网络协议大全优秀5篇
在不断进步的时代,用到协议的地方越来越多,签订协议后则有法可依,有据可寻。协议的注意事项有许多,你确定会写吗?下面是小编辛苦为朋友们带来的5篇《网络协议大全》,希望能够给您提供一些帮助。
网络协议大全范文 篇一
关键词:网络安全;隔离;信息交换;攻击
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)26-7381-02
Research Computer Network Security Technology and Protection
CUI Guo-qing
(God East Engineering Construction Development Co., Ltd.,Erdos 017209, China)
Abstract: The separation of network security and information exchange technology is the safety requirements of different networks secure and reliable isolation and at the same time protect the reliable exchange of information so as to enhance the internal network security level of the new network information security technology. In this paper, the current network security threats and network status information security technology, the network security isolation technology security and information exchange functions of the design of computer network security technology development and protection of important guiding significance.
Key words: network security; isolation; information exchange; attack
目前我国信息安全面临严峻形势:国外电脑硬件、软件中隐藏着“逻辑炸弹”或恶意功能;网络信息安全防护能力较弱,许多应用系统处于不设防状态,具有极大的风险性和危险性[1]。在防护技术研究上,我国信息安全研究经历了通信保密、计算机数据保护的发展阶段,正在进入网络信息安全体系全面建立的飞速发展阶段。在学习借鉴国外技术的基础上,国内相关单位开发研制了防火墙、安全路由器、安全网关、入侵检测、系统脆弱性扫描软件等[2]。但是这些产品安全技术的完善性、规范性、实用性还存在许多不足,特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面与国际先进水平存在较大距离,理论基础和自主技术手段也需要发展和强化[3]。
1 网络安全与攻击技术分析
网络中存在各种安全隐患,而网络攻击手段不断翻新,强度不断深入,广度不断扩大。目前,网络攻击技术的巨大变化主要体现在:
1) 网络攻击已经由过去的个人行为,逐步演变为有准备有组织的集团行为。
2) 用于进行网络攻击的工具层出不穷,并且易于使用,即使初级水平用户也能够容易掌握和使用。而且攻击工具的设计朝大规模、分布式攻击方向发展。
3) 往往不需要其源代码就可以发现系统和机器的脆弱性。
2 网络安全隔离与信息交换技术详细设计
2.1 内/部单元细化设计及功能描述
内/外单元各自作为堡垒主机,暴露于外/内网上,是进入内/外部网络的检查点[5]。以下将对通用协议栈、访问拦截检查机以及专用协议栈详细分析。
2.1.1 通用协议栈设计分析
通用协议站包含完整的TCP/IP层次,处理系统中所有的TCP/UDP进程。它依赖于操作系统的TCP/IP栈。通用协议栈从专用协议栈(经访问拦截检查机)和内(或外)网络获取输入数据。一条典型的网络命令类似于“从Port#1234接收,关闭进程号#12,连接到目的地址#”。这些消息会被通用协议栈解释成相应的网络任务。通用协议栈还负责处理网络数据。当数据从网络上接收以后,通用协议栈就会在逻辑上切断连接,将得到的数据包发送给访问拦截检查机,并由此生成一个内部应用数据消息的会话表。
通用协议栈维护一个协议会话表。在这个表中的每个入口绑定了包括所有的Socket资源和与进程相关联的其它资源。此外,还维护一个关于Socket ID和数据表中入口地址的映射表。因此,通用协议栈还完成了网络数据包的状态检测功能,负责对网络应用数据进行分发,并记录网络数据包中的主要参数,以加快回应处理速度。
2.1.2 访问拦截检查机设计分析
