TCP/IP协议主要安全隐患

TCP/IP协议主要安全隐患：

1、链路层上的攻击

在TCP/IP网络中，链路层这一层次的复杂程度是最高的。其中最常见的攻击方式通常是网络嗅探组成的TCP/IP协议的以太网。

以太网卡有两种主要的工作方式，一种是一般工作方式，另一种是较特殊的混杂方式。这一情况下，很可能由于被攻击的原因而造成信息丢失情况，且攻击者可以通过数据分析来获取账户、密码等多方面的关键数据信息。

2、网络层上的攻击

如果ARP识别链接错误，这样的话ARP直接应用可疑信息，那么可疑信息就会很容易进入目标主机当中。ARP协议没有状态，不管有没有收到请求，主机会将任何受到的ARP相应自动缓存。

如果信息中带有病毒，采用ARP欺骗就会导致网络信息安全泄露。因此，在ARP识别环节，应加大保护，建立更多的识别关卡，不能只简单通过IP名进行识别，还需充分参考IP相关性质等。

3、传输层上的攻击

在传输层还存在网络安全问题。如在网络安全领域中，IP欺骗就是隐藏自己的有效手段，主要是通过将自身IP地址进行伪造，并向目标主机发送恶意的请求，攻击主机，而主机却因为IP地址被隐藏而无法准确确认攻击源。或者通过获取目标主机信任而趁机窃取相关的机密信息。

4、应用层上的攻击

对于因特网而言，IP地址与域名均是一一对应的，这两者之间的转换工作，被称为域名解析。而DNS就是域名解析的服务器。DNS欺骗指的是攻击方冒充域名服务器的行为，使用DNS欺骗能将错误DNS信息提供给目标主机。所以说，通过DNS欺骗可误导用户进入非法服务器，让用户相信诈骗IP。

扩展资料

TCP/IP协议能够迅速发展起来并成为事实上的标准，是它恰好适应了世界范围内数据通信的需要。它有以下特点：

1、协议标准是完全开放的，可以供用户免费使用，并且独立于特定的计算机硬件与操作系统。

2、独立于网络硬件系统，可以运行在广域网，更适合于互联网。

3、网络地址统一分配，网络中每一设备和终端都具有一个唯一地址。

4、高层协议标准化，可以提供多种多样可靠网络服务。

简述TCP/IP协议的不安全因素。

由于自身的缺陷、网络的开放性以及黑客的攻击是造成互联网络不安全的主要原因。TCP/IP作为Internet使用的标准协议集，是黑客实施网络攻击的重点目标。TCP-／IP协议组是目前使用最广泛的网络互连协议。但TCP／IP协议组本身存在着一些安全性问题。TCP/IP协议是建立在可信的环境之下，首先考虑网络互连缺乏对安全方面的考虑；这种基于地址的协议本身就会泄露口令，而且经常会运行一些无关的程序，这些都是网络本身的缺陷。互连网技术屏蔽了底层网络硬件细节，使得异种网络之间可以互相通信。这就给“黑客”们攻击网络以可乘之机。由于大量重要的应用程序都以TCP作为它们的传输层协议，因此TCP的安全性问题会给网络带来严重的后果。网络的开放性，TCP/IP协议完全公开，远程访问使许多攻击者无须到现场就能够得手，连接的主机基于互相信任的原则等等性质使网络更加不安全。

TCP/IP攻击的基于TCP/IP协议的网络攻击方式

有三台主机：

A:IP地址 192.168.0.1；硬件地址AA:AA:AA:AA:AA:AA

B:IP地址 192.168.0.2；硬件地址BB: BB: BB: BB: BB: BB

C:IP地址 192.168.0.3；硬件地址CC:CC:CC: CC:CC:CC

一个位于主机B的入侵者想非法进入主机A，可是这台主机上安装有防火墙。通过收集资料得知这台主机A的防火墙只对主机C有信任关系。而入侵者必须要使用telnet来进入主机A，这个时候入侵者应当如何处理？

