网络组建IP协议

网络组建IP协议（通用11篇）

网络组建IP协议 篇1

网络组建IP协议

IP协议是Internet中的交通规则，接入Internet中的每台计算机及处于十字路口的路由器都必须熟知和遵守该交通规则。IP数据包则是按该交通规则在Internet中行使的车辆，发送数据的主机需要按IP协议装载数据，路由器需要按IP协议指挥交通，接收数据的主机需要按IP协议拆卸数据。IP数据包携带着地址、满载着数据从发送数据的端用户计算机出发，在沿途各个路由器的指挥下，顺利到达目的端用户的计算机。

IP协议主要负责为计算机之间传输的数据报寻址，并管理这些数据包的分片过程。该协议对投递的数据报格式有规范、精确的定义。与此同时，IP协议还负责数据报的路由，决定数据报发送到哪里，以及在路由出现问题时更换路由。总之，运行IP协议的网络层可以为其高层用户提供的服务具有如下3个特性：

 不可靠的数据投递服务。IP协议本身没有能力证实发送的数据报是否能被正确接收。数据报可能在遇到延迟、路由错误、数据报分片和重组过程中受到损坏，但IP不检测这些错误。在发生错误时，也没有机制保证一定可以通知发送方和接收方。 面向无连接的传输服务。IP协议不管数据报沿途经过哪些节点，甚至也不管数据报起始于哪台计算机，终止于哪台计算机。数据报从源始节点到目的节点可能经过不同的传输路径，而且这些数据报在传输的过程中有可能丢失。有可能正确到达。 尽最大努力投递服务。IP协议并不随意的丢失数据报，只有当系统的资源用尽、接收数据错误或网络出现故障等状态下，才不得不丢弃报文。

网络组建IP协议 篇2

关键词：TCP/IP协议,常用命令,安全

TCP/IP (Trans m is s ion ControlProtocol/Inte rne t Protocol的简写, 中文译名为传输控制协议/互联网络协议) 协议是当今Internet最基本的协议。TCP/IP协议组是目前使用最广泛的网络互连协议。按照OSI体系划分, TCP/IP协议可分为数据链路层、网络层、传输层和应用层。TCP/IP的几个常用命令。

1 ping

当网络运行中出现故障时, 采用这个实用程序来预测故障和确定故障源是非常有效的。如果ping不成功, 则可以推断故障出现在以下几个方面:网线是否连通, 网络适配器配置是否正确, IP地址是否可用等;如果执行ping成功而网络仍无法使用, 那么问题很可能出在网络系统的软件配置方面, ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。它还提供了许多参数, 如-t使当前主机不断地向目的主机发送数据, -n可以自己确定向目的主机发送的数据帧数等等, 使用Ctrl+C可以中断ping命令。

2 trace rt

这个程序的功能是判定数据包到达目的主机所经过的路径、显示数据包经过的中继节点清单和到达时间。还可以使用参数-d决定是否解析主机名。

3 ne ts tat

这个命令可以看到当前网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息, 如协议类型、当前主机与远程主机的IP地址以及它们之间的连接状态等。常用的参数为:-e用以显示以太网的统计信息;-s显示所有协议的使用状态, 这些协议包括TCP、UDP和IP, 一般这两个参数都是结合在一起使用的-se。另外-p可以选择特定的协议并查看其具体使用信息, -n以数字形式显示地址和端口号, -a可以显示所有主机的端口号, -r则显示当前主机的详细路由信息。

4 ipconfig

TCP/IP协议的设计与实现使不同计算机之间、不同操作平台之间的通信成为可能。但是, TCP/IP协议是在网络规模不大、应用范围不广、计算机技术尚不够发达的情况下设计与实现的, 当时的一种普遍认识是:安全性同题是上层的问题与底层协议无关, 因此TCP/IP在安全性方面做得不够完善。随着网络规模、计算机技术的日益发展, TCP/IP存在的不可克服的脆弱性。越来越阻碍着TCP/IP的进一步广泛使用, 也难以满足未来网络发展的需求。由于TCP/IP协议族本身存在一些安全缺陷, 所以即使正确地实现了它, TCP/IP网络仍会受到攻击。像序列号欺骗、路由攻击、源地址欺骗和授权欺骗等。对于TCP/IP协议族的安全缺陷可得出三个结论:1) 依赖于IP源地址的认证是极其不安全的;2) 大量的入侵都源于序列号攻击;3) 大多数网络控制机制都是危险的, 而且基于以太网的数据包易被监听, 入侵者甚至可以更改IP或MAC地址, 致使攻击方式更加复杂。

在以太网中, 数据以“帧”为单位进行传输。任何主机发送的帧都会到达与其处于同一网段的所有主机的网络接口, 而每一个网络接口都有一个唯一的硬件地址, 即网卡的MAC地址。信息以数据包的形式传送, 其报头包含了目的主机的MAC地址, 如果其携带的MAC地址是自己的或者是广播地址, 那么就会将数据帧交给IP层, 否则丢掉。网络上也存在一些能接收所有数据包的接口, 攻击通过某些手段使网卡工作在监听模式下, 从而达到非法窃取他人信息的目的。

处理方法:1) 对网络中传输的数据进行加密, 使攻击方无法正确还原窃取的数据, 并且传输的数据是经过压缩的, 可以加快传输的速度。2) 安装检测软件, 做到防范于未然。3) 改用交换式的网络拓扑结构。因为在交换式以太网中, 数据只会被发往目的地址的网卡, 其他网卡接收不到数据包, 但是交换机的成本比较高。

参考文献

[1]Craig Zacker著, 王晓东等译.TCP/IP网络管理[M].中国水利水电出版社, 1998.

网络组建IP协议 篇3

关键词:自动化网络TCP/IP管理控制系统集成计算机集成制造

0 引言

TCP/IP(Transmission Control Protocol/Internet Protocol的简写),中文译名为传输控制协议/互联网络协议,TCP/IP是Internet最基本的协议,简单地说,就是由底层的IP协议和TCP协议组成的。虽然IP和TCP这两个协议的功能不尽相同,也可以分开单独使用,但它们是在同一时期作为一个协议来设计的,并且在功能上也是互补的。只有两者结合,才能保证Internet在复杂的环境下正常运行。凡是要连接到Internet的计算机,都必须同时安装和使用这两个协议,因此在实际中常把这两个协议统称作TCP/IP协议。然而,TCP/IP不是没有缺点的,当TCP/IP用于制造自动化环境的时候,安全易损性问题就显得格外突出。TCP/IP协议的可靠性受到多方面因素的影响(例如网络负载),这对于网络完整性来说是重要的潜在危险。

