本文目录一览：

• 1、tcp/ip的欺骗技术有哪几种
• 2、黑客常用的攻击手段有那些？
• 3、黑客常用攻击手段及其预防措施有那些?
• 4、什么是超链接欺骗？描述网页作假的解决方案

tcp/ip的欺骗技术有哪几种

即使是很好的实现了TCP/IP协议，由于它本身有着一些不安全的地方，从而可以对TCP/IP网络进行攻击。这些攻击包括序列号欺骗，路由攻击，源地址欺骗和授权欺骗。本文除了介绍IP欺骗攻击方法外，还介绍怎样防止这个攻击手段。

上述攻击是建立在攻击者的计算机（包括路由）是连在INTERNET上的。这里的攻击方法是针对TCP/IP本身的缺陷的，而不是某一具体的实现。

实际上，IP 欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关系的破坏。

第一节　IP欺骗原理

信任关系

在Unix 领域中，信任关系能够很容易得到。假如在主机A和B上各有一个帐户，在使用当中会发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了减少这种不便，可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上你的home目录中创建.rhosts 文件。从主机A上，在你的home目录中输入'echo " B username " ＞ ～/.rhosts' ；从主机B上，在你的home目录中输入'echo " A username " ＞～/.rhosts' 。至此，你能毫无阻碍地使用任何以r＊开头的远痰饔妹如：rlogin，rcall，rsh等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务。

这里的信任关系是基于IP地址的。

Rlogin

Rlogin 是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以上所举的例子，我们能利用Rlogin 来从B远程登录到A，而且不会被提示输入口令。

TCP 序列号预测

IP只是发送数据包，并且保证它的完整性。如果不能收到完整的IP数据包，IP会向源地址发送一个ICMP 错误信息，希望重新处理。然而这个包也可能丢失。由于IP是非面向连接的，所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去，而不关心前一个和后一个数据包的情况。由此看出，可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。

TCP提供可靠传输。可靠性是由数据包中的多位控制字来提供的，其中最重要的是数据序列和数据确认，分别用SYN和ACK来表示。TCP 向每一个数据字节分配一个序列号，并且可以向已成功接收的、源地址所发送的数据包表示确认（目的地址ACK 所确认的数据包序列是源地址的数据包序列，而不是自己发送的数据包序列）。ACK在确认的同时，还携带了下一个期望获得的数据序列号。显然，TCP提供的这种可靠性相对于IP来说更难于愚弄。

序列编号、确认和其它标志信息

由于TCP是基于可靠性的，它能够提供处理数据包丢失，重复或是顺序紊乱等不良情况的机制。实际上，通过向所传送出的所有字节分配序列编号，并且期待接收端对发送端所发出的数据提供收讫确认，TCP 就能保证可靠的传送。接收端利用序列号确保数据的先后顺序，除去重复的数据包。TCP 序列编号可以看作是32位的计数器。它们从0至2^32－1 排列。每一个TCP连接（由一定的标示位来表示）交换的数据都是顺序编号的。在TCP数据包中定义序列号（SYN）的标示位位于数据段的前端。确认位（ACK）对所接收的数据进行确认，并且指出下一个期待接收的数据序列号。

TCP通过滑动窗口的概念来进行流量控制。设想在发送端发送数据的速度很快而接收端接收速度却很慢的情况下，为了保证数据不丢失，显然需要进行流量控制，协调好通信双方的工作节奏。所谓滑动窗口，可以理解成接收端所能提供的缓冲区大小。TCP利用一个滑动的窗口来告诉发送端对它所发送的数据能提供多大的缓冲区。由于窗口由16位bit所定义，所以接收端TCP 能最大提供65535个字节的缓冲。由此，可以利用窗口大小和第一个数据的序列号计算出最大可接收的数据序列号。

