TCP序列号轰炸攻击
发布:2018-09-19 17:50:16 浏览:4087
平J早电大网方地1Z13.源路由选择欺骗(SourceRouting
置了一个选项MPSourceRouing,该选项可以spoofing)。TCP/IP协议中,为测试目的,IP数据包设个选项进行欺骗,进行非法连接。直接指明到达节点的路由。攻击者可以利用这个服务器的直接路径径和返回的路径,攻击者可以冒充某个可信节点的IP地址,构造一个通往某
以向服务器发请求,对其进行攻击。利用可信用户作为通往服务器的路由中的最后一站,就可UDP是面向非连接的,因而没有在TCP/IP协议的两个传输层协议TCP和UDP中由于
4由选择信息协议攻击(RPAakeisRIP协议用来在周城网中发形动态路由信息,初始化的连接建立过程,所以UDP更容易被欺骗。
它是为工在局城网中的节点提供一致路由选择可达性假息面设计的。但是各节点对收到的信息是不检在它的真实性的(TCP/P协议没有概供这个功能)因此攻击者可以在网上发布假器,从而达到非法存放的目的。的路由信息利用ICMP的重定向信息欺骗路由器或主机,,将正常的路由器定义为失效路由
5.鉴别攻tutheicationAtaks)TCP/TP协议只能以IP地址进行鉴别,而不能对节点上的用户进行有效的身份认证,因此服务器无法鉴别登录用户的身份有效性。目前主要依靠服务器软件平台提供的用户控制机制,比mUNIX系统采用用户名、口令。虽然口令是密文存放在服务器上,但是由于口令是静态的明文传输的。所以无法抵御重传、窃听,而且在UNIX系统中常常将加密后的口令文件存放在一个普通用户就可以读的文件里,攻击者也可以运行已准备好的口令破译程序来破译口令,对系统进行攻击。
6.TCP序列号欺骗(TCPSequenceNumberSpoofing)由于TCP序列号可以预测,因此攻击者可以构造一个TCP包序列,对网络中的某个可信节点进行攻击。
7.TCP序列号轰炸攻击(TCPSYNFloodingAttack)简称SYN攻击(SYNAttack)。TCP
是一个面向连接、可靠的传输层协议。通信双方必须通过一个三方握手的方式建立一条连接。如果主机A要建立一条和主机B的TCP连接,正常的TCP连接要使用三次握手,如图5-3①所示;首先A发送一个SYN数据包(一个具有SYN位组的TCP数据包)给主机B;主机B回答一个SYN/ACK数据包(一个具有SYN和ACK位组的TCP数据包)给主机A,表示确认第一个SYN数据包并继续进行握手;最后主机A发送一个ACK数据包给主机B,完成整个三次握手过程.这样通信双方正式建立一条连接。当主机B接受到一个SYN数据包时,它分配块内存给这个新的连接。如果连接数没有限制,那么主机B为处理TCP连接将很快用完它的内存资源。然而对一个给定的应用服务,比如www服务并发的TCP连接请求有一个限度,如果达到了这个限度,别的请求将会被拒绝。如果一个客户采用地址欺骗的方式伪装成一个不可到达的主机时,那么正常的三次握手过程将不能完成。目标主机直得等到超时再恢复,这是SYN攻击的原理。如图53②所示。攻击主机A发送一定数量的SYN请求(一般小于10就足够了)到主机B。攻击者采用地址欺骗的方式把他的地址动态伪装成主机A”的地址(其实这个地址根本不存在),因为攻击主机A根本不想让任何一个主机收到这个目标TCP连接发出的SYN/ACK数据包,这样主机B无法释放被占用的资源,主机B将拒绝接受别的正常请求.攻击成功。只有等到SYN请求超时,主机B才会恢复连接。如果主机A'可到达,如图5一3③所示,那么当主机A收到主机B发来的SYNVACK数据包时,它不知道它该做什么,就发一个RST数据包给主机B.主机就复原连接,攻击失败。
换了,也不对其它部分的实现产生影响。作地东T的e能(政I06下工作。该体制应该是与算法无关的,即使加务算法劳此外该体制必须能实行多种安全政策,但要避免给不使用该体制的人造成不利影响。按照这些要求IPSEC工作组制订了一个规范:认证头(Au-thenticationHeader,AH)之Z.AH现供包的真实性和完整性ES类供机要内容。和封装安全有交
IPAH指一段消息认证代码(之Z.AH现供包的真实性和完整性ES类供机要内容。
已经被事先计算好。发送方用一个加密钥算出AH,接收方用同一成另一密销对之进行验(MessageAuthenticationCode,MAC),在发送IP包之前,它制,那它们就使用不同的密钥。在后一种情形,AH体制能额外地提供不可否认的服务。事实证。如果收发双方使用的是单钥体制,那它们就使用问一密钥;如果收发双方使用的是公钥体上,有些在传输中可变的城,如IPv4中的time-to-live域或IPv6中的HopLimit域,都是在
AH的计算中必须忽略不计的。RFC1828首次规定了加封状态下AH的计算和验证中要采用案提出。带密钥的MDS算法。而与此同时,MD5和加封状态都被批评为加密强度太弱,并有替换的方
IPESP的基本想法是整个IP包进行封装,或者只对ESP内上层协议的数据(运输状态)进行封装,并对ESP的绝大部分数据进行加密。在管道状态下,为当前已加密的ESP附加了一个新的IP头(纯文本),它可以用来对IP包在Internet上作路由选择。接收方把这个IP头取掉,再对ESP进行解密,处理并取掉ESP头对原来的IP包或更高层协议的数据就像对普通的IP包那样进行处理。在RFC1827中对ESP的格式作了规定。在RFC1829中规定了在密码块链接(CBC)状态下ESP加密和解密要使用数据加密标准(DES)。虽然其它算法和状态也是可以使用的,但一些国家对此类产品的进出口控制也是不能不考虑的因素。有些国家甚至连私用加密都要限制。
AH与ESP体制可以合用,也可以分用。不管怎么用都逃不脱传输分析的攻击。人们不太清楚在Internet层上,是否真有经济有效的对抗传输分析的手段,但是在Internet用户里,真正把传输分析当回事儿的也是寥寥无几。
1995年8月,Internet工程领导小组(IEGS)批准了有关IPSP的RFC作为Internet标准系列的推荐标准。除RFC1828和RFC1829外,还有两个实验性的RFC文件,规定了在AH和ESP体制中,用安全散列算法(SHA)代替MD5(RFC1852),利用三元DES代替DES(RFC1851)。在最简单的情况下,IPSP用手工来配置密钥。然而,当IPSP大规模发展的时候,就需要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例的要求,指定管理密钥的方法。
因此,IPSEC工作组也负责进行Internet密钥管理协议(IKMP),其它若干协议的标准化工作也已经提上日程。
Intermet和层安全性的主要优点是它的透明性,也就是说安全服务的提供不需要应用程序.其它通信层次和网络部件做任何改动。它的最主要的缺点是:Internet层一般对属于不同
进程和相应条例的包不作区别。对所有去往同地址的包,它将按照同样的加密密钥和访问控制策略来处理。这可能导致提供不了所需的功能.也会导致性能下降。针对面向主机的密钥分配的这些问题RFC1825允许(甚至可以说是推存)使用面向用户的密钥分配,
网站制作其中不同