|
某些应用程序希望尽可能快的获得数据,因此这些程序将会付出额外的开销以便尽可能获得较高的处理速度。PUSH标志的设置实际上是通知TCP/IP堆栈收到数据以后,立即提交给应用层。但是如果你需要获得一个目录列表,就不能采用这种设置PUSH标志位的方式,因为当数据被传递给应用程序以后,这个会话就立即终止了。你无法得到一个交互式的过程,不过若你只是想copy一个文件到web服务器路径下面,以便通过浏览器下载这个文件的话,你就可以采用这种方法,因为整个过程无需任何交互,你就可以完成你的操作。(比如复制SAM文件到Web路径下)。
如果你需要一个会话能够保持,以便你获得一个交互式的过程,本文将介绍一组技术来实现这一目标,这里的窍门就是让目标主机忽略RESET数据包。此时让IDS以为它已经终止了会话,实际上攻击者依然工作得很好。
首先的有利条件是所有的IDS在响应攻击时都有延迟时间,因为IDS从抓取数据包,监测攻击,产生RESET包,到最后发出RESET整个过程都要消耗一定的时间。很多的IDS使用libpcap库来抓包,大部分IDS构建在类BSD的系统上,BSD系统下是利用BPF(Berkeley Packet Filters)进行抓包,BPF默认将会开一个很大的缓冲区,在一个典型的网络中,IDS发出RESET包的过程大约会延迟半秒。在Linux和Solaris平台上,性能要稍微好一点,但是肯定也有延迟时间。
要使得IDS发送的RESET失效,我们必须能够保证一个会话中出现攻击特征以后,其后续的包比RESET包先到达目的主机。下面我们将通过TCP工作机制来简要介绍如何实现让目标主机忽略IDS的RESET数据包。
在TCP中,大家都知道有一个Window窗的概念。系统接受到的数据中,有的已经被提交给应用程序,有的则存储在缓冲区中,等待被提交给应用程序,同时系统中还留有一个空的空间以便接受新到达的数据。如下所示:
所有在缓冲区中的数据和空区就构成了TCP中的窗,只有在窗体中的数据才可执行send或者receive或者reset操作,在窗体之前的数据(也就是上面说得已经提交给应用层的数据)是被处理过的数据,窗体之后的数据将被忽略。如上图所示,TCP堆栈同时还用一个当前指针CP来定位目前的空区的起始位置。CP指针指向下一个要收到的数据包的起始位置,其值等于确认值。比如当前的堆栈获得了76字节的数据,则确认值为77。如果下一个数据包到达,则CP指针将会移动到下一个数据包的结束位置+1的地方。
由于TCP中不一定所有的数据包都要按照顺序到达,因此,有可能后面的数据包比前面的数据包先到,比如从90字节开始的数据包可能比从77字节开始的数据包先到。所有到达的数据包都会进入缓冲区,不过CP指针将停留在77的位置直到从77字节开始的数据包到达,当从77字节开始的数据包到达以后,CP指针此时将会一次性的移动到所收的数据包末尾,如下图所示:
数据包到达后CP指针一次性移动
共3页: 上一页 [1] 2 [3] 下一页
|
