IP欺骗.ppt

IP欺骗 IP欺骗 IP欺骗是适用于TCP/IP环境的一种复杂攻击方式，也是目前黑客入侵攻击的重要手段之一。 IP欺骗不是入侵的结果，而是入侵的一种手段 IP欺骗的过程 为什么可以进行IP欺骗 在TCP/IP协议组中，IP协议是非面向连接，非可靠传输的协议，IP数据包是进行松散发送的，并不是连续发送的，所以可以在源地址和目的地址中间放入满足要求的IP地址，（也就是说可以进行虚假IP地址的提供） TCP在TCP/IP协议簇中面向连接，提供可靠传输。 面向连接是两个主机首先必须建立连接，然后才能进行数据交换。 可靠性是有数据包中的多位控制字来提供，其中有两个是SYN和ACK 1.选定目标主机 利用端口扫描，网络监听工具 看有哪些机器和目标主机进行TCP/IP连接 2.寻找目标主机信任的主机 选择好进攻的目标主机后，必须寻找到目标主机信任的主机 可以尝试显示目标主机的文件系统在哪里被export,或者使用rpcinfo来分析有用信息 或者尝试目标主机的相邻IP地址，获取有价值信息 3.控制被信任的主机 黑客向被信任的主机的TCPA发送大量SYN请求，使得被信任主机的TCP/IP链接达到队列的最上限，从而无法响应目标主机的SYN请求 4.采样目标主机的TCP序列号，猜测数据包序列号，尝试建立连接 在此期间，黑客就有机会伪装成被信任主机的IP地址，将SYN请求返回给目标主机， 黑客利用网络监听和抓包软件，采样目标主机的TCP序列号，并猜测目标主机的数据包序列号，尝试建立与目标主机的基于地址验证的应用连接 5.建立连接，种植后门 一旦与目标主机建立TCP/IP连接，黑客就会使用命令，通过目标主机的安全性较弱的端口，种植后门程序 6.进行远程控制和非法操作 后门种植成功后，黑客一般会断开与目标主机的连接，并且停止对被信任主机的攻击，全身而退 黑客推出后，找寻合理时机，对目标主机进行远程控制和非法操作 IP欺骗 在IP欺骗的攻击过程中，黑客可以大量模拟被信任主机的数据包，发送给目标主机，但是目标主机发给的被信任主机的数据包却永远到达不了黑客的主机，为什么？ IP欺骗的预防措施 放弃以地址为基础的安全验证 进行数据包过滤 使用加密方法 使用使用随机化的初始序列号 * * 采样目标主机的TCP 序列号，猜测数据序 列号，伪装成信任主机 建立与目标主机的链接 放置后门程序，进行 攻击 找到目标主机信任的主机 攻击信任主机，使其 丧失工作能力 选定目标主机 *