TCP會話劫持-MSE安全攻防培訓資料課件

TCP會話劫持1TCP會話劫持1會話劫持(SessionHijack)是一種結合了嗅探以及欺騙技術在內的攻擊手段。廣義上說，會話劫持就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流（例如基于TCP的會話）里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成有黑客聯(lián)系。什么是會話劫持2會話劫持(SessionHijack)是一種結合了嗅探以及TCP會話劫持的攻擊方式可以對基于TCP的任何應用發(fā)起攻擊，如HTTP、FTP、Telnet等。對于攻擊者來說，所必須要做的就是窺探到正在進行TCP通信的兩臺主機之間傳送的報文，這樣攻擊者就可以得知該報文的源IP、源TCP端口號、目的IP、目的TCP端號，從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣，在該合法主機收到另一臺合法主機發(fā)送的TCP報文前，攻擊者根據(jù)所截獲的信息向該主機發(fā)出一個帶有凈荷的TCP報文，如果該主機先收到攻擊報文，就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間?；驹?TCP會話劫持的攻擊方式可以對基于TCP的任何應用發(fā)起攻擊，帶有凈荷的攻擊報文能夠使被攻擊主機對下一個要收到的TCP報文中的確認序號（ackseq）的值的要求發(fā)生變化，從而使另一臺合法的主機向被攻擊主機發(fā)出的報文被被攻擊主機拒絕。TCP會話劫持攻擊方式的好處在于使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認證，從而使攻擊者直接進入對被攻擊主機的的訪問狀態(tài)，因此對系統(tǒng)安全構成的威脅比較嚴重。基本原理4帶有凈荷的攻擊報文能夠使被攻擊主機對下一個要收到的TCP報文所謂會話，就是兩臺主機之間的一次通訊。例如你Telnet到某臺主機，這就是一次Telnet會話；你瀏覽某個網(wǎng)站，這就是一次HTTP會話。而會話劫持（SessionHijack），就是結合了嗅探以及欺騙技術在內的攻擊手段。例如，在一次正常的會話過程當中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡意數(shù)據(jù)，也可以在雙方的會話當中進行簡聽，甚至可以是代替某一方主機接管會話。會話5所謂會話，就是兩臺主機之間的一次通訊。例如你Telnet到某我們可以把會話劫持攻擊分為兩種類型：1）中間人攻擊(ManInTheMiddle，簡稱MITM)2）注射式攻擊（Injection）并且還可以把會話劫持攻擊分為兩種形式：1）被動劫持2）主動劫持被動劫持實際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流，叢中獲得敏感數(shù)據(jù)而主動劫持則是將會話當中的某一臺主機“踢”下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如“catetc/master.passwd”（FreeBSD下的Shadow文件）。會話劫持6我們可以把會話劫持攻擊分為兩種類型：會話劫持6攻擊者首先需要使用ARP欺騙或DNS欺騙，將會話雙方的通訊流暗中改變，而這種改變對于會話雙方來說是完全透明的。不管是ARP欺騙，還是DNS欺騙，中間人攻擊都改變正常的通訊流，它就相當于會話雙方之間的一個透明代理，可以得到一切想知道的信息。中間人攻擊7攻擊者首先需要使用ARP欺騙或DNS欺騙，將會話雙方的通訊流嗅探器只能在共享網(wǎng)段內進行ARP欺騙可在交換式網(wǎng)絡中進行ARP欺騙主要以發(fā)送欺騙性ARP報文方式進行ARP欺騙8嗅探器只能在共享網(wǎng)段內進行ARP欺騙8DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為DNS服務器不可能將所有現(xiàn)存的域名或IP地址存儲在本身的存儲空間里。這就是為什么DNS服務器有一個高速緩沖存儲器（cache），它使得服務器可以存儲DNS記錄一段時間。事實上，一臺DNS服務器只會記錄本身所屬域中的授權的主機，如果它想要知道其它的，在自身域以外主機的信息，就必須向信息持有者（另一臺DNS服務器）發(fā)送請求，同時，為了不每次都發(fā)送請求，這臺DNS服務器會將另一臺DNS服務器返回的信息又記錄下來。DNS欺騙9DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為DNS欺騙9攻擊者有一臺Internet上的授權的DNS服務器攻擊者能修改這臺服務器的DNS記錄促使ＤＮＳ服務器進行遞歸查詢DNS欺騙10攻擊者有一臺Internet上的授權的DNS服務器DNS欺騙ARP欺騙冒充網(wǎng)關（局域網(wǎng)中）嗅探UDP53協(xié)議中的ＩＤ信息DNS欺騙其他方法11ARP欺騙冒充網(wǎng)關（局域網(wǎng)中）DNS欺騙其他方法11這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會話雙方的通訊流，而是在雙方正常的通訊流插入惡意數(shù)據(jù)。在注射式攻擊中，需要實現(xiàn)兩種技術：1）IP欺騙2）預測TCP序列號如果是UDP協(xié)議，只需偽造IP地址，然后發(fā)送過去就可以了，因為UDP沒有所謂的TCP三次握手，但基于UDP的應用協(xié)議有流控機制，所以也要做一些額外的工作。注射式攻擊12這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會對于IP欺騙，有兩種情況需要用到：1）隱藏自己的IP地址2）利用兩臺機器之間的信任關系實施入侵在Unix/Linux平臺上，可以直接使用Socket構造IP包，在IP頭中填上虛假的IP地址，但需要root權限在Windows平臺上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）IP欺騙13對于IP欺騙，有兩種情況需要用到：IP欺騙13根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)議進行通訊需要提供兩段序列號，TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊，系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時間或線性的產生這些值在通訊過程中，雙方的序列號是相互依賴的，這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議（具體可參見RFC793）如果攻擊者在這個時候進行簡單會話插入，結果肯定是失敗，因為會話雙方“不認識”攻擊者，攻擊者不能提供合法的序列號。所以，會話劫持的關鍵是預測正確的序列號，攻擊者可以采取嗅探技術獲得這些信息TCP會話劫持14根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)議進行通訊需要提供兩段在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：SEQ：當前數(shù)據(jù)包中的第一個字節(jié)的序號