要telnet到主机A，入侵者可以让主机A相信主机B就是主机C。如果主机A与C的信任关系是建立在IP地址上的。攻击者可以先通过各种拒绝式服务方式让C这台机器暂时宕机，同时将B的IP地址改为192.168.0.3，B就可以成功地通过23端口telnet到A上，而成功地绕过防火墙的限制。

但是，如果AC的信任关系是建立在硬件地址之上，这个时候上述的方式就不行了，需要运用ARP欺骗方式。

入侵者认为地制造一个arp_reply的响应包，发送给想要欺骗的主机A，这是可以实现的，因为ARP协议并没有规定在收到arp_echo请求后才可以发送响应包（这就是能够实现的关键，在一般的情况之下只有路由器进行了arp广播之后，主机才会回复）。这样，就可以通过发送虚假的ARP响应包来修改主机A上的动态ARP缓存来达到欺骗的目的。

具体步骤如下：

①利用工具，进行拒绝式服务攻击，让主机C宕机，暂时停止工作。

②在这段时间里，入侵者把自己的IP改为192.168.0.3(主机C的IP)。

③用工具发一个源地址为192.168.0.3，源MAC地址为BB: BB: BB: BB: BB: BB的包给主机A，要求A更新自己的ARP转换表（ARP缓存）。

④主机A更新了ARP缓存中关于主机C的IPàMAC的对应关系。

⑤防火墙失效了，现在主机B可以telnet到主机A。 2.1ICMP转向连接攻击

攻击者使用ICMP超时或者ICMP主机不可达报文，这两种报文都会使得主机迅速放弃连接。此时通信连接就会被切断。

一台主机错误地认为信息的目标地址不在本地网络之中的时候，网关通常会使用ICMP重定向消息。如果攻击者伪造一条重定向消息，就可以导致主机经过攻击者主机向特定连接发送数据包。

2.2ICMP数据包放大（ICMP Smurf）

攻击者向安全薄弱网络的广播地址发送ICMP回显请求，所有的主机都会像被攻击主机，发送ICMP应答，占用了目标系统的带宽，并导致合法通信的拒绝服务（DoS）。

2.3ICMP Ping淹没攻击

大量的ping信息广播淹没了目标系统。

2.4ICMP nuke攻击

nuke发送出目标操作系统无法处理的信息数据包，从而导致该系统瘫痪。

2.5通过ICMP进行攻击信息收集

可以通过ping来检查目标主机是否存活，并且根据返回的TTL值就可以判断目标主机的操作系统（Linux应答TTL为64，windows 200/NT/XP为128，其他系统未列出）。

2.6ICMP攻击防范

策略一：对ICMP数据包进行过滤

使用防火墙的功能

策略二：修改TTL值巧妙骗过黑客

系统缺省的TTL值是可以修改的，可以编写一个批处理文件来进行修改。 假设主机A和B建立TCP连接，要进行三次握手。针对TCP协议的攻击原理是：TCP协议三次握手没有完成的时候，被请求端B一般都会重试（即再给A发送SYN+ACK报文）并等待一段时间，这就可以用来进行DoS、Land、SYN flood攻击。

在SYN flood攻击中，黑客向受害主机发送大量伪造源地址的TCP SYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包；并等待源地址返回ACK包，由于源地址是伪造的所以源端永远不会发送ACK包，所以受害主机继续发送SYN+ACK包，并将半链接放入端口的积压队列之中，虽然一般主机都有超时机制和默认的重传次数，但是如果不断向受害主机发送大量的TCP SYN报文，半连接队列就会很快被填满，导致受害主机无法响应其他主机的连接请求。

防御方法：针对SYN flood的攻击防范措施主要有两种：一种是通过防火墙、路由器等过滤网关防护，另一种是通过加固TCP/IP协议栈。

基于 TCP/IP 协议的常见攻击方法

TCP/IP 中，对资源占杳和分配设计的一个基本原则是自觉原则。如参加 TCP通信的一方发现上次发送的数据报丢失，则主动将通信速率降至原来的一半。这样，也给恶意的网络破坏者提供了机会 c 如网络破坏者可以大量的发 IP 报，造成网络阻塞，也可以向一台主机发送大量的 SYN 包从而大量占有该主机的资源 (SYN Flood) 。这种基于资源占用造成的攻击被称为拒绝服务攻击( DOS)

IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。

防范措施

TCP 会话劫持跳过连接过程.对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

防范措施

最主要的方法是在传输层对数据进行加密。

拒绝服务坷的目的就是使受害的服务器不能提供正常的网络服务。

当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Transmission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。

防范措施

从上图（左图）中可以看出，防火墙在确认了连接的有效性后，才向内部的服务器（Listener）发起SYN请求，在右图中，所有的无效连接均无法到达内部的服务器。

采用这种方式进行防范需要注意的一点就是防火墙需要对整个有效连接的过程发生的数据包进行代理，如下图所示：

因为防火墙代替发出的SYN ACK包中使用的序列号为c，而服务器真正的回应包中序列号为c’，这其中有一个差值|c-c’|，在每个相关数据报文经过防火墙的时候进行序列号的修改。

TCP Safe Reset技术：

这也是防火墙Syn代理的一种方式，其工作过程如下图所示：

这种方法在验证了连接之后立即发出一个Safe Reset命令包，从而使得Client重新进行连接，这时出现的Syn报文防火墙就直接放行。在这种方式中，防火墙就不需要对通过防火墙的数据报文进行序列号的修改了。这需要客户端的TCP协议栈支持RFC 793中的相关约定，同时由于Client需要两次握手过程，连接建立的时间将有所延长。

死亡之 Ping 是利用 ICMP 协议的一种碎片攻击 。攻击者发送一个长度超过 65 535Byte 的 Echo Request 数据包，目标主机在重组分片的时候会造成事先分配的 65 535 Byt 字节缓冲区溢出，系统通常会崩愤或挂起

IP 数据包的最大长度是 65 535 (2 16 - 1) Byte，其中包括包头长度(如果 IP 选项末指定，一般为 20 B)超过 MTU( Maximum Transmission Unit) 的数据包被分割成小的数据包，在接受端重新组装。一般以太网的MTU 为 11500 Byte ，互联网上的 MTU 通常是 576 Byte ICMP 回应请求放在 IP 数据包中，其中有 8 Byt 的 ICMP头信息，接下来是 "Ping" 请求的数据宇节的数目。因此数据区所允许的最大尺寸为 65 535 - 20 - 8 = 65 507Byte

分段后的 IP 包要在接收端的 IP 层进行重组，这样"死亡之 Ping"就可以再发送一个回应请求数据包，使它的数据包中的数据超过 65 507 Byte ，使得某些系统的 IP 分段组装模块出现异常。因为在 IP 分段组装的过程中，它通过每一个 IP 分段中的偏移量来决定每一个分段在整个 IP 包中的位置，最后一个分段中，如果 IP 包的长度大于 65 507 Byte各个分段组装后就会超过 IP 包的最大长度。某些操作系统要等到将所有的分段组装完后才对 IP 包进行处理，所以就存在这样一种内部缓冲区或内部变量溢出的可能性，这样会导致系统崩愤或重启。

防范措施

在 TCP 包中有 6 个标志位来指示分段的状态。其中 RST 用来复位一个连接， FIN 表示没有数据要发送了攻击者经常利用这两个标志位进行拒绝服务攻击。他们先分析通过目标主机和受骗主机之间的 IP 数据包，计算出从受骗主机发往目标主机的下一个 TCP 段的序列号，然后产生一个带有 RST 位设置的 TCP 段，将其放在假冒源 IP 地址的数据包中发往目标主机，目标主机收到后就关闭与受骗主机的连接。

利用 FIN 位的攻击与 RST 位的攻击很相似。攻击者预测到正确的序列号后，使用它创建一个带 FIN 位的 TCP 分段，然后发送给目标主机，好像受骗主机没有数据要发送了，这样，由受骗主机随后发出的 TCP 段都会目标主机认为是网络错误而忽略。

