7 z b! u/ o+ T 在TCP连接内,几乎所有含ACK设定标识而不带数据的包都是未接收包的确认信息。在任何网上,特别是在INTERNET通讯中,将发生大量的转送。在一个遭受了前面详述的各种入侵的网上,会发生更多的转送。转送的号码将依据网上的负荷和引起风暴的黑客主机而定,一个服务器登录能包含多达300多个空包。特别地,在一个实际入侵中传送的数据包可能产生10至30个ACK空包。 8 p$ `. @( \2 X8 m
% E1 T: X$ N5 u1 O+ j/ t 7.检测及其副作用 0 s& o3 Z+ b: e ; p$ x( m8 l8 s# e) P4 C# J 您可以利用ACK入侵的各种缺陷来检测入侵,这部分将描述三种检测方式,但记住仍有其他方法。 % Z9 L0 @1 x) g
2 M8 J$ j) `' n8 [- r J B8 p' O& U
非同步状态检测。您可以利用TCP包来观察连接双方的顺序号。根据顺序号。您可以判断出连接是否处于非同步状态。然而,仅当假定您在连接上传送顺序号时没有黑客改变它,您才可以在连接的双方阅读包--这是一个一般的安全假定。 8 W1 @( }7 U" t$ M+ P$ B, s
, Y' H- o/ z9 u* o ACK风暴检测:些局域以太网的TCP交通在入侵前的统计表明,总的TELNET包的无数据包率为三分之一,而当一个黑客入侵时,为1/300。 / W5 }8 F7 f g& b9 ^2 `2 ^
% \, [% h6 e( ~$ U
包百分率记数:您可以通过对包的百分率记数来监视连接的状态。通过对有入侵时的包百分率和普通数据包百分率的对比,可以提醒您存在非同步入侵。表1显示了通常连接中数据包和ACK包每分钟的数目。 1 f$ K, f; t' l
/ {/ Y1 f L8 g8 z$ r3 I3 e! h% ? 表1 普通传送中,ACK包每分钟传送的数目 / n* w! V, r4 E4 P: q
包的类型 本地 以太网传输 3 i8 [! M/ J9 O. |' g# t& | Total TCPs 80-100 1400 7 |9 I9 t( o8 Q4 E! r* k, [/ A
Total ACK 25-75 500 . j$ Y O+ d4 `! ?3 g' W) ^1 R Total Telnet 10-20 1400 ( s9 u# `$ d. F
Total Telnet ACK 5-10 45 . c' U. W& ^- v( c$ G, B4 ]7 I 0 E1 A# q, c" A' e: { TCP包和 ACK包的数目在本地以太网上变化很大。一个常规连接上的ACK TELNET包的百分率一般稳定在45%左右,Telnet会话是一种交互式会话,服务器必须对用户敲入的每一个字母进行响应和认证。事实上这正是Telnet包计数稳定性的原因所在。在TELNET会话中,基于降低包丢失率的考虑,每个包通常仅含一个字母或一行正文,所以数据交换量较小。正如TELNET数据流,流向远程以太网的数据与其是一致的。因为它的高数据负荷,接收主机可能丢失一些包。 0 L9 O$ @8 t" F% s1 K2 F; @, z2 m: D5 q0 d) l% k" R) R
相对地,当黑客入侵时,真正的包与ACK包的比值会发生改变。表2显示了黑客入侵时包的计数。 ! p+ `/ u0 \- o4 D# {
) T2 Q% N! r7 W9 X$ T' `. E( H
表2 遭入侵时,ACK包的计数情况 8 [+ j- P q8 S; R$ r' V" K& A$ `& x- K 包的类型 本地连接 ' L) w( p g- L
Total Telnet 80-400 3 Y% l0 }& F+ \6 i Total Telnet ACK 75-400 5 l8 m0 X8 G7 p# t; b+ h7 M: I: h7 ^9 C5 t# U3 x O/ j
在表2中,本地连接是指只有少数来自客户端的IP跳跃的一个主机的通讯会话。通讯会话的往返延迟(RTD)大约在3毫秒。例如,通讯会话可能跨越客户机与主机间的4个局域服务器。正如您所知,在黑客入侵时包计数器的改变很明显。就算它变化较为轻微,ACK计数与总包计数几乎是一致的,则交通量基本都是指认证包,意味着几乎不包括数据包
IP卡
狗仔卡
发表于 2004-10-6 01:20
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
