TCP/IP网络协议栈攻击防范措施研究分析

摘要：由于TCP/IP网络协议栈在设计上的安全缺陷和脆弱性，使得在协议栈各个网络层次上均存在着各种类型的网络攻击技术方法，对互联网及内部网络的安全性造成威胁。该文主要介绍对网络各层的安全协议，也分别列举说明了各层的网络安全防范措施，对如何改善网络安全配置和使用条件，对TCP/IP网络协议栈攻击的防范技术及其发展，进行研究分析。

关键词：TCP/IP；网络协议；防御；安全协议

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）03-0485-02

在短期内，基础TCP/IP网络协议不可能进行重新设计和部署实施，无法从根本上改变目前网络面临严重安全威胁的状况。通过部署一些监测、预防与安全加固的防范措施，是增强网络对已知攻击的抵御能力不可或缺的环节。

1 网络各层防范措施

在网络接口层，主要监测和防御的安全威胁的方法是网络嗅探，可以利用防范网络嗅探的思路，检测出局域网中的监听点，并在网络设计上尽量细分和优化网络结构，尽量消除数据广播的情况，并对关键路径上的网关、路由器等设备进行严格的安全防护，以减少网络嗅探造成的影响。此外，对于无线网络而言，应增强链路层加密的强度，同时对各类网络采用加密通信协议，使得在通信过程中，即使遭受嗅探也不会破坏数据要达到的机密性要求。

在互联层上，虽然IP、ICMP、ARP等协议中存在安全缺陷，安全问题带来的风险很难完全避免，但我们可以采用多种检测和过滤技术来发现和阻断网络中可能出现的欺骗攻击，此外也可以增强防火墙、路由器和网关设备的安全策略，对一些用于欺骗攻击的特殊数据包进行过滤，特别是对外部网络进行欺骗攻击的数据包进行出站过滤，只有如此，才能共同维护整个互联网的安全。对关键服务器使用静态绑定IP-MAC映射表、使用IP sec协议加密通信等预防机制，可以有效地增强网络对欺骗攻击的抵御能力。

在传输层，可以实现基于面向连接和无连接服务的加密传输和安全控制机制，包括身份认证，访问控制等。

应用层可以采用加密、用户级身份认证、数字签名技术、授权和访问控制技术，以及主机安全技术，如审计、入侵检测等。

2 网络各层安全协议

为了克服TCP/IP协议栈的安全缺陷和问题，互联网研究机构也在不断地研究和开发一些网络安全协议，IETF、IEEE 802等国际性的网络研究和标准化组织在不断地进行讨论和改进，并作为标准化协议规范对业界进行，使得业界能够在这些标准在网络设备、操作系统中实现和应用这些安全协议，从而增强现有网络的安全性。在TCP/IP协议栈各个层次上运用的网络安全协议如下表1所示。

2.1 网络接口层的安全协议

网络接口层的安全协议设计和标准化主要由IEEE802委员会负责推进，由于无线网络传输媒介的共享特性，因此比有线网络更加需要安全保护机制，目前常用的802.11WiFi、蓝牙（Bluetooth）等无线网络均实现了用于身份认证、加密传输和防止假冒篡改攻击的安全协议，如WEP（Wired Equivalent Privacy）和WPA/WPA2（Wi-Fi Protected Access）协议等。此外IEEE802委员会还制定了802.1X协议，提供了基于端口访问控制的接入管理协议标准，为各种不同类型网络中的用户认证和访问控制给出了通用的解决方案。

2.2 网络互联层的安全协议

网络互联层目前最重要的安全通信协议主要是IP sec协议簇。IP sec （Internet Protocol Security），即互联网安全协议，是IETF（Internet Engineering Task Force）提供的一系列的互联网安全通信的标准规范，这些是私有信息通过公用网的安全保障。 IP sec适用于目前的IP版本IPv4和下一代IPv6。IP sec规范相当复杂，规范中包含大量的标准文档。由于IP sec在TCP/IP协议的核心层――IP层实现，因此可以有效地保护各种上层协议，并为各种安全服务提供一个统一的平台，IP sec也是被下一代互联网所采用的网络安全协议。 IP sec协议是现在VPN开发中使用最广泛的一种协议，有可能在将来成为IPVPN的标准。

IP sec协议簇的基本目的是把密码学的安全机制引入IP协议，通过使用现代密码学方法支持机密性和认证服务，使用户能有选择地使用，并得到所期望的安全服务。IP sec将几种安全技术结合形成一个完整的安全体系，包括安全协议部分和密钥协商部分。IP sec的安全协议主要包括AH协议（Authentication Header，认证头）和ESP协议（Encapsulate Security Payload，封装安全载荷）两大部分：AH认证协议提供五连接的完整性、数据源认证和抗重放保护服务，但是AH不提供任何机密性保护服务；而ESP协议则为IP协议提供机密性、数据源验证、抗重放，以及数据完整性等安全服务。其中，数据机密性是ESP的基本功能，而带有数据源身份认证、数据完整性检验以及抗重放保护等功能。此外IP sec中还包含了密钥协商和交换协议，如Internet密钥交换协议（Internet Key Exchange，IKE），负责处理通信双方的协议及算法的协商，产生并交换加密和认证密钥，以建立起AH和ESP协议需要的通信双方安全关联（Security Association，SA）。