ACK：期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號TCP協(xié)議的序列號15在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：TCP協(xié)議的序S_SEQ：將要發(fā)送的下一個字節(jié)的序號

S_ACK：將要接收的下一個字節(jié)的序號

S_WIND：接收窗口

//以上為服務器（Server）C_SEQ：將要發(fā)送的下一個字節(jié)的序號

C_ACK：將要接收的下一個字節(jié)的序號

C_WIND：接收窗口

//以上為客戶端（Client）雙方進行一次正常連接16S_SEQ：將要發(fā)送的下一個字節(jié)的序號

S_ACK：將要接收它們之間必須符合下面的邏輯關系，否則該數(shù)據(jù)包會被丟棄，并且返回一個ACK包（包含期望的序列號）。C_ACK<=C_SEQ<=C_ACK+C_WINDS_ACK<=S_SEQ<=S_ACK+S_WIND如果不符合上邊的邏輯關系，就會引申出ACK風暴(Storm)17它們之間必須符合下面的邏輯關系，否則該數(shù)據(jù)包會被丟棄，并且返當會話雙方接收到一個不期望的數(shù)據(jù)包后，就會用自己期望的序列號返回ACK包而在另一端，這個數(shù)據(jù)包也不是所期望的，就會再次以自己期望的序列號返回ACK于是，就這樣來回往返，形成了惡性循環(huán)，最終導致ACK風暴。ACK風暴(Storm)18當會話雙方接收到一個不期望的數(shù)據(jù)包后，就會用自己期望的序列號先進行ARP欺騙，使雙方的數(shù)據(jù)包“正?！钡陌l(fā)送到攻擊者這里然后設置包轉發(fā)，最后就可以進行會話劫持了，而且不必擔心會有ACK風暴出現(xiàn)。解決辦法19先進行ARP欺騙，使雙方的數(shù)據(jù)包“正?！钡陌l(fā)送到攻擊者這里解假設現(xiàn)在主機A和主機B進行一次TCP會話，C為攻擊者，劫持過程如下：A向B發(fā)送一個數(shù)據(jù)包

SEQ(hex):XACK(hex):Y

FLAGS:-AP---Window:ZZZZ，包大小為:60B回應A一個數(shù)據(jù)包

SEQ(hex):YACK(hex):X+60

FLAGS:-AP---Window:ZZZZ，包大小為:50A向B回應一個數(shù)據(jù)包

SEQ(hex):X+60ACK(hex):Y+50

FLAGS:-AP---Window:ZZZZ，包大小為:40B向A回應一個數(shù)據(jù)包

SEQ(hex):Y+50ACK(hex):X+100

FLAGS:-AP---Window:ZZZZ，包大小為:30TCP會話劫持過程20假設現(xiàn)在主機A和主機B進行一次TCP會話，C為攻擊者，劫持過攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

