IP欺騙技術介紹
==========================
即使是很好的實現了TCP/IP協議，由於它本身有著一些不安全的地方，從而可以對TCP/IP網絡進行攻擊
。這些攻擊包括序列號欺騙，路由攻擊，源地址欺騙和授權欺騙。本文除了介紹IP欺騙攻擊方法外，還介紹怎樣防止這個攻擊
手段。
上述攻擊是建立在攻擊者的計算機（包括路由）是連在INTERNET上的。這裡的攻擊方法是針對TCP/IP本身的缺陷的，而不是
某一具體的實現。

實際上，IP 欺騙不是進攻的結果，而是進攻的手段。進攻實際上是信任關係的破壞。


IP欺騙原理


信任關係
在Unix 領域中，信任關係能夠很容易得到。假如在主機A和B上各有一個帳戶，在使用當中會發現，在主機A上使用時需要輸入
在A上的相應帳戶，在主機B上使用時必須輸入在B上的帳戶，主機A和B把你當作兩個互不相關的用戶，顯然有些不便。為了
減少這種不便，可以在主機A和主機B中建立起兩個帳戶的相互信任關係。在主機A和主機B上你的home目錄中創建.rhosts 文
件。從主機A上，在你的home目錄中輸入'echo " B username " ＞ ～/.rhosts' ；從主機B上，在你的home目錄中輸入'echo " A
username " ＞～/.rhosts' 。至此，你能毫無阻礙地使用任何以r＊開頭的遠程調用命令,如：rlogin，rcall，rsh等，而無口令驗證的
煩惱。這些命令將允許以地址為基礎的驗證，或者允許或者拒絕以IP地址為基礎的存取服務。

這裡的信任關係是基於IP地址的。


Rlogin
Rlogin 是一個簡單的客戶/服務器程序，它利用TCP傳輸。Rlogin 允許用戶從一台主機登錄到另一台主機上，並且，如果目標主
機信任它，Rlogin 將允許在不應答口令的情況下使用目標主機上的資源。安全驗證完全是基於源主機的IP 地址。因此，根據以
上所舉的例子，我們能利用Rlogin 來從B遠程登錄到A，而且不會被提示輸入口令。


TCP 序列號預測
IP只是發送數據包，並且保證它的完整性。如果不能收到完整的IP數據包，IP會向源地址發送一個ICMP 錯誤信息，希望重新處
理。然而這個包也可能丟失。由於IP是非面向連接的，所以不保持任何連接狀態的信息。每個IP數據包被鬆散地發送出去，而
不關心前一個和後一個數據包的情況。由此看出，可以對IP堆棧進行修改，在源地址和目的地址中放入任意滿足要求的IP地
址，也就是說，提供虛假的IP地址。

TCP提供可靠傳輸。可靠性是由數據包中的多位控制字來提供的，其中最重要的是數據序列和數據確認，分別用SYN和ACK來
表示。TCP 向每一個數據字節分配一個序列號，並且可以向已成功接收的、源地址所發送的數據包表示確認（目的地址ACK 所
確認的數據包序列是源地址的數據包序列，而不是自己發送的數據包序列）。ACK在確認的同時，還攜帶了下一個期望獲得的
數據序列號。顯然，TCP提供的這種可靠性相對於IP來說更難於愚弄。


序列編號、確認和其它標誌信息
由於TCP是基於可靠性的，它能夠提供處理數據包丟失，重複或是順序紊亂等不良情況的機制。實際上，通過向所傳送出的所
有字節分配序列編號，並且期待接收端對發送端所發出的數據提供收訖確認，TCP 就能保證可靠的傳送。接收端利用序列號確
保數據的先後順序，除去重複的數據包。TCP 序列編號可以看作是32位的計數器。它們從0至2^32－1 排列。每一個TCP連接
（由一定的標示位來表示）交換的數據都是順序編號的。在TCP數據包中定義序列號（SYN）的標示位位於數據段的前端。確
認位（ACK）對所接收的數據進行確認，並且指出下一個期待接收的數據序列號。

