學(xué)院：信息科學(xué)與工程學(xué)院專(zhuān)業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)專(zhuān)業(yè)姓名：xxx、學(xué)號(hào)：xxx外文出處：ALookBackat“SecurityProblemsintheTCP/IPProtocolSuite”附件：1.外文資料翻譯譯文；2.外文原文。指導(dǎo)教師評(píng)語(yǔ)：簽名：2021

附件1：外文資料翻譯譯文回顧“TCP/IP協(xié)議套件安全問(wèn)題”摘要大約十五年前，我寫(xiě)了一篇關(guān)于TCP/IP協(xié)議安全問(wèn)題的論文，我特別側(cè)重于協(xié)議層面的問(wèn)題，而不是實(shí)施的缺陷。回顧那篇論文確實(shí)具有指導(dǎo)意義。它可以指導(dǎo)我去看看哪里的重點(diǎn)和預(yù)測(cè)是準(zhǔn)確的，哪里是錯(cuò)的，還有哪里的危險(xiǎn)尚未發(fā)生。這是一個(gè)在原來(lái)論文基礎(chǔ)上加了評(píng)注的重印稿。1.引言該論文中的“TCP/IP協(xié)議套件的安全問(wèn)題”最初是在1989年4月《計(jì)算機(jī)通信研究》第19卷第2號(hào)出版。這是一個(gè)協(xié)議層面的分析，我故意不考慮實(shí)施或業(yè)務(wù)問(wèn)題。我覺(jué)得而且仍然覺(jué)得，那是正確的做法。錯(cuò)誤來(lái)來(lái)去去，大家的經(jīng)營(yíng)環(huán)境是不同的。但解決協(xié)議層面的問(wèn)題很難，特別是如果你想保持與安裝基礎(chǔ)的兼容性。

本文是我的原創(chuàng)作品的回顧。新的評(píng)注以無(wú)襯線字體，縮進(jìn)方式顯示。除了推出時(shí)從troff到LATEX轉(zhuǎn)換時(shí)可能出現(xiàn)的錯(cuò)誤之外，其他原文字保持不變。我已經(jīng)離開(kāi)了完整的參考，即使現(xiàn)在有更好的版本。當(dāng)然，參考號(hào)碼和分頁(yè)是不同的；節(jié)數(shù)保持不變，除了一個(gè)新的“結(jié)論“部分。作為一般規(guī)則，評(píng)注跟隨其所討論的章節(jié)。它有助于理解本文來(lái)自哪里。當(dāng)我1982年開(kāi)始在美利山貝爾實(shí)驗(yàn)室工作，我承擔(dān)了前三個(gè)以太網(wǎng)電纜的AT＆T公司的所有公司巨頭壟斷的所有權(quán)。我的實(shí)驗(yàn)室有一個(gè)電線，另一個(gè)實(shí)驗(yàn)室有第二個(gè)，有一個(gè)“骨干“聯(lián)系將這兩個(gè)實(shí)驗(yàn)室聯(lián)系在一起。隨著骨干的增長(zhǎng)，其他實(shí)驗(yàn)室也相繼連接到它。最后，我們獲得資金，可以與其他貝爾實(shí)驗(yàn)室的位置連接起來(lái)；我們稱(chēng)此網(wǎng)絡(luò)為“貝爾實(shí)驗(yàn)室互聯(lián)網(wǎng)”或“研發(fā)網(wǎng)絡(luò)”。新詞“內(nèi)聯(lián)網(wǎng)”當(dāng)時(shí)還沒(méi)有被發(fā)明。專(zhuān)用路由器當(dāng)時(shí)是非常罕見(jiàn)的，我們一般伸進(jìn)一秒鐘以太網(wǎng)板的VAX或太陽(yáng)，用它做路由。這意味著該路由軟件（我們使用Berkeley的路由）是可以訪問(wèn)系統(tǒng)管理員的。當(dāng)事情發(fā)生，我們常常發(fā)現(xiàn)，這是一個(gè)路由問(wèn)題：有人錯(cuò)誤配置了他們的機(jī)器。有一次，我們發(fā)現(xiàn)有人插入一個(gè)新的美利山工作站的骨干，而不是進(jìn)入它的部門(mén)網(wǎng)絡(luò)。更糟糕的是（專(zhuān)有）地址分配給他的機(jī)器上的軟件沒(méi)有看到該網(wǎng)絡(luò)的任何（專(zhuān)有）地址分配服務(wù)器，因此它分配0.1-網(wǎng)關(guān)路由器給它本身。