黑客攻击揭密----分析选定的网络攻击(3)

　　连接关闭:在发送完所有数据之后，通信伙伴中的一方想要关闭连接。假设是客户机要终止连接。它将通过向服务器发送设置了 FIN 标志的 TCP 包来完成该操作。服务器将通过返回设置了 ACK 标志的包进行确认。从此刻起，客户机将不再向服务器发送任何数据。它将仅以空段确认由服务器发送的数据。当服务器关闭客户机流时，连接关闭。

　　讲完了预备知识，我将向您介绍两个 TCP 攻击的示例。

　　TCP SYN 扫描

　　类别:端口扫描

　　描述:TCP SYN 扫描是端口扫描的变体。端口扫描用来检查给定主机上的端口是否打开。收集此类信息是跟踪足迹(先前的攻击种类中讨论过)的一部分，用来获得主机上的额外信息。知道主机上哪些端口是打开的，对于攻击者推断目标主机上可能存在的弱点是重要的第一步。

　　TCP 端口扫描的最简单形式是打开一个到主机所有端口的连接。如果成功地打开了到给定端口的连接，则攻击者知道该服务是可用的。但是，因为操作系统和/或工具可能会记录此类行为并因此察觉端口扫描，所以，攻击者通常想在被扫描主机不知道的情况下执行端口扫描。在本节中，我将讨论攻击者所使用的一种端口扫描形式，它不会被目标主机轻易地侦测到。

　　TCP SYN 扫描也称为半开扫描。顾名思义，攻击者只是部分地打开连接。要实现这一点，攻击者向目标主机发送设置了 SYN 标志的 TCP 包，就象打开常规 TCP 连接时一样。如果该端口是打开的，则被扫描主机返回设置了 SYN 和 ACK 标志的包进行响应。如果端口未打开，则被扫描主机发送设置了 RST 和 ACK 标志的包。

　　在被扫描主机返回了 SYN/ACK 包后，连接在服务器端将进入挂起状态，表明连接正处于建立的过程中，但还没有完全建立。但是，攻击者会发送设置了 RST 和 ACK 标志的包回应 SYN/ACK 包。这将触发被扫描主机再次关闭已部分建立的连接。

　　这种攻击的想法是找出特定目标主机上打开的端口，但完成的方式非常狡猾，因此被攻击的主机或质量低劣的入侵检测工具不会发现。

　　SYN 扩散

　　种类:拒绝服务攻击

　　描述:在 Smurf 攻击流行之前，SYN 扩散攻击是最具破坏性的拒绝服务攻击。如上所述，当主机 A 想建立到目的地主机 D 的 TCP 连接时，它首先发送设置了 SYN 标志的 TCP 段。当接收这个段时，主机 D 通过返回设置了 SYN 和 ACK 标志的包确认它。但主机 D 同时将挂起(部分打开的)连接放到挂起连接队列中。当等待连接的发起方(主机 A)的确认时，连接保持挂起状态。

　　主机 D 在特定的超时周期以内等待确认的到来，通常根据中断的 IP 实现从 75 秒到 25 分钟不等。因为挂起连接队列大小有限(大约是十二个左右的连接)，所以最终将被填满。您会发现，攻击者只要每十秒钟左右发送几个 SYN 包就可以禁用特定端口。这种攻击方法是一种非常严重的拒绝服务攻击方式，因为在接收新的 SYN 包之前，被攻击的系统将永远无法清除积压队列，因此也就无法响应任何其它请求。

　　这种攻击的动机也很明显。攻击者想要使特定服务(例如 Web 服务器)瘫痪。您可以再次发现，对攻击者一方而言，只需少得惊人的资源就可以执行这种攻击。

　　结束语

　　沉浸在计算机安全性的世界里会感觉既可怕同时又令人着迷:可怕是因为您会慢慢了解攻击者用非常简单的方法(作为安全初学者，您可能从未注意过这些事情)能造成什么样的破坏。令人着迷是因为您学得越多，就越能发现改进的余地和随之而来的新工作。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有