利用IP地址欺骗突破防火墙深层技术解析

一般的访问控制主要在防火墙中进行设置，制定一些安全策略：如内部局域网的资源不允许外部网上的用户使用；不设防区(又称非军事区)可以为内部或外部局域网，其中的资源允许外部网的用户有限度地使用；可以使外部用户访问非军事区（DMZ区）的WEB服务器

B ---- SYN ----> A B <---- SYN ACK ---- A B ---- ACK ----> A

假设C企图攻击A，因为A和B是相互信任的，如果C已经知道了被A信任的B，那么就要相办法使得B的网络功能瘫痪，防止别的东西干扰自己的攻击。在这里普遍使用的是SYN flood。攻击者向被攻击主机发送许多TCP- SYN包。这些TCP-SYN包的源地址并不是攻击者所在主机的IP地址，而是攻击者自己填入的IP地址。当被攻击主机接收到攻击者发送来的TCP-SYN包后，会为一个TCP连接分配一定的资源，并且会以接收到的数据包中的源地址（即攻击者自己伪造的IP地址）为目的地址向目的主机发送TCP-（SYN ACK）应答包。

由于攻击者自己伪造的IP地址一定是精心选择的不存在的地址，所以被攻击主机永远也不可能收到它发送出去的TCP-（SYN ACK）包的应答包，因而被攻击主机的TCP状态机会处于等待状态。如果被攻击主机的TCP状态机有超时控制的话，直到超时，为该连接分配的资源才会被回收。因此如果攻击者向被攻击主机发送足够多的TCP-SYN包，并且足够快，被攻击主机的TCP模块肯定会因为无法为新的TCP连接分配到系统资源而处于服务拒绝状态。并且即使被攻击主机所在网络的管理员监听到了攻击者的数据包也无法依据IP头的源地址信息判定攻击者是谁。

当B的网络功能暂时瘫痪，现在C必须想方设法确定A当前的ISN。首先连向25端口，因为SMTP是没有安全校验机制的，与前面类似，不过这次需要记录A的ISN，以及C到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出

C(B) ---- SYN ----> A B <---- SYN ACK ---- A C(B) ---- ACK ----> A C(B) ---- PSH ----> A

IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。攻击难度比较大，但成功的可能性也很大。C必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。

虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的。IP本身的缺陷造成的安全隐患目前是无法从根本上消除的。我们只能采取一些弥补措施来使其造成的危害减少到最小的程度。防御这种攻击的最理想的方法是：每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前，先对来自外部的IP数据包进行检验。如果该IP包的IP源地址是其要进入的局域网内的IP地址，该IP包就被网关或路由器拒绝，不允许进入该局域网。

这种方法虽然能够很好的解决问题，但是考虑到一些以太网卡接收它们自己发出的数据包，并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源，这种方案不具备较好的实际价值。另外一种防御这种攻击的较为理想的方法是当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前，先对来自该IP数据包的IP源地址进行检验。

如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被网关或路由器拒绝，不允许该包离开局域网。这样一来，攻击者至少需要使用其所在局域网内的IP地址才能通过连接该局域网的网关或路由器。如果攻击者要进行攻击，根据其发出的IP数据包的IP源地址就会很容易找到谁实施了攻击。因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点，IP源地址欺骗将基本上无法奏效。在当前并不是每一网关及路由器都能做到这一点的情况下，网络系统员只能将自己管理的网络至于尽可能严密的监视之下，以防备可能到来的攻击。