TCP/IP協(xié)議對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全框架的影響研究

朱藝濤 徐杰

【關(guān)鍵詞】TCP/IP協(xié)議;計(jì)算機(jī);網(wǎng)絡(luò)安全;影響

計(jì)算機(jī)網(wǎng)絡(luò)在搭建和使用的過程中雖然給人們的生產(chǎn)生活帶來了很多便利，但是在使用的過程中，計(jì)算機(jī)網(wǎng)絡(luò)也存在著一些安全問題，這些安全問題不僅影響計(jì)算機(jī)網(wǎng)絡(luò)的使用，也會(huì)對(duì)各種硬件造成一定的威脅，更會(huì)對(duì)信息安全造成一定的影響，所產(chǎn)生的各種違法犯罪事件會(huì)帶來巨大的經(jīng)濟(jì)損失。雖然伴隨著計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的不斷增強(qiáng)，類似的網(wǎng)絡(luò)安全問題已經(jīng)逐漸減少，但是計(jì)算機(jī)網(wǎng)絡(luò)安全問題并沒有得到徹底解決。一個(gè)非常重要的原因，我們現(xiàn)在所使用的計(jì)算機(jī)網(wǎng)絡(luò)采用的是TCP/IP協(xié)議，這一協(xié)議是多個(gè)協(xié)議的簡(jiǎn)稱，這一協(xié)議統(tǒng)一了數(shù)字傳輸當(dāng)中的信息標(biāo)準(zhǔn)問題，同樣這一傳輸協(xié)議本身也存在著一些技術(shù)漏洞，這是一些違法犯罪分子通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行攻擊的一個(gè)重要原因。

一、TCP/IP協(xié)議簡(jiǎn)介

TCP/IP傳輸協(xié)議也就是傳輸控制/網(wǎng)絡(luò)協(xié)議，是現(xiàn)在計(jì)算機(jī)網(wǎng)絡(luò)形成的技術(shù)標(biāo)準(zhǔn)和基礎(chǔ)，所有的國(guó)家在建立計(jì)算機(jī)網(wǎng)絡(luò)的過程中，都需要按照這一標(biāo)準(zhǔn)進(jìn)行，否則就無法接人互聯(lián)網(wǎng)。另外，從網(wǎng)絡(luò)安全的角度來講，TCP/IP通信協(xié)議也是保證數(shù)據(jù)信息安全性的一個(gè)重要協(xié)議標(biāo)準(zhǔn)，在保證網(wǎng)絡(luò)通信安全等方面發(fā)揮了不錯(cuò)的作用。該協(xié)議主要包括4個(gè)層次，也就是應(yīng)用層、傳輸層、網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層，每一層都有自己的協(xié)議，整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)就是建立在傳輸協(xié)議的基礎(chǔ)之上，這些傳輸協(xié)議定義了網(wǎng)絡(luò)傳輸?shù)囊恍?shù)據(jù)標(biāo)準(zhǔn)和接入標(biāo)準(zhǔn)。之所以將這些協(xié)議簡(jiǎn)稱為TCP/IP傳輸協(xié)議，主要是為了方便記憶和理解，當(dāng)然這兩個(gè)協(xié)議也是整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中最重要的協(xié)議。

二、TCP/IP傳輸協(xié)議的安全隱患分析

TCP/IP傳輸協(xié)議雖然具有一定的網(wǎng)絡(luò)安全防護(hù)能力，但是這一協(xié)議自身的不足也非常明顯，在實(shí)踐當(dāng)中存在的安全隱患比較多，主要集中在以下幾個(gè)方面上。

