您的位置:控制工程论坛网论坛 » 工业以太网 » TCP/IP协议安全性能--利用网络监控设备观测网络入侵

wilton_gao

wilton_gao   |   当前状态:离线

总积分:123  2024年可用积分:0

注册时间: 2008-01-16

最后登录时间: 2009-09-29

空间 发短消息加为好友

TCP/IP协议安全性能--利用网络监控设备观测网络入侵

wilton_gao  发表于 2008/7/24 8:49:15      848 查看 2 回复  [上一主题]  [下一主题]

手机阅读

伪造IP地址

最初,网络监控设备会监测到大量的TCP SYN包从某个主机发往A的登录端口。主机A会回送相应的SYN-ACK包。SYN包的目的是创建大量的与主机A的半开放的TCP连接,从而填满了主机A的登录端口连接队列。

大量的TCP SYN包将从主机X经过网络发往主机B,相应地有SYN-ACK包从主机B发往主机X。然后主机X将用RST包作应答。这个SYN/SYN-ACK/RST包序列使得入侵者可以知道主机B的TCP序列号发生器的动作。

主机A向主机B发送一个SYN包。实际上,这是主机X发送的一个“伪造”包。收到这个包之后,主机B将向主机A发送相应的SYN-ACK包。主机A向主机B发送ACK包。按照上述步骤,入侵主机能够与主机B建立单向TCP连接。
1楼 0 0 回复
  • wilton_gao

    wilton_gao   |   当前状态:离线

    总积分:123  2024年可用积分:0

    注册时间: 2008-01-16

    最后登录时间: 2009-09-29

    空间 发短消息加为好友

    wilton_gao   发表于 2008/7/24 8:49:00

    虚假状态转移

    当入侵者试图利用从SYN-RCVD到CLOSE-WAIT的状态转移长时间阻塞某服务器的一个网络端口时,可以观察到如下序列包:

    ●从主机X到主机B发送一个带有SYN和FIN标志位置位的TCP包。

    ●主机B首先处理SYN标志,生成一个带有相应ACK标志位置位的包,并使状态转移到SYN-RCVD,然后处理FIN标志,使状态转移到CLOSE-WAIT,并向X回送ACK包。

    ●主机X不向主机B发送其它任何包。主机的TCP机将固定在CLOSE-WAIT状态。直到维持连接定时器将其重置为CLOSED状态。

    因此,如果网络监控设备发现一串SYN-FIN/ACK包,可推断入侵者正在阻塞主机B的某个端口
    2楼 回复本楼

    引用 wilton_gao 2008/7/24 8:49:00 发表于2楼的内容

  • wilton_gao

    wilton_gao   |   当前状态:离线

    总积分:123  2024年可用积分:0

    注册时间: 2008-01-16

    最后登录时间: 2009-09-29

    空间 发短消息加为好友

    wilton_gao   发表于 2008/7/24 8:49:15

    定时器问题

    如果一入侵者企图在不建立连接的情况下使连接建立定时器无效,我们可以观察到以下序列包:

    ●主机X从主机B收到一个TCP SYN包。

    ●主机X向主机B回送一个SYN包。

    主机X不向主机B发送任何ACK包。因此,B被阻塞在SYN-RCVD状态,无法响应来自其它客户机的连接请求。
    3楼 回复本楼

    引用 wilton_gao 2008/7/24 8:49:15 发表于3楼的内容

总共 , 当前 /