headwolf的博客

IP欺骗原理精解和防范手段综述

IP欺骗原理精解和防范手段综述

即使是很好的实现了TCP/IP协议，由于它本身有着一些不安全的地方，从而可以对TCP/IP网络进行攻击。这些攻击包括序列号欺骗，路由攻击，源地址欺骗和授权欺骗。本文除了介绍IP欺骗攻击方法外，还介绍怎样防止这个攻击手段。

上述攻击是建立在攻击者的计算机（包括路由）是连在INTERNET上的。这里的攻击方法是针对TCP/IP本身的缺陷的，而不是某一具体的实现。

实际上，IP 欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关系的破坏。

IP欺骗原理

信任关系

在Unix领域中，信任关系能够很容易得到。假如在主机A和B上各有一个帐户，在使用当中会发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了减少这种不便，可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上你的home目录中创建.rhosts 文件。从主机A上，在你的home目录中输入'echo " B username " ＞ ～/.rhosts' ；从主机B上，在你的home目录中输入'echo " A username " ＞～/.rhosts' 。至此，你能毫无阻碍地使用任何以r＊开头的远程登录如：rlogin，rcall，rsh等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务。

这里的信任关系是基于IP地址的。

Rlogin

Rlogin 是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以上所举的例子，我们能利用Rlogin 来从B远程登录到A，而且不会被提示输入口令。

TCP 序列号预测

IP只是发送数据包，并且保证它的完整性。如果不能收到完整的IP数据包，IP会向源地址发送一个ICMP 错误信息，希望重新处理。然而这个包也可能丢失。由于IP是非面向连接的，所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去，而不关心前一个和后一个数据包的情况。由此看出，可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。

TCP提供可靠传输。可靠性是由数据包中的多位控制字来提供的，其中最重要的是数据序列和数据确认，分别用SYN和ACK来表示。TCP 向每一个数据字节分配一个序列号，并且可以向已成功接收的、源地址所发送的数据包表示确认（目的地址ACK 所确认的数据包序列是源地址的数据包序列，而不是自己发送的数据包序列）。ACK在确认的同时，还携带了下一个期望获得的数据序列号。显然，TCP提供的这种可靠性相对于IP来说更难于愚弄。

序列编号、确认和其它标志信息

由于TCP是基于可靠性的，它能够提供处理数据包丢失，重复或是顺序紊乱等不良情况的机制。实际上，通过向所传送出的所有字节分配序列编号，并且期待接收端对发送端所发出的数据提供收讫确认，TCP 就能保证可靠的传送。接收端利用序列号确保数据的先后顺序，除去重复的数据包。TCP 序列编号可以看作是32位的计数器。它们从0至2^32－1 排列。每一个TCP连接（由一定的标示位来表示）交换的数据都是顺序编号的。在TCP数据包中定义序列号（SYN）的标示位位于数据段的前端。确认位（ACK）对所接收的数据进行确认，并且指出下一个期待接收的数据序列号。

TCP通过滑动窗口的概念来进行流量控制。设想在发送端发送数据的速度很快而接收端接收速度却很慢的情况下，为了保证数据不丢失，显然需要进行流量控制，协调好通信双方的工作节奏。所谓滑动窗口，可以理解成接收端所能提供的缓冲区大小。TCP利用一个滑动的窗口来告诉发送端对它所发送的数据能提供多大的缓冲区。由于窗口由16位bit所定义，所以接收端TCP 能最大提供65535个字节的缓冲。由此，可以利用窗口大小和第一个数据的序列号计算出最大可接收的数据序列号。

其它TCP标示位有RST（连接复位，Reset the connection）、PSH（压入功能，Push function）和FIN （发送者无数据，No more data from sender）。如果RST 被接收，TCP连接将立即断开。RST 通常在接收端接收到一个与当前连接不相关的数据包时被发送。有些时候，TCP模块需要立即传送数据而不能等整段都充满时再传。一个高层的进程将会触发在TCP头部的PSH标示，并且告诉TCP模块立即将所有排列好的数据发给数据接收端。FIN 表示一个应用连接结束。当接收端接收到FIN时，确认它，认为将接收不到任何数据了。

TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。他使用TCP序列号预测，即使是没有从服务器得到任何响应， 来产生一个TCP包序列。这使得他能欺骗在本地网络上的主机。

通常TCP连接建立一个包括3次握手的序列。客户选择和传输一个初始的序列号（SEQ标志）ISN C，并设置标志位SYN=１，告诉服务器它需要建立连接。服务器确认这个传输，并发送它本身的序列号ISN S，并设置标志位ACK，同时告知下一个期待获得的数据序列号是ISN=1。客户再确认它。在这三次确认后，开始传输数据。整个过程如下所示：(C:Client S:Server)
    C---S: SYN(ISN C )
    S---C: SYN(ISN S ) ,ACK(ISN C )
    C---S: ACK(ISN S )
    C---S:数据 或S---C:数据

也就是说对一个会话，C必须得到ISN S确认。ISN S可能是一个随机数。

了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种情况，当主机启动后序列编号初始化为1，但实际上并非如此。初始序列号是由tcp_init函数确定的。ISN每秒增加128000，如果有连接出现，每次连接将把计数器的数值增加64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32 小时复位一次。之所以这样，是因为这样有利于最大限度地减少旧有连接的信息干扰当前连接的机会。这里运用了2MSL 等待时间的概念（不在本文讨论的范围之内）。如果初始序列号是随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一种情况，在一个路由回路中的数据包最终跳出了循环，回到了"旧有"的连接（此时其实是不同于前者的现有连接），显然会发生对现有连接的干扰。

假设一个入侵者X有一种方法，能预测ISN S。在这种情况下，他可能将下列序号送给主机T来模拟客户的真正的ISN S：
    X---S: SYN(ISN X ) ,SRC = T
    S---T: SYN(ISN S ) ,ACK(ISN X )
    X---S: ACK(ISN S ) ,SRC =T

尽管消息S*T并不到X，但是X能知道它的内容，因此能发送数据。如果X要对一个连接实施攻击，这个连接允许执行命令，那么另外的命令也能执行。

那么怎样产生随机的ISN？在Berkeley系统，最初的序列号变量由一个常数每秒加一产生，等到这个常数一半时，就开始一次连接。这样，如果开始了一个合法连接，并观察到一个ISN S在用，便可以计算，有很高可信度，ISN S 用在下一个连接企图。

Morris 指出，回复消息
    S---T:SYN(ISN S ) ,ACK(ISN X )
事实上并不消失，真正主机将收到它，并试图重新连接。这并不是一个严重的障碍。

Morris发现，通过模仿一个在T上的端口，并向那个端口请求一个连接，他就能产生序列溢出，从而让它看上去S*T消息丢失了。另外一个方法，可以等待知道T关机或重新启动。

下面详细的介绍一下。

IP欺骗

IP欺骗由若干步骤组成，这里先简要地描述一下，随后再做详尽地解释。先做以下假定：首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。

使被信任主机丧失工作能力

一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。这里介绍"TCP SYN 淹没"。

前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN请求。 通常，服务器将向客户端发送SYN/ACK 信号。这里客户端是由IP地址确定的。客户端随后向服务器发送ACK，然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行SYN请求的最上限，它可以看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没有最终完成的连接，也包括了那些已成功完成握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，TCP将拒绝所有连接请求，直至处理了部分连接链路。因此，这里是有机可乘的。

黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址（可能使用该合法IP地址的主机没有开机）。而受攻击的主机往往是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻击主机的TCP：该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接（比如继续对该IP地址进行路由，发出SYN/ACK数据包等等），直至确信无法连接。

当然，这时已流逝了大量的宝贵时间。值得注意的是，黑客们是不会使用那些正在工作的IP地址的，因为这样一来，真正IP持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。前面所描述的过程可以表示为如下模式。
1 Z （X） －－－SYN －－－＞ B
　Z （X） －－－SYN －－－＞ B
　Z （X） －－－SYN －－－＞ B

2 X ＜－－－SYN/ACK－－ B
   X ＜－－－SYN/ACK－－ B

3 X ＜－－－ RST －－－ B
　　
在时刻1时，攻击主机把大批SYN 请求发送到受攻击目标（在此阶段，是那个被信任的主机），使其TCP队列充满。在时刻2时，受攻击目标向它所相信的IP地址（虚假的IP）作出SYN/ACK反应。在这一期间，受攻击主机的TCP模块会对所有新的请求予以忽视。不同的TCP 保持连接队列的长度是有所不同的。BSD 一般是5，Linux一般是6。使被信任主机失去处理新连接的能力，所赢得的宝贵空隙时间就是黑客进行攻击目标主机的时间，这使其伪装成被信任主机成为可能。

序列号取样和猜测

前面已经提到，要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。现在，我们来讨论黑客是如何进行预测的。他们先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主机最后所发送的ISN存储起来。黑客还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次统计平均求出的。RTT 对于估计下一个ISN是非常重要的。前面已经提到每秒钟ISN增加128000，每次连接增加64000。现在就不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。再估计出ISN大小后，立即就开始进行攻击。当黑客的虚假TCP数据包进入目标主机时，根据估计的准确度不同，会发生不同的情况：

·如果估计的序列号是准确的，进入的数据将被放置在接收缓冲器以供使用。

·如果估计的序列号小于期待的数字，那么将被放弃。

·如果估计的序列号大于期待的数字，并且在滑动窗口（前面讲的缓冲）之内，那么，该数据被认为是一个未来的数据，TCP模块将等待其它缺少的数据。如果估计的序列号大于期待的数字，并且不在滑动窗口（前面讲的缓冲）之内，那么，TCP将会放弃该数据并返回一个期望获得的数据序列号。下面将要提到，黑客的主机并不能收到返回的数据序列号。

1 Z（B） --－－SYN －－－> A
2 B ＜－－－SYN/ACK－－－ A
3 Z（B） --－－－ACK－－－＞ A
4 Z（B） －－－——PSH－－－＞ A

攻击者伪装成被信任主机的IP 地址，此时，该主机仍然处在停顿状态（前面讲的丧失处理能力），然后向目标主机的513端口(rlogin的端口号)发送连接请求，如时刻1所示。在时刻2，目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任主机（如果被信任主机处于正常工作状态，那么会认为是错误并立即向目标主机返回RST数据包，但此时它处于停顿状态）。按照计划，被信任主机会抛弃该SYN/ACK数据包。然后在时刻3，攻击者向目标主机发送ACK数据包，该ACK使用前面估计的序列号加1（因为是在确认）。如果攻击者估计正确的话，目标主机将会接收该ACK 。至耍，将开始数据传输。一般地，攻击者将在系统中放置一个后门，以便侵入。经常会使用 ′cat ＋＋ >> ～/.rhosts′。之所以这样是因为，这个办法迅速、简单地为下一次侵入铺平了道路。

一个和这种TCP序列号攻击相似的方法，是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机了。如果目标主机上有NETSTAT，它能提供在另一端口上的必须的序列号。这取消了所有要猜测的需要。

IP欺骗的防止

防止的要点在于，这种攻击的关键是相对粗糙的初始序列号变量在Berkeley系统中的改变速度。TCP协议需要这个变量每秒要增加25000次。Berkeley 使用的是相对比较慢的速度。但是，最重要的是，是改变间隔，而不是速度。

