|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息����。資源包括高性能計(jì)算機(jī)���、存儲(chǔ)資源����、數(shù)據(jù)資源、信息資源、知識(shí)資源����、專家資源�、大型數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)���、傳感器等���。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享���,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段��。 一般的訪問(wèn)控制主要在防火墻中進(jìn)行設(shè)置���,制定一些安全策略:如內(nèi)部局域網(wǎng)的資源不允許外部網(wǎng)上的用戶使用�����;不設(shè)防區(qū)(又稱非軍事區(qū))可以為內(nèi)部或外部局域網(wǎng),其中的資源允許外部網(wǎng)的用戶有限度地使用;可以使外部用戶訪問(wèn)非軍事區(qū)(DMZ區(qū))的WEB服務(wù)器等等����。
深入分析研究防火墻技術(shù),利用防火墻配置和實(shí)現(xiàn)的漏洞��,可以對(duì)它實(shí)施攻擊�。通常情況下,有效的攻擊都是從相關(guān)的子網(wǎng)進(jìn)行的���,因?yàn)檫@些網(wǎng)址得到了防火墻的信賴,雖說(shuō)成功與否尚取決于機(jī)遇等其他因素�,但對(duì)攻擊者而言很值得一試����。
突破防火墻系統(tǒng)最常用的方法是IP地址欺騙�,它同時(shí)也是其他一系列攻擊方法的基礎(chǔ)。之所以使用這個(gè)方法��,是因?yàn)镮P自身的缺點(diǎn)�。IP協(xié)議依據(jù)IP頭中的目的地址項(xiàng)來(lái)發(fā)送IP數(shù)據(jù)包。如果目的地址是本地網(wǎng)絡(luò)內(nèi)的地址���,該IP包就被直接發(fā)送到目的地。如果目的地址不在本地網(wǎng)絡(luò)內(nèi)�����,該IP包就會(huì)被發(fā)送到網(wǎng)關(guān)�,再由網(wǎng)關(guān)決定將其發(fā)送到何處。這是IP路由IP包的方法�。IP路由IP包時(shí)對(duì)IP頭中提供的IP源地址不做任何檢查�����,并且認(rèn)為IP頭中的IP源地址即為發(fā)送該包的機(jī)器的IP地址。
當(dāng)接收到該包的目的主機(jī)要與源主機(jī)進(jìn)行通訊時(shí)�����,它以接收到的IP包的IP頭中IP源地址作為其發(fā)送的IP包的目的地址�����,來(lái)與源主機(jī)進(jìn)行數(shù)據(jù)通訊。IP的這種數(shù)據(jù)通訊方式雖然非常簡(jiǎn)單和高效�,但它同時(shí)也是IP的一個(gè)安全隱患�����,很多網(wǎng)絡(luò)安全事故都是因?yàn)镮P這個(gè)的缺點(diǎn)而引發(fā)的。
黑客或入侵者利用偽造的IP發(fā)送地址產(chǎn)生虛假的數(shù)據(jù)分組,喬裝成來(lái)自內(nèi)部站的分組過(guò)濾器����,這種類型的攻擊是非常危險(xiǎn)的�����。關(guān)于涉及到的分組真正是內(nèi)部的還是外部的分組被包裝得看起來(lái)象內(nèi)部的種種跡象都已喪失殆盡����。只要系統(tǒng)發(fā)現(xiàn)發(fā)送地址在其自己的范圍之內(nèi)�����,則它就把該分組按內(nèi)部通信對(duì)待并讓其通過(guò)�。
通常主機(jī)A與主機(jī)B的TCP連接(中間有或無(wú)防火墻)是通過(guò)主機(jī)A向主機(jī)B提出請(qǐng)求建立起來(lái)的�����,而其間A和B的確認(rèn)僅僅根據(jù)由主機(jī)A產(chǎn)生并經(jīng)主機(jī)B驗(yàn)證的初始序列號(hào)ISN���。具體分三個(gè)步驟:
主機(jī)A產(chǎn)生它的ISN�,傳送給主機(jī)B���,請(qǐng)求建立連接�;B接收到來(lái)自A的帶有SYN標(biāo)志的ISN后����,將自己本身的ISN連同應(yīng)答信息ACK一同返回給A;A再將B傳送來(lái)ISN及應(yīng)答信息ACK返回給B。至此����,正常情況�,主機(jī)A與B的TCP連接就建立起來(lái)了����。
B ---- SYN ----> A
B <---- SYN+ACK ---- A
B ---- ACK ----> A
假設(shè)C企圖攻擊A,因?yàn)锳和B是相互信任的,如果C已經(jīng)知道了被A信任的B���,那么就要相辦法使得B的網(wǎng)絡(luò)功能癱瘓,防止別的東西干擾自己的攻擊。在這里普遍使用的是SYN flood��。攻擊者向被攻擊主機(jī)發(fā)送許多TCP- SYN包����。這些TCP-SYN包的源地址并不是攻擊者所在主機(jī)的IP地址,而是攻擊者自己填入的IP地址�����。當(dāng)被攻擊主機(jī)接收到攻擊者發(fā)送來(lái)的TCP-SYN包后���,會(huì)為一個(gè)TCP連接分配一定的資源��,并且會(huì)以接收到的數(shù)據(jù)包中的源地址(即攻擊者自己偽造的IP地址)為目的地址向目的主機(jī)發(fā)送TCP-(SYN+ACK)應(yīng)答包�����。
由于攻擊者自己偽造的IP地址一定是精心選擇的不存在的地址�,所以被攻擊主機(jī)永遠(yuǎn)也不可能收到它發(fā)送出去的TCP-(SYN+ACK)包的應(yīng)答包,因而被攻擊主機(jī)的TCP狀態(tài)機(jī)會(huì)處于等待狀態(tài)�。如果被攻擊主機(jī)的TCP狀態(tài)機(jī)有超時(shí)控制的話�,直到超時(shí)����,為該連接分配的資源才會(huì)被回收。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中�,正因如此��,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上�����、所用標(biāo)準(zhǔn)上......�����,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì)����,對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。
|
溫馨提示:喜歡本站的話,請(qǐng)收藏一下本站���!