這兩種情況使我擔(dān)心，很明顯，任何可能發(fā)生的事故都有可能是故意而為之，而且可能會(huì)造成嚴(yán)重后果。幾個(gè)其他事情使我更注重于安全問(wèn)題。一個(gè)是羅伯特.莫里斯關(guān)于序列號(hào)猜測(cè)攻擊的發(fā)現(xiàn)，這些都是廣泛的討論如下。另一個(gè)是“影子”號(hào)事件，一個(gè)十幾歲的孩子攻擊AT＆T公司的很多電腦[2]。當(dāng)他試圖用統(tǒng)一慣例盜取從各研究機(jī)密碼文件時(shí)他被發(fā)現(xiàn)了。我們已經(jīng)安裝了一些這種精確的活動(dòng)排序探測(cè)器，而得以注意到不尋常的行為。當(dāng)時(shí)，我們很幸運(yùn)，在AT＆T的連接內(nèi)大部分是通過(guò)專(zhuān)有的Datakit網(wǎng)絡(luò)，他不知道如何利用。到了1988年的網(wǎng)絡(luò)蠕蟲(chóng)時(shí)代，這個(gè)文件已經(jīng)在實(shí)質(zhì)上是它目前的形式。（盡我最大的能力，當(dāng)時(shí)對(duì)于安全問(wèn)題比較新穎）其結(jié)果是對(duì)TCP/IP協(xié)議層次問(wèn)題的分析。原稿獲得很多評(píng)論。[54]在我看來(lái)，有些批評(píng)是有效的。而有些批評(píng)是沒(méi)有用的。當(dāng)時(shí)，我選擇不公布詳細(xì)的反駁，在這里我也不會(huì)這樣做。在適當(dāng)情況下，我會(huì)指出我哪里的分析是錯(cuò)誤的。我覺(jué)得我做的結(jié)論大致是正確的。在今天廣泛使用的TCP/IP協(xié)議套件[41，21]，是根據(jù)美國(guó)國(guó)防部的贊助而發(fā)展起來(lái)的。盡管如此，有一些嚴(yán)重的安全漏洞還存在于協(xié)議中。這些缺陷的存在，一個(gè)明顯的例子是因?yàn)橐恍┲鳈C(jī)上的IP源地址依靠認(rèn)證;伯克利的“R-事業(yè)“[22]。其他存在的原因是因?yàn)榫W(wǎng)絡(luò)控制機(jī)制，并在特定的路由協(xié)議中有很少或根本不存在的認(rèn)證。當(dāng)描述這種攻擊，我們的基本假設(shè)是，攻擊者已經(jīng)或多或少完成了連接到互聯(lián)網(wǎng)的一些機(jī)器的控制權(quán)。這可能是由于

該機(jī)器的自身保護(hù)機(jī)制的缺陷，也可能是因?yàn)樵摍C(jī)器是微電腦，和固有的不安全。事實(shí)上，攻擊者甚至可能是惡意的系統(tǒng)管理員。1.1獨(dú)占我們并不關(guān)心特別是實(shí)現(xiàn)了協(xié)議的缺陷，如通過(guò)互聯(lián)網(wǎng)的“蠕蟲(chóng)”[95，90，38]。相反，我們討論了通用協(xié)議本身的問(wèn)題。正如將要看到的那樣，認(rèn)真執(zhí)行技術(shù)可以減輕或避免這些問(wèn)題。一些我們討論的是從Berkeley的UNIX系統(tǒng)版本派生協(xié)議，其他都是通用的互聯(lián)網(wǎng)協(xié)議。我們也并不關(guān)心經(jīng)典網(wǎng)絡(luò)攻擊，如物理竊聽(tīng)，涂改或帶有病毒的信息。我們只討論這樣的問(wèn)題，只要他們可能是協(xié)助或協(xié)議問(wèn)題。

在大多數(shù)情況下，也沒(méi)有在這里討論供應(yīng)商特定的協(xié)議。我們討論大學(xué)伯克利分校的協(xié)議的一些問(wèn)題，因?yàn)檫@些已經(jīng)成為事實(shí)上的標(biāo)準(zhǔn)，許多廠商，而不是只為

UNIX系統(tǒng)。文獻(xiàn)[54]的批評(píng)之一是，我已經(jīng)集中在RFC中描述的標(biāo)準(zhǔn)化協(xié)議中把伯克利特定協(xié)議添加到一起。它不同于前一段，我理解的差異明顯。但是，基于地址的認(rèn)證，使用的主要缺陷，我批評(píng)整個(gè)紙張是特有的伯克利的軟件，我沒(méi)有嚴(yán)格的區(qū)分清楚。這確實(shí)是一個(gè)糟糕的做身份驗(yàn)證的方法，但它不受任何官方標(biāo)準(zhǔn)的保護(hù)。2.TCP序列號(hào)預(yù)測(cè)

