TCP IP協議安全不容忽視
TCP IP協議是我們互聯網的基礎。但是,由于這個協議的很多缺陷,導致在這方面發生的問題也有很多。雖然它本身是建立在可信環境中的,但是由于缺陷和漏洞,也同樣存在著很多安全問題。
TCP IP協議是建立在可信的環境之下,首先考慮網絡互連缺乏對安全方面的考慮。其次,TCP/IP是建立在3次握手協議基礎之上,本身就存在一定不安全的因素,握手協議的過程當中有一定局限性。這種基于地址的協議本身就會泄露口令,而且經常會運行一些無關的程序,這些都是網絡本身的缺陷。互連網技術屏蔽了底層網絡硬件細節,使得異種網絡之間可以互相通信。這就給"黑客"們攻擊網絡以可乘之機。由于大量重要的應用程序都以TCP作為它們的傳輸層協議,因此TCP的安全性問題會給網絡帶來嚴重的后果。網絡的開放性,TCP IP協議完全公開,遠程訪問使許多攻擊者無須到現場就能夠得手,連接的主機基于互相信任的原則等等性質使網絡更加不安全。
協議中存在許多的安全問題,隨著應用的深入,逐漸受到人們的關注。因此,人們開始研究各種各樣的安全技術來彌補它的缺陷,堵住安全漏洞,增加網絡安全。目前正在制定安全協議,在互連的基礎上考慮了安全的因素,希望能對未來的信息社會中對安全網絡環境的形成有所幫助。網絡安全關系到國家安全。網絡安全的理論及其應用技術的研究,不僅受到學術界以及工業界的關注,同時也受到各國政府的高度重視。為了自己國家的利益,美國等西方發達國家將網絡安全技術及產品視為如同核武器一樣的秘密技術,立法限制其向中國出口。為保障中國網絡基礎設施的安全,國家安全部、公安部等明確要求使用國產的網絡安全產品來確保我國網絡的安全。
然而,由于種種原因,目前中國有關網絡安全技術及其產品的研發與美國等西方發達國家相比尚有一定的距離。正因為如此,應加倍努力,迎頭趕上。在這種背景下,應該更加的重視網絡安全方面。國家信息安全的總體框架已經搭就。已制定報批和發布了有關信息技術安全的一系列的國家標準、國家軍用標準。國家信息安全基礎設施正在逐步建成包括國際出入口監控中心、安全產品評測認證中心、病毒檢測和防治中心、關鍵網絡系統災難恢復中心、系統攻擊和反攻擊中心、電子保密標簽監管中心、網絡安全緊急處置中心、電子交易證書授權中心、密鑰恢復監管中心、公鑰基礎設施與監管中心、信息戰防御研究中心等。
TCP IP協議安全之ARP欺騙
ARP協議在對IP地址進行解析時,利用ARP緩存(也叫ARP表)來做。ARP緩存的每一條目保存有IP地址到物理地址的映射。如果在ARP表中沒有這樣的對應條目,ARP協議會廣播ARP請求,獲得對應于那個IP地址的物理地址,并把該對應關系加入到ARP表中。ARP表中的每一個條目都有一個計時器,如果計時器過期,該條目就無效,因而被從緩存中刪除。顯然,如果攻擊者暫時使用不工作的主機的IP地址,就可以偽造IP-物理地址對應關系對,把自己偽裝成象那個暫時不使用的主機一樣。克服此問題的方法是,讓硬件地址常駐內存,并可以用ARP命令手工加入(特權用戶才可以那樣做);也可以通過向RARP服務器詢問來檢查客戶的ARP欺騙。因為RARP服務器保留著網絡中硬件地址和 IP的相關信息。
TCP IP協議安全之路由欺騙
在路由協議中,主機利用重定向報文來改變或優化路由。如果一個路由器發送非法的重定向報文,就可以偽造路由表,錯誤引導非本地的數據報。另外,各個路由器都會定期向其相鄰的路由器廣播路由信息,如果使用RIP特權的主機的520端口廣播非法路由信息,也可以達到路由欺騙的目的。解決這些問題的辦法有,通過設置主機忽略重定向信息可以防止路由欺騙;禁止路由器被動使用RIP和限制被動使用RIP的范圍。
TCP IP協議安全之DNS欺騙
網絡上的所有主機都信任DNS服務器,如果DNS服務器中的數據被攻擊者破壞,就可以進行DNS欺騙。
攔截TCP連接:攻擊者可以使TCP連接的兩端進入不同步狀態,入侵者主機向兩端發送偽造的數據包。冒充被信任主機建立TCP連接,用SYN淹沒被信任的主機,并猜測3步握手中的響應(建立多個連接到信任主機的TCP連接,獲得初始序列號ISN(Initial Serial Number)和RTT,然后猜測響應的ISN,因為序列號每隔半秒加64000,每建立一個連接加64000)。預防方法:使所有的r*命令失效,讓路由器拒絕來自外面的與本地主機有相同的IP地址的包。RARP查詢可用來發現與目標服務器處在同一物理網絡的主機的攻擊。另外ISN攻擊可通過讓每一個連接的ISN隨機分配配合每隔半秒加64000來防止。
使用TCP SYN報文段淹沒服務器。利用TCP建立連接的3步驟的缺點和服務器端口允許的連接數量的限制,竊取不可達IP地址作為源IP地址,使得服務器端得不到ACK而使連接處于半開狀態,從而阻止服務器響應響應別的連接請求。盡管半開的連接會被過期而關閉的,但只要攻擊系統發送的spoofed SYN請求的速度比過期的快就可以達到攻擊的目的。這種攻擊的方法一直是一種重要的攻擊ISP(Internet Service Provider)的方法,這種攻擊并不會損害服務,而是使服務能力削弱。解決這種攻擊的辦法是,給Unix內核加一個補丁程序或使用一些工具對內核進行配置。一般的做法是,使允許的半開連接的數量增加,允許連接處于半開狀態的時間縮短。但這些并不能從根本上解決這些問題。實際上在系統的內存中有一個專門的隊列包含所有的半開連接,這個隊列的大小是有限的,因而只要有意使服務器建立過多的半開連接就可以使服務器的這個隊列溢出,從而無法響應其他客戶的連接請求。
