安全研究剖析：黑客入侵方式演示

一、簡單的"黑客"入侵

　　TCP/IP協議順序號預測攻擊是最簡單的"黑客"入侵，也是系統安全的最大威脅。在網絡上，每台計算機有惟一的IP地址，計算機把目標IP地址和一個惟一的順序號加載於傳輸的每一個數據包上。在一個TCP連接中，接收機只收到具有正確IP地址和順序號的那個包裹。許多安全設備，如路由器，只允許有一定IP地址的計算機收發傳送。TCP/IP 順序號預測入侵將使用網絡給計算機賦址的方式和包裹交換的順序來 企圖訪問網絡。一般來說，"黑客"進行TCP/IP 順序號預測攻擊分兩步：

　　第一，得到服務器的IP地址。黑客一般通過網上報文嗅探，順序測試號碼，由WEB浏覽器連接到結點上並在狀態欄中尋找結點的IP地址。因為黑客知道其他計算機有一個與服務器IP地址部分公用的IP地址，他便盡力模擬一個能讓其通過路由器和作為網絡用戶訪問系統的IP號碼。例如，如果系統的IP地址為192.0.0.15，黑客便知有近256台計算機可以連入一個C級網，並猜出所有最後位在序列中出現過的地址號碼。IP地址指示了一個網絡連接的計算機數，同時上述地址的高字節中兩個最重要的位設定指出了該網為C級網，圖1顯示了黑客是怎祥預測C級網的IP號碼的。

　　"黑客"用服務器的IP地址來猜測其他網絡地址

　　第二，黑客在試過網上IP地址之後，便開始監視網下傳送包的序列號，然後，黑客將試圖推測服務器能產生的下一個序列號，再將自己有效地插入服務器和用戶之間。因為黑客有服務器的IP地址，就能產生有正確IP地址和順序碼的包裹以截獲用戶的傳遞，圖2指明了怎樣模仿IP地址及包裹序列號以愚弄服務器，使之信任黑客為合法網絡用戶。

　　黑客模擬一個TCP/IP通訊愚弄服務器　

　　黑客通過順序號預測取得系統訪問之後，便可訪問通訊系統傳給服務器的任何信息，包括密鑰文件、日志名、機密數據，或在網上傳送的任何信息。典型地，黑客將利用順序號預測作為一個實際入侵服務器的准備，或者說人為入侵網上相關服務器提供一個基礎。

　　技術指導：防衛順序號預測入侵

　　對您的系統來說，防衛順序號預測入侵的最簡單有效的方法是確保您的路由器、_blank">防火牆、您系統上的每個服務器擁有全面的審計跟蹤保護。利用審計跟蹤功能，在一個"黑客"企圖通過路由器和_blank">防火牆來訪問服務器時，您便能發現它。您的審計跟蹤系統可顯示下面的詞條順序，當然這要根據您的操作系統而定：
　　access denied. IP address unknown

　　當黑客循環不斷地測試可能的順序號時，訪問被拒絕詞條將一個接一個地出現。運用您操作系統上可利用的一些設備，您可以讓它在審計系統出示一定數量的訪問拒絕詞條後指揮事件日志向您自動報警。二、TCP協議劫持入侵

　　也許對連接於Internet的服務器的最大威脅是TCP劫持入侵（即我們所知的主功嗅探），盡管順序號預測法入侵和TCP劫持法有許多相似之處，但TCP劫持之不同在於黑客將強迫網絡接受其IP地址為一個可信網址來獲得訪問，而不是不停地猜IP地址直至正確。TCP劫持法的基本思想是，黑客控制了一台連接於入侵目標網的計算機，然後從網上斷開以讓網絡服務器誤以為黑客是實際的客戶端。圖3顯示了一個黑客怎樣操作一個TCP劫持入侵。

　　黑客通過斷開和模仿實際客戶端的連接來實施TCP劫持入侵

　　成功地劫持了可信任計算機之後，黑客將用自己的IP地址更換入侵目標機的每一個包的IP地址，並模仿其順序號。安全專家稱順序號偽裝為"IP模仿"，黑客用IP模仿在自己機器上模擬一個可信系統的IP地址，黑客模仿了目標計算機之後，便用靈巧的順序號模仿法成為一個服務器的目標。

　　黑客實施一個TCP劫持入侵後更易於實施一個IP模仿入侵，而且TCP劫持讓黑客通過一個一次性口令請求響應系統（如共享口令系統），再讓一個擁有更高安全性的主機妥協。通過口令系統也讓黑客穿過一個操作系統而不是黑客自己的系統。

　　最後，TCP劫持入侵比IP模仿更具危害性，因為黑客一般在成功的TCP劫持入侵後比成功的IP模仿入侵後有更大的訪問能力。黑客因為截取的是正在進行中的事務而有更大訪問權限，而不是模擬成一台計算機再發起一個事務。