資訊動(dòng)態(tài)
TCP序列號(hào)轟炸攻擊
發(fā)布:2018-09-19 17:50:16 瀏覽:4847
平J早電大網(wǎng)方地1Z13.源路由選擇欺騙(SourceRouting
置了一個(gè)選項(xiàng)MPSourceRouing,該選項(xiàng)可以spoofing)。TCP/IP協(xié)議中,為測(cè)試目的,IP數(shù)據(jù)包設(shè)個(gè)選項(xiàng)進(jìn)行欺騙,進(jìn)行非法連接。直接指明到達(dá)節(jié)點(diǎn)的路由。攻擊者可以利用這個(gè)服務(wù)器的直接路徑徑和返回的路徑,攻擊者可以冒充某個(gè)可信節(jié)點(diǎn)的IP地址,構(gòu)造一個(gè)通往某
以向服務(wù)器發(fā)請(qǐng)求,對(duì)其進(jìn)行攻擊。利用可信用戶作為通往服務(wù)器的路由中的最后一站,就可UDP是面向非連接的,因而沒(méi)有在TCP/IP協(xié)議的兩個(gè)傳輸層協(xié)議TCP和UDP中由于
4由選擇信息協(xié)議攻擊(RPAakeisRIP協(xié)議用來(lái)在周城網(wǎng)中發(fā)形動(dòng)態(tài)路由信息,初始化的連接建立過(guò)程,所以UDP更容易被欺騙。
它是為工在局城網(wǎng)中的節(jié)點(diǎn)提供一致路由選擇可達(dá)性假息面設(shè)計(jì)的。但是各節(jié)點(diǎn)對(duì)收到的信息是不檢在它的真實(shí)性的(TCP/P協(xié)議沒(méi)有概供這個(gè)功能)因此攻擊者可以在網(wǎng)上發(fā)布假器,從而達(dá)到非法存放的目的。的路由信息利用ICMP的重定向信息欺騙路由器或主機(jī),,將正常的路由器定義為失效路由
5.鑒別攻tutheicationAtaks)TCP/TP協(xié)議只能以IP地址進(jìn)行鑒別,而不能對(duì)節(jié)點(diǎn)上的用戶進(jìn)行有效的身份認(rèn)證,因此服務(wù)器無(wú)法鑒別登錄用戶的身份有效性。目前主要依靠服務(wù)器軟件平臺(tái)提供的用戶控制機(jī)制,比mUNIX系統(tǒng)采用用戶名、口令。雖然口令是密文存放在服務(wù)器上,但是由于口令是靜態(tài)的明文傳輸?shù)?。所以無(wú)法抵御重傳、竊聽(tīng),而且在UNIX系統(tǒng)中常常將加密后的口令文件存放在一個(gè)普通用戶就可以讀的文件里,攻擊者也可以運(yùn)行已準(zhǔn)備好的口令破譯程序來(lái)破譯口令,對(duì)系統(tǒng)進(jìn)行攻擊。
6.TCP序列號(hào)欺騙(TCPSequenceNumberSpoofing)由于TCP序列號(hào)可以預(yù)測(cè),因此攻擊者可以構(gòu)造一個(gè)TCP包序列,對(duì)網(wǎng)絡(luò)中的某個(gè)可信節(jié)點(diǎn)進(jìn)行攻擊。
7.TCP序列號(hào)轟炸攻擊(TCPSYNFloodingAttack)簡(jiǎn)稱SYN攻擊(SYNAttack)。TCP
是一個(gè)面向連接、可靠的傳輸層協(xié)議。通信雙方必須通過(guò)一個(gè)三方握手的方式建立一條連接。如果主機(jī)A要建立一條和主機(jī)B的TCP連接,正常的TCP連接要使用三次握手,如圖5-3①所示;首先A發(fā)送一個(gè)SYN數(shù)據(jù)包(一個(gè)具有SYN位組的TCP數(shù)據(jù)包)給主機(jī)B;主機(jī)B回答一個(gè)SYN/ACK數(shù)據(jù)包(一個(gè)具有SYN和ACK位組的TCP數(shù)據(jù)包)給主機(jī)A,表示確認(rèn)第一個(gè)SYN數(shù)據(jù)包并繼續(xù)進(jìn)行握手;最后主機(jī)A發(fā)送一個(gè)ACK數(shù)據(jù)包給主機(jī)B,完成整個(gè)三次握手過(guò)程.