TCP通過滑動窗口的概念來進行流量控制。設想在發送端發送數據的速度很快而接收端接收速度卻很慢的情況下，為了保證數
據不丟失，顯然需要進行流量控制，協調好通信雙方的工作節奏。所謂滑動窗口，可以理解成接收端所能提供的緩衝區大
小。TCP利用一個滑動的窗口來告訴發送端對它所發送的數據能提供多大的緩衝區。由於窗口由16位bit所定義，所以接收端
TCP 能最大提供65535個字節的緩衝。由此，可以利用窗口大小和第一個數據的序列號計算出最大可接收的數據序列號。

其它TCP標示位有RST（連接復位，Reset the connection）、PSH（壓入功能，Push function）和FIN （發送者無數據，No more
data from sender）。如果RST 被接收，TCP連接將立即斷開。RST 通常在接收端接收到一個與當前連接不相關的數據包時被發
送。有些時候，TCP模塊需要立即傳送數據而不能等整段都充滿時再傳。一個高層的進程將會觸發在TCP頭部的PSH標示，並且
告訴TCP模塊立即將所有排列好的數據發給數據接收端。FIN 表示一個應用連接結束。當接收端接收到FIN時，確認它，認為將
接收不到任何數據了。

TCP序列號預測最早是由Morris對這一安全漏洞進行闡述的。他使用TCP序列號預測，即使是沒有從服務器得到任何響應， 來
產生一個TCP包序列。這使得他能欺騙在本地網絡上的主機。

通常TCP連接建立一個包括3次握手的序列。客戶選擇和傳輸一個初始的序列號（SEQ標誌）ISN C，並設置標誌位SYN=１，告
訴服務器它需要建立連接。服務器確認這個傳輸，並發送它本身的序列號ISN S，並設置標誌位ACK，同時告知下一個期待獲得
的數據序列號是ISN=1。客戶再確認它。在這三次確認後，開始傳輸數據。整個過程如下所示：(C:Client Server)
C---S: SYN(ISN C )
S---C: SYN(ISN S ) ,ACK(ISN C )
C---S: ACK(ISN S )
C---S:數據 或S---C:數據

也就是說對一個會話，C必須得到ISN S確認。ISN S可能是一個隨機數。

瞭解序數編號如何選擇初始序列號和如何根據時間變化是很重要的。似乎應該有這種情況，當主機啟動後序列編號初始化為
1，但實際上並非如此。初始序列號是由tcp_init函數確定的。ISN每秒增加128000，如果有連接出現，每次連接將把計數器的數
值增加64000。很顯然，這使得用於表示ISN的32位計數器在沒有連接的情況下每9.32 小時復位一次。之所以這樣，是因為這樣
有利於最大限度地減少舊有連接的信息干擾當前連接的機會。這裡運用了2MSL 等待時間的概念（不在本文討論的範圍之
內）。如果初始序列號是隨意選擇的，那麼不能保證現有序列號是不同於先前的。假設有這樣一種情況，在一個路由回路中的
數據包最終跳出了循環，回到了「舊有」的連接（此時其實是不同於前者的現有連接），顯然會發生對現有連接的干擾。

假設一個入侵者X有一種方法，能預測ISN S。在這種情況下，他可能將下列序號送給主機T來模擬客戶的真正的ISN S：
X---S: SYN(ISN X ) ,SRC = T
S---T: SYN(ISN S ) ,ACK(ISN X )
X---S: ACK(ISN S ) ,SRC =T

儘管消息S*T並不到X，但是X能知道它的內容，因此能發送數據。如果X要對一個連接實施攻擊，這個連接允許執行命令，那
麼另外的命令也能執行。

那麼怎樣產生隨機的ISN？在Berkeley系統，最初的序列號變量由一個常數每秒加一產生，等到這個常數一半時，就開始一次連
接。這樣，如果開始了一個合法連接，並觀察到一個ISN S在用，便可以計算，有很高可信度，ISN S 用在下一個連接企圖。