SEQ(hex):X+100ACK(hex):Y+80

FLAGS:-AP---Window:ZZZZ，包大小為:20B向A回應一個數(shù)據(jù)包

SEQ(hex):Y+80ACK(hex):X+120

FLAGS:-AP---Window:ZZZZ，包大小為:10現(xiàn)在，主機B執(zhí)行了攻擊者C冒充主機A發(fā)送過來的命令，并且返回給主機A一個數(shù)據(jù)包；但是，主機A并不能識別主機B發(fā)送過來的數(shù)據(jù)包，所以主機A會以期望的序列號返回給主機B一個數(shù)據(jù)包，隨即形成ACK風暴。21攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

SEQ(hex)可用ARP欺騙方法解決在會話劫持之后，也可以向會話雙方發(fā)送帶RST標志位的TCP包以中斷會話，避免ACK風暴繼續(xù)下去解決ACK風暴問題22可用ARP欺騙方法解決解決ACK風暴問題22首先應該使用交換式網(wǎng)絡替代共享式網(wǎng)絡，雖然有工具可以在交換環(huán)境中實現(xiàn)會話劫持，但還是應該使用交換式網(wǎng)絡替代共享式網(wǎng)絡，因為這樣可以防范最基本的嗅探攻擊。然而，最根本的解決辦法是采用加密通訊，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，這樣會話劫持就無用武之地了。其次，監(jiān)視網(wǎng)絡流量，如發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)大量的ACK包，則有可能已被進行了會話劫持攻擊。會話劫持防范23首先應該使用交換式網(wǎng)絡替代共享式網(wǎng)絡，雖然有工具可以在交換環(huán)實現(xiàn)中間人攻擊的前提是ARP欺騙，如能阻止攻擊者進行ARP欺騙，則可以阻止中間人攻擊不要把網(wǎng)絡安全信任關系建立在ip基礎上或mac基礎上，（rarp同樣存在欺騙的問題），理想的關系應該建立在ip+mac基礎上設置靜態(tài)的mac-->ip對應表，不讓主機刷新設定好的轉換表使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播防范ARP欺騙24實現(xiàn)中間人攻擊的前提是ARP欺騙，如能阻止攻擊者進行ARP欺管理員定期用響應的ip包中獲得一個rarp請求，然后檢查ARP響應的真實性管理員定期輪詢，檢查主機上的ARP緩存其他思路？方法？防范ARP欺騙25管理員定期用響應的ip包中獲得一個rarp請求，然后檢查AR1.客戶端主機（8）向發(fā)起正常的訪問網(wǎng)頁請求。

2.監(jiān)控服務器（例如：220.167.xxx.xxx，不同地方該服務器可能不同）就立刻向客戶端發(fā)起一個偽造數(shù)據(jù)包，這個數(shù)據(jù)包的源地址被偽造成客戶端請求的服務器地址，同時該數(shù)據(jù)包的內容是預先設定好的。

3.客戶端主機在收到該數(shù)據(jù)包后，以為是服務器端返回的，于是它根據(jù)收到的偽造數(shù)據(jù)包的要求，主動向220.167.xxx.xxx發(fā)起連接，并向220.167.xxx.xxx傳輸一些客戶端的私人敏感信息，如客戶端的撥號用戶名、訪問的網(wǎng)址、NAT內網(wǎng)主機數(shù)等信息。

