WEB开发网
开发学院网络安全安全技术 TCP/IP 协议体系的安全性 阅读

TCP/IP 协议体系的安全性

 2008-09-05 13:21:22 来源:WEB开发网   
核心提示: ·B方响应新连接,并发送连接响应报文SYN/ACK,TCP/IP 协议体系的安全性(2),·攻击者再假冒A方对B方发送ACK包, 这样攻击者便达到了破坏连接的作用,避免或纠正这类问题,ICMP被认为是IP协议不可缺少的组 成部分,若攻击者再趁机插入有害数据包,则

·B方响应新连接,并发送连接响应报文SYN/ACK。

·攻击者再假冒A方对B方发送ACK包。

这样攻击者便达到了破坏连接的作用,若攻击者再趁机插入有害数据包,则后果更严重。

TCP协议把通过连接而传输的数据看成是字节流,用一个32位整数对传送的字节编号。初始序列号(ISN)在TCP握手时产生,产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求,即可获得上次连接的ISN,再通过多次测量来回传输路径,得到进攻主机到目标主机之间数据包传送的来回时间RTT。已知上次连接的ISN和RTT,很容易就能预测下一次连接的ISN。若攻击者假冒信任主机向目标主机发出TCP连接,并预测到目标主机的TCP序列号,攻击者就能伪造有害数据包,使之被目标主机接受。

2.IP协议和ICMP协议

IP协议是TCP/IP中最重要的协议之一,提供无连接的数据包传输机制,其主要功能有:寻址、路由选择、分段和组装。传送层把报文分成若干个数据报,每个数据包在网关中进行路由选择,穿越一个个物理网络从源主机到达目标主机。在传输过程中数据包可能被分成若干小段,以满足物理网络中最大传输单元长度的要求,每一小段都当作一 个独立的数据包被传输,其中只有第一个数据报含有TCP层的端口信息。在包过滤防火墙中根据数据包的端口号检查是否合法,这样后续数据包可以不经检查而直接通过。攻击者若发送一系列有意设置的数据包,以非法端口号为数据的后续数据包覆盖前面的具有 合法端口号的数据包,那么该路由器防火墙上的过滤规则被旁路,从而攻击者便达到了 进攻目的。

ICMP是在网间层中与IP一起使用的协议。如果一个网关不为IP分组选择路由、不能 递交IP分组或者测试到某种不正常状态,如网络拥挤影响IP分组的传递,那么就需要IC MP来通知源端主机采取措施,避免或纠正这类问题。ICMP被认为是IP协议不可缺少的组 成部分,是IP协议正常工作的辅助协议。

上一页  1 2 3 4  下一页

Tags:TCP IP 协议

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接