Morris 指出，回復消息
S---TYN(ISN S ) ,ACK(ISN X )
事實上並不消失，真正主機將收到它，並試圖重新連接。這並不是一個嚴重的障礙。

Morris發現，通過模仿一個在T上的端口，並向那個端口請求一個連接，他就能產生序列溢出，從而讓它看上去S*T消息丟失
了。另外一個方法，可以等待知道T關機或重新啟動。

IP欺騙
IP欺騙由若干步驟組成，這裡先簡要地描述一下，隨後再做詳盡地解釋

。先做以下假定：首先，目標主機已經選定。其次，信任模式已被發現，並找到了一個被目標主機信任的主機。黑客為了進行
IP欺騙，進行以下工作：使得被信任的主機喪失工作能力，同時采樣目標主機發出的TCP 序列號，猜測出它的數據序列號。然
後，偽裝成被信任的主機，同時建立起與目標主機基於地址驗證的應用連接。如果成功，黑客可以使用一種簡單的命令放置一
個系統後門，以進行非授權****作。


使被信任主機喪失工作能力
一旦發現被信任的主機，為了偽裝成它，往往使其喪失工作能力。由於攻擊者將要代替真正的被信任主機，他必須確保真正被
信任的主機不能接收到任何有效的網絡數據，否則將會被揭穿。有許多方法可以做到這些。這裡介紹「TCP SYN 淹沒」。

前面已經談到，建立TCP連接的第一步就是客戶端向服務器發送SYN請求。 通常，服務器將向客戶端發送SYN/ACK 信號。這裡
客戶端是由IP地址確定的。客戶端隨後向服務器發送ACK，然後數據傳輸就可以進行了。然而，TCP處理模塊有一個處理並行
SYN請求的最上限，它可以看作是存放多條連接的隊列長度。其中，連接數目包括了那些三步握手法沒有最終完成的連接，也
包括了那些已成功完成握手，但還沒有被應用程序所調用的連接。如果達到隊列的最上限，TCP將拒絕所有連接請求，直至處
理了部分連接鏈路。因此，這裡是有機可乘的。

黑客往往向被進攻目標的TCP端口發送大量SYN請求，這些請求的源地址是使用一個合法的但是虛假的IP地址（可能使用該合
法IP地址的主機沒有開機）。而受攻擊的主機往往是會向該IP地址發送響應的，但可惜是杳無音信。與此同時IP包會通知受攻
擊主機的TCP：該主機不可到達，但不幸的是TCP會認為是一種暫時錯誤，並繼續嘗試連接（比如繼續對該IP地址進行路由，
發出SYN/ACK數據包等等），直至確信無法連接。
當然，這時已流逝了大量的寶貴時間。值得注意的是，黑客們是不會使用那些正在工作的IP地址的，因為這樣一來，真正IP持
有者會收到SYN/ACK響應，而隨之發送RST給受攻擊主機，從而斷開連接。前面所描述的過程可以表示為如下模式。
1 Z （X） ──－SYN ──－> B
　 Z （X） ──－SYN ──－＞ B
　 Z （X） ──－SYN ──－＞ B

2 X ＜──－SYN/ACK── B
X ＜──－SYN/ACK── B

3 X ＜──－ RST ──－ B
　　
在時刻1時，攻擊主機把大批SYN 請求發送到受攻擊目標（在此階段，是那個被信任的主機），使其TCP隊列充滿。在時刻2
時，受攻擊目標向它所相信的IP地址（虛假的IP）作出SYN/ACK反應。在這一期間，受攻擊主機的TCP模塊會對所有新的請求
予以忽視。不同的TCP 保持連接隊列的長度是有所不同的。BSD 一般是5，Linux一般是6。使被信任主機失去處理新連接的能
力，所贏得的寶貴空隙時間就是黑客進行攻擊目標主機的時間，這使其偽裝成被信任主機成為可能。


