protocolo y los riesgos de seguridad de TCP / IP

1, el protocolo IP

  IP es un / conjunto de protocolos TCP IP protocolo crítica, utiliza el protocolo IP, tales sistemas informáticos heterogéneos en Internet (incluyendo varios tipos diferentes de ordenadores y sistemas operativos) pueden conectarse en red.

  IP protocolo de dos funciones básicas: direccionamiento y la segmentación

• Direccionamiento: protocolo de datagrama de IP puede estar en conformidad con la dirección de destino de la cabecera del paquete de datos que comprende una dirección de destino, es decir, el paquete transmitido desde un nodo a otro, la transmisión final a los datos de destinatario.
• Segmento: si existe demasiado grande de paquetes, el paquete sólo puede enviar una pequeña red de datos, compatible con el protocolo IP de paquetes dividida en diferentes paquetes de datos, e indicar los paquetes reensambladas y se pasa dentro de la cabeza.

formato de mensaje (1) IP protocolo

• Version : pista de qué versión de los paquetes de datos de protocolo que pertenecen a, por ejemplo, utilizar esta distinguir IPv4 y IPv6.
• Longitud de cabecera : cabecera de protocolo IP que indica el tiempo que la unidad es 4 bytes es decir, de 32 bits
• Tipo de servicio : para indicar cuando la calidad real de los requisitos de servicio de los paquetes transmitidos durante una red en particular lo que es
• Longitud total : es la longitud de todo el datagrama que incluye una cabecera y una parte de datos
• identificación de 16 bits : campo de identificación para la segmentación y el reensamblaje de paquetes IP, todos los paquetes que pertenecen a los mismos segmentos de paquete incluye la misma identificación.
• 3 bandera (Flag) : una longitud de 3BIT, actuando campo de indicador se usa para indicar que el paquete IP se divide. Tres de sus significados son: no se permite la fragmentación de paquetes IP (DF, no lo hacen fragmento), IP de paquetes, ya partir de entonces ha habido división divide paquete IP (MF, más fragmento). bit reservado es siempre 0, DF bit indica que el paquete no puede fragmentarse durante 1, MF bit 1 indica el paquete, así como el segmento trasero.
• Paso bandera de barrido : Mark los datos de posición de segmento reportados en unidades de 8 bytes, el primer segmento se compensa 0
• Supervivencia : un contador de paquetes para limitar el ciclo de vida, en segundos, la longitud del campo es de 8 bits, el valor máximo descrito 255 se almacena, se cuenta después de que el nodo en el proceso de aplicación real, cada número de nodos a través de un Guardar 1, cuando el recuento llega a 0, el paquete a ser desechada.
• 8 protocolo de identificación (Protocolo) : Este campo se utiliza para identificar los datos transmitidos de los cuales es un protocolo de capa superior. Por ejemplo: 0x06 representa TCP, 0x11 representa la UPD, 0x01 representa ICMP y así sucesivamente.
• Header suma de comprobación : sólo la cabeza fueron la eficacia, debido a algunos campos de la cabeza siempre está cambiando (por ejemplo: campo de toda la vida), y la cabeza de la eficacia en cada nodo tuvo que ser recalculado.
• dirección de 32 bits IP de origen (Fuente dirección IP) y la dirección IP de destino de 32 bits: Este campo contiene la dirección IP del remitente y el destinatario.
• Opción (Opción-) : el lado de transmisión se puede añadir, además, a algunos de los campos en un paquete IP de acuerdo a las necesidades, por ejemplo: el registro de la ruta (registro de ruta), fuente de enrutamiento (ruta de origen), la marca de tiempo (timestamp) y similares.

2 amenazas a la seguridad y proteger contra el protocolo IP

(1) amenazas a la seguridad
IP escuchas telefónicas
  IP protocolo no está cifrada durante la transmisión, aprobada en la clara, siempre que el atacante escuchar a escondidas información de la cabecera IP que ser capaz de interceptar y paquetes IP.

ataques IP spoofing (IP spoofing)
  de acuerdo con el protocolo IP, el router se determina únicamente de acuerdo con la dirección de IP de destino del paquete IP desde la que el puerto de transmisión de paquetes IP, sin tener en cuenta la dirección IP de origen del paquete IP. Por lo tanto, un atacante no puede determinar si la información se ha modificado la dirección IP de origen o la dirección IP de destino, el dispositivo de red modificando.
  Un atacante puede implementar fácilmente los cambios en la dirección IP a través de libpcap / WinPcap biblioteca o la programación del zócalo prima.
ataque de IP spoofing tiene una gran cantidad de daño, proporcionando apoyo a la denegación de servicio, para evitar ser rastreados y castigados por paquete IP construido la misma dirección IP de destino, dirección IP de origen y una dirección IP al azar dirección de
los ataques de fragmentación IP:
  en el protocolo IP , permite al remitente o promotor intermedio (tal como un router) para ser fragmentados paquetes IP.
  Un atacante podría utilizar este protocolo IP característica, el corte de paquetes IP en trozos muy pequeños, entonces enviado a la diana.
  fragmento IP hace transferencia de la red de recombinación, pero sólo en un receptor recombinante
  receptor debido a la recombinación de estos fragmentos una gran cantidad de recursos informáticos mínimo desperdicio

