五、另一种嗅探--冒充入侵 $ n, _8 P5 ^$ u* t: u+ { " ^- K" n( _4 J, r 您已了解到实际的嗅探入侵的基础,包括一些组成部分。本部分详述的冒充入侵中,黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包,它包含以下行: 0 A q/ G: V- q$ E; x& A; X% R
/ h$ h/ o! k5 t {4 V SEG_SEQ = SVR_SEQ_O ; v7 A6 ~: z! H& H+ ]: B4 B1 Q% C
% F B$ Q, u M" N& t 黑客因此可以用自己的包来确认服务器的SYN/ACK包。黑客数据包中包含了黑客所猜的SVR_SEQ_O的值即顺序号。如果成功,那么黑客不必嗅探客户包,因为黑客能预测SVR_SEQ_O且确认它。 0 p3 M5 X; B- l, h i3 D3 E! l: i( b! k- E/ b2 Z2 G; j! z3 y6 d, r
1.冒充入侵的两个主要缺点 $ z2 h4 i+ e; X( m% U
1 q8 f& o, j" r& ]# s (1)黑客冒充的客户机将收到来自服务器的SYN/ACK包,而向服务器回发一个RST(复位)包,因为在客户机看来,通话不存在。而黑客可能阻止客户机的复位包产生,或当客户机未按入网络时入侵,或使客户机的TCP队列溢出,如此,客户机将在往服务器上发送数据中丢失包。 - R9 c' H% m& u' u! B# i& z 8 o' k8 }0 p7 `6 }4 _: O% O9 ~ (2)黑客不能从服务器上得到数据,然而黑客可以发送一些足以危害主机的数据。 2 |3 r, t8 J, E# y; J9 K9 K+ `9 f- n: ~; r5 H- `% c
2.冒充入侵和非同步后劫持入侵的不同点 & W: C" r! g2 a( {" p. x9 A0 ^# P1 e m4 Y: h
冒充入侵和您以前了解到的非同步后劫持入侵的四个不同之处在于: / H3 B. y2 ]# q5 \8 ^ 4 O5 a5 Y' Q0 _ l. M- A2 R3 g (1)非同步后劫持入侵让黑客实行并控制连接的鉴别阶段,而冒充入侵依靠于可信任主机的鉴别方案。 % {* e. v9 t* }- V* u2 g2 \" v ( P0 {1 ]2 p5 I (2)非同步后劫持入侵让黑客对于TCP流有很大的访问权。换句话说,黑客可以同时收发数据,而不是像冒充入侵那样仅能发送数据。 * L d( X) a5 Q& b
; |+ R, E! {4 [) [0 L; a, r
(3)非同步后劫持入侵利用以太网嗅探来预测或得到SVR-SEQ-O。 ) X% z7 }7 x2 _4 L' \1 S
' J6 T d- r7 c- y (4)黑客可以用非同步后劫持入侵法攻击任何类型主机。因为冒充入侵时要倚赖于UNIX可信任主机的模式,所以它仅能对UNIX主机进行攻击。 0 E- D# q/ e5 s9 x$ `3 v
2 u5 w% z: n( h0 V2 _, g$ y* L! j: _
然而,如果客户机脱线了或是不能收发RST复位包,黑客可以用冒充入侵来与服务器建立一个全面的TCP连结。黑客将可代表客户机发送数据。当然,黑客必须通过认证障碍。如果系统采用的是基于可信任主机的认证,那么黑客将对主机的服务有全权访问。 3 K3 @$ L; ~7 U6 y
b* u N' O) m& W, V" ` 尽管当黑客进行非同步后劫持入侵进攻局域网时,系统分析员易于核查到入侵,但在远程低带宽和低延迟网上进行非同步持劫持入侵是很有效果的。而且,正如您所知,黑客可使用与进行被动嗅探入侵(它经常发生在INTERNET)时相同的资源来实施非同步后劫持入侵。两种入侵对黑客来说其优点在于它对用户都是不可的。用户不可见很重要,INTERNET上入侵主机越来越频繁,网络安全变得令人关注,黑客的秘密行动是黑客入侵的一个重要因素。
IP卡
狗仔卡
发表于 2004-10-5 22:38
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
