国产高清精品网站,日韩欧中文字幕

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體，實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。當(dāng)前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

因此如果攻擊者向被攻擊主機(jī)發(fā)送足夠多的TCP-SYN包，并且足夠快，被攻擊主機(jī)的TCP模塊肯定會(huì)因?yàn)闊o(wú)法為新的TCP連接分配到系統(tǒng)資源而處于服務(wù)拒絕狀態(tài)。并且即使被攻擊主機(jī)所在網(wǎng)絡(luò)的管理員監(jiān)聽(tīng)到了攻擊者的數(shù)據(jù)包也無(wú)法依據(jù)IP頭的源地址信息判定攻擊者是誰(shuí)。

　　當(dāng)B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，現(xiàn)在C必須想方設(shè)法確定A當(dāng)前的ISN。首先連向25端口，因?yàn)镾MTP是沒(méi)有安全校驗(yàn)機(jī)制的，與前面類似，不過(guò)這次需要記錄A的ISN，以及C到A的大致的RTT(round trip time)。這個(gè)步驟要重復(fù)多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加規(guī)律，就可以計(jì)算出從C到A需要RTT/2 的時(shí)間。然后立即進(jìn)入攻擊，否則在這之間有其他主機(jī)與A連接，ISN將比預(yù)料的多。

　　C向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接，只是信源IP改成了B。A向B回送SYN+ACK數(shù)據(jù)段，B已經(jīng)無(wú)法響應(yīng)，B的TCP層只是簡(jiǎn)單地丟棄A的回送數(shù)據(jù)段。這個(gè)時(shí)候C需要暫停一小會(huì)兒，讓A有足夠時(shí)間發(fā)送SYN+ACK，因?yàn)镃看不到這個(gè)包。然后C再次偽裝成B向A發(fā)送ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有Z預(yù)測(cè)的A的ISN+1。

　　如果預(yù)測(cè)準(zhǔn)確，連接建立，數(shù)據(jù)傳送開(kāi)始。問(wèn)題在于即使連接建立，A仍然會(huì)向B發(fā)送數(shù)據(jù)，而不是C，C仍然無(wú)法看到A發(fā)往B的數(shù)據(jù)段，C必須蒙著頭按照協(xié)議標(biāo)準(zhǔn)假冒B向A發(fā)送命令，于是攻擊完成。如果預(yù)測(cè)不準(zhǔn)確，A將發(fā)送一個(gè)帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，C只有從頭再來(lái)。隨著不斷地糾正預(yù)測(cè)的ISN，攻擊者最終會(huì)與目標(biāo)主機(jī)建立一個(gè)會(huì)晤。

　　通過(guò)這種方式，攻擊者以合法用戶的身份登錄到目標(biāo)主機(jī)而不需進(jìn)一步的確認(rèn)。如果反復(fù)試驗(yàn)使得目標(biāo)主機(jī)能夠接收對(duì)網(wǎng)絡(luò)的ROOT登錄，那么就可以完全控制整個(gè)網(wǎng)絡(luò)。

　　C(B) ---- SYN ----> A
　　B <---- SYN+ACK ---- A
　　C(B) ---- ACK ----> A
　　C(B) ---- PSH ----> A

　　IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性，攻擊最困難的地方在于預(yù)測(cè)A的ISN。攻擊難度比較大，但成功的可能性也很大。C必須精確地預(yù)見(jiàn)可能從A發(fā)往B的信息，以及A期待來(lái)自B的什么應(yīng)答信息，這要求攻擊者對(duì)協(xié)議本身相當(dāng)熟悉。同時(shí)需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用netxray之類的工具進(jìn)行協(xié)議分析。

　　雖然IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識(shí)到，這種攻擊非常廣泛，入侵往往由這里開(kāi)始。預(yù)防這種攻擊還是比較容易的。IP本身的缺陷造成的安全隱患目前是無(wú)法從根本上消除的。我們只能采取一些彌補(bǔ)措施來(lái)使其造成的危害減少到最小的程度。

　　防御這種攻擊的最理想的方法是：每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前，先對(duì)來(lái)自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn)。如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許進(jìn)入該局域網(wǎng)。

　　這種方法雖然能夠很好的解決問(wèn)題，但是考慮到一些以太網(wǎng)卡接收它們自己發(fā)出的數(shù)據(jù)包，并且在實(shí)際應(yīng)用中局域網(wǎng)與局域網(wǎng)之間也常常需要有相互的信任關(guān)系以共享資源，這種方案不具備較好的實(shí)際價(jià)值。另外一種防御這種攻擊的較為理想的方法是當(dāng)IP數(shù)據(jù)包出局域網(wǎng)時(shí)檢驗(yàn)其IP源地址。

　　即每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許本局域網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出局域網(wǎng)之前，先對(duì)來(lái)自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許該包離開(kāi)局域網(wǎng)。

　　這樣一來(lái)，攻擊者至少需要使用其所在局域網(wǎng)內(nèi)的IP地址才能通過(guò)連接該局域網(wǎng)的網(wǎng)關(guān)或路由器。如果攻擊者要進(jìn)行攻擊，根據(jù)其發(fā)出的IP數(shù)據(jù)包的IP源地址就會(huì)很容易找到誰(shuí)實(shí)施了攻擊。因此建議每一個(gè)ISP或局域網(wǎng)的網(wǎng)關(guān)路由器都對(duì)出去的IP數(shù)據(jù)包進(jìn)行IP源地址的檢驗(yàn)和過(guò)濾。如果每一個(gè)網(wǎng)關(guān)路由器都做到了這一點(diǎn)，IP源地址欺騙將基本上無(wú)法奏效。在當(dāng)前并不是每一網(wǎng)關(guān)及路由器都能做到這一點(diǎn)的情況下，網(wǎng)絡(luò)系統(tǒng)員只能將自己管理的網(wǎng)絡(luò)至于盡可能嚴(yán)密的監(jiān)視之下，以防備可能到來(lái)的攻擊。

網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......，各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)，對(duì)應(yīng)發(fā)展，這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

溫馨提示：喜歡本站的話，請(qǐng)收藏一下本站！

當(dāng)前位置:蘿卜系統(tǒng) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁(yè)面

運(yùn)用IP地址欺騙突破對(duì)方防火墻(2)

本類教程下載

系統(tǒng)下載排行