摘要:在科學和技術的進步,社會經濟的不斷髮展,人民生活水平的提高,網際網路已經深入人們的日常生活,電子資訊科技的重要技術支援人們生活正常執行,目前已進入大資料的時代網路資訊。網際網路使人們生活方便但也有一定的資訊保安風險,如侵犯人們的隱私的行為越來越多。為了保護人民基本權利,要構建一個安全、穩定的網路環境。本文基於TCP/IP協議的網路安全問題進行了討論和分析。
關鍵詞:TCP/IP協議;網路安全;分析
TCP/IP協議是指一個允許不同軟硬體結構計算機進行通訊的協議族,是能將各個不同結構計算機連線起來的主要技術平臺,也是實現計算機資源共享的技術支援。其中我們常說的Internet網際網路就是建立在協議之上的計算機資訊科技。TCP/IP協議主要有包括四個層次,第一層是應用層,是實現使用者去訪問、去具體使用的平臺,比如說常用的字尾www.網址等;第二層是傳輸層,是將使用者使用平臺與計算機資訊網內部資料結合的通道,實現資料的傳輸與共享,有TCP、FTP等;第三層就是網路層,是負責網路中的資料包傳送,並提供連結導向以及相關的資料報服務等;最後一層是網路訪問層,是網路的介面層,也稱資料鏈路層,能處理不同通訊媒介的相關資訊細節問題,比如說常見的乙太網、ARP等。基於TCP/IP協議上網際網路的資訊傳輸範圍變得更廣泛,且傳輸的內容來源更多,對傳輸物件以及輸送物件的資訊保安要求降低,且多個埠使得資料資訊被處理的步驟較多,不能對其保密性起到保障作用,TCP是使用一種介乎集中與動態分配之間的埠分配,埠也被分為保密與自由埠,這在一定程度上又大大增加了網路資訊保安風險。下面就幾個網路安全的主要問題進行分析。
1基於TCP/IP協議分析的網路安全問題
1.1應用程式層的TCP/IP協議。首先在應用程式層的TCP/IP協議,可能產生的網路安全問題PTP的網路介面接收到原本不屬於主機的資料,通常使用在應用程式層的設計是一個共享的埠,由於特定型別的埠設計成本費用較高,因此在接收資料共享平臺很容易得到不屬於應用平臺的相關收據,因此引入一些木馬病毒,導致裡面的資料,網路安全問題。為此,我們可以在應用平臺設定特殊的加密檔案,可以設定一個密碼特殊資訊內容可以允許接受和運輸,在完全接受所有資訊的情況下,減少資訊被惡意攻擊的風險。此外,網路分割處理,應用平臺上設定更多的`新聞發現資訊渠道,一層一層過濾不符合安全資訊,並沒有一個可靠的資訊來源,從而減少網路資訊保安問題。1.2傳輸層TCP/IP協議。其次在傳輸層TCP/IP協議也有網路安全問題的風險,例如在ICMP傳輸通道,ICMP是IP層的一部分,是在軟體和機器之間的傳輸和控制資訊無連線協議。任何埠的計算機IP軟體傳送一個PINGICMP檔案,檔案傳輸,申請是否可以允許ICMP將源主機對應的響應,這個命令可以檢測是否合法的訊息。基本上所有應用程式資料的傳輸層同意,軟體程式設計的主要原因不能智慧識別惡意資訊,在TCP/IP網路和乙太網,常見防火牆和網路安全防護系統通常是自動預設端,而忽視可能存在安全風險。1.3TCP/IP協議在網路層。然後在TCP/IP協議在網路層也有網路安全的風險問題,主要表現為IP欺騙,因為TCP/IP協議的信任機制非常簡單和方便,所以很多的IP欺騙利用這一特點,利用虛假資訊來假裝重要的資料資訊。許多身份只有所有者的IP地址,這裡篡改的IP地址可以攻擊主機資料管理中心。我們可以設定更多的IP地址來識別不同的檢查點,在確定正確後可以給IP流量,除了加強網路防火牆的防護功能,網路資訊保安。