在线时间 0 小时 最后登录 2007-9-23 注册时间 2004-9-10 听众数 3 收听数 0 能力 0 分 体力 9975 点 威望 7 点 阅读权限 150 积分 4048 相册 0 日志 0 记录 0 帖子 1893 主题 823 精华 2 分享 0 好友 0
我的地盘我做主
该用户从未签到
当客户端从服务器收第一个SYN/ACK包时便把开关掷向ESTABLISHED(已创建)状态,黑客的成功依赖于为CLT_TO_SVR_OFFSET造取了正确的数值,选取错误的数值将使客户端的包和黑客的包不能被接受,而且这样可能产生意想不到的结果,包括连接的终止。 5 `" H( h3 Q1 N" G 3 o: X( D* w" d$ }# s8 h2 b 4.空数据非同步入侵 & s7 |9 r- ]* d+ D; t% G , H; d% o; o2 C) b H 在前面部分里,您已了解了黑客如何利用在连接的早期阶段截获一个TCP连接来实施一次前期非同步入侵,非同步一个TCP连接后,黑客能实施一次空数据非同步入侵。空数据指不会影晌服务器的任何东西,不会改变TCP 认证号,黑客通过同时向服务器和客户端发送大量数据来实施一次空数据入侵。 # J: t3 I/ l/ v* _/ k3 P : D4 ]. n, D& {$ w: } 黑客发送的数据对客户端来说是不可见的。相反,空数据迫使TCP会话中连接的两台计算机切换到非同步状态,因为纯粹的空数据干预到了计算机维护TCP连接的能力。 6 i( p' s# h/ m2 R$ O4 J $ K. P& t1 \1 N: {( K, ~* _0 H 5.Telnet会话入侵 j8 D3 \- `4 @7 f 9 G$ X d' D9 A0 n% }: D 前面部分已详述了黑客能在一个已存在的或新运行的TCP连接上实施的各种入侵。然而,黑客也可以干预到几乎任何网络通讯。例如,黑客可以用TELNET会话实施以下截获方案: % n/ U, e, Z) Q$ E , _% d# O3 p& | (1)在入侵之前,黑客通常先观察网上的传送,而不进行任何干预。 6 C4 _1 \" \# v3 C5 [ - x+ S6 G: J2 W, g! t (2)适当时候,黑客向服务器发送一大批空数据。在被截获的TELNET会话上,黑客发送一个含扩展字号IAC NOP LAC NOP 的ATK_SVR_OFFSET字。TELNET协议将NOP命令定义为"空操作",换句话说,不做任何操作且忽视这一对中的字。由于此空操作,服务器的TELNET的后台驻留程序将把每个字都解释为空数值,因为这一点,后台驻留程序将数据流中的每个对删掉。然而,服务器对扩展空传送的接收将扰乱正进行工作的TELNET会话,在此步之后,服务器接收以下命令: ! g7 r& M& o1 v+ ]: _+ g0 _ " Q2 w' L E# [ - q. v9 r7 p) g! k8 a6 y + M$ A4 U4 w) a( [ (3)服务器对黑客命令的接收将创建一个非同步TELNET的连接。 4 O9 T& I6 ^7 q7 Y7 F # z- ^- L( H5 m* V: O# D# b - \( F# W" O' @: p+ v ; `! m2 p P1 E$ a( p7 J ) \) z; Q& h% h; u ?/ x ; y% ?' B) t- I. B( y/ @ 图2-14 如果Telnet 会话可以传送空数据的话,黑客只能利用前面详述的五个步骤的TELNET截获方式。纵使如此,黑客对于选择合适时间发送空数据仍有困难。如果时间不正确,入侵将很容易破坏Telnet会话,或者会引起会话干扰,而不能让黑客控制会话。当您参与TELNET会话,预料不到的结果将表明黑客正在截获会话。 4 y4 g `" I" e& w B) K/ C7 V# R* r 5 h4 @! E! ? L( x3 t 6.对ACK风暴的了解 - Y+ P" v5 H0 W& Q; g / p) V9 q9 a/ s' a( u ) T/ r- {' u3 d/ c, M C- \: _; E9 j7 K8 W 7.检测及其副作用 : l( }) \. s7 \+ W; H 1 L6 {4 \( W& H8 R; S, u 您可以利用ACK入侵的各种缺陷来检测入侵,这部分将描述三种检测方式,但记住仍有其他方法。 8 d% n2 _1 V5 b! b % P J& e' g) Q( g 非同步状态检测。您可以利用TCP包来观察连接双方的顺序号。根据顺序号。您可以判断出连接是否处于非同步状态。然而,仅当假定您在连接上传送顺序号时没有黑客改变它,您才可以在连接的双方阅读包--这是一个一般的安全假定。 7 |# Q1 o6 w- W. O " _% ]1 ~' y I) I " ?' S V9 V- r& C0 c0 e0 I " Z5 f0 d5 q* z6 A9 A6 D1 T& @ + |. R& \$ Z- P }; C 3 _8 q6 z/ l6 @ j/ g* p 0 I3 j9 L; E$ r- x) o " _' j: V% T; |1 ]0 K Total TCPs 80-100 1400 * m$ o) g+ A! N4 X6 ]- N - J' G! Z. e4 \ + e$ k5 _! n# S6 e. V- K/ ?% m. Y 5 U- b( {4 L' d! d $ M ~" C# ` ~ K0 ?* W7 ?7 M* ^ 7 M# C( G- R- l7 i% W 9 O# z" f/ ?# A8 @& q/ f5 J! V " [; l7 Z7 J6 _) i 1 i4 @% Y$ S$ X! V( z9 S d) Y 表2 遭入侵时,ACK包的计数情况 : U1 c5 P- A0 K [( t' k* C! B: L 包的类型 本地连接 1 m$ S; [7 L# `* {4 b% J" m $ }$ W5 w& r8 T8 c, w Total Telnet ACK 75-400 . X9 y0 |% Z* s" G1 y; F: a 6 u0 k5 i+ X5 |" I4 ~" R 在表2中,本地连接是指只有少数来自客户端的IP跳跃的一个主机的通讯会话。通讯会话的往返延迟(RTD)大约在3毫秒。例如,通讯会话可能跨越客户机与主机间的4个局域服务器。正如您所知,在黑客入侵时包计数器的改变很明显。就算它变化较为轻微,ACK计数与总包计数几乎是一致的,则交通量基本都是指认证包,意味着几乎不包括数据包
zan
IP卡
狗仔卡
发表于 2004-10-6 01:20
转播
淘帖
分享
收藏
支持
反对
微信
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
