浅论ＩＰ欺骗方法的入侵与防范.docxVIP

浅论ＩＰ欺骗方法的入侵与防范　　[论文关键词] IP欺骗 入侵过程 防范措施　　[论文摘要] 系统自身的漏洞及TCP/IP协议的缺陷给计算机网络带来了许多不安全的因素。IP欺骗就是利用了不同主机系统间的信任关系及TCP/IP的缺陷来对网络进行入侵攻击。本文就IP欺骗的入侵过程进行分析，探讨防范IP欺骗的对策。　　　　IP欺骗是一种主动攻击方法。首先在网络上的某台机器伪装成另一台机器，找到一种信任模式，并找到一个被目标主机信任的主机，使得被信任的主机丧失工作能力，同时收集目标主机发出的TCP序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，建立起与目标主机的应用连接。如果成功，再用一种简单发送命令请求放置一个系统后门，进行非授权操作。它能破坏其它两台正常通信的机器之间的数据流，并可以插入非法数据，从而达到破坏目的。　　　　一、IP 欺骗的入侵过程　　IP 欺骗中的关键点是实际上它是盲目的攻击。攻击者准备接替被信任主机的身份以便于破坏目标主机的安全。一个主机在确认被信任主机后会尽快的和它建立会话。事实上，攻击者躲藏在Internet的某个角落里，伪造一些据称是从被信任主机发出的数据分组，而同时被信任主机实际已经被拒绝服务攻击锁定起来了。假冒 IP 地址的数据报很好的到达目标主机，但是目标主机发回的数据报就丢掉了，攻击者永远看不到它们。中间的路由器知道数据报可能去了哪里。它们被假定是去往被信任主机的。但是一旦数据报到达，信息被分解送入协议栈，到达 TCP 层，它就被丢弃了。所以攻击者必须足够聪明知道什么样的数据被发送出来了，而且知道服务端正在等待什么样的响应。攻击者看不到目标主机发送了什么，不过它可以预测什么将被发送。要知道这一点，攻击者必须处理以下一些盲目的东西：　　（1）信任模式。　　选择了目标主机以后，攻击者必须确定出信任模式。指出谁是被信任的主机有时候简单有时候不简单，一条‘showmount-e’ 命令可以显示文件系统输出到哪里，还有rpcinfo 一样可以给出一些有用的信息。如果有足够多的背景信息，这将不难。　　（2）禁止被信任主机。　　一旦找到被信任主机，需要把它禁止掉。因为攻击者要冒充它，它必须确认主机完全不能接收任何网络通信。　　（3）序列号抽样预报。　　攻击者要知道目标的TCP的32位的序列号是什么样子。攻击者连接到目标的一个 TCP 端口预先试探攻击，完成三次握手。攻击者会保存目标发送过来的初始序列号ISN，一般这个过程重复多次最后初始序列号被记录。攻击者需要知道目标和它信任的主机间的往返时间是多少，RTT是精确计算下一个初始序列号所必需的。攻击者知道上一个发送的ISN，而且知道序列号的递增规则（128，000/ 秒和64，000 每个连接），且现在对于一个 IP 数据报在网上达到另一端需要的时间有个很好的估算，大约等于 RTT的一半，因为大多数时间路由是对称的。当攻击者得到这些信息，他立刻开始下一段的攻击。当一个伪造的段到达目标时，根据攻击者的预测准确程度不同会发生以下几种情况：如果序列号正是接收方TCP 期望的，数据将出现在接收缓冲区的下一个可用位置上；如果序列号小于期望值，这个数据将被认为重复而丢弃；如果序列号大于期望值但是仍在接收窗口的范围之内，数据将被看作是超前的字节，将被TCP 暂存；如果序列号大于期望值同时超出了接收窗口的边界，数据将被丢弃，TCP会发回一个段带有期望的序列号。　　下面是主要入侵攻击过程：　　①Z（b）——-SYN——-gt;A　　②Blt;——-SYN/ACK——-A　　③Z（b）——-ACK——-gt;A　　④Z（b）——-PSH——-gt;A［...］　　①攻击主机把他的IP 地址伪装成被信任主机（被信任主机仍然被锁死在Dos 攻击中），把它的连接请求发送到目标的513端口。　　②目标用一个SYN/ACK 回应这个欺骗的连接请求，它的目的地是被信任主机，而被阻塞的被信任主机将丢弃这个SYN/ACK。结束①以后，攻击者必须后退一点给目标充足的时间发送SYN/ACK（攻击者看不到这个报文）。　　接着，在③中攻击者发送一个带有预测的序列号的ACK 给目标，如果攻击者的预言正确，目标会接收这个 ACK，目标主机确认，数据传输开始。　　④攻击者会添加一个后门到系统中以便用更简单的方式侵入。  　　　　二、IP欺骗的防范　　IP欺骗攻击虽然在原理上讲得通，但实际操作起来却非常困难，例如确定信任关系、猜测序列号等等。然而，要成功实现IP欺骗攻击并不是没有可能。著名黑客凯文#8226;米特尼克就曾经成功地运用IP欺骗攻击攻破了San Diego超级计算中心的一台主机。　　IP欺骗之所以可以实施，是因为信任服务器的基础建立在网络地址