我们考虑一下一个计数器工作在250000Hz时是否有帮助。我们先忽略其他发生的连接，仅仅考虑这个计数器以固定的频率改变。

为了知道当前的序列号，发送一个SYN包，收到一个回复：
    X---S: SYN(ISN X )
    S---X: SYN(ISN S ) ,ACK(ISN X ) (1)
第一个欺骗包，它触发下一个序列号，能立即跟随服务器对这个包的反应：
    X---S: SYN(ISN X ) ,SRC = T (2)
序列号ISN S用于回应了：
    S---T: SYN(ISN S ) ,ACK(ISN X )
是由第一个消息和服务器接收的消息唯一决定。这个号码是X和S的往返精确的时间。这样，如果欺骗能精确地测量和产生这个时间，即使是一个4-U时钟都不能击退这次攻击。

抛弃基于地址的信任策略

阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r＊类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

进行包过滤

如果您的网络是通过路由器接入Internet 的，那么可以利用您的路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。

使用加密方法

阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。
使用随机化的初始序列号

黑客攻击得以成功实现的一个很重要的因素就是，序列号不是随机选择的或者随机增加的。Bellovin 描述了一种弥补TCP不足的方法，就是分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加，但是在这些序列号空间中没有明显的关系。可以通过下列公式来说明：

ISN =M＋F（localhost，localport ，remotehost ，remoteport ）
M：4微秒定时器
F：加密HASH函数。

F产生的序列号，对于外部来说是不应该能够被计算出或者被猜测出的。Bellovin 建议F是一个结合连接标识符和特殊矢量（随机数，基于启动时间的密码）的HASH函数 。

IP欺骗攻击法

原创：r00t <r00t@unsecret.org>
　　　QQ: 22664566
　　　http://www.unsecret.org

这是我到《公开化安全》的第一篇文章，很多不足的地方，希望大家来信指点^_*

什么是IP欺骗？IP欺骗是不是用某种软件把自己的IP隐藏起来？回答当然是NO！！！。这里我要说的IP欺
骗是一种攻击方法，即使主机系统本身没有任何漏洞，但仍然可以使用各种手段来达到攻击目的，这种欺
骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。当然，这也是有一定难度的。下面我们
看一下IP欺骗攻击是如何实现的？


建立信任关系。

IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下什么是信任
关系，信任关系是如何建立的。

在UNIX主机中，存在着一种特殊的信任关系。假设有两台主机hosta和hostb，上面各有一个帐户Tomy，在
使用中会发现，在hosta上使时要输入在hosta上的相应帐户Tomy，在hostb上使用时必须输入用hostb的帐
户Tomy，主机hosta和hostb把Tomy当做两个互不相关的用户，这显然有些不便。为了减少这种不便，可以
在主机hosta和hostb中建立起两个帐户的相互信任关系。在hosta和hostb上Tomy的home目录中创建.rhosts
文件。从主机hosta上，在你的home目录中用命令echo "hostb Tomy">~/.hosts实现hosta&hostb的信任关
系，这时，你从主机hostb上，你就能毫无阻碍的使用任何以r开头的远程调用命令，如：rlogin、rsh、
rcp等，而无需输入口令验证就可以直接登录到hosta上。这些命令将充许以地址为基础的验证，允许或者
拒绝以IP地址为基础的存取服务。这里的信任关系是基于IP的刂返摹?

当/etc/hosts.equiv中出现一个 "+"或者$HOME/.rhosts中出现 "++"时，表明任意地址的主机可以无须口
令验证而直接使用r命令登陆此主机，这是十分危险的，而这偏偏又是某些管理员不重视的地方。下面我们
看一下rlogin的用法。

rlogin是一个简单的/服务器程序，它的作用和telnet差不多，不同的是telnet完全依赖口令验证，而
rlogin是基于信任关系的验证，其次到才进行口令验证的，它使用了TCP协议进行传输。当用户从一台主机
登陆到另一台主机上，并且，如果目录主机信任它，rlogin将允许在不应答口令的性况下使用目标主机上
的资源，安全验证完便基于源主机的IP地址。因此，根据以上所举的例子，我们能利用rlogin来从hostb远
程登陆到hosta，而且不会被提示出入口令！


IP欺骗的理论根据

看到上面的说明，每一个黑客都会想到：既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那
么假如能够冒充hostb的IP，就可以使用rlogin登录到hosta，而不需任何口令验证。这，就是IP欺骗的最
根本的理论依据。

但是，事情远没有想像中那么简单！虽然，可以通过编程的方法随意改变发出的包的IP地址，但TCP协议对
IP进行了进一步的封装，它是一种相对可靠的协议，不会让黑客轻易得逞。不信？好，先来看一下一次正
常的TCP/IP会话的过程。

由于TCP是面向连接的协议，所以在双方正式传输数据之前，需要用"三次握手"来建立一个稳重的连接。假
设还是hosta和hostb两台主机进行通信，hostb首先发送带有SYN标志的数据段通知hosta建立TCP连接，TCP
的可靠性就是由数据包中的多位控制字来提供的，其中最重要的是数据序列SYN和数据确认标志ACK。B将
TCP报头中的SYN设为自己本次连接中的初始值（ISN）。

当hosta收到hostb的SYN包之后，会发送给hostb一个带有SYN+ACK标志的数据段，告之自己的ISN，并确认
hostb发送来的第一个数据段，将ACK设置成hostb的SYN+1。

当hostb确认收到hosta的SYN+ACK数据包后，将ACK设置成hosta的SYN+1。Hosta收到hostb的ACK后，连接成
功建立，双方可以正式伟输数据了，整个过程如图所示：



（黑色为hostb红色为hosta）

（大家也就将就将就着看吧......本人的绘画水平也说是这样了......能看明白就行了哦J ）

看了这个过程，我们就很容易想到，假如想冒充hostb对hosta进行攻击，就要先使用hostb的IP地址发送
SYN标志给hosta，但是当hosta收到后，并不会把SYN+ACK发送到我们的主机上，而是发送到真正的hostb上
去，这时......嘿嘿......露陷了吧？因为hostb根本没发送发SYN请请。所以如果要冒充hostb，首先要让hostb失
去工作能力。也就是所谓的拒绝服务攻击，让hostb瘫痪。

可是......这样还是远远不够的......，最难的就是要对hosta进行攻击，必须知道hosta使用的ISN。TCP使用的ISN
是一个32位的计数器，从0到4 294 967 295。TCP为每一个连接选择一个初始序列号ISN，为了防止因为延
迟、重传等扰乱三次握手，ISN不能随便选取，不同的系统有着不同的算法。理解TCP如何分配ISN以及ISN
随时间的变化规律，对于成功的进行IP欺骗攻击是很重要的！ISN约每秒增加128 000，如果有连接出现，
每次连接将把计数器的数值增加64 000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每
9.32小时复位一次。这所以这样，是因为它有利于最大于度地减少"旧有"连接的信息干扰当前连接的机会
。如果初始序例号是随意选择的，那么不能保证现有序例号是不同于先前的。假设有这样一种情况，在一
个路由回路中的数据包最终跳出循环，回到了"旧有"的连接，显然这会对现有连接产生干扰。预测出攻击
目标的序例号非常困难，而且各个系统也不想同，在Berkeley系统，最初的序列号变量由一个常数每秒加1
产生，等加到这个常数的一半时，就开始一次连接。这样，如果开始啊一个合法连接，并观察到一个ISN正
在使用，便可以进行预测，而且这样做有很高的可信度。现在我们假设黑客已经使用某种方法，能预测出
ISN。在这种情况下，他就可以将ACK序便号送给hosta，这时连接就建立了。

"嗯，先喝口水（哇噻，3：30了耶）......说了这么多，明白了点吗？"

"不明白......兄弟，你在干啥呢？上数学课啊？"

!@#$^^%&*&$^%^%@$^% 又眼一翻......口吐白沫......两腿一蹬......站了起来......叫了声："接着看......"


IP欺骗攻击过程解析

IP欺骗由若干步骤组成，下面是它的详细步骤，（嘿嘿......小心点看哦......不明白的请举手......，不再重复......我
够阴的吧......嗯嗯......没烟了......不说了......大家自学吧......）晃铛......一只"意大利真皮"飞过来......正中脑瓜......唉......俺"
众"不敌"寡"，先忍着算了......真可怜......怎么没人用"中华"丢过来......

接着...首先假定信任关系已经被发现（至于如何发现，不是本章内容）。黑客为了进行IP欺骗，要进行以下
工作：使被信任关系的主机失去工作能力，同时采样目标主机发出的TCP序例号，猜测出它的数据序例号。
然后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。连接成功后，黑客就可以
入置backdoor以便后日使用J 。


使被信任主机失去工作能力

为了伪装成被信任主机而不露陷，需要使其完全失去工作能力。由于攻击者将要代替真正的被信任主机，
他必须确保真正的被信任主机不能收到任何有效的网络数据，否则将会被揭穿。有许多方法可以达到这个
目的（如SYN洪水攻击、TTN、Land等攻击）。现假设你已经使用某种方法使得被信任的主机完全失去了工
作能力。


序例号取样和猜测

前面讲到了，对目标主机进行攻击，必须知道目标主机的数据包序例号。通常如何进行预测呢？往往先与
被攻击主机的一个端口（如：25）建立起正常连接。通常，这个过程被重复N次，并将目标主机最后所发送
的ISN存储起来。然后还需要进行估计他的主机与被信任主机之间的往返时间，这个时间是通过多次统计平
均计算出来的。往返连接增加64 000.现在就可以估计出ISN的大小是128 000乘以往返时间的一半，如果此
时目标主机刚刚建立过一个连接，那么再加上64 000。（我靠......怎么像在上数学课啊？）

一旦估计出ISN的大小，就开始着手进行攻击，当然你的虚假TCP数据包进入目标主机时，如果刚才估计的
序例号是准确的，进入的数据将被放置在目标机的缓冲区中。但是在实际攻击过程中往往没这么幸运，如
果估计序例号的小于正确值，那么将被放弃。而如果估计的序例号大于正确值，并且在缓冲区的大小之内
，那么该数据被认为是一个未来的数据，TCP模块将等待其他缺少的数据。如果估计序例号大于期待的数字
且不在缓冲区之内，TCP将会放弃它并返回一个期望获得的数据序例号。

你伪装成被信任的主机IP，此时，该主机仍然处在瘫痪状态，然后向目标主机的513端口（rlogin）发送连
接请求。目标主机立刻对连接请求作出反应，发更新SYN+ACK确认包给被信任主机，因为此时被信任主机仍
然处于瘫痪状态，它当然无法收到这个包，紧接关攻击者向目标主机发送ACK数据包，该包使用前面估计的
序例号加1。如果攻击者估计正确的话，目标主机将会接收该ACK。连接就正式建立起了，可以开始数据传
输了。这是，你就可以将cat ‘++'>>~/.rhosts命令发送过去，这样完成本次攻击后就可以不用口令直接登
录到目标主机上了。如果达到这一步，一次完整的IP欺骗就算完成了。你已经在目标机上得到了一个Shell
贴，接下就就是利用系统的溢出或错误配置扩大权限，当然如何搞到root已经不是本章的内容了。

总结一下IP攻击的整个步骤：


首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰。


然后连接到目标机的某个端口来猜测ISN基值和增加规律！！！（重点！难点！）


接下来把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接。


然后等待目标机发送SYN+ACK包给已经瘫痪的主机，因为你现在看不到这个包。


最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1。


连接建立，发送命令请求。


擦屁股、开后门、下网、关机、睡觉。~~~zzzZZZzzz~~~

"Game Over"

"~~~zzzZZZzzz~~~"

"哎呀呀......你爷爷的（韦小宝），我在上面口水都说干了，你们在下面梦周公（英语老师），走！到政教处
去......"

