TCP序列号轰炸攻击

置了一个选项MP Source Rouing，该选项可以 spoofing)。TCP/IP协议中，为测试目的，IP数据包设 个选项进行诳骗，进行非 法连接。 直接指明到达节点的路由。攻击者可以利用这 个服务器的直接路径 径和返回的路径， 攻击者可以冒充某个可信节点的IP地址，构造一个通往某 以向服务器发请求，对其进行攻击。 利用可名誉户作为通往服务器的路由中的最后一站，就可 UDP是面向非连接的，因而没有 在TCP/IP协议的两个传输层协议TCP和UDP中因为 
 
4由选择信息协议攻击(RP Aakeis RIP协议用来在周城网中发形动态路由信息， 初始化的连接建立过程，所以UDP更容易被诳骗。 
 
它是为工在局城网中的节点提供一致路由选择可达性假息面设计的。但是各节点对收到的 信息是不检在它的真实性的(TCP/P协议没有概供这个功能)因此攻击者可以在网上发布假 器，从而达到非法存放的目的。 的路由信息利用ICMP的重定向信息诳骗路由器或主机， ，将正常的路由器定义为失效路由 
 
5.鉴别攻tutheication Ataks) TCP/TP协议只能以IP地址进行鉴别，而不能对节 点上的用户进行有用的身份认证，因此服务器无法鉴别登录用户的身份有用性。目前重要依 靠服务器软件平台提供的用户控制机制，比m UNIX体系采用用户名、口令。虽然口令是密 文存放在服务器上，但是因为口令是静态的明文传输的。所以无法抵御重传、窃听，而且在 UNIX体系中常常将加密后的口令文件存放在一个通俗用户就可以读的文件里，攻击者也可 以运行已预备好的口令破译程序来破译口令，对体系进行攻击。 
 
6.TCP序列号诳骗(TCP Sequence Number Spoofing)因为TCP序列号可以展望，因此攻 击者可以构造一个TCP包序列，对网络中的某个可信节点进行攻击。 
 
7.TCP序列号轰炸攻击(TCP SYN Flooding Attack)简称SYN攻击(SYN Attack)。 TCP 
 
是一个面向连接、可靠的传输层协议。通讯双方必须通过一个三方握手的方法建立一条连接。 假如主机A要建立一条和主机B的TCP连接，正常的TCP连接要使用三次握手，如图5- 3 ①所示；首先A发送一个SYN数据包(一个具有SYN位组的TCP数据包)给主机B；主机B 回答一个SYN/ACK数据包(一个具有SYN和ACK位组的TCP数据包)给主机A，透露表现确认 第一个SYN数据包并继承进行握手；最后主机A发送一个ACK数据包给主机B，完成整个三 次握手过程.这样通讯双方正式建立一条连接。当主机B接受到一个SYN数据包时，它分配 块内存给这个 新的连接。假如连接数没有限定 ，那么主机B为处理TCP连接将很快用完它 的内存资源。然而对一个给定的应用服务，比如www服务并发的TCP连接请求有一个限 度，假如达到了这个限度，别的请求将会被拒绝。假如一个客户采用地址诳骗的方法伪装成一 个不可到达的主机时，那么正常的三次握手过程将不能完成。目标主机直得等到超时再恢 复，这是SYN攻击的原理。如图5 3②所示。 攻击主机A发送肯定数量的SYN请求(一样平常 小于10就充足了)到主机B。攻击者采用地址诳骗的方法把他的地址动态伪装成主机A”的 地址(其实这个地址根本不存在)，由于攻击主机A根本不想让任何一个主机收到这个目标 TCP连接发出的SYN/ACK数据包，这样主机B无法释放被占用的资源，主机B将拒绝接受 别的正常请求.攻击成功。只有等到SYN请求超时，主机B才会恢复连接。假如主机A'可 到达，如图5一3③所示，那么当主机A收到主机B发来的SYNVACK数据包时，它不知道它 该做什么，就发一个RST数据包给主机B.主机就复原连接，攻击失败。 

换了，也舛错其它部分的实现产 生影响。 作地东T的e能(政I06下工作。该体系体例应该是与算法无关的，即使加务算法劳 此外该体系体例必须能执行多种安全政策，但要避免给  不使用该体系体例的人造成不利影响。 按照这些要求 IPSEC工作组制定了一个规范:认证头(Au-  thentication Header, AH) 之Z.AH现供包的真实性和完备性ES类供机要内容。 和封装安 全有交 
 
IP AH指一段新闻认证代码( 之Z.AH现供包的真实性和完备性ES类供机要内容。  
 
已经被事先计算好。发送方用一个加密钥算出AH，接收方用统一成另一密销对之进行验 (Message Authentication Code， MAC)，在发送IP包之前，它 制，那它们就使用不同的密钥。在后一种情形，AH体系体例能额外埠提供不可否认的服务。事实 证。假如收发双方使用的是单钥体系体例，那它们就使用问一密钥；假如收发双方使用的是公钥体 上，有些在传输中可变的城，如IPv4中的 time-to-live域或IPv6中的HopLimit域，都是在 
 
AH的计算中必须忽略不计的。RFC 1828首次规定了加封状况下AH的计算和验证中要采用 案提出。 带密钥的MDS算法。而与此同时，MD5和加封状况都被指斥为加密强度太弱，并有替代的方 
 
IP ESP的基本想法是整个IP包进行封装，或者只对ESP内上层协议的数据(运输状况) 进行封装，并对ESP的绝大部分数据进行加密。在管道状况下，为当前已加密的ESP附加了 一个新的IP头(纯文本)，它可以用来对IP包在Internet 上作路由选择。接收方把这个IP头 取掉，再对ESP进行解密，处理并取掉ESP头对原来的IP包或更高层协议的数据就像对通俗 的IP包那样进行处理。在RFC 1827中对ESP的格式作了规定。在RFC 1829中规定了在密 码块链接(CBC)状况下ESP加密息争密要使用数据加密标准(DES)。虽然其它算法和状况 也是可以使用的，但一些国家对此类产品的进出口控制也是不能不考虑的因素。有些国家甚 至连私用加密都要限定。 
 
AH与ESP体系体例可以合用，也可以分用。不管怎么用都逃不脱传输分析的攻击。人们不 太清楚在Internet层上，是否真有经济有用的对抗传输分析的手段，但是在Internet用户里， 真正把传输分析当回事儿的也是寥寥无几。 
 
1995年8月，Internet工程向导小组(IEGS)批准了有关IPSP的RFC作为Internet 标准 系列的保举标准。除RFC1828和RFC1829外，还有两个实验性的RFC文件，规定了在AH和 ESP体系体例中，用安全散列算法(SHA)代替MD5(RFC 1852)，利用三元DES代替DES (RFC1851)。在最简单的情况下， IPSP用手工来配置密钥。然而，当IPSP大规模发展的时 候，就必须要在Internet上建立标准化的密钥管理协议。这个密钥管理协议按照IPSP安全条例 的要求，指定管理密钥的方式。 
 
因此，IPSEC工作组也负责进行Internet密钥管理协议(IKMP)，其它若干协议的标准化 工作也已经提上日程。 
 
Intermet和层安全性的重要好处是它的透明性，也就是说安全服务的提供不必须要应用程 序.其它通讯条理和网络部件做任何改动。它的最重要的瑕玷是: Internet 层一样平常对属于不同 
 
进程和相应条例的包不作区别。对所有去往同地址的包，它将 按照同样的加密密钥和访问 控制策略来处理。这可能导致提供不了所需的功能.也会导致性能降落。