在IPv4網(wǎng)絡(luò)中存在著不少安全漏洞，其中對(duì)于網(wǎng)絡(luò)基本架構(gòu)層中的TCP IP協(xié)議也同樣有著嚴(yán)峻的安全問(wèn)題。所以，對(duì)于安全方面的分析就是我們接下來(lái)要探討的內(nèi)容了。目前在Internet上使用的是TCP IP協(xié)議。TCP IP協(xié)議叫做傳輸控制/網(wǎng)際協(xié)議，它是Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。TCP IP是網(wǎng)絡(luò)中使用的基本的通信協(xié)議。其中IP(Internet Protocol)全名為"網(wǎng)際互連協(xié)議"，它是為計(jì)算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計(jì)的協(xié)議。TCP(Transfer Control Protocol)是傳輸控制協(xié)議。TCP IP協(xié)議是能夠使連接到網(wǎng)上的所有計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)相互通信的一套規(guī)則，正是因?yàn)橛辛薚CP IP協(xié)議,因特網(wǎng)才得以迅速發(fā)展成為世界上最大的、開(kāi)放的計(jì)算機(jī)通信網(wǎng)絡(luò)。

從表面名字上看TCP IP包括兩個(gè)協(xié)議，傳輸控制協(xié)議(TCP)和互聯(lián)網(wǎng)際協(xié)議(IP)，其實(shí)TCP IP實(shí)際上是1組協(xié)議的集合，它包括了上百個(gè)各種功能的協(xié)議。如：遠(yuǎn)程登錄、文件傳輸和電子郵件等等，而TCP協(xié)議和IP協(xié)議是保證數(shù)據(jù)完整傳輸?shù)膬蓚€(gè)基本的重要協(xié)議。IP協(xié)議之所以能使各種網(wǎng)絡(luò)互聯(lián)起來(lái)是由于它把各種不同的“幀”統(tǒng)一轉(zhuǎn)換成“IP數(shù)據(jù)報(bào)”格式，這種轉(zhuǎn)換是因特網(wǎng)的一個(gè)最重要的特點(diǎn)。所以IP協(xié)議使各種計(jì)算機(jī)網(wǎng)絡(luò)都能在因特網(wǎng)上實(shí)現(xiàn)互通,即具有“開(kāi)放性”的特點(diǎn)。

TCP IP協(xié)議的基本傳輸單位是數(shù)據(jù)包(datagram)。TCP協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包，并給每個(gè)數(shù)據(jù)包加上包頭，包頭上有相應(yīng)的編號(hào)，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來(lái)的格式，IP協(xié)議在每個(gè)包頭上還要加上接收端主機(jī)地址，這樣數(shù)據(jù)通過(guò)路由器中的MAC地址來(lái)確定數(shù)據(jù)的流向，如果傳輸過(guò)程中出現(xiàn)數(shù)據(jù)丟失，數(shù)據(jù)失真等情況，TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸，并重新組。總之，IP協(xié)議保證數(shù)據(jù)的傳輸，而TCP協(xié)議保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。TCP IP協(xié)議數(shù)據(jù)的傳輸基于TCP IP協(xié)議的4層結(jié)構(gòu)：應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、接口層。

各TCP IP協(xié)議層存在的安全漏洞

鏈路層存在的安全漏洞

我們知道，在以太網(wǎng)中，信道是共享的，任何主機(jī)發(fā)送的每一個(gè)以太網(wǎng)幀都會(huì)到達(dá)別的與該主機(jī)處于同一網(wǎng)段的所有主機(jī)的以太網(wǎng)接口，一般地，CSMA/CD協(xié)議使以太網(wǎng)接口在檢測(cè)到數(shù)據(jù)幀不屬于自己時(shí)，就把它忽略，不會(huì)把它發(fā)送到上層協(xié)議（如ARP、RARP層或IP層）。如果我們對(duì)其稍做設(shè)置或修改，就可以使一個(gè)以太網(wǎng)接口接收不屬于它的數(shù)據(jù)幀。例如有的實(shí)現(xiàn)可以使用雜錯(cuò)接點(diǎn)，即能接收所有數(shù)據(jù)幀的機(jī)器節(jié)點(diǎn)。解決該漏洞的對(duì)策是：網(wǎng)絡(luò)分段、利用交換器，動(dòng)態(tài)集線器和橋等設(shè)備對(duì)數(shù)據(jù)流進(jìn)行限制、加密（采用一次性口令技術(shù)）和禁用雜錯(cuò)接點(diǎn)。

網(wǎng)絡(luò)層安全漏洞

幾乎所有的基于TCP IP的機(jī)器都會(huì)對(duì)ICMP echo請(qǐng)求進(jìn)行響應(yīng)。所以如果一個(gè)敵意主機(jī)同時(shí)運(yùn)行很多個(gè)ping命令向一個(gè)服務(wù)器發(fā)送超過(guò)其處理能力的ICMP echo請(qǐng)求時(shí)，就可以淹沒(méi)該服務(wù)器使其拒絕其他的服務(wù)。另外，ping命令可以在得到允許的網(wǎng)絡(luò)中建立秘密通道從而可以在被攻擊系統(tǒng)中開(kāi)后門進(jìn)行方便的攻擊，如收集目標(biāo)上的信息并進(jìn)行秘密通信等。解決該漏洞的措施是拒絕網(wǎng)絡(luò)上的所有ICMP echo響應(yīng)。

IP安全漏洞

TCP IP協(xié)議中的IP包一旦從網(wǎng)絡(luò)中發(fā)送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄它或到達(dá)目標(biāo)端后，才被使用。這使得一個(gè)主機(jī)可以使用別的主機(jī)的IP地址發(fā)送IP包，只要它能把這類IP包放到網(wǎng)絡(luò)上就可以。因而如果攻擊者把自己的主機(jī)偽裝成被目標(biāo)主機(jī)信任的友好主機(jī)，即把發(fā)送的IP包中的源IP地址改成被信任的友好主機(jī)的IP地址，利用主機(jī)間的信任關(guān)系（Unix網(wǎng)絡(luò)軟件的開(kāi)發(fā)者發(fā)明的術(shù)語(yǔ)）和這種信任關(guān)系的實(shí)際認(rèn)證中存在的脆弱性（只通過(guò)IP確認(rèn)），就可以對(duì)信任主機(jī)進(jìn)行攻擊。注意，其中所說(shuō)的信任關(guān)系是指一個(gè)被授權(quán)的主機(jī)可以對(duì)信任主機(jī)進(jìn)行方便的訪問(wèn)。所有的r*命令都采用信任主機(jī)方案，所以一個(gè)攻擊主機(jī)把自己的IP改為被信任主機(jī)的IP，就可以連接到信任主機(jī)并能利用r*命令開(kāi)后門達(dá)到攻擊的目的。解決這個(gè)問(wèn)題的一個(gè)辦法是，讓路由器拒絕接收來(lái)自網(wǎng)絡(luò)外部的IP地址與本地某一主機(jī)的IP地址相同的IP包的進(jìn)入。