《【7A文】TCP∕IP体系的协议安全》由会员分享,可在线阅读,更多相关《【7A文】TCP∕IP体系的协议安全(70页珍藏版)》请在金锄头文库上搜索。
1、第5章 TCP/IP体系的协议安全,5.1 TCP/IP体系,5.1.1 TCP/IP体系的分层特点 TCP/IP开始仅仅是两个协议:TCP(Transfer Control Protocol,传输控制协议)和IP(Internet Protocol,网际协议)。后来,TCP/IP演变为一种体系结构,即TCP/IP参考模型。现在的TCP/IP已成为一个工业标准的协议集,它最早应用于ARPAnet。 与OSI参考模型不同,TCP/IP模型由应用层(Application Layer)、传输层(Transport Layer)、网际层(Internet Layer,也称为Internet层)和网络
2、接口层(Network Interface Layer)四部分组成,如图5-1所示。,图5-1 TCP/IP体系,为了便于对TCP/IP体系的理解,可以将TCP/IP体系分为协议层和网络层两层,如图5-2所示。,图5-2 将TCP/IP体系划分为协议层和网络层,TCP/IP是一个协议簇或协议栈,它是由多个子协议组成的集合。图5-3列出了TCP/IP体系中包括的一些主要协议以及与TCP/IP体系的对应关系。,图5-3 TCP/IP体系中的主要协议及与各层的对应关系,5.1.2 TCP/IP各层的主要功能,TCP/IP体系也称为TCP/IP参考模型,该模型从下到上共分为网络接口层、网际层、传输层和
3、应用层,共4个子层。各层的主要功能如下。 1 网络接口层 在TCP/IP参考模型中,网络接口层属于最低的一层,它负责通过网络发送和接收分组。 2 网际层 网际层也称为“互联网络层”,它相当于OSI参考模型网络层的无连接网络服务。网际层的任务是:允许位于同一网络或不同网络中的两台主机之间以分组的形式进行通信。,3 传输层 在TCP/IP参考模型中,传输层位于网际层与应用层之间,其设计目标是:允许在源和目的主机的对等体之间进行会话,负责会话对等体的应用进程之间的通信。TCP/IP参考模型的传输层功能类似于OSI参考模型传输层的功能。 4 应用层 应用层属于TCP/IP参考模型的最高层。应用层主要包
4、括根据应用需要开发的一些高层协议,如telnet、FTP、SMTP、DNS、SNMP、HTTP等。而且,随着网络应用的不断发展,新的应用层协议还会不断出现。,5.1.3 TCP/IP网络中分组的传输示例,在掌握了TCP/IP参考模型的分层特点及各层的功能后,下面通过一个具体的实例向读者介绍TCP/IP网络中分组的传输过程,网络拓扑如图5-4所示。,图5-4 TCP/IP网络中数据的传输过程,1 重要概念 在如图5-4所示的通信过程中,涉及到一些关键技术和概念。为便于对操作过程的描述,下面对一些重要概念进行简要介绍。 (1) 子网。一个大型的通信网络由多个子网(Subnetwork)组成,每一个
5、子网属于某一种特定类型的网络,如局域网中的以太网、令牌环网、FDDI,广域网中的x.25、帧中继等。 (2) 网络接入协议。当计算机接入网络中时,必须使用这一子网中规定的接入协议。通过网络接入协议,可以让一台主机将数据通过子网发送到其他的主机。 (3) 路由器。它是连接不同子网的设备,一台路由器相当于一个中继站,将一个IP分组从某一子网中的一台主机通过一个或多个子网发送到目的主机。,(4) 全局地址。对于Internet等互联网络来说,每一台主机必须拥有一个全网唯一的IP地址作为其身份的唯一标识,这个IP地址称为全局地址。当源主机发送数据到目的主机时,源主机首先要知道目的主机的IP地址。 (5
