(转)IP欺骗技术介绍--BIOS短句的解释--加强Windows内的清理磁碟功能

Home Home

引用 | 编辑期仔
2005-04-10 17:22

楼主

IP欺骗技术介绍
==========================
即使是很好的实现了TCP/IP协议，由于它本身有着一些不安全的地方，从而可以对TCP/IP网络进行攻击
。这些攻击包括序列号欺骗，路由攻击，源地址欺骗和授权欺骗。本文除了介绍IP欺骗攻击方法外，还介绍怎样防止这个攻击
手段。
上述攻击是建立在攻击者的计算机（包括路由）是连在INTERNET上的。这里的攻击方法是针对TCP/IP本身的缺陷的，而不是
某一具体的实现。

实际上，IP 欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关系的破坏。

IP欺骗原理

信任关系
在Unix 领域中，信任关系能够很容易得到。假如在主机A和B上各有一个帐户，在使用当中会发现，在主机A上使用时需要输入
在A上的相应帐户，在主机B上使用时必须输入在B上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了
减少这种不便，可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上你的home目录中创建.rhosts 文
件。从主机A上，在你的home目录中输入'echo " B username " ＞～/.rhosts' ；从主机B上，在你的home目录中输入'echo " A
username " ＞～/.rhosts' 。至此，你能毫无阻碍地使用任何以r＊开头的远程调用命令,如：rlogin，rcall，rsh等，而无口令验证的
烦恼。这些命令将允许以地址为基础的验证，或者允许或者拒绝以IP地址为基础的存取服务。

这里的信任关系是基于IP地址的。

Rlogin
Rlogin 是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台主机登录到另一台主机上，并且，如果目标主
机信任它，Rlogin 将允许在不应答口令的情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以
上所举的例子，我们能利用Rlogin 来从B远程登录到A，而且不会被提示输入口令。

TCP 序列号预测
IP只是发送数据包，并且保证它的完整性。如果不能收到完整的IP数据包，IP会向源地址发送一个ICMP 错误信息，希望重新处
理。然而这个包也可能丢失。由于IP是非面向连接的，所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去，而
不关心前一个和后一个数据包的情况。由此看出，可以对IP堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP地
址，也就是说，提供虚假的IP地址。

TCP提供可靠传输。可靠性是由数据包中的多位控制字来提供的，其中最重要的是数据序列和数据确认，分别用SYN和ACK来
表示。TCP 向每一个数据字节分配一个序列号，并且可以向已成功接收的、源地址所发送的数据包表示确认（目的地址ACK 所
确认的数据包序列是源地址的数据包序列，而不是自己发送的数据包序列）。ACK在确认的同时，还携带了下一个期望获得的
数据序列号。显然，TCP提供的这种可靠性相对于IP来说更难于愚弄。

序列编号、确认和其它标志信息
由于TCP是基于可靠性的，它能够提供处理数据包丢失，重复或是顺序紊乱等不良情况的机制。实际上，通过向所传送出的所
有字节分配序列编号，并且期待接收端对发送端所发出的数据提供收讫确认，TCP 就能保证可靠的传送。接收端利用序列号确
保数据的先后顺序，除去重复的数据包。TCP 序列编号可以看作是32位的计数器。它们从0至2^32－1 排列。每一个TCP连接
（由一定的标示位来表示）交换的数据都是顺序编号的。在TCP数据包中定义序列号（SYN）的标示位位于数据段的前端。确
认位（ACK）对所接收的数据进行确认，并且指出下一个期待接收的数据序列号。

TCP通过滑动窗口的概念来进行流量控制。设想在发送端发送数据的速度很快而接收端接收速度却很慢的情况下，为了保证数
据不丢失，显然需要进行流量控制，协调好通信双方的工作节奏。所谓滑动窗口，可以理解成接收端所能提供的缓冲区大
小。TCP利用一个滑动的窗口来告诉发送端对它所发送的数据能提供多大的缓冲区。由于窗口由16位bit所定义，所以接收端
TCP 能最大提供65535个字节的缓冲。由此，可以利用窗口大小和第一个数据的序列号计算出最大可接收的数据序列号。