"下课！"

"唰......老师再见！"

"嘿......睡醒了啊？每人照抄一百遍......下许检查！"

俺今天要当足老师的瘾......被他们训了这么久，多少也学会点了，嘿嘿......够奸了吧？

看例子：

对于以上的理论，好多人都是将信将疑：一句话就是：这种攻击方法是不是只停留在一个理论阶段？？？
成功好像只是做梦而已吧？

不信？我也不信，但事实总是胜于雄辨！看下面这个被记录的入侵实例，看你还有什么；话说！TNND，老
师的话都不信？吃米田共去......


下面是tcpdump------一个sniffer完全全记录下来的一次入侵全过程。也正是IP欺骗的创始人米特尼客的
作品，被一个名叫TsutomuShimomura的工作师记录下来的。

说明：

Server:一台运行Solaris的Sparc工作站；

x-terminal：被攻击的服务器

IP欺骗攻击开始于1994年12月25日 14：09：32 米特尼客的第一轮探测来自于一台名叫toad.com的主机，
这显然是他事先攻破的一台系统，用来做跳板的。

他在toad.com上运行了以下命令：

toad.com#finger -l @target

toad.com#finger -l @server

toad.com#finger -l root@server

toad.com#finger -l @x-terminal

toad.com#shownoumt -e x-terminal

toad.com#rpcinfo -p x-terminal

toad.com#finger -l root@x-terminal

这些命令的的作用显然是在探测攻击目标之间潜在的信任关系，因为只有在发现了信任关系才能进行IP欺
骗。Showmount和rcpinfo的源端口探测又说明了攻击者已经得到了root权（toad.com）。

大约在六分钟之后，tcpdump检测到一阵急风暴雨般的TCP SYN包从130.92.6.7猛烈的涌向Server 的513（
rlogin）端口。很显然，这是在使用SYN洪水拒绝服务攻击server，目的当然是让他失去工作能力了。这也
就是前面提到的第一步。因为513端口是以root权限运行的，所以现在server.login可以被用来作为进行IP
欺骗的伪造源了。当然，这个的谓的攻击方IP130.92.6.97 也是一个伪造的IP，这样它才不会接收到
server的回应包。

看记录：

14:18:22:516699 130.92.6.97.600 > server.login: S 1382726960:1382726960(0) win 4096

14:18:22:566069 130.92.6.97.600 > server.login: S 1382726961:1382726961(0) win 4096

14:18:22:744477 130.92.6.97.600 > server.login: S 1382726962:1382726962(0) win 4096

14:18:22:830111 130.92.6.97.600 > server.login: S 1382726963:1382726963(0) win 4096

14:18:22:886128 130.92.6.97.600 > server.login: S 1382726964:1382726964(0) win 4096

14:18:22:943514 130.92.6.97.600 > server.login: S 1382726965:1382726965(0) win 4096

14:18:23:002715 130.92.6.97.600 > server.login: S 1382726966:1382726966(0) win 4096

14:18:23:103275 130.92.6.97.600 > server.login: S 1382726967:1382726967(0) win 4096

14:18:23:162781 130.92.6.97.600 > server.login: S 1382726968:1382726968(0) win 4096

14:18:23:225384 130.92.6.97.600 > server.login: S 1382726969:1382726969(0) win 4096

14:18:23:282625 130.92.6.97.600 > server.login: S 1382726970:1382726960(0) win 4096

14:18:23:342657 130.92.6.97.600 > server.login: S 1382726971:1382726961(0) win 4096

14:18:23:403083 130.92.6.97.600 > server.login: S 1382726972:1382726962(0) win 4096

14:18:23:903700 130.92.6.97.600 > server.login: S 1382726973:1382726963(0) win 4096

14:18:24:003252 130.92.6.97.600 > server.login: S 1382726974:1382726964(0) win 4096

14:18:24:084827 130.92.6.97.600 > server.login: S 1382726975:1382726965(0) win 4096

14:18:24:142774 130.92.6.97.600 > server.login: S 1382726976:1382726966(0) win 4096

14:18:24:203195 130.92.6.97.600 > server.login: S 1382726977:1382726967(0) win 4096

14:18:24:294773 130.92.6.97.600 > server.login: S 1382726978:1382726968(0) win 4096

14:18:24:382841 130.92.6.97.600 > server.login: S 1382726979:1382726969(0) win 4096

14:18:24:443309 130.92.6.97.600 > server.login: S 1382726980:1382726960(0) win 4096

14:18:24:643249 130.92.6.97.600 > server.login: S 1382726981:1382726961(0) win 4096

14:18:24:906546 130.92.6.97.600 > server.login: S 1382726982:1382726962(0) win 4096

14:18:24:963786 130.92.6.97.600 > server.login: S 1382726983:1382726963(0) win 4096

14:18:25:022853 130.92.6.97.600 > server.login: S 1382726984:1382726964(0) win 4096

14:18:25:153536 130.92.6.97.600 > server.login: S 1382726985:1382726965(0) win 4096

14:18:25:400869 130.92.6.97.600 > server.login: S 1382726986:1382726966(0) win 4096

14:18:25:483127 130.92.6.97.600 > server.login: S 1382726987:1382726967(0) win 4096

14:18:25:599582 130.92.6.97.600 > server.login: S 1382726988:1382726968(0) win 4096

14:18:25:653131 130.92.6.97.600 > server.login: S 1382726989:1382726969(0) win 4096

server 在连接序例被塞满之前对前八个SYN请求做出了SYN+ACK回应，一旦没有ACK包来回应它，server将
周期性地重发SYN+ACK包。

接下来我们看到20个从apollo.it.luc.edu发出的连接请求被送住x-terminal.shell。这些连接请求的目的
是预测server的TCP序例号生成器的行为。可以注意到每一个连接的初始序例号的增量提示了SYN包不是通
过系统的TCP执行产生的。攻击者立刻用RST包来断 开x-terminal发来的SYN+ACK包，以使x-terminal的连
接序例不至于被塞满，因为毕竟x-terminal是黑客所要攻击的目标。

下面是这个过程：

14:18:25.906002 apollo.it.luc.edu.1000 > x-terminal.shell:S 1382726990:1382726990(0) win 4906
14:18:26.094731 x-terminal.shell > appollo.it.luc.edu.1000:S 2021824000:20218240000(0) ack
1382826991 win 4906

.....................................................................................................................


现在已经是5:33了，好累......大家体谅一下......。

x-terminal 发出的每一个SYN+ACK包的初始序例号都比前一个增加了128 000字节。

Server.lgoin的伪造SYN请求发往了x-terminal.shell。推断x-terminal可信任server，所所以会响应来自
server 或者伪装成server的主机的所有请求。

然后就是，x-terminal用SYN+ACK包回应了server的连接请求，这时因为server仍然处于瘫痪状态，所以它
当然不会响应任何来自于x-terminal的包。

正常情况下SYN+ACK包是用来期待正确的ACK确认包的。但是攻击者能够预测出x-terminal的TCP序例号生成
器的包含SYN+ACK的序例号，所以他不用看到SYN+ACK就可以发出回应的ACK包，如下：

14:18:36.245045 server.login > x-terminal.shell: S 1382727010(0) win 4906

14:18:36.755522 server.login >x-terminal.shell .ack 2024384001 win 4096

到目前为止，伪装成server的主机已经通过 IP欺骗与x-terminal.shell建立了一次正常的rsh连接，这时
一旦x-terminal做出任何应答，攻击者就可以维持连接并且发送出数据，下面他发送了如下数据：

14:18:37.265404 server.login > x-terminal.shell: P 0:2(2)ack 1 win 4906

14:18:37.775872 server.login > x-terminal.shell: P 2:7(5)ack 1 win 4906

14:18:37.287404 server.login > x-terminal.shell: P 7:32(25)ack 1 win 4906

这些数据是由tcpdump记录下来的，对应的命令其实就是：

server#rsh x-terminal "echo ++ >>/.rhosts"

即在x-terminal上建立起使得任何主机都可以无须口令而行访问的/.rhosts文件。然后，其实连接断开了
。

怎么样？看得心惊胆跳吧？看上去好像花了好长的时间，其实不然......从发送第一个数据包，到发送最后一
个数据包仅仅用了16秒！！！这一过程，只不过是运行了事先写好的程序而已。

