我們的網(wǎng)絡(luò)是建立在各種協(xié)議之上的。但是，雖然有著各種規(guī)范，但是并不能保證我們的網(wǎng)絡(luò)是安全的。那么我們現(xiàn)在就來(lái)講解一下有關(guān)于TCP IP協(xié)議安全的一些問(wèn)題吧。首先還是昂我們了解一下現(xiàn)在網(wǎng)絡(luò)環(huán)境時(shí)如何的。

現(xiàn)在由于自身的缺陷,網(wǎng)絡(luò)的開(kāi)放性以及黑客的攻擊是造成互聯(lián)網(wǎng)絡(luò)不安全的主要原因。當(dāng)前，TCP/IP作為一個(gè)事實(shí)上的工業(yè)標(biāo)準(zhǔn)，在其制訂之初，沒(méi)有考慮安全因素，因此他本身無(wú)安全可言。TCP/IP作為Internet使用的標(biāo)準(zhǔn)協(xié)議集，是黑客實(shí)施網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)和對(duì)象。TCP IP協(xié)議組是目前使用最廣泛的網(wǎng)絡(luò)互連協(xié)議。但TCP IP協(xié)議組本身存在著一些安全性問(wèn)題。

TCP IP協(xié)議是建立在可信的環(huán)境之下，首先考慮網(wǎng)絡(luò)互連缺乏對(duì)安全方面的考慮。其次，TCP/IP是建立在3次握手協(xié)議基礎(chǔ)之上，本身就存在一定不安全的因素，握手協(xié)議的過(guò)程當(dāng)中有一定局限性。這種基于地址的協(xié)議本身就會(huì)泄露口令，而且經(jīng)常會(huì)運(yùn)行一些無(wú)關(guān)的程序，這些都是網(wǎng)絡(luò)本身的缺陷?；ミB網(wǎng)技術(shù)屏蔽了底層網(wǎng)絡(luò)硬件細(xì)節(jié)，使得異種網(wǎng)絡(luò)之間可以互相通信。這就給"黑客"們攻擊網(wǎng)絡(luò)以可乘之機(jī)。由于大量重要的應(yīng)用程序都以TCP作為它們的傳輸層協(xié)議，因此TCP的安全性問(wèn)題會(huì)給網(wǎng)絡(luò)帶來(lái)嚴(yán)重的后果。網(wǎng)絡(luò)的開(kāi)放性，TCP IP協(xié)議完全公開(kāi)，遠(yuǎn)程訪問(wèn)使許多攻擊者無(wú)須到現(xiàn)場(chǎng)就能夠得手，連接的主機(jī)基于互相信任的原則等等性質(zhì)使網(wǎng)絡(luò)更加不安全。

協(xié)議中存在許多的安全問(wèn)題，隨著應(yīng)用的深入，逐漸受到人們的關(guān)注。因此，人們開(kāi)始研究各種各樣的安全技術(shù)來(lái)彌補(bǔ)它的缺陷，堵住安全漏洞，增加網(wǎng)絡(luò)安全。目前正在制定安全協(xié)議,在互連的基礎(chǔ)上考慮了安全的因素，希望能對(duì)未來(lái)的信息社會(huì)中對(duì)安全網(wǎng)絡(luò)環(huán)境的形成有所幫助。網(wǎng)絡(luò)安全關(guān)系到國(guó)家安全。網(wǎng)絡(luò)安全的理論及其應(yīng)用技術(shù)的研究，不僅受到學(xué)術(shù)界以及工業(yè)界的關(guān)注，同時(shí)也受到各國(guó)政府的高度重視。為了自己國(guó)家的利益，美國(guó)等西方發(fā)達(dá)國(guó)家將網(wǎng)絡(luò)安全技術(shù)及產(chǎn)品視為如同核武器一樣的秘密技術(shù)，立法限制其向中國(guó)出口。為保障中國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，國(guó)家安全部、公安部等明確要求使用國(guó)產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品來(lái)確保我國(guó)網(wǎng)絡(luò)的安全。

然而，由于種種原因，目前中國(guó)有關(guān)網(wǎng)絡(luò)安全技術(shù)及其產(chǎn)品的研發(fā)與美國(guó)等西方發(fā)達(dá)國(guó)家相比尚有一定的距離。正因?yàn)槿绱?，?yīng)加倍努力，迎頭趕上。在這種背景下，應(yīng)該更加的重視網(wǎng)絡(luò)安全方面。國(guó)家信息安全的總體框架已經(jīng)搭就。已制定報(bào)批和發(fā)布了有關(guān)信息技術(shù)安全的一系列的國(guó)家標(biāo)準(zhǔn)、國(guó)家軍用標(biāo)準(zhǔn)。國(guó)家信息安全基礎(chǔ)設(shè)施正在逐步建成包括國(guó)際出入口監(jiān)控中心、安全產(chǎn)品評(píng)測(cè)認(rèn)證中心、病毒檢測(cè)和防治中心、關(guān)鍵網(wǎng)絡(luò)系統(tǒng)災(zāi)難恢復(fù)中心、系統(tǒng)攻擊和反攻擊中心、電子保密標(biāo)簽監(jiān)管中心、網(wǎng)絡(luò)安全緊急處置中心、電子交易證書(shū)授權(quán)中心、密鑰恢復(fù)監(jiān)管中心、公鑰基礎(chǔ)設(shè)施與監(jiān)管中心、信息戰(zhàn)防御研究中心等。

