IP欺騙是一種主動(dòng)攻擊方法。首先在網(wǎng)絡(luò)上的某臺(tái)機(jī)器偽裝成另一臺(tái)機(jī)器，找到一種信任模式，并找到一個(gè)被目標(biāo)主機(jī)信任的主機(jī)，使得被信任的主機(jī)喪失工作能 力，同時(shí)收集目標(biāo)主機(jī)發(fā)出的TCP序列號(hào)，猜測(cè)出它的數(shù)據(jù)序列號(hào)。然后，偽裝成被信任的主機(jī)，建立起與目標(biāo)主機(jī)的應(yīng)用連接。如果成功，再用一種簡單發(fā)送命 令請(qǐng)求放置一個(gè)系統(tǒng)后門，進(jìn)行非授權(quán)操作。它能破壞其它兩臺(tái)正常通信的機(jī)器之間的數(shù)據(jù)流，并可以插入非法數(shù)據(jù)，從而達(dá)到破壞目的。
　　[摘要]系統(tǒng)自身的漏洞及TCP/IP協(xié)議的缺陷給計(jì)算機(jī)網(wǎng)絡(luò)帶來了許多不安全的因素。IP欺騙就是利用了不同主機(jī)系統(tǒng)間的信任關(guān)系及TCP/IP的缺陷來對(duì)網(wǎng)絡(luò)進(jìn)行入侵攻擊。本文就IP欺騙的入侵過程進(jìn)行分析，探討防范IP欺騙的對(duì)策。

　　[關(guān)鍵詞]IP欺騙,入侵過程,防范措施

　　一、IP欺騙的入侵過程?

　　IP欺騙中的關(guān)鍵點(diǎn)是實(shí)際上它是盲目的攻擊。攻擊者準(zhǔn)備接替被信任主機(jī)的身份以便于破壞目標(biāo)主機(jī)的安全。一個(gè)主機(jī)在確認(rèn)被信任主機(jī)后會(huì)盡快的和它建立會(huì)話。事實(shí)上，攻擊者躲藏在Internet的某個(gè)角落里，偽造一些據(jù)稱是從被信任主機(jī)發(fā)出的數(shù)據(jù)分組，而同時(shí)被信任主機(jī)實(shí)際已經(jīng)被拒絕服務(wù)攻擊鎖定起來了。假冒IP地址的數(shù)據(jù)報(bào)很好的到達(dá)目標(biāo)主機(jī)，但是目標(biāo)主機(jī)發(fā)回的數(shù)據(jù)報(bào)就丟掉了，攻擊者永遠(yuǎn)看不到它們。中間的路由器知道數(shù)據(jù)報(bào)可能去了哪里。它們被假定是去往被信任主機(jī)的。但是一旦數(shù)據(jù)報(bào)到達(dá)，信息被分解送入?yún)f(xié)議棧，到達(dá)TCP層，它就被丟棄了。所以攻擊者必須足夠聰明知道什么樣的數(shù)據(jù)被發(fā)送出來了，而且知道服務(wù)端正在等待什么樣的響應(yīng)。攻擊者看不到目標(biāo)主機(jī)發(fā)送了什么，不過它可以預(yù)測(cè)什么將被發(fā)送。要知道這一點(diǎn)，攻擊者必須處理以下一些盲目的東西：?

　�。�1）信任模式。

　　選擇了目標(biāo)主機(jī)以后，攻擊者必須確定出信任模式。指出誰是被信任的主機(jī)有時(shí)候簡單有時(shí)候不簡單，一條‘showmount-e’命令可以顯示文件系統(tǒng)輸出到哪里，還有rpcinfo一樣可以給出一些有用的信息。如果有足夠多的背景信息，這將不難。?

　�。�2）禁止被信任主機(jī)。

　　一旦找到被信任主機(jī)，需要把它禁止掉。因?yàn)楣�擊者要冒充它，它必須確認(rèn)主機(jī)完全不能接收任何網(wǎng)絡(luò)通信。?

