lP欺编攻去原理与实例.docxVIP

lP 欺编攻去原理与实例 IP 欺骗技术就是通过伪造某台主机的IP 地址骗取特权从而进行攻击的技术.许多 应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地址，那么源 IP 地址一定是有效的，而这正是使源 IP 地址欺骗攻击成为可能的前提。 假设同一网段内有两台主机 A、B，另一网段内有主机 X。B 授予 A 某些特权。X 为 获得与 A 相同的特权，所作欺骗攻击如下首先，X 冒充 A，向主机 B 发送一个带有随机序列号的 SYN 包。主机 B 响应，回送一个应答包给 A，该应答号等于原序列号加 1;然而，此时主机 A 已被主机 X 利用拒绝服务攻击“淹没”了，导致主机 A 服务失效。结果， 主机 A 将 B 发来的包丢弃。为了完成 3 次握手，X 还需要向 B 回送一个应答包，其应答号等于 B 向 A 发送数据包的序列号加 1。此时主机 X 并不能检测到主机 B 的数据包(因为不在同一网段)，只有利用 TCP 顺序号估算法来预测应答包的顺序号并将其发送给目标机 B。如果猜测正确，B 则认为收到的 ACK 来自内部主机 A。此时，X 即获得了主机A 在主机 B 上所享有的特权，并开始对这些服务实施攻击。IP 欺骗攻击的原理图如 图 2.9 所 示 。 要防止源 IP 地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击。 (l)抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证，不允许 r 类远程调用命令的使用;删除rhosts 文件;清空/etc/hosts. eqniv 文件。这将迫使所有用户使用其他远程通信手段，如 telnet、ssh、skey 等. 使用加密方法:在包发送 /尼采手机工厂到网络上之前，可以对 它进行加密。虽然加密过程要 求适当改变目前的网络环境，但它将保证数据的完整性和真实性。 进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同 IP 地址 的连接请求。而且，当包的 IP 地址不在本网内时，路由器不应该把本网主机的包发送出去。 有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包，但它们也 是 通过分析测试源地址来实现操作的，因此，它们仅能对声称是来自于内部网络的外来包进行过滤。若网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行 IP 欺骗。