序列號取樣和猜測
前面已經提到，要對目標主機進行攻擊，必須知道目標主機使用的數據包序列號。現在，我們來討論黑客是如何進行預測的。
他們先與被攻擊主機的一個端口（SMTP是一個很好的選擇）建立起正常的連接。通常，這個過程被重複若干次，並將目標主
機最後所發送的ISN存儲起來。黑客還需要估計他的主機與被信任主機之間的RTT時間（往返時間），這個RTT時間是通過多次
統計平均求出的。RTT 對於估計下一個ISN是非常重要的。前面已經提到每秒鐘ISN增加128000，每次連接增加64000。現在就
不難估計出ISN的大小了，它是128000乘以RTT的一半，如果此時目標主機剛剛建立過一個連接，那麼再加上一個64000。再估
計出ISN大小後，立即就開始進行攻擊。當黑客的虛假TCP數據包進入目標主機時，根據估計的準確度不同，會發生不同的情
況：

如果估計的序列號是準確的，進入的數據將被放置在接收緩衝器以供使用。
如果估計的序列號小於期待的數字，那麼將被放棄。
如果估計的序列號大於期待的數字，並且在滑動窗口（前面講的緩衝）之內，那麼，該數據被認為是一個未來的數據，TCP模
塊將等待其它缺少的數據。
如果估計的序列號大於期待的數字，並且不在滑動窗口（前面講的緩衝）之內，那麼，TCP將會放棄該數據並返回一個期望獲
得的數據序列號。下面將要提到，黑客的主機並不能收到返回的數據序列號。


1 Z（B） --──SYN ──－> A
2 B ＜──－SYN/ACK──－ A
3 Z（B） --──－ACK──－＞ A
4 Z（B） ──－--PSH──－＞ A

攻擊者偽裝成被信任主機的IP 地址，此時，該主機仍然處在停頓狀態（前面講的喪失處理能力），然後向目標主機的513端口
(rlogin的端口號)發送連接請求，如時刻1所示。在時刻2，目標主機對連接請求作出反應，發送SYN/ACK數據包給被信任主機
（如果被信任主機處於正常工作狀態，那麼會認為是錯誤並立即向目標主機返回RST數據包，但此時它處於停頓狀態）。按照
計劃，被信任主機會拋棄該SYN/ACK數據包。然後在時刻3，攻擊者向目標主機發送ACK數據包，該ACK使用前面估計的序列
號加1（因為是在確認）。如果攻擊者估計正確的話，目標主機將會接收該ACK 。至此，連接正式建立起來了。在時刻4，將開
始數據傳輸。一般地，攻擊者將在系統中放置一個後門，以便侵入。經常會使用 ′cat ＋＋ >> ～/.rhosts′。之所以這樣是因
為，這個辦法迅速、簡單地為下一次侵入舖平了道路。

一個和這種TCP序列號攻擊相似的方法，是使用NETSTAT服務。在這個攻擊中，入侵者模擬一個主機關機了。如果目標主機上
有NETSTAT，它能提供在另一端口上的必須的序列號。這取消了所有要猜測的需要。

典型攻擊工具和攻擊過程:hunt
　
防止的要點在於，這種攻擊的關鍵是相對粗糙的初始序列號變量在Berkeley系統中的改變速度

。TCP協議需要這個變量每秒要增加25000次。Berkeley 使用的是相對比較慢的速度。但是，最重要的是，是改變間隔，而不是
速度。

我們考慮一下一個計數器工作在250000Hz時是否有幫助。我們先忽略其他發生的連接，僅僅考慮這個計數器以固定的頻率改
變。

為了知道當前的序列號，發送一個SYN包，收到一個回復：
X---S: SYN(ISN X )
S---X: SYN(ISN S ) ,ACK(ISN X ) (1)
第一個欺騙包，它觸發下一個序列號，能立即跟隨服務器對這個包的反應：
X---S: SYN(ISN X ) ,SRC = T (2)
序列號ISN S用於回應了：
S---T: SYN(ISN S ) ,ACK(ISN X )
是由第一個消息和服務器接收的消息唯一決定。這個號碼是X和S的往返精確的時間。這樣，如果欺騙能精確地測量和產生這個
時間，即使是一個4-U時鐘都不能擊退這次攻擊。


