Day-001-TCP-IP协议栈安全分析

# Day 01: TCP/IP 协议栈安全分析

> 网络安全系列第 1 天 | 预计阅读时间：25 分钟 | 难度：★★★☆☆

---

## 清单 目录

1. [引言](#引言)
2. [TCP/IP 协议栈架构](#tcpip协议栈架构)
3. [各层安全威胁分析](#各层安全威胁分析)
4. [实验环境搭建](#实验环境搭建)
5. [实战演练](#实战演练)
6. [防护策略](#防护策略)
7. [总结与思考](#总结与思考)
8. [参考资料](#参考资料)

---

## 引言

### 为什么学习 TCP/IP 协议栈安全？

TCP/IP 协议族是互联网的基石，从你早上打开手机浏览新闻，到晚上通过微信与朋友聊天，每一次网络通信都建立在 TCP/IP 协议栈之上。然而，这个设计于 1970 年代的协议栈，在安全性方面存在先天不足：

- **设计时代背景**：TCP/IP 设计之初，网络环境是可信的学术网络，安全性不是首要考虑
- **明文传输**：大量协议数据以明文形式传输
- **缺乏认证**：许多协议缺乏身份验证机制
- **状态管理缺陷**：连接状态管理存在可被利用的漏洞

作为安全从业者，深入理解 TCP/IP 协议栈的安全问题，是进行网络攻防、安全架构设计、应急响应的基础能力。

### 本文你将学到什么

- TCP/IP 四层模型的完整架构和各层功能
- 每一层面临的主要安全威胁和攻击原理
- 如何搭建实验环境进行协议分析
- 实用的防护策略和加固方法

---

## TCP/IP 协议栈架构

### 四层模型详解

TCP/IP 协议栈采用四层架构，每层承担不同的通信功能：

```
┌─────────────────────────────────────────┐
│          应用层 (Application)            │
│     HTTP, DNS, SMTP, FTP, SSH, ...      │
├─────────────────────────────────────────┤
│          传输层 (Transport)              │
│         TCP, UDP, SCTP, ...             │
├─────────────────────────────────────────┤
│          网络层 (Internet)               │
│      IP, ICMP, ARP, IGMP, ...           │
├─────────────────────────────────────────┤
│        网络接口层 (Network Access)        │
│   Ethernet, WiFi, PPP, Frame Relay...   │
└─────────────────────────────────────────┘
```

### 各层核心协议与功能

#### 1. 应用层
负责处理特定的应用程序逻辑，为用户提供网络服务接口。

| 协议 | 端口 | 功能 | 安全风险 |
|------|------|------|----------|
| HTTP | 80 | 网页传输 | 明文传输、中间人攻击 |
| HTTPS | 443 | 加密网页传输 | 证书伪造、降级攻击 |
| DNS | 53 | 域名解析 | 缓存投毒、劫持 |
| SMTP | 25 | 邮件传输 | 垃圾邮件、钓鱼 |
| SSH | 22 | 安全远程登录 | 暴力破解、密钥泄露 |

#### 2. 传输层
负责端到端的通信，提供可靠或不可靠的数据传输服务。

**TCP（传输控制协议）特点**：
- 面向连接
- 可靠传输（确认、重传机制）
- 流量控制（滑动窗口）
- 拥塞控制

**UDP（用户数据报协议）特点**：
- 无连接
- 不可靠传输
- 低延迟
- 适用于实时应用

#### 3. 网络层
负责数据包的路由和转发，实现主机到主机的通信。

**IP 协议核心功能**：
- 寻址（IP 地址）
- 路由选择
- 分片与重组

#### 4. 网络接口层
负责物理网络上的数据帧传输。

---

## 各层安全威胁分析

### 网络接口层威胁

#### 1. ARP 欺骗（ARP Spoofing）

**原理**：
ARP（地址解析协议）用于将 IP 地址映射到 MAC 地址。由于 ARP 协议无认证机制，攻击者可以发送伪造的 ARP 响应，将受害者的流量重定向到攻击者主机。

```
正常通信：
  Alice: "Who has 192.168.1.1? Tell 192.168.1.100"
  Gateway: "192.168.1.1 is at 00:11:22:33:44:55"

ARP 欺骗：
  Alice: "Who has 192.168.1.1? Tell 192.168.1.100"
  Attacker: "192.168.1.1 is at AA:BB:CC:DD:EE:FF" (伪造)
```

