【正文】 CLT_SEQ SEG_ACK = CLT_ACK 網(wǎng)絡協(xié)議攻擊 55 由于 CLT_SEQ != SVR_ACK， 數(shù)據(jù)將不被接受而被丟棄 。 攻擊者然后發(fā)送同樣的包 ， 但改變 SEG_SEQ 和 SEG_ACK 的值是 (校驗和也要作相應的計算 )： SEG_SEQ = SVR_ACK(Attack_SEQ + 1)； SEG_ACK = New_SVR_SEQ + 1； 它就被服務器所接受 ， 數(shù)據(jù)被處理 。 當服務器進行響應時 ， 客戶端將忽略應答包 ， 因為客戶期望的應答序列號是 SVR_SEQ +1 ， 而實際返回的是New_SVR_SEQ + 1。 同樣 ， 攻擊者可以在包被送往客戶之前進行修改 ， 以便客戶能夠接受我們的包 。 網(wǎng)絡協(xié)議攻擊 56 不過需要注意的是 ， 客戶端和服務器并非對包含不正確序列號的數(shù)據(jù)包都采取忽略不計的方法 ， 相反 ，會對這些數(shù)據(jù)包進行應答 ， 并要求重發(fā) 。 由于客戶和服務器之間處于去同步狀態(tài) ， 相互之間的序列號差別太大 ， 各自的應答都不是對方所期望的 ， 因此有可能產(chǎn)生大量的要求對方重發(fā)的 TCP ACK(應答 )包 ， 形成TCP ACK風暴 。 不過幸運的是 ， 攻擊者可以偽造這些應答包 ， 從而結(jié)束 TCP ACK風暴 。 網(wǎng)絡協(xié)議攻擊 57 TCP會話劫持攻擊假定攻擊者可以對網(wǎng)絡通信進行竊聽 ， 從而確定序列號 。 在下面即將描述的另外一種攻擊當中 ， 我們將看到 ， 即使無法對網(wǎng)絡通信進行竊聽 ， 也可能對目標主機進行攻擊 。 例如 ， 攻擊者可以假冒一臺 “ 信任主機 ” ， 而且在看不到服務器應答包的情況下建立連接 。 這是通過猜測服務器的序列號來完成的 。 一旦連接建立 ， 攻擊者可以執(zhí)行命令 ， 從而打造更加靈活的安全漏洞 。 網(wǎng)絡協(xié)議攻擊 58 5 應用層協(xié)議攻擊 簡介 我們知道互聯(lián)網(wǎng)是基于 TCP/IP協(xié)議的 ， 要進行通信必須獲得對方的 IP地址 ， 這是通過 DNS服務器來實現(xiàn)的 。 域名系統(tǒng) (DNS)是一種用于 TCP/IP應用程序的分布式數(shù)據(jù)庫 ， 它提供主機名字和 IP地址之間的轉(zhuǎn)換及有關電子郵件的選路信息 。 DNS定義了一個用于查詢和響應的報文格式。圖13顯示了這個報文的總體格式。 網(wǎng)絡協(xié)議攻擊 59 12 字節(jié)授權(quán)資源記錄數(shù) (N N S )問題數(shù) (N Q Y )標識額外資源記錄數(shù) (N A D )標志查詢問題回答 ( 資源記錄數(shù)可變 )授權(quán) ( 資源記錄數(shù)可變 )額外信息 ( 資源記錄數(shù)可變 )0 15 16 31資源記錄數(shù) (N A N )圖 13 DNS查詢和響應的一般格式 網(wǎng)絡協(xié)議攻擊 60 有兩種類型的 DNS查詢： A類型和 PTR類型 。 A類型查詢表示希望獲得被查詢域名的 IP地址； PTR查詢(也稱為指針查詢 )則請求獲得一個 IP地址對應的域名 。 DNS攻擊 DNS欺騙 在 DNS的緩存還沒有過期之前 ， 如果在 DNS的緩存中已經(jīng)存在記錄 ， 一旦有客戶查詢 ， DNS服務器將會直接返回緩存中的記錄 。 下面我們來看一個例子 ， 如圖 14所示 。 