第二章网络协议的安全分解.ppt

* 在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。例如在Linux系统，首先打开一个Raw Socket（原始套接字），然后自己编写IP头及其他数据。 * 比较好的解决办法是先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里，然后设置包转发，最后就可以进行会话劫持了，而且不必担心会有ACK风暴出现。当然，并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意，ACK风暴仅存在于注射式会话劫持。 * * * * * * * * * * * * * * * * 这种扫描方法的缺点是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息，并且能很快地使它关闭。 Courtney，Gabriel和TCP Wrapper监测程序通常用来对扫描进行监测。另外，TCP Wrapper可以对连接请求进行控制，所以，他可以用来阻止来自不明主机的全连接扫描过程 * * * * TCP FIN扫描技术使用FIN数据包来探测端口。当一个FIN数据包到达一个关闭的端口时，数据包会被丢掉，并且返回一个RST数据包。当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST数据包）。Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN、URG和PUSH标记，而Null扫描关闭所有标记。使用这些组合的目的是为了通过所谓的FIN标记监测器的过滤。 TCP FIN扫描通常适用于UNIX目标主机，除去少量的应当丢掉的数据包却发送Reset信号的操作系统（包括CISCO，BSDI，HP/UX，MVS和IRIX）。在Windows 95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。这在区分UNIX和NT时，是十分有用的。和SYN扫描类似，秘密扫描也需要构造自己的IP包。 * * FIN行为（关闭得端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起FIN行为。 * FIN行为（关闭得端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起FIN行为。 * FIN行为（关闭得端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起FIN行为。 * * * * 端口命令由FTP客户发出，为数据建立二级连接（地址和端口）。在一些FTP实现中，端口20被用作数据传输，但是也有一些例外。典型的，在跟踪中你会发现数据正通过一个动态端口号（IANA规定其范围为49152~65535，但是很可能你发现你的应用正使用1024以上的其他端口——这一范围过去是动态端口号范围）。 　　一个FTP客户发送一个端口给FTP服务器，并确定客户将会在那个端口监听数据通道连接。在收到端口命令后，服务器建立一个新的TCP连接，连接正使用该TCP端口值的客户。 　　在单独的一次FTP会话中，你可以看到大量的端口命令被发送——一个新的数据通道必须被建立以传送目录列表，执行文件的读取操作。 客户端使用LIST命令指定获取服务器端FTP共享目录（或者下面的子目录），服务器端将通过数据端口将该指定目录下的文件列表（包括子目录）信息发送给客户端 * * * * * * * 在TCP连接的三次握手过程中，假设一个客户端向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN/ACK应答报文后是无法收到客户端的ACK报文的，这种情况下服务器端一般会重试，并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYN Timeout。一般来说这个时间是分钟的数量级。 一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址)，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。 * * * * * * * * * * * * * * * * * * * * * * * 在现实生活中，比如你去市场买菜，在交完钱后你要求先去干一些别的事情，稍候再来拿菜；如果这个时候某个陌生人要求把菜拿走，卖菜的人会把菜给?陌生人吗？！当然，这只是一个比喻，但这恰恰就是会话劫持的喻意。 * * * * * * * * * * 例如：我们把查询包的