popular tool of Snifer to come up safe circumstance that analytical data wrap from the experience angle, and at last we analyze from the SYN attacking code to TCP/IP protocol, and achieve several defenses the SYN attacking.This paper descri

5、bes the use of the Internets TCP / IP protocol on the basis of TCP / IP protocol security for a more comprehensive discussion of the agreement from the theoretical analysis of several major security risk. As TCP / IP protocol began with the main purpose is for scientific research to achieve, so litt

6、le regardfor the safety of things. Butwith the popularity of its application, it has become the standard Internet network communication protocol. Hope that this paper will in the future information society, network security environment, help the formation ofProtocolKeywords: TCP/IP; Security Protoco

7、l; Denial of Service , layer, protocol family刖言隨著網(wǎng)絡(luò)互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)安全性越來越重要。從定義上講， 計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害 因素的威脅和危害。隨著信息社會(huì)的到來,計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展不斷地深入到生活的 各個(gè)領(lǐng)域。出現(xiàn)了許多網(wǎng)絡(luò)服務(wù)的新型業(yè)務(wù)。比如：電子商務(wù)、數(shù)字貨幣、網(wǎng)絡(luò) 銀行電子證券、網(wǎng)絡(luò)書店、網(wǎng)上拍賣、網(wǎng)絡(luò)防偽等。隨著這些業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò) 安全問題顯得越來越重要，成為關(guān)鍵所在。因此網(wǎng)絡(luò)安全研究成為計(jì)算機(jī)通訊領(lǐng) 域和發(fā)展的重要方向。現(xiàn)在由于自身的缺陷，網(wǎng)絡(luò)的開放性以及黑客的攻擊是造成互聯(lián)網(wǎng)絡(luò)

8、不安全 的主要原因。當(dāng)前，TCP/IP作為一個(gè)事實(shí)上的工業(yè)標(biāo)準(zhǔn)，在其制訂之初，沒有 考慮安全因素，因此他本身無安全可言。TCP/IP作為Internet使用的標(biāo)準(zhǔn)協(xié)議 集，是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)和對(duì)象。TCP/IP協(xié)議組是目前使用最廣泛 的網(wǎng)絡(luò)互連協(xié)議。但TCP/IP協(xié)議組本身存在著一些安全性問題。TCP/IP協(xié)議是 建立在可信的環(huán)境之下，首先考慮網(wǎng)絡(luò)互連缺乏對(duì)安全方面的考慮。其次，TCP/IP 是建立在3次握手協(xié)議基礎(chǔ)之上，本身就存在一定不安全的因素，握手協(xié)議的過 程當(dāng)中有一定局限性。這種基于地址的協(xié)議本身就會(huì)泄露口令，而且經(jīng)常會(huì)運(yùn)行 一些無關(guān)的程序，這些都是網(wǎng)絡(luò)本身的缺陷?；ミB網(wǎng)技術(shù)

9、屏蔽了底層網(wǎng)絡(luò)硬件細(xì) 節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信。這就給黑客們攻擊網(wǎng)絡(luò)以可乘之機(jī)。由 于大量重要的應(yīng)用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問題 會(huì)給網(wǎng)絡(luò)帶來嚴(yán)重的后果。網(wǎng)絡(luò)的開放性，TCP/IP協(xié)議完全公開，遠(yuǎn)程訪問使 許多攻擊者無須到現(xiàn)場(chǎng)就能夠得手，連接的主機(jī)基于互相信任的原則等等性質(zhì)使 網(wǎng)絡(luò)更加不安全。協(xié)議中存在許多的安全問題，隨著應(yīng)用的深入，逐漸受到人們的關(guān)注。因此， 人們開始研究各種各樣的安全技術(shù)來彌補(bǔ)它的缺陷，堵住安全漏洞，增加網(wǎng)絡(luò)安 全。目前正在制定安全協(xié)議，在互連的基礎(chǔ)上考慮了安全的因素，希望能對(duì)未來 的信息社會(huì)中對(duì)安全網(wǎng)絡(luò)環(huán)境的形成有所幫助。網(wǎng)絡(luò)安全關(guān)系

