您当前的位置是： 服务器安全资讯网>反黑客>防黑反黑>

通过ip进行攻击的原理及预防

来源：服安资讯   时间:2009-03-08  作者：  点击：次  责任编辑：Flyfox
TAG:   攻击 进行 原理 预防 &nbsp 通过   服务器安全应急处理中心:让您的服务器更安全!  进入安全讨论社区 

本文的目的在于向读者解释IP欺骗的实现方法和预防措施。它要求您掌握 有关UIIX和TCP/IP的少量知识。如果您没有，也没有关系，相信下面的说明能 给您以足够的背景知识。  
IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击，它由若干部分组成。 目前，在Internet领域中，它成为黑客攻击时采用的一种重要手段，因此有必 要充分了解它的工作原理和防范措施；以充分保护自己的合法权益。  
实际上，IP欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关 系的破坏。然而，在本文中，IP欺骗将被看作是涉及到的整个攻击，对于利用IP 欺骗建立起来的虚假信任关系进行破坏的其它行为不作为我们讨论的内容。 本文将详尽地解释攻击的全过程。包括有关的操作系统与网络信息。  
背景知识（术语说明）  
A：表示目标主机  
B：表示对于A来说，可信任的主机  
X：表示不能到达的主机  
Z：表示进攻主机  
1（2）：主机1化装成主机2  
图示符号定义  
本文中有若干图示，它们将类比以下示例进行解释：  
时间序列 主机A 控制 主机B  
1 A --SYN--> B  
时间序列；时间流逝的单位，可以无究细化。一般认为是很小的单位， 表示事件发生的先后顺序。  
主机A：参与一次TCP对话的机器。  
控制：显示有关TCP控制字段头部的控制字符和该字段的流动方向。  
主机B：参与一次TCP对话的机器。  
这个图示中，在第一参考时间点上主机A发送TCP字段给主机B，控制字段中的 SYN控制位将作为该TCP字段的主要信息。除非特别说明，我们一般不关心TCP 字段中的数据部分。  
信任关系  
在Unix领域中，信任关系能够很容易得到。假如您在主机A和B上各有一个账户 ，您在使用当中发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上 使用时必须输入在B上的帐户，主机A和B把您当作两个互不相关的用户，显然有 些不便。为了减少这种不便，您可以在主机A和主机B中建立起两个帐户的相互信 任关系，在主机A和主机B上您的home目录中创建.rhosts文件.从主机A上, 在您的home目录中输入e-cho" busername"> ~/.rhosts;从主机B上,在您的 home目录中输入echo" A username">~/.rhosts.至此，您能毫无阻碍地使用 任何以r*开头的远程调用命令，如：rlogin，rcall，rsh等，而无口令验证的 烦恼。这些命令将允计以地址为基础的验证，或者允许或者拒绝以IP地址为基础 的存取服务。  
Rlogin  
Rlogin是一个简单的客户/服务器程序，它利用TCP传输。Rlogin允许用户从一台 主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin将允许在不应答 口令的情况下使用目标主机上的资源，安全对外开放证完全是基于源主机的IP 地址，因此，根据以上所举的例子，我们能利用Rlogin来从B远程登录到A，而且 不会被提示输入口令，  
lnternet协议（IP）  
IP是TCP/IP协议组中非面向连接、非可靠传输的网络协议。它由两个数32bit的 头字段提供地址信息。IP数据包占TCP/IP协议网络流量中的很大部分，可以说明 最为繁书记的部分。IP的工作在于在网络环境中发送数据包，它不提供保证 可靠性的任何机制，对于可靠性的要求，由于层协议来完成。IP只是发送数据包 ，并且保证它的完整性。如果不能收到完整的IP数据包，IP会向源地址发送一个 ICMP错误信息，希望重新处理。然而这个包也可能丢失（ICMP是网际控制消息 协议，Internet　Control Message Protocol，它是用于根据网络条件保证数据 传送的协议，主要是向IP层或其它层发送不同的错误信息）。由于IP是非面向 连接的，所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去而 不关心前一个和后一个数据包的情况。由此我们不难看出，可以对IP堆本进行 修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供 虚假的IP地址。  
传输控制协议（TCP）  
TCP是在TCP/IP协议组中面向边接、提供可靠传输的协议。面向连接意味着参 与对话的两个主机必须首先建立起连接，然后才能进行数据交换。可靠性是由 数据包中的多位控制字来提供的，但是，其中仅仅有两个是与我们的讨论有关。 它们是数据序列和数据确认，分别有SYN和ACK来表示。TCP向每一个数据字节 分配一个序列号，并且可以向已成功接收的、源地址所发送的数据包表示确认 （目的地址ACK所确认的数据包序列是源地址的数据包序列，而不是自己发送 的数据包序列（。ACK在确认的同时还携带也下一个期望获得的数据序列号。 显然，TCP提供的这种可靠性相对于IP来说更难于愚弄。  
序列编号、确认和其它标志信息  
由于TCP是基于可靠性的，它能够提供处理数据包丢失，重复或是顺序率乱 等不良情况的机制实际上，通过向所传送出的所有字节分配序列编号， 并且期待接收端对发送端所发出的数据提供收旋确认，TCP就能保证可靠的传送。 接收端利用序列号确保数据的先后顺序，除去重复的数据包。TCP序列编号可以 看作是否32位的计数器。它们从0至此2/32-1排列。每一个TCP连接 （由一定的标未位来表示）交换的数据都是顺序编号的。在TCPA数据包中定义 序列号（SYN）的标示位位于数据段的前端。确认位（ACK）对所接收的数据 进行确认，并且指出下一个期待接收的数据序列号。  
TCP通过滑动窗口听要领来进行流量控制。设想在发送端发送数据的速度很快 而接收端接收速度却很慢的情况下，为了保证数据不丢失，显然需要进行流量 控制协调好通信双方的工作节奏。所谓滑动窗口，可以理解成接收端所能提供 的缓冲区大小。TCP利用一个滑动的窗口来告诉发送端对它所发送的数据能提供 多大的缓冲区。由于窗口由不得16位BIT所定义，所以接收端TCP能最大提供 65535个字节的缓冲。由此，可以利用窗口大小和第一个数据的序列号计算出 最大可接收的数据序列号。  
其它TCP标示位有RST（连接复位，Reset the　connection）、PSH （压入功能，Push function）如果RST被接收，TCP连接将立即断开。 RST通常在接收端接收到一个与当前连接不相关的数据包时被发送。 有些时候，TCP模块需要立即传送数据而不能等整段都充满时再传。 一个高层的进程将会触发在TCP头部的PSH标示，并且告诉TCPA模块立即 将所有排列好的数据发给数据接收端。FIN表示一个应用连接结束。 当接收端接收到FIN时，确认它，认为将接收不到任何数据了。  

上一篇：“木马”隐藏技俩与检查清除的技巧 下一篇：解析远程控制带来的安全危险