【正文】 對如何處理SYN和 FIN同時置位的包并未作出明確的規(guī)定。 第 5章 因特網(wǎng)與 TCP/IP安全 我們假設它首先處理 SYN標志位，轉移到SYN_RCVD狀態(tài)。然后再處理 FIN標志位，轉移到CLOSE_WAIT狀態(tài)。如果前一個狀態(tài)是ESTABLISHED，那么轉移到 CLOSE_WAIT狀態(tài)就是正常轉移。但是，從 SYN_RCVD狀態(tài)到 CLOSE_WAIT狀態(tài)的轉移在 TCP協(xié)議中并未定義。但在幾種 TCP應用程序中都有這樣的轉移，例如操作系統(tǒng) SUN ，SVR4和 。因此，在這些 TCP應用程序中存在一條 TCP協(xié)議中未作定義的從狀態(tài) SYN_RCVD到狀態(tài) CLOSE_WAIT的轉移弧，如圖 518所示。 第 5章 因特網(wǎng)與 TCP/IP安全 圖 518 外部狀態(tài)轉移 CLOS ED開始應用進程：被動打開發(fā)送：無LISTE NSYN_ SENT應用進程：關閉或超時應用進程：主動打開發(fā)送： SYN收： SYN發(fā)： SYN ， ACK同時打開SYN_ RC VD收： SYN發(fā)： SYN ， ACK收： ACK不發(fā)送收： SYN ， ACK發(fā)： ACK應用進程：關閉發(fā)送： FI N數(shù)據(jù)傳送狀態(tài)CLOS E_WA IT應用進程：關閉發(fā)送： FI NLIST_ AC K被動關閉收： ACK發(fā)：無應用進程：關閉發(fā)送： FI N收： FI N發(fā)： ACKCLOS ING同時關閉收： ACK發(fā)：無收： ACK發(fā)：無FIN _W AIT_ 2收： FI N發(fā)： ACK2M SL 超時主動關閉收： FI N ， ACK發(fā)： ACKTIM E_WA IT說明客戶的正常狀態(tài)變遷說明服務器的正常狀態(tài)變遷FIN _W AIT_ 1ESTAB LI SHED收： RST收： FI N發(fā)： ACK外部轉移FIN第 5章 因特網(wǎng)與 TCP/IP安全 在上述入侵例子中，由于三次握手沒能徹底完成，因此并未真正建立 TCP連接，相應的網(wǎng)絡應用程序并未從內(nèi)核獲得連接。但是，主機 A的 TCP機處于CLOSE_WAIT狀態(tài)，因此它可以向 B發(fā)送一個 FIN包終止連接。這個半打開連接保留在套接字偵聽隊列中，而且應用進程不發(fā)送任何幫助 TCP執(zhí)行狀態(tài)轉移的消息。因此，主機 A的 TCP機被鎖在了 CLOSE_WAIT狀態(tài)。如果維持連接定時器特征被使用，通常 2小時后TCP將會重置連接并轉移到 CLOSED狀態(tài)。 因此 ， 攻擊者 X可以執(zhí)行下述各個步驟 ， 使得主機 A無法對來自其它主機的 SYN+ACK包進行響應達 2小時之久 。 第 5章 因特網(wǎng)與 TCP/IP安全 (1) X給 A發(fā)送 SYN和 FIN標志同時置位的一個包 。A發(fā)送 ACK包進行應答 。 A的狀態(tài)從 CLOSED/LISTEN到 SYN_RCVD， 最后為 CLOSE_WAIT。 (2) X不再給 A發(fā)送任何其它數(shù)據(jù)包 ， 防止 A的 TCP狀態(tài)發(fā)生變遷 。 從上面的分析我們可以看到 ， TCP應用程序中存在的外部狀態(tài)轉移將會給系統(tǒng)帶來嚴重的安全性問題 。 第 5章 因特網(wǎng)與 TCP/IP安全 2． 定時器問題 正如前文所述 ， 一旦進入連接建立過程 ， 則啟動連接定時器 。 如果在規(guī)定時間內(nèi)不能建立連接 ， 則TCP機回到 CLOSED狀態(tài) 。 我們來分析一下主機 A和主機 X的例子 。 主機 A向主機 X發(fā)送一個 SYN包 ， 期待著回應一個 SYN+ACK包 。假設幾乎同時 ， 主機 X想與主機 A建立連接 ， 向 A發(fā)送一個 SYN包 。 A和 X在收到對方的 SYN包后都向對方發(fā)送一個 SYN+ACK包 。 在都收到對方的 SYN+ACK包后 ，關閉連接建立定時器 ， 就可認為連接已建立 ， 見圖 518。 一個同時打開連接需要交換四個報文段 ， 而且每一端既是客戶又是服務器 。 