访问拦截检查机对协议数据进行分析检查。它提供语法检查并以专用压缩表达方式重新构建相同网络访问数据,重构的消息将被传送到专用协议栈。访问拦截检查机提供多种协议分析功能,对支持的应用协议提供一个单独的协议分析单元。每个经通用协议栈传过来的数据会传递到相应的协议分析单元进行协议分析检查。在进行检查的同时,访问拦截检查机还产生详尽的访问日志,发送给日志系统。日志的内容不仅包括源、目的IP地址,访问端口,协议种类以及用户标识(内部机)等信息,通过针对协议的深层检查,日志中还记录协议命令等重要参数,因此加强了协议检查的力度和深度,对协议攻击具有极高的防范能力。
2.1.3 专用协议栈
在机中,专用协议栈一方面接收访问拦截机传递的网络访问及数据,并按照类似TCP/IP分层处理方式以专用协议传输格式重构为特定应用数据包。而在另一方面,专用协议栈按TCP/IP协议分层处理方式,剥除协议头部,将专用安全协议层的数据递交给访问拦截机处理。专用协议栈的分层处理与TCP/IP协议栈类似,由上至下按特定协议格式生成协议头,添加到网络数据上;由下至上则剥离协议头,取出相关参数及数据。专用协议格式称为表单。表单结构包含所有重要的TCP/IP协议头参数,如源、目的IP地址,应用协议类型等。满足专用、灵活、内容全面的要求。既能支持大多数的应用协议,又能保证表单的格式不易被篡改、假冒。为保证数据的机密性和正确性,还应对表单数据进行加密处理。由于协议的格式特定,在重构及分解协议的映射过程中对TCP/IP协议段各项内容进行了被动检查,不符合格式映射的应用会话将被丢弃。由此,专用协议的使用及会话处理使整个系统对针对协议的攻击具有一定免疫能力,这是网络安全隔离与信息交换技术与防火墙类技术相比所具有的独特优势。
2.2 志审计单元
作为一个网络安全产品,必须对日志进行审计,以在事后通过对审计迹的检查监测用户行为,发现系统中存在的问题或缺陷,为制定相关策略,完善网络安全性提供依据。日志审计功能包括对网络重要通信数据、重要的网络行为、用户的操作行为、管理人员的管理行为进行审计。从来就没有一种技术,可以绝对的保证网络安全,即使技术在理论上可以完全安全,也不可能保证执行人员可以完整无误的执行,完全没有失误。如果管理人员出现失误,实际的网络安全也是无法保证的。信息安全其实是三分技术,七分管理。因此,无论技术有多先进,审计功能都是保障网络安全不可或缺的重要功能。
为了便于对于大量日志数据进行有效审计,日志审计系统具有自己专用的日志格式,该格式遵从WEBTRENDS等通用日志格式。同时,专用日志浏览工具将由审计管理员用于对日志进行分析。为了有效表示不同日志信息的重要程度,日志审计系统支持按照时间排序、按照事件的敏感程度排序、按照指定的其它索引规则排序,以使审计管理员统计分析各种类型的网络访问数据,为系统安全管理员修改网络访问控制策略库提供依据。
2.3 数据交换及开关控制单元
数据交换与开关控制单元是整个技术的核心部分,也是实现内、外网络间安全隔离,保证数据实时交换的关键。在设计要满足的三个条件是:1) 内/外开关的互斥通断,实现内/外之间的安全隔离;2) 开关切换不受外界控制,数据交换采用专用格式;3) 数据传输速率高于单元,防止出现性能瓶颈。
在对比了USB、SCSI及内存等技术可行性及后,我们将设计定型为开发专用电路板,对外利用DMA内存映射技术与单元完成数据交换,对内通过预定的指令逻辑系统控制开关通断,安全隔离网络,并实现数据快速交换。
3 结论
网络安全隔离与信息交换技术保证信息交换的机密性、完整性、可用性、可控性以及抗抵赖,专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术的综合应用,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程都施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,有效屏蔽操作系统和网络协议自身漏洞。随着对网络安全隔离与信息交换技术的深入研究及其与防火墙,IDS,病毒检测等网络安全技术的有机结合,加强对协议数据的检查深度和广度,提高数据的处理速率,根据实际应用修改完善安全功能,必定能成为网络信息安全更可靠的安全屏障。
参考文献:
[1] 黄元飞,陈晓桦。国家标准GB/T 18336介绍(一)[J].信息安全与通信保密,2001(6):71-72.
[2] 卢开澄,计算机密码学――计算机网络中的数据保密与安全[M].2版。北京:清华大学出版社,2006.
[3] 李颖。信息的隔离与交换技术初探[J].计算机安全,2002(12):43.
网络协议大全范文 篇二
关键词:计算机;通信技术;网络安全
计算机通信技术的应用会在实际上受到网络系统整体情况的影响,而网络安全漏洞的存在通常会使得计算机通信技术应用存在更大的风险。因此合理的剖析计算机通信技术当中网络安全协议的作用才能进一步促进计算机通信技术的长期健康发展。
