TCP/IP網絡協議安全

王軍峰

摘要：隨著計算機網絡的發展和網絡共享性及互連性程度的擴大，因特網日益成為信息交換的主要手段。機密數據、商業數據等敏感信息對網絡安全提出了更高的要求。TCP/IP協議作為當前最流行的互聯網協議，卻在設計時并未考慮到未來的安全需要，因此協議中有諸多安全問題。而協議的安全缺陷與電腦病毒的存在，使得網絡環境面臨極大的危險。本文在分析了TCP/IP及其安全問題之后，從協議與應用兩個角度介紹了目前安全技術概況，最后提出了安全防范措施。

關鍵詞：TCP/IP協議;協議安全;計算機網絡

前言

Internet是一個基于TCP/IP協議的網絡，通過TCP/IP協議實現了不同級別、不同廠商、不同操作系統的計算機通信。由于TCP/IP協議一開始的實現主要目的是用于科學研究的，所以在安全性方面存在很大的欠缺。隨著計算機網絡技術的發展，信息安全問題越來越受到國家的關注，網絡安全也已經成為計算機網絡通信領域的重點研究范圍。

協議中存在許多的安全問題，隨著應用的深入，逐漸受到人們的關注。因此，人們開始研究各種各樣的安全技術來彌補它的缺陷，堵住安全漏洞，增加網絡安全。目前正在制定安全協議，在互連的基礎上考慮了安全的因素，希望能對未來的信息社會中對安全網絡環境的形成有所幫助。

第一章 TCP/IP協議概述

目前在Internet上使用的是TCP/IP協議。TCP/IP協議叫做傳輸控制/網際協議，它是Internet國際互聯網絡的基礎。TCP/IP是網絡中使用的基本的通信協議。從表面名字上看TCP/IP包括兩個協議，傳輸控制協議（TCP）和互聯網際協議（IP）， IP協議之所以能使各種網絡互聯起來是由于它把各種不同的“幀”統一轉換成“IP數據報”格式，這種轉換是因特網的一個最重要的特點。所以IP協議使各種計算機網絡都能在因特網上實現互通，即具有“開放性”的特點。TCP/IP協議的基本傳輸單位是數據包（datagram）。TCP協議負責把數據分成若干個數據包，并給每個數據包加上包頭，包頭上有相應的編號，以保證在數據接收端能將數據還原為原來的格式，IP協議在每個包頭上還要加上接收端主機地址，這樣數據通過路由器中的MAC地址來確定數據的流向，如果傳輸過程中出現數據丟失，數據失真等情況，TCP協議會自動要求數據重新傳輸，并重新組。TCP/IP協議數據的傳輸基于TCP/IP協議的4層結構，TCP/IP協議各層次的體系結構和各層中集中的協議如下表1.1。

第二章 各協議層存在的安全漏洞

（一）、鏈路層存在的安全漏洞

我們知道，在以太網中，信道是共享的，任何主機發送的每一個以太網幀都會到達別的與該主機處于同一網段的所有主機的以太網接口，一般地，CSMA/CD協議使以太網接口在檢測到數據幀不屬于自己時，就把它忽略，不會把它發送到上層協議（如ARP、RARP層或IP層）。攻擊者利用數據在TCP/IP協議中的明文傳輸缺陷進行在線偵聽和業務流分析，可通過某些監控軟件或網絡分析儀等進行竊聽，竊取網絡通信信息。

（二）、網絡層漏洞

幾乎所有的基于TCP/IP的機器都會對ICMP echo請求進行響應。所以如果一個敵意主機同時運行很多個ping命令向一個服務器發送超過其處理能力的ICMP echo請求時，就可以淹沒該服務器使其拒絕其他的服務。另外，ping命令可以在得到允許的網絡中建立秘密通道從而可以在被攻擊系統中開后門進行方便的攻擊，如收集目標上的信息并進行秘密通信等。

（三）、IP漏洞

IP包一旦從網絡中發送出去，源IP地址就幾乎不用，僅在中間路由器因某種原因丟棄它或到達目標端后，才被使用。這使得一個主機可以使用別的主機的IP地址發送IP包，只要它能把這類IP包放到網絡上就可以。因而如果攻擊者把自己的主機偽裝成被目標主機信任的友好主機，即把發送的IP包中的源IP地址改成被信任的友好主機的IP地址，利用主機間的信任關系和這種信任關系的實際認證中存在的脆弱性，就可以對信任主機進行攻擊。

第三章 TCP/IP協議簇的改進與發展狀況

由于Internet的安全性問題日益突出，TCP/IP協議簇也在不斷地改善和發展之中。目前主要的發展和改進有以下幾個方面：

（一）IP協議的改進

IPv4協議已經使用了20多年，在這20多年的應用中，IPv4獲得了巨大的成功，同時隨著應用范圍的擴大，它也面臨著越來越不容忽視的危機，例如地址匱乏等等。IPv6是為了解決IPv4所存在的一些問題和不足而提出的，同時它還在許多方面提出了改進，IPv6主要有如下的特點：

1.IPV6地址長度為128比特，地址空間增大了2的96次方倍;

2.靈活的IP報文頭部格式，加快了報文處理速度;

3.簡化了報文頭部格式，加快報文轉發，提高了吞吐量;

4.提高安全性。身份認證和隱私權是IPV6的關鍵特性;

5.支持更多的服務類型;

6.允許協議繼續演變，增加新的功能，使之適應未來技術的發展。

經過一個較長的IPv4和IPv6共存的時期，IPv6最終會完全取代IPv4在互連網上占據統治地位。

（二）路由技術的改進

為保護RIP（路由選擇信息協議，Routing Information Protocol）和OSPF（開放式最短路徑優先，Open Shortest Path First Interior Gateway Protocol）的報文安全，采用著名的MD5認證算法對發送路由報文的節點進行認證。路由器內含認證TCP繪畫過程的機制能減少多個自治域之間通過BGP所傳路由信息遭受攻擊的危險性。由于IPv6提供AH和ESP機制，與IPv6一起使用的內部網關協議也可獲得安全保護。

（三）DNS安全擴充

DNS安全擴充提供了DNS信息認證機制，并允許用戶的公開密鑰存儲與DNS中，由請求方對其進行認證，DNS安全擴充允許用戶簽名的公開密鑰與地址記錄、姓名記錄、郵箱一起進行認證分配，從而使動態密鑰管理輕易實現。

結束語：

隨著計算機網絡技術的快速發展，各種信息安全管理的問題不斷出現，因此網絡信息安全管理就要依據先進技術，結合自身情況不斷完善與加強。同時還要結合自身實況采取合理解決問題的方案，從而確保計算機及網絡的信息安全。

參考文獻

[1]吳鈺峰，劉泉，李方敏。網絡安全中的密碼技術研究及其應用[J].真空電子技術，2004

[2]楊義先.網絡安全理論與技術[M].北京：北京人民郵電出版社，2003

[3]李學詩.計算機系統安全技術[M]. 武漢：華中理工大學出版社，2003

[4]（美）凱文 R.福爾（Kevin R.Fall），（美）W.理查德·史蒂文斯（W.Richard Stevens） TCP/IP詳解 卷1：協議 ?機械工業出版社，2016.