注：文章多处用了比较搞笑的字眼为的是让读者看起来不那么紧张、放松点能更容易理解。
如果读者发现哪有不足之处请多多来信点评。

IP欺骗的原理
　　IP欺骗的技术比较复杂，不是简单地照猫画老虎就能掌握，但作为常规攻击手段，有必要理解其原理，至少有利于自己的安全防范，易守难攻嘛。
IP欺骗的原理
　　IP欺骗的技术比较复杂，不是简单地照猫画老虎就能掌握，但作为常规攻击手段，有必要理解其原理，至少有利于自己的安全防范，易守难攻嘛。
　　假设B上的客户运行rlogin与A上的rlogind通信：
1. B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequence number设置成自己本次连接的初始值ISN。
2. A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledge number设置成B的ISN+1。
3. B确认收到的A的数据段，将acknowledge number设置成A的ISN+1。
B ---- SYN ----> A
B <---- SYN+ACK ---- A
B ---- ACK ----> A
　　TCP使用的sequence number是一个32位的计数器，从0-4294967295。 TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN 以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。
　　基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据信源IP地址进行用户身份确认，以便允许或拒绝用户RPC。
　　IP欺骗攻击的描述：
1. 假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意，如何才能知道A信任B呢？没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹，厚积薄发。一次成功的攻击其实主要不是因为技术上的高明，而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术，却不比人家酒桌上的巧妙提问，攻击只以成功为终极目标，不在乎手段。
2. 假设Z已经知道了被信任的B，应该想办法使B的网络功能暂时瘫痪，以免对攻击造成干扰。著名的SYN flood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架：
int initsockid, newsockid;
if ((initsockid = socket(...)) < 0) {
error("can create socket");
}
if (bind(initsockid, ...) < 0) {
error("bind error");
}
if (listen(initsockid, 5) < 0) {
error("listen error");
}
for (;{
newsockid = accept(initsockid, ...); /* 阻塞 */
if (newsockid < 0) {
error("accept error");
}
if (fork() == 0) { /* 子进程 */
close(initsockid);
do(newsockid); /* 处理客户方请求 */
exit(0);
}
close(newsockid);
}
listen 函数中第二个参数是5，意思是在initsockid上允许的最大连接请求数目。如果某个时刻initsockid上的连接请求数目已经达到5，后续到达 initsockid的连接请求将被TCP丢弃。注意一旦连接通过三次握手建立完成，accept调用已经处理这个连接，则TCP连接请求队列空出一个位置。所以这个5不是指initsockid上只能接受5个连接请求。SYN flood正是一种 Denial of Service，导致B的网络功能暂时中断
Z向B发送多个带有SYN标志的数据段请求连接，注意将信源IP 地址换成一个不存在的主机X；B向子虚乌有的X发送SYN+ACK数据段，但没有任何来自X的ACK出现。B的IP层会报告B的TCP层，X不可达，但B 的TCP层对此不予理睬，认为只是暂时的。于是B在这个initsockid上再也不能接收正常的连接请求。
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
......
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
X <---- SYN+ACK ---- B
......
我认为这样就使得B网络功能暂时瘫痪，可我总觉得好象不对头。
　　因为B虽然在initsockid上无法接收TCP连接请求，但可以在another initsockid上接收，这种SYN flood应该只对特定的服务(端口)，不应该影响到全局。当然如果不断地发送连接请求，就和用ping发洪水包一个道理，使得B的TCP/IP忙于处理负载增大。至于SYN flood，回头有机会我单独灌一瓢有关DoS的。如何使B的网络功能暂 碧被居 很多办法，根据具体情况而定，不再赘述。
3. Z必须确定A当前的ISN。首先连向25端口(SMTP是没有安全校验机制的)，与1中类似，不过这次需要记录A的ISN，以及Z到A的大致的RTT (round trip time)。这个步骤要重复多次以便求出RTT的平均值。现在Z知道了A的ISN基值和增加规律(比如每秒增加128000，每次连接增加64000)，也知道了从Z到A需要RTT/2 的时间。必须立即进入攻击，否则在这之间有其他主机与A连接， ISN将比预料的多出64000。
4. Z向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B，注意是针对TCP513端口(rlogin)。A向B回送SYN+ACK数据段，B已经无法响应，B的TCP层只是简单地丢弃A的回送数据段。
5. Z暂停一小会儿，让A有足够时间发送SYN+ACK，因为Z看不到这个包。然后Z再次伪装成B向A发送ACK，此时发送的数据段带有Z预测的A的ISN+ 1。如果预测准确，连接建立，数据传送开始。问题在于即使连接建立，A仍然会向B发送数据，而不是Z，Z 仍然无法看到A发往B的数据段，Z必须蒙着头按照rlogin协议标准假冒B向A发送类似 "cat + + >> ~/.rhosts" 这样的命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，Z只有从头再来。
Z(B) ---- SYN ----> A
B <---- SYN+ACK ---- A
Z(B) ---- ACK ----> A
Z(B) ---- PSH ----> A
......
6. IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，建议阅读rlogind的源代码。攻击最困难的地方在于预测A的ISN。我认为攻击难度虽然大，但成功的可能性也很大，不是很理解，似乎有点矛盾。考虑这种情况，入侵者控制了一台由A到B之间的路由器，假设Z就是这台路由器，那么 A回送到B的数据段，现在Z是可以看到的，显然攻击难度骤然下降了许多。否则Z必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。
7. 如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过，只是随便猜测而已。并且与A、B、
Z 之间具体的网络拓扑有密切关系，在某些情况下显然大幅度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者，得到目标主机的shell，离root权限就不远了，最容易想到的当然是接下来进行buffer overflow攻击。
8. 也许有人要问，为什么Z不能直接把自己的IP设置成B的？这个问题很不好回答，要具体分析网络拓扑，当然也存在ARP冲突、出不了网关等问题。那么在IP 欺骗攻击过程中是否存在ARP冲突问题。回想我前面贴过的ARP欺骗攻击，如果B的ARP Cache没有受到影响，就不会出现ARP冲突。如果Z向A发送数据段时，企图解析A的MAC地址或者路由器的MAC地址，必然会发送ARP请求包，但这个ARP请求包中源IP以及源MAC都是Z的，自然不会引起ARP冲突。而ARP Cache只会被ARP包改变，不受IP包的影响，所以可以肯定地说，IP欺骗攻击过程中不存在ARP冲突。相反，如果Z修改了自己的IP，这种ARP冲突就有可能出现，示具体情况而言。攻击中连带B一起攻击了，其目的无非是防止B干扰了攻击过程， 如果B本身已经down掉，那是再好不过。
9. fakeip曾经沸沸扬扬了一下，我对之进行端口扫描，发现其tcp端口113是接收入连接的。和IP欺骗等没有直接联系，和安全校验是有关系的。当然，这个东西并不如其名所暗示，对IP层没有任何动作。
10. 关于预测ISN，我想到另一个问题。就是如何以第三方身份切断 A与B之间的TCP连接，实际上也是预测sequence number的问题。尝试过，也很困难。如果Z是A与B之间的路由器，就不用说了； 或者Z动用了别的技术可以监听到A与B之间的通信，也容易些；否则预测太难。作者在3中提到连接A的25端口，可我想不明白的是513端口的ISN和25端口有什么关系？看来需要看看TCP/IP内部实现的源代码。
未雨绸缪
虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的，比如删除所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/ inetd.conf文件，使得RPC机制无法运做，还可以杀掉portmapper等等。设置路由器，过滤来自外部而信源地址却是内部IP的报文。 cisio公司的产品就有这种功能。不过路由器只防得了外部入侵，内部入侵呢？
TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规可循，可以修改与ISN相关的代码，选择好的算法，使得攻击者难以找到规律。估计Linux下容易做到，那solaris、irix、hp-unix还有aix呢？sigh
虽然写的不怎么，但总算让大家了解了一下IP欺骗攻击，我实验过预测sequence number，不是ISN，企图切断一个TCP连接，感觉难度很大。作者建议要找到规律，不要盲目预测，这需要时间和耐心。现在越发明白什么是那种锲而不舍永远追求的精神，我们所向往的传奇故事背后有着如此沉默的艰辛和毅力，但愿我们学会的是这个，而不是浮华与喧嚣。一个现成的bug足以让你取得root 权限，可你在做什么，你是否明白？我们太肤浅了