網(wǎng)絡協(xié)議攻擊 61 圖 14 DNS欺騙例子 網(wǎng)絡協(xié)議攻擊 62 一臺運行著 UNIX的 Inter主機 ， 并且提供 rlogin服務 ，它的 IP地址為 ， 它使用的 DNS服務器 (即/etc/ DNS服務器 )的 IP地址為 ，某個客戶端 (IP地址為 )試圖連接到 UNIX主機的rlogin端口 ， 假設 UNIX主機的 /etc/是 dns名稱來允許目標主機的訪問 ， 那么 UNIX主機會向 IP為 DNS服務器發(fā)出一個 PTR記錄的查詢 (獲得一個 IP地址對應的域名 ): [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QY: PTR 網(wǎng)絡協(xié)議攻擊 63 IP為 DNS服務器中沒有這個反向查詢域的信息 ， 經(jīng)過一番查詢 ， 這個 DNS服務器找到 威 DNS服務器 ， 所以它會向 PTR查詢 : [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QY: PTR 請注意， IP，也就是說這臺機子是完全掌握在我們手中的。我們可以更改它的 DNS記錄，讓它返回我們所需要的結(jié)果 : 網(wǎng)絡協(xié)議攻擊 64 [Answer] NQY: 1 NAN: 2 NNS: 2 NAD: 2 QY: PTR AN: PTR AN: A NS: NS NS: NS AD: A AD: A 網(wǎng)絡協(xié)議攻擊 65 當 DNS服務器收到這個應答后 ， 會把結(jié)果轉(zhuǎn)發(fā)給 ， 就是那臺有 rlogin服務的UNIX主機 (也是我們的目標 )， 并且 DNS服務器會把這次的查詢結(jié)果緩存起來 。 這時 UNIX主機就認為 IP地址為 名為 ， 然后 UNIX主機查詢本地的/etc/ ， 看這臺主機是否被允許使用 rlogin服務 ， 很顯然 ， 我們的欺騙目的達到了 。 網(wǎng)絡協(xié)議攻擊 66 在 UNIX的環(huán)境中 ， 有另外一種技術(shù)來防止這種欺騙的發(fā)生 ， 就是查詢 PTR記錄后 ， 也查詢 PTR返回的主機名的 A記錄 ， 然后比較兩個 IP地址是否相同： [Query] NQY: 1 NAN: 0 NNS: 0 NAD: 0 QY: A 很不幸 ， 在 DNS服務器不會去查詢這個記錄 ， 而會直接返回在查詢 時得到的并且存在緩存中的信息 : [Query] NQY: 1 NAN: 1 NNS: 2 NAD: 2 網(wǎng)絡協(xié)議攻擊 67 QY: A AN: A NS: NS NS: NS AD: A AD: A 那么現(xiàn)在 UNIX主機就認為 ， 我們的目的也就達到了 。 這種 IP欺騙的條件是：你必須有一臺 Inter上的授權(quán)的 DNS服務器，并且你能控制這臺服務器，至少要能修改這臺服務器的 DNS記錄，我們的欺騙才能進行。 網(wǎng)絡協(xié)議攻擊 68 2. 拒絕服務攻擊 還是上面的例子 ， 如果我們更改位于 記錄 ， 然后對位于 DNS服務器發(fā)出 ， 并使得查詢結(jié)果如下 : → [Answer] NQY: 1 NAN: 2 NNS: 2 NAD: 2 QY: PTR AN: PTR AN: A 網(wǎng)絡協(xié)議攻擊 69 NS: NS NS: NS AD: A AD: A 因為 ， 所以我們能很方便地修改這些信息來實現(xiàn)我們的目的 。 這樣一來 ， 使用 DNS服務器的用戶就不能訪問 ， 因為這個 IP根本就不存在 。 網(wǎng)絡協(xié)議攻擊 70 3. 偷取服務 還是上面的例子 ， 只是更改的查詢結(jié)果如下 : [Answer] NQY: 1 NAN: 3 NNS: 2 NAD: 2 QY: PTR AN: PTR AN: 網(wǎng)絡協(xié)議攻擊 71 AN: MX 0 NS: NS: AD: A AD: A 這樣一來 ， 一個本想訪問方 ， 甚至是敵對的公司的主頁 ， 并且發(fā)給 的郵件會被發(fā)送給 。