计算机网络安全大作业剖析.docxVIP

网络安全技术大作业专业：电子信息工程姓名：代张龙 学号：200911513335IP地址欺骗攻击一、什么是IP地址欺骗攻击IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身分。这是一种骇客的攻击形式，骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种IP欺骗。一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。比较著名的SQL Server蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQL Server解析程序（SQL Server 2000以后版本）的服务器，这样由于SQL Server 解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。二、IP地址欺骗攻击原理所谓IP欺骗，无非就是伪造他人的IP地址，其实质就是让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。IP欺骗利用了主机之间正常信任关系来发动的。所谓信任关系就是网络上的两台计算机X和Y，Y可以利用远程登录工具，无需要口令验证就可以登录到X主机上，而登录的基础是X对Y主机IP的验证。即X是否对Y的提供服务是基于对主机Y的IP地址的信任。既然X、Y之间的信任关系是基于IP地址建立起来的，那么假如能够冒充Y的IP地址，就可以使rlogin登录上X，而不需要任何口令的验证。假设现在有一个合法用户（1.1.1.1）已经同服务器建立了正常的连接，攻击者构造攻击的TCP数据，伪装自己的IP为1.1.1.1，并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后，认为从1.1.1.1发送的连接有错误，就会清空缓冲区中建立好的连接。这时，如果合法用户1.1.1.1再发送合法数据，服务器就已经没有这样的连接了，该用户就必须从新开始建立连接。攻击时，伪造大量的IP地址，向目标发送RST数据，使服务器不对合法用户服务。三、IP地址欺骗攻击的步骤由于TCP是面向连接的协议，所以双方在正式传输数据以前，需要用“三次握手”来建立一个稳定的连接。假设A、B两台主机进行通信，B首先发送带有SYN（是Synchronize，同步序列编号）标志的数据段通知A需要建立TCP连接，TCP的可靠性就是由数据包的多位控制字来提供。其中最重要的是数据序列SYN和数据确认标志ACK。B将TCP报头中的SYN设为自己本次连接的初始值（ISN）。A收到B的SYN包后，会发送给B一个带有SYN+ACK标志的数据段，告知自己的ISN，并确认B发送来的第一个数据段，将ACK设置成为B的SYN+1。B确认收到A的SYN+ACK数据包，将ACK设置成为A的SYN+1。A收到B的ACK后，连接成功后，双方就可以正式传输数据了。因此，IP欺骗攻击的基本步骤为：（1）首先使被信任的主机的网络暂时瘫痪，以免对攻击造成干扰；（2）然后连接到目标机的某个端口来猜测ISN基值和增加规律；（3）接下来把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接。（4）然后，黑客等待目标机发送SYN+ACK包给已经瘫痪的被信任主机，因为黑客这时看不到这个包。（5）最后再次伪装成被信任主机向目标主机发送ACK，此时发送的数据段带有预测的目标主机ISN+1。（6）连接建立发送命令。四、影响IP地址欺骗攻击IP地址欺骗是非常有益的，特别是在案件拒绝服务（ DoS ）攻击，如大量的信息被发送到目标计算机或系统没有肇事者关心的反应，目标系统。 这种类型的攻击，特别是有效的，因为攻击数据包，似乎即将从不同的来源，因此，肇事者是难以追查。 骇客使用的IP地址欺骗，经常利用随机选择的IP地址从整个频谱的IP地址空间的同时，一些更先进的骇客仅使用未经注册的部分IP地址范围。IP地址欺骗，但是，是不那么有效，比使用僵尸网络为DoS攻击，因为它可以被监控互联网当局利用散射技术可以判断DoS攻击的基础上，有多少无效的IP地址使用的攻击。不过，它仍然是一个可行的替代办法，为骇客的攻击。 IP地址欺骗，也是一个非常有用的工具，在网络的渗透和克服网络安全保密措施。 发生这种情况时， IP地址spoofers使用受信任的IP地址，内部网络，从而规避需要提供一个使用者名称或密码登录到该系统。 这类攻击通常是基于一组特定的主机控制（如rhosts ）是不安全的配置。 五、IP