10、到國家安全。網(wǎng)絡(luò) 安全的理論及其應(yīng)用技術(shù)的研究，不僅受到學(xué)術(shù)界以及工業(yè)界的關(guān)注，同時(shí)也受 到各國政府的高度重視。為了自己國家的利益，美國等西方發(fā)達(dá)國家將網(wǎng)絡(luò)安全 技術(shù)及產(chǎn)品視為如同核武器一樣的秘密技術(shù)，立法限制其向中國出口。為保障中 國網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，國家安全部、公安部等明確要求使用國產(chǎn)的網(wǎng)絡(luò)安全產(chǎn) 品來確保我國網(wǎng)絡(luò)的安全。然而，由于種種原因，目前中國有關(guān)網(wǎng)絡(luò)安全技術(shù)及 其產(chǎn)品的研發(fā)與美國等西方發(fā)達(dá)國家相比尚有一定的距離。正因?yàn)槿绱?，?yīng)加倍努力，迎頭趕上。在這種背景下，應(yīng)該更加的重視網(wǎng)絡(luò)安全方面。國家信息安全 的總體框架已經(jīng)搭就。己制定報(bào)批和發(fā)布了有關(guān)信息技術(shù)安全的一系列的國家標(biāo) 準(zhǔn)、國家

11、軍用標(biāo)準(zhǔn)。國家信息安全基礎(chǔ)設(shè)施正在逐步建成包括國際出入口監(jiān)控中 心、安全產(chǎn)品評(píng)測(cè)認(rèn)證中心、病毒檢測(cè)和防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、 系統(tǒng)攻擊和反攻擊中心、電子保密標(biāo)簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置中心、電子 交易證書授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、公鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御 研究中心等。第一章TCP/IP協(xié)議概述TCP/IP協(xié)議定義協(xié)議是互相通信的計(jì)算機(jī)雙方必須共同遵從的一組約定。TCP/IP (傳輸控 制協(xié)議/網(wǎng)際協(xié)議)就是這樣的約定，它規(guī)定了計(jì)算機(jī)之間互相通信的方法。 TCP/IP是為了使接入因特網(wǎng)的異種網(wǎng)絡(luò)、不同設(shè)備之間能夠進(jìn)行正常的數(shù)據(jù)通 訊，而預(yù)先制定的一簇大家共同遵守的格式和

12、約定。該協(xié)議是美國國防部高級(jí)研 究計(jì)劃署為簡歷ARPANET開發(fā)的，在這個(gè)協(xié)議集中，兩個(gè)最知名的協(xié)議就是傳輸 控制協(xié)議(TCP,Transfer Contorl Protocol)和網(wǎng)際協(xié)議(IP，Internet Protocol)，故而整個(gè)協(xié)議集被稱為TCP/IP。之所以說TCP/IP是一個(gè)協(xié)議簇， 是因?yàn)?TCP/IP 包括了 TCP、IP、UDP、ICMP、RIP、TELNET. FTP、SMTP、ARP 等 許多協(xié)議，對(duì)因特網(wǎng)中主機(jī)的尋址方式、主機(jī)的命名機(jī)制、信息的傳輸規(guī)則，以 及各種各樣的服務(wù)功能均做了詳細(xì)約定，這些約定一起稱為TCP/IP。TCP/IP協(xié)議和開放系統(tǒng)互連參考模型一

13、樣，是一個(gè)分層結(jié)構(gòu)。協(xié)議的分層 使得各層的任務(wù)和目的十分明確，這樣有利于軟件編寫和通信控制。TCP/IP協(xié) 議分為4層，由下至上分別是網(wǎng)路接口層、網(wǎng)際層、傳輸層和應(yīng)用層，如圖所示 整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議。IP協(xié)議之所以能使各種網(wǎng)絡(luò)互聯(lián)起來是由于它 把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“IP數(shù)據(jù)報(bào)”格式，這種轉(zhuǎn)換是因特網(wǎng)的一個(gè) 最重要的特點(diǎn)。所以IP協(xié)議使各種計(jì)算機(jī)網(wǎng)絡(luò)都能在因特網(wǎng)上實(shí)現(xiàn)互通，即具有用戶進(jìn)用戶進(jìn)1程T律/IPI協(xié)議的總體概況程*目前在nternet用戶進(jìn)用戶進(jìn) 程4應(yīng)用層net上使用的是tcp/ip協(xié)議。tcp/ip.協(xié)議叫做傳輸控制/網(wǎng)際協(xié)議，它是*ternqt國際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。

14、避腳是網(wǎng)絡(luò)中使用的基本的通信 協(xié)議。其中Ip(ln-相互連接進(jìn)行協(xié)議。TCP/+規(guī)則，正是因?yàn)橛辛?Tcp/ip協(xié)議,因特網(wǎng)才得以迅速發(fā)展成為世界上最大的、開 放的計(jì)算機(jī)通信網(wǎng)絡(luò)ernet lKrtoCol)全名為網(wǎng)際互連協(xié)議，它是為計(jì)算機(jī)網(wǎng)絡(luò)議是能夠使ra上的er Control Protocol)是傳輸控制帝計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的俺縣從表面名字上看TCP/IP其實(shí)TCP/IP實(shí)際上是11組協(xié)議的集合，包括兩個(gè)協(xié)議，傳輸控制協(xié)議TCP)和互聯(lián)網(wǎng)際TCP它包括了上百個(gè)各種功能的協(xié)議。(IP)：如：五程登錄-文件傳輸和電了郵件等等，-而TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完“開放性”的特點(diǎn)。TCP/