**影响**：
- 中间人攻击（MitM）
- 会话劫持
- 数据窃听

#### 2. MAC 地址泛洪

**原理**：
交换机维护 MAC 地址表，当表被填满后，交换机会进入"失效开放"模式，将所有流量广播到所有端口。

**防御**：
- 端口安全（Port Security）
- 限制 MAC 地址数量
- 802.1X 认证

### 网络层威胁

#### 1. IP 欺骗（IP Spoofing）

**原理**：
攻击者伪造源 IP 地址发送数据包，用于：
- 隐藏真实身份
- 绕过基于 IP 的访问控制
- DDoS 攻击（反射放大）

**检测难度**：
- 无状态协议，难以追踪
- 需要入口/出口过滤（BCP38）

#### 2. ICMP 攻击

**常见攻击类型**：

| 攻击类型 | 原理 | 防御 |
|----------|------|------|
| Ping Flood | 大量 ICMP Echo 请求 | 限制 ICMP 速率 |
| Smurf Attack | 广播地址 + IP 欺骗 | 禁用广播转发 |
| ICMP Redirect | 伪造路由重定向 | 忽略 ICMP 重定向 |
| Ping of Death | 超大 ICMP 包 | 现代系统已修复 |

#### 3. IP 分片攻击

**原理**：
IP 协议允许大数据包分片传输，攻击者可构造异常分片：
- Teardrop 攻击：重叠分片导致重组失败
- 分片绕过：将恶意内容隐藏在分片中绕过检测

**防御**：
- 防火墙重组检查
- 丢弃异常分片

### 传输层威胁

#### 1. TCP SYN Flood

**原理**：
利用 TCP 三次握手的缺陷：

```
正常握手：
  Client → SYN → Server
  Client ← SYN-ACK ← Server
  Client → ACK → Server  (连接建立)

SYN Flood 攻击：
  Attacker → SYN → Server
  Attacker ← SYN-ACK ← Server
  (无 ACK 响应，连接半开)
  
  大量半开连接耗尽服务器资源
```

**防御策略**：

```bash
# Linux 内核参数优化
sysctl -w net.ipv4.tcp_syncookies=1
sysctl -w net.ipv4.tcp_max_syn_backlog=2048
sysctl -w net.ipv4.tcp_synack_retries=2

# iptables 防护
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT
```

#### 2. TCP 会话劫持

**原理**：
攻击者预测或窃取 TCP 序列号，插入恶意数据到现有连接中。

**条件**：
- 能够嗅探网络流量
- 能够预测序列号（现代系统已随机化）
- 能够注入数据包

**防御**：
- 使用加密（TLS/SSH）
- 随机化序列号
- 会话绑定

#### 3. UDP 反射放大攻击

**原理**：
利用 UDP 协议无连接特性，伪造源 IP 向服务器发送请求，服务器响应发送到受害者。

**常见放大协议**：

| 协议 | 放大倍数 | 说明 |
|------|----------|------|
| DNS | 28-54x | ANY 查询 |
| NTP | 200-500x | monlist 命令 |
| SSDP | 30x | M-SEARCH |
| Memcached | 50000x | 未授权访问 |

**防御**：
- 禁用不必要的 UDP 服务
- 配置速率限制
- 实施 BCP38 源地址验证

### 应用层威胁

#### 1. DNS 攻击

**DNS 缓存投毒**：
```
攻击者伪造 DNS 响应，将域名解析到恶意 IP

目标：www.bank.com → 1.2.3.4 (真实)
目标：www.bank.com → 5.6.7.8 (伪造)
```

**防御**：
- DNSSEC（DNS 安全扩展）
- DNS over HTTPS (DoH)
- DNS over TLS (DoT)

#### 2. HTTP 攻击

| 攻击类型 | 描述 | 防御 |
|----------|------|------|
| HTTP 走私 | 利用请求解析差异 | 统一解析器 |
| HTTP 分裂 | 注入换行符 | 输入验证 |
| 慢速攻击 | Slowloris 占用连接 | 连接超时 |

