第二章 网络协议的安全.ppt

* 在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。例如在Linux系统，首先打开一个Raw Socket（原始套接字），然后自己编写IP头及其他数据。 * 比较好的解决办法是先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里，然后设置包转发，最后就可以进行会话劫持了，而且不必担心会有ACK风暴出现。当然，并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意，ACK风暴仅存在于注射式会话劫持。 * * * * * * * * * * * * * * * * 这种扫描方法的缺点是会在目标主机的日志记录中留下痕迹，易被发现，并且数据包会被过滤掉。目标主机的logs文件会显示一连串的连接和连接出错的服务信息，并且能很快地使它关闭。 Courtney，Gabriel和TCP Wrapper监测程序通常用来对扫描进行监测。另外，TCP Wrapper可以对连接请求进行控制，所以，他可以用来阻止来自不明主机的全连接扫描过程 * * * * TCP FIN扫描技术使用FIN数据包来探测端口。当一个FIN数据包到达一个关闭的端口时，数据包会被丢掉，并且返回一个RST数据包。