TCP IP協(xié)議安全之ARP欺騙

ARP協(xié)議在對(duì)IP地址進(jìn)行解析時(shí)，利用ARP緩存（也叫ARP表）來(lái)做。ARP緩存的每一條目保存有IP地址到物理地址的映射。如果在ARP表中沒(méi)有這樣的對(duì)應(yīng)條目，ARP協(xié)議會(huì)廣播ARP請(qǐng)求，獲得對(duì)應(yīng)于那個(gè)IP地址的物理地址，并把該對(duì)應(yīng)關(guān)系加入到ARP表中。ARP表中的每一個(gè)條目都有一個(gè)計(jì)時(shí)器，如果計(jì)時(shí)器過(guò)期，該條目就無(wú)效，因而被從緩存中刪除。顯然，如果攻擊者暫時(shí)使用不工作的主機(jī)的IP地址，就可以偽造IP-物理地址對(duì)應(yīng)關(guān)系對(duì)，把自己偽裝成象那個(gè)暫時(shí)不使用的主機(jī)一樣?？朔藛?wèn)題的方法是，讓硬件地址常駐內(nèi)存，并可以用ARP命令手工加入（特權(quán)用戶(hù)才可以那樣做）；也可以通過(guò)向RARP服務(wù)器詢(xún)問(wèn)來(lái)檢查客戶(hù)的ARP欺騙。因?yàn)镽ARP服務(wù)器保留著網(wǎng)絡(luò)中硬件地址和 IP的相關(guān)信息。

TCP IP協(xié)議安全之路由欺騙

在路由協(xié)議中，主機(jī)利用重定向報(bào)文來(lái)改變或優(yōu)化路由。如果一個(gè)路由器發(fā)送非法的重定向報(bào)文，就可以偽造路由表，錯(cuò)誤引導(dǎo)非本地的數(shù)據(jù)報(bào)。另外，各個(gè)路由器都會(huì)定期向其相鄰的路由器廣播路由信息，如果使用RIP特權(quán)的主機(jī)的520端口廣播非法路由信息，也可以達(dá)到路由欺騙的目的。解決這些問(wèn)題的辦法有，通過(guò)設(shè)置主機(jī)忽略重定向信息可以防止路由欺騙；禁止路由器被動(dòng)使用RIP和限制被動(dòng)使用RIP的范圍。

TCP IP協(xié)議安全之DNS欺騙

網(wǎng)絡(luò)上的所有主機(jī)都信任DNS服務(wù)器，如果DNS服務(wù)器中的數(shù)據(jù)被攻擊者破壞，就可以進(jìn)行DNS欺騙。

攔截TCP連接：攻擊者可以使TCP連接的兩端進(jìn)入不同步狀態(tài)，入侵者主機(jī)向兩端發(fā)送偽造的數(shù)據(jù)包。冒充被信任主機(jī)建立TCP連接，用SYN淹沒(méi)被信任的主機(jī)，并猜測(cè)3步握手中的響應(yīng)（建立多個(gè)連接到信任主機(jī)的TCP連接，獲得初始序列號(hào)ISN(Initial Serial Number)和RTT，然后猜測(cè)響應(yīng)的ISN，因?yàn)樾蛄刑?hào)每隔半秒加64000，每建立一個(gè)連接加64000）。預(yù)防方法：使所有的r*命令失效，讓路由器拒絕來(lái)自外面的與本地主機(jī)有相同的IP地址的包。RARP查詢(xún)可用來(lái)發(fā)現(xiàn)與目標(biāo)服務(wù)器處在同一物理網(wǎng)絡(luò)的主機(jī)的攻擊。另外ISN攻擊可通過(guò)讓每一個(gè)連接的ISN隨機(jī)分配配合每隔半秒加64000來(lái)防止。

使用TCP SYN報(bào)文段淹沒(méi)服務(wù)器。利用TCP建立連接的3步驟的缺點(diǎn)和服務(wù)器端口允許的連接數(shù)量的限制，竊取不可達(dá)IP地址作為源IP地址，使得服務(wù)器端得不到ACK而使連接處于半開(kāi)狀態(tài)，從而阻止服務(wù)器響應(yīng)響應(yīng)別的連接請(qǐng)求。盡管半開(kāi)的連接會(huì)被過(guò)期而關(guān)閉的，但只要攻擊系統(tǒng)發(fā)送的spoofed SYN請(qǐng)求的速度比過(guò)期的快就可以達(dá)到攻擊的目的。這種攻擊的方法一直是一種重要的攻擊ISP（Internet Service Provider）的方法，這種攻擊并不會(huì)損害服務(wù)，而是使服務(wù)能力削弱。解決這種攻擊的辦法是，給Unix內(nèi)核加一個(gè)補(bǔ)丁程序或使用一些工具對(duì)內(nèi)核進(jìn)行配置。一般的做法是，使允許的半開(kāi)連接的數(shù)量增加，允許連接處于半開(kāi)狀態(tài)的時(shí)間縮短。但這些并不能從根本上解決這些問(wèn)題。實(shí)際上在系統(tǒng)的內(nèi)存中有一個(gè)專(zhuān)門(mén)的隊(duì)列包含所有的半開(kāi)連接，這個(gè)隊(duì)列的大小是有限的，因而只要有意使服務(wù)器建立過(guò)多的半開(kāi)連接就可以使服務(wù)器的這個(gè)隊(duì)列溢出，從而無(wú)法響應(yīng)其他客戶(hù)的連接請(qǐng)求。