15、IP協(xié)議的基本傳輸單位是數(shù)據(jù)包（datagram）。TCP協(xié)議 負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包，并給每個(gè)數(shù)據(jù)包加上包頭，包頭上有相應(yīng)的編號(hào)， 以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來的格式，IP協(xié)議在每個(gè)包頭上還要加 上接收端主機(jī)地址，這樣數(shù)據(jù)通過路由器中的MAC地址來確定數(shù)據(jù)的流向，如果 傳輸過程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù)失真等情況，TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸， 并重新組。.總之，IP協(xié)議保證數(shù)據(jù)的傳輸，而TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。 TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的4層結(jié)構(gòu)：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、 接口層。第二章各協(xié)議層存在的安全漏洞2.1鏈路層存在的安全漏洞我們知道，在以太網(wǎng)

16、中，信道是共享的，任何主機(jī)發(fā)送的每一個(gè)以太網(wǎng)幀都 會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口，一般地，CSMA/CD 協(xié)議使以太網(wǎng)接口在檢測(cè)到數(shù)據(jù)幀不屬于自己時(shí)，就把它忽略，不會(huì)把它發(fā)送到 上層協(xié)議（如ARP、RARP層或IP層）。如果我們對(duì)其稍做設(shè)置或修改，就可以使 一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。例如有的實(shí)現(xiàn)可以使用雜錯(cuò)接點(diǎn)，即能 接收所有數(shù)據(jù)幀的機(jī)器節(jié)點(diǎn)。解決該漏洞的對(duì)策是：網(wǎng)絡(luò)分段、利用交換器，動(dòng) 態(tài)集線器和橋等設(shè)備對(duì)數(shù)據(jù)流進(jìn)行限制、加密（采用一次性口令技術(shù)）和禁用雜 錯(cuò)接點(diǎn)。2.2網(wǎng)絡(luò)層漏洞幾乎所有的基于TCP/IP的機(jī)器都會(huì)對(duì)ICMP echo請(qǐng)求進(jìn)行響應(yīng)。所以如果

17、一個(gè)敵意主機(jī)同時(shí)運(yùn)行很多個(gè)ping命令向一個(gè)服務(wù)器發(fā)送超過其處理能力的 ICMP echo請(qǐng)求時(shí)，就可以淹沒該服務(wù)器使其拒絕其他的服務(wù)。另外，ping命 令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開后門進(jìn)行 方便的攻擊，如收集目標(biāo)上的信息并進(jìn)行秘密通信等。解決該漏洞的措施是拒絕 網(wǎng)絡(luò)上的所有ICMP echo響應(yīng)。2.3 IP漏洞IP包一旦從網(wǎng)絡(luò)中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某 種原因丟棄它或到達(dá)目標(biāo)端后，才被使用。這使得一個(gè)主機(jī)可以使用別的主機(jī)的 IP地址發(fā)送IP包，只要它能把這類IP包放到網(wǎng)絡(luò)上就可以。因而如果攻擊者 把自己的主機(jī)偽裝成被目標(biāo)主機(jī)信任的友

18、好主機(jī)，即把發(fā)送的IP包中的源IP 地址改成被信任的友好主機(jī)的IP地址，利用主機(jī)間的信任關(guān)系（Unix網(wǎng)絡(luò)軟件 的開發(fā)者發(fā)明的術(shù)語）和這種信任關(guān)系的實(shí)際認(rèn)證中存在的脆弱性（只通過IP 確認(rèn)），就可以對(duì)信任主機(jī)進(jìn)行攻擊。注意，其中所說的信任關(guān)系是指一個(gè)被授 權(quán)的主機(jī)可以對(duì)信任主機(jī)進(jìn)行方便的訪問。所有的r*命令都采用信任主機(jī)方案， 所以一個(gè)攻擊主機(jī)把自己的IP改為被信任主機(jī)的IP，就可以連接到信任主機(jī)并 能利用r*命令開后門達(dá)到攻擊的目的。解決這個(gè)問題的一個(gè)辦法是，讓路由器 拒絕接收來自網(wǎng)絡(luò)外部的IP地址與本地某一主機(jī)的IP地址相同的IP包的進(jìn)入。2.4 ARP欺騙ARP協(xié)議在對(duì)IP地址進(jìn)行解析時(shí)