enfoque de defensa (2) IP protocolo de amenaza a la seguridad

  El filtrado de entrada

• Una entrada proporciona una pasarela de red de
• IP de origen de puerta de enlace de configuración de direcciones filtrar paquetes IP ilegales

  El filtrado de salida

• Establecer una puerta de entrada en la salida de la red
• IP de origen de puerta de enlace de configuración de direcciones filtrar paquetes IP ilegales

  rastreo de IP

• Volver de paquetes IP en un camino a través de la red
• Seguimiento de dirección o de red donde el atacante

  solución de amenazas a la seguridad del protocolo IP mejor es usar el protocolo de seguridad IP (IPSec)

3, el protocolo TCP

  protocolo TCP es un protocolo orientado a la conexión, es decir, la transmisión de datos, la comunicación de las partes necesitan para establecer una conexión
(. 1) del formato de mensaje de protocolo TCP

• puerto de origen TCP : los datos de puerto de transmisión de socket número de terminales
• puerto de destino TCP : El propósito del número de puerto de socket
• SEQ ID NO : 32, que indica la localización de segmentos TCP a todo el flujo de datos, que se utiliza para la identificación del número de secuencia de segmento, en - - la transmisión, el número de secuencia de transmisión en 1 después de una rebanada
• número de reconocimiento : 32; un identificador de fragmento del receptor enviado por el remitente esperado y contado como un paquetes de recepción de acuse de recibo. bandera ACK es 0, el número de respuesta es la porción no válido (por ejemplo, primero vinculado [el SYN] de paquetes), la respuesta es una bandera ACK No. 1 es válido.
• Longitud de cabecera : cabecera de protocolo TCP que indica la longitud, es decir, en unidades de 4 bytes de 32 bits. cambio de número de acuse de recibo, no es un simple aditivo, dependiendo del tamaño del fragmento recibida
• Reservado : Reservados longitud de campo de 3 bits se debe establecer en todo 0
• Los bits de control : paquete TCP utilizan para identificar el tipo y el significado de
  la URG: puntero de urgencia es válida
  PSH: el envío de la inundación
  RST: restablecer la conexión
  ACK: reconocer el número de secuencia es válida
  la SYN: importancia sincronizada, SEC ID Nº negociación
  del FIN: conexión desmontable
• Ventana : Indica el remitente puede aceptar más tamaño de los datos, los datos de transmisión es mayor que el otro para evitar su área de datos tamponada, desde el número de secuencia del campo de acuse de recibo comienza el conteo.
• Checksum : suma de control cubre todo el segmento TCP, los campos obligatorios, calculado por el remitente está almacenado, el terminal de recepción para autenticar
• puntero de urgencia : Cuando se establece el indicador de urgencia, puntero de urgencia es válida
• Opciones : campo Opciones para indicar el tipo del primer byte, el segundo byte indica la longitud total de la opción, inmediatamente después del valor de la opción (longitud opción es la longitud total de -2).

Establecimiento (2) conexión TCP
  TCP es un protocolo orientado a la conexión, es necesario establecer una conexión antes de que las dos partes de transmisión formal de comunicación de datos, en este acuerdo, para establecer una conexión se establece a través de un enlace de tres vías.
  Como se muestra, en una red de este tipo, el host A y el host B a los datos de transmisión, el primer anfitrión A envía un SYN B que comprende un conjunto de datos válidos, los datos en su número de secuencia inicial indicaron A utilizado fue 1,000, mientras que el SYN poco identificada como válida. Después de que el host B recibe el mensaje SYN, el host B devolverá un mensaje de ACK válida a A, B información acerca de la información de la máquina incluye el número de serie 2000, y este número de serie más 1, su descripción de la información recibida host A al host A . Un anfitrión después de recibir información desde el host A también ACK afirmado, mientras que el número de serie de su propio paquete de más uno, y dicen unos a otros, se puede enviar el siguiente número de secuencia del paquete es de 2001, estableciendo así una conexión TCP completa conexión.

