实时预警校园网病毒.pdfVIP

维普资讯 实时预警校园网病毒 ■文 ／周奇 佘华君 姜开达 TCP连接的数据传输过程 提供的序号来确保连接同步以及通信安全。 在TCP的数据传送过程中，很多重要 在通信过程中，双方的序号是相互依赖的。 伴随着互联网的迅速发展 ，各种黑客的 的机制保证了TCP的可靠性和强壮性。它 如果攻击者在不知道序号的情况下想进行 攻击活动 日益猖獗，对网络安全造成了极 们包括：使用序号对收到的TCP报文段进 会话劫持，结果肯定是失败的，因为攻击者 大的威胁。如何架构完整的安全预警控制 行排序 以及检测重复的数据；使用校验和 不能提供合法的序号，致使会话双方 “不认 体系一直困扰着校园网络管理人员。目前 来检测报文段的错误 ；使用确认和计时器 识”攻击者。所以，会话劫持成功的关键是 人们通常使用封锁交换机端口的方法完全 来检测和纠正丢包或延时。 计算或预测出正确的序列号，攻击者可以 禁止感染病毒用户访问网络。被隔离的用 在TCP传输数据时，两个主机的TCP 采取网络侦听技术获得这些信息。 户可能对本机所发生的故障一无所知，这 层之间要交换初始序号。这些序号用于标 假设主机 A和主机B正在进行一次 就为用户查杀病毒增加了困难。为此笔者 识字节流中的数据 ，还对应用层的数据字 TCP会话。C为攻击者，他可以侦听A和 开发了一种病毒预警与访问控制系统，给 节进行记数。通常在每个TCP报文段中都 B的通信报文 ，并通过侦听到的SEQ#和 用户提供实时病毒预警服务。 有一对序号和确认号。TCP报文发送者认 ACK#计算出伪造包的SEQ#；~IACK#， 为 自己的字节编号为序号，而接收者的字 劫持过程如下： 系统的工作机制 节编号为确认号。每一个字节传输过后，初 (1)A向B发送一个数据包，SEQ#为 始序号都会递增 1。通过使用序号和确认 X，ACK#为y，包长度为a。 TOP连接的建立过程 号，TCP层可以把收到的报文中的字节按 (2)B应答A一个数据包，SEQ#为 TCP连接包括三个状态：连接建立 、 正确的顺序交付给应用层。序号是32位的 y，ACK#为x+a，包长度为b。 数据传送和连接终止。TCP用三次握手 无符号数 ，在它增大~／232—1时便会回绕到 (3)C假冒A给B发送一个伪造数据 过程建立一个连接 ，其过程通常是由服务 0。对于初始序号的选择是TCP等关键操 包，SEQ#为x+a，ACK#为y+b，包长 端打开一个套接字并监听来 自客户端的 作，它可以确保TCP的强壮性和安全性。 度为c。 连接 ，这就是所谓的 “被动打开方式”。服 TCP连接的终止 (4)B向A应答一个数据包 ，SEQ#为 务端端El被动打开 以后，客户端就能开 TCP连接的终止通常是采用三次握手 y+b，ACK#为x+a+c，包长度为d。 始建立主动打开操作。三次握手的步骤 的方式，如图2所示。客户端往服务端发送 此时主机B执行了攻击者C，冒充主机 见图1。 一 个FIN包 ，服务端应答一个FIN+ACK (1)客户端通过向服务端发送一个SYN 包，客户端再应答一个ACK包。TCP协议 来建立一个主动打开，作为三次握手的第 允许发送一个RST包替代FIN包，确保远 》 ，毒 一 步。客户机发出的SYN包的SEQ 为x。 程应用已经读取 了先前发送的所有数据 ， (2)服务端应当为一个合