4.220.167.xxx.xxx再次將訪問重定向的指令發(fā)給8。

5.客戶端根據(jù)第4步中收到的指令，再次向發(fā)起正常的訪問網(wǎng)頁請求。

6.將客戶端請求的頁面?zhèn)鹘o客戶端（8），讓客戶端成功完成網(wǎng)頁訪問。實例分析-運營商推送廣告261.客戶端主機（8）向www.abc.對于滲透內部網(wǎng)絡，會話劫持確實是一種比較有效的方法工具：如Hunt等總結27對于滲透內部網(wǎng)絡，會話劫持確實是一種比較有效的方法總結27TCP會話劫持28TCP會話劫持1會話劫持(SessionHijack)是一種結合了嗅探以及欺騙技術在內的攻擊手段。廣義上說，會話劫持就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流（例如基于TCP的會話）里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成有黑客聯(lián)系。什么是會話劫持29會話劫持(SessionHijack)是一種結合了嗅探以及TCP會話劫持的攻擊方式可以對基于TCP的任何應用發(fā)起攻擊，如HTTP、FTP、Telnet等。對于攻擊者來說，所必須要做的就是窺探到正在進行TCP通信的兩臺主機之間傳送的報文，這樣攻擊者就可以得知該報文的源IP、源TCP端口號、目的IP、目的TCP端號，從而可以得知其中一臺主機對將要收到的下一個TCP報文段中seq和ackseq值的要求。這樣，在該合法主機收到另一臺合法主機發(fā)送的TCP報文前，攻擊者根據(jù)所截獲的信息向該主機發(fā)出一個帶有凈荷的TCP報文，如果該主機先收到攻擊報文，就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間?；驹?0TCP會話劫持的攻擊方式可以對基于TCP的任何應用發(fā)起攻擊，帶有凈荷的攻擊報文能夠使被攻擊主機對下一個要收到的TCP報文中的確認序號（ackseq）的值的要求發(fā)生變化，從而使另一臺合法的主機向被攻擊主機發(fā)出的報文被被攻擊主機拒絕。TCP會話劫持攻擊方式的好處在于使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認證，從而使攻擊者直接進入對被攻擊主機的的訪問狀態(tài)，因此對系統(tǒng)安全構成的威脅比較嚴重?；驹?1帶有凈荷的攻擊報文能夠使被攻擊主機對下一個要收到的TCP報文所謂會話，就是兩臺主機之間的一次通訊。例如你Telnet到某臺主機，這就是一次Telnet會話；你瀏覽某個網(wǎng)站，這就是一次HTTP會話。而會話劫持（SessionHijack），就是結合了嗅探以及欺騙技術在內的攻擊手段。例如，在一次正常的會話過程當中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡意數(shù)據(jù)，也可以在雙方的會話當中進行簡聽，甚至可以是代替某一方主機接管會話。會話32所謂會話，就是兩臺主機之間的一次通訊。例如你Telnet到某我們可以把會話劫持攻擊分為兩種類型：1）中間人攻擊(ManInTheMiddle，簡稱MITM)2）注射式攻擊（Injection）并且還可以把會話劫持攻擊分為兩種形式：1）被動劫持2）主動劫持被動劫持實際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流，叢中獲得敏感數(shù)據(jù)而主動劫持則是將會話當中的某一臺主機“踢”下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如“catetc/master.passwd”（FreeBSD下的Shadow文件）。會話劫持33我們可以把會話劫持攻擊分為兩種類型：會話劫持6攻擊者首先需要使用ARP欺騙或DNS欺騙，將會話雙方的通訊流暗中改變，而這種改變對于會話雙方來說是完全透明的。不管是ARP欺騙，還是DNS欺騙，中間人攻擊都改變正常的通訊流，它就相當于會話雙方之間的一個透明代理，可以得到一切想知道的信息。中間人攻擊34攻擊者首先需要使用ARP欺騙或DNS欺騙，將會話雙方的通訊流嗅探器只能在共享網(wǎng)段內進行ARP欺騙可在交換式網(wǎng)絡中進行ARP欺騙主要以發(fā)送欺騙性ARP報文方式進行ARP欺騙35嗅探器只能在共享網(wǎng)段內進行ARP欺騙8DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為DNS服務器不可能將所有現(xiàn)存的域名或IP地址存儲在本身的存儲空間里。這就是為什么DNS服務器有一個高速緩沖存儲器（cache），它使得服務器可以存儲DNS記錄一段時間。事實上，一臺DNS服務器只會記錄本身所屬域中的授權的主機，如果它想要知道其它的，在自身域以外主機的信息，就必須向信息持有者（另一臺DNS服務器）發(fā)送請求，同時，為了不每次都發(fā)送請求，這臺DNS服務器會將另一臺DNS服務器返回的信息又記錄下來。DNS欺騙36DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為DNS欺騙9攻擊者有一臺Internet上的授權的DNS服務器攻擊者能修改這臺服務器的DNS記錄促使ＤＮＳ服務器進行遞歸查詢DNS欺騙37攻擊者有一臺Internet上的授權的DNS服務器DNS欺騙ARP欺騙冒充網(wǎng)關（局域網(wǎng)中）嗅探UDP53協(xié)議中的ＩＤ信息DNS欺騙其他方法38ARP欺騙冒充網(wǎng)關（局域網(wǎng)中）DNS欺騙其他方法11這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會話雙方的通訊流，而是在雙方正常的通訊流插入惡意數(shù)據(jù)。在注射式攻擊中，需要實現(xiàn)兩種技術：1）IP欺騙2）預測TCP序列號如果是UDP協(xié)議，只需偽造IP地址，然后發(fā)送過去就可以了，因為UDP沒有所謂的TCP三次握手，但基于UDP的應用協(xié)議有流控機制，所以也要做一些額外的工作。注射式攻擊39這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會對于IP欺騙，有兩種情況需要用到：1）隱藏自己的IP地址2）利用兩臺機器之間的信任關系實施入侵在Unix/Linux平臺上，可以直接使用Socket構造IP包，在IP頭中填上虛假的IP地址，但需要root權限在Windows平臺上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）IP欺騙40對于IP欺騙，有兩種情況需要用到：IP欺騙13根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)議進行通訊需要提供兩段序列號，TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊，系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時間或線性的產生這些值在通訊過程中，雙方的序列號是相互依賴的，這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議（具體可參見RFC793）如果攻擊者在這個時候進行簡單會話插入，結果肯定是失敗，因為會話雙方“不認識”攻擊者，攻擊者不能提供合法的序列號。所以，會話劫持的關鍵是預測正確的序列號，攻擊者可以采取嗅探技術獲得這些信息TCP會話劫持41根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)議進行通訊需要提供兩段在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：SEQ：當前數(shù)據(jù)包中的第一個字節(jié)的序號

