简单的针对TCP的主动攻击

这篇文章和yuri volobuev的 利用ARP和ICMP玩重定向的游戏 都是很早的文章了，前面在本版贴过上篇的翻译，这次贴这篇。 文章虽然早，可我仅仅是出于计算机普及的微小抱负给那些懒得 看米国文字的朋友们一个机会。什么时候我们后面的那些少年 能自己写出这样的文章探索这样的技术，那我就不用再来做计算 机普及啦，学风不正也许是我们的通病，以致小弟才疏学浅，连 翻译都是牛头不对马嘴，永远的遗憾吧 1. 介绍 被动攻击使用sniffer，现在越来越普遍。然而人们盲目地认为 主动攻击相当困难，以至于很少有人使用。下面我们描述一次非常简单 的主动攻击，它成功地被用做入侵UNIX主机，它也可以和被动攻击 sniffing一起使用。读者可以和1985年R. Morris提供的 IP Spooffing做个比较。 2. ESTABLISHED状态 2.1 TCP协议 关于TCP协议的细节请参看RFC793。 SVR_SEQ: sequence number of the next byte to be sent by the server; SVR_ACK: next byte to be received by the server (the sequence number of the last byte received plus one); SVR_WIND: server's receive window; CLT_SEQ: sequence number of the next byte to be sent by the client; CLT_ACK: next byte to be received by the client; CLT_WIND: client's receive window; 开始没有数据交换， SVR_SEQ = CLT_ACK and CLT_SEQ = SVR_ACK. 这个个关系一直有效，只要连接的双方都不发送数据。 一旦开始发送数据， CLT_ACK = SVR_SEQ ="CLT_ACK" + CLT_WIND SVR_ACK = CLT_SEQ ="SVR_ACK" + SVR_WIND TCP报文头部有如下内容： 源端口、目标端口、序列号、应答序列号、数据区偏移，控制位： URG: Urgent Pointer; ACK: Acknowledgment; PSH: Push Function; RST: Reset the connection; SYN: Synchronize sequence numbers; FIN: No more data from sender; 发送方窗口尺寸、TCP报文校验和(头部和数据区都包括)、TCP紧急指针，以及TCP选项。 SEG_SEQ will refer to the packet sequence number (as seen in the header). SEG_ACK will refer to the packet acknowledgment number. SEG_FLAG will refer to the control bits. 在一次典型的客户端发送包中(不是重发)，SEG_SEQ被设置成CLT_SEQ, SEG_ACK被设置成CLT_ACK. TCP使用三次握手机制建立连接， 客户端处在 CLOSED 状态，服务器端处在 LISTEN 状态，客户端首先发送初始序列号ISN，并设置 SYN位： SEG_SEQ = CLT_SEQ_0, SEG_FLAG = SYN 客户端状态转换到 SYN-SENT 服务器端收到这个包后应答客户端，送出服务器端的初始序列号ISN，并设置SYN位： SEG_SEQ = SVR_SEQ_0, SEQ_ACK = CLT_SEQ_0+1, SEG_FLAG = SYN SVR_ACK = CLT_SEQ_0+1 服务器端状态转换到 SYN-RECEIVED scz注：SYN flooding 攻击正是导致被攻击主机 SYN-RECEIVED 状态大量出现，netstat -na | grep SYN可以看到，值得注 意的是这种攻击因为并不要求建立完整的TCP连接，所以源IP 是完全可以伪造，以至于在 netstat 命令的显示中 看到的源IP根本就不可信。TCP SYN半开扫描中如果扫描程序 编写不当，也会短暂留下这个状态。