●主机X不向主机B发送其它任何包。主机的TCP机将固定在CLOSE-WAIT状态。直到维持连接定时器将其重置为CLOSED状态。
因此,如果网络监控设备发现一串SYN-FIN/ACK包,可推断入侵者正在阻塞主机B的某个端口。
§3.3 定时器问题
如果一入侵者企图在不建立连接的情况下使连接建立定时器无效,我们可以观察到以下序列包:
●主机X从主机B收到一个TCP SYN包。
●主机X向主机B回送一个SYN包。
主机X不向主机B发送任何ACK包。因此,B被阻塞在SYN-RCVD状态,无法响应来自其它客户机的连接请求。
§4 总结
目前还没有十分简便的方法防止伪造IP地址的和侵行为,但我们可以采取以下措施来尽可能地保护系统免受这类攻击。首先,我们可以配置路由器和网关,使它们能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在酝酿 网内时,路由器和网关不应该把本网主机的包发送出去。其次,在包发送到网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
为了防止从SYN-RCVD到CLOSE-WAIT状态的伪转移,需要改变操作系统中TCP
数据载入中...
页码:[1] [2] [3] [4] [5] [6] [7] [8] [9] 第8页、共9页 |