更有趣的安全漏洞之一是莫里斯首次描述[70]。簡(jiǎn)單地說(shuō)，他使用TCP序列號(hào)預(yù)測(cè)興建而沒(méi)有從服務(wù)器收到任何回應(yīng)一個(gè)TCP包序列。這使他欺騙在本地網(wǎng)絡(luò)上可信主機(jī)。

建立正常的TCP連接的序列涉及三路握手。客戶(hù)端選擇并發(fā)送一個(gè)初始序列號(hào)ISNC，服務(wù)器確認(rèn)并發(fā)送自己的序列號(hào)iSNS和客戶(hù)確認(rèn)。繼上述三個(gè)消息，數(shù)據(jù)傳輸可能發(fā)生。該交易所可示意如下：C→S:SYN(ISNC)S→C:SYN(ISNS),ACK(ISNC)C→S:ACK(ISNS)C→S:數(shù)據(jù)和/或S→C:數(shù)據(jù)也就是說(shuō)，對(duì)于一個(gè)對(duì)話得以進(jìn)行，C必須先聽(tīng)I(yíng)SNS的，或多或少的隨機(jī)數(shù)。不過(guò)，假設(shè)有一種方式是入侵者X來(lái)預(yù)測(cè)ISNS的。在這種情況下，它可以發(fā)送下面的序列來(lái)模擬信任的主機(jī)：X→S:SYN(ISNX),SRC=TS→T:SYN(ISNS),ACK(ISNX)X→S:ACK(ISNS),SRC=TX→S:ACK(ISNS),SRC=T,盡管信號(hào)S→T沒(méi)有去到X中，x

能夠知道它的內(nèi)容，因此可以發(fā)送數(shù)據(jù)。如果X是一個(gè)連接上執(zhí)行命令，允許執(zhí)行（即伯克利的rsh服務(wù)器）這種攻擊，惡意命令可以被執(zhí)行。那么，如何來(lái)預(yù)測(cè)隨機(jī)的ISN？在Berkeley系統(tǒng)中，初始序列號(hào)變量遞增一次每秒不斷金額，該金額減半每次連接啟動(dòng)。因此，如果一開(kāi)始一個(gè)合法連接，并觀察使用的ISNS，就可以高度精密地計(jì)算該ISNS的使用在下次連接嘗試。莫里斯指出，回復(fù)消息S-T中SYN（ISNS）,ACK（ISNX）其實(shí)不是一個(gè)黑洞消失了，而是真正的主機(jī)T將接受它，并試圖重新連接。這不是一個(gè)嚴(yán)重的障礙。莫里斯發(fā)現(xiàn)，通過(guò)模擬對(duì)T服務(wù)器端口，并具有明顯的水浸，連接請(qǐng)求的端口，他可能會(huì)產(chǎn)生隊(duì)列溢出，將使它有可能的ST消息將會(huì)消失。另外，我們可以等待，直到T是日常保養(yǎng)或重新啟動(dòng)了。本人在這一點(diǎn)上認(rèn)同莫里斯的文章。盡管水浸能夠起作用沒(méi)有明確說(shuō)明它，我預(yù)料到拒絕服務(wù)攻擊始于1996年，莫里斯實(shí)際上利用了Berkeley內(nèi)核，用更少的錯(cuò)誤數(shù)據(jù)包，實(shí)現(xiàn)了他的目標(biāo)。該缺陷（如[10]所描述以及在莫里斯的文章）當(dāng)時(shí)受到很少關(guān)注，直到許多年以后才被關(guān)注。對(duì)于序列號(hào)攻擊這個(gè)問(wèn)題，除了我的論文之外很少受到關(guān)注。直到凱文米特尼克重新實(shí)現(xiàn)莫里斯的理念，并用它來(lái)攻擊下村勉[93]。下村接著追查米特尼克。不是由莫里斯描述，關(guān)于此TCP序列號(hào)攻擊的變種利用了netstat[86]服務(wù)。在這種攻擊中，入侵者模擬一個(gè)主機(jī)已關(guān)閉。如果可以用netstat的目標(biāo)主機(jī)，可以提供必要的另一個(gè)端口上的序列號(hào)信息，這消除了所有需要猜測(cè)。netstat的伯克利的實(shí)施是危險(xiǎn)的，但不是我這里給的原因。它沒(méi)有列出本機(jī)的開(kāi)放端口，以及目前所有的連接;這兩個(gè)項(xiàng)目都是非常有價(jià)值的想成為攻擊者。