19、，利用ARP緩存（也叫ARP表）來做。ARP 緩存的每一條目保存有IP地址到物理地址的映射。如果在ARP表中沒有這樣的 對(duì)應(yīng)條目，ARP協(xié)議會(huì)廣播ARP請(qǐng)求，獲得對(duì)應(yīng)于那個(gè)IP地址的物理地址，并 把該對(duì)應(yīng)關(guān)系加入到ARP表中。ARP表中的每一個(gè)條目都有一個(gè)計(jì)時(shí)器，如果計(jì) 時(shí)器過期，該條目就無效，因而被從緩存中刪除。顯然，如果攻擊者暫時(shí)使用不 工作的主機(jī)的IP地址，就可以偽造IP-物理地址對(duì)應(yīng)關(guān)系對(duì)，把自己偽裝成象 那個(gè)暫時(shí)不使用的主機(jī)一樣?？朔藛栴}的方法是，讓硬件地址常駐內(nèi)存，并可 以用ARP命令手工加入（特權(quán)用戶才可以那樣做）；也可以通過向RARP服務(wù)器詢 問來檢查客戶的ARP欺騙。因?yàn)镽

20、ARP服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和IP的相 關(guān)信息。2.5路由欺騙：在路由協(xié)議中，主機(jī)利用重定向報(bào)文來改變或優(yōu)化路由。如果一個(gè)路由器發(fā) 送非法的重定向報(bào)文，就可以偽造路由表，錯(cuò)誤引導(dǎo)非本地的數(shù)據(jù)報(bào)。另外，各 個(gè)路由器都會(huì)定期向其相鄰的路由器廣播路由信息，如果使用RIP特權(quán)的主機(jī)的 520端口廣播非法路由信息，也可以達(dá)到路由欺騙的目的。解決這些問題的辦法 有，通過設(shè)置主機(jī)忽略重定向信息可以防止路由欺騙；禁止路由器被動(dòng)使用RIP 和限制被動(dòng)使用RIP的范圍。2.6 DNS欺騙網(wǎng)絡(luò)上的所有主機(jī)都信任DNS服務(wù)器，如果DNS服務(wù)器中的數(shù)據(jù)被攻擊者破 壞，就可以進(jìn)行DNS欺騙。2.7攔截TCP連接：攻擊

21、者可以使TCP連接的兩端進(jìn)入不同步狀態(tài)，入侵者 主機(jī)向兩端發(fā)送偽造的數(shù)據(jù)包。冒充被信任主機(jī)建立TCP連接，用SYN淹沒被信 任的主機(jī)，并猜測(cè)3步握手中的響應(yīng)（建立多個(gè)連接到信任主機(jī)的TCP連接，獲 得初始序列號(hào)ISN（Initial Serial Number）和RTT，然后猜測(cè)響應(yīng)的ISN，因 為序列號(hào)每隔半秒加64000，每建立一個(gè)連接加64000）。預(yù)防方法：使所有的 r*命令失效，讓路由器拒絕來自外面的與本地主機(jī)有相同的IP地址的包。RARP 查詢可用來發(fā)現(xiàn)與目標(biāo)服務(wù)器處在同一物理網(wǎng)絡(luò)的主機(jī)的攻擊。另外ISN攻擊可 通過讓每一個(gè)連接的ISN隨機(jī)分配配合每隔半秒加64000來防止。2.8

22、使用TCP SYN報(bào)文段淹沒服務(wù)器。利用TCP建立連接的3步驟的缺點(diǎn) 和服務(wù)器端口允許的連接數(shù)量的限制，竊取不可達(dá)IP地址作為源IP地址，使得 服務(wù)器端得不到ACK而使連接處于半開狀態(tài)，從而阻止服務(wù)器響應(yīng)響應(yīng)別的連接 請(qǐng)求。盡管半開的連接會(huì)被過期而關(guān)閉的，但只要攻擊系統(tǒng)發(fā)送的spoofed SYN 請(qǐng)求的速度比過期的快就可以達(dá)到攻擊的目的。這種攻擊的方法一直是一種重要 的攻擊ISP （Internet Service Provider）的方法，這種攻擊并不會(huì)損害服 務(wù)，而是使服務(wù)能力削弱。解決這種攻擊的辦法是，給Unix內(nèi)核加一個(gè)補(bǔ)丁程 序或使用一些工具對(duì)內(nèi)核進(jìn)行配置。一般的做法是，使允許的半

