IP欺骗的技术.doc

IP 欺骗的技术 IP 欺骗的技术比较复杂,不是简单地照猫画老虎就能掌握,但作为常规攻击手段,有必要理解其原理,至少有利于自己的安全防范,易守难攻嘛。假设 B 上的客户运行 rlogin 与A 上的 rlogind 通信: 发送带有 SYN 标志的数据段通知 A 需要建立 TCP 连接。并将 TCP 报头中的 sequence number 设置成自己本次连接的初始值 ISN 。 回传给 B 一个带有 SYS+ACK 标志的数据段,告之自己的 ISN ,并确认 B 发送来的第一个数据段,将 acknowledge number 设置成 B的 ISN+1 。 确认收到的 A 的数据段,将 acknowledge number 设置成 A的 ISN+1 。 B ---- SYN ----> A B <---- SYN+ACK A B ---- ACK ----> A TCP 使用的 sequence number 是一个 32 位的计数器,从 0-4294967295 。 TCP 为每一个连接选择一个初始序号 ISN ,为了防止因为延迟、重传等扰乱三次握手, ISN 不能随便选取,不同系统有不同算法。理解 TCP 如何分配 ISN 以及 ISN 随时间变化的规律, 对于成功地进行 IP 欺骗攻击很重要。基于远程过程调用 RPC 的命令,比如 rlogin 、 rcp 、 rsh 等等,根据/etc/ 以及$HOME/.rhosts 文件进行安全校验, 其实质是仅仅根据信源 IP 地址进行用户身份确认, 以便允许或拒绝用户 RPC 。关于上述两个文件请 man , 不喜欢看英文就去 Unix 版看看我以前灌过的一瓢水。 IP 欺骗攻击的描述: 1. 假设 Z 企图攻击 A,而A 信任 B, 所谓信任指/etc/ 和$HOME/.rhosts 中有相关设置。注意,如何才能知道 A 信任 B 呢?没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹, 厚积薄发。一次成功的攻击其实主要不是因为技术上的高明, 而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术, 却不比人家酒桌上的巧妙提问, 攻击只以成功为终极目标,不在乎手段。 2. 假设 Z 已经知道了被信任的 B ,应该想办法使 B 的网络功能暂时瘫痪,以免对攻击造成干扰。著名的 SYN flood 常常是一次 IP 欺骗攻击的前奏。请看一个并发服务器的框架: int initsockid, newsockid; if ((initsockid = socket(...)) <0) { error("can't create socket"); } if (bind(initsockid, ...) <0) { error("bind error"); } if (listen(initsockid, 5) <0) { error("listen error"); } for (;;) { newsockid = accept(initsockid, ...); /* 阻塞*/ if (newsockid <0) { error("accept error"); } if (fork() == 0){ /* 子进程*/ close(initsockid); do(newsockid); /* 处理客户方请求*/ exit(0); } close(newsockid); } listen 函数中第二个参数是 5, 意思是在 initsockid 上允许的最大连接请求数目。如果某个时刻 initsockid 上的连接请求数目已经达到 5 ,后续到达 initsockid 的连接请求将被 TCP 丢弃。注意一旦连接通过三次握手建立完成, accept 调用已经处理这个连接,则 TCP 连接请求队列空出一个位置。所以这个 5 不是指 initsockid 上只能接受 5 个连接请求。 SYN flood 正是一种 Denial of Service ,导致 B 的网络功能暂碧被尽?nbsp; Z向B 发送多个带有 SYN 标志的数据段请求连接, 注意将信源 IP 地址换成一个不存在的主机X;B 向子虚乌有的 X 发送 SYN+ACK 数据段,但没有任何来自 X的 ACK 出现。 B的 IP 层会报告 B的 TCP 层, X 不可达,但 B的 TCP 层对此不予理睬,认为只是暂时的。于是B 在这个 initsockid 上再也不能接收正常的连接请求。 Z(X) ---- SYN ----> B Z(X) ---- SYN ----> B Z(X) ---- SYN ----> B Z(X) ---- SYN ----> B