TCPIP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施研究分析

《TCPIP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施研究分析》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。

1、TCPIP網(wǎng)絡(luò)協(xié)議棧攻擊防范措施研究分析摘要：由于TCP/IP網(wǎng)絡(luò)協(xié)議棧在設(shè)計(jì)上的安全缺陷和脆弱性，使得在協(xié)議棧各個(gè)網(wǎng)絡(luò)層次上均存在著各種類(lèi)型的網(wǎng)絡(luò)攻擊技術(shù)方法，對(duì)互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)的安全性造成威脅。該文主要介紹對(duì)網(wǎng)絡(luò)各層的安全協(xié)議，也分別列舉說(shuō)明了各層的網(wǎng)絡(luò)安全防范措施,對(duì)如何改善網(wǎng)絡(luò)安全配置和使用條件，對(duì)TCP/IP網(wǎng)絡(luò)協(xié)議棧攻擊的防范技術(shù)及其發(fā)展，進(jìn)行研究分析。關(guān)鍵詞：TCP/IP；網(wǎng)絡(luò)協(xié)議；防御；安全協(xié)議中圖分類(lèi)號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2013)03-0485-02在短

2、期內(nèi),基礎(chǔ)TCP/IP網(wǎng)絡(luò)協(xié)議不可能進(jìn)行重新設(shè)計(jì)和部署實(shí)施，無(wú)法從根本上改變目前網(wǎng)絡(luò)面臨嚴(yán)重安全威脅的狀況。通過(guò)部署一些監(jiān)測(cè)、預(yù)防與安全加固的防范措施，是增強(qiáng)網(wǎng)絡(luò)對(duì)已知攻擊的抵御能力不可或缺的環(huán)節(jié)。1網(wǎng)絡(luò)各層防范措施在網(wǎng)絡(luò)接口層，主要監(jiān)測(cè)和防御的安全威脅的方法是網(wǎng)絡(luò)嗅探，可以利用防范網(wǎng)絡(luò)嗅探的思路，檢測(cè)岀局域網(wǎng)中的監(jiān)聽(tīng)點(diǎn)，并在網(wǎng)絡(luò)設(shè)計(jì)上盡量細(xì)分和優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，盡量消除數(shù)據(jù)廣播的情況，并對(duì)關(guān)鍵路徑上的網(wǎng)關(guān)、路由器等設(shè)備進(jìn)行嚴(yán)格的安全防護(hù)，以減少網(wǎng)絡(luò)嗅探造成的影響。此外，對(duì)于無(wú)線網(wǎng)絡(luò)而言,應(yīng)增強(qiáng)鏈路層加密的強(qiáng)度，

3、同時(shí)對(duì)各類(lèi)網(wǎng)絡(luò)采用加密通信協(xié)議，使得在通信過(guò)程中，即使遭受嗅探也不會(huì)破壞數(shù)據(jù)要達(dá)到的機(jī)密性要求。在互聯(lián)層上，雖然IP、ICMP、ARP等協(xié)議中存在安全缺陷，安全問(wèn)題帶來(lái)的風(fēng)險(xiǎn)很難完全避免，但我們可以采用多種檢測(cè)和過(guò)濾技術(shù)來(lái)發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)中可能出現(xiàn)的欺騙攻擊，此外也可以增強(qiáng)防火墻、路由器和網(wǎng)關(guān)設(shè)備的安全策略，對(duì)一些用于欺騙攻擊的特殊數(shù)據(jù)包進(jìn)行過(guò)濾，特別是對(duì)外部網(wǎng)絡(luò)進(jìn)行欺騙攻擊的數(shù)據(jù)包進(jìn)行出站過(guò)濾，只有如此，才能共同維護(hù)整個(gè)互聯(lián)網(wǎng)的安全。對(duì)關(guān)鍵服務(wù)器使用靜態(tài)綁定IP-MAC映射表、使用IPsec協(xié)議加密通信等預(yù)防