1 网络安全的结构层次

1.1 物理安全 自然灾害,物理损坏,设备故障,意外事故。解决方案是:防护措施,安全制度,数据备份等。电磁泄漏,信息泄漏,干扰他人,受他人干扰,乘机而入,痕迹泄露。解决方案是:辐射防护,屏幕口令,隐藏销毁等。操作失误,意外疏漏。解决方案是:状态检测,报警确认,应急恢复等。计算机系统机房环境的安全。特点是:可控性强,损失也大。解决方案:加强机房管理,运行管理,安全组织和人事管理。

1.2 安全控制 微机操作系统的安全控制。主要用于保护存贮在硬盘上的信息和数据。网络接口模块的安全控制,主要包括:身份认证,客户权限设置与判别,审计日志等。网络互联设备的安全控制。主要通过网管软件或路由器配置实现。

1.3 安全服务对等实体认证服务;访问控制服务;数据保密服务;数据完整性服务;数据源点认证服务;禁止否认服务。

1.4 安全机制 加密机制;数字签名机制;访问控制机制;数据完整性机制;认证机制;信息流填充机制;路由控制机制;公证机制。

2 制定安全策略

制造自动化网络的安全策略应该以用法研究的结果为基础。安全策略至少应该包括下列这些问题。

2.1 利用制造信息资源所涉及到的所有的基本原理。

2.2 安全策略应该形成两种态度中的一个,或是自由的或是保守的。

2.3 特许利用来自制造自动化网络本身以外的信息资源的类型和方法。

2.4 特许利用来自制造自动化网络内的信息资源的类型和方法。

2.5 特许使用来自制造自动化网络内的外部地址的类型和方法。

3 对TCP/IP自动化网络的威胁

对自动化网络安全和完整性的威胁一般可以归纳成下列几类。

3.1 对特许用户的服务的否定 对制造自动化网络的最大威胁是对适时服务的否定。在制造自动化环境中,服务被否定的危险明显存在着:数据连接被拒绝,控制传输被拒绝,以及由于操作人员界面的存在,妨碍了对制造过程的积极管理。

3.2 对非特许用户的服务的实现 基于TCP和UDP这两者之上的较高层应用协议对缺少证明机制是敏感的。应用协议如果不实现某种类型的证明机制,了解该协议的任何主机都能够提出服务请求,包括把数据写进过程控制设备的请求。这种情况可能发生在反映生产系统结构的开发系统的环境中。在这种环境中,非特许的东西就能够扦入控制信号和指定点,直接进入制造系统。结果,操作人员的安全和生产质量就面临严重的危险。

3.3 通信的改变或截断 通信截断可能在许多方面被执行。对截断对话感兴趣的破坏者可能会利用某一个方法设置中继。一个中继破坏可能发生在网络中任何地方,甚至是距离制造自动化网络很远的位置。中继机器能够实时调节通信量或记录用于日后分析的报文包。中继机器也能够改变被传输的通信内容。

截断通信的第三种方法包括使用一种被动包监控器。包取样器能够以中继破坏的方式向破坏者提供被记录的网络信息。

4 通过网络设计对抗威胁

4.1 通过简单的IP路由选择实现网络分段 分段就是把一些网络主机分隔成实现独立网络通讯的功能上的子群,然后通过使用简单的路由器把它们互联起来。确保在分段设计中使用的IP路由器的正确结构是非常重要的。

4.2 采用路由器访问控制实现分段 大多数IP路由器支持访问控制的概念,而且能够把它应用到独立的主机或整个子网。当访问控制被加到子网层,则路由器被连接,从IP地址的特定范围到另一段都允许通信。使用访问控制的路由器必须被精心连接。如果访问控制应用到整个网络,它就会减少通过远距离基于中继的破坏使分段之间对话被截断的危险。

4.3 包过滤 包过滤扩展了访问控制的概念。当路由器增加了过滤性能以后,准确地知道网络操作中所使用的协议类型和通道数目是重要的。它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。包过滤防火墙一般作用在网络层(IP层),故也称网络层防火墙(Network Lev Firewall)或IP过滤器(IP filters)。数据包过滤(Packet Filtering)是指在网络层对数据包进行分析、选择。通过检查数据流中每一个数据包的源IP地址、目的IP地址、源端口号、目的端口号、协议类型等因素或它们的组合来确定是否允许该数据包通过。在网络层提供较低级别的安全防护和控制。

4.4 防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

5 结束语

通过分析基于TCP/IP制造自动化网络中期待的通信,考虑机构的安全策略,就有可能设计出一个使数据恶化和被窃取的危险降至最低程度的网络拓扑结构。在制造工厂和外部世界之间设置防火墙,在工厂内部实现分段网络、访问控制网络就能够提供网络管理者,防御無意的或有敌意的破坏。

参考文献:

[1]曹成,周健,周红,王明福.网络安全与对策.合肥工业大学学报(自然科学版).2007年09期.

[2]秦迎春.TCP/IP协议的隐患及防范.计算机安全.2005年03期.

[3]姚婕,朱磊明.TCP/IP协议脆弱性分析.安徽电子信息职业技术学院学报.2004年21期.

网络组建IP协议 篇4

步骤1、开始——运行——regedit.exe，打开注册表编辑器，删除以下两个键：

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesWinsock2

步骤2、用记事本打开%winroot%infnettcpip.inf文件，找到：[MS_TCPIP.PrimaryInstall]Characteristics = 0xa0

步骤3、打开本地连接的TCP/IP属性---添加协议——从磁盘——浏览找到刚刚保存的%winroot%infnettcpip.inf文件，然后选择“TCP/IP协议”经过这一步之后，又返回网络连接的窗口，但这个时候，那个“卸载”按钮已经是可用的了，

怎样解决网络无法链接TCP/IP协议变灰色

，

点这个“卸载”按钮来把TCP/IP协议删除，然后重启一次机器。

步骤4、重启后再照着第3步，重新安装一次TCP/IP协议便可。

步骤5、再重启一次，这时应该可以了，可以根据需要，设置一下IP地址。

2、使用命令来设置

在这种情况下，如果需要重新安装 TCP/IP 以使 TCP/IP 堆栈恢复为原始状态。可以使用 NetShell 实用程序重置 TCP/IP 堆栈，使其恢复到初次安装操作系统时的状态。具体操作如下：

步骤1、单击 开始 -->运行，输入 “CMD” 后单击 “确定”;

