91精品人妻互换日韩精品久久影视|又粗又大的网站激情文学制服91|亚州A∨无码片中文字慕鲁丝片区|jizz中国无码91麻豆精品福利|午夜成人AA婷婷五月天精品|素人AV在线国产高清不卡片|尤物精品视频影院91日韩|亚洲精品18国产精品闷骚

摘要本文通過對TCP/IP協(xié)議的基本體系結(jié)構(gòu)的研究，針對其特點分析存在的脆弱性。在這個基礎(chǔ)上提出TCP/IP協(xié)議自身存在的安全隱患及其應(yīng)用于互聯(lián)網(wǎng)的一些安全問題，從不同層次討論了各種潛在的攻擊方法和對應(yīng)的防范措施，并介紹了幾種基于TCP/IP網(wǎng)絡(luò)的基本安全策略。
論文關(guān)鍵詞：TCP/IP協(xié)議,網(wǎng)絡(luò)安全,層次

　　Transmission Control Protocol/Internet Protocol是TCP/IP協(xié)議的全稱，不但這個協(xié)議是Internet最基本的，同時也在Internet國際互聯(lián)網(wǎng)絡(luò)中屬于非�；�礎(chǔ)的。傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議是它的中文名稱，也叫作網(wǎng)絡(luò)通訊協(xié)議。TCP/IP 協(xié)議對電子設(shè)備怎樣做到和因特網(wǎng)連接以及數(shù)據(jù)在它們之間進行傳輸?shù)臉藴首隽艘?guī)定。4層的分層結(jié)構(gòu)是協(xié)議所采用的，對于每一層來說，完成自身的請求都利用對下一層進行呼叫并依據(jù)提供的協(xié)議來實現(xiàn)。

　　2、存在的安全隱患

　　2.1網(wǎng)絡(luò)接口層上的攻擊

　　網(wǎng)絡(luò)接口層在TCP/IP網(wǎng)絡(luò)中，屬于復(fù)雜程度最高的一個層次，一般來說，進行網(wǎng)絡(luò)嗅探組成TCP/IP網(wǎng)絡(luò)的以太網(wǎng)是最為常見的攻擊方式。以太網(wǎng)應(yīng)用非常廣泛，并且共享信道得到了普遍使用，廣播機制在媒體訪問協(xié)議CSMA/CD中使用的較多，這也使得網(wǎng)絡(luò)嗅探的物理基礎(chǔ)得到構(gòu)建。以太網(wǎng)卡的工作方式包含兩種，首先是一般工作方式，而就另一種方式來說，顯得較為特殊屬于混雜方式。來自共享信道上的數(shù)據(jù)包能被主機說接收。網(wǎng)管工作的需要可能是網(wǎng)絡(luò)嗅探進行的初衷，但是這種情況下極有可能導(dǎo)致因為被攻擊方面原因?qū)е碌男畔�丟失，同時攻擊者能夠依據(jù)數(shù)據(jù)分析獲得諸多關(guān)鍵數(shù)據(jù)比如賬戶、密碼等。

　　2.2網(wǎng)絡(luò)層上的攻擊

　　2.2.1 ARP欺騙

　　一般來說是為了把目標主機的IP地址關(guān)聯(lián)到攻擊者的MAC地址上，使得目標主機的IP地址的流量定位到攻擊者處。局域網(wǎng)通信在數(shù)據(jù)鏈路層進行傳輸?shù)臅r候數(shù)據(jù)鏈路層的MAC地址是網(wǎng)絡(luò)層的IP地址需要轉(zhuǎn)換的，假如一個主機的IP地址知道以后，獲取其MAC地址就需要通過一個廣播來實現(xiàn)主機響應(yīng)中有這個IP的MAC地址。ARP協(xié)議沒有狀態(tài)，無論是否收到請求，主機都會自動緩存任何它們收到的ARP響應(yīng)。這樣的話新ARP響應(yīng)會覆蓋哪怕沒有過期的ARP緩存，并且主機對數(shù)據(jù)包的來歷無法認定。而這個漏洞是ARP欺騙所采用的，與目標主機通過MAC地址的偽造產(chǎn)生關(guān)聯(lián)，實現(xiàn)ARP欺騙。

　　2.2.2 ICMP欺騙

　　ICMP協(xié)議也就是Internet控制報文協(xié)議，它主要的功能就是在路由器和主機之間進行控制信息的傳遞。控制信息就是主機能不能可達、網(wǎng)絡(luò)是不是暢通以及路由是不是可用等網(wǎng)絡(luò)自身方面的信息，如果差錯出現(xiàn)，ICMP數(shù)據(jù)包會通過主機馬上進行發(fā)送，對描述錯誤的信息做到自動返回�；�于ICMP的服務(wù)最常用的就是Ping命令，ICMP協(xié)議在網(wǎng)絡(luò)安全中是非常重要的，因為它自身特點的原因使得它遭受入侵很容易，一般來說，目標主機通過長期、大量ICMP數(shù)據(jù)包的發(fā)送，導(dǎo)致大量的CPU資源被目標主機所占用，核心期刊最終導(dǎo)致系統(tǒng)癱瘓。