1网络安全协议简析
网络安全协议是一项系统性的内容,以下从具体内容、应用目的、协议种类等方面出发,对于网络安全协议进行了分析。
1.1具体内容
网络安全协议有着自身全面的内容。众所周知网络安全协议的主要内容包括了为了能实现某个目标由数个安全程序所参与和构成的一个新的安全程序。因此这也意味着网络安全协议的主要包括应当包括许多方面的内容。首先安全协议的内容应当包括了对于协议操作过程的阐述,还有对于这一操作过程中需要遵守相应的程序和规定。其次,网络安全协议的具体内容通常还包括了对于一些不合理的程序需要设计者进行适当修正,能使得其按照正常的程序来运行。与此同时,网络安全协议的具体内容往往需要完成对于保护目标的设定,因此这也意味着网络安全协议本身应当具有一个实现目标的标准值。
1.2应用目的
网络安全协议有着鲜明的应用目的。根据上文的阐述我们可发现,计算机网络安全协议的主要内容是为了保证在计算机网络环境的长期安全而设定的一个安全程序。因此这意味着这一协议在计算机通信技术的应用过程中最为主要的目的就在在于通过增强其安全等级来确保数据和信息的安全。其次,随着现今世界范围内人们的对于计算机通信技术的需求越来越大,通信网络的安全问题已经开始成为网络技术进一步提高和发展的影响因素,因此网络安全协议的应用就是针对现今存在的问题来保证网络通信的信息共享和资源共享不会受到安全威胁和安全隐患的影响。
1.3协议种类
网络安全协议可通过细致的分类分成不同种类的协议。计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。通常来说网络安全协议例如密码协议的种类十分复杂。例如,当技术人员从ISO层级模型角度来对其进行分类时,就可将网络安全协议可分为底层协议和高层协议等不同的协议种类。其次,当技术人员从功能角度为基础来对其进行分类时,技术人员可将网络安全协议可分为身份认证协议等不同的种类,在这一过程中不同类型的网络安全协议都具备着自身独特的应用针对性和优越性以及不容忽视的缺陷。
2计算机通信技术当中网络安全协议的作用
计算机通信技术当中网络安全协议有着不容忽视的作用,以下从增强安全水平、控制设计成本、增强适用价值等方面出发,对于计算机通信技术当中网络安全协议的作用进行了分析。
2.1增强安全水平
计算机通信技术当中网络安全协议的应用可有效的增强安全水平。技术人员在增强安全水平的过程中应当清醒的认识到,虽然现今诸多网络安全协议处于持续完善的过程中,但是在这一过程中不容忽视的是这些网络安全协议自身仍旧存在着或多或少的不足与缺陷。例如互联网上的黑客可通过这些漏洞对网络系统进行攻击,甚至在部分情况下还能使网络安全协议无法起到本身应有的效果。因此技术人员在检测网络安全协议的安全性时,应当注重通过攻击本身来进行防御能力的。例如计算人员可对于网络安全协议的不同方面来进行防御测试:能以不同的角度出发来有效的增强计算机通信技术的安全水平。
2.2控制设计成本
计算机通信技术当中网络安全协议的应用能起到控制设计成本的效果。网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中,人们对计算机通信的安全协议进行了大量的研究,以提高网络信息传输的安全性。通常来说网络安全协议自身优越具有良好的稳定性,因此能起到良好的控制设计成本的效果。例如计算人员在网络安全协议的设计过程中,需要将协议即将面临的困难和遭受的攻击进行考虑和预测,与此同时还要考虑协议本身的设计成本和后期应用成本。因此只有通过技术人员持之不懈的努力,才能真正的确保网络安全协议的安全性、低成本、高性能,最终更好地达到确保网络通信技术安全水平的标准。
2.3增强适用价值
计算机通信技术当中网络安全协议的应用还可增强自身的适用价值。随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。越来越多的人通过Internet进行商务活动。电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。因此技术人员在增强其适用价值的过程中应当注重确保网络安全协议要具备能对外部的网络攻击进行有效防御。因此这就意味着网络安全协议的执行不能让攻击者通过对其进行有效攻击获得别人的重要信息和数据。其次,技术人员在增强计算机通信技术的适用价值的过程中应当对于一些用户不需要的或过时的信息进行恰当处理,能避免其被一些网络黑客进行利用对网络系统进行攻击,最终起到提高网络安全协议的安全等级和增强计算机通信技术可靠性的效果。
3结语
我国现今的计算机通信技术的应用需要网络安全协议的补充和支持。因此技术人员只有对于网络安全协议进行高效的研究,才能在此基础上切实的提升网络安全协议自身的安全等级和应用效果。
参考文献
[1]鲁来凤。安全协议形式化分析理论与应用研究[D].西安:西安电子科技大学,2001.
[2]石全民。网络安全协议在计算机通信技术当中的作用与意义[J].中国建材科技,2015(25).
