图解网络入侵的过程

1、图解网络入侵的过程引言经济社会的发展要求各用户之间的通信和资源共享，需要将一批电脑连成网络，这样就隐含着很大的风险，包含了极大的脆弱性和复杂性，特别是对当今最大的网络国际互联网，很容易遭到别有用心者的恶意攻击和破坏。随着国民经济的信息化程度的提高，有关的大量情报和商务信息都高度集中地存放在电脑中，随着网络应用范围的扩大，信息的泄露问题也变得日益严重，因此，电脑网络的安全性问题就越来越重要。本文主要是写了网络上几种入侵的过程一、简单的"黑客"入侵 TCP/IP协议顺序号预测攻击是最简单的"黑客"入侵，也是系统安全的最大威胁。在网络上，每台电脑有惟一的IP地

2、址，电脑把目标IP地址和一个惟一的顺序号加载于传输的每一个数据包上。在一个TCP连接中，接收机只收到具有正确IP地址和顺序号的那个包裹。 许多安全设备，如路由器，只允许有一定IP地址的电脑收发传送。TCP/IP 顺序号预测入侵将使用网络给电脑赋址的方式和包裹交换的顺序来企图访问网络。一般来说，"黑客"进行TCP/IP 顺序号预测攻击分两步： 第一，得到服务器的IP地址。黑客一般通过网上报文嗅探，顺序测试号码，由WEB浏览器连接到结点上并在状态栏中寻找结点的IP地址。因为黑客知道其他电脑有一个与服务器IP地址部分公用的IP地址，他便尽力模拟一个能让其通过路由器和作为网络用户访

3、问系统的IP号码。例如，如果系统的IP地址为192.0.0.15，黑客便知有近256台电脑可以连入一个C级网，并猜出所有最后位在序列中出现过的地址号码。IP地址指示了一个网络连接的电脑数，同时上述地址的高字节中两个最重要的位设定指出了该网为C级网，下列图显示了黑客是怎祥预测C级网的IP号码的。 "黑客"用服务器的IP地址来猜测其他网络地址 第二，黑客在试过网上IP地址之后，便开始监视网下传送包的序列号，然后，黑客将试图推测服务器能产生的下一个序列号，再将自己有效地插入服务器和用户之间。因为黑客有服务器的IP地址，就能产生有正确IP地址和顺序码的包裹以截获用户的传递，下列图指

4、明了怎样模仿IP地址及包裹序列号以愚弄服务器，使之信任黑客为合法网络用户。 黑客模拟一个TCP/IP通讯愚弄服务器二、嗅探入侵 利用嗅探者的被动入侵已在Internet上频繁出现，如被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。要开始一个嗅探入侵，黑客要拥有用户IP和合法用户的口令，而用一个用户的信息注册于一个分布式网络上。进入网之后，黑客嗅探传送的包并试图尽可能多地获取网上资料。 黑客如何实施一个被劫嗅探入侵 为了防止分布式网络上的嗅探入侵，系统管理员一般用一次性口令系统或票据认证系统如 Kerberos等识别方案。例如，一些一次性口令系统向用户提供在每次退出登录后的下次登录

5、口令。尽管一次性口令系统和Kerberos方案能让黑客对口令的嗅探在不安全的网络上变得更加困难，但如果它们既未加密又未指明数据流时仍将面临实际的被入侵风险。下列图显示了黑客如何实施被动的嗅探入侵。 下面描述黑客将TCP流定向到自己机器上的针对TCP的实际入侵。在黑客重新定向了TCP流之后，黑客能通过无论是一次性口令系统或票据认证系统提供的保护安全线，这样TCP连接对任何一个在连接路径上拥有TCP包嗅探器和TCP包发生器的人来说都变得非常脆弱。在后面，您将了解到一个TCP包在到达目的系统之前要经过许多系统，换句话说，只要拥有一个放置好了的嗅探器和发生器，黑客能访问任何包-它们可能包括您在Inte

6、rnet上传送的包。 在后面一部分里，我们详述了一些您可以用来检测实际入侵的方案和一些您可以用来防卫入侵的方法。黑客能用这一章节中所述的最简单的方法来侵入Internet主机系统，而且，黑客可以实施一次和被动嗅探所需资源一样少的主动非同步攻击。三、嗅探-冒充入侵 您已了解到实际的嗅探入侵的基础，包括一些组成部分。本部分详述的冒充入侵中，黑客用客户机IP地址作为源址向服务器发送一个SYN包以初始化通话。黑客传送的地址必须是冒充成可信任主机地址。服务器将用一个SYN/ACK包来确认SYN包，它包含以下行： SEG_SEQ = SVR_SEQ_O 黑客因此可以用自己的包来确认服务器的SYN/ACK包

