网络安全威胁之IP欺骗攻击法

　　IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下什么是信任关系，信任关系是如何建立的。
　　在UNIX主机中，存在着一种特殊的信任关系。假设有两台主机hosta和hostb，上面各有一个帐户Tomy，在使用中会发现，在hosta上使时要输入在hosta上的相应帐户Tomy，在hostb上使用时必须输入用hostb的帐户Tomy，主机hosta和hostb把Tomy当做两个互不相关的用户，这显然有些不便。为了减少这种不便，可以在主机hosta和hostb中建立起两个帐户的相互信任关系。
　　在hosta和hostb上Tomy的home目录中创建.rhosts文件。从主机hosta上，在你的home目录中用命令echo“hostbTomy”>~/.hosts实现hosta&hostb的信任关系，这时，你从主机hostb上，你就能毫无阻碍的使用任何以r开头的远程调用命令，如：rlogin、rsh、rcp等，而无需输入口令验证就可以直接登录到hosta上。这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。这里的信任关系是基于IP的地址的。
　　当/etc/hosts.equiv中出现一个“+”或者$HOME/.rhosts中出现“++”时，表明任意地址的主机可以无须口令验证而直接使用r命令登陆此主机，这是十分危险的，而这偏偏又是某些管理员不重视的地方。下面我们看一下rlogin的用法。
　　rlogin是一个简单的/服务器程序，它的作用和telnet差不多，不同的是telnet完全依赖口令验证，而
　　rlogin是基于信任关系的验证，其次到才进行口令验证的，它使用了TCP协议进行传输。当用户从一台主机登陆到另一台主机上，并且，如果目录主机信任它，rlogin将允许在不应答口令的性况下使用目标主机上的资源，安全验证完便基于源主机的IP地址。因此，根据以上所举的例子，我们能利用rlogin来从hostb远程登陆到hosta，而且不会被提示出入口令！
　　IP欺骗的理论根据
　　看到上面的说明，每一个黑客都会想到：既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以使用rlogin登录到hosta，而不需任何口令验证。这，就是IP欺骗的最根本的理论依据。
　　但是，事情远没有想像中那么简单！虽然，可以通过编程的方法随意改变发出的包的IP地址，但TCP协议对IP进行了进一步的封装，它是一种相对可靠的协议，不会让黑客轻易得逞。不信？好，先来看一下一次正常的TCP/IP会话的过程。由于TCP是面向连接的协议，所以在双方正式传输数据之前，需要用“三次握手”来建立一个稳重的连接。假设还是hosta和hostb两台主机进行通信，hostb首先发送带有SYN标志的数据段通知hosta建立TCP连接，TCP的可靠性就是由数据包中的多位控制字来提供的，其中最重要的是数据序列SYN和数据确认标志ACK。B将TCP报头中的SYN设为自己本次连接中的初始值（ISN）。当hosta收到hostb的SYN包之后，会发送给hostb一个带有SYN+ACK标志的数据段，告之自己的ISN，并确认hostb发送来的第一个数据段，将ACK设置成hostb的SYN+1。
　　当hostb确认收到hosta的SYN+ACK数据包后，将ACK设置成hosta的SYN+1。Hosta收到hostb的ACK后，连接成功建立，双方可以正式伟输数据了。
　　我们就很容易想到，假如想冒充hostb对hosta进行攻击，就要先使用hostb的IP地址发送SYN标志给hosta，但是当hosta收到后，并不会把SYN+ACK发送到我们的主机上，而是发送到真正的hostb上去，这时……嘿嘿……露陷了吧？因为hostb根本没发送发SYN请请。所以如果要冒充hostb，首先要hostb失去工作能力。也就是所谓的拒绝服务攻击，让hostb瘫痪。
　　可是……这样还是远远不够的……，最难的就是要对hosta进行攻击，必须知道hosta使用的ISN。TCP使用的ISN是一个32位的计数器，从0到4294967295。TCP为每一个连接选择一个初始序列号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同的系统有着不同的算法。理解TCP如何分配ISN以及ISN随时间的变化规律，对于成功的进行IP欺骗攻击是很重要的！ISN约每秒增加128000，如果有连接出现，每次连接将把计数器的数值增加64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32小时复位一次。
　　这所以这样，是因为它有利于最大于度地减少“旧有”连接的信息干扰当前连接的机会。如果初始序例号是随意选择的，那么不能保证现有序例号是不同于先前的。假设有这样一种情况，在一个路由回路中的数据包最终跳出循环，回到了“旧有”的连接，显然这会对现有连接产生干扰。预测出攻击目标的序例号非常困难，而且各个系统也不想同，在Berkeley系统，最初的序列号变量由一个常数每秒加1产生，等加到这个常数的一半时，就开始一次连接。
　　这样，如果开始啊一个合法连接，并观察到一个ISN正在使用，便可以进行预测，而且这样做有很高的可信度。现在我们假设黑客已经使用某种方法，能预测出ISN。在这种情况下，他就可以将ACK序便号送给hosta，这时连接就建立了。
　　IP欺骗攻击过程解析
　　IP欺骗由若干步骤组成，下面是它的详细步骤，（嘿嘿……小心点看哦……不明白的请举手……，不再重复……我够阴的吧……嗯嗯……没烟了……不说了……大家自学吧……）晃铛……一只“意大利真皮”飞过来……正中脑瓜……唉……俺“众”不敌“寡”，先忍着算了……真可怜……怎么没人用“中华”丢过来……
　　接着…首先假定信任关系已经被发现（至于如何发现，不是本章内容）。黑客为了进行IP欺骗，要进行以下工作：使被信任关系的主机失去工作能力，同时采样目标主机发出的TCP序例号，猜测出它的数据序例号。