IP欺骗原理精解和防范手段综述

核心提示： 一旦发现被信任的主机，为了伪装成它，IP欺骗原理精解和防范手段综述(5)，往往使其丧失工作能力，由于攻击者将要代替真正的被信任主机，而随之发送RST给受攻击主机，从而断开连接，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿

一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。这里介绍“TCP SYN 淹没”。

前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN请求。 通常，服务器将向客户端发送SYN/ACK 信号。这里客户端是由IP地址确定的。客户端随后向服务器发送ACK，然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行SYN请求的最上限，它可以看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没有最终完成的连接，也包括了那些已成功完成握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，TCP将拒绝所有连接请求，直至处理了部分连接链路。因此，这里是有机可乘的。

黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址(可能使用该合法IP地址的主机没有开机)。而受攻击的主机往往是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻击主机的TCP:该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接(比如继续对该IP地址进行路由，发出SYN/ACK数据包等等)，直至确信无法连接。

当然，这时已流逝了大量的宝贵时间。值得注意的是，黑客们是不会使用那些正在工作的IP地址的，因为这样一来，真正IP持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。前面所描述的过程可以表示为如下模式。

1 Z (X) ---SYN ---> B
　　Z (X) ---SYN ---> B
　　Z (X) ---SYN ---> B
　　2 X <---SYN/ACK-- B
　　X <---SYN/ACK-- B
　　3 X <--- RST --- B