岁末年初 网络协议欺骗攻防小结(2)

  • 时间:
  • 浏览:0





作者: 论坛分类整理 zdnet网络安全

CNETNews.com.cn

2008-02-03 11:26:41

关键词: 攻击防范 网络安全 网络欺骗 网络协议

   二、IP地址欺骗

    IP地址欺骗很多我攻击者假冒他人IP地址,发送数据包。肯能IP协议不对数据包中的IP地址进行认证,如果 任何人不经授权就还都要伪造IP包的源地址。

    IP包一旦从网络中发送出去,源IP地址就几乎不要,仅在顶端路由器因五种 由于分析丢弃它或到达目标端后,才被使用。这使得另一个主机还都要使用别的主机的IP地址发送IP包,假如它能把例如IP包放满网络上就还都要。因而,肯能攻击者把当事人的主机伪装成被目标主机信任的好友主机,即把发送的IP包中的源IP地址改成被信任的友好主机的IP地址,利用主机间的信任关系和很多信任关系的实际认证中所处的脆弱性(只通过IP确认),就还都要对信任主机进行攻击。注意其中所说的信任关系是指另一个被授权的主机还都要对信任主机进行方便的访问。例如Unix中的所有的R*命令都采用信任主机方案,很多另一个攻击主机把当事人的IP改为被信任主机的IP,就还都要连接到信任主机,才能利用R*命令开后门达到攻击的目的。

    不要实现IP地址欺骗要注意以下另一个难题:

    1.肯能远程主机只向伪造的IP地址发送应答信号,攻击者不肯能收到远程主机发出的信息,即用C主机假冒B主机IP,连接远程主机A,A主机只向B主机发送应答信号,C主机无法收到;

    2.要在攻击者和被攻击者之间建立连接,攻击者都要使用正确的TCP序列号。

    攻击者使用IP地址欺骗的目的主要有五种 :

    1.只想隐藏自身的IP地址或伪造源IP和目的IP相同的不正常包,而暂且关心是是不是能收到目标主机的应答,例如IP包碎片、Land攻击等;

    2.伪装成被目标主机信任的友好主机得到非授权的服务。除理最好的办法:目前最理想的最好的办法是使用防火墙,防火墙决定是是不是允许组织组织结构的IP数据包进入局域网,对来自组织组织结构的IP数据包进行检验。假如来自组织组织结构的数据包声称有组织组织结构地址,它一定是欺骗包。肯能数据包的IP地址都在防火墙内的任何子网,它就没办法拖累防火墙。

1