其它TCP标示位有RST（连接复位，Reset the connection）、PSH（压入功能，Push function）和FIN （发送者无数据，No more data from sender）。如果RST 被接收，TCP连接将立即断开。RST 通常在接收端接收到一个与当前连接不相关的数据包时被发送。有些时候，TCP模块需要立即传送数据而不能等整段都充满时再传。一个高层的进程将会触发在TCP头部的PSH标示，并且告诉TCP模块立即将所有排列好的数据发给数据接收端。FIN 表示一个应用连接结束。当接收端接收到FIN时，确认它，认为将接收不到任何数据了。

TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。他使用TCP序列号预测，即使是没有从服务器得到任何响应， 来产生一个TCP包序列。这使得他能欺骗在本地网络上的主机。

通常TCP连接建立一个包括3次握手的序列。客户选择和传输一个初始的序列号（SEQ标志）ISN C，并设置标志位SYN=1，告诉服务器它需要建立连接。服务器确认这个传输，并发送它本身的序列号ISN S，并设置标志位ACK，同时告知下一个期待获得的数据序列号是ISN=1。客户再确认它。在这三次确认后，开始传输数据。整个过程如下所示：(C:Client S:Server)

C---S: SYN(ISN C )

S---C: SYN(ISN S ) ,ACK(ISN C )

C---S: ACK(ISN S )

C---S:数据 或S---C:数据

也就是说对一个会话，C必须得到ISN S确认。ISN S可能是一个随机数。

了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种情况，当主机启动后序列编号初始化为1，但实际上并非如此。初始序列号是由tcp_init函数确定的。ISN每秒增加128000，如果有连接出现，每次连接将把计数器的数值增加64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32 小时复位一次。之所以这样，是因为这样有利于最大限度地减少旧有连接的信息干扰当前连接的机会。这里运用了2MSL 等待时间的概念（不在本文讨论的范围之内）。如果初始序列号是随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一种情况，在一个路由回路中的数据包最终跳出了循环，回到了“旧有”的连接（此时其实是不同于前者的现有连接），显然会发生对现有连接的干扰。

假设一个入侵者X有一种方法，能预测ISN S。在这种情况下，他可能将下列序号送给主机T来模拟客户的真正的ISN S：

X---S: SYN(ISN X ) ,SRC = T

S---T: SYN(ISN S ) ,ACK(ISN X )

X---S: ACK(ISN S ) ,SRC =T

尽管消息S*T并不到X，但是X能知道它的内容，因此能发送数据。如果X要对一个连接实施攻击，这个连接允许执行命令，那么另外的命令也能执行。

那么怎样产生随机的ISN？在Berkeley系统，最初的序列号变量由一个常数每秒加一产生，等到这个常数一半时，就开始一次连接。这样，如果开始了一个合法连接，并观察到一个ISN S在用，便可以计算，有很高可信度，ISN S 用在下一个连接企图。

Morris 指出，回复消息

S---T:SYN(ISN S ) ,ACK(ISN X )

事实上并不消失，真正主机将收到它，并试图重新连接。这并不是一个严重的障碍。

Morris发现，通过模仿一个在T上的端口，并向那个端口请求一个连接，他就能产生序列溢出，从而让它看上去S*T消息丢失了。另外一个方法，可以等待知道T关机或重新启动。

下面详细的介绍一下。

IP欺骗

IP欺骗由若干步骤组成，这里先简要地描述一下，随后再做详尽地解释。先做以下假定：首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

使被信任主机丧失工作能力

一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。这里介绍“TCP SYN 淹没”。

前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN请求。 通常，服务器将向客户端发送SYN/ACK 信号。这里客户端是由IP地址确定的。客户端随后向服务器发送ACK，然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行SYN请求的最上限，它可以看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没有最终完成的连接，也包括了那些已成功完成握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，TCP将拒绝所有连接请求，直至处理了部分连接链路。因此，这里是有机可乘的。

黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址（可能使用该合法IP地址的主机没有开机）。而受攻击的主机往往是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻击主机的TCP：该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接（比如继续对该IP地址进行路由，发出SYN/ACK数据包等等），直至确信无法连接。