事實(shí)上，發(fā)現(xiàn)前者是許多攻擊工具的主要功能塊。幸運(yùn)的是，即使在1989年netstat命令不是由任何4.2bsd系統(tǒng)或4.3BSD系統(tǒng)默認(rèn)提供的。仍然有在Tops-20系統(tǒng)對(duì)當(dāng)時(shí)的網(wǎng);這些系統(tǒng)有一個(gè)脆弱的netstat命令。事實(shí)上,所以我沒(méi)有提到,因?yàn)榕轮赶虻囊u擊者指向它。實(shí)際產(chǎn)量見(jiàn)圖1。更重要的一點(diǎn)（這是一個(gè)[54]提出），是將R-公用事業(yè)隱含依賴(lài)于TCP序列號(hào)，并因此對(duì)TCP會(huì)話的正確性，為安全屬性。但是，TCP從來(lái)沒(méi)有設(shè)計(jì)成一個(gè)安全協(xié)議，也沒(méi)有出現(xiàn)過(guò)有關(guān)的序列號(hào)的任何屬性的保證。根本的問(wèn)題是：怎樣的一個(gè)層的屬性是“出口“到一個(gè)更高的層？假設(shè)在任何較高太多以后是一個(gè)錯(cuò)誤，它可以導(dǎo)致功能失靈的正確性以及安全性故障。對(duì)于這個(gè)問(wèn)題，有必要更加緊密地詢(xún)問(wèn)，甚至在一個(gè)序列號(hào)安全協(xié)議：他們是什么性質(zhì)保證呢？?jī)H僅因?yàn)樗麄兊臄?shù)據(jù)包序列號(hào)，或者可以被理解為，例如，對(duì)計(jì)數(shù)器模式加密初始化向量[35]？

是否有一個(gè)安全問(wèn)題？是的，當(dāng)然是有，如圖形顯示，幾年后，在主場(chǎng)迎戰(zhàn)下村米尼克事件。但是，建筑缺陷是假定TCP序列號(hào)了安全性能，他們沒(méi)有。（諷刺的是，我聽(tīng)說(shuō)的序列號(hào)的安全屬性分析，事實(shí)上，在世界上所做的分類(lèi)，他們得出結(jié)論，這種攻擊并不可行…）序列號(hào)攻擊的故事還沒(méi)有結(jié)束。2021年，沃森指出，TCP復(fù)位數(shù)據(jù)包應(yīng)該很榮幸，如果RST位是在一包的初始序列號(hào)是接收窗口內(nèi)的任何地方（見(jiàn)US-CERT的電腦安全警報(bào)技術(shù)TA04-111A章）為基礎(chǔ)。在現(xiàn)代系統(tǒng)中，接收窗口是奧芬32K字節(jié)以上，這意味著它只需不到217試驗(yàn)，通過(guò)這種盲目的攻擊產(chǎn)生這樣的數(shù)據(jù)包。這聽(tīng)起來(lái)像一個(gè)很大的數(shù)據(jù)包，它僅僅是一個(gè)拒絕服務(wù)攻擊，但對(duì)于長(zhǎng)期生活會(huì)話（尤其是在BGP的[84]路由器之間的特別會(huì)議），這是相當(dāng)可行的攻擊。此外，拆除一個(gè)BGP會(huì)話對(duì)全球路由表互聯(lián)網(wǎng)廣泛的影響。

圖1。輸出在Tops-20netstat命令。請(qǐng)注意“發(fā)送”和“'收到“序列號(hào)。在狀態(tài)顯示的第一行是會(huì)議上是我用于檢索的數(shù)據(jù)。防御

顯然，這種攻擊的關(guān)鍵是在上大學(xué)伯克利分校系統(tǒng)的初始序列號(hào)變量的變化率相對(duì)粗糙。TCP的規(guī)范要求，這個(gè)變量遞增約每秒25萬(wàn)次;伯克利使用速度卻慢得多。不過(guò)，關(guān)鍵的因素是粒度，而不是平均水平。從一個(gè)每秒128增量4.2bsd系統(tǒng)改變每秒125,0004.3BSD是沒(méi)有意義的，即使后者在一個(gè)指定的兩個(gè)因素是利率。讓我們看看是否有一個(gè)真正的柜臺(tái)，在250,000Hz的頻率操作會(huì)有所幫助。為了簡(jiǎn)便起見(jiàn)，我們將忽略其他連接發(fā)生的問(wèn)題，只考慮改變此計(jì)數(shù)器的固定利率。