IP欺骗是在服务器不存在任何漏洞的情况下，通过利用TCP/IP协议本身存在的一些缺陷进行攻击的方法，这种方法具有一定的难度，需要掌握有关协议的工作原理和具体的实现方法。
IP欺骗是在服务器不存在任何漏洞的情况下，通过利用TCP/IP协议本身存在的一些缺陷进行攻击的方法，这种方法具有一定的难度，需要掌握有关协议的工作原理和具体的实现方法。
一、TCP、IP协议的简单说明：
   TCP/IP（传输入控制地议/网际协议）是一种网络通信协议，它规范了网络上的所有通信设备，尤其是一个主机与另一个主机之间的数据传输格式以及传送方式，TCP/IP是因特网的基础协议。要想当黑客就有必要了解TCP/IP协议。
   在数据传送中，可以形象的理解为有两个信封：TCP和IP信封。要送递的信息被分成若干段，每一段塞入一个TCP信封，并在该信封上记录有分段号的信息，再将TCP信封塞入IP大信封里，发送到网上。在扫收端，一个TCP软件包收集信封，抽出数据，按发送关的顺序还原，并加以校验，若发现差错，TCP将会要求重发。因此TCP/IP在因特网中几乎可以无差错地传送数据。对因特网用户来说，并不需要了解网络协议的整个结构，仅需了解IP的地址格式，即可与世界各地进行网络通信。
   1、TCP/IP的层次结构：
   TCP/IP协议组中的协议因特网上数据的传输，提供了几乎目前上网所用到的所有服务，在TCP/IP协议组中有两种协议：
   （1）网络层协议：
   网络层协议管理离散计算机间的数据传输。这些协议用户注意不到，它们是个系统表层以下工作的。比如，IP协议为用户和远程计算机提供了信息包的传输方法，它是在许多信息的基础上工作的。比如机器的IP地址。在机器的IP地址和其他信息的基础上，IP确保信息包正确达到目的机器。通过这一过程，IP和其他网络层的协议一共同用于数据传输。如果没有网络工具，用户就看不到在系统里工作的机器的IP。
   （2）应用层协议：
   相反地，应用层协议是可以看到的。比如，文件传输协议（FTP)是可以看到的。用户为了传一个文件而请求一个和其他计算机连接，连接建立后，就开始传输文件，在传输时，用户和远程计算机的交换的一部分是能看到的。
   2、TCP/IP的重要协议：
   （1）地址解析协议（ARP)：
   在网络上进行通信的主机必须知道对方主机的硬件地址（网卡的物理地址）。地址解析协议的目的就是将IP地址映射成物理地址。这在使信息通过网络时特别重要。一个消息（或者其他数据）在发送之前，被打包到IP包里面，或适合于因特网传输信息块中，其中包括两台计算机的IP地址。 在这个包离开发送计算机前，必须找到目标的硬件地址，这就是ARP最初到达的地方。
   一个ARP请求消息会在网上广播。请求由一个进程接收，它回复物理地址。这个回复消息由原先的那台发送广播消息的计算机接收，从而传输过程就开始了。
   ARP的设计包括一个缓存。为了减少广播量，ARP在缓存中保存地址映射以备后用。ARP级存保存有动态项和静态项。动态项是自动加和删除的，静态项则是保留在缓存(Cache)中，直到计算机重启为止。ARP缓存总是为本地子网保留硬件广播地址(0xffffffffffffh)用为一个永久项，此项使主机能够接收ARP广播。当果看存时，该项不会显示。每条ARP缓存记录的生命周期为10分种，如果2分种未用则删除。缓存容量满时，删除最早的记录，但是，缓存也引起了安全性的问题。那就是缓存溢出——这不是本文的讨论内容，所以就不说了。
   （2）因特网控制消息协议（ICMP）：
   因特网控制消息协议（ICMP)用于报告错误并IP对消息进行控制。IP运用互联组管理协议(IGMP)来告诉路由器某一网络上指导组中有哪些可用主机。
   以ICMP实现的最著名的网络工具是Ping。Ping通常用来判断一台远程机器是否正开着，数据包从用户的计算机发到远程计算机，这些包通常返回到用户的计算机，如果数据据包没有返回到用户计算机，Ping程序就产生一个表示远程计算机关机的错误消息。
二、IP攻击中如何建立建立信任关系：
   IP欺骗是利用了主机之间的正常信任关系来发动的，所以在介绍IP欺骗攻击之前，先说明一下什么是信任关系，信任关系是如何建立的。
   在UNIX主机中，存在着一种特殊的信任关系。假设有两台主机hosta和hostb，上面各有一个帐户Tomy，在使用中会发现，在hosta上使时要输入在hosta上的相应帐户Tomy，在hostb上使用时必须输入用hostb的帐户Tomy，主机hosta和hostb把Tomy当做两个互不相关的用户，这显然有些不便。为了减少这种不便，可以在主机hosta和hostb中建立起两个帐户的相互信任关系。在hosta和hostb上Tomy的home目录中创建.rhosts文件。从主机hosta上，在你的home目录中用命令echo "hostb Tomy">~/.hosts实现hosta&hostb的信任关系，这时，你从主机hostb上，你就能毫无阻碍的使用任何以r开头的远程调用命令，如：rlogin、rsh、rcp等，而无需输入口令验证就可以直接登录到hosta上。这些命令将充许以地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。这里的信任关系是基于IP的地址的。
   当/etc/hosts.equiv中出现一个 "+"或者$HOME/.rhosts中出现 "++"时，表明任意地址的主机可以无须口令验证而直接使用r命令登陆此主机，这是十分危险的，而这偏偏又是某些管理员不重视的地方。下面我们看一下rlogin的用法。
   rlogin是一个简单的/服务器程序，它的作用和telnet差不多，不同的是telnet完全依赖口令验证，而rlogin是基于信任关系的验证，其次到才进行口令验证的，它使用了TCP协议进行传输。当用户从一台主机登陆到另一台主机上，并且，如果目录主机信任它，rlogin将允许在不应答口令的性况下使用目标主机上的资源，安全验证完便基于源主机的IP地址。因此，根据以上所举的例子，我们能利用rlogin来从hostb远程登陆到hosta，而且不会被提示出入口令！
三、IP欺骗的理论根据：
   看到上面的说明，每一个黑客都会想到：既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以使用rlogin登录到hosta，而不需任何口令验证。这就是IP欺骗的最根本的理论依据。但是，事情远没有想像中那么简单！虽然可以通过编程的方法随意改变发出的包的IP地址，但TCP协议对IP进行了进一步的封装，它是一种相对可靠的协议，不会让黑客轻易得逞。下面看一下正常的TCP/IP会话的过程：
   由于TCP是面向连接的协议，所以在双方正式传输数据之前，需要用"三次握手"来建立一个稳重的连接。假设还是hosta和hostb两台主机进行通信，hostb首先发送带有SYN标志的数据段通知hosta建立TCP连接，TCP的可靠性就是由数据包中的多位控制字来提供的，其中最重要的是数据序列SYN和数据确认标志ACK。B将TCP报头中的SYN设为自己本次连接中的初始值（ISN）。
   当hosta收到hostb的SYN包之后，会发送给hostb一个带有SYN+ACK标志的数据段，告之自己的ISN，并确认hostb发送来的第一个数据段，将ACK设置成hostb的SYN+1。
   当hostb确认收到hosta的SYN+ACK数据包后，将ACK设置成hosta的SYN+1。Hosta收到hostb的ACK后，连接成功建立，双方可以正式伟输数据了。
   看了这个过程，我们就很容易想到，假如想冒充hostb对hosta进行攻击，就要先使用hostb的IP地址发送SYN标志给hosta，但是当hosta收到后，并不会把SYN+ACK发送到我们的主机上，而是发送到真正的hostb上去，这时IP欺骗就失败了，因为hostb根本没发送发SYN请请。所以如果要冒充hostb，首先要让hostb失去工作能力，也就是所谓的拒绝服务攻击，设法让让hostb瘫痪。
   可是这样还是远远不够的，最难的就是要对hosta进行攻击，必须知道hosta使用的ISN。TCP使用的ISN是一个32位的计数器，从0到4,294,967,295。TCP为每一个连接选择一个初始序列号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同的系统有着不同的算法。理解TCP如何分配ISN以及ISN随时间的变化规律，对于成功的进行IP欺骗攻击是很重要的！ISN约每秒增加128 000，如果有连接出现，每次连接将把计数器的数值增加64,000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32小时复位一次。这所以这样，是因为它有利于最大于度地减少"旧有"连接的信息干扰当前连接的机会。如果初始序例号是随意选择的，那么不能保证现有序例号是不同于先前的。假设有这样一种情况，在一个路由回路中的数据包最终跳出循环，回到了"旧有"的连接，显然这会对现有连接产生干扰。预测出攻击目标的序例号非常困难，而且各个系统也不想同，在Berkeley系统，最初的序列号变量由一个常数每秒加1产生，等加到这个常数的一半时，就开始一次连接。这样，如果开始啊一个合法连接，并观察到一个ISN正在使用，便可以进行预测，而且这样做有很高的可信度。现在我们假设黑客已经使用某种方法，能预测出ISN。在这种情况下，他就可以将ACK序便号送给hosta，这时连接就建立了。
四、IP欺骗攻击过程解析：
   IP欺骗由若干步骤组成，下面是它的详细步骤：
   1、使被信任主机失去工作能力：
   为了伪装成被信任主机而不露陷，需要使其完全失去工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正的被信任主机不能收到任何有效的网络数据，否则将会被揭穿。有许多方法可以达到这个目的（如SYN洪水攻击、TTN、Land等攻击）。现假设你已经使用某种方法使得被信任的主机完全失去了工作能力。
   2、序例号取样和猜测：
   前面讲到了，对目标主机进行攻击，必须知道目标主机的数据包序例号。通常如何进行预测呢？往往先与被攻击主机的一个端口（如：25）建立起正常连接。通常，这个过程被重复N次，并将目标主机最后所发送的ISN存储起来。然后还需要进行估计他的主机与被信任主机之间的往返时间，这个时间是通过多次统计平均计算出来的。往返连接增加64,000.现在就可以估计出ISN的大小是128,000乘以往返时间的一半，如果此时目标主机刚刚建立过一个连接，那么再加上64 ,00。
   一旦估计出ISN的大小，就开始着手进行攻击，当然你的虚假TCP数据包进入目标主机时，如果刚才估计的序例号是准确的，进入的数据将被放置在目标机的缓冲区中。但是在实际攻击过程中往往没这么幸运，如果估计序例号的小于正确值，那么将被放弃。而如果估计的序例号大于正确值，并且在缓冲区的大小之内，那么该数据被认为是一个未来的数据，TCP模块将等待其他缺少的数据。如果估计序例号大于期待的数字且不在缓冲区之内，TCP将会放弃它并返回一个期望获得的数据序例号。
   你伪装成被信任的主机IP，此时该主机仍然处在瘫痪状态，然后向目标主机的513端口（rlogin）发送连接请求。目标主机立刻对连接请求作出反应，发更新SYN+ACK确认包给被信任主机，因为此时被信任主机仍然处于瘫痪状态，它当然无法收到这个包，紧接关攻击者向目标主机发送ACK数据包，该包使用前面估计的序例号加1。如果攻击者估计正确的话，目标主机将会接收该ACK。连接就正式建立起了，可以开始数据传输了。这时就可以将cat ‘++'>>~/.rhosts命令发送过去，这样完成本次攻击后就可以不用口令直接登录到目标主机上了。如果达到这一步，一次完整的IP欺骗就算完成了，黑客已经在目标机上得到了一个Shell权限，接下来就是利用系统的溢出或错误配置扩大权限，当然黑客的最终目的还是获得服务器的root权限。
   3、总结一下IP攻击的整个步骤：
   （1）首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰；
   （2）然后连接到目标机的某个端口来猜测ISN基值和增加规律；
   （3）接下来把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接；
   （4）然后等待目标机发送SYN+ACK包给已经瘫痪的主机；
   （5）最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的目标机的ISN+1；
   （6）连接建立，发送命令请求。
五、具体实现过程：
   对于以上的理论，如何才能真正实现呢？现在我们共同看一下一次完整的IP欺骗攻击过程，并且将理论上升到实际应用中。下面的攻击过程是利用tcpdump记录下来的，tcpdump是一个sniffer程序，用来纪录系统的各种细节问题，因此需要先说明一下有关纪录环境：
   Server:一台运行Solaris的Sparc工作站；
   x-terminal：被攻击的服务器；
   IP欺骗攻击开始于1994年12月25日 14:09:32 米特尼客的第一轮探测来自于一台名叫toad.com的主机，这显然是他事先攻破的一台系统，用来做跳板的，他在toad.com上运行了以下命令：
   toad.com#finger -l @target
   toad.com#finger -l @server
   toad.com#finger -l root@server
   toad.com#finger -l @x-terminal
   toad.com#shownoumt -e x-terminal
   toad.com#rpcinfo -p x-terminal
   toad.com#finger -l root@x-terminal
   这些命令的的作用显然是在探测攻击目标之间潜在的信任关系，因为只有在发现了信任关系才能进行IP欺骗。Showmount和rcpinfo的源端口探测又说明了攻击者已经得到了root权限。
   大约在六分钟之后，tcpdump检测到一阵急风暴雨般的TCP SYN包从130.92.6.7猛烈的涌向Server 的513（rlogin）端口。很显然，这是在使用SYN洪水拒绝服务攻击server，目的当然是让他失去工作能力了。这也就是前面提到的第一步。因为513端口是以root权限运行的，所以现在server.login可以被用来作为进行IP欺骗的伪造源了。当然，这个的谓的攻击方IP130.92.6.97 也是一个伪造的IP，这样它才不会接收到server的回应包。
   相关数据纪录：

       14:18:22:516699 130.92.6.97.600 > server.login: S 1382726960:1382726960(0) win 4096
       14:18:22:566069 130.92.6.97.600 > server.login: S 1382726961:1382726961(0) win 4096
       14:18:22:744477 130.92.6.97.600 > server.login: S 1382726962:1382726962(0) win 4096
       14:18:22:830111 130.92.6.97.600 > server.login: S 1382726963:1382726963(0) win 4096
       14:18:22:886128 130.92.6.97.600 > server.login: S 1382726964:1382726964(0) win 4096
       14:18:22:943514 130.92.6.97.600 > server.login: S 1382726965:1382726965(0) win 4096
       14:18:23:002715 130.92.6.97.600 > server.login: S 1382726966:1382726966(0) win 4096
       14:18:23:103275 130.92.6.97.600 > server.login: S 1382726967:1382726967(0) win 4096
       14:18:23:162781 130.92.6.97.600 > server.login: S 1382726968:1382726968(0) win 4096
       14:18:23:225384 130.92.6.97.600 > server.login: S 1382726969:1382726969(0) win 4096
       14:18:23:282625 130.92.6.97.600 > server.login: S 1382726970:1382726960(0) win 4096
       14:18:23:342657 130.92.6.97.600 > server.login: S 1382726971:1382726961(0) win 4096
       14:18:23:403083 130.92.6.97.600 > server.login: S 1382726972:1382726962(0) win 4096
       14:18:23:903700 130.92.6.97.600 > server.login: S 1382726973:1382726963(0) win 4096
       14:18:24:003252 130.92.6.97.600 > server.login: S 1382726974:1382726964(0) win 4096
       14:18:24:084827 130.92.6.97.600 > server.login: S 1382726975:1382726965(0) win 4096
       14:18:24:142774 130.92.6.97.600 > server.login: S 1382726976:1382726966(0) win 4096
       14:18:24:203195 130.92.6.97.600 > server.login: S 1382726977:1382726967(0) win 4096
       14:18:24:294773 130.92.6.97.600 > server.login: S 1382726978:1382726968(0) win 4096
       14:18:24:382841 130.92.6.97.600 > server.login: S 1382726979:1382726969(0) win 4096
       14:18:24:443309 130.92.6.97.600 > server.login: S 1382726980:1382726960(0) win 4096
       14:18:24:643249 130.92.6.97.600 > server.login: S 1382726981:1382726961(0) win 4096
       14:18:24:906546 130.92.6.97.600 > server.login: S 1382726982:1382726962(0) win 4096
       14:18:24:963786 130.92.6.97.600 > server.login: S 1382726983:1382726963(0) win 4096
       14:18:25:022853 130.92.6.97.600 > server.login: S 1382726984:1382726964(0) win 4096
       14:18:25:153536 130.92.6.97.600 > server.login: S 1382726985:1382726965(0) win 4096
       14:18:25:400869 130.92.6.97.600 > server.login: S 1382726986:1382726966(0) win 4096
       14:18:25:483127 130.92.6.97.600 > server.login: S 1382726987:1382726967(0) win 4096
       14:18:25:599582 130.92.6.97.600 > server.login: S 1382726988:1382726968(0) win 4096
       14:18:25:653131 130.92.6.97.600 > server.login: S 1382726989:1382726969(0) win 4096