7、。黑客数据包中包含了黑客所猜的SVR_SEQ_O的值即顺序号。如果成功，那么黑客不必嗅探客户包，因为黑客能预测SVR_SEQ_O且确认它。 1冒充入侵的两个主要缺点 1黑客冒充的客户机将收到来自服务器的SYN/ACK包，而向服务器回发一个RST复位包，因为在客户机看来，通话不存在。而黑客可能阻止客户机的复位包产生，或当客户机未按入网络时入侵，或使客户机的TCP队列溢出，如此，客户机将在往服务器上发送数据中丧失包。 2黑客不能从服务器上得到数据，然而黑客可以发送一些足以危害主机的数据。 2冒充入侵和非同步后劫持入侵的不同点 冒充入侵和您以前了解到的非同步后劫持入侵的四个不同之处在于： 1非同步后

8、劫持入侵让黑客实行并控制连接的鉴别阶段，而冒充入侵依靠于可信任主机的鉴别方案。 2非同步后劫持入侵让黑客对于TCP流有很大的访问权。换句话说，黑客可以同时收发数据，而不是像冒充入侵那样仅能发送数据。 3非同步后劫持入侵利用以太网嗅探来预测或得到SVR-SEQ-O。 4黑客可以用非同步后劫持入侵法攻击任何类型主机。因为冒充入侵时要倚赖于UNIX可信任主机的模式，所以它仅能对UNIX主机进行攻击。 然而，如果客户机脱线了或是不能收发RST复位包，黑客可以用冒充入侵来与服务器建立一个全面的TCP连结。黑客将可代表客户机发送数据。当然，黑客必须通过认证障碍。如果系统采用的是基于可信任主机的认证，那么黑

9、客将对主机的服务有全权访问。 尽管当黑客进行非同步后劫持入侵进攻局域网时，系统分析员易于核查到入侵，但在远程低带宽和低延迟网上进行非同步持劫持入侵是很有效果的。而且，正如您所知，黑客可使用与进行被动嗅探入侵它经常发生在INTERNET时相同的资源来实施非同步后劫持入侵。两种入侵对黑客来说其优点在于它对用户都是不可的。用户不可见很重要，INTERNET上入侵主机越来越频繁，网络安全变得令人关注，黑客的秘密行动是黑客入侵的一个重要因素。四Telnet会话入侵 前面部分已详述了黑客能在一个已存在的或新运行的TCP连接上实施的各种入侵。然而，黑客也可以干预到几乎任何网络通讯。例如，黑客可以用TELNE

10、T会话实施以下截获方案： 1在入侵之前，黑客通常先观察网上的传送，而不进行任何干预。 2适当时候，黑客向服务器发送一大批空数据。在被截获的TELNET会话上，黑客发送一个含扩展字号IAC NOP LAC NOP 的ATK_SVR_OFFSET字。TELNET协议将NOP命令定义为"空操作"，换句话说，不做任何操作且无视这一对中的字。由于此空操作，服务器的TELNET的后台驻留程序将把每个字都解释为空数值，因为这一点，后台驻留程序将数据流中的每个对删掉。然而，服务器对扩展空传送的接收将扰乱正进行工作的TELNET会话，在此步之后，服务器接收以下命令： SVR_ACK = CL

11、T_SEQ+ATK_SVR_OFFSET 3服务器对黑客命令的接收将创建一个非同步TELNET的连接。 4为了迫使客户机转换到非同步状态，黑客向客户端实施一个与服务器相同的步骤如下列图，黑客如何向客户端和服务发送空数据5为完成TELNET会话入侵，黑客实施前面详述的步骤，直到黑客成为TELNET会话连接的中间人 如果Telnet 会话可以传送空数据的话，黑客只能利用前面详述的五个步骤的TELNET截获方式。纵使如此，黑客对于选择合适时间发送空数据仍有困难。如果时间不正确，入侵将很容易破坏Telnet会话，或者会引起会话干扰，而不能让黑客控制会话。当您参与TELNET会话，预料不到的结果将说明黑客正在截获会话。五空数据非同步入侵 黑客利用在连接的早期阶段截获一个TCP连接来实施一次前期非同