网络协议大全范文 篇三
关键词:网络安全协议;计算机通信技术;作用;意义
随着经济的不断发展,人们生活水平的提高,社会开始逐渐进入到信息化时代,很多比较先进的技术已经逐渐运用到各种领域中,可以在一定程度上促进经济的增长,还给人们的生活带来了很多方便,并且在发展信息化技术的过程中,网络计算机安全问题也越来越受到重视,更多的信息技术安全措施被运用到安全防护中,很大程度上保证了计算机网络安全性和可靠性,不仅有效地增加了信息的安全性,也方便于信息技术处理,因此,就需要不断研究网络安全协议的逻辑性、完整性。从而保证网络协议具有一定的可靠性和安全性,促进计算机通信技术的发展。
1计算机通信技术的网络安全问题
现阶段,计算机网络安全技术还存在这一定的问题,主要表现在以下几个方面,第一,由于技术人员不是十分专业。在进行实际操作的时候,计算机网络技术是十分重要的学科,为了可以更好的利用网络安全技术需要一定的专业人员,但是依据现阶段的情况可以看出来,计算网络技术人员的专业水平也不一样,自身素质也不相同,是现阶段的主要存在的问题,如果不能有效地解决这种网络技术存在的问题,十分容易出现问题和安全漏洞,会导致整个系统十分混乱。第二,没有完整的防范体系。在现阶段,飞速发展的时代下,网络安全问题逐渐明显,网络安全问题实际上主要是利用黑客操作、病毒入侵、恶意攻击等导致的,没有完善的安全防范体系,就会导致造成很大影响。第三,没有完善的管理机制。从进行管理方面来说,现阶段,计算机网络通信技术没有完善的管理机制,在进行实际操作的时候,还是会出现一定的问题,仅仅考虑经济效益,从而忽略了网络安全问题。
2网络安全协议综述
随着社会的发展,人们开始重视安全协议的问题,也提高了安全意识,安全协议主要是指为了能够完成任务而组建的程序,主要具备以下几个方面:第一,安全协议仅仅只是一个过程,并且具有一定的程序性,协议的设计者合理的调节程序,遵守相应的规定,不可以进行更改。第二,制定安全协议的时候至少需要两个以上的人员进行参与,在进行的时候,每一个参与者都具有一定的步骤,但是不在协议内容范围之内。第三,安全协议的主要目的就是可以顺利完成任务,并且需要保证在周期内进行,保证预计的效果,计算机网络的安全协议主要就是在计算机进行网络传输的时候,保证信息安全性的程序。在使用的时候,安全协议主要作为保证信息数据有效性和完整性的依据,主要有身份认证和密钥分配。早在1973年的时候,计算机网络安全技术就已经被应用,为保证网络安全提供了依据和保障,但是由于科学技术的不断发展,网络安全协议也在发展和进步,逐渐不断适应社会的改变,不断优化协议内容,提高使用效果,目前主要使用的网络安全协议主要有SET协议和SSL协议,通过对网络信息进行加密从而保证安全。
3密码协议的分类
现阶段,还没有严格定论安全协议的类型,因此没有专门的对网络安全协议进行归类,实际上把密码进行严格分类是不能完成的任务,从不同角度来说,安全协议具有不同的类别。例如,从ISO层级来进行分类,可以分为低层次协议和高层次协议,从功能方面来说,可以分为密钥建立协议、认证协议以及密钥认证协议,从密钥种类来说,可以分为单钥协议、公钥协议以及混合协议。现阶段,一般都是依据功能的不同来合理划分安全协议,不需要加密技术,主要可以把安全协议分为三大类:第一,建立认证协议,实际上就是一个实体确认另外与之对应的实体身份的安全协议;第二,建立密钥协议,很多个实体合理利用共享密钥来传输安全信息的协议;第三,建立认证密钥协议,实际上就是利用身份建立一定的共享密钥得到传输安全协议。
4协议的安全性
4.1网络安全协议的攻击检验和安全性
由于社会的不断的发展,信息化技术也得到一定的进步,人们逐渐开始重视网络安全协议的使用和设计,但是,网络安全协议在刚设计完成进行使用以后,就会出现一定的安全漏洞,令人们感到十分的麻烦,导致网络安全协议出现问题的主要原因就是在设计安全协议的时候,不能充分的了解和掌握计算机通信技术网络安全主要目的和需求,也不能透彻的进行分析,从而导致会出现设计出来的安全协议在研究和分析网络安全的时候存在很大的问题,例如进行设计密码加密计算的时候是一样的,证明网络安全协议存在问题比证明其安全要相对简单一些。一般情况下,在分析网络安全的时候,会利用安全协议的攻击手段进行一定的检测和实验,这种测试主要包括对三个部分进行检测:第一,攻击协议本身;第二,协议和攻击算法的加密技术;第三,攻击协议中出现的加密算法。本文主要分析协议本身出现的攻击性与加密技术和加密算法没有一定的关系,因此我们可以在一定程度上认为加密技术和加密算法是安全的。
4.2设计安全协议的方式