6、) 端口。主机中的每一个进程必须具有一个在本主机中唯一的地址,这个地址称为端口(port)。通过端口,端到端的协议(如TCP)才能够将数据正确地交付给相应的进程。,在TCP/IP参考模型中,每一层的数据称为协议数据单元(PDU),例如TCP报文段也称为TCP PDU。在数据发送端,在每一层添加首部信息的过程称为数据封装,如图5-5所示。在数据接收端,每一层去掉首部信息的过程称为数据解封。,图5-5 TCP/IP网络中数据的封装过程,5.2 ARP安全,ARP(Address Resolution Protocol,地址解析协议)用来将IP地址映射到MAC地址,以便设备能够在共享介质的网络(如以
7、太网)中通信。 5.2.1 ARP概述 在ARP协议的实现中还有一些应该注意的事项: (1) 每台计算机上都有一个ARP缓冲,它保存了一定数量的从IP地址到MAC地址的映射,同时当一个ARP广播到来时,虽然这个ARP广播可能与它无关,但ARP协议软件也会把其中的物理地址与IP地址的映射记录下来,这样做的好处是能够减少ARP报文在局域网上发送的次数。,(2) 按照缺省设置,ARP高速缓存中的项目是动态的,ARP缓冲中IP地址与物理地址之间的映射并不是一旦生成就永久有效的,每一个ARP映射表项都有自己的寿命,如果在一段时间内没有使用,那么这个ARP映射就会从缓冲中被删除,这一点和交换机MAC地址表
8、的原理一样。这种老化机制,大大减少了ARP缓存表的长度,加快了查询速度。,在以太网中,当主机要确定某个IP地址的MAC地址时,它会先检查自己的ARP缓冲表,如果目标地址不包含在该缓冲表中,主机就会发送一个ARP请求(广播形式),网段上的任何主机都可以接收到该广播,但是只有目标主机才会响应此ARP请求。由于目标主机在收到ARP请求时可以学习到发送方的IP地址到MAC地址的映射,因此它采用一个单播消息来回应请求。这个过程如图5-6所示。,图5-6 ARP请求的过程,如图5-7所示,主机B、主机D收到主机A发来的ARP请求时,它们发现这个请求不是发给自己的,因此它们忽略这个请求,但是它们还是将主机A
9、的IP地址到MAC地址的映射记录到自己的ARP表中。当主机C收到主机A发来的ARP请求时,它发现这个ARP请求是发给自己的,于是它用单播消息回应ARP请求,同时记录下其IP地址到MAC地址的映射。,图5-7 ARP回应的过程,5.2.2 ARP欺骗,1 ARP欺骗的概念和现状 由于ARP协议在设计中存在的主动发送ARP报文的漏洞,使得主机可以发送虚假的ARP请求报文或响应报文,报文中的源IP地址和源MAC地址均可以进行伪造。在局域网中,即可以伪造成某一台主机(如服务器)的IP地址和MAC地址的组合,也可以伪造成网关的IP地址和MAC地址的组合,等等。,2 针对计算机的ARP欺骗 如图5-8所示
10、,假设主机A向主机B发送数据。在主机A中,当应用程序要发送的数据到了TCP/IP参考模型的网际层与网络接口层之间时,主机A在ARP缓存表中查找是否有主机B的MAC地址(其实是主机B的IP地址与MAC地址的对应关系),如果有,则直接将该MAC地址(22-22-22-22-22-22)作为目的MAC地址添加到数据单元的网络首部(位于网络接口层),成为数据帧。在局域网(同一IP网段,如本例的192.168.1.x)中,主机利用MAC地址作为寻址的依据,所以主机A根据主机B的MAC地址,将数据帧发送给主机B。,图5-8 主机中IP地址与MAC地址的对应关系示意图,如果主机A在ARP缓存表中没有找到目标
11、主机B的IP地址对应的MAC地址,主机A就会在网络上发送一个广播帧,该广播帧的目的MAC地址是“FF.FF.FF.FF.FF.FF”,表示向局域网内的所有主机发出这样的询问:IP地址为192.168.1.2的MAC地址是什么?在局域网中所有的主机都会接收到该广播帧,但在正常情况下因为只有主机B的IP地址是192.168.1.2,所以主机B会对该广播帧进行ARP响应,即向主机A发送一个ARP响应帧:我(IP地址是192.168.1.2)的MAC地址是22-22-22-22-22-22。,如果现在主机D要对主机A进行ARP欺骗,冒充自己是主机C。具体实施中,当主机A要与主机C进行通信时,主机D主动
