TCP/IP 协议体系的安全性

核心提示： ICMP协议存在的安全缺口有： 攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力，TCP/IP 协议体系的安全性(3)， 攻击者可利用不可达报文对某用户节点发起拒绝服务攻击， 3.路由协议 Internet使用动态路由， 协议的改进和发展状况Internet每天都在发生变化，作

ICMP协议存在的安全缺口有：

攻击者可利用ICMP重定向报文破坏路由，并以此增强其窃听能力。

攻击者可利用不可达报文对某用户节点发起拒绝服务攻击。

3.路由协议

Internet使用动态路由，通过路由器相互通信和传递路由信息，实现路由表的自动 更新。自治域内部采用的路由协议称为内部网关协议，常用的有路由信息协议RIP(Routing Information Protocol)、开放式最短路径优先协议OSPF(Open Shortest Path First)。外部网关协议主要用于多个自治域之间的路由选择，常用的是边界网关协议BGP(Border Gateway Protocol)。

路由协议存在的安全缺口有：

许多路由协议使用未加密的非一次性口令来证实数据中的路由信息，容易遭到非法窃听。

攻击者通过伪造一非法路由器或者其它手段发送伪造路由信息，扰乱合法路由器的路由，从而使本应到达目标主机的数据包转发至入侵主机。

由于BGP通过TCP传送数据，目前对TCP不断加剧的攻击也是影响BGP安全的一个重要因素。

4．域名系统

为了解决IP地址难于记忆的问题，TCP/IP设计了一种层次性命名协议，即域名系统 DNS，其作用是自动将主机域名转换成对应的IP地址。DNS也存在着一些安全缺口，主要有：

由于DNS缺乏密码认证机制，攻击者可通过假冒其它系统或截取发往其它系统的邮件等手段，对用户造成危害。

目前许多防火墙产品基于未证实的IP地址来作出有关网络外部存取的决策，其中若被插入假DNS信息，就会给攻击者造成便利。

针对DNS的攻击和针对路由机制的攻击如果被配合使用，将对网络造成灾难性的后果。

协议的改进和发展状况

Internet每天都在发生变化，作为被广泛使用的基础性协议，TCP/IP也在不断改善和发展之中。