步骤2、在命令行模式输入命令;Netsh Int Ip Reset C:resetlog.txt

笔试题IP协议 篇5

1.1关于IP协议那个正确

A IP是TCP上层协议B IP协议是应用层协议C由于两个属于同一层协议，他们之间可以直接通信DIP协议不提供可靠的通信

1.2 关于内存正确的是

A内存的存取速度不能低于cpu速度，否则会造成数据丢失

B程序只有在数据和代码等被调入内存后才能运行

C采用虚拟内存技术后程序可以在硬盘上直接运行

D某计算机的内存容量为16MB，那么他的地址总线为24位

1.3单链表中结点的结构为(data，link)，若想删除结点p(不是头节点或者尾结点)的`直接后继，则应执行下列哪个操作

A p=p->link ; p->link=p->link->linkB p->link->link=p->link;C p=p->link->link Dp->link=p->link->link

1.4已知x>=y and y>=z 为真，那么x>z or y=z 值为

A真B假C无法确定Dx y z同为正数时为真

1.5某请求被随即分配到四台机器进行处理，分配到每台机器的概率A15% B20% C 30% D 35%, 处理请求的失败概率分别为5% ，4%， 3% 2%，现在请求失败，问由C造成的概率最接近A26% B28% C 30% D 32%

1.6假设我们用d=(a1,a2,….a5)表示无向无环图G的5个顶点的度数，下面给出的哪组值是可能的

A{3,4,4,3,1}B{4,2,2,1,1}C{3,3,3,2,2}D{3,4,3,2,1}

1.7设栈S和队列Q的初始状态为空，元素e1，e2，e3，e4，e5，e6一次压入栈S,一个元素出栈后即进入队列Q，若出队列的顺序为e2,e4,e3,e6,e5,e1则栈S的容量要求最小值为

A2B3C4D5

1.8 在堆排序算法中我们用一个数组A来模拟二叉树T，如果该A[0]存放的是T的根节点，那么A[K](K>0)的父亲节点是

网络组建IP协议 篇6

今天,随着信息技术的突飞猛进,商业运转和学术研究中产生了越来越多的海量数据。为了解决海量数据存储过程中的带宽、容量和管理问题,存储区域网(SAN)应运而生[1]。现今SAN主要包括FC SAN和IP SAN两种。FCSAN的特点是高效、稳定。但是价格高昂,IPSAN基于成熟的IP网络,其管理和维护简单,并且成本低廉。

由于FCSAN和IPSAN使用了两种不同的通信协议,FCSAN中的启动器(Initiator)FC HBA卡是无法直接访问IPSAN中的磁盘阵列的。以太网卡的iSCSI启动(initiator)也无法直接访问FCSAN中的磁盘阵列。为了让这两种SAN网络可以相互访问存储资源,需要对这两种网络中使用的通信协议iSCSI和FCP协议进行做转换。

二、F大CSAN和IPSAN及其使用的协议栈

FCSAN使用光纤通道协议栈进行数据的通信,光纤通道协议栈共有5层、包括FC-0、FC-1、FC-2、FC-3和FC-4层。其中,FC-0层描述物理接口,它包括传送介质、发射机和接收机及其接口。FC-0层规定了各种介质和与之相关的能以各种速率运行的驱动器和接收机。FC-1层描述了8B/10B传送码,定义了数据包的传送。FC-3层提供的一系列服务,是光纤通路节点的多个N端口所公有的。由于必要性限制,故对这层尚未给出明确定义,但是它所提供的功能使用于整个体系结构未来的发展。FC-4层定义了不同的上层协议,例如IP,SCSI等映射到光纤通道的方式[2]。

IPSAN主要使用TCP/IP协议栈进行数据的通信,iSCSI是一项标准协议,它将SCSI命令和块状数据封装到TCP/IP包中来发送、接收。iSCSI作为SCSI的传输层协议,其基本出发点是最好利用现在的IP网络技术来实现和延伸SAN。它可以说是两个传统精华技术的结合和发展:其一,TCP/IP协议,TCP/IP在网络方面是最通用、最成熟的协议;其二,SCSI技术,是被磁盘、磁带等设备广泛采用的存储标准[3]。

三、i SCSI-FCP协议转换的总体实现

在本设计中使用一台装有Linux操作系统的服务器作为开发平台,一块Xilinx FPGA开发板,开发板上有一个SFP光模块。一个千兆位的以太网卡。FPGA开发和以太网卡都通过PCIE接口与服务器主机进行数据通信。设计的目标是在开发平台上完成一个协议转换模块。使一台装有iSCSI Initiator的主机可以顺利访问FC磁盘阵列。此处的Initiator启动器使用微软的iSCSI Initiator。FC磁盘阵列使用IBM公司的磁盘阵列。

FPGA开发板负责FC协议栈中的FC-0、FC-1层协议。协议转换模块完成FC-2、FC-4(FCP)层协议。协议转换模块通过驱动程序控制FPGA开发板对FC数据帧接收和发送。

协议转换模块包含三个实体:虚拟iSCSI Target实体、协议转换处理实体和虚拟FC Initiator实体。

虚拟iSCSI Target实体使用iSCSI协议与iSCSI Initiator进行数据的交互。iSCSI数据的接收和发送使用以太网卡完成。虚拟FC Initiator实体使用FC协议与FC磁盘阵列进行数据的交互。FC数据的接收和发送使用FPGA完成。

协议转换模块具体的工作原理是将虚拟iSCSI Target实体收到的iSCSI数据帧通过协议转换处理实体转换为一个FC数据帧。并由虚拟FC Initiator实体发送给FC磁盘阵列。将虚拟FC Initiator实体接收到的FC数据帧通过协议转换处理实体转换为iSCSI数据帧,并由虚拟iSCSI Target实体发送给装有iSCSI Initiator的主机。

3.1虚拟iSCSI Target实体设计与实现

虚拟iSCSI Target实体工作在IP网络,使用TCP作为传输层传输iSCSI数据帧,对iSCSI Initiator的每一个iSCSI请求进行响应。

iSCSI协议规定数据交互时候分为三个阶段、安全参数协商阶段、操作参数协商阶段和全功能阶段[4]。只有在全功能阶段,iSCSI启动器才可以发送包含SCSI请求或者数据的iSCSI帧。虚拟iSCSI Target实体在安全参数协商阶段和操作参数协商阶段时候对iSCSI Initiator的所有的iSCSI请求直接进行应答。在全功能状态,所有的iSCSI请求或者数据将交予协议转换处理实体。

虚拟iSCSI Target实体需要直接进行应答的iSCSI帧种类包括:iSCSI Login Request、iSCSI Text Request、iSCSI Nop Out和iSCSI Logout Request。相应的回复为iSCSI Login Response、iSCSI Text Response、iSCSI Nop In和iSCSI Logout Response。