在设计网络安全协议的时候,一般会对网络协议的交织攻击性和复杂的抵御能力进行设计和分析,此外,还应该保证安全协议的经济性和简单性,前者主要的目的就是在一定程度上保证协议的自身安全,后者主要就是不断增加网络安全协议的使用范围。需要合理的设置一定的边界条件,从而保证网络安全协议具有一定的经济性、复杂性、安全性以及简单性,这些都是网络安全的主要的规范和标准,第一,利用一次性随机数替代时间戳。现阶段,很多的网络安全协议基本上都是利用同步认证的方式设计出来的,这种方式需要各种认证用户保持一致的时间同步,并且具有很严格的需求,在网络环境十分好的情况下,这种方式是十分容易实现的,但是如果网络环境比较差,就很难达到实际要求,因此,在设计网络安全协议的时候,可以适当的使用异步认证方式,在设计的时候需要使用随机生成数字的方式进行验证,利用随机数字来代替时间戳,可以有效的解决网络环境比价差的现象,从而保证网络协议的认证安全。第二,抵御常规攻击,针对所有的网络安全协议,应该具备的基本功能就是抵御一般的网络攻击,也就是说混合攻击和文明攻击的基本抵御能力,就是阻止攻击者从中得到密钥信息,此外,还应该处理过期的消息也在抵御范围之内,也就是不会让攻击者合理修改信息进行攻击,从而保证网络协议的安全性。第三,应该适应于所有网络的协议层。不同网络中不同协议层具有不同的长度,因此,想要保证网络安全协议具有很好的适应性,就需要网络协议满足一定的最短协议层的基本要求,可以说是密码消息长度等于报文长度,从而保证网络的适用性和安全性。
网络协议大全范文 篇四
【关键词】TCP/IP;协议;安全隐患;策略
一、引言
TCP/IP协议是由网络层的IP协议和传输层的TCP协议组成的。TCP/IP 定义了电子设备(比如计算机)如何连入因特网,以及数据如何在它们之间传输的标准。TCP/IP是一个四层的分层体系结构。高层为传输控制协议,它负责聚集信息或把文件拆分成更小的包。低层是网际协议,它处理每个包的地址部分,使这些包正确的到达目的地。本文主要针对TCP/IP参考模型中部分层次(网络接口层、网络层、传输层)的攻击及其存在安全隐患进行分析,给出一定的解决办法。
二、网络接口层功能和其存在的安全隐患以及应对策略
网络接口层功能:网络接口层是TCP/IP模型的最底层。主要是TCP/IP与物理网络进行互通的协议。TCP/IP标准并没有定义具体的网络接口协议,而是旨在提供灵活性,以适应各种网络类型。数据链路层不是TCP/IP协议的一部分,但它是TCP/IP赖以存在的各种通信网和TCP/IP之间的接口。这些通信网包括Internet和X.25公用数据网等多种广域网络,以及各种局域网,如Ethernet、IEEE的各种标准局域网等。IP层提供了专门的功能,解决与各种网络物理地址的转换。一般情况下,各物理网络可以使用自己的数据链路层协议和物理层协议,不需要在数据链路层上设置专门的TCP/IP协议。但是,当使用串行线路连接主机与网络,或连接网络与网络时,如用户使用电话线和调制解调器接入或两个相距较远的网络通过数据专线互连时,则需要在数据链路层运行专门的串行线路网际协议(serial line IP,SLIP)的点到点(point to point protocol,PPP)协议。
(1)SLIP协议作用:SLIP协议提供了一种在串行通信线路上封装IP数据报的简单方法,使用户通过电话线和调制解调器能方便地接入TCP/IP网络。
安全隐患:首先,SLIP不支持在连接过程中的动态IP地址分配,通信双方必须事先告诉对方IP地址,这给没有固定IP地址的个人用户上Internet网带来了很大的不便;其次,SLIP帧中无协议类型字段,因此他只能支持IP协议;再有,SLIP帧中无校验字段,因此链路层上无法检测出传输差错,必须由上层实体或具有纠错能力的调制解调器来解决差错问题。
(2)PPP(Point to Point Protocol)协议是一种有效的点到点通信协议,解决了SLIP存在的上述问题,即可以支持多种网络层协议(如IP、IPX等),支持动态分配的IP地址;并且PPP帧中设置了校验字段,因而PPP在网络接口层上具有差错检验能力。
安全隐患:在以太网中,信道是共享的,数据在网络上以“帧”为单位进行传输。任何主机发送的每一个帧都会到达与其于同一网段的所有主机的网络接口,而每一个网络接口都有一个唯一的硬件地址。在网络上进行数据通信时,信息已数据报的形式传送,其报头包含了目的主机的MAC地址,根据CSMA/CD协议,正常状态下网络接口对读入的数据进行检查,如果其携带的MAC地址是自己的或者是广播地址,那么就会将数据帧交给IP层软件,否则就把它忽略掉。然而,网络上也存在一些能接收所有数据包的接口,如Sniffer,攻击方通过某些手段使网卡工作在监听模式下,从而达到非法窃取他人信息的目的。一般情况下,用户账户和密码等信息是以明文的形式在网络上传输的,很可能被探测到而遭到攻击。
主要对策:(1)首先对网络中传输的据进行加密,使攻击方无法正确还原窃取的数据,同时传输的数据是经过压缩的,可以加快传输的速度(2)安装检测软件,查看是否有Sniffer在网络中运行,做到防范于未然。(3)改用交换式的网络拓扑结构。因为在交换式以太网中,数据只会被发往目的地址的网卡,其他网卡接收不到数据包,但是交换机的成本比较高。
