TCP/IP协议的漏洞分析及防范

摘要：本文针对TCP/IP 在安全领域的应用展开论述，详细分析了TCP/ IP 在几个关键地方存在的问题，对其安全漏洞进行了研究，给出了一些建设性的解决办法，为今后的进一步研究奠定了基础。

关键词： 嗅探器；IP 漏洞；TCP 劫持；拒绝服务攻击

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)16-21230-04

TCP/IP Protocol Loophole Analysis and Prevention

WANG Xian-feng

(The Department of the Information Engineering of Lu'an Vocational and Technical College,Lu'an 237158,China)

Abstract:his paper is TCP/ IP's application to secure area.It analyzes several problems about a few of critical parts within，TCP/IP in details,discloses its security leakage and gives some constructive solutions in order to pave a basis on the further research.

Key words: Sniffer;IP Leakage;TCP Hijacking;Denial of Service attacks

Internet/ Intranet 是基于TCP/IP 协议簇的计算机网络。尽管TCP/IP 技术获得了巨大的成功，但也越来越暴露出它在安全上的不足之处，这是由于TCP/ IP 协议簇在设计初期基本没有考虑到安全性问题而只是用于科学研究。但随着应用的普及，它不仅用于一些要求安全性很高的军事领域，也应用于商业领域，因而对其安全性的要求也越来越高。下面从TCP/IP协议簇本身逐层来看它的安全漏洞。

1 TCP/IP 协议组的基本原理

TCP/IP分为4个层次，分别是应用层、传输层、网际层和物理网络接口层，如下图所示。

其中物理网络接口层相当于OSI的物理层和数据链路层；网际层与OSI 的网络层相对，但由于它考虑到了网际网环境，因而具有更强的网际环境通信能力，在网际层包含有四个重要的协议，它们是IP、ICMP、ARP、RARP；传输层与OSI 的传输层相对应，包含TCP 和UDP 两个协议；应用层相对于OSI的会话层、表示层和应用层功能，主要定义了FTP、TELNET、及E-MAIL 等应用服务。下面我们简要分析中间两层的有关协议。

2 链路层存在的安全漏洞

在以太网中，信道是共享的，数据在网络上是以很小的称为“帧”的单位传输的。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路，这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。也就是说任何主机发送的每一个以太帧都会到达别的与该主机处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时，根据CSMA/ CD 协议，正常状态下网络接口对读入数据进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP 层软件。当数据帧不属于自己时，就把它忽略掉。如果稍做设置或修改，使主机工作在监听模式下的话就可以使以太网卡接受不属于它的数据帧。或者采用虚拟设备开发技术，动态加载虚拟网络设备(VxD 或WDM) 驱动模块，驻留内存，实施侦听使网卡捕获任何经过它的数据。从而达到非法窃取他人信息(如密码、口令等) 的目的。这类软件被称为嗅探器(Sniffer)，如NeXRay，Sniffit，IPMan 等。解决该漏洞的对策是:改用交换式网络拓扑结构，在交换式以太网中，数据只会被发往目的地址的网卡，其它网卡接收不到数据包。但交换机的成本比较高。或者采用加密传输数据，使对方无法正确还原窃取的数据。同时可以安装检测软件，查看是否有Sniffer 在网络中运行，做到防范于未然。

3 ICMP漏洞

ICMP是“Internet Control Message Protocol”（Internet控制消息协议）的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。我们在网络中经常会使用到ICMP协议，只不过我们觉察不到而已。比如我们经常使用的用于检查网络通不通的Ping命令，这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

ICMP协议对于网络安全具有极其重要的意义。ICMP协议本身的特点决定了它非常容易被用于攻击网络上的路由器和主机. 例如，在1999年8月海信集团“悬赏”50万元人民币测试防火墙的过程中，其防火墙遭受到的ICMP攻击达334050次之多，占整个攻击总数的90%以上！可见，ICMP的重要性绝不可以忽视！

比如，可以利用操作系统规定的ICMP数据包最大尺寸不超过64KB这一规定，向主机发起“Ping of Death”（死亡之Ping）攻击。“Ping of Death” 攻击的原理是：如果ICMP数据包的尺寸超过64KB上限时，主机就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使主机死机。此外，向目标主机长时间、连续、大量地发送ICMP数据包，也会最终使系统瘫痪。大量的ICMP数据包会形成“ICMP风暴”，使得目标主机耗费大量的CPU资源处理，疲于奔命。

虽然ICMP协议给黑客以可乘之机，但是ICMP攻击也并非无药可医。只要在日常网络管理中未雨绸缪，提前做好准备，就可以有效地避免ICMP攻击造成的损失。

对于“Ping of Death”攻击，可以采取两种方法进行防范：第一种方法是在路由器上对ICMP数据包进行带宽限制，将ICMP占用的带宽控制在一定的范围内，这样即使有ICMP攻击，它所占用的带宽也是非常有限的，对整个网络的影响非常少；第二种方法就是在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。

