2006年第5期(总第34期)林王申:TCPIP协议的安全性分析9月15日出版TCPIP协议的安全性分析y林王申(大连民族学院计算机科学与工程学院,辽宁大连116605)摘要:网络安全是一个永恒的主题对TCPIP各层的主要协议进行了分析,指出了存在的安全漏洞,并给出了相应的解决办法,为进一步研究网络安全提供了参考关键词:TCPIP协议;网络安全;对策中图分类号:TP39308文献标识码:A文章编号:1009-315X(2006)05-0049-03随着Internet的发展及电子商务的普及,网MAC帧发往目的主机或IP路由器,目的主机的络攻击事件日益增多被攻击的原因大致可分为数据链路层将MAC帧的帧头去掉,将IP数据包以下3种:(1)由于系统管理员的安全意识不够送交网络层;网络层检查IP报头,如果报头中强,暴露出明显的安全漏洞如系统管理员口令校验和与计算结果不一致,则丢弃该IP数据包,设置不对,系统设置了许多权限控制不严的信如果一致则去掉IP报头,将TCP段送交传输层;任主机等(2)软件系统存在错误或漏洞传输层检查顺序号,判断是否是正确的TCP分如著名的针对Win95和WinNT的OOB攻击和组,然后检查TCP报头数据,若正确则向源主泪滴攻击(3)针对TCPIP本身的运行机制机发确认信息,若不正确或丢包,则向源主机要进行攻击如最著名的Morris的DOS攻击和IP求重发信息传输层去掉TCP报头,将排好顺序劫持,都是利用TCPIP协议中的漏洞进行攻击,的分组组成应用数据流送给应用程序这样目的对系统安全威胁很大本文通过研究TCPIP协主机接收到的字节流,就像是直接来自于源主机议的工作原理对其安全隐患进行了分析,并给出一样了相应对策2TCPIP各层存在的安全隐患及对策1TCPIP的工作原理21数据链路层TCPIP作为Internet最重要的协议,包含了安全隐患:在以太网中,信道是共享的,数在Internet上的网络通信标准以及一组网络互联据在网络上以帧为单位进行传输任何主机协议和路径选择算法TCP(TransportControlPro发送的每一个帧都会到达与其处于同一网段的所tocol)是传输控制协议;IP(InternetProtocol)是有主机的网络接口,而每一个网络接口都有一个网络协议其工作原理是:源主机应用层将一串唯一的硬件地址,这个硬件地址就是网卡的应用数据流传送给传输层,传输层将其截成分MAC地址在网络上进行数据通信时,信息以组,并加上TCP报头形成TCP段送交网络层;数据包的形式传送,其报头包含了目的主机的网络层给TCP段加上包括源主机和目的主机IPMAC地址,根据CSMACD协议,正常状态下网地址的IP报头,生成一个IP数据包,并送交数络接口对读入的数据进行检查,如果其携带的据链路层;数据链路层在其MAC帧的数据部分MAC地址是自己的或者是广播地址,那么就会装上IP数据包,再加上源主机和目的主机的将数据帧交给IP层软件,否则就把它忽略掉MAC地址和帧头,并根据其目的MAC地址,将然而,网络上也存在一些能接收所有数据包的接y收稿日期:2006-03-06作者简介:林王申(1978-),女,辽宁本溪人,大连民族学院计算机科学与工程学院助教研究方向:计算机应用技术49学报大连民族学院Number5(GeneralNo34)JOURNALOFDALIANNATIONALITIESUNIVERSITYSeptember,2006口,如Sniffer,攻击方通过某些手段使网卡工作此当受害方对那个地址做出回应时,它回应的是在监听模式下,从而达到非法窃取他人信息的目虚假的地址,不是攻击者的真正地址,因此IP的一般情况下,用户账户和密码等信息都是以欺骗也称为是一种盲欺骗为了假冒被信任的主明文的形式在网络上传输的,很可能被探测到而机,攻击者首先要使被假冒的主机对目标主机发遭到攻击来的数据包不做响应此后,攻击者向目标主机主要对策:(1)对网络中传输的数据进行加发送建立连接的SYN数据包,再用猜测的序列密,使攻击方无法正确还原窃取的数据,并且传号向目标主机发送ACK数据包如果序列号猜输的数据是经过压缩的,可以加快传输的速度测正确,目标主机就会接受ACK数据包至此,(2)安装检测软件,查看是否有Sniffer在网络中一个TCP连接建立起来了[3]攻击者可以向目标运行,做到防范于未然(3)改用交换式的网主机发送命令,在目标主机上安装后门程序或者络拓扑结构因为在交换式以太网中,数据只会窃取目标主机中的