北航柳重堪高等数学72讲

韩冰

五、另一种嗅探--冒充入侵
+ I0 Y: c. x4 w8 Q7 Z' \. o
. ]$ J) _, b6 `$ `1 [4 q) P　　您已了解到实际的嗅探入侵的基础，包括一些组成部分。本部分详述的冒充入侵中，黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包，它包含以下行：
) w% G: y" W5 W, j  j5 D
　　SEG_SEQ = SVR_SEQ_O
, {8 W3 w9 s" M: j4 j" e+ _" @) S
　　黑客因此可以用自己的包来确认服务器的SYN/ACK包。黑客数据包中包含了黑客所猜的SVR_SEQ_O的值即顺序号。如果成功，那么黑客不必嗅探客户包，因为黑客能预测SVR_SEQ_O且确认它。

　　1．冒充入侵的两个主要缺点

9 j; ~- V" a% N/ g$ t　　（1）黑客冒充的客户机将收到来自服务器的SYN/ACK包，而向服务器回发一个RST（复位）包，因为在客户机看来，通话不存在。而黑客可能阻止客户机的复位包产生，或当客户机未按入网络时入侵，或使客户机的TCP队列溢出，如此，客户机将在往服务器上发送数据中丢失包。
5 ?) E9 i4 H1 V( F) Q) S/ G
　　（2）黑客不能从服务器上得到数据，然而黑客可以发送一些足以危害主机的数据。
5 F- Q* ^& @6 b. F- Q2 H  k" k
% K4 A# W) Q4 t/ q) I- J7 j' i4 Y% l　　2．冒充入侵和非同步后劫持入侵的不同点
& i( o+ m, N% R9 F; ]/ U
2 z* }( |0 P9 i" G　　冒充入侵和您以前了解到的非同步后劫持入侵的四个不同之处在于：

' ^* J3 F& I0 T. S; M7 }& W6 f　　（1）非同步后劫持入侵让黑客实行并控制连接的鉴别阶段，而冒充入侵依靠于可信任主机的鉴别方案。
3 \9 _' x! ~$ Q, o1 ^3 z
　　（2）非同步后劫持入侵让黑客对于TCP流有很大的访问权。换句话说，黑客可以同时收发数据，而不是像冒充入侵那样仅能发送数据。
% @% f4 @1 f7 o. r4 |. ^/ j6 ~$ I
　　（3）非同步后劫持入侵利用以太网嗅探来预测或得到SVR-SEQ-O。
0 V+ @9 O- P( M$ d+ `* }: R( E
　　（4）黑客可以用非同步后劫持入侵法攻击任何类型主机。因为冒充入侵时要倚赖于UNIX可信任主机的模式，所以它仅能对UNIX主机进行攻击。

1 _4 J; x' L6 e0 b, W　　然而，如果客户机脱线了或是不能收发RST复位包，黑客可以用冒充入侵来与服务器建立一个全面的TCP连结。黑客将可代表客户机发送数据。当然，黑客必须通过认证障碍。如果系统采用的是基于可信任主机的认证，那么黑客将对主机的服务有全权访问。

7 b4 o- g1 ]  X9 i, ]　　尽管当黑客进行非同步后劫持入侵进攻局域网时，系统分析员易于核查到入侵，但在远程低带宽和低延迟网上进行非同步持劫持入侵是很有效果的。而且，正如您所知，黑客可使用与进行被动嗅探入侵（它经常发生在INTERNET）时相同的资源来实施非同步后劫持入侵。两种入侵对黑客来说其优点在于它对用户都是不可的。用户不可见很重要，INTERNET上入侵主机越来越频繁，网络安全变得令人关注，黑客的秘密行动是黑客入侵的一个重要因素。

newanswer

同学，你这个文不对题啊