（一）鏈路層上的攻擊

現(xiàn)在一些違法犯罪分子針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的攻擊都是在鏈路層上進(jìn)行的，當(dāng)然這種攻擊技術(shù)相對(duì)比較復(fù)雜，因?yàn)殒溌穼由系墓粢蟊仨毾冗M(jìn)人TCP/IP傳輸協(xié)議當(dāng)中的鏈路傳輸層。在攻擊的過程中，黑客一般都是使用網(wǎng)絡(luò)嗅探組成的TCP/IP協(xié)議的以太網(wǎng)，只要能夠進(jìn)入網(wǎng)絡(luò)中的共享信道，就可以竊取相關(guān)信息。我國(guó)目前在計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中，因?yàn)樽顝V泛的局域網(wǎng)就是一種典型的以太網(wǎng)，這種網(wǎng)絡(luò)雖然能夠最大程度地利用信道運(yùn)行數(shù)據(jù)傳輸，但是實(shí)踐當(dāng)中也存在著更多的安全隱患，是被攻擊最多的一種網(wǎng)絡(luò)。以太網(wǎng)的工作方式主要有兩種，而在一般的工作方式當(dāng)中，鏈路層被攻擊極容易出現(xiàn)信息丟失，而攻擊者通過獲取的數(shù)據(jù)，可以獲取用戶的賬戶密碼等關(guān)鍵數(shù)據(jù)信息，導(dǎo)致用戶其他方面的財(cái)產(chǎn)受損失。通過攻擊獲取用戶的個(gè)人銀行賬戶，再通過電子銀行的賬戶密碼來盜取用戶的個(gè)人財(cái)產(chǎn)。

（二）網(wǎng)絡(luò)層上的攻擊

網(wǎng)絡(luò)層的攻擊最多，也是最常見的一種攻擊方法和手段，對(duì)普通用戶的危害最大。

1、ARP欺騙

針對(duì)網(wǎng)絡(luò)損害的攻擊主要采用的就是ARP欺騙的方式進(jìn)行，所謂的ARP就是地址解析協(xié)議，因?yàn)閿?shù)據(jù)都是在不同的IP地址進(jìn)行傳輸?shù)模哉f在傳輸?shù)倪^程中，需要先確定IP地址，在這一過程中也可以獲得該IP地址的TCP/IP協(xié)議。在一般的網(wǎng)絡(luò)傳輸?shù)倪^程中，數(shù)據(jù)在傳輸?shù)倪^程中存在于一個(gè)子網(wǎng)或者是多個(gè)子網(wǎng)主機(jī)利用網(wǎng)絡(luò)級(jí)別的第1層，在傳輸過程中ARP主要用于原主機(jī)的第1個(gè)查詢工具。一般情況下，可以輕易找到對(duì)應(yīng)的物理地址，但是被攻擊以后可能出現(xiàn)無法找到物理地址的情況。這種情況下攻擊者可以將可疑信息欺騙ARP，在錯(cuò)誤識(shí)別以后可能將混入的信息一同傳回主機(jī)，因?yàn)锳RP協(xié)議并沒有狀態(tài)，所以主機(jī)不管存不存在請(qǐng)求信息都會(huì)自動(dòng)緩存，如果混入的信息帶有病毒，就會(huì)導(dǎo)致主機(jī)中毒，以此，攻擊者就可以獲取主機(jī)上的相關(guān)信息，導(dǎo)致重要信息被泄露，這種簡(jiǎn)單的IP識(shí)別機(jī)制是導(dǎo)致主機(jī)被攻擊的主要原因。