要了解當(dāng)前的序列號(hào)，必須發(fā)送一個(gè)SYN包，并接收響應(yīng)，如下：X→S:SYN(ISNX)S→X:SYN(ISNS),ACK(ISNX) (1)第一個(gè)偽造包能夠緊跟在服務(wù)器的響應(yīng)對(duì)探測(cè)包起作用，這將觸發(fā)下一個(gè)序列號(hào)生成：X→S:SYN(ISNX),SRC=T (2)在反應(yīng)中的ISNS序列號(hào)該序列號(hào)唯一由信息源（1）與消息服務(wù)器（2）收到的時(shí)間決定。但這個(gè)數(shù)字恰恰是與X和S往返時(shí)間。因此，如果能精確測(cè)量欺騙程序（和預(yù)測(cè)）那個(gè)時(shí)候，即使4μ-第二個(gè)時(shí)鐘不會(huì)擊敗這種攻擊。S→T:SYN(ISNS),ACK(ISNX)行程時(shí)間的衡量能準(zhǔn)確到什么程度呢？如果我們假設(shè)穩(wěn)定性好，我們或許可以在10毫秒或約束所以它。顯然，互聯(lián)網(wǎng)不會(huì)出現(xiàn)在長(zhǎng)期[64]這種穩(wěn)定的，但它往往是在短期term.2足夠好，因此有2500中為iSNS的可能值的不確定性。如果每次試驗(yàn)需要5秒鐘，假設(shè)有時(shí)間重新測(cè)量往返時(shí)間，入侵者將有一個(gè)合理的七千五百秒成功的可能性，以及近一天之內(nèi)肯定。更多的可預(yù)測(cè)性（即，更高的質(zhì)量）的網(wǎng)絡(luò)，或者更準(zhǔn)確測(cè)量，將進(jìn)一步提高的可能性在入侵者的青睞。顯然，只要按照規(guī)范的TCP信是不夠的。我們迄今沒(méi)有處理默認(rèn)假定發(fā)生在目標(biāo)主機(jī)的地方。事實(shí)上，一個(gè)新的請(qǐng)求出現(xiàn)時(shí)我們確實(shí)進(jìn)行了一些處理，而可變性量在此處理中是至關(guān)重要的。在6MIPS的機(jī)器，一剔-4μ-秒，約25指令。因此，對(duì)于精確指示路徑有相當(dāng)?shù)拿舾卸取８邇?yōu)先級(jí)中斷，或略有不同的TCB分配順序，將對(duì)下一個(gè)序列號(hào)的實(shí)際價(jià)值較大的影響。這種隨機(jī)效應(yīng)是相當(dāng)大的優(yōu)勢(shì)的目標(biāo)。應(yīng)當(dāng)指出，雖然，更快的機(jī)器更容易受到這種攻擊，因?yàn)樵撝噶盥窂阶儺悓⑿枰俚膶?shí)時(shí)性，并因而影響增量較少。當(dāng)然，CPU的速度迅速增加。這表明另一個(gè)序列號(hào)攻擊的解決方案：隨機(jī)的增量。必須小心使用足夠的位，如果說(shuō)只有低8位隨機(jī)挑選的，而增量粒度較粗，入侵者的工作因素，只是乘以256。一個(gè)精細(xì)粒度遞增和一個(gè)小的隨機(jī)數(shù)生成器，或者只是一個(gè)32位發(fā)生器，組合為好。請(qǐng)注意，雖然，許多偽隨機(jī)數(shù)生成器很容易可逆[13]。事實(shí)上，由于大多數(shù)這類(lèi)發(fā)電機(jī)的輸出通過(guò)反饋工作，敵人可以簡(jiǎn)單地計(jì)算出下一個(gè)選出的“隨機(jī)“數(shù)目。一些混合技術(shù)已經(jīng)許諾使用32位發(fā)生器，例如，但它只能發(fā)出16位，但是蠻力攻擊可能會(huì)取得成功確定種子。人們會(huì)每個(gè)增量需要至少16位的隨機(jī)數(shù)據(jù)，也許更多，打敗從網(wǎng)絡(luò)探測(cè)器，但也可能給數(shù)位提防的種子搜索。為確定正確的參數(shù)需要更多的研究和模擬。與其這么精密，更簡(jiǎn)單的方法是使用加密算法的iSNS代（或設(shè)備）。數(shù)據(jù)加密標(biāo)準(zhǔn)[73]的電子密碼本模式[74]是為iSNS的來(lái)源有吸引力的選擇作為輸入簡(jiǎn)單的計(jì)數(shù)器。另外，可用于DES的輸出反饋模式，無(wú)需額外的計(jì)數(shù)器。無(wú)論哪種方式，必須采取非常謹(jǐn)慎選擇。