　　2.3運輸層上的攻擊

　　在網(wǎng)絡(luò)安全領(lǐng)域，隱藏自己的一種有效手段就是IP欺騙—偽造自身的IP地址向目標主機發(fā)送惡意請求，造成目標主機受到攻擊卻無法確認攻擊源，或者取得目標主機的信任以便獲取機密信息。進行DOS攻擊經(jīng)常會利用IP欺騙的方式實現(xiàn)，因為數(shù)據(jù)包的地址來源非常廣泛，過濾不能輕松地進行，這使得基于IP的防御不再有效。IP欺騙也會用來跳過基于IP的認證，雖然這種方法要一次更改數(shù)量眾多的數(shù)據(jù)包，使得實施攻擊遠端系統(tǒng)非常困難，但在受信任的內(nèi)網(wǎng)主機之間卻很有效。此外，IP欺騙偶爾也用作網(wǎng)站性能測試。

　　2.4應(yīng)用層上的攻擊

　　域名系統(tǒng)的英文縮寫是DNS，這個系統(tǒng)用在組織到域?qū)哟谓Y(jié)構(gòu)中的各項網(wǎng)絡(luò)服務(wù)的命名。對于Internet來說，域名和IP地址都是一一對應(yīng)，它們之間工作進行轉(zhuǎn)換叫做域名解析，而域名解析的服務(wù)器就是DNS。而對于DNS欺騙來說，它就是攻擊者一種對域名服務(wù)器進行冒充的欺騙行為，它可以為目標主機提供錯誤DNS信息。例如用戶在瀏覽網(wǎng)頁時，攻擊者把原有的IP地址偷換成攻擊者的IP地址，這樣的話，用戶看到的就不是原有的頁面，而是攻擊者的頁面。DNS服務(wù)器能夠誤導(dǎo)客戶引導(dǎo)進入非法服務(wù)器，也能夠?qū)Ψ��?wù)器進行誤導(dǎo)使他們相信詐騙IP。

　　3、基于TCP/IP網(wǎng)絡(luò)的安全策略

　　3.1防火墻技術(shù)

　　防火墻是網(wǎng)絡(luò)訪問控制設(shè)備，除了有訪問權(quán)限的資源可以通過，各種沒有權(quán)限的通信數(shù)據(jù)都會被拒絕。從層次上來說，防火墻的實現(xiàn)一般包含兩種：應(yīng)用層網(wǎng)關(guān)以及報文過濾。報文過濾在防火墻中占據(jù)非常核心的地位，它在網(wǎng)絡(luò)層實現(xiàn)以及過濾器方面發(fā)揮非常大的作用，在進行設(shè)計的時候?qū)Ψ阑饓Φ脑L問要盡可能減少。在調(diào)用過濾器的時候?qū)⒈徽{(diào)度到內(nèi)核中實現(xiàn)執(zhí)行，服務(wù)停止的時候，將會從內(nèi)核中消除過濾規(guī)則，在內(nèi)核中一切分組過濾功能運行在IP堆棧的深層中。此外，技術(shù)實現(xiàn)上還有代管服務(wù)器、隔離域名服務(wù)器、郵件技術(shù)等，都是在內(nèi)外網(wǎng)上建立一道屏障，對外使得內(nèi)部的信息得到屏蔽，同時對內(nèi)進行代理服務(wù)的提供。

　　3.2入侵檢測系統(tǒng)

　　入侵檢測技術(shù)屬于動態(tài)安全技術(shù)的范疇，通過研究入侵行為的特征及過程，使得安全系統(tǒng)做出實時響應(yīng)入侵過程能。另外這也屬于網(wǎng)絡(luò)安全研究的非常重要的內(nèi)容，入侵檢測技術(shù)可以實現(xiàn)邏輯補償防火墻技術(shù)，是在安全防護技術(shù)上屬于較為積極主動的，它實時保護外部入侵、內(nèi)部入侵以及誤操作，它能夠使得網(wǎng)絡(luò)系統(tǒng)免遭破壞。入侵檢測技術(shù)的發(fā)展有三個方向：智能化入侵檢測、分布式入侵檢測以及全面的安全防御方案。

　　3.3訪問控制策略

　　每個系統(tǒng)都要訪問用戶是有訪問權(quán)限的，這樣才允許他們訪問，這種機制叫做訪問控制。訪問控制雖然不是直接抵御入侵行為，但在實際網(wǎng)絡(luò)應(yīng)用中迫切需要，也是網(wǎng)絡(luò)防護的一個重要方面。訪問控制包括兩個方面，一方面是對來自外部的訪問進行合法性檢查，這類似于防火墻的功能；另一方面是對由內(nèi)到外的訪問做一些目標站點檢查，對非法站點的訪問進行封鎖。在服務(wù)器上必須對那些用戶可以守護進程以及訪問服務(wù)進行限制。

　　結(jié)束語

　　總之，雖然使協(xié)議中的存在的安全缺口免遭攻擊實現(xiàn)起來很困難，但是科技的發(fā)展以及安全技的不斷改進，只有對我們的安全體系采用新技術(shù)進行完善，TCP/IP協(xié)議才會有更安全的明天。才能給TCP/IP網(wǎng)絡(luò)信息服務(wù)安全帶來足夠的保障。

參考文獻
[1]謝希仁.《計算機網(wǎng)絡(luò)（第5版）》[M] ，電子工業(yè)出版社，2012.5.
[2]梁毅.《TCP/IP協(xié)議的漏洞和防御》[J]， 清華大學(xué)出版社，2014.3.
[3]龍東陽.《網(wǎng)絡(luò)安全技術(shù)及應(yīng)用》[M]， 華南理工大學(xué)出版社，2012.9 .