程。
这种类型的防火墙以IP地址作为鉴别数据包是否允许其通过的条件,而这恰恰是实施攻击的突破口。许多防火墙软件无法识别数据包到底来自哪个网络接口,因此攻击者无需表明进攻数据包的真正来源,只需伪装IP地址,取得目标的信任,使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制。
通常主机A与主机B的TCP连接(中间有或无防火墙) 是通过主机A向主机B提出请求建立起来的,而其间A和B的确认仅仅根据由主机A产生并经主机B验证的初始序列号ISN。
具体分三个步骤:
1.主机A产生它的ISN,传送给主机B,请求建立连接;
2.B接收到来自A的带有SYN标志的ISN后,将自己本身的ISN连同应答信息ACK一同返回给A;
3. A再将B传送来的ISN及应答信息ACK返回给B。
至此,正常情况,主机A与B的TCP连接就建立起来了。
IP地址欺骗攻击的第一步是切断可信赖主机。
这样可以使用TCP淹没攻击(TCPSynFloodAttack) ,使得信赖主机处于"自顾不暇"的忙碌状态,相当于被切断,这时目标主机会认为信赖主机出现了故障,只能发出无法建立连接的RST包而无暇顾及其他。
页码:[1] [2] [3] [4] [5] [6] [7] [8] 第4页、共8页 |