開(kāi)機(jī)時(shí)間是不足夠的;充分了解良好的信息重新啟動(dòng)時(shí)間往往是提供給入侵者，從而使強(qiáng)力攻擊。但是，如果重新啟動(dòng)時(shí)間是加密并生成每個(gè)主機(jī)密鑰，任何合理的努力都不能破解。初始序列號(hào)生成器性能是沒(méi)有問(wèn)題的。新的序列號(hào)是在每個(gè)連接只需要一次，甚至一對(duì)DES軟件實(shí)現(xiàn)就足夠了。2.3毫秒加密1倍MIPS處理器已有報(bào)道[12]。另外防御涉及好的日志和報(bào)警機(jī)制。在往返測(cè)量的時(shí)間為攻擊RFC兼容的主機(jī)必要將最有可能進(jìn)行使用ICMPping消息，一個(gè)“轉(zhuǎn)發(fā)“功能，可以登錄過(guò)度ping請(qǐng)求。另一方面，也許更適用，定時(shí)測(cè)量技術(shù)包括TCP連接嘗試，這些連接都明顯短命的，甚至可能不會(huì)完全和SYN的處理。同樣，欺騙活動(dòng)主機(jī)最終會(huì)產(chǎn)生不尋常的RST報(bào)文類(lèi)型，這些不應(yīng)該經(jīng)常發(fā)生，并且應(yīng)該被記錄。經(jīng)過(guò)多年思考它，我終于想出了序列號(hào)攻擊的解決方案。該計(jì)劃如RFC所描述1948[10]，采用了加密散列函數(shù)來(lái)創(chuàng)建一個(gè)單獨(dú)的序列號(hào)空間，為每一個(gè)“連接“，每一個(gè)連接被RFC791[81]定義為唯一4tuple<本地主機(jī)，本機(jī)連接埠，遠(yuǎn)程主機(jī)，遠(yuǎn)程連接埠>。這個(gè)計(jì)劃沒(méi)有被廣泛采納如我所想地那樣，我在這里認(rèn)為，在TCP連接建立額外的CPU負(fù)載無(wú)關(guān)呈現(xiàn)的是非常大的Web服務(wù)器出現(xiàn)過(guò)時(shí)。朗讀GāijìhuàrúRFCsuǒmiáoshù1948[10],cǎiyònglejiāmìsànlièhánshǔláichuàngjiànyīgèdāndúdexùlièhàokōngjiān,wèiměiyīgè“l(fā)iánjiē“,měiyīgèliánjiēbèiRFC791[81]dìngyìwèiwéiyī4tuple<běndìzhǔjī,běnjīliánjiēbù,yuǎnchéngzhǔjī,yuǎnchéngliánjiēbù>.Zhègejìhuàméiyǒubèiguǎngfàncǎinàrúwǒsuǒxiǎngdenàyàng,wǒdeyāoqiúzhèlǐ,zàiTCPliánjiējiànlìéwàideCPUfùzǎiwúguānchéngxiàndeshìfēichángdàdeWebfúwùqìchūxiànguòshí.Shìshíshàng,zuìdàdeTCPliánjiēsùlǜshìyīgèzhòngyàodezhǐbiāoláipínggūxiàndàixìtǒng.字典-查看字典詳細(xì)內(nèi)容事實(shí)上，最大的TCP連接速率是評(píng)估現(xiàn)代系統(tǒng)一個(gè)重要的指標(biāo)。相反，許多實(shí)現(xiàn)使用隨機(jī)的iSNS或（特別是）隨機(jī)增量。這對(duì)TCP在重復(fù)的數(shù)據(jù)包，一個(gè)是保證更高層次的正確性財(cái)產(chǎn)存在明顯的負(fù)面影響。（也看到了[52]附錄。）更糟的是，紐沙姆指出，中心極限定理，隨機(jī)遞增序列的總和將有一個(gè)正常的分布，這意味著，該iSNS的實(shí)際范圍是相當(dāng)小。（見(jiàn)CERT建議的CA-2021-09）。有些混合計(jì)劃不屬于這些攻擊，但潛在的信息與在1989年是相同的：不依賴(lài)于安全的TCP序列號(hào)。另外值得一提的是建議，入侵檢測(cè)系統(tǒng)可以發(fā)揮的作用：他們可以提醒你由于某些原因你無(wú)法招架的攻擊。