第 5章 因特網(wǎng)與 TCP/IP安全 X→A ： SYN(序列號 =M) A→X ： SYN(序列號 =N) X→A ： SYN(序列號 =M)， ACK(應答號 =N+1) A→X ： SYN(序列號 =N)， ACK(應答號 =M+1) 第 5章 因特網(wǎng)與 TCP/IP安全 下列步驟給出了如何利用同時打開機制實現(xiàn)拒絕服務攻擊： (1) 主機 X向主機 A發(fā)送一個 FTP請求 ， 在 X和 A之間建立起一個 TCP連接 ， 用于傳送控制信號 。 主機 A向X發(fā)送一個 SYN包以啟動一個 TCP連接 ， 用來傳輸數(shù)據(jù) ，兩臺主機的狀態(tài)轉移到 SYN_SENT狀態(tài) 。 (2) 當 X收到來自 A的 SYN包時 ， 它回送一個 SYN包作為響應 。 第 5章 因特網(wǎng)與 TCP/IP安全 (3) 當主機 A接收到這個 SYN包以后 ， 它假定正在進行的是同時打開連接；它發(fā)送一個 SYN+ACK包給 X，同時關閉連接建立定時器 ， 狀態(tài)變遷到 SYN_RCVD。 (4) 主機 X收到來自 A的 SYN+ACK包 ， 但不回送任何包 。 (5) 主機 A期待著接收來自 X的 ACK包 。 由于 X不回送任何包 ， 因此 A被鎖在 SYN_RCVD狀態(tài) 。 這樣 ， X就成功地封鎖了 A的一個端口 。 這是一種典型的拒絕服務攻擊 。 第 5章 因特網(wǎng)與 TCP/IP安全 網(wǎng)絡攻擊簽名檢測 在上述的攻擊過程當中 ， 我們注意到 ， 攻擊者必須依照一定的順序來完成網(wǎng)絡入侵 。 我們稱這種攻擊步驟為攻擊簽名 。 這往往是攻擊的一種先兆 (TELL–TALE)。 我們可以在本地網(wǎng)上安裝一個網(wǎng)絡嗅探器來觀測網(wǎng)絡中傳輸?shù)陌?， 從而判斷是否發(fā)生了網(wǎng)絡入侵 。下面我們將討論幾種入侵過程中的簽名 。 第 5章 因特網(wǎng)與 TCP/IP安全 1． IP欺騙 (1) 最初 ， 網(wǎng)絡嗅探器 (SNIFFER)會監(jiān)測到大量的TCP SYN包從某個主機發(fā)往 A的登錄端口 。 主機 A會回送相應的 SYN+ACK包 。 SYN包的目的是創(chuàng)建大量的與主機 A的半打開 TCP連接 ， 從而填滿主機 A的登錄端口連接隊列 。 (2) 大量的 TCP SYN包將從主機 X經(jīng)過網(wǎng)絡發(fā)往主機 B， 相應地有 SYN+ACK包從主機 B發(fā)往主機 X。 然后主機 X將用 RST包作應答 。 這個 SYN/SYN+ACK/RST包序列使得入侵者可以知道主機 B的 TCP序列號產(chǎn)生器的某些模式 。 第 5章 因特網(wǎng)與 TCP/IP安全 (3) 主機 A向主機 B發(fā)送一個 SYN包 。 實際上 ， 這是主機 X發(fā)送的一個 “ 偽造 ” 包 。 收到這個包之后 ， 主機B將向主機 A發(fā)送相應的 SYN+ACK包 。 主機 A向主機 B發(fā)送 ACK包 。 按照上述步驟 ， 入侵主機能夠與主機 B建立單向 TCP連接 。 第 5章 因特網(wǎng)與 TCP/IP安全 2． 虛假狀態(tài)轉移 當入侵者試圖利用從 SYN_RCVD到 CLOSE_WAIT的狀態(tài)轉移長時間阻塞某服務器的一個網(wǎng)絡端口時 ，可以觀察到如下序列包： (1) 從主機 X到主機 B發(fā)送一個帶有 SYN和 FIN標志位置位的 TCP包 。 (2) 主機 B首先處理 SYN標志 ， 生成一個帶有相應ACK標志位置位的包 ， 并使狀態(tài)轉移到 SYN_RCVD，然后處理 FIN標志 ， 使狀態(tài)轉移到 CLOSE_WAIT， 并向 X回送 ACK包 。 第 5章 因特網(wǎng)與 TCP/IP安全 (3) 主機 X不向主機 B發(fā)送其它任何包 。 主機的 TCP機將固定在 CLOSE_WAIT狀態(tài) ， 直到維持連接定時器將其重置為 CLOSED狀態(tài) 。 因此 ， 如果網(wǎng)絡監(jiān)控設備發(fā)現(xiàn)一串 SYN+FIN/ACK包 ， 則可推斷入侵者正在阻塞主機 B的某個端口 。 第 5章 因特網(wǎng)與 TCP/IP安全 3． 