思科认证：有关TCP/IP协议族存在的脆弱性剖析（1）

会计考友

基于TCP/IP协议的服务很多，人们比较熟悉的有WWW服务、FTP服务、电子邮件服务，不太熟悉的有TFTP服务、NFS服务、Finger服务等等。这些服务都存在不同程度上的安全缺陷，当用户构建安全可信网络时，就需要考虑，应该提供哪些服务，应该禁止哪些服务。同时，在使用这些服务的时候，你可能没有想到，TCP/IP从一开始设计的时候就没有考虑到安全设计。　　TCP/IP存在脆弱性
　　IP层的主要曲线是缺乏有效的安全认证和保密机制，其中最主要的因素就是IP地址问题。TCP/IP协议用IP地址来作为网络节点的惟一标识，许多 TCP/IP服务，包括Berkeley中的R命令、NFS、X Window等都是基于IP地址对用户进行认证和授权。当前TCP/IP网络的安全机制主要是基于IP地址的包过滤（Packet Filtering）和认证（Authentication）技术，它的有效性体现在可以根据IP包中的源IP地址判断数据的真实性和安全性。然而IP地址存在许多问题，协议的最大缺点就是缺乏对IP地址的保护，缺乏对IP包中源IP地址真实性的认证机制与保密措施。这也就是引起整个TCP/IP协议不安全的根本所在。
　　由于UDP是基于IP协议之上的，TCP分段和UDP协议数据包是封装在IP包中在网络上传输的，因此同样面临IP层所遇到的安全威胁。现在人们一直在想办法解决，却仍然无法避免的就是根据TCP连接建立时“三次握手”机制的攻击。这些攻击总结起来包括：
　　源地址欺骗（Source Address Spoofing）或IP欺骗（IP Spoofing）；
　　源路由选择欺骗（Source Routing Spoofing）；
5 l% o) M( L9 x" \$ b2 c6 J　　路由选择信息协议攻击（RIP Attacks）；
( o' t5 q( a: u　　鉴别攻击（Authentication Attacks）；
7 D. f/ V! K/ i4 S/ _* a; H　　TCP序列号欺骗（TCP Sequence number spoofing）；
　　TCP/IP协议数据流采用明文传输；
　　TCP序列号轰炸攻击（TCP SYN Flooding Attack），简称SYN攻击；
　　易欺骗性（Ease of spoofing）。
% J) v% U1 s3 u( u& D　　比如网管员都熟悉的因特网控制信息协议（ICMP），它是TCP/IP协议组的一个基本网络管理工具，在帮助网络管理人员排除网络故障中立下了汗马功劳，同时ICMP攻击却十分猖狂。最明显的是ICMP重定向报文，它被网关用来为主机提供好的路由，却不能被用来给主机的路由表进行主动的变化。如果入侵者已经攻破一个对目标主机来说可利用的次要网关，而不是基本网关，入侵者就可以通过有危险的次要网关给信任主机设置一个错误的路由。多数的服务主机在TCP重定向报文上不实行有效检查，这种攻击的影响和基于RIP的攻击相似。