当然，这时已流逝了大量的宝贵时间。值得注意的是，黑客们是不会使用那些正在工作的IP地址的，因为这样一来，真正IP持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。前面所描述的过程可以表示为如下模式。

1 Z （X） －－－SYN －－－ B

　 Z （X） －－－SYN －－－＞ B

　 Z （X） －－－SYN －－－＞ B

2 X ＜－－－SYN/ACK－－ B

X ＜－－－SYN/ACK－－ B

3 X ＜－－－ RST －－－ B

在时刻1时，攻击主机把大批SYN 请求发送到受攻击目标（在此阶段，是那个被信任的主机），使其TCP队列充满。在时刻2时，受攻击目标向它所相信的IP地址（虚假的IP）作出SYN/ACK反应。在这一期间，受攻击主机的TCP模块会对所有新的请求予以忽视。不同的TCP 保持连接队列的长度是有所不同的。BSD 一般是5，Linux一般是6。使被信任主机失去处理新连接的能力，所赢得的宝贵空隙时间就是黑客进行攻击目标主机的时间，这使其伪装成被信任主机成为可能。

序列号取样和猜测

前面已经提到，要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。现在，我们来讨论黑客是如何进行预测的。他们先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN存储起来。黑客还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT 对于估计下一个ISN是非常重要的。前面已经提到每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。再估计出ISN大小后，立即就开始进行攻击。当黑客的虚假TCP数据包进入目标主机时，根据估计的准确度不同，会发生不同的情况：

如果估计的序列号是准确的，进入的数据将被放置在接收缓冲器以供使用。

如果估计的序列号小于期待的数字，那么将被放弃。

如果估计的序列号大于期待的数字，并且在滑动窗口（前面讲的缓冲）之内，那么，该数据被认为是一个未来的数据，TCP模块将等待其它缺少的数据。如果估计的序列号大于期待的数字，并且不在滑动窗口（前面讲的缓冲）之内，那么，TCP将会放弃该数据并返回一个期望获得的数据序列号。下面将要提到，黑客的主机并不能收到返回的数据序列号。

1 Z（B） --－－SYN －－－ A

2 B ＜－－－SYN/ACK－－－ A

3 Z（B） --－－－ACK－－－＞ A

4 Z（B） －－－――PSH－－－＞ A

攻击者伪装成被信任主机的IP 地址，此时，该主机仍然处在停顿状态（前面讲的丧失处理能力），然后向目标主机的513端口(rlogin的端口号)发送连接请求，如时刻1所示。在时刻2，目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任主机（如果被信任主机处于正常工作状态，那么会认为是错误并立即向目标主机返回RST数据包，但此时它处于停顿状态）。按照计划，被信任主机会抛弃该SYN/ACK数据包。然后在时刻3，攻击者向目标主机发送ACK数据包，该ACK使用前面估计的序列号加1（因为是在确认）。如果攻击者估计正确的话，目标主机将会接收该ACK 。至耍连接正式建立起来了。在时，将开始数据传输。一般地，攻击者将在系统中放置一个后门，以便侵入。经常会使用 ′cat ＋＋ ～/.rhosts′。之所以这样是因为，这个办法迅速、简单地为下一次侵入铺平了道路。

一个和这种TCP序列号攻击相似的方法，是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机了。如果目标主机上有NETSTAT，它能提供在另一端口上的必须的序列号。这取消了所有要猜测的需要。

典型攻击工具和攻击过程:hunt

IP欺骗的防止

防止的要点在于，这种攻击的关键是相对粗糙的初始序列号变量在Berkeley系统中的改变速度。TCP协议需要这个变量每秒要增加25000次。Berkeley 使用的是相对比较慢的速度。但是，最重要的是，是改变间隔，而不是速度。

我们考虑一下一个计数器工作在250000Hz时是否有帮助。我们先忽略其他发生的连接，仅仅考虑这个计数器以固定的频率改变。

为了知道当前的序列号，发送一个SYN包，收到一个回复：

X---S: SYN(ISN X )