---

## 实验环境搭建

### 环境要求

- 虚拟化软件：VirtualBox / VMware
- 攻击机：Kali Linux
- 目标机：Metasploitable2 / Ubuntu
- 网络模式：仅主机（Host-only）或 NAT 网络

### 网络拓扑

```
┌─────────────┐         ┌─────────────┐
│   Kali      │         │  Metasploitable │
│  192.168.56.101 │─────│  192.168.56.102 │
│  (攻击机)    │         │   (目标机)     │
└─────────────┘         └─────────────┘
         │                       │
         └───────────┬───────────┘
                     │
              Host-only Network
              192.168.56.0/24
```

### 工具安装

```bash
# Kali Linux 预装工具
# Wireshark - 协议分析
# tcpdump - 命令行抓包
# hping3 - 数据包构造
# arpspoof - ARP 欺骗
# scapy - Python 数据包处理

# 验证安装
which wireshark tcpdump hping3
```

---

## 实战演练

### 实验 1: TCP 三次握手分析

**目的**：理解 TCP 连接建立过程

**步骤**：

1. 启动 Wireshark，选择网络接口
2. 设置过滤器：`tcp.port == 80`
3. 在终端执行：
   ```bash
   curl http://192.168.56.102
   ```
4. 在 Wireshark 中观察：
   - SYN 包（Seq=0）
   - SYN-ACK 包（Seq=0, Ack=1）
   - ACK 包（Seq=1, Ack=1）

**关键观察点**：
- 序列号变化
- 标志位（SYN, ACK）
- 窗口大小

### 实验 2: SYN Flood 演示（隔离环境）

! **警告**：仅在隔离实验环境进行，勿对生产系统测试

**步骤**：

```bash
# 1. 在目标机监控连接
netstat -an | grep SYN_RECV | wc -l

# 2. 攻击机发送 SYN 包
hping3 -S -p 80 --flood 192.168.56.102

# 3. 观察目标机状态
# SYN_RECV 连接数急剧增加
# 正常连接无法建立
```

**预期结果**：
- 目标机 SYN_RECV 状态连接激增
- 正常服务响应变慢或无响应
- 系统资源（CPU、内存）消耗增加

**防御验证**：

```bash
# 启用 SYN Cookies
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# 再次测试，观察连接是否正常处理
```

### 实验 3: ARP 欺骗检测

**步骤**：

```bash
# 1. 查看正常 ARP 表
arp -a

# 2. 监控 ARP 流量
arpwatch -i eth0

# 3. 检测异常（另一终端执行 ARP 欺骗）
arpspoof -i eth0 -t 192.168.56.102 192.168.56.1

# 4. 观察 ARP 表变化
# 网关 MAC 地址变为攻击者 MAC
```

**防御配置**：

```bash
# 静态 ARP 条目
arp -s 192.168.56.1 00:11:22:33:44:55

# 或使用 ARP 防护工具
arpguard
```

### 实验 4: ICMP 分析

**步骤**：

```bash
# 1. 捕获 ICMP 流量
tcpdump -i eth0 -n icmp

# 2. 发送 Ping 请求
ping -c 4 192.168.56.102

# 3. 分析输出
# ICMP Echo Request (Type 8)
# ICMP Echo Reply (Type 0)

# 4. 跟踪路由
traceroute 192.168.56.102
# 观察 TTL 递减和 ICMP Time Exceeded 消息
```

---

## 防护策略

### 网络层防护

#### 1. 防火墙配置

```bash
# iptables 基础防护规则
# 默认策略
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# 允许已建立连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 允许 SSH
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

# 防止 SYN Flood
iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 3 -j ACCEPT

# 防止 Ping Flood
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# 记录丢弃
iptables -A INPUT -j LOG --log-prefix "IPTABLES-DROP: "
iptables -A INPUT -j DROP
```

#### 2. 内核参数加固

```bash
# /etc/sysctl.d/99-network-security.conf

# 禁用 IP 转发（非路由器）
net.ipv4.ip_forward = 0

# 启用 SYN Cookies
net.ipv4.tcp_syncookies = 1

# 禁用源路由
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 禁用 ICMP 重定向
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 启用反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 忽略 ICMP 广播
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 记录可疑包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# 应用配置
sysctl -p /etc/sysctl.d/99-network-security.conf
```

