TCP/IP协议的安全问题初探

摘 要 通过对TCP/IP存在的弱点和攻击类型进行分析，了解TCI/IP存在的安全问题，以期为TCP/IP的完善和发展提供参考。

【关键词】TCP/IP 网络安全

1 TCP/IP的弱点

TCP负责发现传输的问题，一有问题就发出信号，要求重新传输，直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。TCP/IP协议数据流采用明文传输。TCP/IP 协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务（DOS）、Connection Hijacking 以及其它一系列攻击行为。

TCP/IP 主要存在以下几个方面的安全问题：

（1）源地址欺骗（Source address spoofing）或IP欺骗（IP spoofing）。

（2）源路由选择欺骗（Source Routing spoofing）。

（3）路由选择信息协议攻击（RIP Attacks）。

（4）鉴别攻击（Authentication Attacks）。

（5）TCP序列号欺骗（TCP Sequence number spoofing）。

（6）TCP序列号轰炸攻击（TCP SYN Flooding Attack），简称SYN攻击。

（7）易欺骗性（Ease of spoofing）等等。

2 对TCP/IP所受的攻击类型

2.1 TCP SYN attacks 或 SYN Flooding

TCP 利用序列号以确保数据以正确顺序对应特定的用户。在三向握手（Three-Way Handshake）方式的连接打开阶段，序列号就 已经建立好。TCP SYN 攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机 B 接收到来自 A 的 SYN 请求，那么它必须以“Listen Queue”跟踪那部分打开的连接，时间至少维持75秒钟，并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送 SYN 请求，但不答复 SYN & ACK，从而形成一个小型的 Listen Queue，而另一台主机则发送返回。这样，另一台主机的 Listen Queue 迅速被排满，并且它将停止接收新连接，直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务（Denial-of-Service）攻击，而在其它攻击中也常发生这样的行为，如伪 IP。

IP Spoofing ――伪 IP 技术是指一种获取对计算机未经许可的访问的技术，即攻击者通过伪 IP 地址向计算机发送信息，并显示该信息来自于真实主机。IP 层假设它所接收到的任何 IP 数据包上的源地址都与实际发送数据包的系统 IP 地址（没有经过认证）相同。很多高层协议和应用程序也会作这样的假设，所以似乎每个伪造 IP 数据包源地址的人都可以获得非认证特免。伪IP技术包含多种数据类型，如 Blind 和 Non-Blind Spoofing、Man-in-the-Middle-Attack （Connection Hijacking）等。

2.2 Routing Attacks

该攻击利用路由选择信息协议（RIP：TCP/IP 网络中的基本组成）。RIP 主要用来为网络分配路由选择信息（如最短路径）并将线路传播出局域网络。与 TCP/IP 一样，RIP 没有建立认证机制，所以在无需校验的情况下就可以使用 RIP 数据包中的信息。RIP 攻击会改变数据发送目的地，而不能改变数据源位置。例如，攻击者可以伪造一个 RIP 数据包，并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送，并且进行修改或检查。攻击者还可以通过 RIP 高效模仿任何主机，并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。

2.3 ICMP Attacks

IP 层通常使用 Internet 控制信息协议（ICMP：Internet Control Message Protocol）向主机发送单行道信息，如“ping”信息。ICMP 中不提供认证，这使得攻击者有机会利用 ICMP 漏洞攻击通信网络，从而导致拒绝服务（Denial of Service）或数据包被截取等攻击。拒绝服务基本上利用 ICMP Time Exceeded 或 Destination Unreachable 信息，使得主机立即放弃连接。攻击者可以伪造其中一个 ICMP 信息，然后将它发送给通信主机双方或其中一方，以取消通信双方之间的连接。

2.4 ARP欺骗

在局域网中，是通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有极其重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

3 总结

TCP/IP协议常见的攻击方法利用了协议中存在的安全缺口来实施攻击技术强、难度大，但突破率高、危害性极大。目前，致力于该问题的研究已取得了显著的成效，针对协议本身做了很多改进。相信随着网络的发展和安全技术应用的深入，TCP/IP将不断的改进和完善。

作者单位

河北大学 河北省保定市 071002