其它TCP标示位有RST（连接复位，Reset the connection）、PSH（压入功能，Push function）和FIN （发送者无数据，No more
data from sender）。如果RST 被接收，TCP连接将立即断开。RST 通常在接收端接收到一个与当前连接不相关的数据包时被发
送。有些时候，TCP模块需要立即传送数据而不能等整段都充满时再传。一个高层的进程将会触发在TCP头部的PSH标示，并且
告诉TCP模块立即将所有排列好的数据发给数据接收端。FIN 表示一个应用连接结束。当接收端接收到FIN时，确认它，认为将
接收不到任何数据了。

TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。他使用TCP序列号预测，即使是没有从服务器得到任何响应，来
产生一个TCP包序列。这使得他能欺骗在本地网络上的主机。

通常TCP连接建立一个包括3次握手的序列。客户选择和传输一个初始的序列号（SEQ标志）ISN C，并设置标志位SYN=１，告
诉服务器它需要建立连接。服务器确认这个传输，并发送它本身的序列号ISN S，并设置标志位ACK，同时告知下一个期待获得
的数据序列号是ISN=1。客户再确认它。在这三次确认后，开始传输数据。整个过程如下所示：(C:Client Server)
C---S: SYN(ISN C )
S---C: SYN(ISN S ) ,ACK(ISN C )
C---S: ACK(ISN S )
C---S:数据或S---C:数据

也就是说对一个会话，C必须得到ISN S确认。ISN S可能是一个随机数。

了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种情况，当主机启动后序列编号初始化为
1，但实际上并非如此。初始序列号是由tcp_init函数确定的。ISN每秒增加128000，如果有连接出现，每次连接将把计数器的数
值增加64000。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32 小时复位一次。之所以这样，是因为这样
有利于最大限度地减少旧有连接的信息干扰当前连接的机会。这里运用了2MSL 等待时间的概念（不在本文讨论的范围之
内）。如果初始序列号是随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一种情况，在一个路由回路中的
数据包最终跳出了循环，回到了「旧有」的连接（此时其实是不同于前者的现有连接），显然会发生对现有连接的干扰。

假设一个入侵者X有一种方法，能预测ISN S。在这种情况下，他可能将下列序号送给主机T来模拟客户的真正的ISN S：
X---S: SYN(ISN X ) ,SRC = T
S---T: SYN(ISN S ) ,ACK(ISN X )
X---S: ACK(ISN S ) ,SRC =T

尽管消息S*T并不到X，但是X能知道它的内容，因此能发送数据。如果X要对一个连接实施攻击，这个连接允许执行命令，那
么另外的命令也能执行。

那么怎样产生随机的ISN？在Berkeley系统，最初的序列号变量由一个常数每秒加一产生，等到这个常数一半时，就开始一次连
接。这样，如果开始了一个合法连接，并观察到一个ISN S在用，便可以计算，有很高可信度，ISN S 用在下一个连接企图。

Morris 指出，回复消息
S---TYN(ISN S ) ,ACK(ISN X )
事实上并不消失，真正主机将收到它，并试图重新连接。这并不是一个严重的障碍。

Morris发现，通过模仿一个在T上的端口，并向那个端口请求一个连接，他就能产生序列溢出，从而让它看上去S*T消息丢失
了。另外一个方法，可以等待知道T关机或重新启动。

IP欺骗
IP欺骗由若干步骤组成，这里先简要地描述一下，随后再做详尽地解释

。先做以下假定：首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任的主机。黑客为了进行
IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然
后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一
个系统后门，以进行非授权****作。

使被信任主机丧失工作能力
一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替真正的被信任主机，他必须确保真正被
信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。有许多方法可以做到这些。这里介绍「TCP SYN 淹没」。

前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN请求。通常，服务器将向客户端发送SYN/ACK 信号。这里
客户端是由IP地址确定的。客户端随后向服务器发送ACK，然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行
SYN请求的最上限，它可以看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没有最终完成的连接，也
包括了那些已成功完成握手，但还没有被应用程序所调用的连接。如果达到队列的最上限，TCP将拒绝所有连接请求，直至处
理了部分连接链路。因此，这里是有机可乘的。

黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法的但是虚假的IP地址（可能使用该合
法IP地址的主机没有开机）。而受攻击的主机往往是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻
击主机的TCP：该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接（比如继续对该IP地址进行路由，
发出SYN/ACK数据包等等），直至确信无法连接。
当然，这时已流逝了大量的宝贵时间。值得注意的是，黑客们是不会使用那些正在工作的IP地址的，因为这样一来，真正IP持
有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而断开连接。前面所描述的过程可以表示为如下模式。
1 Z （X） ──－SYN ──－> B
　 Z （X） ──－SYN ──－＞ B
　 Z （X） ──－SYN ──－＞ B

2 X ＜──－SYN/ACK── B
X ＜──－SYN/ACK── B

3 X ＜──－ RST ──－ B
　　
在时刻1时，攻击主机把大批SYN 请求发送到受攻击目标（在此阶段，是那个被信任的主机），使其TCP队列充满。在时刻2
时，受攻击目标向它所相信的IP地址（虚假的IP）作出SYN/ACK反应。在这一期间，受攻击主机的TCP模块会对所有新的请求
予以忽视。不同的TCP 保持连接队列的长度是有所不同的。BSD 一般是5，Linux一般是6。使被信任主机失去处理新连接的能
力，所赢得的宝贵空隙时间就是黑客进行攻击目标主机的时间，这使其伪装成被信任主机成为可能。

序列号取样和猜测
前面已经提到，要对目标主机进行攻击，必须知道目标主机使用的数据包序列号。现在，我们来讨论黑客是如何进行预测的。
他们先与被攻击主机的一个端口（SMTP是一个很好的选择）建立起正常的连接。通常，这个过程被重复若干次，并将目标主
机最后所发送的ISN存储起来。黑客还需要估计他的主机与被信任主机之间的RTT时间（往返时间），这个RTT时间是通过多次
统计平均求出的。RTT 对于估计下一个ISN是非常重要的。前面已经提到每秒钟ISN增加128000，每次连接增加64000。现在就
不难估计出ISN的大小了，它是128000乘以RTT的一半，如果此时目标主机刚刚建立过一个连接，那么再加上一个64000。再估
计出ISN大小后，立即就开始进行攻击。当黑客的虚假TCP数据包进入目标主机时，根据估计的准确度不同，会发生不同的情
况：

如果估计的序列号是准确的，进入的数据将被放置在接收缓冲器以供使用。
如果估计的序列号小于期待的数字，那么将被放弃。
如果估计的序列号大于期待的数字，并且在滑动窗口（前面讲的缓冲）之内，那么，该数据被认为是一个未来的数据，TCP模
块将等待其它缺少的数据。
如果估计的序列号大于期待的数字，并且不在滑动窗口（前面讲的缓冲）之内，那么，TCP将会放弃该数据并返回一个期望获
得的数据序列号。下面将要提到，黑客的主机并不能收到返回的数据序列号。

1 Z（B） --──SYN ──－> A
2 B ＜──－SYN/ACK──－ A
3 Z（B） --──－ACK──－＞ A
4 Z（B） ──－--PSH──－＞ A

攻击者伪装成被信任主机的IP 地址，此时，该主机仍然处在停顿状态（前面讲的丧失处理能力），然后向目标主机的513端口
(rlogin的端口号)发送连接请求，如时刻1所示。在时刻2，目标主机对连接请求作出反应，发送SYN/ACK数据包给被信任主机
（如果被信任主机处于正常工作状态，那么会认为是错误并立即向目标主机返回RST数据包，但此时它处于停顿状态）。按照
计划，被信任主机会抛弃该SYN/ACK数据包。然后在时刻3，攻击者向目标主机发送ACK数据包，该ACK使用前面估计的序列
号加1（因为是在确认）。如果攻击者估计正确的话，目标主机将会接收该ACK 。至此，连接正式建立起来了。在时刻4，将开
始数据传输。一般地，攻击者将在系统中放置一个后门，以便侵入。经常会使用 ′cat ＋＋ >> ～/.rhosts′。之所以这样是因
为，这个办法迅速、简单地为下一次侵入铺平了道路。

