中國科學(xué)技術(shù)大學(xué)軟件學(xué)院

1、中國科學(xué)技術(shù)大學(xué)軟件學(xué)院中國科學(xué)技術(shù)大學(xué)軟件學(xué)院.doc中國科學(xué)技術(shù)大學(xué)軟件學(xué)院.doc中國科學(xué)技術(shù)大學(xué)軟件學(xué)院《信息安全》課程參考資料Mitnick攻擊IPspoofing攻擊是從14:09:32PSTon122594開始的.首先的探測來自(來自數(shù)據(jù)包的記錄):14:09:32#fingerl@target14:10:21#fingerl@server14:10:50#fingerlroot@server14:11:07#finger

2、l@xterminal14:11:38#showmountexterminal14:11:49#rpcinfopxterminal14:12:05#fingerlroot@xterminal這樣的探測是為了查看在這些系統(tǒng)之中有什么信賴關(guān)系，借此可以發(fā)動IPspoofing攻擊.從showmount和rpcinfo的源端口可以看出是的root。六分鐘之后我們收到了大量的TCPSYN請求(TCP連接的請求)，是來自130.92.6.97到服

3、務(wù)器Server上的513(login)端口.這些SYN請求的目的就是堵塞513端口的連接隊列，使其成為半開連接狀態(tài)，因此無法接受其它的新的連接請求。最主要的目標(biāo)是，它是不會對那些SYNACK請求發(fā)送TCPRST回應(yīng)的。513端口是一個“特權(quán)”(server.login:S1382726960:1382726960(0)win409614:18:22.566069130.92.6.97.601server.login:S13827269

4、61:1382726961(0)win409614:18:22.744477130.92.6.97.602server.login:S1382726962:1382726962(0)win409614:18:22.830111130.92.6.97.603server.login:S130.92.6.97.620server.login:S1382726980:1382726980(0)win409614:18:24.643249130

5、.92.6.97.621server.login:S1382726981:1382726981(0)win409614:18:24.906546130.92.6.97.622server.login:S1382726982:1382726982(0)win409614:18:24.963768130.92.6.97.623server.login:S1382726983:1382726983(0)win409614:18:25.0228

6、53130.92.6.97.624server.login:S1382726984:1382726984(0)win409614:18:25.153536130.92.6.97.625server.login:S1382726985:1382726985(0)win409614:18:25.400869130.92.6.97.626server.login:S1382726986:1382726986(0)win409614:18:25

7、.483127130.92.6.97.627server.login:S1382726987:1382726987(0)win409614:18:25.599582130.92.6.97.628server.login:S1382726988:1382726988(0)win409614:18:25.653131130.92.6.97.629server.login:S1382726989:1382726989(0)win4096服務(wù)器

8、首先為前8個SYN請求生成SYNACK，此時隊列并沒有排滿.服務(wù)器會不停的重復(fù)發(fā)送這些SYNACK，這些半連接占用了Server的TCP連接資源，從而Server暫時不會接收新的TCP連接，更重要的是也不會對不請自來的SYNACK發(fā)送RST.我們現(xiàn)在看到的是20個從apollo.it.luc.edu連接到xterminal.shell的請求.這樣做的目的就是為了正確預(yù)測xterminal的TCP序列號.初始的序列號由于連接的增加而不斷增