三、网络层协议功能和其存在的安全隐患以及应对策略策略
网络层所执行的主要功能是消息寻址以及把逻辑地址和名称转换成物理地址。通过判定从源计算机到目标计算机的路由,该层还控制子网的操作。在网络层中最常用的协议是网际协议(IP),然而在此操作中也有许多其他协议协助IP的操作。网络层中含有四个重要的协议:互联网协议IP、互联网控制报文协议ICMP、Internet组管理协议IGMP、地址转换协议ARP和反向地址转换协议RARP。
ICMP为网间报文控制协议,用于网关和主机间的差错和传输控制。它是一个非常重要的协议,不仅用于传输差错报文,还传输控制报文。 它是TCP/IP协议族的一个子协议,属于网络层协议,主要用于在主机与路由器之间传递控制信息,包括报告错误、交换受限控制和状态信息等。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时,会自动发送ICMP消息。
安全隐患:ICMP用来传送一些关于网络和主机的控制信息,如目标主机是不可到达的、路由的重定向等。常用的Ping命令就是使用ICMP协议,Ping程序是通过发送一个ICMP回应请求消息和接收一个相应的ICMP回应来测试主机的连通性。通常也可以得到一些附加信息,如收发数据包的往返时间。死亡之Ping就是利用ICMP协议的一种碎片攻击。Ping洪流攻击是故意产生畸形的测试Ping(Packet Internet Groper)包,声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB上限,使未采取保护措施的网络系统出现内存分配错误,导致TCP/IP协议栈崩溃,最终接收方荡机。
主要对策:(1)给操作系统打上补丁(2)利用防火墙来阻止Ping,然而这样也好阻挡一些合法应用,所以只需阻止被分段的Ping。这样在大多数系统上只允许一些合法的64Byte的Ping通过,就能挡住那些长度大于MTU(Maximum Transmission Unit)的ICMP数据包,从而防止此类攻击。
四、传输层协议的功能和其存在的安全隐患以及应对策略策略
传输层的主要功能是提供从一个应用程序到另一个应用程序的通信,常称为端对端的通信。现在的操作系统都支持多用户和多任务操作,一台主机可能运行多个应用程序,因此所谓端到端的通信实际是指从源进程发送数据到目标进程的通信过程。传输层定义了两个主要的协议:传输控制协议(TCP)和用户数据报协议(UDP),分别支持两种数据传送方法。
TCP协议作用:TCP传输控制协议,向用户进程提供可靠的全双工面向流的连接,并进行传输正确性进行检查。如果IP数据包中有已经封好的TCP数据包,那么IP将把它们向‘上’传送到TCP层。TCP将包排序并进行错误检查,同时实现虚电路间的连接。TCP数据包中包括序号和确认,所以未按照顺序收到的包可以被排序,而损坏的包可以被重传。TCP将它的信息送到更高层的应用程序。 TCP使用三次握手机制建立一条连接,第一个报文为SYN包,第二个报文为SYN/ACK包,第三个报文是应答ACK包。若A为连接方,B为响应方,其间可能的威胁为攻击者监听B方发出的SYN/ACK报文:攻击者向B放发送RST包,接着发送SYN包,假冒A方发起新的连接:B方响应并发送连接响应报文SYN/ACK,攻击者再假冒A方发送ACK包。攻击者便达到了破坏连接的作用,若攻击者在趁机插入有害数据包,则后果更严重。
安全隐患:
(1)利用TCP连接过程中三次握手的缺陷实施SYN攻击及应对策略:
黑客利用主机建立连接需要进行三次握手的缺陷可以对B主机实施SYN攻击。由于B主机在收到A主机的SYN请求,发出应答后,需要“监听”A主机的确认应答。该“监听”在监听队列中至少应保持75秒以上,以保证在Internet上有足够的时间建立连接。但是监听队列一般只能保持有限的连接(缺省值为5个),攻击者可以利用监听队列容量有限,向B主机发送多个SYN请求,但不回答B主机送回的SYN和ACK信号。这样,监听队列很快就会溢出,停止接受新的连接请求。只有等队列中连接完成或超时,才能接受新的请求。这可以让主机拒绝响应至75秒。另外,SYN攻击也可以作为实现其他攻击的助手。虽然利用SYN攻击可以实现拒绝服务,但是在许多情况下,攻击者都是利用TCP/IP设计中的固有缺陷进行,把SYN攻击作为其他复杂欺骗和攻击的基础。