### 传输层防护

#### 1. TCP  Wrapper

```bash
# /etc/hosts.allow
sshd: 192.168.56.0/24

# /etc/hosts.deny
ALL: ALL
```

#### 2. 连接限制

```bash
# 使用 connlimit 模块
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT
```

### 应用层防护

#### 1. DNS 安全

```bash
# 使用 DNSSEC
# 配置支持 DNSSEC 的解析器
# 如：Google DNS (8.8.8.8), Cloudflare (1.1.1.1)

# 本地 DNS 缓存
apt install dnsmasq
```

#### 2. 服务加固

```bash
# 禁用不必要服务
systemctl disable telnet.socket
systemctl disable rsh.socket
systemctl disable rlogin.socket

# 使用安全替代
# Telnet → SSH
# FTP → SFTP/SCP
# HTTP → HTTPS
```

### 监控与检测

#### 1. 网络监控

```bash
# 安装 ntopng
apt install ntopng
systemctl start ntopng
# 访问 http://localhost:3000

# 或使用 Zeek (原 Bro)
apt install zeek
```

#### 2. 入侵检测

```bash
# 安装 Snort
apt install snort

# 配置规则
# /etc/snort/rules/local.rules
alert tcp any any -> any 22 (msg:"SSH Connection"; sid:1000001;)

# 运行
snort -A console -q -c /etc/snort/snort.conf -i eth0
```

---

## 总结与思考

### 核心要点回顾

1. **TCP/IP 协议栈设计于可信环境**，安全性是后期补充
2. **每层都有特定威胁**：
   - 网络接口层：ARP 欺骗、MAC 泛洪
   - 网络层：IP 欺骗、ICMP 攻击、分片攻击
   - 传输层：SYN Flood、会话劫持、UDP 反射
   - 应用层：DNS 投毒、HTTP 攻击
3. **防御需要多层策略**：防火墙、内核加固、服务加固、监控检测

### 深入思考问题

1. **为什么 TCP 不设计内置认证机制？**
   - 历史原因：设计时网络环境可信
   - 性能考虑：认证增加开销
   - 解决方案：在应用层实现（TLS）

2. **IPv6 是否解决了 IPv4 的安全问题？**
   - IPSec 是 IPv6 标准组成部分
   - 但实际部署中常被禁用
   - 新的攻击面：NDP 欺骗、SLAAC 攻击

3. **软件定义网络（SDN）对协议栈安全的影响？**
   - 集中控制便于安全管理
   - 但控制器成为新攻击目标
   - 需要新的安全架构

### 下一步学习建议

- **深入协议分析**：学习 Wireshark 高级过滤和解析
- **实践攻防演练**：搭建完整实验环境进行攻防对抗
- **学习加密协议**：理解 TLS/SSL 如何保护上层应用
- **关注新协议**：HTTP/3 (QUIC)、DoH/DoT 的安全特性

---

## 参考资料

### 标准文档
- RFC 793 - Transmission Control Protocol
- RFC 791 - Internet Protocol
- RFC 826 - Address Resolution Protocol
- RFC 792 - Internet Control Message Protocol

### 书籍推荐
- 《TCP/IP 详解 卷 1: 协议》- W. Richard Stevens
- 《TCP/IP 安全》- Thomas R. Peltier
- 《网络攻防技术与实践》- 多种中文教材

### 工具资源
- [Wireshark 官方文档](https://www.wireshark.org/docs/)
- [Tcpdump 手册](https://www.tcpdump.org/manpages/)
- [Hping3 使用指南](http://www.hping.org/)

### 在线资源
- [OWASP Network Security](https://owasp.org/www-community/controls/Network_Security)
- [SANS TCP/IP Security](https://www.sans.org/)
- [NIST Network Security Guidelines](https://csrc.nist.gov/)

---

**标记 明日预告**：Day 02 - DNS 协议安全与 DNS 劫持攻防

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 1 篇，完整系列请访问项目仓库。*