计算机信息安全课件(07081-7) 第6章 鉴别与防御“黑客”入侵.pptVIP

第6章 鉴别与防御“黑客”入侵 内容提要 最简单的“黑客”入侵 TCP协议劫持入侵 嗅探入侵 主动的非同步入侵 另一种嗅探——冒充入侵 关于作假的详述 关于劫持会话入侵 超级链接欺骗：SSL服务器认证中的一种入侵 网页作假 6.1 最简单的“黑客”入侵 一般来说，“黑客”进行TCP/IP顺序号预测攻击分两步：第一，得到服务器的IP地址。黑客一般通过网上报文嗅探，顺序测试号码，由Web浏览器连接到节点上并在状态栏中寻找节点的IP地址。因为黑客知道其他计算机有一个与服务器IP地址部分公用的IP地址，他便致力模拟一个能让其通过路由器和作为网络用户访问系统的IP号码。 黑客在试过网上IP地址之后，便开始监视网上传送包的序列号，然后，黑客将试图推测服务器能产生的下一个序列号，再将自己有效地插入服务器和用户之间。因为黑客有服务器的IP地址，就能产生有正确IP地址和顺序码的包裹以截获用户的传递。 黑客通过顺序号预测取得系统访问之后，便可访问通信系统传给服务器的任何信息，包括密钥文件、日志名、机密数据，或在网上传送的任何信息。典型地，黑客将利用顺序号预测作为一个实际入侵服务器的准备，或者说为入侵网上相关服务器提供一个基础。 6.2 TCP协议劫持入侵 6.3 嗅探入侵 利用嗅探者的被动入侵已在Internet上频繁出现，被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。要开始一个嗅探入侵，黑客要拥有用户IP和合法用户的口令，而用一个用户的信息注册于一个分布式网络上。进入网之后，黑客嗅探传送的包并试图尽可能多地获取网上资料。 6.3 嗅探入侵 6.4 主动的非同步入侵 黑客或骗取或迫使双方中止TCP连接并进入一个非同步状态，以使得两个系统再也不能交换任何数据。黑客再用第三方主机（换句话说，另一个连接于物理媒介并运送。TCP包的计算机）来截取实际中的数据包和为最初连接的两台计算机创建可接受的替代包。第三方产生数据包以模仿连接中的系统本应交换的数据包。 6.4.1 非同步后劫持入侵 假设黑客已成功地非同步了TCP部分，且黑客发送了一个包头中包含以下代码的包： SEG _ SEQ=CLT _ SEQ SEG _ ACK=CLT _ ACKTCP包服务器真正客户机黑客包 包头域中的第一行，SEG _ SEQ=CLT _ SEQ，指明了包的顺序号是客户机系列的下一个顺序号（SEG代表数据段）；第二行，SEG _ ACK=CLT _ ACK，把数据包的确认值赋给下一个确认值。因为黑客非同步了TCP连接，客户机的包顺序号（CLT _ SEQ）与前面期望顺序号不相等，服务器不接收数据且将包放弃，黑客拷贝服务器放弃的包。 6.4.1 非同步后劫持入侵 在服务器放弃包之后短暂延迟时间，黑客将与客户机一样发送同样的包，只是改变SEG _ SEQ和SEG _ ACK命令（和包的记数值），以使包头域词条变成下面代码： SEG _ SEQ=SVR _ ACK SEG _ ACK=SVR _ SEQ 因为包头域的顺序号是正确的（SVR _ ACK等于SEG _ SEQ），服务器接受包头域部分词条同时接受包且处理数据，另外，依据客户机传送但服务器放弃的包的数目，原客户机仍会不断传送包。 如果定义CLT _ TO _ SVR _ OFFSET等于SVR _ ACK减CLT _ SEQ的结果（即服务器期待的顺序号和客户机实际的顺序号的相异数），SVR _ TO _ CLT _ OFFSET等于CLF _ ACK减去SVR _ SEG，黑客一定会重写客户机送给服务器的TCP包，让包代表SEG _ SEQ和SEG _ ACK之值。 6.4.1 非同步后劫持入侵 SEG _ SEG = (SEG _ SEQ + CLT _ TO _ SVR _ OFFSET) SEG _ ACP = (SEG _ ACK _ SVR _ TO _ CLT _ OFFSET) 因为所有的传送都经过黑客，它便可以在传送流中加任何数据或删除任何数据。例如，如果连接是一个远程登录使用的Telnet，黑客能代表用户添加任何命令（UNIX命令echo ，它将产生一个所有连接于服务器的网络的主机列表，就是一个黑客发出命令的范例） 6.4.2 TCP ACK风暴 前面部分详述的后期非同步劫持入侵有一个基本的不足，即它将大量地产生TCP ACK包，网络专家称这些大量的ACK包为TCP ACK风暴。当一个主机（无论客户机或服务器）收到一个不能接受的包时，主机将向产生包的主机发送期待的顺序号来认证这个不能接收的包。 这是一个认证包或叫TCP ACK包。 在以前详述的主动的TCP入侵的情况下，第一个TCP ACK包将包含服务器的顺序号。客户机因为没有送出请求更改的包，所以将不接受这