S---X: SYN(ISN S ) ,ACK(ISN X ) (1)

第一个欺骗包，它触发下一个序列号，能立即跟随服务器对这个包的反应：

X---S: SYN(ISN X ) ,SRC = T (2)

序列号ISN S用于回应了：

S---T: SYN(ISN S ) ,ACK(ISN X )

是由第一个消息和服务器接收的消息唯一决定。这个号码是X和S的往返精确的时间。这样，如果欺骗能精确地测量和产生这个时间，即使是一个4-U时钟都不能击退这次攻击。

抛弃基于地址的信任策略

阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r＊类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

进行包过滤

如果您的网络是通过路由器接入Internet 的，那么可以利用您的路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。

使用加密方法

阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。

使用随机化的初始序列号

黑客攻击得以成功实现的一个很重要的因素就是，序列号不是随机选择的或者随机增加的。Bellovin 描述了一种弥补TCP不足的方法，就是分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加，但是在这些序列号空间中没有明显的关系。可以通过下列公式来说明：

ISN =M＋F（localhost，localport ，remotehost ，remoteport ）

M：4微秒定时器

F：加密HASH函数。

F产生的序列号，对于外部来说是不应该能够被计算出或者被猜测出的。Bellovin 建议F是一个结合连接标识符和特殊矢量（随机数，基于启动时间的密码）的HASH函数

黑客常用的攻击手段有那些？

1、获取口令2、放置特洛伊木马程序3、WWW的欺骗技术4、电子邮件攻击 5、通过一个节点来攻击其他节点6、网络监听7、寻找系统漏洞8、利用帐号进行攻击9、偷取特权

黑客常用攻击手段及其预防措施有那些?

黑客常用攻击手段揭秘及其预防措施介绍

目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性，导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题考虑不多，协议中有很多的安全漏洞。同样，数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题，在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

由此可见，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。

一、黑客攻击网络的一般过程

1、信息的收集

信息的收集并不对目标产生危害，只是为进一步的入侵提供有用信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息:

(1)TraceRoute程序 能够用该程序获得到达目标主机所要经过的网络数和路由器数。

(2)SNMP协议 用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。

(3)DNS服务器 该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。

(4)Whois协议 该协议的服务信息能提供所有有关的DNS域和相关的管理参数。

(5)Ping实用程序 可以用来确定一个指定的主机的位置或网线是否连通。

2、系统安全弱点的探测

在收集到一些准备要攻击目标的信息后，黑客们会探测目标网络上的每台主机，来寻求系统内部的安全漏洞，主要探测的方式如下:

(1)自编程序 对某些系统，互联网上已发布了其安全漏洞所在，但用户由于不懂或一时疏忽未打上网上发布的该系统的“补丁”程序，那么黒客就可以自己编写一段程序进入到该系统进行破坏。

(2)慢速扫描 由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

(3)体系结构探测 黑客利用一些特殊的数据包传送给目标主机，使其作出相对应的响应。由于每种操作系统的响应时间和方式都是不一样的，黒客利用这种特征把得到的结果与准备好的数据库中的资料相对照，从中便可轻而易举地判断出目标主机操作系统所用的版本及其他相关信息。

二、协议欺骗攻击及其防范措施

1、源IP地址欺骗攻击

许多应用程序认为若数据包可以使其自身沿着路由到达目的地，并且应答包也可回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的一个重要前提。

假设同一网段内有两台主机A和B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下:首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据包的序列号加1。此时主机X 并不能检测到主机B的数据包(因为不在同一网段)，只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。

要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击:

