浅论IP欺骗方法的入侵与防范
作者:佚名; 更新时间:2014-12-05
[论文关键词] IP欺骗 入侵过程 防范措施
[论文摘要] 系统自身的漏洞及TCP/IP协议的缺陷给计算机网络带来了许多不安全的因素。IP欺骗就是利用了不同主机系统间的信任关系及TCP/IP的缺陷来对网络进行入侵攻击。本文就IP欺骗的入侵过程进行分析,探讨防范IP欺骗的对策。?
IP欺骗是一种主动攻击方法。首先在网络上的某台机器伪装成另一台机器,找到一种信任模式,并找到一个被目标主机信任的主机,使得被信任的主机丧失工作能力,同时收集目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,建立起与目标主机的应用连接。如果成功,信捷职称论文写作发表网,再用一种简单发送命令请求放置一个系统后门,进行非授权操作。它能破坏其它两台正常通信的机器之间的数据流,并可以插入非法数据,从而达到破坏目的。?
一、IP 欺骗的入侵过程?
IP 欺骗中的关键点是实际上它是盲目的攻击。攻击者准备接替被信任主机的身份以便于破坏目标主机的安全。一个主机在确认被信任主机后会尽快的和它建立会话。事实上,攻击者躲藏在Internet的某个角落里,伪造一些据称是从被信任主机发出的数据分组,而同时被信任主机实际已经被拒绝服务攻击锁定起来了。假冒 IP 地址的数据报很好的到达目标主机,但是目标主机发回的数据报就丢掉了,攻击者永远看不到它们。中间的路由器知道数据报可能去了哪里。它们被假定是去往被信任主机的。但是一旦数据报到达,信息被分解送入协议栈,到达 TCP 层,它就被丢弃了。所以攻击者必须足够聪明知道什么样的数据被发送出来了,而且知道服务端正在等待什么样的响应。攻击者看不到目标主机发送了什么,不过它可以预测什么将被发送。要知道这一点,攻击者必须处理以下一些盲目的东西:?
(1)信任模式。
选择了目标主机以后,攻击者必须确定出信任模式。指出谁是被信任的主机有时候简单有时候不简单,一条‘showmount-e’ 命令可以显示文件系统输出到哪里,还有rpcinfo 一样可以给出一些有用的信息。如果有足够多的背景信息,这将不难。?
(2)禁止被信任主机。
一旦找到被信任主机,需要把它禁止掉。因为攻击者要冒充它,它必须确认主机完全不能接收任何网络通信。?
(3)序列号抽样预报。
攻击者要知道目标的TCP的32位的序列号是什么样子。攻击者连接到目标的一个 TCP 端口预先试探攻击,完成三次握手。攻击者会保存目标发送过来的初始序列号ISN,一般这个过程重复多次最后初始序列号被记录。攻击者需要知道目标和它信任的主机间的往返时间是多少,RTT是精确计算下一个初始序列号所必需的。攻击者知道上一个发送的ISN,而且知道序列号的递增规则(128,000/ 秒和64,000 每个连接),且现在对于一个 IP 数据报在网上达到另一端需要的时间有个很好的估算,大约等于 RTT的一半,因为大多数时间路由是对称的。当攻击者得到这些信息,他立刻开始下一段的攻击。当一个伪造的段到达目标时,根据攻击者的预测准确程度不同会发生以下几种情况:如果序列号正是接收方TCP 期望的,数据将出现在接收缓冲区的下一个可用位置上;如果序列号小于期望值,这个数据将被认为重复而丢弃;如果序列号大于期望值但是仍在接收窗口的范围之内,数据将被看作是超前的字节,将被TCP 暂存;如果序列号大于期望值同时超出了接收窗口的边界,数据将被丢弃,TCP会发回一个段带有期望的序列号。?
下面是主要入侵攻击过程:?
①Z(b)——-SYN——->A?
②B<——-SYN/ACK——-A?
③Z(b)——-ACK——->A?
④Z(b)——-PSH——->A[...]?
①攻击主机把他的IP 地址伪装成被信任主机(被信任主机仍然被锁死在Dos 攻击中),把它的连接请求发送到目标的513端口。?
②目标用一个SYN/ACK 回应这个欺骗的连接请求,它的目的地是被信任主机,而被阻塞的被信任主机将丢弃这个SYN/ACK。结束①以后,攻击者必须后退一点给目标充足的时间发送SYN/ACK(攻击者看不到这个报文)。?
接着,在③中攻击者发送一个带有预测的序列号的ACK 给目标,如果攻击者的预言正确,目标会接收这个 ACK,目标主机确认,数据传输开始。?
