《TCP IP协议的安全隐患和防范措施论文ok》由会员分享,可在线阅读,更多相关《TCP IP协议的安全隐患和防范措施论文ok(24页珍藏版)》请在金锄头文库上搜索。
1、毕业设计(论文)题目TCP IP协议的安全隐患和防范措施学生XXX联系电话XXXXXXXXXXXXX指导教师评阅人教学站点XXXXXXXXXXXXXXXX专业计算机网络工程完成日期XXX 年 XX 月 XX 日TCP IP协议的安全隐患和防范措施摘要:Internet的日益普及给人们的生活和工作方式带来了巨大的变革,人们在享受网络技术带来的便利的同时,安全问题也提上了议事日程,网络安全也 成为计算机领域的研究热点之一。 TCP/IP 出现在 20 世纪 70 年代, 80 年代被 确定为 Internet 的通信协议,到了今天, TCP/IP 已经成为网络世界中使用最 广泛、最具有生命力的通信
2、协议,并且成为事实上的网络互连工业标准。本文 在介绍因特网中使用的TCP/IP协议的基础上,对TCP/IP协议的安全性进行了 较为全面的讨论,具体分析了 TCP/IP 协议的基本体系结构、各层的常用协议 及安全隐患和防范措施。 希望能对未来的信息社会中网络安全环境的形成有所 帮助。关键字:TCP/IP ;安全性;网络;协议;体系结构目录绪 论 错误!未定义书签。1 TCP/IP 概述 21.1 TCP/IP 的历史21.2 TCP 与 IP 简介21.3 网络协议与分层21.4 OSI参考模型31.4 .1OSI 各层简介41.4.2 TCP/IP 协议的体系 71.4 .3TCP/IP 分层
3、模型71.4 .4TCP/IP 分层工作原理91.4 .5TCP/IP 模型的分界线102 TCP/IP各层的安全性和提高各层安全性的方法112. 1网络层的安全性 112.2传输层的安全性122.3应用层的安全性133 存在的安全隐患与解决方法 14总结 19参考文献 20致谢 21绪论TCP/IP(Transmission Control Protocol/Intemet Protocol) 是 20 世纪 70 年代中期美国国防部 (DOD) 为其研究性网络 ARPNET 开发的网络体 系结构, ARPANET 最初是通过租用的电话线将美国的几百所大学和研究所 连接起来。随着卫星通信技术
4、和无线技术的发展,这些技术也被应用到 ARPNET 网络中,已有的协议已不能解决这些通信网络的互联问题,于是就 提出了新的体系结构,用于将不同的通信网络无缝连接。这种体系结构后 来被称为 TCP/IP 参考模型。TCP/IP 协议时 Internet 进行网际互联通信的基础, 目前 Internet 能 如此迅速在全球延伸,主要是由于 TCP/IP 协议族的开放性,它打破了异 构网络之间的壁垒,把不同国家的各种网络连接起来,使 Internet 成为 了没有明确物理界限的网际。从而人们充分的享受全球共享,也因为 TCP/IP 的开放性,给 Internet 带来安全隐患也是正常的。当 Inte
5、rnet 遍 布世界以后,网络的环境发生了根本的变化,信任的问题变得突出起来, 因此 Internet 出现了很多问题,由于自身的缺陷、网络的开放性以及黑 客的攻击时造成互联网不安全的主要原因。 TCP/IP 作为 Internet 使用的 标准协议集,是黑客实施网络攻击的重点目标。这种基于地址的协议本身 就回泄露口令,运行一些无关的程序,这些都是网络的本身的缺陷。互联 网技术屏蔽了底层网络硬件细节,使得异种网络之间可以互相通信。这就 给人们攻击网络以可乘之机。由于大量重要的应用程序都以 TCP 作为它们 的传输层协议,因此 TCP 的安全性问题会给网络带来严重的后果。网络的 开放性, TCP
