網絡安全之TCP/IP協議

陳昱琦

摘?要：隨著計算機網絡的快速發展，21世紀已經進入了信息化時代。但隨之網絡安全問題也越來越突出，攻擊者的破壞手段伴隨著網絡技術的發展更加高端，TCP/IP協議是計算機計算和網絡技術中最基本的協議。因此，研究TCP/IP協議，有效的解決協議威脅的問題，對計算機網絡技術的發展非常重要。通過對TCP/IP協議進行概述，并分析當前TCP/IP協議存在的安全隱患和安全問題。比較分析后得出IPv6在安全性能上更由于上一代的IPv4，極大地提高了網絡的安全性。

關鍵詞：計算機網絡;網絡安全;TCP/IP協議

TCP/IP協議作為計算機系統之間通信的技術規范，是當下網絡技術所運用的主流協議。本文將詳細介紹計算機網絡以及TCP/IP協議族，使這些生活中常見的應用技術被更多了解，詳見第一章、第二章。TCP/IP協議的便利性使得在設計初期可以很好地被開發以及使用，但隨著更加頻繁的網絡通信，各種網絡協議所存在的安全漏洞也隨之暴露。本文將簡介TCP/IP協議族的基本原理與發展歷史，并分析該協議族當前面臨的安全問題，詳見第三章、第四章。

1?計算機網絡概述

計算機網絡是指，由交換機、路由器等二三層網絡設備通過物理線路相連所構建而成的基礎網絡設施，并向服務器、個人電腦等終端提供連接服務，使之通過網絡設施實現相互通信。計算機網絡的層次性是指，將網絡的功能劃分成若干個層次，每個層次負責獨立的功能，低層次的網絡功能為高層次的網絡功能服務，高層次的網絡功能依賴于低層次的網絡功能。正是由于網絡的分層，使得復雜的網絡變得運行高效且利于維護。計算機互聯的一個標準框架就是OSI（Open?System?Interconnect）參考模型，它是一個共計七層的標準框架，自下而上分別是物理層、數據鏈路層、網絡層、運輸層、會話層、表示層、應用層。

2?TCP/IP協議

TCP/IP協議并不完全符合OSI的七層參考模型，TCP/IP協議將OSI的七層參考模型簡化為四層，自下而上依次為網絡接口層、網絡層、傳輸層和應用層。每一層都需要它的下一層所提供的服務來完成自己的需求。

TCP/IP協議族并不是單純的TCP與IP這兩個協議合并而產生的合稱，而是指網絡技術的整個TCP/IP協議族，又由于保障數據可靠傳輸的兩個最基本的協議是TCP協議和IP協議，故稱為“TCP/IP協議”。IP協議的功能是將數據鏈路層所封裝出的“幀”同一轉換為“IP數據報”，使得數據可以在網絡上進行三層路由轉發，所以IP協議使各種計算機網絡都能在因特網上實現互通。TCP協議的功能是把數據切割為若干個數據包，并給每個數據包加上TCP包頭，每一個包頭都有源端口、目的端口以及各自的編號，數據的接收端可以根據包頭中的編號來確定自己是否接收到所有的數據包，然后IP協議在TCP數據包封裝IP報文頭部，頭部信息包含了數據的發送端和接收端的IP地址，有了接收端的IP地址，網絡就知道了這個數據包想要去的目的地。如果在數據的傳輸過程中發生了數據丟失或失真等情況，TCP協議會根據包頭中的編號去請求數據重新傳輸，接收到重傳的報文后重組數據。總之，IP協議保證數據能傳送到正確的目的地，TCP協議保證數據傳輸過程中不出現丟失或破損。

2.1?TCP協議

TCP協議是面向連接的協議，一個完整的TCP連接建立過程如圖2所示。為了在連接方和響應方之間可靠地傳輸數據，必須先在連接方和響應方之間通過三次握手的方式建立一條TCP連接。TCP連接的建立過程大致為：首先，連接方發送一個SYN標志位置位的TCP報文給響應方，SYN報文中的信息包括連接方所使用的源端口號和響應方的目的端口號，以及該TCP連接的初始序列號X;然后，響應方在接收到該SYN報文后，返回一個SYN標志位和ACK標志位置位的報文，該報文的序列號為X。最后，連接方也返回一個用于確認的ACK置位的報文給響應方，該報文的序列號為X+1。至此，一個TCP連接成功。

2.2?IP協議

IP協議是TCP/IP協議族中的核心協議之一，它提供無連接的數據傳輸服務，它的主要功能有路由選擇、尋址、分段以及組裝。傳輸層將報文分成了若干個數據包，每一個數據包首先在源頭的網關上進行路由匹配，然后一跳一跳地穿越若干個三層轉發設備，最終送到目標主機。數據包在傳輸的過程中，由于物理層最大傳輸單元長度的要求，可能會被切割成若干小段，每一個小段都包含有完整的IP報文頭部，但其中只有第一個小段包含了TCP頭部。在穿越包過濾防火墻時，由于后續小段不包含TCP頭部，將無法通過檢測，在穿越狀態檢測防火墻時，則可以被檢測通過。

