- 在线时间
- 0 小时
- 最后登录
- 2007-9-23
- 注册时间
- 2004-9-10
- 听众数
- 3
- 收听数
- 0
- 能力
- 0 分
- 体力
- 9975 点
- 威望
- 7 点
- 阅读权限
- 150
- 积分
- 4048
- 相册
- 0
- 日志
- 0
- 记录
- 0
- 帖子
- 1893
- 主题
- 823
- 精华
- 2
- 分享
- 0
- 好友
- 0

我的地盘我做主
该用户从未签到
 |
在服务器接收到包之后,服务器对黑客请求的数据和客户端请求的数据予以响应。在服务器对客户端响应之前,黑客可以漏掉或删除服务器对黑客命令的响应,如此,用户便不再觉察到任何黑客入侵(如图8)。
5 C7 d; r' S$ S [# d q8 p图8 黑客从服务器的传送包中删除其请求的信息 以下部分您将了解 TCP ACK风暴,它在黑客继续伪装时,在非同步后劫持入侵中将发作。
+ u k& B% _5 g9 s: m8 q ]* B
8 n9 P- S4 W5 D* O- b0 c6 e) Q% } 2.TCP ACK风暴 4 w1 [$ y5 |* l {8 T* s/ X0 @: X
: {) o, i1 q& R o
前面部分详述的后期非同步劫持入侵有一个基本的不足,即它将大量地产生 TCP ACK包,网络专家称这些大量的 ACK包为 TCP ACK风暴。当一个主机(无论客户机或服务器)收到一个不能接受的包时,主机将向产生的主机发送期待的顺序号来认证这个不能接收的包。
6 B& f2 X+ @" _8 t& Q0 p; x, J; U
/ @$ g; l5 t* \2 t5 P5 p5 I 在以前详述的主动的 TCP入侵的情况下,第一个 TCP ACK包将包含服务器的顺序号,客户机因为没有送出请求更改的包,所以将不接受这个认证包。因此,客户机产生自己的认证包,它反过来迫使服务器产生另一个认证包,这些反复循环,理论上对传送每个数据包是一个无止尽循环(如图9)。 - @2 J+ T* k# q0 E, j9 S' o6 L
6 A, S8 }( c+ i# J1 E7 h
图9 入侵产生的风暴循环 因为认证包不传送数据,如果接收者丢失了这个包,ACK包的发送者将不再传递。换句话说,如果一个机器在ACK风暴循环中丢掉一个包,循环便终止。幸运的是,正如您以前所知,TCP将IP用在不可靠的网络层上,以一个非空的包损失,网络设计者将迅速结束循环。而且,网上丢掉的包越多,ACK风暴持续期越短。再加之,ACK循环是自规的--换句话说,黑客产生的循环越多,客户机和服务器接到的交通数量也越多,它反过来增加拥挤度。这样便丢掉包,有更多的循环结束。 - j4 j7 U- l: N3 |( W; y0 `
3 k6 b& B$ I2 {8 f TCP 连接在每次客户机或服务器发送数据时创建一个循环。如果既不是客户机又不是服务器发送数据,TCP连接便产生不了循环。如果客户机和服务器都未发送数据也没有黑客认证数据,发送者将再传这个数据。在再传之后,TCP连接将为每一个再传送创建一个风暴,最后连接的双方放弃连接,因为客户机和服务器都未发送ACK包。如果黑客认证了数据传送,TCP连接将仅产生一个风暴。实际上,由于网上的负荷,黑客经常错过数据包,因此黑客将认证再传送的第一个包--意味着每次在黑客传输时入侵将至少产生一个ACK风暴。 ) o2 M* c" A4 S
. T! n1 N0 ?1 [. _+ r& Y 3.前期非同步入侵
! b7 E9 `( X8 ]8 t
' `$ E# p7 M; }( V/ z 在前面,您了解到非同步后TCP劫持入侵(即在客户机和服务器连接之后发生的入侵)。不像非同步后劫持入侵,前期非同步入侵在客户机和服务器的早期连接建立时破坏其连接,而不是在连接已设立或完成之后。前期非同步入侵在服务器端破坏连接,在破坏连接之后,黑客创建一个具有不同顺序号的新连接,前期非同步的入侵工作如下。 0 G+ M6 R7 x. C. c8 t1 Y! N8 p U
; [$ H' x9 g% u g (1)在连接创建阶段2,黑客窃听服务器发送到客户机SYN/ACK包(如图10)。
4 I" ^. W( }' f# a) d" f) s9 D0 d
/ f7 h7 Z: L6 H& x2 \5 ~' A图10 服务器给客户机发送一个ACK包% F0 s/ \- d, w. x% M" Q
' j( Y4 w: F, l* k
(2)当黑客检测到SYN/ACK包时,黑客发送一个RST复位请求包,接着发送一个与服务器的SYN/ACK包有相同参数SYN包。然而,黑客的请求带着一个不同的顺序号。您可以把这个看作入侵者确认包(ATK_ACK_0)(如图11)。 4 q* B% `) p5 S1 b2 Q; I* ~8 M
- Q" }2 N. Y% L3 _. s6 j( D图11 黑客发送两个数据包给服务器
& n& d* }' E# V3 Q
0 j( n( Z8 q% O3 Y (3)服务器将收到RST包时关闭第一个连接,且将在同一端重开一个新的连接,但当收到SYN包时,便具有不同顺序号,服务器将向原用户回送一个SYN/ACK包。
0 @+ Z5 I/ R- Q7 H0 z7 ]6 u$ ~/ p% @4 L! ?' |
(4)黑客截取SYN/ACK包,向服务器发送它自己的ACK包,服务器开关掷向同步连接以创建状态(如图12)。
' ~- M4 _2 Q* ]' f- c& l; f5 R3 N' r& F$ |
图12 黑客截获包并建立同步接 |
zan
|