中国科学技术大软件学院.docVIP

中国科学技术大学软件学院 《信息安全》 课程参考资料 Mitnick攻击 IP spoofing 攻击是从 14:09:32 PST on 12/25/94 开始的.首先的探测来自 (来自数据包的记录):14:09:32 # finger -l @target14:10:21 # finger -l @server14:10:50 # finger -l root@server14:11:07 # finger -l @x-terminal14:11:38 # showmount -e x-terminal14:11:49 # rpcinfo -p x-terminal14:12:05 # finger -l root@x-terminal　　这样的探测是为了查看在这些系统之中有什么信赖关系，借此可以发动 IP spoofing攻击.从 showmount 和 rpcinfo 的源端口可以看出是 的 root。?　　六分钟之后, 我们收到了大量的 TCP SYN 请求(TCP 连接的请求)，是来自 7到服务器Server上的 513 (login) 端口.这些 SYN 请求的目的就是堵塞513端口的连接队列，使其成为半开连接状态，因此无法接受其它的新的连接请求。最主要的目标是，它是不会对那些SYN-ACK请求发送TCP RST回应的。　　513 端口是一个“特权”( IPPORT_RESERVED)端口 , server.login 可以被假定的源地址安全的使用,是在UNIX上的r-服务 (rsh, rlogin)进行地址spoofing攻击的。7明显是没有反应的地址（对收到的数据包）:14:18:22.516699 7.600 server.login: S 1382726960:1382726960(0) win 409614:18:22.566069 7.601 server.login: S 1382726961:1382726961(0) win 409614:18:22.744477 7.602 server.login: S 1382726962:1382726962(0) win 409614:18:22.830111 7.603 server.login: S 1382726963:1382726963(0) win 409614:18:22.886128 7.604 server.login: S 1382726964:1382726964(0) win 409614:18:22.943514 7.605 server.login: S 1382726965:1382726965(0) win 409614:18:23.002715 7.606 server.login: S 1382726966:1382726966(0) win 409614:18:23.103275 7.607 server.login: S 1382726967:1382726967(0) win 409614:18:23.162781 7.608 server.login: S 1382726968:1382726968(0) win 409614:18:23.225384 7.609 server.login: S 1382726969:1382726969(0) win 409614:18:23.282625 7.610 server.login: S 1382726970:1382726970(0) win 409614:18:23.342657 7.611 server.login: S 1382726971:1382726971(0) win 409614:18:23.403083 7.612 server.login: S 1382726972:1382726972(0) win 409614:18:23.903700 7.613 server.login: S 1382726973:1382726973(0) win 409614:18:24.003252 7.614 server.login: S 1382726974:1382726974(0) win 409614:18:24.084827 7.615 server.login: S 1382726975:1382726975(0) win 409614:18:24.142774 7.616 server.login: S 1382726976:1382726976(0) win 409614:18:24.203195 7.617 server.login