ACK：期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號TCP協(xié)議的序列號42在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：TCP協(xié)議的序S_SEQ：將要發(fā)送的下一個字節(jié)的序號

S_ACK：將要接收的下一個字節(jié)的序號

S_WIND：接收窗口

//以上為服務器（Server）C_SEQ：將要發(fā)送的下一個字節(jié)的序號

C_ACK：將要接收的下一個字節(jié)的序號

C_WIND：接收窗口

//以上為客戶端（Client）雙方進行一次正常連接43S_SEQ：將要發(fā)送的下一個字節(jié)的序號

S_ACK：將要接收它們之間必須符合下面的邏輯關系，否則該數(shù)據(jù)包會被丟棄，并且返回一個ACK包（包含期望的序列號）。C_ACK<=C_SEQ<=C_ACK+C_WINDS_ACK<=S_SEQ<=S_ACK+S_WIND如果不符合上邊的邏輯關系，就會引申出ACK風暴(Storm)44它們之間必須符合下面的邏輯關系，否則該數(shù)據(jù)包會被丟棄，并且返當會話雙方接收到一個不期望的數(shù)據(jù)包后，就會用自己期望的序列號返回ACK包而在另一端，這個數(shù)據(jù)包也不是所期望的，就會再次以自己期望的序列號返回ACK于是，就這樣來回往返，形成了惡性循環(huán)，最終導致ACK風暴。ACK風暴(Storm)45當會話雙方接收到一個不期望的數(shù)據(jù)包后，就會用自己期望的序列號先進行ARP欺騙，使雙方的數(shù)據(jù)包“正常”的發(fā)送到攻擊者這里然后設置包轉發(fā)，最后就可以進行會話劫持了，而且不必擔心會有ACK風暴出現(xiàn)。解決辦法46先進行ARP欺騙，使雙方的數(shù)據(jù)包“正?！钡陌l(fā)送到攻擊者這里解假設現(xiàn)在主機A和主機B進行一次TCP會話，C為攻擊者，劫持過程如下：A向B發(fā)送一個數(shù)據(jù)包

SEQ(hex):XACK(hex):Y

FLAGS:-AP---Window:ZZZZ，包大小為:60B回應A一個數(shù)據(jù)包

SEQ(hex):YACK(hex):X+60

FLAGS:-AP---Window:ZZZZ，包大小為:50A向B回應一個數(shù)據(jù)包

SEQ(hex):X+60ACK(hex):Y+50

FLAGS:-AP---Window:ZZZZ，包大小為:40B向A回應一個數(shù)據(jù)包

SEQ(hex):Y+50ACK(hex):X+100

FLAGS:-AP---Window:ZZZZ，包大小為:30TCP會話劫持過程47假設現(xiàn)在主機A和主機B進行一次TCP會話，C為攻擊者，劫持過攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

SEQ(hex):X+100ACK(hex):Y+80

FLAGS:-AP---Window:ZZZZ，包大小為:20B向A回應一個數(shù)據(jù)包

SEQ(hex):Y+80ACK(hex):X+120

FLAGS:-AP---Window:ZZZZ，包大小為:10現(xiàn)在，主機B執(zhí)行了攻擊者C冒充主機A發(fā)送過來的命令，并且返回給主機A一個數(shù)據(jù)包；但是，主機A并不能識別主機B發(fā)送過來的數(shù)據(jù)包，所以主機A會以期望的序列號返回給主機B一個數(shù)據(jù)包，隨即形成ACK風暴。48攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

SEQ(hex)可用ARP欺騙方法解決在會話劫持之后，也可以向會話雙方發(fā)送帶RST標志位的TCP包以中斷會話，避免ACK風暴繼續(xù)下去解決ACK風暴問題49可用ARP欺騙方法解決解決ACK風暴問題22首先應該使用交換式