　�。�3）序列號(hào)抽樣預(yù)報(bào)。

　　攻擊者要知道目標(biāo)的TCP的32位的序列號(hào)是什么樣子。攻擊者連接到目標(biāo)的一個(gè)TCP端口預(yù)先試探攻擊，完成三次握手。攻擊者會(huì)保存目標(biāo)發(fā)送過來的初始序列號(hào)ISN，一般這個(gè)過程重復(fù)多次最后初始序列號(hào)被記錄。攻擊者需要知道目標(biāo)和它信任的主機(jī)間的往返時(shí)間是多少，RTT是精確計(jì)算下一個(gè)初始序列號(hào)所必需的。攻擊者知道上一個(gè)發(fā)送的ISN，而且知道序列號(hào)的遞增規(guī)則（128，000/秒和64，000每個(gè)連接），且現(xiàn)在對(duì)于一個(gè)IP數(shù)據(jù)報(bào)在網(wǎng)上達(dá)到另一端需要的時(shí)間有個(gè)很好的估算，大約等于RTT的一半，因?yàn)榇蠖鄶?shù)時(shí)間路由是對(duì)稱的。當(dāng)攻擊者得到這些信息，他立刻開始下一段的攻擊。當(dāng)一個(gè)偽造的段到達(dá)目標(biāo)時(shí)，根據(jù)攻擊者的預(yù)測(cè)準(zhǔn)確程度不同會(huì)發(fā)生以下幾種情況：如果序列號(hào)正是接收方TCP期望的，數(shù)據(jù)將出現(xiàn)在接收緩沖區(qū)的下一個(gè)可用位置上；如果序列號(hào)小于期望值，這個(gè)數(shù)據(jù)將被認(rèn)為重復(fù)而丟棄；如果序列號(hào)大于期望值但是仍在接收窗口的范圍之內(nèi)，數(shù)據(jù)將被看作是超前的字節(jié)，將被TCP暫存；如果序列號(hào)大于期望值同時(shí)超出了接收窗口的邊界，數(shù)據(jù)將被丟棄，TCP會(huì)發(fā)回一個(gè)段帶有期望的序列號(hào)。?

　　下面是主要入侵攻擊過程：?

　　①Z（b）——-SYN——->A?

　�、贐<——-SYN/ACK——-A?

　�、踆（b）——-ACK——->A?

　　④Z（b）——-PSH——->A［...］?

　�、俟�擊主機(jī)把他的IP地址偽裝成被信任主機(jī)（被信任主機(jī)仍然被鎖死在Dos攻擊中），把它的連接請(qǐng)求發(fā)送到目標(biāo)的513端口。?

　�、谀繕�(biāo)用一個(gè)SYN/ACK回應(yīng)這個(gè)欺騙的連接請(qǐng)求，它的目的地是被信任主機(jī)，而被阻塞的被信任主機(jī)將丟棄這個(gè)SYN/ACK。結(jié)束①以后，攻擊者必須后退一點(diǎn)給目標(biāo)充足的時(shí)間發(fā)送SYN/ACK（攻擊者看不到這個(gè)報(bào)文）。?

　　接著，在③中攻擊者發(fā)送一個(gè)帶有預(yù)測(cè)的序列號(hào)的ACK給目標(biāo)，如果攻擊者的預(yù)言正確，目標(biāo)會(huì)接收這個(gè)ACK，目標(biāo)主機(jī)確認(rèn)，數(shù)據(jù)傳輸開始。?

　�、芄�擊者會(huì)添加一個(gè)后門到系統(tǒng)中以便用更簡單的方式侵入。

　　二、IP欺騙的防范?

　　IP欺騙攻擊雖然在原理上講得通，但實(shí)際操作起來卻非常困難，例如確定信任關(guān)系、猜測(cè)序列號(hào)等等。然而，要成功實(shí)現(xiàn)IP欺騙攻擊并不是沒有可能。著名黑客凱文•米特尼克就曾經(jīng)成功地運(yùn)用IP欺騙攻擊攻破了SanDiego超級(jí)計(jì)算中心的一臺(tái)主機(jī)。?