一个和这种TCP序列号攻击相似的方法，是使用NETSTAT服务。在这个攻击中，入侵者模拟一个主机关机了。如果目标主机上
有NETSTAT，它能提供在另一端口上的必须的序列号。这取消了所有要猜测的需要。

典型攻击工具和攻击过程:hunt
　
防止的要点在于，这种攻击的关键是相对粗糙的初始序列号变量在Berkeley系统中的改变速度

。TCP协议需要这个变量每秒要增加25000次。Berkeley 使用的是相对比较慢的速度。但是，最重要的是，是改变间隔，而不是
速度。

我们考虑一下一个计数器工作在250000Hz时是否有帮助。我们先忽略其他发生的连接，仅仅考虑这个计数器以固定的频率改
变。

为了知道当前的序列号，发送一个SYN包，收到一个回复：
X---S: SYN(ISN X )
S---X: SYN(ISN S ) ,ACK(ISN X ) (1)
第一个欺骗包，它触发下一个序列号，能立即跟随服务器对这个包的反应：
X---S: SYN(ISN X ) ,SRC = T (2)
序列号ISN S用于回应了：
S---T: SYN(ISN S ) ,ACK(ISN X )
是由第一个消息和服务器接收的消息唯一决定。这个号码是X和S的往返精确的时间。这样，如果欺骗能精确地测量和产生这个
时间，即使是一个4-U时钟都不能击退这次攻击。

抛弃基于地址的信任策略
阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许＊类远程调用命令的使用；删除.rhosts 文件；清
空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。

进行包过滤
如果您的网络是通过路由器接入Internet 的，那么可以利用您的路由器来进行包过滤。确信只有您的内部LAN可以使用信任关
系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连
接的请求。

使用加密方法
阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。

使用随机化的初始序列号
黑客攻击得以成功实现的一个很重要的因素就是，序列号不是随机选择的或者随机增加的。Bellovin 描述了一种弥补TCP不足
的方法，就是分割序列号空间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增加，但是在这些序列
号空间中没有明显的关系。可以通过下列公式来说明：

ISN =M＋F（localhost，localport ，remotehost ，remoteport ）
M：4微秒定时器
F：加密HASH函数。

F产生的序列号，对于外部来说是不应该能够被计算出或者被猜测出的。Bellovin 建议F是一个结合连接标识符和特殊矢量（随
机数，基于启动时间的密码）的HASH函数。

BIOS短句的解释

　　开机自检时出现问题后会出现各种各样的英文短句，短句中包含了非常重要的信息，读懂这些信息可以自己解决一些小问题，可是这些英文难倒了一部分朋友，下面是一些常见的bios短句的解释，大家可以参考一下。

　　1.cmos battery failed

　　中文：cmos电池失效。

　　解释：这说明cmos电池已经快没电了，只要更换新的电池即可。

　　2.cmos check sum error－defaults loaded

　　中文：cmos 执行全部检查时发现错误，要载入系统预设值。

　　解释：一般来说出现这句话都是说电池快没电了，可以先换个电池试试，如果问题还是没有解决，那么说明cmos ram可能有问题，如果没过一年就到经销商处换一块主板，过了一年就让经销商送回生产厂家修一下吧！

　　3.press esc to skip memory test

　　中文：正在进行内存检查，可按esc键跳过。

　　解释：这是因为在cmos内没有设定跳过存储器的第二、三、四次测试，开机就会执行四次内存测试，当然你也可以按 esc 键结束内存检查，不过每次都要这样太麻烦了，你可以进入coms设置后选择bios featurs setup，将其中的quick power on self test设为enabled，储存后重新启动即可。