设置ICMP数据包处理规则的方法也有两种，一种是在操作系统上设置包过滤，另一种是在主机上安装防火墙。

4 IP漏洞

IP 协议运行于网络层。在TCP/ IP 协议中, IP 地址是用来作为网络节点的惟一标志,但是节点的IP 地址又不是固定的,是一个公共数据,因此攻击者可以直接修改节点的IP 地址,冒充某个可信节点的IP 地址攻击,或者编程(如Raw Socket) ,实现对IP 地址的伪装。

4.1 TCP 劫持

也许对连接于Internet的服务器的最大威胁是TCP劫持入侵（即我们所知的主功嗅探），尽管顺序号预测法入侵和TCP劫持法有许多相似之处，但TCP劫持之不同在于黑客将强迫网络接受其IP地址为一个可信网址来获得访问，而不是不停地猜IP地址直至正确。TCP劫持法的基本思想是，黑客控制了一台连接于入侵目标网的计算机，然后从网上断开以让网络服务器误以为黑客是实际的客户端。下图显示了一个黑客怎样操作一个TCP劫持入侵。

成功地劫持了可信任计算机之后，黑客将用自己的IP地址更换入侵目标机的每一个包的IP地址，并模仿其顺序号。安全专家称顺序号伪装为“IP模仿”，黑客用IP模仿在自己机器上模拟一个可信系统的IP地址，黑客模仿了目标计算机之后，便用灵巧的顺序号模仿法成为一个服务器的目标。

黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵，而且TCP劫持让黑客通过一个一次性口令请求响应系统（如共享口令系统），再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。

最后，TCP劫持入侵比IP模仿更具危害性，因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限，而不是模拟成一台计算机再发起一个事务。

4.2 源路由选择欺骗

TCP/ IP 协议中，为测试目的，IP数据包设置了一个选项―――IP Source Routing，该选项可以直接指明到达节点的路由。攻击者可以冒充某个可信节点的IP 地址，构造一条通往某个服务器的直接路径和返回的路径，利用可信用户作为同往服务器的路由中的最后一站，对其进行攻击。在TCP/IP协议的两个传输层协议TCP 和UDP中，由于UDP 是面向非连接的,不需初始化的连接过程，所以UDP 更容易被欺骗。

4.3 非同步入侵

TCP 连接需要同步数据包交换，实际上，如果由于某种原因包的顺序号不是接收机所期望的，接收机将遗弃它，而去等待正确顺序号的数据包。黑客可以探明TCP协议对顺序号的要求以截取连接。在这种情况下，黑客或骗取或迫使双方终止TCP 连接并进入一个非同步状态，以使双方再也不能直接交换数据。黑客再用第三方主机(另一个连接于物理媒介并运行TCP 包的计算机)来截获实际中的数据包，经过窜改或伪造，第三方产生的数据包就可以模仿连接中的系统本应交换的数据包，从而以假乱真了。其过程如下图所示。

过程图在非同步状态下，客户端A 向服务器发送的数据包其序列号不是服务器所期望的，服务器便将其抛弃。而黑客主机C拷贝(截获) 服务器丢弃的包，修改其中的数据，并配以正确的序列号，以A 的名义发送出去，服务器便会接收。当然从服务器B到客户端A也存在同样的情况。从而黑客便相当于在客户和服务器之间充当的角色，来往于客户和服务器之间的数据都要经过它。

4.4 Land 攻击

land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。在Land攻击中，一个特别打造的SYN包中的原地址和目标地址都被设置成某一个服务器地址，这时将导致接受服务器向它自己的地址发送SYN一ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。对Land攻击反应不同，许多UNIX实现将崩溃，而 Windows NT 会变的极其缓慢（大约持续五分钟）。

4.5 SYN 洪水攻击

拒绝服务攻击的一种，使用TCP SYN 报文段淹没服务器。利用TCP建立连接的三个步骤的缺点和服务器

端口允许的连接数量的限制，窃取不可达IP 地址作为源IP地址，使得服务器得不到ACK而使连接处于半开状态，从而阻止服务器响应别的连接请求。尽管半开的连接会因为过期而关闭，但只要攻击系统发送的SpoofedSYN 请求的速度比过期的快就可达到攻击的目的。此方法是一种重要的攻击ISP ( Internet Service Provider) 方法，这种攻击并不会损坏服务，而是削弱服务器的功能。