4、機(jī)制，可以有效地增強(qiáng)網(wǎng)絡(luò)對(duì)欺騙攻擊的抵御能力。在傳輸層，可以實(shí)現(xiàn)基于面向連接和無(wú)連接服務(wù)的加密傳輸和安全控制機(jī)制，包括身份認(rèn)證，訪問(wèn)控制等。應(yīng)用層可以采用加密、用戶級(jí)身份認(rèn)證、數(shù)字簽名技術(shù)、授權(quán)和訪問(wèn)控制技術(shù)，以及主機(jī)安全技術(shù)，如審計(jì)、入侵檢測(cè)等。2網(wǎng)絡(luò)各層安全協(xié)議為了克服TCP/IP協(xié)議棧的安全缺陷和問(wèn)題，互聯(lián)網(wǎng)研究機(jī)構(gòu)也在不斷地研究和開(kāi)發(fā)一些網(wǎng)絡(luò)安全協(xié)議，IETF、IEEE802等國(guó)際性的網(wǎng)絡(luò)研究和標(biāo)準(zhǔn)化組織在不斷地進(jìn)行討論和改進(jìn)，并作為標(biāo)準(zhǔn)化協(xié)議規(guī)范對(duì)業(yè)界進(jìn)行發(fā)布，使得業(yè)界能夠在這些標(biāo)準(zhǔn)在網(wǎng)絡(luò)設(shè)備、操作

5、系統(tǒng)中實(shí)現(xiàn)和應(yīng)用這些安全協(xié)議，從而增強(qiáng)現(xiàn)有網(wǎng)絡(luò)的安全性。在TCP/IP協(xié)議棧各個(gè)層次上運(yùn)用的網(wǎng)絡(luò)安全協(xié)議如下表1所示。2.1網(wǎng)絡(luò)接口層的安全協(xié)議網(wǎng)絡(luò)接口層的安全協(xié)議設(shè)計(jì)和標(biāo)準(zhǔn)化主要由IEEE802委員會(huì)負(fù)責(zé)推進(jìn)，由于無(wú)線網(wǎng)絡(luò)傳輸媒介的共享特性，因此比有線網(wǎng)絡(luò)更加需要安全保護(hù)機(jī)制，目前常用的802.11WiFi＞藍(lán)牙(Bluetooth)等無(wú)線網(wǎng)絡(luò)均實(shí)現(xiàn)了用于身份認(rèn)證、加密傳輸和防止假冒篡改攻擊的安全協(xié)議，如WEP(WiredEquivalentPrivacy)和WPA/WPA2(Wi-FiProtectedA

6、ccess)協(xié)議等。此外IEEE802委員會(huì)還制定了802.IX協(xié)議，提供了基于端口訪問(wèn)控制的接入管理協(xié)議標(biāo)準(zhǔn)，為各種不同類(lèi)型網(wǎng)絡(luò)中的用戶認(rèn)證和訪問(wèn)控制給出了通用的解決方案。2.2網(wǎng)絡(luò)互聯(lián)層的安全協(xié)議網(wǎng)絡(luò)互聯(lián)層目前最重要的安全通信協(xié)議主要是IPsec協(xié)議簇。IPsec(InternetProtocolSecurity),即互聯(lián)網(wǎng)安全協(xié)議，是IETF(InternetEngineeringTaskForce)提供的一系列的互聯(lián)網(wǎng)安全通信的標(biāo)準(zhǔn)規(guī)范，這些是私有信息通過(guò)公用網(wǎng)的安全保障。IPsec適用于目前的IP版

7、本IPv4和下一代IPv6oIPsec規(guī)范相當(dāng)復(fù)雜，規(guī)范中包含大量的標(biāo)準(zhǔn)文檔。由于IPsec在TCP/IP協(xié)議的核心層一一IP層實(shí)現(xiàn)，因此可以有效地保護(hù)各種上層協(xié)議，并為各種安全服務(wù)提供一個(gè)統(tǒng)一的平臺(tái)，IPsec也是被下一代互聯(lián)網(wǎng)所采用的網(wǎng)絡(luò)安全協(xié)議。IPsec協(xié)議是現(xiàn)在VPN開(kāi)發(fā)中使用最廣泛的一種協(xié)議，有可能在將來(lái)成為IPVPN的標(biāo)準(zhǔn)。IPsec協(xié)議簇的基本目的是把密碼學(xué)的安全機(jī)制引入IP協(xié)議，通過(guò)使用現(xiàn)代密碼學(xué)方法支持機(jī)密性和認(rèn)證服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IPsec將幾種安全技術(shù)

8、結(jié)合形成一個(gè)完整的安全體系，包括安全協(xié)議部分和密鑰協(xié)商部分。IPsec的安全協(xié)議主要包括AH協(xié)議(AuthenticationHeader,認(rèn)證頭)和ESP協(xié)議(EncapsulateSecurityPayload,圭寸裝安全載荷)兩大部分：AH認(rèn)證協(xié)議提供五連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)，但是AH不提供任何機(jī)密性保護(hù)服務(wù)；而ESP協(xié)議則為IP協(xié)議提供機(jī)密性、數(shù)據(jù)源驗(yàn)證、抗重放，以及數(shù)據(jù)完