6、/IP 协议完全公开,远程访问使许多攻击者无须到现场就能够 得手,连接的主机基于互相信任的原则等等性质使网络更加不安全。第一章 TCP/IP 概述TCP/IP 的历史, TCP/IP 起源于 20世纪 60年代末美国政府资助的一 个网络分组交换研究项目,被用于当今所构筑的最大的开放式网络系统 Internet 之上。1.2 TCP与IP简介TCP和IP是两个独立且紧密结合的协议,负责管理和引导数据报文在Internet 上的传输,二者使用专门的报文头定义每个报文的内容。TCP负责和远程主机的连接;IP负责寻址,使报文被送到其该去的地方。1.3 网络协议与分层计算机网络是为了实现计算机之间的通信
7、,任何双方要成功地进行 通信,必须遵守一定的信息交换规则和约定,这些信息交换规则和约定就 称为通信协议( protocol )。计算机上的网络接口卡、通信软件、通信 设备都是遵循一定的协议设计的,必须符合一定的协议规范。为了减少协议设计的复杂性,大 多数网络都按层或级的方式来组 织,每一层都建立在它的下层之上。 不同的网络在分层数量和各层的名字、 内容与功能上都不尽相同,然而,在所有的网络中,每一层的目的都是向 它的上一层提供一定的服务,而把这种服务是如何实现的细节对上层加以 屏蔽。层按功能来划分,每一层都有特定的功能,它一方面利用下一层所 提供的功能,另一方面又为其上一层提供服务。通信双方在
8、相同层之间进 行通话,通话规则和协定的整体就是该层的协议。每一层都有一个或多个 协议,几个层合成一个协议栈( protocol stack )。协议的分层模型便 于协议软件按模块方式进行设计和实现,这样每层协议的设计、修改、实 现和测试都可以独立进行,从而减少复杂性。不同机器内包含相同协议层的实体叫做对等进程,对等进程是利用 协议进行通信的主体。相邻层之间通过接口来定义相互关系,接口定义下 层向上层提供的原语操作和服务。层和协议的集合叫做网络体系结构。1.4 OSI参考模型OSI模型有七层,其分层原则如下:根据不同层次的抽象分层;每一层应当实现一个定义明确的功能;每一层功能的选择应当有助于制定
9、网络协议的国际标准;各层边界的选择应尽量减少跨过接口的通信量;层数应足够多,以避免不同的功能混杂在同一层中;但也不能太多, 否则体系结构会过于庞大。根据这些原则,ISO在1983年推出的OSI参考模型如图1-1所/示。应用层协调表示层协谡 I I I I 益话层协传输层协復1物理层吗网络层*数据讎路层杠数据笹禮层丐Bit主机B王机A物理层网貉层主机-踣古器协观 数据旌路层主机-路古铝协富 物理层主祈-路古器协换图1-1 OSI七层参考模型值得注意的是,OSI参考模型本身并不是一个完整的网络体系结构, 因为它并未确切地描述用于各层的协议和服务,它仅仅告诉我们每层应该 做什么。不过,ISO已经为各
10、层制定了标准,但它们并不是参考模型的 部分,而是作为独立的国际标准公布的。1.4.1 OSI 各层简介OSI 七层模型是指从物理层到应用层这七层,它不涉及通信的物理 介质。随着网络技术的发展,特别是局域网的发展,后来对 OSI 七层模 型进行了改进。修订之一就是非正式地增加了一些子层和新层,如增加了 第 0 层,使之覆盖了象电缆连接器和光纤这样的硬件细节。本节我们只 对 OSI 模型的七层的功能作简单描述。1. 物理层物理层( physical layer )是 OSI 模型的最低层,它建立在物 理通信介质的基础上,作为系统和通信介质的接口,用来实现数据链路实 体间透明的比特流传输。在设计上必