(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

(2)使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。

(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此，它们仅能对声

什么是超链接欺骗？描述网页作假的解决方案

黑客打开一个新窗口以显示原始的HTML源（而非改变了的）。 8．查看文档信息 在前面部分里，您已知驱除伪网的一些可能的方法，最后一个方法便是受害者访问文档信息。如果受害者选择浏览器的文档信息菜单项，浏览器将显示关于文档的信息。文档信息包括了文档的URL。像查看文档源菜单一样，黑客也可以用作假菜单栏替代文档信息。若黑客到达一个伪菜单栏，黑客可以用操作信息显示文档信息对话框。 本文详述的冒充入侵中，黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包，它包含以下行： SEG_SEQ = SVR_SEQ_O 黑客因此可以用自己的包来确认服务器的SYN/ACK包。 本文详述的冒充入侵中，黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包，它包含以下行： SEG_SEQ = SVR_SEQ_O 黑客因此可以用自己的包来确认服务器的SYN/ACK包。黑客数据包中包含了黑客所猜的SVR_SEQ_O的值即顺序号。如果成功，那么黑客不必嗅探客户包，因为黑客能预测SVR_SEQ_O且确认它。 1．冒充入侵的两个主要缺点 （1）黑客冒充的客户机将收到来自服务器的SYN/ACK包，而向服务器回发一个RST（复位）包，因为在客户机看来，通话不存在。而黑客可能阻止客户机的复位包产生，或当客户机未按入网络时入侵，或使客户机的TCP队列溢出，如此，客户机将在往服务器上发送数据中丢失包。 （2）黑客不能从服务器上得到数据，然而黑客可以发送一些足以危害主机的数据。 2．冒充入侵和非同步后劫持入侵的不同点 冒充入侵和您以前了解到的非同步后劫持入侵的四个不同之处在于： （1）非同步后劫持入侵让黑客实行并控制连接的鉴别阶段，而冒充入侵依靠于可信任主机的鉴别方案。 （2）非同步后劫持入侵让黑客对于TCP流有很大的访问权。换句话说，黑客可以同时收发数据，而不是像冒充入侵那样仅能发送数据。 （3）非同步后劫持入侵利用以太网嗅探来预测或得到SVR-SEQ-O。 （4）黑客可以用非同步后劫持入侵法攻击任何类型主机。因为冒充入侵时要倚赖于UNIX可信任主机的模式，所以它仅能对UNIX主机进行攻击。 然而，如果客户机脱线了或是不能收发RST复位包，黑客可以用冒充入侵来与服务器建立一个全面的TCP连结。黑客将可代表客户机发送数据。当然，黑客必须通过认证障碍。如果系统采用的是基于可信任主机的认证，那么黑客将对主机的服务有全权访问。 尽管当黑客进行非同步后劫持入侵进攻局域网时，系统分析员易于核查到入侵，但在远程低带宽和低延迟网上进行非同步持劫持入侵是很有效果的。而且，正如您所知，黑客可使用与进行被动嗅探入侵（它经常发生在INTERNET）时相同的资源来实施非同步后劫持入侵。两种入侵对黑客来说其优点在于它对用户都是不可的。用户不可见很重要，INTERNET上入侵主机越来越频繁，网络安全变得令人关注，黑客的秘密行动是黑客入侵的一个重要因素。本文详述的冒充入侵中，黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包，它包含以下行： SEG_SEQ = SVR_SEQ_O 黑客因此可以用自己的包来确认服务器的SYN/ACK包。 本文详述的冒充入侵中，黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包，它包含以下行： SEG_SEQ = SVR_SEQ_O 黑客因此可以用自己的包来确认服务器的SYN/ACK包。