虚拟iSCSI Target实体在接收到包含SCSI数据的iSCSI帧时,由于所有的iSCSI请求或者数据都是针对SCSI设备的,因此作为虚拟的iSCSI Target实体是无法直接进行应答。而需要将收到的iSCSI请求交给协议转换实体来处理,并转换为一个FC请求或者数据,并由FC Initiator发送给FC磁盘阵列来处理。

无法直接应答需要交给协议转换处理实体的数据帧帧类型包括:iSCSI Command和iSCSI DataOut。

3.2虚拟FC Initiator实体的设计与实现

虚拟FC Initiator实体工作在光纤通道网络,使用光纤通道协议传输FC数据帧,对FC磁盘阵列发送的FC数据或者回复帧进行响应。

虚拟FC Initiator实体在与FC磁盘阵列进行数据交互时,首先要进行N端口的登录,发送的FC数据帧包括PLOIG和PRLI[5]。之后虚拟FC Initiator实体所有发送的数据帧都来自于协议转换处理实体。这些包括FC Response、FC DataIn和FC XFER_RDY。

虚拟FC Initiator在接收到FC磁盘阵列发送的FC数据或者回复帧后,全部交予协议转换实体来处理,并最终组装为一个iSCSI数据帧,由虚拟iSCSI Initiator实体发送给iSCSI Initiator。

3.3 ISCSI-FCP协议转换处理实体的实现

虚拟iSCSI Target实体和虚拟FC Initiator实体在接收到需要进行协议转换的数据帧时,将数据帧交给协议转换处理实体来完成数据帧的转换。并由另一虚拟实体发送转换后数据帧。

需要转换的iSCSI帧转换包括:iSCSI Command转换为FC Command。iSCSI DataOut转换为FC DATA。

需要转换的FC帧转换包括:FC Response转换为iSCSI Response。FC DATA转换为iSCSI DATA IN。FC XFER_RDY转换为iSCSI RDY2TRANSFER。

在FCSAN中允许发送的最大的FC帧长为2112个字节[6],因此一个FC DATA帧的Payload最大为2048字节。iSCSI使用TCP作为传输层,因此允许发送的iSCSI的最大帧长远远大于FC的帧长。在实际的转换过程中一个iSCSI DATA并不能直接对应一个FC DATA帧,本次设计中实现的具体方法是将i SCSI DATA的Payload拆分为多个FC数据帧。

具体的实现以一个Payload为512K字节的iSCSI DATA OUT数据帧为例。将iSCSI数据帧的Payload按照2048字节拆分为256个FC数据帧。这些FC数据帧在FC的帧头中SEQ_ID字段保持一致,使FC磁盘阵列将其作为一个数据帧进行处理,并且将SEQ_COUNT字段依次加一。这样FC磁盘阵列在收到这256个FC数据帧之后,会将其作为一个完整的FC数据帧来看待。

3.4 ISCSI-FCP协议转换模块交换流程

本设计在运行过程中需要首先进行虚拟FC Initiator实体的N端口登录,之后FC Initiator虚拟实体处于阻塞状态。虚拟iSCSI Target实体开始工作,监听TCP的3260端口等待iSCSI Initiator的连接。详细的流程交互图如图2所示:

四、结束语

在ISCSI-FC协议转换模块代码部分完成后,我们将其按照图1所示的方式进行连接。并在安装了iSCSI Initaitor的主机端进行操作,装有iSCSI Initaitor的主机成功的发现了IBM磁盘阵列上的逻辑卷。随后我们对该逻辑卷进行了格式化、文件读取、文件写入操作。所有的操作都可以正常的完成。随后我们使用安捷伦的光纤通道测试仪在光纤通道端抓取了FC数据帧,并使用Wireshark以太网抓包软件在以太网端抓取了iSCSI帧,所有的帧序列都与设计的相符合。

I S C S I-F C P协议转换的可以成功的使IPSAN中的主机访问FCSAN中的存储设备,在随后的研究中可以对FCSAN中的主机访问IPSAN中的存储设备进行研究。

参考文献

[1]Tom Clark.存储区域网络设计——实现光纤通道和IP SAN的实用指南[M].电子工业出版社,2005.

[2]Alan F.Benner.存储区域网络光纤通路技术.人民邮电出版社,2003,23-56

[3]ANSI INCITS402.SCSI Architecture Model-3(SAM-3).2005.220-234

[4]RFC3720.Satran J,Meth K,Sapuntzakis C,et al.internet Small Computer Systems Interface(iSCSI)[S].2004.121-150

[5]ANSI INCITS350.Fibre Channel Protocol-2(FCP-2).2003.78-97

TCP/IP协议的安全性分析 篇7

摘要：TCP／IP协议是目前使用最为广泛的网络互联协议。在详细叙述TCP／IP基本工作原理的基础上，深入分析了各层协议的安全性，指出了存在的安全漏洞及攻击方式，并给出了针对安全性问题的防范措施。为网络安全的研究提供了参考。

关键词=TCP／IP协议；网络安全；防范

1引言

随着信息技术的迅猛发展，计算机网络技术已经广泛地应用到名个领域。Internet，Intranet是基于TCP／IP协议簇的计算机网络。TCP／IP协议簇在设计初期只是用于科学研究领域，因而没有考虑安全性问题。但随着Internet应用迅猛发展和应用的普及，它不仅用于安全性要求很高的军事领域，也应用于商业及金融等领域，因而对其安全性的要求也越来越高。对TCP／IP协议及其安全性进行分析和研究就显得尤为重要。

2TCP／IP的工作原理

TCP／JP协议是一组包括TCP协议和P协议、UDP协议、ICMF协议和其他协议的协议组。TCP／IP协议共分为4层，即应用层、传输层、网络层和数据链路层。其中应用层向用户提供访问internet的一些高层协议，使用最为广泛的有TELNET、FTP、SMTP、DNS等。传输层提供应用程序端到端的通信服务。网络层负责相邻主机之间的通信。数据链路层是TCP／IP协议组的最低一层，主要负责数据帧的发送和接收。其工作原理是：源主机应用层将一串应用数据流传送给传输层，传输层将其截成分组，并加上TCP报头形成TCP段送交网络层，网络层给TCP段加上包括源主机和目的主机IP地址的IP报头，生成一个IP数据包，并送交数据链路层；数据链路层在其MAC帧的数据部分装上IP数据包，再加上源主机和目的主机的MAC地址和帧头，并根据其目的MAC地址，将MAC帧发往目的主机或IP路由器。目的主机的数据链路层将MAC帧的帧头去掉，将IP数据包送交网络层：网络层检查IP报头，如果报头中校验和与计算结果不一致，则丢弃该IP数据包。如果一致则去掉IP报头，将TCP段送交传输层；传输层检查顺序号，判断是否是正确的TCP分组，然后检查TCP报头数据，若正确，则向源主机发确认信息，若不正确则丢包，向源主机要求重发信息，传输层去掉TCP报头，将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的字节流，就像是直接来自源主机一样。

