TCPIP缺陷

2024年3月7日發(fā)(作者：寫馬的詩(shī)句)

TCP/IP協(xié)議的安全隱患

造成操作系統(tǒng)漏洞的一個(gè)重要原因，就是協(xié)議本身的缺陷給系統(tǒng)帶來的攻擊點(diǎn)。網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)之間為了互聯(lián)共同遵守的規(guī)則。目前的互聯(lián)網(wǎng)絡(luò)所采用的主流協(xié)議TCP/IP，由于在其設(shè)計(jì)初期人們過分強(qiáng)調(diào)其開發(fā)性和便利性，沒有仔細(xì)考慮其安全性，因此很多的網(wǎng)絡(luò)協(xié)議都存在嚴(yán)重的安全漏洞，給Internet留下了許多安全隱患。另外，有些網(wǎng)絡(luò)協(xié)議缺陷造成的安全漏洞還會(huì)被黑客直接用來攻擊受害者系統(tǒng)。本文就TCP/IP協(xié)議自身所存在的安全問題和協(xié)議守護(hù)進(jìn)程進(jìn)行了詳細(xì)討論，指出針對(duì)這些安全隱患的攻擊。

TCP協(xié)議的安全問題

TCP使用三次握手機(jī)制來建立一條連接，握手的第一個(gè)報(bào)文為SYN包；第二個(gè)報(bào)文為SYN/ACK包，表明它應(yīng)答第一個(gè)SYN包同時(shí)繼續(xù)握手的過程；第三個(gè)報(bào)文僅僅是一個(gè)應(yīng)答，表示為ACK包。若A放為連接方，B為響應(yīng)方，其間可能的威脅有：

1. 攻擊者監(jiān)聽B方發(fā)出的SYN/ACK報(bào)文。

2. 攻擊者向B方發(fā)送RST包，接著發(fā)送SYN包，假冒A方發(fā)起新的連接。

3. B方響應(yīng)新連接，并發(fā)送連接響應(yīng)報(bào)文SYN/ACK。

4. 攻擊者再假冒A方對(duì)B方發(fā)送ACK包。

這樣攻擊者便達(dá)到了破壞連接的作用，若攻擊者再趁機(jī)插入有害數(shù)據(jù)包，則后果更嚴(yán)重。

TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個(gè)32位整數(shù)對(duì)傳送的字節(jié)編號(hào)。初始序列號(hào)（ISN）在TCP握手時(shí)產(chǎn)生，產(chǎn)生機(jī)制與協(xié)議實(shí)現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主機(jī)發(fā)送一個(gè)連接請(qǐng)求，即可獲得上次連接的ISN，再通過多次測(cè)量來回傳輸路徑，得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來回時(shí)間RTT。已知上次連接的ISN和RTT，很容易就能預(yù)測(cè)下一次連接的ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出TCP連接，并預(yù)測(cè)到目標(biāo)主機(jī)的TCP序列號(hào)，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標(biāo)主機(jī)接受。

IP協(xié)議的安全問題

IP協(xié)議在互連網(wǎng)絡(luò)之間提供無連接的數(shù)據(jù)包傳輸。IP協(xié)議根據(jù)IP頭中的目的地址項(xiàng)來發(fā)送IP數(shù)據(jù)包。也就是說，IP路由IP包時(shí)，對(duì)IP頭中提供的源地址不作任何檢查，并且認(rèn)為IP頭中的源地址即為發(fā)送該包的機(jī)器的IP地址。這樣，許多依靠IP源地址做確認(rèn)的服務(wù)將產(chǎn)生問題并且會(huì)被非法入侵。其中最重要的就是利用IP欺騙引起的各種攻擊。

