IP 欺騙技術介紹

即使是很好的實現了TCP/IP協議，由於它本身有著一些不安全的地方，從而可以對TCP/IP網絡進行攻擊。這些攻擊包括序列號欺騙，路由攻擊，源地址欺騙和授權欺騙。本文除了介紹IP欺騙攻擊方法外，還介紹怎樣防止這個攻擊手段。

上述攻擊是建立在攻擊者的計算機（包括路由）是連在INTERNET上的。這裡的攻擊方法是針對TCP/IP本身的缺陷的，而不是某一具體的實現。

實際上，IP 欺騙不是進攻的結果，而是進攻的手段。進攻實際上是信任關系的破壞。

IP欺騙原理

信任關系
在Unix 領域中，信任關系能夠很容易得到。假如在主機A和B上各有一個帳戶，在使用當中會發現，在主機A上使用時需要輸入在A上的相應帳戶，在主機B上使用時必須輸入在B上的帳戶，主機A和B把你當作兩個互不相關的用戶，顯然有些不便。
為了減少這種不便，可以在主機A和主機B中建立起兩個帳戶的相互信任關系。在主機A和主機B上你的home目錄中創建.rhosts 文件。從主機A上，在你的home目錄中輸入“echo “ B username “ ＞ ～/.rhosts“ ；從主機B上，在你的home目錄中輸入“echo “ A username “ ＞～/.rhosts“ 。至此，你能毫無阻礙地使用任何以r＊開頭的遠程調用命令,如：rlogin，rcall，rsh等，而無口令驗證的煩惱。這些命令將允許以地址為基礎的驗證，或者允許或者拒絕以IP地址為基礎的存取服務。

這裡的信任關系是基於IP地址的。

Rlogin
Rlogin 是一個簡單的客戶/服務器程序，它利用TCP傳輸。Rlogin 允許用戶從一台主機登錄到另一台主機上，並且，如果目標主機信任它，Rlogin 將允許在不應答口令的情況下使用目標主機上的資源。安全驗證完全是基於源主機的IP 地址。因此，根據以上所舉的例子，我們能利用Rlogin 來從B遠程登錄到A，而且不會被提示輸入口令。

TCP 序列號預測
IP只是發送數據包，並且保證它的完整性。如果不能收到完整的IP數據包，IP會向源地址發送一個ICMP 錯誤信息，希望重新處理。然而這個包也可能丟失。由於IP是非面向連接的，所以不保持任何連接狀態的信息。每個IP數據包被松散地發送出去，而不關心前一個和後一個數據包的情況。由此看出，可以對IP堆棧進行修改，在源地址和目的地址中放入任意滿足要求的IP地址，也就是說，提供虛假的IP地址。

TCP提供可靠傳輸。可靠性是由數據包中的多位控制字來提供的，其中最重要的是數據序列和數據確認，分別用SYN和ACK來表示。TCP 向每一個數據字節分配一個序列號，並且可以向已成功接收的、源地址所發送的數據包表示確認（目的地址ACK 所確認的數據包序列是源地址的數據包序列，而不是自己發送的數據包序列）。ACK在確認的同時，還攜帶了下一個期望獲得的數據序列號。顯然，TCP提供的這種可靠性相對於IP來說更難於愚弄。

序列編號、確認和其它標志信息
由於TCP是基於可靠性的，它能夠提供處理數據包丟失，重復或是順序紊亂等不良情況的機制。實際上，通過向所傳送出的所有字節分配序列編號，並且期待接收端對發送端所發出的數據提供收訖確認，TCP 就能保證可靠的傳送。接收端利用序列號確保數據的先後順序，除去重復的數據包。TCP 序列編號可以看作是32位的計數器。它們從0至2^32－1 排列。每一個TCP連接（由一定的標示位來表示）交換的數據都是順序編號的。在TCP數據包中定義序列號（SYN）的標示位位於數據段的前端。確認位（ACK）對所接收的數據進行確認，並且指出下一個期待接收的數據序列號。

TCP通過滑動窗口的概念來進行流量控制。設想在發送端發送數據的速度很快而接收端接收速度卻很慢的情況下，為了保證數據不丟失，顯然需要進行流量控制，協調好通信雙方的工作節奏。所謂滑動窗口，可以理解成接收端所能提供的緩沖區大小。TCP利用一個滑動的窗口來告訴發送端對它所發送的數據能提供多大的緩沖區。由於窗口由16位bit所定義，所以接收端TCP 能最大提供65535個字節的緩沖。由此，可以利用窗口大小和第一個數據的序列號計算出最大可接收的數據序列號。

其它TCP標示位有RST（連接復位，Reset the connection）、PSH（壓入功能，Push function）和FIN （發送者無數據，No more data from sender）。如果RST被接收，TCP連接將立即斷開。RST 通常在接收端接收到一個與當前連接不相關的數據包時被發送。有些時候，TCP模塊需要立即傳送數據而不能等整段都充滿時再傳。一個高層的進程將會觸發在TCP頭部的PSH標示，並且告訴TCP模塊立即將所有排列好的數據發給數據接收端。FIN 表示一個應用連接結束。當接收端接收到FIN時，確認它，認為將接收不到任何數據了。

TCP序列號預測最早是由Morris對這一安全漏洞進行闡述的。他使用TCP序列號預測，即使是沒有從服務器得到任何響應， 來產生一個TCP包序列。這使得他能欺騙在本地網絡上的主機。