3TCP／IP各层的安全性分析

3.1数据链路层

数据链路层是TCP／IP协议的最底层。它主要实现对上层数据(IP或ARP)进行物理帧的封装与拆封以及硬件寻址、管理等功能。在以太网中，由于信道是共享的，数据以“帧”为单位在网络上传输，因此，任何主机发送的每一个以太帧都会到达与其处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时，根据CSMA／CD协议，正常状态下，网络接口对读入数据进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP层软件。当数据帧不属于自己时，就把它忽略掉。然而，目前网络上存在一些被称为嗅探器(sniffer)的软件，如NeXRay、Sniffit、IPMan等。攻击方稍作设置或修改，使网卡工作在监听模式下，则可达到非法窃取他人信息(如用户账户、口令等)的目的。防范对策：(1)装检测软件，查看是否有Sniffer在网络中运行，做到防范于未然。(2)对数据进行加密传输，使对方无法正确还原窃取的数据，并且对传输的数据进行压缩，以提高传输速度。(3)改用交换式的网络拓扑结构，使数据只发往目的地址的网卡，其他网卡接收不到数据包。这种方法的缺点是交换机成本太高。

3.2网络层

3.2.1IP欺骗

在TCP／IP协议中，IP地址是用来作为网络节点的惟一标志。IP协议根据IP头中的目的地址来发送IP数据包。在IP路由IP包时，对IP头中提供的源地址不做任何检查，并且认为IP头中的源地址即为发送该包的机器的IP地址。这样，攻击者可以直接修改节点的IP地址，冒充某个可信节点的IP地址攻击或者编程(如RawSocket)，实现对IP地址的伪装，即所谓IP欺骗。攻击者可以采用IP欺骗的方法来绕过网络防火墙。另外对一些以IP地址作为安全权限分配依据的网络应用，攻击者很容易使用IP欺骗的方法获得特权，从而给被攻击者造成严重的损失。防范对策：(1)抛弃基于地址的信任策略。(2)采用加密技术，在通信时要求加密传输和验证。(3)进行包过滤。如果网络是通过路由器接入Internet的，那么可以利用路由器来进行包过滤。确认只有内部IAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。

3.2.2ICMP漏洞

ICMP运行于网络层，它被用来传送IP的控制信息，如网络通不通、主机是否可达、路由是否可用等网络本身的消息。常用的Ping命令就是使用ICMP协议，Ping程序是通过发送一个ICMP Echo请求消息和接收一个响应的ICMP回应来测试主机的连通性。几乎所有的基于TCP/IP的机器都会对ICMP Echo请求进行响应。所以如果一个敌意主机同时运行很多个Ping命令，向一个服务器发送超过其处理能力的ICMP Echo请求时，就可以淹没该服务器使其拒绝其它服务。即向主机发起“Ping of Death”(死亡之Ping)攻击。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟：(1)可给操作系统打上补丁(patch)。(2)在主机上设置ICMP数据包的处理规则，最好是设定拒绝所有的ICMP数据包。(3)利用防火墙来阻止Ping。但同时会阻挡一些合法应用。可只阻止被分段的Ping。使得在大多数系统上只允许一般合法的64Byte的Ping通过，这样就能挡住那些长度大于MTU(Maximum TransmiSsIon Unit)的ICMP数据包，从而防止此类攻击。

3.3传输层

TCP是基于连接的。为了在主机A和B之间传递TCP数据，必须通三次握手机制建立连接。其连接过程如下：A→B：A向B发SYN，初始序列号为ISNI；B→A：B向A发SYN，初始序列号为ISN2，同时对ISNI确认；A→B：A向B发对ISN2的确认。建立连接以后，主要采用滑动窗口机制来验证对方发送的数据，如果对方发送的数据不在自己的接收窗口内，则丢弃此数据，这种发送序号不在对方接收窗口的状态称为非同步状态。由于TCP协议并不对数据包进行加密和认证，确认数据包的主要根据就是判断序列号是否正确。这样一来，当通信双方进入非同步状态后，攻击者可以伪造发送序号在有效接收窗口内的报文，也可以截获报文，篡改内容后，再修改发送序号，而接收方会认为数据是有效数据，即进行TCP会话劫持。目前存在一些软件可以进行TCP会话劫持，如Hunt等。防范对策：(1)在传输层对数据进行加密。(2)使用安全协议，对通信和会话加密，如使用SSI代替telnet和ftp。(3)运用某些入侵检测软件(IDS)或者审计工具，来查看和分析自己的系统是否受到了攻击。

3.4应用层

在应用层常见的攻击手段是DNS欺骗。攻击者伪造机器名称和网络的信息，当主机需要将一个域名转化为IP地址时，它会向某DNS服务器发送一个查询请求。同样，在将IP地址转化为域名时，可发送一个反查询请求。如果服务器在进行DNS查询时人为地给出攻击者自己的应答信息，就产生了DNS欺骗。由于网络上的主机都信任DNS服务器，一个被破坏的DNS服务器就可以将客户引导到非法的服务器，从而就可以使某个地址产生欺骗。防范对策：(1)直接用IP访问重要的服务，从而避开DNS欺骗攻击。(2)加密所有对外的数据流。在服务器端，尽量使用SSH等有加密支持的协议；在客户端，应用PGP等软件加密发到网络上的数据。