2、ICMP欺騙

針對(duì)網(wǎng)絡(luò)層的攻擊當(dāng)中，ICMP欺騙也是較為常見的一種方法，IGMP協(xié)議是指是因特網(wǎng)控制報(bào)文協(xié)議，該協(xié)議主要是為了解決主機(jī)與路由器之間的信息傳輸而出現(xiàn)的。在家庭生活中路由器是一種不可缺少電子產(chǎn)品，通過該協(xié)議可以最大程度地保證無線網(wǎng)絡(luò)的暢通，也可以作為查詢路由器及主機(jī)工作狀態(tài)的方法和途徑。針對(duì)主機(jī)的攻擊當(dāng)中，IGMP欺騙可以通過路由器來攻擊主機(jī)，在攻擊的時(shí)候ICMP欺騙錯(cuò)誤識(shí)別，數(shù)據(jù)包結(jié)會(huì)自動(dòng)利用主機(jī)進(jìn)行即時(shí)發(fā)送，攻擊者會(huì)發(fā)送大量的數(shù)據(jù)包，這些數(shù)據(jù)包在發(fā)送的過程中會(huì)占用大量的CPU資源，導(dǎo)致主機(jī)無法正常工作，嚴(yán)重的情況下會(huì)導(dǎo)致系統(tǒng)無法使用，一些數(shù)據(jù)包中還包含著木馬程序，可以記錄、獲取用戶的賬號(hào)密碼等信息，甚至還可能破壞用戶的硬件設(shè)備。

3、傳輸層的攻擊

相對(duì)于其它層，傳輸層的攻擊難度比較大，但是傳輸層也存在網(wǎng)絡(luò)安全問題，因?yàn)樵诰W(wǎng)絡(luò)攻擊中，攻擊者為了避免被查到，會(huì)通過IP欺騙的方式來隱藏自己的IP地址，攻擊的方法也是偽造一個(gè)IP地址向被攻擊的主機(jī)發(fā)送訪問請(qǐng)求，主機(jī)在識(shí)別IP地址的時(shí)候因?yàn)楣粽叩目梢呻[藏而無法識(shí)別，當(dāng)然，也可以通過偽造IP地址獲取主機(jī)的信任，一旦成功主機(jī)上的信息就會(huì)泄露。在早期的計(jì)算機(jī)網(wǎng)絡(luò)攻擊中，尤其是在DOS攻擊中的IP欺騙非常常見。因?yàn)镈OS無法過濾非常多的地址，如果不能準(zhǔn)確識(shí)別，IP的防御能力會(huì)大大下降，也是攻擊者經(jīng)常能夠成功的原因。ICMP傳輸通道本身是IP層的重要組成部分，在傳輸?shù)倪^程中在IP軟件中任何端口向ICMP發(fā)送一個(gè)PING文件作為進(jìn)申請(qǐng)?jiān)L問，在這種情況ICMP必須做出應(yīng)答，但前提是能夠準(zhǔn)確識(shí)別出惡意信息，如果信息被偽裝成正常的信息，在這種情況也會(huì)被攻擊，因?yàn)橹荒鼙荒J(rèn)PING存在，由此帶來的漏洞風(fēng)險(xiǎn)非常大。

三、TCP/IP協(xié)議在計(jì)算機(jī)網(wǎng)絡(luò)安全對(duì)策

（一）防火墻技術(shù)

防火墻技術(shù)仍然是確保計(jì)算機(jī)網(wǎng)絡(luò)安全的第1道防線，尤其是在紫網(wǎng)環(huán)境的網(wǎng)絡(luò)安全防護(hù)上，防火墻技術(shù)的應(yīng)用非常有必要。防火墻技術(shù)主要是通過訪問權(quán)限的控制進(jìn)行的，通過防火墻技術(shù)可以控制訪問權(quán)限來控制內(nèi)部網(wǎng)絡(luò)的訪問。只有有權(quán)限的數(shù)據(jù)才能進(jìn)入子網(wǎng)，沒有權(quán)限的通訊數(shù)據(jù)被隔離?，F(xiàn)在已經(jīng)出現(xiàn)了代理服務(wù)型防護(hù)墻等新型防火墻技術(shù)，這種防風(fēng)險(xiǎn)技術(shù)可以完全隔離子網(wǎng)與外網(wǎng)之間的通信，并且當(dāng)子網(wǎng)被攻擊以后會(huì)留下攻擊痕跡，同時(shí)也會(huì)在第一時(shí)間之內(nèi)向網(wǎng)絡(luò)管理員進(jìn)行示警。所以，在子網(wǎng)的安全管理系統(tǒng)構(gòu)建的過程中，防火墻技術(shù)是不可或缺的。