23、開連接的數(shù)量增 加，允許連接處于半開狀態(tài)的時(shí)間縮短。但這些并不能從根本上解決這些問題。 實(shí)際上在系統(tǒng)的內(nèi)存中有一個(gè)專門的隊(duì)列包含所有的半開連接，這個(gè)隊(duì)列的大小 是有限的，因而只要有意使服務(wù)器建立過多的半開連接就可以使服務(wù)器的這個(gè)隊(duì) 列溢出，從而無法響應(yīng)其他客戶的連接請(qǐng)求。第三章 關(guān)于TCP/IP協(xié)議族存在的脆弱性剖析3.1TCP/IP協(xié)議族存在脆弱性IP層的主要曲線是缺乏有效的安全認(rèn)證和保密機(jī)制，其中最主要的因素就 是IP地址問題TCP/IP協(xié)議用IP地址來作為網(wǎng)絡(luò)節(jié)點(diǎn)的惟一標(biāo)識(shí)，許多TCP/IP 服務(wù)，包括Berkeley中的R命令、NFS、X Window等都是基于IP地址對(duì)用戶進(jìn) 行認(rèn)證

24、和授權(quán)。當(dāng)前TCP/IP網(wǎng)絡(luò)的安全機(jī)制主要是基于IP地址的包過濾（Packet Filtering）和認(rèn)證（Authentication）技術(shù)，它的有效性體現(xiàn)在可以根據(jù)IP 包中的源IP地址判斷數(shù)據(jù)的真實(shí)性和安全性。然而IP地址存在許多問題，協(xié)議 的最大缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù)，缺乏對(duì)IP包中源IP地址真實(shí)性的認(rèn)證 機(jī)制與保密措施。這也就是引起整個(gè)TCP/IP協(xié)議不安全的根本所在。由于UDP是基于IP協(xié)議之上的，TCP分段和UDP協(xié)議數(shù)據(jù)包是封裝在IP包 中在網(wǎng)絡(luò)上傳輸?shù)模虼送瑯用媾RIP層所遇到的安全威脅?，F(xiàn)在人們一直在想 辦法解決，卻仍然無法避免的就是根據(jù)TCP連接建立時(shí)“三次握手”機(jī)

25、制的攻 擊。3.2應(yīng)用服務(wù)不容樂觀3.2.1文件傳輸協(xié)議FTP經(jīng)久不衰的原因在于它可以在互聯(lián)網(wǎng)上進(jìn)行與平臺(tái)無關(guān)的數(shù)據(jù)傳輸，它 基于一個(gè)客戶機(jī)/服務(wù)器架構(gòu)。FTP將通過兩個(gè)信道（端口）傳輸，一個(gè)傳輸數(shù) 據(jù)（TCP端口 20），另一個(gè)傳輸控制信息（TCP端口 21）。在控制信道之上， 雙方（客戶機(jī)和服務(wù)器）交換用于發(fā)起數(shù)據(jù)傳輸?shù)拿?。一個(gè)FTP連接包含4 個(gè)步驟：用戶鑒權(quán)建立控制信道建立數(shù)據(jù)信道關(guān)閉連接。FTP的連接控制 使用TCP （Transmission Control Protocol, 傳輸控制協(xié)議），它保障了數(shù) 據(jù)的可靠傳輸。因此，F(xiàn)TP在數(shù)據(jù)傳輸中不需要關(guān)心分組丟失和數(shù)據(jù)錯(cuò)誤檢測(cè)。匿

26、名FTP作為互聯(lián)網(wǎng)上廣泛應(yīng)用的服務(wù)，安全等級(jí)的低下受到了黑客的頻 繁光顧。匿名FTP是真的匿名，并沒有記錄誰請(qǐng)求了什么信息，誰下載了什么 文件，上傳了什么東西（有可能是木馬）。FTP存在著致命的安全缺陷，F(xiàn)TP使 用標(biāo)準(zhǔn)的用戶名和口令作為身份驗(yàn)證，缺乏有效的訪問權(quán)限的控制機(jī)制，而其口 令和密碼的傳輸也都是明文的方式。Web 服務(wù)Web服務(wù)器位于宿主基礎(chǔ)結(jié)構(gòu)的前端，它與Internet直接相連，負(fù)責(zé)接收 來自客戶端的請(qǐng)求，創(chuàng)建動(dòng)態(tài)Web頁并響應(yīng)請(qǐng)求數(shù)據(jù)。最初WWW服務(wù)只提供靜態(tài) 的HTML頁面，為改變?nèi)藗儗?duì)網(wǎng)絡(luò)互動(dòng)請(qǐng)求的愿望，開始引入了 CGI程序，CGI 程序讓主頁活動(dòng)起來。CGI程序可以接收