定時器問題 如果一入侵者企圖在不建立連接的情況下使連接建立定時器無效 ， 我們可以觀察到以下序列包： (1) 主機 X從主機 B收到一個 TCP SYN包 。 (2) 主機 X向主機 B回送一個 SYN包 。 (3) 假定正在進行的連接建立確實是同時打開連接 ，主機 B以 SYN+ACK包響應 。 這時 ， B使連接建立定時器無效 ， 并等待來自 X的 ACK。 主機 X不向主機 B發(fā)送任何 ACK包 ， 因此 ， B被阻塞在 SYN_RCVD狀態(tài) ， 無法響應來自其它客戶機的連接請求 。 第 5章 因特網(wǎng)與 TCP/IP安全 總結 目前還沒有十分簡便的方法防止偽造 IP地址的入侵 ， 但我們可以采取以下措施來盡可能地保護系統(tǒng)免受這類攻擊 。 首先 ， 我們可以配置路由器和網(wǎng)關 ， 使它們能夠拒絕網(wǎng)絡外部與本網(wǎng)內(nèi)具有相同 IP地址的連接請求 。 而且 ， 當包的源 IP地址不在本地子網(wǎng)內(nèi)時 ，路由器和網(wǎng)關不應該把本網(wǎng)主機的包發(fā)送出去 ， 以阻止內(nèi)部用戶去破壞他人網(wǎng)絡 。 其次 ， 在包發(fā)送到網(wǎng)絡上之前 ， 我們可以對它進行加密 。 雖然加密過程要求改變目前的網(wǎng)絡環(huán)境 ， 但它將保證數(shù)據(jù)的完整性和真實性 。 第 5章 因特網(wǎng)與 TCP/IP安全 為了防止從 SYN_RCVD到 CLOSE_WAIT狀態(tài)的偽轉移 ， 需要改變操作系統(tǒng)中 TCP 實現(xiàn)的部分相關代碼，使得當 TCP機處于SYN_RCVD狀態(tài)時，忽略任何對等主機發(fā)來的 FIN包。 只有當建立連接后 ， 才可以使連接建立定時器無效 。 也就是說 ， 在同時打開連接建立過程中 ， 當主機收到一個 ACK時 ， 定時器應置為無效 ， 使狀態(tài)轉移到ESTABLISHED。 只有 CLOSED等少數(shù)幾種狀態(tài)與定時器無關 。 入侵主機可能會迫使 TCP機轉移到這些狀態(tài) ，因為該狀態(tài)不受任何定時器制約 ， 如果入侵者不發(fā)送適當?shù)陌?， 主機可能會被阻塞在這個狀態(tài) 。 第 5章 因特網(wǎng)與 TCP/IP安全 UDP 協(xié) 議 UDP與 TCP位于同一層 ， 它是一個簡單的協(xié)議 ，它提供給應用程序的服務是一種不可靠的 、 無連接的分組傳輸服務 。 因此 ， UDP的報文可能會出現(xiàn)丟失 、重復 、 延遲以及亂序 ， 使用 UDP的應用程序必須負責處理這些問題 。 第 5章 因特網(wǎng)與 TCP/IP安全 因此 ， UDP不被應用于那些使用虛電路的面向連接的服務 ， UDP主要用于那些面向查詢 ——應答的服務 ， 例如 NFS、 NTP。 相對于 FTP或 Tel， 這些服務需要交換的信息量較小 。 使用 UDP的服務包括 NTP(網(wǎng)絡時間協(xié)議 )和 DNS(DNS也使用 TCP)。 UDP報文格式如圖 519所示 。 第 5章 因特網(wǎng)與 TCP/IP安全 圖 519 UDP數(shù)據(jù)報的字段格式 16 位源端口號16 位報文長度 ( 包括用戶數(shù)據(jù) )16 位目的端口號16 位 UDP 檢驗和數(shù)據(jù) ( 如果有 )0 15 16 31第 5章 因特網(wǎng)與 TCP/IP安全 對于某些應用程序來說 ， 數(shù)據(jù)報的丟失或者數(shù)據(jù)包到來的順序并不重要 。 由于 UDP協(xié)議無需額外提供字段保證可靠性 ， 因此在性能上要超過 TCP協(xié)議 。 比如在視頻和聲頻中的應用就是很好的例子 。 丟失幾個包對于用戶來說是完全可以接受的 。 UDP是一個無狀態(tài) 、 不可靠的傳輸協(xié)議 。 它基本上是在 IP基礎上增加了一個端口號 。 它包含從一個應用程序傳送到另外一個應用程序所需的最少的信息 。 第 5章 因特網(wǎng)與 TCP/IP安全 雖然 TCP和 UDP都使用端口號來識別單個服務 ， 但它們的端口號使用機制是相互獨立的 。 這意味著一個TCP客戶和一個 UDP客戶可能同時連接到 IP地址上的同一個端口號 。 IP層負責