　　IP欺騙之所以可以實(shí)施，是因?yàn)樾湃畏��?wù)器的基礎(chǔ)建立在網(wǎng)絡(luò)地址的驗(yàn)證上，IP地址是可以簡單的進(jìn)行欺騙的，在整個(gè)攻擊過程中最難的是進(jìn)行序列號(hào)的估計(jì)，估計(jì)精度的高低是欺騙成功與否的關(guān)鍵。針對(duì)這些，可采取如下的對(duì)策：?

　�。�1）使用加密法。

　　阻止IP欺騙的一個(gè)明顯的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多個(gè)手段并存時(shí)，加密方法最為適應(yīng)。通信時(shí)要求雙方對(duì)數(shù)據(jù)進(jìn)行加密傳輸和驗(yàn)證，使得欺騙者無法獲取有用信息，從而無法完成欺騙功能。?

　�。�2）禁止基于IP地址的信任關(guān)系。

　　IP欺騙的原理是冒充被信任主機(jī)的IP地址，這種信任關(guān)系是建立在基于IP地址的驗(yàn)證上，如果禁止基于IP地址的信任關(guān)系、不允許R*類遠(yuǎn)程調(diào)用命令的使用、刪除。rhosts文件、清空/etc/hosts。equiv文件，使所有的用戶通過其它遠(yuǎn)程通信手段，如Telnet等進(jìn)行遠(yuǎn)程訪問，可徹底的防止基于IP地址的欺騙。?

　　（3）安裝過濾路由器。

　　如果計(jì)算機(jī)用戶的網(wǎng)絡(luò)是通過路由器接入Internet的，那么可以利用計(jì)算機(jī)用戶的路由器來進(jìn)行包過濾。確信只有計(jì)算機(jī)用戶的內(nèi)部LAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)要慎重處理。計(jì)算機(jī)用戶的路由器可以幫助您過濾掉所有來自于外部而希望與內(nèi)部建立連接的請(qǐng)求。通過對(duì)信息包的監(jiān)控來檢查IP欺騙攻擊將是非常有效的方法，使用netlog或類似的包監(jiān)控工具來檢查外接口上包的情況，如果發(fā)現(xiàn)包的兩個(gè)地址即源地址和目的地址都是本地域地址，就意味著有人要試圖攻擊系統(tǒng)。?

　�。�4）防止IP地址偽造。

　　IP地址偽造技術(shù)是進(jìn)行IP欺騙采取的基本技術(shù)。具有偽造IP地址的報(bào)文可能發(fā)生在Internet上的任何區(qū)域。因此要防止IP地址偽造就需要在Internet的各級(jí)網(wǎng)絡(luò)采用包過濾技術(shù)，截獲這些偽造IP地址的報(bào)文。?

　　參考文獻(xiàn)：?

　　［1］任俠，呂述望.IP欺騙原理分析［J］.計(jì)算機(jī)工程與應(yīng)用，2003，2：166-169.?

　�。�2］程小鷗，梁意文.防IP欺騙的多樣性方法［J］.計(jì)算機(jī)應(yīng)用研究，2006（8）：104-106.?

　�。�3］蔡凌.IP欺騙攻擊［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，1：28-30.?

　�。�4］張建青，謝鳳梅.IP欺騙技術(shù)及防范［J］.網(wǎng)絡(luò)通訊與安全，2005，5：23-25.?

　�。�5］王紹卜.IP欺騙原理分析與防范對(duì)策［J］.河北理工學(xué)院學(xué)報(bào)，2004，8（3）：57-60.?

　�。�6］蔣衛(wèi)華，李偉華，杜君.IP欺騙攻擊技術(shù)原理、方法、工具及對(duì)策［J］.西北工業(yè)大學(xué)學(xué)報(bào)，2002，11（4）：543-547.?

---

轉(zhuǎn)載請(qǐng)注明來自：http://www.jinnzone.com/jisuanjiwangluolw/23521.html