④攻击者会添加一个后门到系统中以便用更简单的方式侵入。
[论文摘要] 系统自身的漏洞及TCP/IP协议的缺陷给计算机网络带来了许多不安全的因素。IP欺骗就是利用了不同主机系统间的信任关系及TCP/IP的缺陷来对网络进行入侵攻击。本文就IP欺骗的入侵过程进行分析,探讨防范IP欺骗的对策。?
IP欺骗是一种主动攻击方法。首先在网络上的某台机器伪装成另一台机器,找到一种信任模式,并找到一个被目标主机信任的主机,使得被信任的主机丧失工作能力,同时收集目标主机发出的TCP序列号,猜测出它的数据序列号。然后,伪装成被信任的主机,建立起与目标主机的应用连接。如果成功,信捷职称论文写作发表网,再用一种简单发送命令请求放置一个系统后门,进行非授权操作。它能破坏其它两台正常通信的机器之间的数据流,并可以插入非法数据,从而达到破坏目的。?
一、IP 欺骗的入侵过程?
IP 欺骗中的关键点是实际上它是盲目的攻击。攻击者准备接替被信任主机的身份以便于破坏目标主机的安全。一个主机在确认被信任主机后会尽快的和它建立会话。事实上,攻击者躲藏在Internet的某个角落里,伪造一些据称是从被信任主机发出的数据分组,而同时被信任主机实际已经被拒绝服务攻击锁定起来了。假冒 IP 地址的数据报很好的到达目标主机,但是目标主机发回的数据报就丢掉了,攻击者永远看不到它们。中间的路由器知道数据报可能去了哪里。它们被假定是去往被信任主机的。但是一旦数据报到达,信息被分解送入协议栈,到达 TCP 层,它就被丢弃了。所以攻击者必须足够聪明知道什么样的数据被发送出来了,而且知道服务端正在等待什么样的响应。攻击者看不到目标主机发送了什么,不过它可以预测什么将被发送。要知道这一点,攻击者必须处理以下一些盲目的东西:?
(1)信任模式。
选择了目标主机以后,攻击者必须确定出信任模式。指出谁是被信任的主机有时候简单有时候不简单,一条‘showmount-e’ 命令可以显示文件系统输出到哪里,还有rpcinfo 一样可以给出一些有用的信息。如果有足够多的背景信息,这将不难。?
(2)禁止被信任主机。
一旦找到被信任主机,需要把它禁止掉。因为攻击者要冒充它,它必须确认主机完全不能接收任何网络通信。?
(3)序列号抽样预报。
攻击者要知道目标的TCP的32位的序列号是什么样子。攻击者连接到目标的一个 TCP 端口预先试探攻击,完成三次握手。攻击者会保存目标发送过来的初始序列号ISN,一般这个过程重复多次最后初始序列号被记录。攻击者需要知道目标和它信任的主机间的往返时间是多少,RTT是精确计算下一个初始序列号所必需的。攻击者知道上一个发送的ISN,而且知道序列号的递增规则(128,000/ 秒和64,000 每个连接),且现在对于一个 IP 数据报在网上达到另一端需要的时间有个很好的估算,大约等于 RTT的一半,因为大多数时间路由是对称的。当攻击者得到这些信息,他立刻开始下一段的攻击。当一个伪造的段到达目标时,根据攻击者的预测准确程度不同会发生以下几种情况:如果序列号正是接收方TCP 期望的,数据将出现在接收缓冲区的下一个可用位置上;如果序列号小于期望值,这个数据将被认为重复而丢弃;如果序列号大于期望值但是仍在接收窗口的范围之内,数据将被看作是超前的字节,将被TCP 暂存;如果序列号大于期望值同时超出了接收窗口的边界,数据将被丢弃,TCP会发回一个段带有期望的序列号。?
下面是主要入侵攻击过程:?
①Z(b)——-SYN——->A?
②B<——-SYN/ACK——-A?
③Z(b)——-ACK——->A?
④Z(b)——-PSH——->A[...]?
①攻击主机把他的IP 地址伪装成被信任主机(被信任主机仍然被锁死在Dos 攻击中),把它的连接请求发送到目标的513端口。?
②目标用一个SYN/ACK 回应这个欺骗的连接请求,它的目的地是被信任主机,而被阻塞的被信任主机将丢弃这个SYN/ACK。结束①以后,攻击者必须后退一点给目标充足的时间发送SYN/ACK(攻击者看不到这个报文)。?
接着,在③中攻击者发送一个带有预测的序列号的ACK 给目标,如果攻击者的预言正确,目标会接收这个 ACK,目标主机确认,数据传输开始。?
④攻击者会添加一个后门到系统中以便用更简单的方式侵入。
上一篇:浅论分类方法的发展
下一篇:论网络病毒及其防治方法
热门论文