4结束语

网络组建IP协议 篇8

一、TCP/IP协议集把整个网络分成四层，包括网络接口层、网际层、传输层和应用层。

1、网络接口层，网络接口和各种通信子网接口，屏蔽不同的物理网络细节。

(1)ARP协议：地址解析协议，实现IP地址向物理地址的映射。

(2)RARP协议：反向地址解析协议，实现物理地址向IP地址的映射。

(3)SLIP协议：串行线路网际协议，提供在串行通信线路上封装IP分组的简单方法。

只支持固定IP地址。

(4)PPP协议：点对点协议，利用电话线拨号上网的方式之一。

2、网际层

(1)IP协议：网际协议提供节点之间的分组投递服务。

(2)ICMP协议：网际报文控制协议传输差错控制信息，以及主机/路由器之间的控制信息。

(3)IGMP协议：网际组管理协议：使物理网络上的所有系统知道主机当前所在的多播组，

(4)多址广播：也称作多点传送，是一种一对多的传输方式，传输发起者通过一次传输就将信息传送到一组接收者，与单播传送和广播相对应。

(5)路由选择协议：实现路由选择，IP分组可实现直接或间接交付。

3、传输层，为两台主机上的应用程序提供端到端的通信。

(1)TCP协议：传输控制协议提供用户间的可靠数据流服务。

(2)UDP协议：用户数据报协议提供用户之间的不可靠且无连接的数据报投递服务。

4、应用层，负责处理特定的应用程序;包含较多的协议。

(1)Telnet协议：远程登录服务;提供类似仿真终端的功能，支持用户通过终端共享其它主机的资源。

(2)HTTP协议：超文本传输协议提供万维网浏览服务。

(3)FTP协议：文件传输协议提供应用级的文件传输服务。

(4)SMTP协议：简单邮件传输协议提供简单的电子邮件交换服务，能够在传送中接力传送邮件，即邮件可以通过不同网络上的主机接力式传送。

(5)POP3协议：它规定怎样将个人电脑连接到Internet的邮件服务器和下载电子邮件的电子协议，是因特网电子邮件的第一个离线协议标准，POP3允许用户从服务器上把邮件存储到本地主机上，同时删除保存在邮件服务器上的邮件。

(6)DNS协议：域名系统负责域名和IP地址的映射。

如何组建无线网络 篇9

 

如何组建无线网络

 

。

 

1.设备选择

设备包含品牌、价格、性能、定位的诸多因素，在这里我们像大家简单介绍一下。目前主要的无线路由器品牌有网件、贝尔金、D-Link、TP-Link、布法罗、H3C等品牌，高端的还有思科等。价格也由几百元到上千元不等，建议企业级用户选择各品牌针对企业用户推出的产品。对于产品性能方面，基于802.11g的无线路由器产品是目前不错的选择，因为基于802.11n的产品尚未成熟，从以前的测试清况来看每款产品的兼容性也不同，另外客户端的网卡也不能保证统一，况且基于802.11n的无线路由器及网卡价格都很贵。选择设备不一定只看品牌，只要适合自己企业应用需求的就好。

2.控制成本

对于一个企业来说如何控制投资成本，以及得到良好的投资回报率是每位老板比较看重的。在设备选择时应提前根据自己的实际环境选择产品种类及数量。如：一个办公区域比较分散，障碍物较多的办公室环境，我们应该选择一个信号穿透能力较强的路由器。 (学电脑)

3.后期维护

在选择好产品之后，用户还需考虑的产品的售后服务等因素，如出现故障后上面服务、固件及时升级等，甚至要考虑受到攻击后整个网络的可恢复性及恢复时间。

三种网络环境的无线局域网方案推荐

在简单介绍完无线产品的技术和指标后，下面我们将介绍三种无线在实际环境中的一些应用。根据不同的应用场合，无线产品通常会有这么几种工作状态：

1.AP无线接入点(信号覆盖模式)和 AP Client (无线客户端模式)

2.WDS无线分布式系统(桥接模式)和 AP+WDS混合模式(既做桥接，又做覆盖)

3.802.1x认证 和 客户端无缝漫游

AP无线接入点和AP Client

这种方案是针对受到空间范围限制的用户，适合小型网络类型：家庭、30左右的企业办公。这样可在有限的范围实现多用户高速上网。

WDS无线分布式系统和AP+WDS混合模式

这种方案是针对房间结构比较复杂，多层或多房间的用户，适合中型网络类型：校园网络、企业网，使用这种结构可以保证在传输速度、稳定性和覆盖范围上达到最佳平衡。

802.1x认证和客户端无缝漫游

这种方案适用的空间范围较广推荐大型企业、机场、酒吧、宾馆等公共场所使用。这样可以实现高密度、高速的无线接入、移动上网(漫游)、802.1x认证和计费。

总结：

我们建议用户在使用前请设备厂商做好设计方案及预算，也不妨多参考几家成功的案例，届时相信会对您企业的无线网络方案建设有所帮助。

近来年，越来越多的产品加入到无线这个庞大的家族中，笔记本、手机、相机、投影机等设备成为人们日常必不可少的办公及通讯设备之一。我们时常在咖啡厅门口看到一些正在使用笔记本无线上网的SOHO一族，使用PDA下载邮件的商务用户。也正是凭借可移动性强的特点，使许多人更加依赖无线上网。除此之外，使用无线网络也正在成为一些中、小型企业使用的一种信息交流方式之一。然而，架设一套办公室无线设备并不是像我们想象中那样，买一些设备组装起来那样简单，这里面包含了很多在组建办公室局域网之前的很多因素，其中主要有：办公室无线信号的覆盖范围、组建无线网络的安全性、无线设备的兼容性等等问题。今天我们将针对办公室如何实现无线网络环境的话题与大家进行交流。

无线信号的覆盖范围

刚才我们谈到了使用无线网络的优点，下面我们还要谈到它的一些不足，首先无线网络的信号覆盖范围就是我们要考虑的因素之一。说到信号覆盖范围，首先我们要看它的传输协议，常见的无线网络协议有：IEEE 802.11，IEEE 802.11a、IEEE 802.11b、IEEE 802.11g以及草案标准的802.11n。虽然IEEE 802.11802.11a等已经被新标准所淘汰，但不可否认电气和电子工程师协会在提出的第一个无线局域网标准，IEEE 802.11无线网络技术发展的一个里程碑。

标准工作频率 传输速度备注

802.11a 5Ghz54Mbps 非主流技术 速度快 兼容性差 价格高

802.11b 2.4Ghz11Mbps次主流技术 速度慢 兼容性好 价格低

802.11g 2.4Ghz/5Ghz54Mbps主流技术 速度快 兼容性好 价格低

802.11n(草案)2.4Ghz/5.8Ghz300Mbps未来技术 速度快 兼容性差 价格高

误区一 信号越强越好

首先我们还是先来了解一下无线产品的几个硬件指标：发射功率、接受灵敏度及天线增益，目前无线网络的主要略势是在信号覆盖范围及传输速率上，通常增强信号的方法就是提高发射功率及加强天线增益。

发射功率：无线设备采用发射功率来衡量发射信号性能高低，发射功率越大，无线产品之间传输的距离也就越远，覆盖范围就越广，穿透能力就越强。发射功率的度量单位为dbm。这个和我们生活中好使用的灯泡的道理大致是一样的，瓦数越大，灯泡越亮，照射的范围则更广。

增益：增益是指天线加强信号的发射和接受的能力，增益越大，信号发射的能力越强，灵敏度越高。增益的度量单位为dbi，天线的尺寸大小、内部的材料对天线增益有着很大的关系。