IP sec协议支持隧道及传输两种模式。隧道模式用于主机与路由器或两部路由器之间，保护整个IP数据包。通常情况下，只要IP sec双方有一方是安全网关或路由器，就必须使用隧道模式。传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全。它所保护的数据包的通信终点也是IPsec终点。传输模式下，IP sec主要对上层协议即IP包的载荷进行封装保护，通常情况下，传输模式只用于两台主机之间的安全通信。

由于工作在互联层上，IP sec协议能够为IP协议之上的任何网络应用提供安全保护机制，而网络应用无需任何的特殊设计和实现，就可以使用IP sec.

2.3 传输层的安全协议

传输层上的安全协议主要是TLS（Transport Layer Security），其前身是由Netscape公司所开发的SSL（Secure Socket Layer），目前最新版本是IETF的TLS l.2标准化网络安全协议（RFC 5246）。TLS协议在传输层上通过密码学算法，为应用层的网络通信提供了安全的点到点传输，在Web浏览、电子邮件、即时通信和VoIP （Voice over IP）等网络应用服务中得到了广泛使用。

TLS协议基于密码学算法支持在互联网上的身份认证和通信机密性保护，能够防止窃听、干扰和消息伪造。TLS协议包括两个协议组：TLS记录协议和TLS握手协议。 TLS记录协议位于可靠的传输协议TCP之上，用于封装各种高层协议，提供的安全性具有两个基本特性。

① 加密：使用对称加密算法（如 DES、RC4等）进行数据加密，以保证传输数据的机密性，对称加密所产生的密钥对每个连接都是唯一的，对称密钥由TLS握手协议进行协商，记录协议也可以不使用加密。

② 可靠：信息传输使用密钥进行消息完整性检查，通常使用安全哈希函数（如SHA、MD5等）来计算消息完整性校验和（Message Authentication Code，MAC）。

TLS握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前，进行单向身份认证，或者彼此之间相互认证，并协商加密算法和加密密钥。

TLS协议已被用于封装整个网络栈以创建虚拟专有网络（Virtual Private Network，VPN），如开源的Open VPN软件，一些厂商也将TLS的加密和认证机制与访问授权相结合，研制出功能更强的SSLVPN产品，与传统的IP sec VPN技术相比，TLS在防火墙和网络地址转换（Network Address Translation，NAT）设备穿越方面具有内在的优势，使其在存在大量远程访问用户的环境中具有更好的易管理性。

2.4 应用层的安全协议

在应用层，安全通信协议的特点是需要针对不同的应用安全需求，设计不同的安全机制，例如HTTP安全、电子邮件、远程控制、电子交易等，在安全协议设计过程中也会尽量地使用底层协议已经提供的安全防护能力。

对于万维网访问进行安全防护的主要协议是安全超文本传输协议（Secure Hypertext Transfer Protocol，HTTPS），基于传输层安全协议TLS实现，端口号为443，通常应用于电子商务、资产管理等应用，随着近年来的发展，HTTPS在Web上逐步流行，在涉及个人敏感信息的登录及使用环节，安全的网站一般都会使用HTTPS协议进行加密传输和身份认证。

安全电子邮件协议（Secure/Multipurpose Internet Mail Extensions，S/MIME），由RSA公司提出，是电子邮件的安全传输标准。S/MIME使用PKI数字签名技术，支持消息和附件的加密传输，采用单向散列算法，如SHA―1、MD5等，也采用公钥机制的加密体系，证书格式采用X.509标准。目前大多数电子邮件产品都包含了对S/MIME的内部支持，网络管理员应启用该安全协议，从而避免了电子邮件明文传输所面临的信息泄露等安全风险。

3 结束语

TCP/IP协议是互联网得以蓬勃发展的基础，然而TCP/IP协议在开始设计时并没有考虑到现在网络上如此多的安全威胁，因此不可避免地遭遇了各种形形的攻击方式。本文介绍了网络各层上的防范措施和安全协议，包括它们的技术原理和具体过程。应对网络协议的攻击威胁，TCP/IP协议也正在进行着完善和改进，对于防御者而言，应采用最新的安全协议来武装自己的网络，从而降低网络安全风险。

参考文献：

[1] 胡银萍.浅谈常见的网络攻击及其防范技术措施[J].电脑知识与技术，2011（22）.

[2] 解析如何预防黑客网络攻击的方法[J].计算机与网络，2010（2）.