1.4ARP欺騙的TCP/IP網路層。最後,在TCP/IP協議和ARP欺騙的網路層的網路安全問題。主機IP資料包的過程中會有一個或多個主機使用網路級別的第一層,和ARP源主機第一個查詢工具,在沒有找到對應的實體地址的IP地址將傳送主機包含實體地址與IP地址的主機的資訊。與此同時,源主機到目的主機將包含它自己的IP地址和ARP檢測應答。如果在ARP識別連結錯誤,直接應用到目標主機的可疑資訊,如攜帶病毒,如果惡意攻擊使用ARP欺騙會導致網路資訊保安漏洞。為此,應加強其保護功能的ARP識別連結,建立更多的識別水平,不僅按照名稱作為主要依據識別IP,也指IP的相關屬性,等等。
2TCP/IP協議安全問題的防範
對於SYNFlood攻擊,目前還沒有完全有效的方法,但可以從以下幾個方面加以防範:(1)對系統設定相應的核心引數,使得系統強制對超時的SYN請求連線資料包的復位,同時通過縮短超時常數和加長等候佇列使得系統能迅速處理無效的SYN請求資料包。(2)建議在該網段的路由器上做些配置的調整,這些調整包括限制SYN半開資料包的流量和個數。(3)建議在路由器的前端TCP攔截,使得只有完成TCP三次過程的資料包才可以進入該網段,這樣可以有效的保護本網段內的伺服器不受此類攻擊。
3TCP/IP各層的安全性和提高各層安全性
網路層的安全性;傳輸層的安全性;應用層的安全性。一般來說,在應用層提供安全服務有幾種可能的做法,一個是對每個應用(及應用協議)分別進行修改。一些重要的TCP/IP應用已經這樣做了。在RFC1421至1424中,IETF規定了私用強化郵件(PEM)來為基於SMTP的電子郵件系統提供安全服務。Internet業界採納PEM的步子太慢的原因是PEM依賴於一個既存的、完全可操作的PKI(公鑰基礎結構)。建立一個符合PEM規範的PKI需要多方在一個共同點上達成信任。作為一箇中間步驟,PhilZimmermann開發了一個軟體包,叫做PGP(PrettyGoodPrivacy)。PGP符合PEM的絕大多數規範,但不必要求PKI的存在。相反,它採用了分散式的信任模型,暨由每個使用者自己決定該信任哪些其他使用者。因此,PGP不是去推廣一個全域性的PKI,而是讓使用者自己建立自己的信任之網。
4總結
最重要的是,在一些基於TCP/IP協議的網路安全問題的分析和討論,我們瞭解到應用程式層、傳輸層、網路層、傳輸層可能有幾個方面,如網路安全風險。風險的主要原因是由於信任機制的協議設計相對簡單,審定的資訊來源不到位,使大量的惡意內容利用漏洞,導致很多軟體欺騙。在解決這些問題,因此,我們需要在網路資訊傳輸通道和資訊識別單元和資料儲存資訊連結中增加安全保護,增強警惕詐騙資訊的意識,建立更多的保護環節,避免之間資訊傳輸的可訪問性。在未來,我們將繼續進一步探索相關結構的網路資訊保安保護功能,提出更科學、有效的措施,加強我國網路資訊保安,促進我國網路資訊產業的發展。
參考文獻:
[1]基於ARP資料包排程系統連線狀態檢測[J].電力系統自動化,2006.
[2]基於技術PVLAN針對ARP欺騙技術研究[J].計算機知識和技術(學術),2007.
[3]校園網的ARP欺騙攻擊和保護[J].福建計算機學報,2007.
[4]TCP/IP協議及其工作原理[J].廣西民族學院學報(自然科學版),2000.
[5]在防火牆的應用研究[J].電子科技大學學報,1999.