通过地址欺骗，并使用回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞

用一个特别打造的SYN包，其原地址和目标地址都被设置成某一个服务器地址。此举将导致服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留，直到超时

防御方法：

这类攻击的检测方法相对来说比较容易，因为可以直接通过判断网络数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。

UDP不需要像TCP那样进行三次握手，运行开销低，不需要确认数据包是否成功到达目的地。这就造成UDP泛洪攻击不但效率高，而且还可以在资源相对较少的情况下执行。UDP FLOOD可以使用小数据包(64字节)进行攻击,也可以使用大数据包(大于1500字节,以太网MTU为1500字节)进行攻击。大量小数据包会增大网络设备处理数据包的压力；而对于大数据包，网络设备需要进行分片、重组，最终达到的效果就是占用网络传输接口的带宽、网络堵塞、服务器响应慢等等。

防御方案： 限制每秒钟接受到的流量(可能产生误判)；通过动态指纹学习(需要攻击发生一定时间)，将非法用户加入黑名单。

“teardrop”,又称“泪滴”：IP数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0，长度为N，第二个包的偏移量小于N。为了合并这些数据段，TCP/IP堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚至机器的重新启动，达到攻击者需要的拒绝服务的目的。

“DoS”是Denial of Service，拒绝服务的缩写。所谓的拒绝服务是当前网络攻击手段中最常见的一种。它故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，而最值得注意的是，攻击者在此攻击中并不入侵目标服务器或目标网络设备，单纯利用网络缺陷或者暴力消耗即可达到目的。

从原理上来说 ，无论攻击者的攻击目标(服务器、计算机或网络服务)的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限，所以攻击者总能找到一个方法使请求的值大于该极限值，导致所提供的服务资源耗尽。

从技术分类的角度上来说 ，最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法用户的请求无法通过。连通性攻击指用大量的连接请求冲击服务器或计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。

在网络还不发达的时候，单一的DoS攻击一般是采用一对一的方式，也就是攻击者直接利用自己的计算机或者设备，对攻击目标发起DoS攻击。当攻击目标处在硬件性能低下、网络连接情况不好等情况的时候，一对一的DoS攻击效果是非常明显的，很有可能直接一个攻击者就搞定一个网站或者一个服务器，让它拒绝服务。

随着计算机和网络技术的发展，硬件设备的处理性能加速度增长，成本也变得非常低廉，网络的快速发展更是让带宽、出入口节点宽度等大大的提升，这让传统的DoS攻击很难凑效。

随着这样情况的出现，攻击者研究出了新的攻击手段，也就是DDoS。

DDoS是在传统的DoS攻击基础之上产生的一种新的攻击方式，即Distributed Denial Of Service，分布式拒绝服务攻击。

如果说计算机与网络的处理能力比以往加大了10倍的话(示例数据，没有实质意义)，那攻击者使用10台计算机同时进行攻击呢？也就达到了可以让目标拒绝服务的目的。简单来说，DDoS就是利用更多的计算机来发起攻击。

就技术实现方式来分析，分布式拒绝服务攻击就是攻击者利用入侵手段，控制几百台，或者成千上万台计算机(一般被控制的计算机叫做傀儡主机，或者口头被网络安全相关人员称为“肉鸡”)，然后在这些计算机上安装大量的DDoS程序。这些程序接受来自攻击者的控制命令，攻击者同时启动全部傀儡主机向目标服务器发起拒绝服务攻击，形成一个DoS攻击群，猛烈的攻击目标，这样能极为暴力的将原本处理能力很强的目标服务器攻陷。

通过上面的分析，可以看出DDoS与DoS的最大区别是数量级的关系，DoS相对于DDoS来说就像是一个个体，而DDoS是无数DoS的集合。另一方面，DDoS攻击方式较为自动化，攻击者可以把他的程序安装到网络中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，现在这种方式被认为是最有效的攻击形式，并且非常难以抵挡。