# TCP/IP协议安全
> **一、协议结构及安全问题**
> 了解TCP/IP协议的体系及每一层的作用;
> 了解网络接口层的作用及面临的网络安全问题;
> 了解IP协议的工作机制及面临的安全问题;
> 了解传输层协议TCP和UDP的工作机制及面临的安全问题;
> 了解应用层协议面临安全问题。
>
> **二、安全解决方案**
> 了解基于TCP/IP协议簇的安全架构;
> 了解IPv6对网络安全的价值。
### 一、协议结构及安全问题
#### 1、TCP/IP协议结构
#### 2、网络接口层
1. **主要协议**
- ARP:地址解析协议IP → MAC
- 广播
- 多播
- 单播
- RARP
2. **安全问题**
- 损坏:自然灾害、动物破坏、老化、误操作
- 干扰:大功率电器/电源线路/电磁辐射
- 电磁泄漏:传输线路电磁泄漏
- 欺骗:ARP欺骗
- 嗅探:常见二层协议是明文通信的
- 拒绝服务:mac flooding, arp flooding等
#### 3、网络互联层
1. **核心协议 - IP协议**
- IP是TCP/IP协议族中最为核心的协议
- 目前广泛使用的IPv4提供无连接不可靠的服务
2. **IP地址的分类**
- A:1-126
- B:128-191
- C:192-223
- D:224-239 多播通讯
- E:240-254 科学研究
- 公有IP地址:在Internet上使用的IP地址,A、B、C三类
- A:10.\*.\*.\* /8
- B:172.16.\*.\* - 172.31.\*.\* /16
- C:192.168.\*.\* /16
- 私有IP地址:在Intranet上使用的IP地址
- 127.\*.\*.\*:Loopback Address,回环测试地址
- 169.254.\*.\*:APIPA,自动私有IP地址
- DHCP:动态主机配置协议
3. **安全问题**
- 拒绝服务:分片攻击(teardrop)/死亡之ping
- 欺骗:IP源地址欺骗
- 窃听:嗅探
- 伪造:IP数据包伪造
#### 4、传输层协议
1. **TCP(传输控制协议)**
> TCP:面向连接的协议、可靠的服务、三次握手机制
- 提供面向连接的、可可靠的字节流服务
- 提供可靠性服务
- 数据包分块、发送接收确认、超时重发、数据校验、数据包排序、控制流量
- ......
2. **UDP(用户数据报协议)**
- 提供面向事务的简单不可靠信息传送服务
- 特点
- 无连接、不可靠
- 协议简单、占用资源少,效率高
- ......
3. **安全问题**
- 拒绝服务:syn flood / udp flood / Smurf
- 欺骗:TCP会话劫持
- 窃听:嗅探
- 伪造:数据包伪造
#### 5、应用层协议
- 应用层协议定义了运行在不同端系统上的应用程。序进程如何相互传递报文
1. **典型的应用层协议**
- 域名解析:DNS
- 电子邮件:SMTP/POP3
- 文件传输:FTP
- 网页浏览:HTTP
- ......
2. **安全问题**
- 拒绝服务:超长URL链接
- 欺骗:跨站脚本、钓鱼式攻击、cookie欺骗
- 窃听:数据泄漏
- 伪造:应用数据篡改
- 暴力破解:应用认证口令暴力破解等
- ......
### 二、安全解决方案
#### 1、基于TCP/IP协议簇的安全架构
- IPSec协议通过认证头协议(Authentication Header,AH)为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况。
- IPSec协议中通过封装安全载荷协议(Encapsulating Security Payload,ESP)加密需要保护的载荷数据,为这些数据提供机密性和完整性保护能力。
#### 2、IPv6 协议
> 略