一、简单的"黑客"入侵
TCP/IP协议顺序号预测攻击是最简单的"黑客"入侵,也是系统安全的最大威胁。在网络上,每台计算机有惟一的IP地址,计算机把目标IP地址和一个惟一的顺序号加载于传输的每一个数据包上。在一个TCP连接中,接收机只收到具有正确IP地址和顺序号的那个包裹。许多安全设备,如路由器,只允许有一定IP地址的计算机收发传送。TCP/IP 顺序号预测入侵将使用网络给计算机赋址的方式和包裹交换的顺序来 企图访问网络。一般来说,"黑客"进行TCP/IP 顺序号预测攻击分两步:
第一,得到服务器的IP地址。黑客一般通过网上报文嗅探,顺序测试号码,由WEB浏览器连接到结点上并在状态栏中寻找结点的IP地址。因为黑客知道其他计算机有一个与服务器IP地址部分公用的IP地址,他便尽力模拟一个能让其通过路由器和作为网络用户访问系统的IP号码。例如,如果系统的IP地址为192.0.0.15,黑客便知有近256台计算机可以连入一个C级网,并猜出所有最后位在序列中出现过的地址号码。IP地址指示了一个网络连接的计算机数,同时上述地址的高字节中两个最重要的位设定指出了该网为C级网,图1显示了黑客是怎祥预测C级网的IP号码的。
"黑客"用服务器的IP地址来猜测其他网络地址
第二,黑客在试过网上IP地址之后,便开始监视网下传送包的序列号,然后,黑客将试图推测服务器能产生的下一个序列号,再将自己有效地插入服务器和用户之间。因为黑客有服务器的IP地址,就能产生有正确IP地址和顺序码的包裹以截获用户的传递,图2指明了怎样模仿IP地址及包裹序列号以愚弄服务器,使之信任黑客为合法网络用户。
黑客模拟一个TCP/IP通讯愚弄服务器
黑客通过顺序号预测取得系统访问之后,便可访问通讯系统传给服务器的任何信息,包括密钥文件、日志名、机密数据,或在网上传送的任何信息。典型地,黑客将利用顺序号预测作为一个实际入侵服务器的准备,或者说人为入侵网上相关服务器提供一个基础。
技术指导:防卫顺序号预测入侵
对您的系统来说,防卫顺序号预测入侵的最简单有效的方法是确保您的路由器、_blank">防火墙、您系统上的每个服务器拥有全面的审计跟踪保护。利用审计跟踪功能,在一个"黑客"企图通过路由器和_blank">防火墙来访问服务器时,您便能发现它。您的审计跟踪系统可显示下面的词条顺序,当然这要根据您的操作系统而定:
access denied. IP address unknown
当黑客循环不断地测试可能的顺序号时,访问被拒绝词条将一个接一个地出现。运用您操作系统上可利用的一些设备,您可以让它在审计系统出示一定数量的访问拒绝词条后指挥事件日志向您自动报警。二、TCP协议劫持入侵
也许对连接于Internet的服务器的最大威胁是TCP劫持入侵(即我们所知的主功嗅探),尽管顺序号预测法入侵和TCP劫持法有许多相似之处,但TCP劫持之不同在于黑客将强迫网络接受其IP地址为一个可信网址来获得访问,而不是不停地猜IP地址直至正确。TCP劫持法的基本思想是,黑客控制了一台连接于入侵目标网的计算机,然后从网上断开以让网络服务器误以为黑客是实际的客户端。图3显示了一个黑客怎样操作一个TCP劫持入侵。
黑客通过断开和模仿实际客户端的连接来实施TCP劫持入侵
成功地劫持了可信任计算机之后,黑客将用自己的IP地址更换入侵目标机的每一个包的IP地址,并模仿其顺序号。安全专家称顺序号伪装为"IP模仿",黑客用IP模仿在自己机器上模拟一个可信系统的IP地址,黑客模仿了目标计算机之后,便用灵巧的顺序号模仿法成为一个服务器的目标。
黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵,而且TCP劫持让黑客通过一个一次性口令请求响应系统(如共享口令系统),再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。
最后,TCP劫持入侵比IP模仿更具危害性,因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限,而不是模拟成一台计算机再发起一个事务。
标签: 黑客