4.6 防范措施

(1)对于来自网络外部的欺骗来说,可以在局部网络的对外路由器上加一个限制,做到只要在路由器里面设置不允许声称来自于内部网络中的机器的数据包通过就行了。当然也应该禁止(过滤) 带有不同于内部资源地址的内部数据包通过路由器到别的网上去,以防止内部员工对别的站点进行IP 欺骗。

(2)当实施欺骗的主机在同一网络内时，不容易防范。可以运用某些入侵检测软件或是审计工具来查看和分析自己的系统是否受到了攻击。

(3)对IP 包进行加密，加密后的部分作为包体，然后再附上一个IP 头构成一个新的IP 包。

(4)提高序列号的更新速率，或是增强初始序列号的随机性，使攻击者无法猜测出正确的序列号。

(5)对于源路由选项欺骗，因该禁止带有源路由的IP包进入内部网。

(6)对于Land 攻击，可以通过配置路由器或防火墙将外部接口上到达的含有内部源地址的数据包过滤掉。

(7)对于SYN 的洪水攻击，可以给内核加一个补丁程序或使用一些工具对内核进行配置。一般的做法是，使允许的半开连接的数量增加，允许连接处于半开状态的时间缩短。但这些并不能从根本上解决问题。实际上在系统内存中有一个专门的队列包含所有的半开连接，这个队列的大小是有限的，因此只要有意使服务器建立过多的半开连接就可以使服务器的这个队列溢出,从而无法响应其它客户的连接请求。

5 ARP欺骗

Arp是一种将IP转化成以IP对应的网卡的物理地址的一种协议，或者说ARP协议是一种将IP地址转化成MAC地址的一种协议，它靠维持在内存中保存的一张表来使IP得以在网络上被目标机器应答。ARP就是IP地址与物理之间的转换，当你在传送数据时，IP包里就有源IP地址、源MAC地址、目标IP地址，如果在ARP表中有相对应的MAC地址，那么它就直接访问，反之，它就要广播出去，对方的IP地址和你发出的目标IP地址相同，那么对方就会发一个MAC地址给源主机。而ARP欺骗就在此处开始，侵略者若接听到你发送的IP地址，那么，它就可以仿冒目标主机的IP地址，然后返回自己主机的MAC地址给源主机。因为源主机发送的IP包没有包括目标主机的MAC地址，而ARP表里面又没有目标IP地址和目标MAC地址的对应表。所以，容易产生ARP欺骗。例如：我们假设有三台主机A,B,C位于同一个交换式局域网中，监听者处于主机A，而主机B,C正在通信。现在A希望能嗅探到B->C的数据， 于是A就可以伪装成C对B做ARP欺骗――向B发送伪造的ARP应答包，应答包中IP地址为C的IP地址而MAC地址为A的MAC地址。 这个应答包会刷新B的ARP缓存，让B认为A就是C，说详细点，就是让B认为C的IP地址映射到的MAC地址为主机A的MAC地址。 这样，B想要发送给C的数据实际上却发送给了A，就达到了嗅探的目的。我们在嗅探到数据后，还必须将此数据转发给C， 这样就可以保证B,C的通信不被中断。克服此问题的方法是:让硬件地址常驻内存，并可以用ARP 命令手工加入(特权用户才可以那样做)；也可以通过RARP服务器来检查客户的ARP 欺骗。因为RARP 服务器保留着网络中硬件地址和IP 的相关信息。

6 路由欺骗

路由协议(RIP) 用来在局域网中动态路由信息，但是各节点对接收到的信息是不检查它的真实性的(TCP/ IP 协议没有提供这个功能)，因此攻击者可以在网上假的路由信息，利用ICMP 的重定向信息欺骗路由器或主机，伪造路由表，错误引导非本地的数据报。另外，各个路由器都会定期向其相邻的路由器广播路由信息，如果使用RIP 特权的主机的520 端口广播非法路由信息，也可以达到路由欺骗的目的。解决这些问题的办法是：通过设置主机忽略重定向信息可以防止路由欺骗；禁止路由器被动使用RIP和限制被动使用RIP的范围。

7 结束语

通过对TCP/IP 协议的分析，我们不难发现其在设计和实现上存在的种种缺陷，这是由于TCP/IP协议在设计初期只是用于科学研究，而未考虑到当今会如此广泛地被应用。黑客或黑客工具往往利用这些漏洞，对网络进行破坏。了解这些漏洞并熟悉相应的对策，做到知己知彼，我们才能构建一个安全稳固的网络。

参考文献：

[1] 张小斌,严望佳．黑客分析与防范技术[M].北京:清华大学出版社,2005.

[2] 闫宏生.计算机网络安全与防护[M].北京: 电子工业出版社,2007.

[3] （美）科默,林瑶,等.译.用TCP/IP进行网际互连.第1卷.原理、协议与结构(第五版) [M].北京:电子工业出版社,2007.

注：本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。