应对策略:通过增加缓存中最大未完成连接的次数(或动态地分配代替固定的最大值),可以迫使黑客增加工作量,达到减少攻击的目的。但只要最大未完成连接数是固定的,问题就不能完全解决。因此只要连接建立持续时间是有限的,其他主机就能向它发送很多不能完成的连接请求,最终阻塞目标主机。这就意味着完全根除SYN攻击是非常困难的。为了防止SYN FLOOD攻击,我们一方面在设置防火墙和路由器时可以在给定时间内只允许有限数量的半开连接,另一方面给系统打上补丁,LINUX和SOLARIS使用了一种被称为SYN COOKIE的技术来解决SYN FLOOD攻击,在半开连接队列之外另设置了一套机制,使得合法连接得以正常继续。
UDP协议作用:用户数据报协议,为用户进程提供无连接的传输,不保证数据包可靠传输。UDP与TCP位于同一层,但它不管数据包的顺序、错误或重发。因此,UDP不被应用于那些使用虚电路的面向连接的服务,UDP主要用于那些面向查询---应答的服务,如NFS。
安全隐患:UDP DNS Query Flood攻击实质上是UDP Flood的一种,UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
应对策略:
在UDP Flood的基础上对 UDP DNS Query Flood 攻击进行防护。根据域名 IP 自学习结果主动回应,减轻服务器负载(使用 DNS Cache)。对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制。在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级。限制每个源 IP 地址每秒的域名解析请求次数。
五、结束语
通过对TCP/IP协议部分组成层次进行分析,可以发现TCP/IP协议在设计和应用上上存在着一些漏洞,黑客们往往利用各类攻击程序对网络所存在的安全隐患进行目的性的攻击和破坏。因此TCP/IP协议中各层次所存在的安全隐患也是未来网络安全领域所关注的重要问题之一,对未来网络的发展也极为重要。随着科学技术的不断发展,各种新的网络规范和协议的出现和制定,将会进一步的弥补和完善互联网协议的安全性和规范性。使互联网及其相关产业朝着更加便捷,更加安全的方向发展下去。
参考文献:
[1] 胡道元,闵京华。网络安全[M].北京:清华大学出版社,2004.1.
[2] 陈天洲,陈纯,谷小妮。计算机安全策略[M].浙江大学出版社,2004.8.
[3] Kenneth D.Reed.协议分析[M].孙坦, 张学锋,杨琳等译。北京: 电子工业出版社, 2004.
[4] WRichard 详解(第 1~2 卷)[M].机械工业出版社,2000.
[5] 范文娟。网络犯罪常用的攻击手法研究[J].网络安全技术与应用,2004,(12):30-32.
网络协议大全范文 篇五
关键词:IPv4/IPv6;双协议栈;IP隧道;翻译技术;安全问题
随着计算机技术和通信技术的飞速发展,计算机网络已经成为人们学习、生活和工作必不可少的部分。但是随着计算机网络的发展,自身成为成功者的同时,也变成了受害者,网络的发展,网民数量的激增,使TCP/IP协议中,IPv4地址空间消耗殆尽。2011年2月3日全球互联网IP地址相关管理组织宣布,现有互联网IPv4地址已经于当天分配完毕。即使是IPv4地址大国美国,IPv4地址也将于2014年枯竭,届时整个互联网络将处于饱和状态。IPv4地址向IPv6地址的过渡已成为必然的趋势。
1、IPv4和IPv6简介
IP协议是TCP/IP协议集中的重要协议,全称为InternetProtoc01,一直以来使用较多的是IP协议的第四个版本,即IPv4协议,在以TCP/IP通信的网络上,每台主机都必须拥有唯一的IP地址,该IP地址用来标识每一台主机。IPv4版本规定IP地址为32个二进制位,理论上IPv4版本拥有的IP地址有232个,可以标识40亿台主机。
IPv6是Internet Protocol协议的第六个版本,是用来替代IPv4协议的下一代互联网协议,IPv6是为了解决IPv4所存在的一些问题提出的,解决网络地址资源有限的问题,在扩大地址空间的同时,在其它方面进行了改进。IPv6版本的IP地址采用128个二进制位,是IPv4地址的4倍。
2、IPv4向JPv6过渡的技术
IPv4向IPv6过渡,最终被IPv6取代,是历史的必然。但是在当前的互联网中,多数设备支持IPv4协议,且IPv4和IPv6协议存在较大的差别,将现有IPv4协议和设备在短时间内进行更换不太现实。所以在IPv4主导的网络中,如何将IPv4向IPv6进行平滑的过渡,决定了IPv6技术是否能取得成功,IPv4向IPv6过渡的技术变得尤为重要。
IPv4向IPv6过渡的技术标准较多,已经有数十种,但是到目前为止,还没有一种通用的过渡机制,现有的过渡技术各有优缺点,且使用范围不同,比较常用的有以下几种过渡技术。
2.1 IPv4/IPv6双协议栈
