市场快讯
网络中IP欺骗原理及相关防范方法
IP 欺骗过程
IP欺骗由多个过程进行组合分工,当恶意用户选择了一台远程目标信任主机,其信任机制在被充份掌握的情况下对其下手,使目标机失去工作能力,并提取目标机发出的 TCP 序列号进行猜测数据序列号,成功后开始伪装被信任的远程计算机,同时建立基于地址验证的连接,连接一旦成功,恶意用户就会取代被信任主机的角色,使用相关命令放置后门程序,进行一系列的恶意行动。网络中著名的 TCP SYN 淹没就是利用客户端向服务器发送 SYN 请求,服务器返回一个 SYN/ACK 信号,一但数据超出 TCP 处理模块内的 SYN 请求上限,那超出队列长度的数据连接请求将会被拒绝,此时恶意用户就会利用这一特性向目标机的 TCP 端口发送大量的合法的虚拟 IP 地址,而目标机随即回应信号,但信号却无法连接到主机,此时 IP 包通知受攻击的主机 TCP 无法到达,但主机 TCP 层却认如今的网络安全越来越重要,不仅要防止恶意用户的钓鱼式攻击,还得防止其用溢出工具或 IP 欺骗进行非法活动,如果一但让其得手,那企业付出的代价将是不菲的。身为企业网管或个人用户只有在深入了解了 IP 欺骗原理后才能对其进行更好的防御。
IP 简述
普通用户在网络协议中最常用到的要数 TCP/IP 协议和 UDP 协议,两者都是通过 IP 层交换数据包来进行规则通信,而 IP 在网络层中占据生要地位是不容替代的,其接收由最低层(网络接口层如以太网设备驱动程序)发来的数据包,并把该数据包转发到更高层 ---TCP 或 UDP 层,或者将接收到的 TCP 或 UDP 层的数据包传送到更低层,不区分数据包发送的先后顺序,不检查数据包的完整性,虽然 IP 确认中包含一个 IP source routing ,但此选项是为了测试而存在,可以用来指定发送它的主机的地址(源地址)和接收它的主机的地址(目的地址),此点造成了被恶意用户用来欺骗系统进行平常被禁止的连接,使许多依靠 IP 源地址做确认的服务产生问题,并且很容易让恶意用户利用虚假数据包对其进行欺骗式入侵,因此 IP 数据包是不可靠的,是对信任关系的一种破坏。
为是网络连接暂时错误,并尝试再次连接,直到确信无法连接,而大量的 SYN 请求却是一波接着一波,将其 TCP 队列排的满满的。此时给 IP 欺骗嬴取了时间使恶意用户堂而皇之的使用此 IP 地址进行欺骗。
欺骗手法序列号取样和猜测
此时恶意用户即可对目标主机进行攻击,在攻击恶意用户会对目标机的数据包序列号进行预测,首先建立一个端口连接( SMTP )并重复过程 N 次将目标机最后发送的 ISN 存储起来,并利用每秒 ISN 增加 128000 ,每次连接增加 64000 的规则算出与被信任主机之间的 RTT 往返时间,这使得用于表示 ISN 的 32 位计数器在没有连接的情况下每 9.32 小时复位一次此时恶意用户就会发起真正的攻击,虚假的 TCP 数据包进入目标主机,此时如果估计的序列号是准确的,那进入目标机的数据将被放置在接收缓冲器以供使用,而如果估计出的序列号小于期待的数字,那么将被放弃,一旦大于期待数字并在缓冲内,TCP 模块将等待其它缺少的数据,此时主机以丧失处理能力。恶意用户开始伪装成被信任主机的 IP 地址向目标主机发送 513 端口 (rlogin 的端口号 ) 的连接请求。而 Rlogin 是一个简单的客户、服务器程序,它利用 TCP 传输,允许用户从一台主机登录到另一台主机上,一旦数据取得目标主机的信任,目标机即作出回应发回一个 SYN/ACK 数据包,此时被信任主机将抛弃返回的 SYN/ACK 数据包,接着恶意用户会向目标主机发送 ACK 数据包,而目标主机将会通畅的接收该 ACK ,恶意用户可以顺利进行数据传输,并放置后门程序 cat ++ >> ~ /.rhosts ,为下一次入侵建筑了基石。当然 IP 欺骗的方法还有很多种,这里就不一一简述了!
IP 欺骗的防止
面对恶意用户的这种 IP 欺骗行为,相关人氏提出了针对这种初始序列号变量在 Berkeley 系统中要改变 间隔,让恶意用户无法算出精确时间,放弃以地址为基础的验证,删除 .rhosts 文件并清空 /etc/hosts.equiv 文件并禁止 r *类远程调用命令的使用,有路由的用户要使用包过滤,过滤掉来自于公网与内网建立的连接请求,在数据通信时进行加密传输和验证,并使用随机序列号或随机增加,利用 Bellovin 分割序列号空间,使每一个连接都有其独立的序列号空间,但各连接之间不存在明显的换算关系,这样能有效地防止恶意用户实现 IP 欺骗,对用户来说其效果是十分理想的。
后记
当网络中安全人氏研发中一门新的安全技术时,恶意用户的技术也在随着时间的推移对所掌握的漏洞进行进一步的深入改造,以其更具破坏力,此时就需要网络管理人员或用户的细心放现计算机是否有异常情况,如反应变慢、非法连接数据、莫名程序及莫名用户等。为了能自动化防守计算机,相关人氏建议在安全策略上要做到精、细、准,在软件应用上要调节安全度,并提写相关日志文件,安装必备的防火墙,做好前置工作,才能以逸待劳!