拋棄基於地址的信任策略
阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎的驗證。不允許 ＊類遠程調用命令的使用；刪除.rhosts 文件；清
空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠程通信手段，如telnet、ssh、skey等等。


進行包過濾
如果您的網絡是通過路由器接入Internet 的，那麼可以利用您的路由器來進行包過濾。確信只有您的內部LAN可以使用信任關
係，而內部LAN上的主機對於LAN以外的主機要慎重處理。您的路由器可以幫助您過濾掉所有來自於外部而希望與內部建立連
接的請求。


使用加密方法
阻止IP欺騙的另一種明顯的方法是在通信時要求加密傳輸和驗證。當有多種手段並存時，可能加密方法最為適用。


使用隨機化的初始序列號
黑客攻擊得以成功實現的一個很重要的因素就是，序列號不是隨機選擇的或者隨機增加的。Bellovin 描述了一種彌補TCP不足
的方法，就是分割序列號空間。每一個連接將有自己獨立的序列號空間。序列號將仍然按照以前的方式增加，但是在這些序列
號空間中沒有明顯的關係。可以通過下列公式來說明：

ISN =M＋F（localhost，localport ，remotehost ，remoteport ）
M：4微秒定時器
F：加密HASH函數。

F產生的序列號，對於外部來說是不應該能夠被計算出或者被猜測出的。Bellovin 建議F是一個結合連接標識符和特殊矢量（隨
機數，基於啟動時間的密碼）的HASH函數。


BIOS短句的解釋

　　開機自檢時出現問題後會出現各種各樣的英文短句，短句中包含了非常重要的信息，讀懂這些信息可以自己解決一些小問題，可是這些英文難倒了一部分朋友，下面是一些常見的bios短句的解釋，大家可以參考一下。

　　1.cmos battery failed

　　中文：cmos電池失效。

　　解釋：這說明cmos電池已經快沒電了，只要更換新的電池即可。

　　2.cmos check sum error－defaults loaded

　　中文：cmos 執行全部檢查時發現錯誤，要載入系統預設值。

　　解釋：一般來說出現這句話都是說電池快沒電了，可以先換個電池試試，如果問題還是沒有解決，那麼說明cmos ram可能有問題，如果沒過一年就到經銷商處換一塊主板，過了一年就讓經銷商送回生產廠家修一下吧！

　　3.press esc to skip memory test

　　中文：正在進行內存檢查，可按esc鍵跳過。

　　解釋：這是因為在cmos內沒有設定跳過存儲器的第二、三、四次測試，開機就會執行四次內存測試，當然你也可以按 esc 鍵結束內存檢查，不過每次都要這樣太麻煩了，你可以進入coms設置後選擇bios featurs setup，將其中的quick power on self test設為enabled，儲存後重新啟動即可。

　　4.keyboard error or no keyboard present

　　中文：鍵盤錯誤或者未接鍵盤。

　　解釋：檢查一下鍵盤的連線是否鬆動或者損壞。

　　5.hard disk install failure

　　中文：硬盤安裝失敗。

　　解釋：這是因為硬盤的電源線或數據線可能未接好或者硬盤跳線設置不當。你可以檢查一下硬盤的各根連線是否插好，看看同一根數據線上的兩個硬盤的跳線的設置是否一樣，如果一樣，只要將兩個硬盤的跳線設置的不一樣即可（一個設為master，另一個設為slave）。