(3) para liberar la conexión TCP
  conexión TCP es la liberación de una conexión TCP recursos ocupados en libertad. En primer lugar, el host B al host A envía un mensaje válido FIN para la liberación de una conexión TCP, a continuación, el host B envía un ACK recibido datos válidos, indica al host A, B anfitrión ha sido liberado de la conexión TCP. Debido a que este proceso es una conexión bidireccional, se envía un mensaje después del host B al host A enviará un mensaje requerida para liberar la conexión del host A, B anfitrión se desconectará después de que el mensaje de respuesta host A. Después de que el recurso de conexión TCP está ocupada por el sistema de recuperación.

Características (4) protocolo TCP

• conexión dúplex completo (conexión dúplex completo)
    en ambos extremos de la conexión tiene dos independientes entre sí y frente al canal de transmisión, es decir, el canal de dos vías.
• (orientados a conexión) orientados a la conexión
    de comunicaciones tanto antes del inicio de la transmisión de datos, el enlace se deben establecer (VC) a una entre los mismos lógico a través de la moda "apretón de manos de tres vías", para la transmisión de datos
• Fiabilidad (fiable)
    número de la secuencia de TCP y de acuse de recibo por medio de una posible pérdida de paquetes de tiempo para la retransmisión, el número de confirmación pueden saber si se recibe el paquete. Así TCP datos fiables se pueden transmitir. automático de hojas; garantizado datos de suministro a la orden de capa de aplicación es correcta; filtrar automáticamente paquetes duplicados; reconocimiento - asegurarse de que los datos de retransmisión de llegada de paquetes fiable
  aplicaciones de transmisión de flujo de bytes y (byte-stream), y de la red serán de fase dividida proporciona una interfaz consistente para el servicio de streaming

4, los riesgos de la seguridad del protocolo TCP

protocolo TCP existente principales amenazas a la seguridad
  ataques SYN Flood (SYN flooding)
  antes de la introducción de TCP de tres vías para establecer unas necesidades de conexión, el primer mensaje enviado en este proceso se denomina mensaje SYN, un atacante puede enviar un gran número de host de destino el primer mensaje, y ser ignorado ACK mensaje enviado a la otra parte. De esta forma, un atacante puede conseguir un ataque de denegación de servicio en el host. El host receptor después de cada mensaje recibido SYN gastará recursos para almacenar el contenido de estas conexiones TCP, si el número de ataques por parte de las personas que enviaron lo suficientemente grande, entonces se consumirá los recursos de almacenamiento host receptor cuando el usuario normal de acogida cuando se tiene acceso, no puede proporcionar los servicios.

  ACK ataques de inundación (Inundación ACK) - IP al azar
  atacante generados aleatoriamente fuente aleatoria IP y un puerto de origen al azar, en el caso de la conexión TCP establecida, el envío de un ACK objetivos mensaje válido, en contra del enlace de tres vías TCP predeterminado host B envía un mensaje para restablecer la conexión con el atacante. Si el atacante esta manera y seguir generando puerto de origen al azar al azar, el host B lo hará pasar un montón de tiempo para consultar la tabla local. A continuación, el atacante estará ocupado el manejo de estas solicitudes ilegales, cuando el usuario normal para acceder al host, puede no proporcionar servicios.

  Las inundaciones de ataques ACK (ACK inundación) - IP falsa
  De esta manera, un atacante puede dirección falsa IP y número de puerto de un objetivo a ser atacado, a continuación, modificar la dirección IP de origen de la dirección IP de destino, a la red después de que el atacante enviar un mensaje de ACK enrojecimiento, después de lo cual el huésped recibe estos mensajes, estos mensajes son ilegales para aceptar ACK anfitrión mensaje RET enviará una copia de mensaje a la dirección IP de origen, cuando el mensaje RET suficientes veces, se destinarán el manejo de estos ocupados solicitud no permitida, cuando el usuario normal para acceder a la aplicación principal, no puede proporcionar los servicios.

  Serial ataques de predicción número
  en el protocolo TCP, los paquetes de datos si la otra parte puede recibir el número de serie depende de si el paquete es un número de secuencia esperado por la otra parte, las dos partes han establecido una conexión TCP se confirma por la secuencia y los números de acuse de recibo tanto de transmisión, ya que el atacante, si se conoce el número de serie del mensaje siguiente de la conexión TCP se ha establecido a través de la especulación puerto y la predicción del número de serie, entonces el atacante puede falsificar un paquete de datos correspondiente, y lo envía a la red, después de la otra parte recibe este paquete se considerará un paquetes legítimos, por lo que ser aceptada y procesada.
  ataque de la tierra
  si el origen y el destino mismo aspecto como IP? En el establecimiento de enlace de tres vías, el envío de un mensaje SYN, la dirección IP de destino IP e IP son el servidor de origen, entonces el servidor establece una conexión con su propio espacio, que ocupa una gran cantidad de recursos.