27、用戶的輸入信息，一般用戶是通過表格 把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用戶的要求進(jìn)行一些處理， 一般情況下會(huì)生成一個(gè)HTML文件，并傳回給用戶。很多CGI程序都存在安全漏 洞，很容易被黑客利用做一些非法的事情?，F(xiàn)在很多人在編寫CGI程序時(shí)，可能 對(duì)CGI軟件包中的安全漏洞并不了解，而且大多數(shù)情況下不會(huì)重新編寫程序的所 有部分，只是對(duì)其加以適當(dāng)?shù)男薷?，這樣很多CGI程序就不可避免的具有相同的 安全漏洞。很多SQL Server開發(fā)人員并沒有在代碼編寫開始的時(shí)候就從安全防 護(hù)基礎(chǔ)開始，這樣就無法確保您開發(fā)的代碼的安全性，其結(jié)果就造成了無法將應(yīng) 用程序的運(yùn)行控制在所需的最低權(quán)限之內(nèi)。

28、3.3提高網(wǎng)絡(luò)可信度前面的IPv4存在的弊端，很多安全防范技術(shù)被忽略了，它不可避免地被新 一代技術(shù)IPv6取代。IPsec安全協(xié)議就是事后發(fā)展的一種協(xié)議（如圖3-1），而 NAT （網(wǎng)絡(luò)地址轉(zhuǎn)換，Network Address Translation）解決了 IP地址短缺的問 題，卻增加了安全風(fēng)險(xiǎn)，使真正的端到端的安全應(yīng)用難以實(shí)現(xiàn)。端到端安全性的 兩個(gè)基本組件鑒權(quán)和加密都是IPv6協(xié)議的集成組件；而在IPv4中，它們只 是附加組件，因此，采用IPv6安全性會(huì)更加簡便、一致。在現(xiàn)在的網(wǎng)絡(luò)環(huán)境中，尤其是園區(qū)網(wǎng)當(dāng)中，由于不存在NAT地址轉(zhuǎn)換的問題，所以IPSec 具備允許部署可信計(jì)算基礎(chǔ)架構(gòu)的基本特

29、征。IPSec數(shù)據(jù)包驗(yàn)證能夠確保整個(gè)IP報(bào)頭、下一 層協(xié)議（例如TCP、UPD或ICMP）報(bào)頭以及數(shù)據(jù)包有效負(fù)載的數(shù)據(jù)完整性。華夏網(wǎng)管 ofAdmin.Com另外，針對(duì)數(shù)據(jù)包的單向Hash算法用以提供校驗(yàn)和。通信發(fā)起方計(jì)算校驗(yàn) 和并在發(fā)送之前將其附加到數(shù)據(jù)包中；響應(yīng)方則在收到數(shù)據(jù)包后為其計(jì)算校驗(yàn) 和。如果響應(yīng)方所計(jì)算出的校驗(yàn)和與數(shù)據(jù)包中附帶的校驗(yàn)和完全匹配，則證明數(shù) 據(jù)包在傳輸過程中未被修改。校驗(yàn)和的單向計(jì)算特性意味著其取值無法在傳輸過 程中進(jìn)行修改，這也就保證了端到端的數(shù)據(jù)傳輸過程的可信程度。第四章TCP/IP協(xié)議安全性分析TCP狀態(tài)轉(zhuǎn)移圖和定時(shí)器應(yīng)于連接建立或終止、流量控制和數(shù)據(jù)傳輸。幾類

30、主要的定時(shí)器及其功能如 下TCP狀態(tài)轉(zhuǎn)移圖控制了一次連接的初始化、建立和終止，該圖由定義的狀態(tài)以 及這些狀態(tài)之間的轉(zhuǎn)移弧構(gòu)成。TCP狀態(tài)轉(zhuǎn)移圖與定時(shí)器密切相關(guān)，不同的定時(shí) 器對(duì)：連接定時(shí)器：在連接建立階段，當(dāng)發(fā)送了 SYN包后，就啟動(dòng)連接定時(shí)器。 如果在75秒內(nèi)沒有收到應(yīng)答，則放棄連接建立。FIN-WAIT-2定時(shí)器：當(dāng)連接從FIN-WAIT-1狀態(tài)轉(zhuǎn)移到FIN-WAIT-2狀態(tài) 時(shí)，將一個(gè)FIN-WAIT-2定時(shí)器設(shè)置為10分鐘。如果在規(guī)定時(shí)間內(nèi)該連接沒有 收到一個(gè)帶有置位FIN的TCP包，則定時(shí)器超時(shí)，再定時(shí)為75秒。如果在該時(shí) 間段內(nèi)仍無FIN包到達(dá)，則放棄該連接。TIME-WAIT定時(shí)