這樣通信雙方正式建立一條連接。當(dāng)主機(jī)B接受到一個(gè)SYN數(shù)據(jù)包時(shí),它分配塊內(nèi)存給這個(gè)新的連接。如果連接數(shù)沒(méi)有限制,那么主機(jī)B為處理TCP連接將很快用完它的內(nèi)存資源。然而對(duì)一個(gè)給定的應(yīng)用服務(wù),比如www服務(wù)并發(fā)的TCP連接請(qǐng)求有一個(gè)限度,如果達(dá)到了這個(gè)限度,別的請(qǐng)求將會(huì)被拒絕。如果一個(gè)客戶采用地址欺騙的方式偽裝成一個(gè)不可到達(dá)的主機(jī)時(shí),那么正常的三次握手過(guò)程將不能完成。目標(biāo)主機(jī)直得等到超時(shí)再恢復(fù),這是SYN攻擊的原理。如圖53②所示。攻擊主機(jī)A發(fā)送一定數(shù)量的SYN請(qǐng)求(一般小于10就足夠了)到主機(jī)B。攻擊者采用地址欺騙的方式把他的地址動(dòng)態(tài)偽裝成主機(jī)A”的地址(其實(shí)這個(gè)地址根本不存在),因?yàn)楣糁鳈C(jī)A根本不想讓任何一個(gè)主機(jī)收到這個(gè)目標(biāo)TCP連接發(fā)出的SYN/ACK數(shù)據(jù)包,這樣主機(jī)B無(wú)法釋放被占用的資源,主機(jī)B將拒絕接受別的正常請(qǐng)求.攻擊成功。只有等到SYN請(qǐng)求超時(shí),主機(jī)B才會(huì)恢復(fù)連接。如果主機(jī)A'可到達(dá),如圖5一3③所示,那么當(dāng)主機(jī)A收到主機(jī)B發(fā)來(lái)的SYNVACK數(shù)據(jù)包時(shí),它不知道它該做什么,就發(fā)一個(gè)RST數(shù)據(jù)包給主機(jī)B.主機(jī)就復(fù)原連接,攻擊失敗。
換了,也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。作地東T的e能(政I06下工作。該體制應(yīng)該是與算法無(wú)關(guān)的,即使加務(wù)算法勞此外該體制必須能實(shí)行多種安全政策,但要避免給不使用該體制的人造成不利影響。按照這些要求IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證頭(Au-thenticationHeader,AH)之Z.AH現(xiàn)供包的真實(shí)性和完整性ES類供機(jī)要內(nèi)容。和封裝安全有交
IPAH指一段消息認(rèn)證代碼(之Z.AH現(xiàn)供包的真實(shí)性和完整性ES類供機(jī)要內(nèi)容。
已經(jīng)被事先計(jì)算好。發(fā)送方用一個(gè)加密鑰算出AH,接收方用同一成另一密銷對(duì)之進(jìn)行驗(yàn)(MessageAuthenticationCode,MAC),在發(fā)送IP包之前,它制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外地提供不可否認(rèn)的服務(wù)。事實(shí)證。如果收發(fā)雙方使用的是單鑰體制,那它們就使用問(wèn)一密鑰;如果收發(fā)雙方使用的是公鑰體上,有些在傳輸中可變的城,如IPv4中的time-to-live域或IPv6中的HopLimit域,都是在
AH的計(jì)算中必須忽略不計(jì)的。RFC1828首次規(guī)定了加封狀態(tài)下AH的計(jì)算和驗(yàn)證中要采用案提出。帶密鑰的MDS算法。而與此同時(shí),MD5和加封狀態(tài)都被批評(píng)為加密強(qiáng)度太弱,并有替換的方
