接。攻击者可以冒充某个可信节点的IP地址,构造一个通往某个服务器的直接路径和返回的路径,利用可信用户作为通往服务器的路由中的最后一站,就可以向服务器发请求,对其进行攻击。在TCP/IP协议的两
个传输层协议TCP和UDP中由于UDP是面向非连接的,因而没有初始化的连接建立过程,所以UDP更容易被欺骗。
信息,利用ICMP的重定向信息欺骗路由器或主机,将正常的路由器定义为失效路由
静态的:明文传输的。所以无法抵御重传、窃听,而且在UNIX系统中常常将加密后的口令文件存放在一个普通用户就可以读的文件里,攻击者也可以运行已准备好的口令破译程序来破译口令,对系统进行攻击。电高
有SYN位组的TCP数据包)给主机B;主机B回答一个SYN/ACK数据包(一个具有SYN和ACK位组的TCP数据包)给主机A,表示确认第一个SYN数据包并继续进行握手;最后主机A发送一个ACK数据包给主机B,完成整个三
次握手过程,这样通信双方正式建立一条连接。当主机B接受到一个SYN数据包时,它分配一块内存给这个新的连接。如果连接数没有限制,那么主机B为处理TCP连接将很快用完它的内存资源。然而对一个给定的应用服
务,比如www服务并发的TCP连接请求有一个限度,如果达到了这个限度,别的请求将会被拒绝。如果一个客户采用地址欺骗的方式伪装成一个不可到达的主机时,那么正常的三次握手过程将不能完成。目标主机一直得
等到超时再恢复,这是SYN攻击的原理。如图5-3②所示。攻击主机A发送一定数量的SYN请求(一般小于10就足够了)到主机B。攻击者采用地址欺骗的方式把他的地址动态伪装成主机A’的地址(其实这个地址根本不存在),
因为攻击主机A根本不想让任何一个主机收到这个目标TCP连接发出的SYN/ACK数据包,这样主机B无法释放被古用的资源,主机B将拒绝接受别的正常请求,攻击成功。只有等到SYN请求超时,主机B才会恢复连接。如
果主机A'可创达,如图5-3③所示,那么当主机A'收到主机B发来的SYN/ACK数据包时,网站制作它不知道它亥做什么,就发一个RST数据包给主机B,主机就复原连接,攻击失败。
>>> 查看《网站建设--电子商务基础》更多相关资讯 <<<
本文地址:http://tcgq.cn/news/html/4209.html