   server 在连接序例被塞满之前对前八个SYN请求做出了SYN+ACK回应，一旦没有ACK包来回应它，server将周期性地重发SYN+ACK包。接下来有20个从apollo.it.luc.edu发出的连接请求被送往x-terminal.shell，这些连接请求的目的是预测server的TCP序例号生成器的行为。可以注意到每一个连接的初始序例号的增量提示了SYN包不是通过系统的TCP执行产生的。攻击者立刻用RST包来断开x-terminal发来的SYN+ACK包，以使x-terminal的连接序例不至于被塞满，因为毕竟x-terminal是黑客所要攻击的目标，x-terminal发出的每一个SYN+ACK包的初始序例号都比前一个增加了128,000字节。
   Server.lgoin的伪造SYN请求发往了x-terminal.shell。推断x-terminal可信任server，所所以会响应来自server 或者伪装成server的主机的所有请求。然后就是，x-terminal用SYN+ACK包回应了server的连接请求，这时因为server仍然处于瘫痪状态，所以它当然不会响应任何来自于x-terminal的包。正常情况下SYN+ACK包是用来期待正确的ACK确认包的，但是攻击者能够预测出x-terminal的TCP序例号生成器的包含SYN+ACK的序例号，所以他不用看到SYN+ACK就可以发出回应的ACK包，如下：
14:18:36.245045 server.login > x-terminal.shell: S 1382727010(0) win 4906
14:18:36.755522 server.login >x-terminal.shell .ack 2024384001 win 4096
   到目前为止，伪装成server的主机已经通过 IP欺骗与x-terminal.shell建立了一次正常的rsh连接，这时一旦x-terminal做出任何应答，攻击者就可以维持连接并且发送出数据，下面他发送了如下数据：
14:18:37.265404 server.login > x-terminal.shell: P 0:2(2)ack 1 win 4906
14:18:37.775872 server.login > x-terminal.shell: P 2:7(5)ack 1 win 4906
14:18:37.287404 server.login > x-terminal.shell: P 7:32(25)ack 1 win 4906
   这些数据是由tcpdump记录下来的，对应的命令其实就是：server#rsh x-terminal "echo ++ >>/.rhosts"
   即在x-terminal上建立起使得任何主机都可以无须口令而行访问的/.rhosts文件，然后断开连接。
   上面的整个过程看上去好像很多，但实际从发送第一个数据包，到发送最后一个数据包仅仅用了16秒！这一过程只不过是运行了事先写好的程序而已。
六、防备IP欺骗攻击：
   对于来自网络外部的欺骗，防范的方法很简单，只需要在局域网的对外路由器上加一个限制设置就可以实现了，在路由器的设置里面禁止运行声称来自于网络内部的信息包。
   对于来自局域网外部的IP欺骗攻击的防范则可以使用防火墙进行防范，但是对于来自内部的攻击通过设置防火墙则起步到什么作用，这个时候应该注意内部网的路由器是否支持内部接口。如果路由器支持内部网络子网的两个接口，则必须提高警惕，因为它很容易受到IP欺骗，这也正是为什么Web服务器放在防火墙外面更加安全的原因。
   通过对信息包的监控来检查IP欺骗攻击将是非常有效的方法，使用netlog等信息包检查工具对信息的源地址和目的地址进行验证，如果发现了信息包来自两个一上的不同地址，则说明系统有可能受到了IP欺骗攻击，防火墙外面正有黑客试图入侵系统。

包"（Packet）是TCP/IP协议通信传输中的数据单位，一般也称"数据包"。有人说，局域网中传输的不是"帧"（Frame）吗？没错，但是TCP/IP协议是工作在OSI模型第三层（网络层）、第四层（传输层）上的，而帧是工作在第二层（数据链路层）。上一层的内容由下一层的内容来传输，所以在局域网中，"包"是包含在"帧"里的。

包"（Packet）是TCP/IP协议通信传输中的数据单位，一般也称"数据包"。有人说，局域网中传输的不是"帧"（Frame）吗？没错，但是TCP/IP协议是工作在OSI模型第三层（网络层）、第四层（传输层）上的，而帧是工作在第二层（数据链路层）。上一层的内容由下一层的内容来传输，所以在局域网中，"包"是包含在"帧"里的。
OSI（Open System Interconnection，开放系统互联）模型是由国际标准化组织（ISO）定义的标准，它定义了一种分层体系结构，在其中的每一层定义了针对不同通信级别的协议。OSI模型有7层，1-7层分别是：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。OSI模型在逻辑上可分为两个部分：低层的1-4层关注的是原始数据的传输；高层的5-7层关注的是网络下的应用程序。

    我们可以用一个形象一些的例子对数据包的概念加以说明：我们在邮局邮寄产品时，虽然产品本身带有自己的包装盒，但是在邮寄的时候只用产品原包装盒来包装显然是不行的。必须把内装产品的包装盒放到一个邮局指定的专用纸箱里，这样才能够邮寄。这里，产品包装盒相当于数据包，里面放着的产品相当于可用的数据，而专用纸箱就相当于帧，且一个帧中只有一个数据包。

    "包"听起来非常抽象，那么是不是不可见的呢？通过一定技术手段，是可以感知到数据包的存在的。比如在Windows 2000 Server中，把鼠标移动到任务栏右下角的网卡图标上（网卡需要接好双绞线、连入网络），就可以看到"发送：××包，收到：××包"的提示，如图1所示。通过数据包捕获软件，也可以将数据包捕获并加以分析。
数据包的结构非常复杂，不是三言两语能够说清的，在这里我们主要了解一下它的关键构成就可以了，这对于理解TCP/IP协议的通信原理是非常重要的。数据包主要由"目的IP地址"、"源IP地址"、"净载数据"等部分构成

数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址；源IP地址是说明这个数据包是发自哪里的，相当于发信人地址；而净载数据相当于信件的内容。

    正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。我们在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。理解数据包，对于网络管理的网络安全具有至关重要的意义。

网络数据截获方法
作者：浩海孤帆@bbs.net130.com

网络数据截获方法
网络数据包截获机制是网络入侵检测系统的基础组件。一般指通过截获整个网络的所有信息流量，根据信息源主机，目标主机，服务协议端口等信息简单过滤掉不关心的数据，再将用户感兴趣的数据发送给更高层的应用程序进行分析。流程图如下：
图5.1 网络数据截获流程
一方面要，网络截取模块要能保证截取到所有网络上的数据包，尤其是检测到被分片的数据包(这可能蕴涵着攻击)。
另方面，数据截取模块截取数据包的效率也是很重要的。
它直接影响整个入侵检测系统的运行速度。
5.2各种数据流截获方法
5.2.1 利用广播截取网络数据流
数据包的截取技术是依赖网卡的。而网卡可以通过广播监听到以太网络上的数据包，这就是数据包截取技术的基础。
要想截获不是给自己数据流，就必须绕开系统正常工作的机制，直接通过网卡的混杂模式，使之可以接受目标地址不是自己的MAC地址的数据包，直接访问数据链路层，取数据。
5.2.2各系统截取数据包机制
Linux系统为用户提供一种在理论上是数据链路层的，基于网卡驱动程序的，可以不用操作系统自身协议栈的接口（也称套接字）-SockPacket. 这种套接字可以从数据链路层（就是网线）上直接截取所有链路层数据包。而Unix则是通过Libpcap库直接与内核交互，实现网络截取。如：Libpcap，Tcpdump等。

BSD Packet Filter(BPF)机制来截取数据包。BPF可以说是各系统中最棒的截获方式。很多开源嗅探工具就是基于它而开发的。Windows系统也有类似情况，如：win系列上有*.vxd (VxD,VirtualDeviceDrive)（packet*.vxd） 和 网卡.sys（为网卡芯片所开发）来驱动网卡截取数据包。
5.2.3 BPF过滤
Unix&Linux系统有两种数据链路层截取机制，分别是BSD系列系统(NetBSD,OpenBSD,FreeBSD等)的BPF和Linux的SOCKET_PACKET。
BPF过滤
BPF主要由两大部分组成：
网络头接口
数据包过滤器。
网络头接口从网络设备驱动程序处收集数据包复制(在提交给系统协议栈之前)，并传递给正在截获数据包的应用程序。而过滤器决定某一数据包是被接受或者拒绝以及如果被接受，数据包的那些部分会被复制给应用程序。

如：TCPDump注：（1）, Libpcap, Sniffer, eeye,等。一般情况，网卡驱动通过网卡把网络上的电平信号转化成数据包，再把截取到的数据传给系统自带的协议栈，然后在交由系统处理。这种方式与Unix下的BPF不同，它使得网卡驱动在把从网络截取的数据提交给系统之前，先拷贝一份给BPF，再由BPF 决定是否符合规则，不符合则丢弃，符合则存放到内存指定区，等待处理。
当然，BPF对网卡驱动交给系统协议栈的数据包不做任何干涉。
注1：TCPDump是伯克利实验室的Van Jacobson,Craig Leres和Stenven McCanne为分析TCP性能问题而写的跨平台的监听程序。
5.3基于Libpcap库的通用数据截获技术
Libpcap是用户态的数据包截获API函数接口，有独立和可移植行。最初，Libpcap是为了强大的，健壮TCPDump而编写的。它支持BPF过滤机制。Snort就是依赖于libpcap库进行数据包截取的程序之一(还有Ethereal,eeye等)。 它的优点是可以从任何Unix内核平台上截取数据包，而不考虑什么芯片类型的网卡和驱动程序。更重要的是，它可以使开发人员编写自己的解码，显示，记录等程序。
5.2.2.1 Libpcap库主要函数
1. 头文件特征（pcap.h）
Libpcap库(数据流存储头文件 的结构定义如下图)。前半部分是数据库存储文件头的数据结构定义。