31、器：當(dāng)連接進(jìn)入TIME-WAIT狀態(tài)時(shí)，該定時(shí)器被激活。當(dāng) 定時(shí)器超時(shí)時(shí)，與該連接相關(guān)的內(nèi)核數(shù)據(jù)塊被刪除，連接終止。維持連接定時(shí)器：其作用是預(yù)測(cè)性地檢測(cè)連接的另一端是否仍為活動(dòng)狀 態(tài)。如果設(shè)置了 SO-KEEPALIVE套接字選擇項(xiàng)，則TCP機(jī)狀態(tài)是ESTABLISHED或 CLOSE-WAITo4.2網(wǎng)絡(luò)入侵方式4.2.1偽造IP地址入侵者使用假IP地址發(fā)送包，利用基于IP地址證實(shí)的應(yīng)用程序。其結(jié)果是未授 權(quán)的遠(yuǎn)端用戶進(jìn)入帶有防火墻的主機(jī)系統(tǒng)。假設(shè)有兩臺(tái)主機(jī)A、B和入侵者控制的主機(jī)X。假設(shè)B授予A某些特權(quán)，使得A 能夠獲得B所執(zhí)行的一些操作。X的目標(biāo)就是得到與B相同的權(quán)利。為了實(shí)現(xiàn)該 目標(biāo)，

32、X必須執(zhí)行兩步操作：首先，與B建立一個(gè)虛假連接；然后，阻止A向B 報(bào)告網(wǎng)絡(luò)證實(shí)系統(tǒng)的問題。主機(jī)X必須假造A的IP地址，從而使B相信從X發(fā) 來的包的確是從A發(fā)來的。我們同時(shí)假設(shè)主機(jī)A和B之間的通信遵守TCP / IP的三次握手機(jī)制。握手方法是: A-： SYN （序列號(hào)二M）B-A： SYN （序列號(hào)= N），ACK （應(yīng)答序號(hào)二M+1）A-B： ACK （應(yīng)答序號(hào)= N+1）主機(jī)X偽造IP地址步驟如下：首先，X冒充A，向主機(jī)B發(fā)送一個(gè)帶有隨機(jī)序列 號(hào)的SYN包。主機(jī)B響應(yīng)，向主機(jī)A發(fā)送一個(gè)帶有應(yīng)答號(hào)的SYN+ACK包、該應(yīng)答 號(hào)等于原序列號(hào)加1。同時(shí)，主機(jī)B產(chǎn)生自己發(fā)送包序列號(hào)，并將其與應(yīng)答號(hào)

33、一 起發(fā)送。為了完成三次握手，主機(jī)X需要向主機(jī)B回送一個(gè)應(yīng)答包，其應(yīng)答號(hào)等 于主機(jī)B向主機(jī)A發(fā)送的包序列號(hào)加1。假設(shè)主機(jī)X與A和B不同在一個(gè)子網(wǎng)內(nèi)， 則不能檢測(cè)到B的包，主機(jī)X只有算出B的序列號(hào)，才能創(chuàng)建TCP連接。其過程 描述如下：X-B： SYN （序列號(hào)二M），SRC=AB-A： SYN （序列號(hào)二N），ACK （應(yīng)答號(hào)二M+1）X-B： ACK （應(yīng)答號(hào)= N+1），SRC=A同時(shí)，主機(jī)X應(yīng)該阻止主機(jī)A響應(yīng)主機(jī)B的包。為此，X可以等到主機(jī)A因某種 原因終止運(yùn)行，或者阻塞主機(jī)A的操作系統(tǒng)協(xié)議部分，使它不能響應(yīng)主機(jī)B。一旦主機(jī)X完成了以上操作，它就可以向主機(jī)B發(fā)送命令。主機(jī)B將執(zhí)行這些命

34、令，認(rèn)為他們是由合法主機(jī)A發(fā)來的。4.2.2 TCP狀態(tài)轉(zhuǎn)移的問題上述的入侵過程，主機(jī)X是如何阻止主機(jī)A向主機(jī)B發(fā)送響應(yīng)在的，主機(jī)調(diào)通過 發(fā)送一系列的SYN包，但不讓A向調(diào)發(fā)送SYN-ACK包而中止主機(jī)A的登錄端口。 如前所述，TCP維持一個(gè)連接建立定時(shí)器。如果在規(guī)定時(shí)間內(nèi)（通常為75秒） 不能建立連接，則TCP將重置連接。在前面的例子中，服務(wù)器端口是無法在75 秒內(nèi)作出響應(yīng)的。下面我們來討論一下主機(jī)X和主機(jī)A之間相互發(fā)送的包序列。X向A發(fā)送一個(gè)包， 其SYN位和FIN位置位，A向X發(fā)送ACK包作為響應(yīng)：X-A： SYN FIN （系列號(hào) =M）A-X： ACK （應(yīng)答序號(hào)=M+1）從上面的狀