IP協議接收來自更底層發來的數據包，然后把數據包傳遞給更高的一層TCP層（傳輸層）。同樣，IP層也會接收來自TCP層的數據包，并傳遞給更底層。由于IP協議是無連接的，其無法確認數據是否有丟失或破損，所以IP數據包是不可靠的。

3?TCP/IP協議的安全隱患

網絡協議是計算機系統之間為了相互通信而共同遵守的技術規范。目前應用于互聯網的主流協議TCP/IP協議族，由于在設計的早期過分注重其便利性和開發性，并沒有足夠考慮其安全性，因此安全問題普遍存在于很多的網絡協議中。

3.1?TCP協議的安全問題

第一是報文攻擊：TCP連接的建立是通過三次握手的機制來實現的，其中的第一條數據包為SYN數據包，第二條數據包是SYN/ACK數據包，第三條數據包是ACK數據包。在TCP連接關系里，一方為連接方，另一方為響應方，由于缺乏身份驗證機制，可能會存在攻擊方竊聽響應方發送的SYN包的威脅;如果攻擊方冒充連接方向響應方發出RST報文，然后發出SYN報文向響應方建立連接，攻擊方則得到了制造破壞的機會，如果攻擊方利用這個TCP連接持續發送危險數據，則會產生嚴重的后果。另外，攻擊方還可以進行純粹的破壞性攻擊，比如攻擊方可以同時冒充連接方和響應方，同時向連接方和響應方發送RST報文，連接方和響應方都以為RST報文是對方發來的，所以他們之間的TCP連接因此而斷開，數據的傳輸也就必然中斷。攻擊方使用這樣的方式持續阻斷連接方和響應方之間的TCP連接，使得連接方和響應方之間的通信完全中斷。第二是序列號攻擊：TCP連接最初的序列號是在發送SYN數據包時確認的，攻擊方向響應方發送SYN報文獲取上次的ISN數據，若攻擊方獲取了上次連接的數據，可以預測到后續的數據，那么攻擊方就可以偽造有害數據并發給響應方，從而進行破壞。

3.2?IP協議的安全問題

IP協議在網絡中提供了無連接的數據傳輸服務。IP協議僅根據報文頭部的目的地址信息進行轉發，對IP報頭中的源地址并不做任何檢查。這就意味著，IP協議默認認為，報頭中的源地址是可以相信的、可以依靠的。因此，某些對訪問請求來源敏感的服務可能會遭受非法入侵。即使網絡中的防火墻限制了某些源地址去訪問某些目的地址，但仍然無法避免攻擊者冒用合法IP地址作為源地址，對服務器進行攻擊。實際中，任何攻擊者都能夠利用IP協議不驗證源地址真實性、合法性的缺點，自定義源IP地址來實現網絡攻擊，并且不會被發現。另外攻擊者可以使用IP碎片攻擊，由于IP協議無法檢測源IP的合法性與真實性，攻擊者可以向被攻擊者發送大量的IP分片，被攻擊者在收到這些大量的IP分片后，會對IP分片進行重組，重組大量的IP分片將大量占用被攻擊者的計算資源，攻擊嚴重的情況下，很可能會使得被攻擊者陷入系統癱瘓。

4?基于TCP/IPv4，v6的安全分析

TCP/IP協議族在設計上的先天不足使得其難以避免某些安全隱患，即使通過應用層的安全手段可以有效地避免一些底層的安全問題，但仍然無法徹底彌補其底層的先天不足。TCP/IPv6的設計，充分總結了TCP/IPv4的安全問題并加以修復，使得IPv6的安全性更能滿足當前網絡安全防范的需求。除此之外，IPv6寬廣的地址空間、網絡層的加密與校驗等功能，使得其相較于IPv4的優勢也更為明顯。

5?結論

計算機網絡的層次劃分框架使得復雜的計算機網絡系統易于實現以及維護。而網絡協議，特別是TCP/IP協議簇保證了在通信過程中數據正確傳輸的重要協議。IP協議使各種計算機網絡都能在因特網上實現互通，TCP協議保證了數據傳輸的正確性。但傳統的TCP/IP協議由于過分強調其開發性和便利性，缺少安全性以及傳輸效率的考慮。新一代的IPv6在這兩個方面的性能都顯著提升。隨著通信網絡的發展，網絡協議也許還存在一些其他的問題，但技術的發展就是不斷地解決問題，在未來通信的效率會越來越高。

參考文獻：

[1]王雪晴.計算機網絡概述及與SDN的對比分析.重慶郵電大學，2017.

[2]劉宇峰.新時期TCP/IP網絡安全防范的應對措施探析.中國聯通，2016.