　　6.secondary slave hard fail

　　中文：檢測從盤失敗

　　解釋：可能是cmos設置不當，比如說沒有從盤但在cmos裡設為有從盤，那麼就會出現錯誤，這時可以進入coms設置選擇ide hdd auto detection進行硬盤自動偵測。也可能是硬盤的電源線、數據線可能未接好或者硬盤跳線設置不當，解決方法參照第5條。

　　7.floppy disk(s) fail 或 floppy disk(s) fail(80) 或floppy disk(s) fail(40)

　　中文：無法驅動軟盤驅動器。

　　解釋：系統提示找不到軟驅，看看軟驅的電源線和數據線有沒有鬆動或者是接錯，或者是把軟驅放到另一台機子上試一試，如果這些都不行，那麼只好再買一個了，好在軟驅還不貴。

　　8.hard disk(s) diagnosis fail

　　中文：執行硬盤診斷時發生錯誤。

　　解釋：出現這個問題一般就是說硬盤本身出現故障了，你可以把硬盤放到另一台機子上試一試，如果問題還是沒有解決，只能去修一下了。

　　9.memory test fail

　　中文：內存檢測失敗。

　　解釋：重新插拔一下內存條，看看是否能解決，出現這種問題一般是因為內存條互相不兼容,去換一條吧！

　　10.override enable－defaults loaded

　　中文：當前cmos設定無法啟動系統，載入bios中的預設值以便啟動系統。

　　解釋：一般是在coms內的設定出現錯誤，只要進入coms設置選擇load setup defaults載入系統原來的設定值然後重新啟動即可。

　　11.press tab to show post screen

　　中文：按tab鍵可以切換屏幕顯示。

　　解釋：有的oem廠商會以自己設計的顯示畫面來取代bios預設的開機顯示畫面，我們可以按tab鍵來在bios預設的開機畫面與廠商的自定義畫面之間進行切換。

　　12.resuming from disk，press tab to show post screen

　　中文：從硬盤恢復開機，按tab顯示開機自檢畫面）。

　　解釋：這是因為有的主板的bios提供了suspend to disk(將硬盤掛起)的功能，如果我們用suspend to disk的方式來關機，那麼我們在下次開機時就會顯示此提示消息。

　　13.hareware monitor found an error，enter power management setup for details，press f1 to continue，del to enter setup

　　中文：監視功能發現錯誤，進入power management setup察看詳細資料，按f1鍵繼續開機程序，按del鍵進入coms設置。

　　解釋：有的主板具備硬件的監視功能，可以設定主板與cpu的溫度監視、電壓調整器的電壓輸出准位監視和對各個風扇轉速的監視，當上述監視功能在開機時發覺有異常情況，那麼便會出現上述這段話，這時可以進入coms設置選擇power management setup，在右面的**fan monitor**、**thermal monitor**和**voltage monitor**察看是哪部分發出了異常，然後再加以解決。


加強Windows內的清理磁碟功能

你有用過Windows內置的清理磁碟功能嗎？它並不能完全地清洗Windows內不需要的檔案，因為它的功能並隱藏了，使用本方法將會
把它被封印了的功能完全打開。

適用的視窗板本
除了Win95及Win98外，這個方法階適用於Win98se、 Win2000、WinME、WinXP

Windows 本身的「清理磁碟」工具係非常好用的工具，但係單單執行「清理磁碟」並不能完全發揮「清理磁碟」的功能。

現在介紹兩個「清理磁碟」工具的指令：
SAGESET 及 SAGERUN
首先在「開始」>「執行」 然後輸入：
cleanmgr /sageset:99
特別模式「清理磁碟」工具會執行，你會發覺多了很多清理選擇，選擇你想要清理的檔案，通常全部都可以刪除，完成你的選
擇後再按「確定」。

這是小弟在洪爺看到的.雖然粉長.但是看完後感覺蠻不錯.拿來這裡分享!!