35、態(tài)轉(zhuǎn)移可以看出，A開始處于監(jiān)聽 （LISTEN）狀態(tài)。當(dāng)它收到來自X的包后，就開始處理這個(gè)包。值得注意的是， 在TCP協(xié)議中，關(guān)于如何處理SYN和FIN同時(shí)置位的包并未作出明確的規(guī)定。我 們假設(shè)它首先處理SYN標(biāo)志位，轉(zhuǎn)移到SYN-RCVD狀態(tài)。然后再處理FIN標(biāo)志位， 轉(zhuǎn)移到CLOSE-WAIT狀態(tài)。如果前一個(gè)狀態(tài)是ESTABLISHED，那么轉(zhuǎn)移到 CLOSE-WAIT狀態(tài)就是正常轉(zhuǎn)移。但是，TCP協(xié)議中并未對(duì)從SYN-RCVD狀態(tài)到 CLOSE-WAIT狀態(tài)的轉(zhuǎn)移作出定義。但在幾種TCP應(yīng)用程序中都有這樣的轉(zhuǎn)移， 例如開放系統(tǒng)SUN OS4.1.3，SUR4和ULTRX4.3。因此，在這

36、些TCP應(yīng)用程序中 存在一條TCP協(xié)議中未作定義的從狀態(tài)SYN-RCVD到狀態(tài)CLOSE-WAIT的轉(zhuǎn)移弧， 在上述入侵例子中，由于三次握手沒能徹底完成，因此并未真正建立TCP連接， 相應(yīng)的網(wǎng)絡(luò)應(yīng)用程序并未從核心內(nèi)獲得連接。但是，主機(jī)A的TCP機(jī)處于 CLOSE-WAIT狀態(tài)，因此它可以向X發(fā)送一個(gè)FIN包終止連接。這個(gè)半開放連接 保留在套接字偵聽隊(duì)列中，而且應(yīng)用進(jìn)程不發(fā)送任何幫助TCP執(zhí)行狀態(tài)轉(zhuǎn)移的消 息。因此，主機(jī)A的TCP機(jī)被鎖在了 CL0SE-WAIT狀態(tài)。如果維持活動(dòng)定時(shí)器特 征被使用，通常2小時(shí)后TCP將會(huì)重置連接并轉(zhuǎn)移到CLOSED狀態(tài)。當(dāng)TCP機(jī)收 到來自對(duì)等主機(jī)的RST時(shí)，就

37、從ESTABLISHED，F(xiàn)INWAIT-1和FIN-WAIT-2狀態(tài)轉(zhuǎn) 移到CLOSED狀態(tài)。這些轉(zhuǎn)移是很重要的，因?yàn)樗鼈冎刂肨CP機(jī)且中斷網(wǎng)絡(luò)連接。 但是，由于到達(dá)的數(shù)據(jù)段只根據(jù)源IP地址和當(dāng)前隊(duì)列窗口號(hào)來證實(shí)。因此入侵 者可以假裝成已建立了合法連接的一個(gè)主機(jī)，然后向另一臺(tái)主機(jī)發(fā)送一個(gè)帶有適 當(dāng)序列號(hào)的RST段，這樣就可以終止連接了！從上面的分析我們可以看到幾種TCP應(yīng)用程序中都存在外部狀態(tài)轉(zhuǎn)移。這會(huì) 給系統(tǒng)帶來嚴(yán)重的安全性問題。4.2.3定時(shí)器問題正如前文所述，一旦進(jìn)入連接建立過程，則啟動(dòng)連接定時(shí)器。如果在規(guī)定時(shí) 間內(nèi)不能建立連接，則TCP機(jī)回到CLOSED狀態(tài)。我們來分析一下主機(jī)A和主

38、機(jī)X的例子。主機(jī)A向主機(jī)X發(fā)送一個(gè)SYN包， 期待著回應(yīng)一個(gè)SYN-ACK包。假設(shè)幾乎同時(shí)，主機(jī)X想與主機(jī)A建立連接，向A 發(fā)送一個(gè)SYN包。A和X在收到對(duì)方的SYN包后都向?qū)Ψ桨l(fā)送一個(gè)SYN-ACK包。 當(dāng)都收到對(duì)方的SYN-ACK包后，就可認(rèn)為連接已建立。在本文中，假設(shè)當(dāng)主機(jī)收 到對(duì)方的SYN包后，就關(guān)閉連接建立定時(shí)器。X-A： SYN （序列號(hào)二M）A-X： SYN （序列號(hào)二N）X-A： SYN （序列號(hào)二M），ACK （應(yīng)答號(hào)二N+1）A-X： SYN （序列號(hào)二N），ACK （應(yīng)答號(hào)=M+1）主機(jī)X向主機(jī)A發(fā)送一個(gè)FTP請(qǐng)求。在X和A之間建立起一個(gè)TCP連接來 傳送控制信號(hào)。主機(jī)A向X發(fā)送一個(gè)SYN包