12、告诉主机A自己的IP地址和MAC地址的组合是“192.168.1.3+44-44-44-44-44-44”,这样当主机A要发送给主机C数据时,会将主机D的MAC地址44-44-44-44-44-44添加到数据帧的目的MAC地址中,从而将本来要发给主机C的数据发给了主机D,实现了ARP欺骗。在整个ARP欺骗过程中,主机D称为“中间人”(man in the middle),对这一中间人的存在主机A根本没有意识到。,通过以上的ARP欺骗,使主机A与主机C之间断开了联系。如图5-9所示,现在假设主机C是局域网中的网关,而主机D为ARP欺骗者。这样,当局域网中的计算机要与其他网络进行通信(如访问Int
13、ernet)时,所有发往其他网络的数据全部发给了主机D,而主机D并非真正的网关,这样整个网络将无法与其他网络进行通信。这种现象在ARP欺骗中非常普遍。,图5-9 ARP欺骗的实现过程,3 针对交换机的ARP欺骗 交换机的工作原理是通过主动学习下连设备的MAC地址,并建立和维护端口和MAC地址的对应表,即交换机中的MAC地址表。通过MAC地址表,实现下连设备之间的通信。交换机中的MAC地址表也称为CAM(Content Addressable Memory,内容可寻址存储器),如图5-10所示。,图5-10 交换机中的MAC地址表,在进行ARP欺骗时,ARP欺骗者利用工具产生欺骗MAC,并快速填
14、满CAM表。交换机的CAM表被填满后,交换机便以广播方式处理通过交换机的数据帧,这时ARP欺骗者可以利用各种嗅探攻击获取网络信息。CAM表被填满后,流量便以洪泛(Flood)方式发送到所端口,其中交换机上连端口(Trunk端口)上的流量也会发送给所有端口和邻接交换机。这时的交换机其实已成为一台集线器。与集线器不同,由于交换机上有CPU和内存,大量的ARP欺骗流量会给交换机产生流量过载,其结果是下连主机的网络速度变慢,并造成数据包丢失,甚至产生网络瘫痪。,5.2.3 实验操作-ARP欺骗的防范,1 针对计算机ARP欺骗的防范 具体操作如下: (1)进入“命令提示符”窗口,在确保网络连接正常的情况
15、下,使用Ping命令Ping网关的IP地址,如“Ping 172.16.2.1”。 (2) 在保证Ping网关IP地址正常的情况下,输入“arp a”命令,可以获得网关IP地址对应的MAC地址,如图5-11所示。,图5-11 使用“arp -a”命令显示网关IP地址对应的MAC地址,读者会发现,这时该计算机上网关对应的ARP记录类型(Type)是动态(dynamic)的。 (3)利用“arp -s 网关IP地址 网关MAC地址”将本机中ARP缓存表中网关的记录类型设置为静态(static),如图5-12所示。,图5-12 将ARP缓存中的网关记录设置为静态类型,(4)如果再次输入“arp -a
16、”命令,就会发现ARP缓存表中网关的记录已被设置为静态类型。 可以编写一个批处理文件(如arp.bat),然后将该批处理文件添加到Windows操作系统的“启动”栏中,这样每次开机后系统便会进行自动绑定。批处理文件的内容如下: echo off arp -d arp -s 172.16.2.1 00-0a-8a-2d-a5-ff,2 针对交换机ARP欺骗的防范 目前,主流的交换机(如Cisco、H3C、3COM等)都提供了端口安全功能(Port Security feature)。通过使用端口安全功能,可以进行如下的控制: 端口上最大可以通过的MAC地址数量 端口上只能使用指定的MAC地址,对于不符合以上规定的MAC地址,进行相应的违背规则的处理。一般有三种方式(针对交换机类型和型号的不同,具体方式可能会有所不同): Shutdown。即关闭端口。虽然这种方式是最有效的一种保护方式,但会给管理员带来许多不便,因为被关闭的端口一般需要通过手工方式进行重启。 Protect。直接丢弃非法流量,但不报警