为什么说信号越强越好是个误区呢?原因在于因为信号过强，所以它的范围也就越大，则可控区域反而减小，对用户的安全性反而降低。如：某个单位的死角，办公区域的使用面积在300平米以上，用户虽然可以接收到信号，但是他的安全性并不是最好的。

误区二 标准越高越好

在无线产品中基于802.11n草案标准的产品是目前技术最先进，信号覆盖较远的产品。正是因为这样很多企业在采购设备的时候往往过于追求硬件指标而，而忽视产品的易用性及价格。根据目前部分在市场中销售的11n产品售价来看，大部分路由器产品的价格在1700-1900元之间，而基于11n的无线网卡也是在800-900元之间，售价都不菲。这样的价格是一个怎样的概念呢?目前市场中销售的基于802.11g的无线路由器的价格在200左右，11g的无线网卡在150元左右，比较起来11n产品是11g产品售价的7-8倍。虽然11N产品的技术领先，但因为价格及技术不成熟等因素我们并不推荐中小型企业使用，相比较11g的产品更适合中小型企业使用。

组建无线网络的安全性

未经授权访问的用户

我们知道无线信号都是在空气中传播的，只要是在信号覆盖范围内，一些非法用户就可以无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。

解决办法是使用身份验证来防止未经授权用户的访问，换句话说就是使用各种加密手段来防止非法用户入侵。绑定MAC地址是我们最常见最简单的方法，每块无线网卡都拥有唯一的一个MAC地址，通过AP设置与网卡MAC地址的绑定来实现加密，但这种安全方式也就适用于对信息要求不高的家庭用户，对于企业用户，我们建议使用WEP和WPA两种常见到的加密方式。

非法AP的接入访问

除了未经授权访问的用户会对无线局域网络的安全性造成威胁之外，非法AP的接入访问同样会对整个网络造成威胁。在无线AP接入有线集线器时，会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源。

解决方法可以利用对AP的合法性验证以及定期的站点审查来防止，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。

病毒及 的攻击

除以上两点之外，病毒及 的攻击也是会对无线局域网络构成威胁，很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。 可以通过简单配置就可快速地接入网络主干，使网络暴露在攻击者面前，因此必须加强防范措施。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。

常见的解决方法是加装防火墙、将客户端安装升级和杀毒软件等，另外还要将公司的无线网络与核心网络隔离。

服务和性能的限制

我们知道目前无线局域网的传输带宽是有限的，与有线网络相比还远远不够，在实际使用过程中由于物理层的开销，实际吞吐量也仅为标准的一半，并且实际吞吐量是被所有用户所共享的。假如 从以太网发送大量ping，AP的带宽会大量饱和，如果发送广播流量，多个AP就同时会被阻塞，攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输;另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。

网络组建IP协议 篇10

【关键字】BICC SIGTRAN 偶联 CMN

引言

传统的移动网交换局间使用的是TDM传输语音和信令，由于使用PCM语音编码（G.711）技术，每次通话时都要在局间建立一个独享的64kbps双向通道，即使一方没有说话也要占用通道。虽然语音质量高，但效率低、带宽浪费严重。核心网cs域IP化后，承载层由TDM改变成IP，WCDMA采用的压缩语音编码AMR2就可以在核心网中透明传送，AMR2提供8种编码速率，编码从4.75kbps到12.2kbps，这样就大大节省了带宽资源。

移动通信网络IP化后，结构更简化，组网更灵活。交换局之间不用建立网状中继来互通，只需要星形连接到IP承载网。

从另一方面，运营商不希望在投入太多到旧的TDM网络中，因为很显然，将来几年，分组网络将变成电信的主要收入。

早在1998年，美国团体提议分离PSTN/ISDN的呼叫控制和承载控制，对ISUP协议进行修改，编写一种新的呼叫控制协议。这个修改的协议，就是BICC协议。它提供了全套的PSTN/ISDN业务。各种不同的分组网络都可以作为承载网络。举例来说：ATM交换网络和IP网络。

BICC的发展是具有历史意义的。它使得运营商将他们的PSTN/ISDN网络搬移到高容量的分组网络中来。BICC变成了多业务平台发展的重要一步，使得IP可以提供语音和数据业务。

一、BICC协议介绍

BICC（Bearer Independent Call Control——与承载无关的呼叫控制）协议属于应用层控制协议，可用于建立，修改，终结呼叫，可以承载全方位的PLMN/PSTN/ISDN业务。

二、BICC协议栈

如图1，Nc是UMTS R4阶段的新增接口，该接口是MSC Server（或GMSC Server）间的标准信令接口，协议栈BICC/M3UMSCTP/IP。

Nb接口作为MGW设备之间传输语音的承载接口，协议栈为AMR2/Nb UP/RTP/UDP/IP。协议栈最底层为IP，均可以在IP网络上传输。

BICC协议是承载在SCTP和M3UA上，两者合称Sigtran协议族，下面做介绍。

三、SIGTRAN原理简介及联通数据配置方案

SIGTRAN本身不是一个协议而是一个协议簇，它包含两层协议：传输协议SCTP和适配协议如M3UA，它的作用是支持通过IP网络传输传统电路交换网信令。

由于IP网络的不可靠性，需要在上层进行可靠性设计。SCTP是对TCP的改善，是传输层协议。支持偶联中建立多个流，偶联支持多归属，提高了可靠性。COOKIE的认证，保证了偶联的安全性。

如图2：SCTP传输地址就是一个IP地址加一个SCTP端口号，如10.11.23.14：3180。由一个或多个具有相同SCTP端口号的传输地址组成端点，端点只存在一台主机上，如端点A，由10.11.23.14和10.11.23.15两个IP地址和共同的3180端口号组成。而偶联就是在端点A和端点B之间逻辑通道。

其中Path0，Path1构成偶联的2条通路。在贝尔MSC server中，每个sim卡为一台主机，主机有2个网口，分别设置一个IP地址（称为AB平面），这两个IP地址和端口号2905构成一个端点（ENDPOINT）。不同SERVER两个端点之间通路组成偶联（PSP），贝尔只支持PATH0，PATH1两通路，而华为支持四通路。

M3UA是MTP3或者MPT-3b用户适配协议。SIGTRAN协议族保证了两个信令点之间IP网上可靠的传输上层BICC信令。

四、Bicc工作原理简介及联通采用方案

本文将先从BICC协议流程开始介绍，以此为基础来理解BICC的特性。

如图3，相信读者一定有似曾相识的感觉。是的，BICC就是ISUP的升级版，大多数消息和ISUP类似。所不同有两点，一是BICC多了APM消息，这是用来传输承载消息，主要包括承载地址及Codec列表；二是BICC里面的CIC不再是ISUP里面的中继电路号，而是呼叫实例代码，也就是呼叫的识别号。BICC的CIC扩充为用32个比特表示，使得局间呼叫实例的数目理论上可达4，294，967，296条，而ISUP是12个比特表示，只能有4096条电路。

