近年来,黑客利用Internet作案的事件频频发生,导致绝密信息被窃取、重要数据被删除、网络系统遭破坏等严重后果,给用户造成了极大的损失。尽管已采取了一些安全措施,并且也已起到了很大的作用,但网络中仍存在着许多安全缺口,成为黑客的进攻突破点。TCP/IP作为Internet使用的标准协议集,是黑客实施网络攻击的重点目标。本文将围绕TCP/IP的安全性问题进行讨论。
TCP/IP的协议结构
TCP/IP是一组协议的集合,除了最常用的TCP和IP协议外,还包含许多其他的工具性协议、管理协议及应用协议。TCP/IP的协议结构如图所示。
其中,应用层向用户提供访问Internet的一些高层协议,使用最广泛的有TELNET、FTP、SMTP、DNS等,同时新的应用协议还在不断涌现。传送层的作用是提供应用程序(端 到端)的通信服务,该层有两个协议:传输控制协议TCP和用户数据报协议UDP。前者提供高可靠的面向连接的数据传送服务,后者提供无连接的高效率的数据传送服务。网间层负责相邻主机之间的通信,该层协议主要有IP和ICMP等。网络接口层是TCP/IP协议软件
的最低一层,其主要工作有:负责接收IP数据报,通过网络向外发送或者从网络上接收物理帧,抽出IP数据报向上层传送。对不同的物理网络配以相应的网络接口协议,如物 理网是以太网时,网络接口协议须使用IP-E(RFC894)。
协议安全性分析
1.TCP协议
TCP使用三次握手机制来建立一条连接,握手的第一个报文为SYN包;第二个报文为 SYN/ACK包,表明它应答第一个SYN包同时继续握手过程;第三个报文仅仅是一个应答,表示为ACK包。若A为连接方,B为响应方,其间可能的威胁有:
·攻击者监听B方发出的SYN/ACK报文。
·攻击者向B方发送RST包,接着发送SYN包,假冒A方发起新的连接。
·B方响应新连接,并发送连接响应报文SYN/ACK。
·攻击者再假冒A方对B方发送ACK包。
这样攻击者便达到了破坏连接的作用,若攻击者再趁机插入有害数据包,则后果更严重。
TCP协议把通过连接而传输的数据看成是字节流,用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生,产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求,即可获得上次连接的ISN,再通过多次测量来回传输路径,得到进攻主机到目标主机之间数据包传送的来回时间RTT。已知上次连接的ISN和RTT,很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接,并预测到目
标主机的TCP序列号,攻击者就能伪造有害数据包,使之被目标主机接受。
2.IP协议和ICMP协议
IP协议是TCP/IP中最重要的协议之一,提供无连接的数据包传输机制,其主要功能有:寻址、路由选择、分段和组装。传送层把报文分成若干个数据报,每个数据包在网关中进行路由选择,穿越一个个物理网络从源主机到达目标主机。在传输过程中数据包可能被分成若干小段,以满足物理网络中最大传输单元长度的要求,每一小段都当作一 个独立的数据包被传输,其中只有第一个数据报含有TCP层的端口信息。在包过滤防火墙
中根据数据包的端口号检查是否合法,这样后续数据包可以不经检查而直接通过。攻击 者若发送一系列有意设置的数据包,以非法端口号为数据的后续数据包覆盖前面的具有 合法端口号的数据包,那么该路由器防火墙上的过滤规则被旁路,从而攻击者便达到了 进攻目的。
ICMP是在网间层中与IP一起使用的协议。如果一个网关不为IP分组选择路由、不能 递交IP分组或者测试到某种不正常状态,如网络拥挤影响IP分组的传递,那么就需要IC MP来通知源端主机采取措施,避免或纠正这类问题。ICMP被认为是IP协议不可缺少的组 成部分,是IP协议正常工作的辅助协议。
ICMP协议存在的安全缺口有:
攻击者可利用ICMP重定向报文破坏路由,并以此增强其窃听能力。
攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。
3.路由协议
Internet使用动态路由,通过路由器相互通信和传递路由信息,实现路由表的自动 更新。自治域内部采用的路由协议称为内部网关协议,常用的有路由信息协议RIP(Routing Information Protocol)、开放式最短路径优先协议OSPF(Open Shortest Path First)。外部网关协议主要用于多个自治域之间的路由选择,常用的是边界网关协议BGP(Border Gateway Protocol)。