以防火墻為例，一些網(wǎng)絡(luò)的防火墻只允許網(wǎng)絡(luò)信任的IP數(shù)據(jù)包通過。但是由于IP地址不檢測(cè)IP數(shù)據(jù)包中的IP源地址是否為放送該包的源主機(jī)的真實(shí)地址，攻擊者可以采用IP源地址欺騙的方法來繞過這種防火墻。另外有一些以IP地址作為安全權(quán)限分配依據(jù)的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用IP源地址欺騙的方法獲得特權(quán)，從而給被攻擊者造成嚴(yán)重的損失。事實(shí)上，每一個(gè)攻擊者都可以利用IP不檢驗(yàn)IP頭源地址的特點(diǎn)，自己填入偽造的IP地址來進(jìn)行攻擊，使自己不被發(fā)現(xiàn)。

六 TCP/IP協(xié)議安全問題的防范

TCP協(xié)議安全問題的防范

對(duì)于SYN Flood攻擊，目前還沒有完全有效的方法，但可以從以下幾個(gè)方面加以防范：

1. 對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的SYN請(qǐng)求連接數(shù)據(jù)包的復(fù)位，同時(shí)通過縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無效的SYN請(qǐng)求數(shù)據(jù)包。

2. 建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個(gè)數(shù)。

3. 建議在路由器的前端多必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可以進(jìn)入該網(wǎng)段，這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。

IP協(xié)議安全問題的防范

1. 拋棄基于地址的信任策略。這是最簡(jiǎn)單的方法。

2. 進(jìn)行包過濾。如果網(wǎng)絡(luò)是通過路由器接入Internet的，那么可以利用路由器來進(jìn)行包過濾。確認(rèn)只有內(nèi)部LAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)要慎重處理。路由器可以過濾掉所有來自于外部而希望與內(nèi)部建立連接的請(qǐng)求。

3. 使用加密技術(shù)。阻止IP欺騙的一種簡(jiǎn)單的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時(shí)，加密方法可能最為適用。

七 TCP/IP各層的安全性和提高各層安全性的方法

1. 網(wǎng)絡(luò)層的安全性

在過去的十年里，已經(jīng)提出了一些方案對(duì)網(wǎng)絡(luò)層的安全協(xié)議進(jìn)行標(biāo)準(zhǔn)化。例如，安全協(xié)議3號(hào)（SP3）就是美國(guó)國(guó)家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)（SDNS）的一部分而制定的。網(wǎng)絡(luò)層安全協(xié)議（NLSP）是由國(guó)際標(biāo)準(zhǔn)化組織為無連接網(wǎng)絡(luò)協(xié)議（CLNP）制定的安全協(xié)議標(biāo)準(zhǔn)。集成化NLSP（I-NLSP）是由美國(guó)國(guó)家科技研究所提出的包括IP和CLNP在內(nèi)的統(tǒng)一安全機(jī)制。SWIPE是另一個(gè)網(wǎng)絡(luò)層的安全協(xié)議，由Ioannidis和Blaze提出并實(shí)現(xiàn)原型。所有這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，他們用的都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密，封裝在外層的IP報(bào)頭里，用來對(duì)加密的包進(jìn)行Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開，報(bào)文被解密，然后送到收?qǐng)?bào)地點(diǎn)。

網(wǎng)絡(luò)安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它最主要的缺點(diǎn)是：網(wǎng)絡(luò)層一般屬于不間進(jìn)程和相應(yīng)條例的包不做區(qū)別。對(duì)所有去往同一地址的包，它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需要的功能，也會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)的密鑰分配的這些問題，RFC 1825允許（甚至可以說是推薦）使用面向用戶的密鑰分配，其中，不同的連接會(huì)得到不同的加密密鑰。但是，面向用戶的密鑰分配需要對(duì)相應(yīng)的操作系統(tǒng)內(nèi)核作比較大的改動(dòng)。