BICC里面有几个概念。前向指承载建立方向与呼叫方向一致，即由主叫局先建立承载；后向则相反。快速指在第一个消息IAM就建立承载，延时指在之后的APM中建承载。隧道概念，在NB口MGW之间承载控制协议为IPBCP，为了在承载面中不再传送信令，把承载控制协议通过BICC协议的APM机制进行隧道传送，这样所用的信令都在NC口传送，NB口只是媒体承载。

如上图所示，就是前向延迟隧道方式，也就是联通采用的方式。在IAM中有Codec列表，即主叫局支持的编解码列表，如G.711，AMR2等，在第二个消息APM中，把被叫局支持并选定的Codec发回。经过Codec协商，主被叫局就会采用一致的编解码方式在MGW承载面中传输媒体。如果采用从主叫手机到被叫手机整个通路都支持的编解码，就可以免去不同编解码转换的资源和时间，这就是Trfo的概念。联通统一采用AMR2的12.2k方式。

在第三个消息APM里面，有主叫的承载信息，即主叫MGW的IP地址和端口号，第四个消息APM里面，发回了被叫的承载信息。剩下的消息就和ISUP类似了。

五、bicc的节点模型

BICC节点模型分为SN节点和CMN节点。

CMN节点：呼叫协调节点。各省长途局为CMN功能实体，只有CSF功能，不包括BCF功能，即没有TMG实体。

服务节点（SN=Serving Node）：功能实体，是ISN/GSN/TSN/CMN。在此服务节点模型中包含CSF和BCF功能。每个本地网的server和mgw构成sN。

如图4，在省际呼叫中，各省的CMN负责转接BICC信令，语音媒体流则在两个本地网MGW之间端到端传输，实现了承载平面的扁平化。

六、结论及展望

BICC协议的应用推进了联通移动核心网的IP化，这使得核心网更加简化与优化、组网灵活、传输带宽得到最佳利用。因为在BICC呼叫流程中多了3个APM消息，可能会使呼叫时延增大；另外语音经IP网的传输其话音质量可能降低。虽然经过实际测试，人为感知没有变化。不过这些是需要数据指标考量的。目前新增了一些IP网QoS指标，如丢包率、时延、抖动。

TCP/IP协议的安全问题初探 篇11

TCP负责发现传输的问题, 一有问题就发出信号, 要求重新传输, 直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台电脑规定一个地址。TCP/IP协议数据流采用明文传输。TCP/IP协议组本身存在很多安全性方面的漏洞。这些弱点正导致了攻击者的拒绝服务 (DOS) 、Connection Hijacking以及其它一系列攻击行为。

TCP/IP主要存在以下几个方面的安全问题:

(1) 源地址欺骗 (Source address spoofing) 或IP欺骗 (IP spoofing) 。

(2) 源路由选择欺骗 (Source Routing spoofing) 。

(3) 路由选择信息协议攻击 (RIP Attacks) 。

(4) 鉴别攻击 (Authentication Attacks) 。

(5) TCP序列号欺骗 (TCP Sequence number spoofing) 。

(6) TCP序列号轰炸攻击 (TCP SYN Flooding Attack) , 简称SYN攻击。

(7) 易欺骗性 (Ease of spoofing) 等等。

2 对TCP/IP所受的攻击类型

2.1 TCP SYN attacks或SYN Flooding

TCP利用序列号以确保数据以正确顺序对应特定的用户。在三向握手 (Three-Way Handshake) 方式的连接打开阶段, 序列号就已经建立好。TCP SYN攻击者利用大多数主机执行三次握手中存在的漏洞展开攻击行为。当主机B接收到来自A的SYN请求, 那么它必须以“Listen Queue”跟踪那部分打开的连接, 时间至少维持75秒钟, 并且一台主机可以只跟踪有限数量的连接。一台非法主机通过向其它主机发送SYN请求, 但不答复SYN&ACK, 从而形成一个小型的Listen Queue, 而另一台主机则发送返回。这样, 另一台主机的Listen Queue迅速被排满, 并且它将停止接收新连接, 直到队列中打开的连接全部完成或超出时间。至少在75秒内将主机撤离网络的行为即属于拒绝服务 (Denialof-Service) 攻击, 而在其它攻击中也常发生这样的行为, 如伪IP。

IP Spoofing——伪IP技术是指一种获取对计算机未经许可的访问的技术, 即攻击者通过伪IP地址向计算机发送信息, 并显示该信息来自于真实主机。IP层假设它所接收到的任何IP数据包上的源地址都与实际发送数据包的系统IP地址 (没有经过认证) 相同。很多高层协议和应用程序也会作这样的假设, 所以似乎每个伪造IP数据包源地址的人都可以获得非认证特免。伪IP技术包含多种数据类型, 如Blind和Non-Blind Spoofing、Man-in-theMiddle-Attack (Connection Hijacking) 等。

2.2 Routing Attacks

该攻击利用路由选择信息协议 (RIP:TCP/IP网络中的基本组成) 。RIP主要用来为网络分配路由选择信息 (如最短路径) 并将线路传播出局域网络。与TCP/IP一样, RIP没有建立认证机制, 所以在无需校验的情况下就可以使用RIP数据包中的信息。RIP攻击会改变数据发送目的地, 而不能改变数据源位置。例如, 攻击者可以伪造一个RIP数据包, 并声称他的主机“X”具有最快网外路径。所有从网络中发送出去的数据包可以通过“X”发送, 并且进行修改或检查。攻击者还可以通过RIP高效模仿任何主机, 并导致所有将要发送到那台主机上的通信流量全部发送到了攻击者机器上。

2.3 ICMP Attacks

IP层通常使用Internet控制信息协议 (ICMP:Internet Control Message Protocol) 向主机发送单行道信息, 如“ping”信息。ICMP中不提供认证, 这使得攻击者有机会利用ICMP漏洞攻击通信网络, 从而导致拒绝服务 (Denial of Service) 或数据包被截取等攻击。拒绝服务基本上利用ICMP Time Exceeded或Destination Unreachable信息, 使得主机立即放弃连接。攻击者可以伪造其中一个ICMP信息, 然后将它发送给通信主机双方或其中一方, 以取消通信双方之间的连接。

2.4 ARP欺骗

在局域网中, 是通过ARP协议来完成IP地址转换为第二层物理地址 (即MAC地址) 的。ARP协议对网络安全具有极其重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞。

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写。在局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。在以太网中, 一个主机要和另一个主机进行直接通信, 必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。

3 总结