黑客数据包中包含了黑客所猜的SVR_SEQ_O的值即顺序号。如果成功，那么黑客不必嗅探客户包，因为黑客能预测SVR_SEQ_O且确认它。 1．冒充入侵的两个主要缺点 （1）黑客冒充的客户机将收到来自服务器的SYN/ACK包，而向服务器回发一个RST（复位）包，因为在客户机看来，通话不存在。而黑客可能阻止客户机的复位包产生，或当客户机未按入网络时入侵，或使客户机的TCP队列溢出，如此，客户机将在往服务器上发送数据中丢失包。 （2）黑客不能从服务器上得到数据，然而黑客可以发送一些足以危害主机的数据。 2．冒充入侵和非同步后劫持入侵的不同点 冒充入侵和您以前了解到的非同步后劫持入侵的四个不同之处在于： （1）非同步后劫持入侵让黑客实行并控制连接的鉴别阶段，而冒充入侵依靠于可信任主机的鉴别方案。 （2）非同步后劫持入侵让黑客对于TCP流有很大的访问权。换句话说，黑客可以同时收发数据，而不是像冒充入侵那样仅能发送数据。 （3）非同步后劫持入侵利用以太网嗅探来预测或得到SVR-SEQ-O。 （4）黑客可以用非同步后劫持入侵法攻击任何类型主机。因为冒充入侵时要倚赖于UNIX可信任主机的模式，所以它仅能对UNIX主机进行攻击。 然而，如果客户机脱线了或是不能收发RST复位包，黑客可以用冒充入侵来与服务器建立一个全面的TCP连结。黑客将可代表客户机发送数据。当然，黑客必须通过认证障碍。如果系统采用的是基于可信任主机的认证，那么黑客将对主机的服务有全权访问。 尽管当黑客进行非同步后劫持入侵进攻局域网时，系统分析员易于核查到入侵，但在远程低带宽和低延迟网上进行非同步持劫持入侵是很有效果的。而且，正如您所知，黑客可使用与进行被动嗅探入侵（它经常发生在INTERNET）时相同的资源来实施非同步后劫持入侵。两种入侵对黑客来说其优点在于它对用户都是不可的。用户不可见很重要，INTERNET上入侵主机越来越频繁，网络安全变得令人关注，黑客的秘密行动是黑客入侵的一个重要因素。 看来，防止黑客“清扫现场”的一种可能就是禁止网页语言对浏览器编程。 简言之，对网页作假入侵的唯一威胁是发现并惩办黑客。如果受害者检测到入侵，服务器位置因此可被利用。不幸的是，黑客实施一个网页作假入侵，也可能用一个窃来的计算机来做这些事情。窃取的计算机一般很可能是这种入侵的基础，就像银行抢劫犯总是用盗用的汽车作案。 9．对网页作假入侵的补救措施 （1）将您浏览器中的JAVA SCRIPT和VBScript关掉，这样黑客便不能隐藏入侵的罪证。 （2）确信您的浏览器位置行总可见。 （3）注意您的浏览器位置行显示的URL，确定URL始终指向您连接的服务器。 三步策略很大地降低了入侵的风险，尽管黑客还是可以让您和您的网络用户受害，特别是如果用户并不警惕地址栏及其变动信息。现在JAVA SCRIPT，VBScript，ActiveX和JAVA都助长了作假和其他入侵。因为网页作假入侵引起的问题，您也许会立即考虑关掉所有四种语言。这样做将让您失去许多有用功能，然而，您能恢复这些功能——当您进入安全网址时，便打开它们，退出时便关掉它们。 10．网页作假入侵和长远的解决方案 网页作假入侵的短期解决方案相对有力，而建立一个十分满意的长远解决方案却是很困难的。解决此问题的要旨在于对浏览器框架作变动，改变浏览器代码以让浏览器总是显示地址栏，提供安全度，这样可以防止浏览器被外部人更改—— 即确信网络程序不能创造伪菜单条、伪状态栏等等。然而，这两种方案必须假定用户是警惕的且能重写URL，在浏览器向用户显示信息，且不被不可信方介入的情况下，一个使非用户对外部更改不失效的浏览器的保护措施将是创造一个安全浏览器的第一步。如果不对更改设定明显的限制的话，浏览器对防止网页作假入侵是无能为力的。 对浏览器从安全连接中取回的页面来说，浏览器内一个改进的安全连接指示灯将有助于确保安全，远远不只是指示安全连接。浏览器将清楚报告完成连接的服务器名。浏览器将以简单语言，以一个用户可能理解的方式显示连接信息。例如，浏览器将显示关于网址包含在内的信息，例如“JAMSA PRESS”，而不是“ ”。