由于IPv4向IPv6过渡是一个漫长的过程,这就需要IPv4协议和IPv6协议的共存。Dual Stack技术指网络中的节点既支持IPv4协议,又支持IPv6协议,并同时运行这两个协议栈,由于IPv4协议和IPv6协议都工作于网络层,为传输层提供服务,基于相同的物理平台,二者具有相似性,因此支持双协议栈的节点既能和纯IPv6的网络进行通信,又能和纯IPv4的网络进行通信,在IPv4和IPv6共存的网络中是一种有效的过渡机制。
运行双栈协议的节点在接收数据包时,数据链路层收到数据包,拆开并检查数据段,根据数据段包头中的版本号,来决定使用什么协议栈进行处理,如果版本号是“4”,该数据包使用IPv4协议栈来处理,如果版本号是“6”,则数据包由IPv6协议栈处理。在发送数据包时,同样根据目的节点支持的协议和所在的网络进行判断,使用其中的一种协议进行通信。
双协议栈需要在节点上同时配置和运行IPv4和IPv6协议,这样才能保证IPv4和IPv6网络的同时工作,这种方式虽然兼容了使用IPv4协议和IPv6协议的网络,但是需要配置双路由协议,使网络更加复杂,而且不能缓解IPv4地址耗尽的问题。但是在IPv6协议应用的初期,网络主要使用IPv4协议,新增加使用IPv6协议的网段,以独立的链路接入到上级IPv6网络,选择IPv4/IPv6双协议栈路由器作为IPv6的接入节点,既保证了新建的IPv6网络能使用原有的网络资源,又保证了原有计算机网络的系统安全,使网络稳定运行。双协议栈过渡技术原理简单,是其他过渡技术的基础。
2.2 IP隧道技术
隧道技术是一种数据包的封装技术,虽然隧道技术可以应用在不同的环境中,且应用目的各不相同,但是基本模式保持不变,利用IPv6网络传递IPv4报文,或者是利用IPv4网络传递IPv6报文。过渡的初期,网络以IPv4网络为主,在IPv4隧道中传输IPv6数据包,IPv6数据包是不被修改的,隧道协议将IPv6数据包重新封装到IPv4数据包中,在IPv6数据包前插入IPv4包头,通过公共网络进行传输。在隧道出口处,将数据包进行解封装,取出IPv6数据包,并转发给IPv6节点。被封装的数据包在整个公共网络上传递时所经过的逻辑路径称为隧道,隧道的两端要进行IPv6数据包的封装和解封装,所以隧道两端的设备要同时运行IPv4协议和IPv6协议。
通过隧道技术,在以IPv4为主体的网络中,解决了独立的IPv6网络之间的通信,但是不能解决IPv6和IPv4网络之间互联的问题。且IPv6数据包封装时,需要在IPv6数据包上增加IPv4数据包的包头,由于隧道有最大传输单元的限制,这就减少了IPv6数据包的长度,造成了数据包分片的增加。
2.3 翻译技术
虽然双协议栈技术使IPv4协议和IPv6协议并存,但是没有解决IPv4地址耗尽的问题。IP隧道技术也只是在IPv4的网络上实现IPv6网络之间的通信,不能实现纯IPv6网络的用户和IPv4网络的用户之间互联。对于新建的IPv6网络,其用户数量在逐渐增加,但是目前不可能和IPv4网络的用户数量向比,如果IPv6网络和IPv4网络之间不能进行互通,那么IPv6网络就失去了存在的意义。
IPv6翻译技术可以分为无状态翻译技术和有状态翻译技术两种。无状态的翻译技术是指通过预先设定的算法维护IPv6和IPv4地址之间的映射关系,有状态的翻译技术是指在翻译设备中动态产生映射关系。
无状态的翻译技术中,IPv4/IPv6翻译器也是一台路由器,且路由器不需要维护状态,具有管理性、扩展性和安全性好的特点,并支持双向通信。无状态翻译过渡技术已经累计获得了5项国际互联网标准:RFC6052、RFC6144、RFC6145,RFC6219和RFC6791,这些标准对IPv4/IPv6过渡技术和IPv6协议地址结构的演进具有重要的影响。
翻译技术旨在推进使用IPv6协议和IPv4协议用户之间的相互访问,这些访问不需要绑定数据库,只需要小部分的设备更新,管理方便,且解决了IPv6用户和IPv4用户之间的互访问题。
3、IPv4向IPv6过渡中面临的安全问题
IPv4协议地址的耗尽,IPv6协议的地址空间满足全球网络的需求。IPv6取代IPv4是一个长期的过程,IPv6协议在设计之初考虑到了安全问题,安全性得到了改善,但是在提供大量IP地址的同时,另一系列的安全问题也随之而来。使用IPv6协议,增加了地址空间,在一个网络上能容纳大量的主机地址,实现局域网的扩展。但是大型网段有利也有弊,由于网络的扩展,对IPv6网段的安全漏洞进行全面扫描需要较长的时间,这就增加了对IP地址管理和监视的难度。
IPv4/IPv6双协议栈过渡机制的使用,虽然保证了IPv4和IPv6网络的同时工作,但是也给网络带来了新的安全问题。对于同时运行IPv4协议和IPv6协议的节点,黑客可以通过两种协议进行协调攻击,利用节点上对两种协议中安全设备的协调不足来躲避检测,攻击安全漏洞。
以上内容就是差异网为您提供的5篇《网络协议大全》,希望可以启发您的一些写作思路,更多实用的范文样本、模板格式尽在差异网。