簡(jiǎn)而言之，網(wǎng)絡(luò)層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的。相應(yīng)的安全協(xié)議可以用來在Internet上建立安全的IP通道和虛擬私有網(wǎng)。例如，利用它對(duì)IP包的加密和解密功能，可以簡(jiǎn)捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。RSA數(shù)據(jù)安全公司已經(jīng)發(fā)起了一個(gè)倡議，來推進(jìn)多家防火墻和TCP/IP軟件廠商聯(lián)合開發(fā)虛擬私有網(wǎng)，該倡議被稱為S-WAN（安全廣域網(wǎng)）倡議，其目標(biāo)是制定和推薦網(wǎng)絡(luò)層的安全協(xié)議標(biāo)準(zhǔn)。

2. 傳輸層的安全性

在網(wǎng)絡(luò)應(yīng)用編程中，通常使用廣義的進(jìn)程間通信（IPC）機(jī)制來與不同層次的安全協(xié)議打交道。在Internet中提供安全服務(wù)的首先一個(gè)想法便是強(qiáng)化它的IPC界面，如BSD、Sockets等，具體做法包括雙端實(shí)體的認(rèn)證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個(gè)思路，制定了建立在可靠的傳輸服務(wù)（如TCP/IP所提供）基礎(chǔ)上的安全接層協(xié)議（SSL）。

網(wǎng)絡(luò)安全機(jī)制的主要優(yōu)點(diǎn)是它的透明性，即安全服務(wù)的提供不要求應(yīng)用層做任何改變。這對(duì)傳輸層來是說是做不到的。原則上，任何TCP/IP應(yīng)用，只要應(yīng)用傳輸層安全協(xié)議，比如說SSL或IPC，就必定要進(jìn)行若干修改以增加相應(yīng)的功能，并使用不同的IPC界面。于是，傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層IPC界面和應(yīng)用程序兩端都進(jìn)行修改。可是，比起Internet層和應(yīng)用層的安全機(jī)制來，這里修改還是相當(dāng)小的。另一個(gè)缺點(diǎn)是，基于UDP的通信很難在傳輸層建立起安全機(jī)制來。同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的（而不是主機(jī)對(duì)主機(jī)的）安全服務(wù)。這一成就如果再加上應(yīng)用級(jí)的安全服務(wù)，就可以再向前跨越一大步了。

3. 應(yīng)用層的安全性

網(wǎng)絡(luò)層的安全協(xié)議允許為主機(jī)（進(jìn)程）之間的數(shù)據(jù)通道增加安全屬性，這以為著真正的數(shù)據(jù)通道還是建立在主機(jī)（或進(jìn)程）之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。比如說，如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就到要自動(dòng)的被加密。同樣，如果一個(gè)進(jìn)程和另一個(gè)進(jìn)程之間通過傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個(gè)進(jìn)程間傳輸?shù)乃邢⒕投家詣?dòng)的被加密。

一般來說，在應(yīng)用層提供安全服務(wù)有幾種可能的做法，一個(gè)是對(duì)每個(gè)應(yīng)用（及應(yīng)用協(xié)議）分別進(jìn)行修改。一些重要的TCP/IP應(yīng)用已經(jīng)這樣做了。在RFC1421至1424中，IETF規(guī)定了私用強(qiáng)化郵件（PEM）來為基于SMTP的電子郵件系統(tǒng)提供安全服務(wù)。Internet業(yè)界采納PEM的步子太慢的原因是PEM依賴于一個(gè)既存的、完全可操作的PKI（公鑰基礎(chǔ)結(jié)構(gòu)）。建立一個(gè)符合PEM規(guī)范的PKI需要多方在

一個(gè)共同點(diǎn)上達(dá)成信任。作為一個(gè)中間步驟，Phil Zimmermann開發(fā)了一個(gè)軟件包，叫做PGP（Pretty Good Privacy）。PGP符合PEM的絕大多數(shù)規(guī)范，但不必要求PKI的存在。相反，它采用了分布式的信任模型，即由每個(gè)用戶自己決定該信任哪些其他用戶。因此，PGP不是去推廣一個(gè)全局的PKI，而是讓用戶自己建立自己的信任之網(wǎng)。