当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 网络安全讲座之七:攻击与渗透(5)

安全基础
网管技术:常见BIOS报错信息及解决方法
分布式拒绝服务(DDOS)攻击及防范研究
四种宽带接入方式及其传输速率
网管必读 解读无线网络的七大安全困惑
经验:识别系统的非法进程及剿杀
全面清除系统垃圾的方法
QQ、网游等账号防盗防骗的实用小经验
上网前保证Windows XP系统安全的办法
七种DDoS攻击技术方法简介
硬盘与内存检测 四种查毒绝招
当网站注册时输入验证码总是不正确解决方法
不让自己的秘密留在别人的电脑中
IE崩溃遭难不求人 快速简单处理方法
损招 让应用程序莫名其妙地失效
不再弹广告 破除隐身僵尸木马的隐身妖术
利用QQ传播 网络欺骗“绑架”奥运会
渗透测试的攻与守 认清网络面临的问题
手动剿杀“上兴远程控制”木马
个人电脑防黑客入侵八准则
关注Windows系统服务中的安全隐患

安全基础 中的 网络安全讲座之七:攻击与渗透(5)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 32 ::
收藏到网摘: n/a

 TCP/IP序列号生成方法

  TCP的Initial Sequence Number(ISN)的预测



(图1)

  正常的TCP连接基于一个三次握手(3-way handshake),一个客户端(Client)向服务器(Server)发送一个初始化序列号ISNc, 随后,服务器相应这个客户端ACK(ISNc),并且发送自己的初始化序列号ISNs,接着,客户端响应这个ISNs(如下图),三次握手完成。

   C ---〉S: (ISNc)

   S ---〉C: ACK(ISNc)+ ISNs

   C ---〉S: ACK(ISNs)

   C ---〉S: data

   and / or

   S ---〉C: data

  下面,我以Windows2000 Advanced Server为例,来说一下两台主机是如何进行三次握手。



(图2)



(图3)

  我们可以看到:

  1) Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。

  2) 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的

   seq:3333416325 而且响应Smartboy的ack:3240689240。

  3) Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。

   三次握手完毕,两台几建立起连接。

   可以看出,在三次握手协议中,Clinet一定要监听服务器发送过来的ISNs, TCP使用的sequence number是一个32位的计数器,从0-4294967295。TCP为每一个连接选择一个初始序号ISN,为了防止因为延迟、重传等扰乱三次握手,ISN不能随便选取,不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律,对于成功地进行IP欺骗攻击很重要。

  在Unix系统里,基于远程过程调用RPC的命令,比如rlogin、rcp、rsh等等,根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验,其实质是仅仅根据源IP地址进行用户身份确认,以便允许或拒绝用户RPC。这就给与了那些攻击者进行IP地址欺骗的机会。

   让我们看X是如何冒充T来欺骗S,从而建立一个非法连接 :

   X---->S: SYN(ISNx ) , SRC = T

   S---->T: SYN(ISNs ) , ACK(ISNT) (*)

   X---->S: ACK(ISNs+1 ) , SRC = T (**)

   X---->S: ACK(ISNs +1) , SRC = T, 攻击命令(可能是一些特权命令)

   但是,T必须要在第(**)中给出ISNs, 问题是ISNs在第(*)步中发给了T(X当然很难截取到),幸运的是,TCP协议有一个约定: ISN变量每秒增加250,000次,这个增加值在许多版本比较旧的操作系统中都是一个常量,在FreeBSD4.3中是125000次每秒,这就给X一个可乘之机。

   看一下X是如何猜出ISNs : 

   a、首先, X发送一个SYN包来获取服务器现在的ISNs

     X ---〉S: (ISNx)

     S ---〉X: ACK(ISNx)+ ISNs# (1)

   b、紧接着,X冒充T向服务器发送SYN包

        X ---〉S: SYN(ISNx ) , SRC = T (2)

   c、于是,服务器发出一个响应包给T(这个包X是收不到的)

     S ---〉T: SYN(ISNs$) , ACK(ISNT ) (3)

   d、X计算ISNs$:

       ISNs$ = ISNs# + RTT×Increment of ISN (4)

  其中,RTT(Round Trip Time),是一个包往返X和S所用的时间,可以通过Ping 来得到。



(图4)

  上图显示了round trip times (RTT) 大概是0。

  Increment of ISN是协议栈的初始序列号每秒钟增加的值,以Unix为例,当没有外部连接发生时,服务器的ISN每秒增加128,000,有连接的时候,服务器的ISN每秒增加64,000。

   e、于是,

    X ---> S : ACK(ISNs$)   (冒充可信主机成功了)

    X ---> S : 恶意的命令或窃取机密消息的命令

  在评价以下的解决方案时有几点要注意:

  1.该解决方案是否很好地满足TCP的稳定性和可操作性的要求?
  2.该解决方案是否容易实现?
  3.该解决方案对性能的影响如何?
  4.该解决方案是否经得起时间的考验?

  以下的几种方案各有各的优点和缺点,它们都是基于增强ISN生成器的目标提出的。

  配置和使用密码安全协议