　　4.keyboard error or no keyboard present

　　中文：键盘错误或者未接键盘。

　　解释：检查一下键盘的连线是否松动或者损坏。

　　5.hard disk install failure

　　中文：硬盘安装失败。

　　解释：这是因为硬盘的电源线或数据线可能未接好或者硬盘跳线设置不当。你可以检查一下硬盘的各根连线是否插好，看看同一根数据线上的两个硬盘的跳线的设置是否一样，如果一样，只要将两个硬盘的跳线设置的不一样即可（一个设为master，另一个设为slave）。

　　6.secondary slave hard fail

　　中文：检测从盘失败

　　解释：可能是cmos设置不当，比如说没有从盘但在cmos里设为有从盘，那么就会出现错误，这时可以进入coms设置选择ide hdd auto detection进行硬盘自动侦测。也可能是硬盘的电源线、数据线可能未接好或者硬盘跳线设置不当，解决方法参照第5条。

　　7.floppy disk(s) fail 或 floppy disk(s) fail(80) 或floppy disk(s) fail(40)

　　中文：无法驱动软盘驱动器。

　　解释：系统提示找不到软驱，看看软驱的电源线和数据线有没有松动或者是接错，或者是把软驱放到另一台机子上试一试，如果这些都不行，那么只好再买一个了，好在软驱还不贵。

　　8.hard disk(s) diagnosis fail

　　中文：执行硬盘诊断时发生错误。

　　解释：出现这个问题一般就是说硬盘本身出现故障了，你可以把硬盘放到另一台机子上试一试，如果问题还是没有解决，只能去修一下了。

　　9.memory test fail

　　中文：内存检测失败。

　　解释：重新插拔一下内存条，看看是否能解决，出现这种问题一般是因为内存条互相不兼容,去换一条吧！

　　10.override enable－defaults loaded

　　中文：当前cmos设定无法启动系统，载入bios中的预设值以便启动系统。

　　解释：一般是在coms内的设定出现错误，只要进入coms设置选择load setup defaults载入系统原来的设定值然后重新启动即可。

　　11.press tab to show post screen

　　中文：按tab键可以切换屏幕显示。

　　解释：有的oem厂商会以自己设计的显示画面来取代bios预设的开机显示画面，我们可以按tab键来在bios预设的开机画面与厂商的自定义画面之间进行切换。

　　12.resuming from disk，press tab to show post screen

　　中文：从硬盘恢复开机，按tab显示开机自检画面）。

　　解释：这是因为有的主板的bios提供了suspend to disk(将硬盘挂起)的功能，如果我们用suspend to disk的方式来关机，那么我们在下次开机时就会显示此提示消息。

　　13.hareware monitor found an error，enter power management setup for details，press f1 to continue，del to enter setup

　　中文：监视功能发现错误，进入power management setup察看详细资料，按f1键继续开机程序，按del键进入coms设置。

　　解释：有的主板具备硬件的监视功能，可以设定主板与cpu的温度监视、电压调整器的电压输出准位监视和对各个风扇转速的监视，当上述监视功能在开机时发觉有异常情况，那么便会出现上述这段话，这时可以进入coms设置选择power management setup，在右面的**fan monitor**、**thermal monitor**和**voltage monitor**察看是哪部分发出了异常，然后再加以解决。

加强Windows内的清理磁碟功能

你有用过Windows内置的清理磁碟功能吗？它并不能完全地清洗Windows内不需要的档案，因为它的功能并隐藏了，使用本方法将会
把它被封印了的功能完全打开。

适用的视窗板本
除了Win95及Win98外，这个方法阶适用于Win98se、 Win2000、WinME、WinXP

Windows 本身的「清理磁碟」工具系非常好用的工具，但系单单执行「清理磁碟」并不能完全发挥「清理磁碟」的功能。

现在介绍两个「清理磁碟」工具的指令：
SAGESET 及 SAGERUN
首先在「开始」>「执行」然后输入：
cleanmgr /sageset:99
特别模式「清理磁碟」工具会执行，你会发觉多了很多清理选择，选择你想要清理的档案，通常全部都可以删除，完成你的选
择后再按「确定」。

这是小弟在洪爷看到的.虽然粉长.但是看完后感觉蛮不错.拿来这里分享!!