這篇文章和yuri volobuev的<<利用ARP和ICMP玩重定向的游戲> 都是很早的文章了，前面在本版貼過上篇的翻譯，這次貼這篇。 文章雖然早，可我僅僅是出于計算機普及的微小抱負給那些懶得 看米國文字的朋友們一個機會。什么時候我們后面的那些少年 能自己寫出這樣的文章探索這樣的技術，那我就不用再來做計算 機普及啦，學風不正也許是我們的通病，以致小弟才疏學淺，連 翻譯都是牛頭不對馬嘴，永遠的遺憾吧 1. 介紹 被動攻擊使用sniffer，現在越來越普遍。然而人們盲目地認為 主動攻擊相當困難，以至于很少有人使用。下面我們描述一次非常簡單 的主動攻擊，它成功地被用做入侵UNIX主機，它也可以和被動攻擊 sniffing一起使用。讀者可以和1985年R. Morris提供的 IP Spooffing做個比較。 2. ESTABLISHED狀態(tài) 2.1 TCP協議 關于TCP協議的細節(jié)請參看RFC793。 SVR_SEQ: sequence number of the next byte to be sent by the server; SVR_ACK: next byte to be received by the server (the sequence number of the last byte received plus one); SVR_WIND: server's receive window; CLT_SEQ: sequence number of the next byte to be sent by the client; CLT_ACK: next byte to be received by the client; CLT_WIND: client's receive window; 開始沒有數據交換， SVR_SEQ = CLT_ACK and CLT_SEQ = SVR_ACK. 這個個關系一直有效，只要連接的雙方都不發(fā)送數據。 一旦開始發(fā)送數據， CLT_ACK <= SVR_SEQ <="CLT_ACK" + CLT_WIND SVR_ACK <= CLT_SEQ <="SVR_ACK" + SVR_WIND TCP報文頭部有如下內容： 源端口、目標端口、序列號、應答序列號、數據區(qū)偏移，控制位： URG: Urgent Pointer; ACK: Acknowledgment; PSH: Push Function; RST: Reset the connection; SYN: Synchronize sequence numbers; FIN: No more data from sender; 發(fā)送方窗口尺寸、TCP報文校驗和(頭部和數據區(qū)都包括)、TCP緊急指針，以及TCP選項。 SEG_SEQ will refer to the packet sequence number (as seen in the header). SEG_ACK will refer to the packet acknowledgment number. SEG_FLAG will refer to the control bits. 在一次典型的客戶端發(fā)送包中(不是重發(fā))，SEG_SEQ被設置成CLT_SEQ, SEG_ACK被設置成CLT_ACK. TCP使用三次握手機制建立連接， 客戶端處在 CLOSED 狀態(tài)，服務器端處在 LISTEN 狀態(tài)，客戶端首先發(fā)送初始序列號ISN，并設置 SYN位： SEG_SEQ = CLT_SEQ_0, SEG_FLAG = SYN 客戶端狀態(tài)轉換到 SYN-SENT 服務器端收到這個包后應答客戶端，送出服務器端的初始序列號ISN，并設置SYN位： SEG_SEQ = SVR_SEQ_0, SEQ_ACK = CLT_SEQ_0+1, SEG_FLAG = SYN SVR_ACK = CLT_SEQ_0+1 服務器端狀態(tài)轉換到 SYN-RECEIVED scz注：SYN flooding 攻擊正是導致被攻擊主機 SYN-RECEIVED 狀態(tài)大量出現，netstat -na | grep SYN可以看到，值得注 意的是這種攻擊因為并不要求建立完整的TCP連接，所以源IP 是完全可以偽造，以至于在 netstat 命令的顯示中 看到的源IP根本就不可信。TCP SYN半開掃描中如果掃描程序 編寫不當，也會短暫留下這個狀態(tài)。