通常TCP連接建立一個包括3次握手的序列。客戶選擇和傳輸一個初始的序列號（SEQ標志）ISN C，並設置標志位SYN=１，告訴服務器它需要建立連接。服務器確認這個傳輸，並發送它本身的序列號ISN S，並設置標志位ACK，同時告知下一個期待獲得的數據序列號是ISN=1。客戶再確認它。在這三次確認後，開始傳輸數據。整個過程如下所示：(C:Client S:Server)C——-S: SYN(ISN C )S——-C: SYN(ISN S ),ACK(ISN C )C——-S: ACK(ISN S )C——-S:數據 或S——-C:數據
也就是說對一個會話，C必須得到ISN S確認。ISN S可能是一個隨機數。

了解序數編號如何選擇初始序列號和如何根據時間變化是很重要的。似乎應該有這種情況，當主機啟動後序列編號初始化為1，但實際上並非如此。初始序列號是由tcp_init函數確定的。ISN每秒增加128000，如果有連接出現，每次連接將把計數器的數值增加64000。很顯然，這使得用於表示ISN的32位計數器在沒有連接的情況下每9.32 小時復位一次。之所以這樣，是因為這樣有利於最大限度地減少舊有連接的信息干擾當前連接的機會。這裡運用了2MSL 等待時間的概念（不在本文討論的范圍之內）。如果初始序列號是隨意選擇的，那麼不能保證現有序列號是不同於先前的。假設有這樣一種情況，在一個路由回路中的數據包最終跳出了循環，回到了“舊有”的連接（此時其實是不同於前者的現有連接），顯然會發生對現有連接的干擾。

假設一個入侵者X有一種方法，能預測ISN S。在這種情況下，他可能將下列序號送給主機T來模擬客戶的真正的ISN S：
X——-S: SYN(ISN X ) ,SRC = T
S——-T: SYN(ISN S ) ,ACK(ISN X )
X——-S: ACK(ISN S ) ,SRC =T

盡管消息S*T並不到X，但是X能知道它的內容，因此能發送數據。如果X要對一個連接實施攻擊，這個連接允許執行命令，那麼另外的命令也能執行。

那麼怎樣產生隨機的ISN？在Berkeley系統，最初的序列號變量由一個常數每秒加一產生，等到這個常數一半時，就開始一次連接。這樣，如果開始了一個合法連接，並觀察到一個ISN S在用，便可以計算，有很高可信度，ISN S 用在下一個連接企圖。

Morris 指出，回復消息
S——-T:SYN(ISN S ) ,ACK(ISN X ) 事實上並不消失，真正主機將收到它，並試圖重新連接。這並不是一個嚴重的障礙。

Morris發現，通過模仿一個在T上的端口，並向那個端口請求一個連接，他就能產生序列溢出，從而讓它看上去S*T消息丟失了。另外一個方法，可以等待知道T關機或重新啟動。

IP欺騙
IP欺騙由若干步驟組成，這裡先簡要地描述一下，隨後再做詳盡地解釋。
先做以下假定：首先，目標主機已經選定。其次，信任模式已被發現，並找到了一個被目標主機信任的主機。黑客為了進行IP欺騙，進行以下工作：使得被信任的主機喪失工作能力，同時采樣目標主機發出的TCP 序列號，猜測出它的數據序列號。然後，偽裝成被信任的主機，同時建立起與目標主機基於地址驗證的應用連接。
如果成功，黑客可以使用一種簡單的命令放置一個系統後門，以進行非授權操作。

使被信任主機喪失工作能力
一旦發現被信任的主機，為了偽裝成它，往往使其喪失工作能力。由於攻擊者將要代替真正的被信任主機，他必須確保真正被信任的主機不能接收到任何有效的網絡數據，否則將會被揭穿。有許多方法可以做到這些。這裡介紹“TCP SYN 淹沒”。

前面已經談到，建立TCP連接的第一步就是客戶端向服務器發送SYN請求。 通常，服務器將向客戶端發送SYN/ACK 信號。這裡客戶端是由IP地址確定的。客戶端隨後向服務器發送ACK，然後數據傳輸就可以進行了。然而，TCP處理模塊有一個處理並行SYN請求的最上限，它可以看作是存放多條連接的隊列長度。其中，連接數目包括了那些三步握手法沒有最終完成的連接，也包括了那些已成功完成握手，但還沒有被應用程序所調用的連接。如果達到隊列的最上限，TCP將拒絕所有連接請求，直至處理了部分連接鏈路。因此，這裡是有機可乘的。

黑客往往向被進攻目標的TCP端口發送大量SYN請求，這些請求的源地址是使用一個合法的但是虛假的IP地址（可能使用該合法IP地址的主機沒有開機）。而受攻擊的主機往往是會向該IP地址發送響應的，但可惜是杳無音信。與此同時IP包會通知受攻擊主機的TCP：該主機不可到達，但不幸的是TCP會認為是一種暫時錯誤，並繼續嘗試連接（比如繼續對該IP地址進行路由，發出SYN/ACK數據包等等），直至確信無法連接。

當然，這時已流逝了大量的寶貴時間。值得注意的是，黑客們是不會使用那些正在工作的IP地址的，因為這樣一來，真正IP持有者會收到SYN/ACK響應，而隨之發送RST給受攻擊主機，從而斷開連接。前面所描述的過程可以表示為如下模式。
1 Z （X） －－－SYN －－－〉 B
　 Z （X） －－－SYN －－－＞ B
　 Z （X） －－－SYN －－－＞ B

2 X ＜－－－SYN/ACK－－ B
X ＜－－－SYN/ACK－－ B

3 X ＜－－－ RST －