買了硅云云服務(wù)器的小伙伴們可能會經(jīng)常碰到一些網(wǎng)絡(luò)層面上的概念，尤其是TCP/IP協(xié)議，出現(xiàn)的頻率非常高，TCP/IP協(xié)議作為網(wǎng)絡(luò)通信的標(biāo)準(zhǔn)協(xié)議，是一組不同層次上的多個協(xié)議的組合。



什么是TCP/IP協(xié)議？

TCP/IP協(xié)議，由于在其設(shè)計(jì)初期過分強(qiáng)調(diào)其開放性和便利性，卻沒有認(rèn)真仔細(xì)考慮到它的安全性問題，因此協(xié)議中存在有諸多的安全漏洞。協(xié)議缺陷造成的安全漏洞，很多時候會被黑客直接用來攻擊受害者主機(jī)系統(tǒng)。

今天，我們來講講TCP/IP協(xié)議自身所存在的安全問題。雖然TCP/IP協(xié)議是由多個協(xié)議組合而成的，但本文只重點(diǎn)指出TCP協(xié)議和IP協(xié)議的安全問題。


一、TCP協(xié)議的安全問題

TCP使用“三次握手”機(jī)制來建立一條連接，握手的第一個報文為SYN包；第二個報文為SYN/ACK包，表明它應(yīng)答第一個SYN包，同時繼續(xù)握手的過程；第三個報文僅僅是一個應(yīng)答，表示為ACK包。若A方為連接方，B為響應(yīng)方，其間可能的威脅有：

1、攻擊者監(jiān)聽B方發(fā)出的SYN/ACK報文。
2、攻擊者向B方發(fā)送RST包，接著發(fā)送SYN包，假冒A方發(fā)起新的連接。
3、B方響應(yīng)新連接，并發(fā)送連接響應(yīng)報文SYN/ACK。
4、攻擊者再假冒A方對B方發(fā)送ACK包。

這樣攻擊者便達(dá)到了破壞連接的作用，若攻擊者再趁機(jī)插入有害數(shù)據(jù)包，則后果更嚴(yán)重。

TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生，產(chǎn)生機(jī)制與協(xié)議 實(shí)現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主機(jī)發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進(jìn)攻主機(jī)到目標(biāo)主機(jī)之間數(shù)據(jù)包傳送的來回 時間RTT。已知上次連接的ISN和RTT，很容易就能預(yù)測下一次連接的ISN。若攻擊者假冒信任主機(jī)向目標(biāo)主機(jī)發(fā)出TCP連接，并預(yù)測到目標(biāo)主機(jī)的 TCP序列號，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標(biāo)主機(jī)接受。


二、IP協(xié)議的安全問題

IP協(xié)議在互連網(wǎng)絡(luò)之間提供無連接的數(shù)據(jù)包傳輸。IP協(xié)議根據(jù)IP頭中的目的地址項(xiàng)來發(fā)送IP數(shù)據(jù)包。也就是說，IP協(xié)議在路由IP包時，對IP頭中提供的IP源地址不作任何檢查，并且認(rèn)為IP頭中提供的IP源地址，即為發(fā)送該包機(jī)器的真實(shí)IP地址。這樣，許多依靠“IP源地址”做確認(rèn)的服務(wù)，將會產(chǎn)生問題并且會被非法入侵，其中最典型的就是利用“IP欺騙”引起的各種攻擊。

以防火墻為例，一些網(wǎng)絡(luò)的防火墻只允許網(wǎng)絡(luò)信任的IP數(shù)據(jù)包通過，但是由于不檢查IP數(shù)據(jù)包中的IP源地址，是否為發(fā)送該包的源主機(jī)的真實(shí)IP地址，因此攻擊者可以采用“IP源地址欺騙”的方法，來繞過這種防火墻。比如用戶在硅云有一臺云服務(wù)器，攻擊者想要攻擊這臺云服務(wù)器，可通過向該云服務(wù)器的ip發(fā)送數(shù)據(jù)包（經(jīng)過改造，攻擊者的本地IP是虛假的），從而繞過了防火墻。

另外有一些以IP地址作為“安全權(quán)限分配依據(jù)”的網(wǎng)絡(luò)應(yīng)用，攻擊者很容易使用“IP源地址欺騙”的方法獲得特權(quán)，從而給被攻擊者造成嚴(yán)重的損失。事實(shí)上，每一個攻擊者都可以利用IP協(xié)議不檢驗(yàn)IP頭中提供的IP源地址的特點(diǎn)，填入偽造的IP地址來進(jìn)行攻擊，隱藏自己真實(shí)的IP地址，從而使自己難以被發(fā)現(xiàn)。


三、TCP協(xié)議安全問題的防范措施

對于SYN Flood攻擊，目前還沒有完全有效的方法，但可以從以下幾個方面加以防范：

1、對系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對超時的SYN請求連接數(shù)據(jù)包的復(fù)位，同時通過縮短超時常數(shù)和加長等候隊(duì)列使得系統(tǒng)能迅速處理無效的SYN請求數(shù)據(jù)包。

2、建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYN半開數(shù)據(jù)包的流量和個數(shù)。

3、建議在路由器的前端多必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可以進(jìn)入該網(wǎng)段，這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。


四、IP協(xié)議安全問題的防范措施

1、 拋棄基于地址的信任策略。這是最簡單的方法。

2、進(jìn)行包過濾。如果網(wǎng)絡(luò)是通過路由器接入Internet（因特網(wǎng)）的，那么可以利用路由器來進(jìn)行包過濾。確認(rèn)只有內(nèi)部LAN（局域網(wǎng)）可以使用信任關(guān)系，而內(nèi)部LAN（局域網(wǎng)）上的主機(jī)對于LAN（局域網(wǎng)）以外的主機(jī)要慎重處理。路由器可以過濾掉所有來自于外部而希望與內(nèi)部建立連接的請求。

3、使用加密技術(shù)。阻止IP欺騙的一種簡單的方法是，在通信時要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時，加密方法可能最為適用。