图5.5 头文件(pcap.h)定义部分截图
后半部是信息包头文件数据结构定义。
2. 打开并读取设备，设置过滤器部分
与最基层设备打交道。有三个函数：pcap_read() pcap_open_live 和 pcap_setfilter()
3. 脱机方式截取数据
及读取存储在营盘上的文件。有两个Pcap_open_offline()和Pcap_offline_read().
4. 本地网络设置检测部分
主要检测网络设置的函数有几个，包括Pcap_lookupdev() pcap_lookupnet()等。 因为前面提过，Libpcap可移植。所以各种平台的Socket借口都是兼容的。
5. 主程序
都在Pcap.c中，该文件定义了读取数据的统一接口函数pcap_next()，调用此函数获取下一个数据包。
5.4 Snort调用Libpcap
在Snort运行启动时，Snort调用Libpcap库。当调用libpcap函数并初始化接口时，进入截取数据的循环模块—pcap循环。
在这个主循环—Pcaploop()，当网卡从网络介质上接收数据开始，Pcap_loop便对采集来的每个数据包都ProcessPacket()函数处理，如果出错或达到指定的处理包数就退出。(相关代码如下)
具体就是，Pcap_loop()最后根据数据链路类型来选择数据包，然后由ProcessPacket()来进行协议分析，实施信息流的匹配。
如：ProcessPaceket函数调用DecodeEthPkt函数来对以太网数据进行解码。其中DecodeEthPkt()函数再调用子函数Decode IP来对IP协议进行解码......
Libpcap函数功能列举：
Pcap_open_live(): 获得数据包通用句柄。
Pcap_lookup_dev(): 指向网络可用设备。
Pcap_looknet(): 初步判断网络设备本身的IP & netmask。
Pcap_Dump(): 基于TCPDump的，将网络数据包保存成文件。
程序部分代码如下：
/* Read all packets on the device. Continue until cnt packets read */

pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user)
{
register int n;

for (; { //for循环
if (p->sf.rfile != NULL) {
n = pcap_offline_read(p, cnt, callback, user);
} else {
// XXX keep reading until we get something
do {
n = p->read_op(p, cnt, callback, user);
} while (n == 0);
}
if (n <= 0)
return (n); //遇错误，返回
if (cnt > 0) {
cnt -= n;
if (cnt <= 0)
return (0); //达到制定数量，返回
}
}
}
pcap_loop()有几个重要参数：
参数是pv.pkt_cnt，表示总共要捕捉的包的数量。在main函数初始化时，缺省设置为-1，成为永真循环，一直捕捉直到程序退出：
/* initialize the packet counter to loop forever */
pv.pkt_cnt = -1;
或者在命令行中设置要捕捉的包的数量。ParseCmdLine函数的调用中，遇到参数n，重新设定pv.pkt_cnt的值。ParseCmdLine中相关语句如下：
case 'n': /* grab x packets and exit */
pv.pkt_cnt = atoi(optarg);
Snort.c主程序中，Pcap_loop()函数有两种提取数据模式：
打开网卡和打开文件。
/* get the device file descriptor，打开网卡接口 */

pd = pcap_open_live(pv.interface, snaplen,
pv.promisc_flag ? PROMISC : 0, READ_TIMEOUT, errorbuf);
或者
/* open the file，打开文件 */

pd = pcap_open_offline(intf, errorbuf);
只有以上两种返回情况。
Snort把真实的数据包存储在内存中指针指向的数据结构中。在decode.h中，定义了所有Snort要使用到的数据结构，包括Tcp,Ip,以太桢，vlan桢等。Snort的这些结构将指针指向截获的包上来代表相应的协议。如指向以太桢用数据指针使用_EthrHdr头。
数据结构：
Typededf struct _etherhdr
{
u_int8_t ether_dst[6]; //目的地址;
u_int8_t ether_src[6]; //源地址;
u_int16_t ether_type; //协议类型;
}
typedef struct _Tcphdr
{
u_int16_t th_sport; //源端口;
u_int16_t th_dport; //目端口;
u_int32_t th_seq; //sequence number;
u_int32_t th_ack; //acknowledgement number;
u_int8_t th_offx2; //offset and reserved;
u_int8_t th_flags; //flags;
u_int16_t th_win; //window;
u_int16_t th_sum; //checksum;
u_int16_t th_urp; //urgent pointer;
}
小结
网络数据的截取是入侵检测系统的基础。本节从网络数据截取机制开始讲，讲述了常见的两种机制。重点讲述了Libpcap库的网络数据包截取机制。

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。
 在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

█网络监听的原理

    Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

    Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

    当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

    在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

    在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

    现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

下面是一些系统中的著名的监听程序，你可以自己尝试一下的。

• Windows9x/NT　NetXRay
• DEC Unix/Linux　 Tcpdump
• Solaris　 Nfswatch
• SunOS　Etherfind

　
█检测网络监听的方法

    网络监听在上述中已经说明了。它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是黑客所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

    网络监听说真的，是很难被发现的。当运行监听程序的主机在进听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。

    一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

    上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。

    如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

    另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

    在Unix中可以通过ps -aun或ps -augx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多黑客在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

    还有一种方式，这种方式要靠足够的运气。因为往往黑客所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。

    有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

    抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的黑客去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。但SSH并不就是完全安全的。至少现在我们可以这么大胆评论了。

█著名的Sniffer监听工具

    Sniffer之所以著名，权因它在很多方面都做的很好，它可以监听到（甚至是听、看到）网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的，包括以太网Ethernet、TCP/IP、ZPX等等，也可以是集中协议的联合体系。

    Sniffer是个非常之危险的东西，它可以截获口令，可以截获到本来是秘密的或者专用信道内的信息，截获到信用卡号，经济数据，E-mail等等。更加可以用来攻击与己相临的网络。

    Sniffer可以使用在任何一种平台之中。而现在使用Sniffer也不可能别发现，这个足够是对网络安全的最严重的挑战。

    在Sniffer中，还有"热心人"编写了它的Plugin，称为TOD杀手，可以将TCP的连接完全切断。总之Sniffer应该引起人们的重视，否则安全永远做不到最好。

http://anheng.com.cn/news/22/357.html 

长期以来，缓冲区溢出已经成为系统软件和应用软件的一个问题。利用计算机缓冲区溢出漏洞进行攻击的最著名的案例是莫里斯蠕虫，发生在1988年11月。但即使其危害人所共知，缓冲区溢出仍然是现在入侵的一个重要手段。那么，什么是缓冲区溢出？为什么即使这个问题和解决办法众所周知，仍然是程序存在弱点的重要原因？普通用户该怎么做，才能彻底将入侵者阻止在他们的计算机系统之外？本文就将回答这些问题。

长期以来，缓冲区溢出已经成为系统软件和应用软件的一个问题。利用计算机缓冲区溢出漏洞进行攻击的最著名的案例是莫里斯蠕虫，发生在1988年11月。但即使其危害人所共知，缓冲区溢出仍然是现在入侵的一个重要手段。那么，什么是缓冲区溢出？为什么即使这个问题和解决办法众所周知，仍然是程序存在弱点的重要原因？普通用户该怎么做，才能彻底将入侵者阻止在他们的计算机系统之外？本文就将回答这些问题。

　　缓冲区溢出的概念

　　缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里......

　　堆栈溢出(又称缓冲区溢出)攻击是最常用的黑客技术之一。我们知道，UNIX本身以及其上的许多应用程序都是用C语言编写的，C语言不检查缓冲区的边界。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。这称作"堆栈溢出或缓冲溢出"。

　　一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误。但是，如果输入的数据是经过"黑客"精心设计的，覆盖堆栈的数据恰恰是黑客的入侵程序代码，黑客就获取了程序的控制权。如果该程序恰好是以root运行的，黑客就获得了root权限，然后他就可以编译黑客程序、留下入侵后门等，实施进一步地攻击。按照这种原理进行的黑客入侵就叫做"堆栈溢出攻击"。

　　为了便于理解，我们不妨打个比方。缓冲区溢出好比是将十磅的糖放进一个只能装五磅的容器里。一旦该容器放满了，余下的部分就溢出在柜台和地板上，弄得一团糟。由于计算机程序的编写者写了一些编码，但是这些编码没有对目的区域或缓冲区——五磅的容器——做适当的检查，看它们是否够大，能否完全装入新的内容——十磅的糖，结果可能造成缓冲区溢出的产生。如果打算被放进新地方的数据不适合，溢得到处都是，该数据也会制造很多麻烦。但是，如果缓冲区仅仅溢出，这只是一个问题。到此时为止，它还没有破坏性。当糖溢出时，柜台被盖住。可以把糖擦掉或用吸尘器吸走，还柜台本来面貌。与之相对的是，当缓冲区溢出时，过剩的信息覆盖的是计算机内存中以前的内容。除非这些被覆盖的内容被保存或能够恢复，否则就会永远丢失。

　　在丢失的信息里有能够被程序调用的子程序的列表信息，直到缓冲区溢出发生。另外，给那些子程序的信息——参数——也丢失了。这意味着程序不能得到足够的信息从子程序返回，以完成它的任务。就像一个人步行穿过沙漠。如果他依赖于他的足迹走回头路，当沙暴来袭抹去了这些痕迹时，他将迷失在沙漠中。这个问题比程序仅仅迷失方向严重多了。入侵者用精心编写的入侵代码(一种恶意程序)使缓冲区溢出，然后告诉程序依据预设的方法处理缓冲区，并且执行。此时的程序已经完全被入侵者操纵了。

　　入侵者经常改编现有的应用程序运行不同的程序。例如，一个入侵者能启动一个新的程序，发送秘密文件(支票本记录，口令文件，或财产清单)给入侵者的电子邮件。这就好像不仅仅是沙暴吹了脚印，而且后来者也会踩出新的脚印，将我们的迷路者领向不同的地方，他自己一无所知的地方。

　　缓冲区溢出的处理

　　你屋子里的门和窗户越少，入侵者进入的方式就越少......

　　由于缓冲区溢出是一个编程问题，所以只能通过修复被破坏的程序的代码而解决问题。如果你没有源代码，从上面"堆栈溢出攻击"的原理可以看出，要防止此类攻击，我们可以：

　　1、开放程序时仔细检查溢出情况，不允许数据溢出缓冲区。由于编程和编程语言的原因，这非常困难，而且不适合大量已经在使用的程序；

　　2、使用检查堆栈溢出的编译器或者在程序中加入某些记号，以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序，对新程序来讲，需要修改编译器；

　　3、经常检查你的操作系统和应用程序提供商的站点，一旦发现他们提供的补丁程序，就马上下载并且应用在系统上，这是最好的方法。但是系统管理员总要比攻击者慢一步，如果这个有问题的软件是可选的，甚至是临时的，把它从你的系统中删除。举另外一个例子，你屋子里的门和窗户越少，入侵者进入的方式就越少。

　　冠群金辰的eTrust Access Control则提供了另一种切实可行、易于实施并且可以完全防止"堆栈溢出"的方法。eTrust Access Control中包含STOP(Stack Overflov Protection，堆栈溢出的保护)技术，可以阻止这种入侵，防止用户获得root权限。如上所述，这种攻击必须要求数据溢出后覆盖已知的特定位置。程序运行时，DSX截获运行代码，STOP重新定位系统栈，这样攻击者溢出的数据就不能覆盖他想要覆盖的内容，攻击就不能成功。

近十年来，随着计算机网络规模的不断扩大，大型互联网络（如Internet）的迅猛发展，路由技术在网络技术中已逐渐成为关键部分，路由器也随之成为最重要的网络设备。用户的需求推动着路由技术的发展和路由器的普及，人们已经不满足于仅在本地网络上共享信息，而希望最大限度地利用全球各个地区、各种类型的网络资源。而在目前的情况下，任何一个有一定规模的计算机网络（如企业网、校园网、智能大厦等），无论采用的是快速以大网技术、FDDI技术，还是ATM技术，都离不开路由器，否则就无法正常运作和管理.
近十年来，随着计算机网络规模的不断扩大，大型互联网络（如Internet）的迅猛发展，路由技术在网络技术中已逐渐成为关键部分，路由器也随之成为最重要的网络设备。用户的需求推动着路由技术的发展和路由器的普及，人们已经不满足于仅在本地网络上共享信息，而希望最大限度地利用全球各个地区、各种类型的网络资源。而在目前的情况下，任何一个有一定规模的计算机网络（如企业网、校园网、智能大厦等），无论采用的是快速以大网技术、FDDI技术，还是ATM技术，都离不开路由器，否则就无法正常运作和管理。