路由协议存在的安全缺口有:
许多路由协议使用未加密的非一次性口令来证实数据中的路由信息,容易遭到非法窃听。
攻击者通过伪造一非法路由器或者其它手段发送伪造路由信息,扰乱合法路由器的路由,从而使本应到达目标主机的数据包转发至入侵主机。
由于BGP通过TCP传送数据,目前对TCP不断加剧的攻击也是影响BGP安全的一个重要因素。
4.域名系统
为了解决IP地址难于记忆的问题,TCP/IP设计了一种层次性命名协议,即域名系统 DNS,其作用是自动将主机域名转换成对应的IP地址。DNS也存在着一些安全缺口,主要有:
由于DNS缺乏密码认证机制,攻击者可通过假冒其它系统或截取发往其它系统的邮件等手段,对用户造成危害。
目前许多防火墙产品基于未证实的IP地址来作出有关网络外部存取的决策,其中若被插入假DNS信息,就会给攻击者造成便利。
针对DNS的攻击和针对路由机制的攻击如果被配合使用,将对网络造成灾难性的后果。
协议的改进和发展状况
Internet每天都在发生变化,作为被广泛使用的基础性协议,TCP/IP也在不断改善和发展之中。
1.IP协议的改进
1994年7月IETF(Internet Engineering Task Force,因特网工程任务组)确定了下一代IP协议的基础,开始了IPv6的研究实验工作。1995年12月,IETF公布了IPv6草案。目前有关IPv6的实用化研究开发工作正在进行。最近两种原本为IPv6设计的安全机制被 加进了IPv4。其中一种称为AH(Authentication Header)机制,提供证实和完整****务, 但不提供保密服务;另一种称为ESP(Encapsulation Security payload)机制,提供完整
****务、证实服务及保密服务。
2.路由技术的改进
为保护RIP和OSPF报文的安全,目前已提出采用著名的Keyed MD5证实算法对发送路 由报文的结点进行证实。这种方法能够足以抵御目前使用的大部分攻击,但不能完全消 除重播可能。有些路由器内含了证实TCP会话过程的机制,从而能减少多个自治域之间通 过BGP所传输的路由信息遭受攻击的危险性。由于IPv6提供AH和ESP机制,与IPv6一起使 用的内部网关协议就可依赖这些机制获得安全保护。至于外部网关协议,内含证实过程 的IDRP(Inter-Domain Routing Protocol)将取代BGP。IDRP可和非IPv6的协议一起使用 ,比如IPv4。
3.DNS安全扩充
Eastlake和Kaufman对DNS设计了一种安全扩充。该安全扩充提供了DNS信息证实机制 ,并允许用户的公开密钥存储于DNS中,由请求方对其进行证实。当采用密钥管理协议产 生会话密钥时,需要有一种方法来证实参与密钥交互过程的各方,存于DNS中的用户签名 的公开密钥就可用于这样的证实过程。DNS安全扩充允许用户签名的公开密钥与地址记录 、姓名记录和邮箱一起进行认证分配,从而使动态密钥管理较易实现。DNS信息证实极大 地减少了非法者针对DNS或DNS使用者的攻击威胁。
4.密钥管理协议
在密钥管理方面,缺少动态密钥管理标准一直是一个最大的问题。IETF正在研究一 种采用Diffie-Hellman技术的密钥交换协议Oakley。作为协议的一部分,公开密钥证书 存储于DNS中,以抵御对Diffie-Hellman的man-in-the-middle攻击。使用该协议产 生的密钥与以往产生的任何密钥都无关,因此攻击都无法通过破获几个主密钥来导出会 话密钥。IETF还推出了一种ISAKMP(Internet Security Association And Key Managem ent Protocol)协议,允许就密钥生存期和敏感级等问题进行协商。Oakley和ISAKMP的配 合使用在几年后将很普遍,它们不仅能用于网间协议,还能用于传送层甚至低层,如ATM协议。
Internet安全是广大网络用户普遍关心的一个重要问题。尽管利用协议中存在的安 全缺口来实施攻击技术性强、难度大,但突破率高、危害性极大。正因为如此,各国耗 资致力于该问题的研究,并已取得了显著的成效。TCP/IP的重要性是毋庸置疑的,可以 相信,随着网络的发展和安全技术应用的深入,TCP/IP将不断地改进和完善,从而更显 示出其旺盛的生命力。
他们还浏览了...