（二）入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是最近幾年發(fā)展起來的一種新的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)，也是一種動(dòng)態(tài)化的網(wǎng)絡(luò)安全技術(shù)，改變了原來的計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)相對(duì)比較被動(dòng)的情況。入侵檢測(cè)系統(tǒng)在技術(shù)的推動(dòng)之下也不斷成熟，這種檢測(cè)技術(shù)是通過分析入侵行為特點(diǎn)和行為過程的方式來分析是否存在被攻擊的現(xiàn)象，確認(rèn)被攻擊可以立即啟動(dòng)系統(tǒng)的攔截和防護(hù)功能。從邏輯功能設(shè)計(jì)的角度來講，入侵檢測(cè)技術(shù)可以很好地配合防火墻技術(shù)，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全的效果，因?yàn)槿肭謾z測(cè)系統(tǒng)不僅可以阻止外部入侵，也可以從事內(nèi)部入侵，甚至內(nèi)部網(wǎng)絡(luò)在使用過程中的各種誤操作也可以及時(shí)發(fā)現(xiàn)并予以糾正。當(dāng)然，伴隨著入侵檢測(cè)技術(shù)的不斷增強(qiáng)，新的入侵檢測(cè)技術(shù)也不斷出現(xiàn)，不是說智能化檢測(cè)技術(shù)就是利用各種智能化軟件實(shí)現(xiàn)入侵的自動(dòng)識(shí)別與防護(hù)，另外還有全面安全防御方案與分布式入侵檢測(cè)等，這些入侵檢測(cè)系統(tǒng)各有各的特點(diǎn)，在實(shí)踐當(dāng)中可以根據(jù)自己的實(shí)際需求加以運(yùn)用。

（三）殺毒軟件

實(shí)踐當(dāng)中殺毒軟件是一種非常好的木馬病毒的預(yù)防策略，從前面的分析中可以看，多數(shù)網(wǎng)絡(luò)攻擊都是通過木馬病毒進(jìn)行的，因?yàn)楣粽咄ǔ⒛抉R病毒偽裝成正常的數(shù)據(jù)傳輸?shù)闹鳈C(jī)當(dāng)中，主機(jī)一旦接收就會(huì)被入侵，主機(jī)上的各種信息有可能被泄露。而個(gè)人計(jì)算機(jī)在使用的過程中，尤其是手機(jī)在使用的過程中，安裝殺毒軟件可以及時(shí)地識(shí)別系統(tǒng)當(dāng)中可能存在的各種木馬病毒，并在第一時(shí)間啟動(dòng)自動(dòng)殺毒程序。當(dāng)然，一般家庭使用免費(fèi)的殺毒軟件就可以，如果說單位在使用的過程中最好使用付費(fèi)的殺毒軟件，其功能更加強(qiáng)大，防護(hù)效果也更加突出。

總之，TCP/IP傳輸協(xié)議雖然定義了網(wǎng)絡(luò)傳輸?shù)臉?biāo)準(zhǔn)，并且在網(wǎng)絡(luò)安全方面也具有一定的保護(hù)能力，但是實(shí)踐當(dāng)中此種傳輸協(xié)議的漏洞比較多，所以計(jì)算機(jī)網(wǎng)絡(luò)安全問題一直沒有得到徹底解決。從計(jì)算機(jī)網(wǎng)絡(luò)安全管理的角度來講，應(yīng)用更加先進(jìn)的網(wǎng)絡(luò)安全管理技術(shù)與方法，構(gòu)建起一個(gè)科學(xué)完善的網(wǎng)絡(luò)安全體系，這是解決此種傳輸協(xié)議網(wǎng)絡(luò)安全問題的根本方法和手段。