1 网络互连

把自己的网络同其它的网络互连起来，从网络中获取更多的信息和向网络发布自己的消息，是网络互连的最主要的动力。网络的互连有多种方式，其中使用最多的是网桥互连和路由器互连。

1.1 网桥互连的网络

网桥工作在OSI模型中的第二层，即链路层。完成数据帧（frame）的转发，主要目的是在连接的网络间提供透明的通信。网桥的转发是依据数据帧中的源地址和目的地址来判断一个帧是否应转发和转发到哪个端口。帧中的地址称为"MAC"地址或"硬件"地址，一般就是网卡所带的地址。

网桥的作用是把两个或多个网络互连起来，提供透明的通信。网络上的设备看不到网桥的存在，设备之间的通信就如同在一个网上一样方便。由于网桥是在数据帧上进行转发的，因此只能连接相同或相似的网络（相同或相似结构的数据帧），如以太网之间、以太网与令牌环（token ring）之间的互连，对于不同类型的网络（数据帧结构不同），如以太网与X.25之间，网桥就无能为力了。

网桥扩大了网络的规模，提高了网络的性能，给网络应用带来了方便，在以前的网络中，网桥的应用较为广泛。但网桥互连也带来了不少问题：一个是广播风暴，网桥不阻挡网络中广播消息，当网络的规模较大时（几个网桥，多个以太网段），有可能引起广播风暴（broadcasting storm），导致整个网络全被广播信息充满，直至完全瘫痪。第二个问题是，当与外部网络互连时，网桥会把内部和外部网络合二为一，成为一个网，双方都自动向对方完全开放自己的网络资源。这种互连方式在与外部网络互连时显然是难以接受的。问题的主要根源是网桥只是最大限度地把网络沟通，而不管传送的信息是什么。

1.2 路由器互连网络

路由器互连与网络的协议有关，我们讨论限于TCP／IP网络的情况。

路由器工作在OSI模型中的第三层，即网络层。路由器利用网络层定义的"逻辑"上的网络地址（即IP地址）来区别不同的网络，实现网络的互连和隔离，保持各个网络的独立性。路由器不转发广播消息，而把广播消息限制在各自的网络内部。发送到其他网络的数据茵先被送到路由器，再由路由器转发出去。

IP路由器只转发IP分组，把其余的部分挡在网内（包括广播），从而保持各个网络具有相对的独立性，这样可以组成具有许多网络（子网）互连的大型的网络。由于是在网络层的互连，路由器可方便地连接不同类型的网络，只要网络层运行的是IP协议，通过路由器就可互连起来。

网络中的设备用它们的网络地址（TCP／IP网络中为IP地址）互相通信。IP地址是与硬件地址无关的"逻辑"地址。路由器只根据IP地址来转发数据。IP地址的结构有两部分，一部分定义网络号，另一部分定义网络内的主机号。目前，在Internet网络中采用子网掩码来确定IP地址中网络地址和主机地址。子网掩码与IP地址一样也是32bit，并且两者是一一对应的，并规定，子网掩码中数字为"1"所对应的IP地址中的部分为网络号，为"0"所对应的则为主机号。网络号和主机号合起来，才构成一个完整的IP地址。同一个网络中的主机IP地址，其网络号必须是相同的，这个网络称为IP子网。

通信只能在具有相同网络号的IP地址之间进行，要与其它IP子网的主机进行通信，则必须经过同一网络上的某个路由器或网关（gateway）出去。不同网络号的IP地址不能直接通信，即使它们接在一起，也不能通信。

路由器有多个端口，用于连接多个IP子网。每个端口的IP地址的网络号要求与所连接的IP子网的网络号相同。不同的端口为不同的网络号，对应不同的IP子网，这样才能使各子网中的主机通过自己子网的IP地址把要求出去的IP分组送到路由器上。

2 路由原理

当IP子网中的一台主机发送IP分组给同一IP子网的另一台主机时，它将直接把IP分组送到网络上，对方就能收到。而要送给不同IP于网上的主机时，它要选择一个能到达目的子网上的路由器，把IP分组送给该路由器，由路由器负责把IP分组送到目的地。如果没有找到这样的路由器，主机就把IP分组送给一个称为"缺省网关（default gateway）"的路由器上。"缺省网关"是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器端口的IP地址。

路由器转发IP分组时，只根据IP分组目的IP地址的网络号部分，选择合适的端口，把IP分组送出去。同主机一样，路由器也要判定端口所接的是否是目的子网，如果是，就直接把分组通过端口送到网络上，否则，也要选择下一个路由器来传送分组。路由器也有它的缺省网关，用来传送不知道往哪儿送的IP分组。这样，通过路由器把知道如何传送的IP分组正确转发出去，不知道的IP分组送给"缺省网关"路由器，这样一级级地传送，IP分组最终将送到目的地，送不到目的地的IP分组则被网络丢弃了。

目前TCP／IP网络，全部是通过路由器互连起来的，Internet就是成千上万个IP子网通过路由器互连起来的国际性网络。这种网络称为以路由器为基础的网络（router based network），形成了以路由器为节点的"网间网"。在"网间网"中，路由器不仅负责对IP分组的转发，还要负责与别的路由器进行联络，共同确定"网间网"的路由选择和维护路由表。

路由动作包括两项基本内容：寻径和转发。寻径即判定到达目的地的最佳路径，由路由选择算法来实现。由于涉及到不同的路由选择协议和路由选择算法，要相对复杂一些。为了判定最佳路径，路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法而不尽相同。路由选择算法将收集到的不同信息填入路由表中，根据路由表可将目的网络与下一站（nexthop）的关系告诉路由器。路由器间互通信息进行路由更新，更新维护路由表使之正确反映网络的拓扑变化，并由路由器根据量度来决定最佳路径。这就是路由选择协议（routing protocol），例如路由信息协议（RIP）、开放式最短路径优先协议（OSPF）和边界网关协议（BGP）等。

转发即沿寻径好的最佳路径传送信息分组。路由器首先在路由表中查找，判明是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。这就是路由转发协议（routed protocol）。

路由转发协议和路由选择协议是相互配合又相互独立的概念，前者使用后者维护的路由表，同时后者要利用前者提供的功能来发布路由协议数据分组。下文中提到的路由协议，除非特别说明，都是指路由选择协议，这也是普遍的习惯。

3 路由协议

典型的路由选择方式有两种：静态路由和动态路由。

静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变作出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。

动态路由是网络中的路由器之间相互通信，传递路由信息，利用收到的路由信息更新路由器表的过程。它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化，路由选择软件就会重新计算路由，并发出新的路由更新信息。这些信息通过各个网络，引起各路由器重新启动其路由算法，并更新各自的路由表以动态地反映网络拓扑变化。动态路由适用于网络规模大、网络拓扑复杂的网络。当然，各种动态路由协议会不同程度地占用网络带宽和CPU资源。

静态路由和动态路由有各自的特点和适用范围，因此在网络中动态路由通常作为静态路由的补充。当一个分组在路由器中进行寻径时，路由器首先查找静态路由，如果查到则根据相应的静态路由转发分组；否则再查找动态路由。

根据是否在一个自治域内部使用，动态路由协议分为内部网关协议（IGP）和外部网关协议（EGP）。这里的自治域指一个具有统一管理机构、统一路由策略的网络。自治域内部采用的路由选择协议称为内部网关协议，常用的有RIP、OSPF；外部网关协议主要用于多个自治域之间的路由选择，常用的是BGP和BGP-4。下面分别进行简要介绍。

3.1 RIP路由协议

RIP协议最初是为Xerox网络系统的Xerox parc通用协议而设计的，是Internet中常用的路由协议。RIP采用距离向量算法，即路由器根据距离选择路由，所以也称为距离向量协议。路由器收集所有可到达目的地的不同路径，并且保存有关到达每个目的地的最少站点数的路径信息，除到达目的地的最佳路径外，任何其它信息均予以丢弃。同时路由器也把所收集的路由信息用RIP协议通知相邻的其它路由器。这样，正确的路由信息逐渐扩散到了全网。

RIP使用非常广泛，它简单、可靠，便于配置。但是RIP只适用于小型的同构网络，因为它允许的最大站点数为15，任何超过15个站点的目的地均被标记为不可达。而且RIP每隔30s一次的路由信息广播也是造成网络的广播风暴的重要原因之一

面向连接的TCP
"面向连接"就是在正式通信前必须要与对方建立起连接。比如你给别人打电话，必须等线路接通了、对方拿起话筒才能相互通话。

面向连接的TCP
"面向连接"就是在正式通信前必须要与对方建立起连接。比如你给别人打电话，必须等线路接通了、对方拿起话筒才能相互通话。
TCP（Transmission Control
Protocol，传输控制协议）是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次"对话"才能建立起来，其中的过程非常复杂，我们这里只做简单、形象的介绍，你只要做到能够理解这个过程即可。我们来看看这三次对话的简单过程：主机A向主机B发出连接请求数据包："我想给你发数据，可以吗？"，这是第一次对话；主机B向主机A发送同意连接和要求同步（同步就是两台主机一个在发送，一个在接收，协调工作）的数据包："可以，你什么时候发？"，这是第二次对话；主机A再发出一个数据包确认主机B的要求同步："我现在就发，你接着吧！"，这是第三次对话。三次"对话"的目的是使数据包的发送和接收同步，经过三次"对话"之后，主机A才向主机B正式发送数据。

TCP协议能为应用程序提供可靠的通信连接，使一台计算机发出的字节流无差错地发往网络上的其他计算机，对可靠性要求高的数据通信系统往往使用TCP协议传输数据。

我们来做一个实验，用计算机A（安装Windows 2000
Server操作系统）从"网上邻居"上的一台计算机B拷贝大小为8,644,608字节的文件，通过状态栏右下角网卡的发送和接收指标就会发现：虽然是数据流是由计算机B流向计算机A，但是计算机A仍发送了3,456个数据包，如图2所示。这些数据包是怎样产生的呢？因为文件传输时使用了TCP/IP协议，更确切地说是使用了面向连接的TCP协议，计算机A接收数据包的时候，要向计算机B回发数据包，所以也产生了一些通信量。

如果事先用网络监视器监视网络流量，就会发现由此产生的数据流量是9,478,819字节，比文件大小多出10.96%（如图3所示），原因不仅在于数据包和帧本身占用了一些空间，而且也在于TCP协议面向连接的特性导致了一些额外的通信量的产生。
面向非连接的UDP协议
"面向非连接"就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。这与现在风行的手机短信非常相似：你在发短信的时候，只需要输入对方手机号就OK了。
UDP（User Data Protocol，用户数据报协议）是与TCP相对应的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去！
UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。比如，我们经常使用"ping"命令来测试两台主机之间TCP/IP通信是否正常，其实"ping"命令的原理就是向对方主机发送UDP数据包，然后对方主机确认收到数据包，如果数据包是否到达的消息及时反馈回来，那么网络就是通的。例如，在默认状态下，一次"ping"操作发送4个数据包（如图2所示）。大家可以看到，发送的数据包数量是4包，收到的也是4包（因为对方主机收到后会发回一个确认收到的数据包）。这充分说明了UDP协议是面向非连接的协议，没有建立连接的过程。正因为UDP协议没有连接的过程，所以它的通信效果高；但也正因为如此，它的可靠性不如TCP协议高。QQ就使用UDP发消息，因此有时会出现收不到消息的情况。