IPESP的基本想法是整個(gè)IP包進(jìn)行封裝,或者只對(duì)ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運(yùn)輸狀態(tài))進(jìn)行封裝,并對(duì)ESP的絕大部分?jǐn)?shù)據(jù)進(jìn)行加密。在管道狀態(tài)下,為當(dāng)前已加密的ESP附加了一個(gè)新的IP頭(純文本),它可以用來(lái)對(duì)IP包在Internet上作路由選擇。接收方把這個(gè)IP頭取掉,再對(duì)ESP進(jìn)行解密,處理并取掉ESP頭對(duì)原來(lái)的IP包或更高層協(xié)議的數(shù)據(jù)就像對(duì)普通的IP包那樣進(jìn)行處理。在RFC1827中對(duì)ESP的格式作了規(guī)定。在RFC1829中規(guī)定了在密碼塊鏈接(CBC)狀態(tài)下ESP加密和解密要使用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)。雖然其它算法和狀態(tài)也是可以使用的,但一些國(guó)家對(duì)此類產(chǎn)品的進(jìn)出口控制也是不能不考慮的因素。有些國(guó)家甚至連私用加密都要限制。
AH與ESP體制可以合用,也可以分用。不管怎么用都逃不脫傳輸分析的攻擊。人們不太清楚在Internet層上,是否真有經(jīng)濟(jì)有效的對(duì)抗傳輸分析的手段,但是在Internet用戶里,真正把傳輸分析當(dāng)回事兒的也是寥寥無(wú)幾。
1995年8月,Internet工程領(lǐng)導(dǎo)小組(IEGS)批準(zhǔn)了有關(guān)IPSP的RFC作為Internet標(biāo)準(zhǔn)系列的推薦標(biāo)準(zhǔn)。除RFC1828和RFC1829外,還有兩個(gè)實(shí)驗(yàn)性的RFC文件,規(guī)定了在AH和ESP體制中,用安全散列算法(SHA)代替MD5(RFC1852),利用三元DES代替DES(RFC1851)。在最簡(jiǎn)單的情況下,IPSP用手工來(lái)配置密鑰。然而,當(dāng)IPSP大規(guī)模發(fā)展的時(shí)候,就需要在Internet上建立標(biāo)準(zhǔn)化的密鑰管理協(xié)議。這個(gè)密鑰管理協(xié)議按照IPSP安全條例的要求,指定管理密鑰的方法。
因此,IPSEC工作組也負(fù)責(zé)進(jìn)行Internet密鑰管理協(xié)議(IKMP),其它若干協(xié)議的標(biāo)準(zhǔn)化工作也已經(jīng)提上日程。
Intermet和層安全性的主要優(yōu)點(diǎn)是它的透明性,也就是說(shuō)安全服務(wù)的提供不需要應(yīng)用程序.其它通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它的最主要的缺點(diǎn)是:Internet層一般對(duì)屬于不同
進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同地址的包,它將按照同樣的加密密鑰和訪問(wèn)控制策略來(lái)處理。這可能導(dǎo)致提供不了所需的功能.也會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)的密鑰分配的這些問(wèn)題RFC1825允許(甚至可以說(shuō)是推存)使用面向用戶的密鑰分配,網(wǎng)站制作其中不同
>>> 查看《TCP序列號(hào)轟炸攻擊》更多相關(guān)資訊 <<<
本文地址:http://www.modelkey.org/news/html/3840.html
上一個(gè):商務(wù)網(wǎng)站安全與控制
下一個(gè):Internet安全現(xiàn)狀
