在 John Markoff 的 1/23/95 NYT 中的文章,还有　CERT advisory　CA-95:01之中 
提到很多关于 IP地址的欺骗（ IP　spoofing ）和hijacking攻击.这儿是我的一些技术 
资料。希望它能帮助你明白这类攻击是怎么一回事。 

　　这是两种截然不同的攻击手段.IP 源地址欺骗和 TCP 序列序列预报是为了获得那些 
使用　X terminal　作为无盘工作站的初始的使用权。当 root 权限被获得时,一个已知 
的到其他系统的连接就会被“可加载内核 STREAMS 模块”或　hijacked 。 

　　这次攻击中的数据记录都是由 tcpdump 来完成的. 兴趣很明确(也很短!),有些日期 
被遗漏了.我特别推荐 Steve Bellovin 的关于“IP　spoofing”的文章,他对 TCP 握手 
描述的非常详细, 也提出了怎样阻止这种攻击手段. 

　　我的设置是这样的: 

　系　　　统 = 运行Solaris 1 提供 "X terminal"服务的 SPARC 工作站 
x-terminal = 运行Solaris 1 提供 "X terminal"服务 
目　　　标 = 攻击显然的目标 


　　　　IP spoofing 攻击是从 14:09:32 PST on 12/25/94 开始的.首先的探测来自 
toad.com (来自数据包的记录): 

14:09:32 toad.com# finger -l @target 
14:10:21 toad.com# finger -l @server 
14:10:50 toad.com# finger -l root@server 
14:11:07 toad.com# finger -l @x-terminal 
14:11:38 toad.com# showmount -e x-terminal 
14:11:49 toad.com# rpcinfo -p x-terminal 
14:12:05 toad.com# finger -l root@x-terminal 

　　这样的探测是为了查看在这些系统之中有什么信赖关系，借此可以发动 IP spoofing 
攻击.从 showmount 和 rpcinfo 的源端口可以看出是 toad.com 的 root 

　　六分钟之后, 我们收到了大量的 TCP SYN 请求(TCP 连接的请求)，是来自 130.92.6.97 
到服务器上的 513 (login) 端口.这些 SYN 请求的目的就是堵塞513端口的连接队列，使其 
成为半开连接状态，因此无法接受其它的新的连接请求.详细些就是，它是不会对那些SYN-ACK 
请求发送TCP RST回应的。 

　　[梦：关于此处，看看TCP连接的三次握手] 

　　513 端口是一个“特权”(< IPPORT_RESERVED)端口 , server.login 可以被假定的源地 
址安全的使用,是在UNIX上的"r-服务" (rsh, rlogin)进行地址spoofing攻击的。130.92.6.97 
明显是没有反应的地址（对收到的数据包）: 

[1] [2] [3] 下一页