11、须保证一方发送出二进制 “ 1 ”时, 另一方收到的也是“ 1 ”而不是“ 0 ”。物理层是 OSI 中唯一设计通信介质的一层,它提供与通信介质的 连接,描述这种连接的机械、电气、功能和规程特性,以建 立、维护和 释放数据链路实体之间的物理连接。物理层向上层提供位信息的正确传 送。物理层协议定义了硬件接口的一系列标准,典型地如用多少伏特电 压表示“ 1 ”,多少伏特表示“ 0 ”;一个比特持续多少时间;传输是 双向的还是单向的;最初的连接如何建立和完成通信后连接如何终止;一 次通信中发送方和接收方如何应答;设备之间连接件的尺寸和接头数;每 根线的用途等。2. 数据链路层数据链路层( data
12、link layer )的主要任务是加强物理层传输 原始比特的功能,使之对网络层显现为一条无错链路。它在相邻网络实体 之间建立、维持和释放数据链路连接,并传输数据链路数据单元(帧, frame )。它是将位收集起来,按包处理的第一个层次,它完成发送包前 的最后封装,及对到达包进行首次检视。其主要功能为:(1) 、 数据链路连接的建立与释放:在每次通信前后,双方相互联系以确 认一次通信的开始和结束。数据链路层一般提供无应答无连接服务、有应 答无连接服务和面向连接的服务等三种类型服务。(2) 、 数据链路数据单元的构成:在上层交付的数据的基础上加入数据链 路协议控制信息,形成数据链路协议数据单元。
13、(3) 、 数据链路连接的分裂:当数据量很大时,为提高传输速率和效率, 将原来在一条物理链路上传输的数据改用多条物理链路来传输(与多路复 用相反)。(4) 、 定界与同步:从物理连接上传输数的比特流中,识别出数据链路数 据单元的开始和结束,以及识别出其中的每个字段,以便实现正确的接收 和控制。(5) 、 顺序和流量控制:用以保证发送方发送的数据单元能以相同的顺序 传输到接收方,并保持发送速率与接收速率的匹配。(6) 、 差错的检测与恢复:检测出传输、格式和操作等错误,并对错误进 行恢复,如不能恢复则向相关网络实体报告。3. 网络层网络层( network layer )关系到子网的运行控制,其
14、关键问题之 一是确定分组从源端到目的端如何选择路由。本层维护路由表,并确定哪 一条路由是最快捷的,及何时使用替代路由。路由既可以选用网络中固定 的静态路由表,几乎保持不变,也可以在每一次会话开始时决定(如通过 终端协商决定),还可以根据当前网络的负载状况,高度灵活地为每一个 分组决定路由。网络层的另一重要功能是传输和流量控制,它在子网中同时出现过 多的分组时,提供有效的流量控制服务来控制网络连接上传输的分组,以 免发生信息“堵塞”或“拥挤”现象。网络层提供两种类型的网络服务,即无连接的服务(数据报服务 ) 和面向连接的服务(虚电路服务) 。网络层使较高层与连接系统所用的数 据传输和交换技术相独
15、立。IP 协议工作在本层,它提供“无连接的”或“数据报”服务。4. 传输层传输层( transport layer )的基本功能是从会话层接收数据, 在必要时把它们划分成较小的单元传递给网络层,并确保到达对方的各段 信息准确无误。而且,这些任务都必须高效率地完成。传输层是在网络层的基础上再增添一层软件,使之能屏蔽掉各类通 信子网的差异,相用户进程提供一个能满足其要求的服务,其具有一个不 变的通用接口,使用户进程只需了解该接口,便可方便地在网络上使用网 络资源并进行通信。通常情况下,会话层每请求建立一个传输连接,传输层就为其创建 一个独立的网络连接。如果传输连接需要较高的信息吞吐量,传输层也可 以为之创建多个网络连接, 让数据在这些网络连接上分流, 以提高吞吐量。 另一方面,如果创建或维持一个网络连接不合算,传输层可以将几个传输 连接复用到一个网络连接上,以降低费用。在任何情况下,都要求传输层 能使多路复用对会话层透明。传输层是真正的从源到目标“端到端”的层,也就是说,源端机上的 某程序,利用报文头和控制报文与目标机上的类似程序进行对话。在传输 层以下的各项层中,协议是每台机器和它直接相邻的机器间的协议,而不 是最终的源端机和目