附件2：外文原文ALookBackat“SecurityProblemsintheTCP/IPProtocolSuite”StevenM.BellovinAT&TLabs—Researchbellovin@AbstractAboutfifteenyearsago,IwroteapaperonsecurityproblemsintheTCP/IPprotocolsuite,Inparticular,Ifocusedonprotocol-levelissues,ratherthanimplementationflaws.Itisinstructivetolookbackatthatpaper,toseewheremyfocusandmypredictionswereaccurate,whereIwaswrong,andwheredangershaveyettohappen.Thisisareprintoftheoriginalpaper,withaddedcommentary.1.IntroductionThepaper“SecurityProblemsintheTCP/IPProtocolSuite”wasoriginallypublishedinComputerCommunicationReview,Vol.19,No.2,inApril,1989.Itwasaprotocol-levelanalysis;Iintentionallydidnotconsiderimplementationoroperationalissues.Ifelt—andstillfeel—thatthatwastherightapproach.Bugscomeandgo,andeveryone’soperationalenvironmentisdifferent.Butit’sveryhardtofixprotocol-levelproblems,especiallyifyouwanttomaintaincompatibilitywiththeinstalledbase.Thispaperisaretrospectiveonmyoriginalwork.Newcommentaryisshownindented,inasansseriffont.Theoriginaltextisotherwiseunchanged,exceptforpossibleerrorsintroducedwhenconvertingitfromtrofftoLATEX.I’veleftthereferencesintact,too,eveniftherearebetterversionstoday.Thereferencenumbersandpaginationare,ofcourse,different;thesectionnumbersremainthesame,exceptforanew“Conclusions”section.Asagen-Thispaperwaspresentedat20thAnnualComputerSecurityApplicationsConference(ACSAC),December2021,inaspartofthe“classicpapers”track.eralrule,thecommentaryfollowsthesectionit’sdiscussing.Ithelpstounderstandwherethispapercamefrom.WhenIstartedworkatBellLabsMurrayHillin1982,Iassumedownershipof112ofthefirstthreepiecesofEthernetcableinallofAT&T,thenagiantmonopolytelephonecompany.Mylabhadonecable,anotherlabhadasecond,anda“backbone”linkedthetwolabs.Thatbackbonegrew,asotherlabsconnectedtoit.Eventually,wescroungedfundstosetuplinkstootherBellLabslocations;wecalledtheresulingnetworkthe“BellLabsInternet”orthe“R&DInternet”,theneologism“Intranet”nothavingbeeninvented.Dedicatedrouterswererarethen;wegenerallystuckasecondEthernetboardintoaVAXoraSunandusedittodotherouting.Thismeanthattheroutingsoftware(weusedBerkeley’srouted)wasaccessibletosystemadministrators.Andwhenthingsbroke,weoftendiscoveredthatitwasaroutingproblem:someonehadmisconfiguredtheirmachine.Once,wefoundthatsomeonehadpluggedanewworkstationintotheMurrayHillbackbone,ratherthanintohisdepartment’snetwork;worseyet,the(proprietary)addressassignmentsoftwareonhismachinedidn’tseeany(proprietary)addressassignmentserversonthatnetwork,soitallocated.1—thegatewayyrouter—toitself.Thesetwosituationsworriedme;itwasclearthatanythingthatcouldhappenbyaccidentcouldbedonedeliberately,possiblywithseriousconsequences.Severalotherthingsfocusedmyattentiononsecurityevenmore.OnewasRobertMorris’discoveryofsequencenumberguessingattacks;thesearediscussedextensivelybelow.Anotherwasthe“ShadowHawk”incident—ateenagerbrokeintovariousAT&Tcomputers[2].HewasdetectedwhenhetriedtouseuucptograbpasswordfilesfromvariousResearchmachines;anumberofushadinstalleddetectorsforexactlythatsortofactivity,andnoticedtheunusualbehavior.Atthat,wewerelucky—mostoftheconnectivitywithinAT&TwasviatheproprietaryDatakitnetwork,whichhedidn’tknowhowtoexploit.BythetimeoftheInternetwormof1988,thispaperwasalreadyinsubstantiallyitscurrentform.Theresultwasananalysis(tothebestofmyability;Iwasrelativelynewtosecurityatthetime)ofprotocol-levelproblemsinTCP/IP.Theoriginalpaperwascriticizedin[54].Someofthecriticismswerevalid;some,inmyopinion,werenot.Atthetime,Ichosenottopublishadetailedrebuttal;Iwillnotdosohere.Ihave,whereappropriate,notedwheremyanalysiswasespeciallyincorrect.Ididanddofeelthatmyconclusionsweresubstantiallycorrect.TheTCP/IPprotocolsuite[41,21]whichisverywidelyusedtoday,wasdevelopedunderthesponsorshipoftheDepartmentofDefense.Despitethat,thereareanumberofserioussecurityflawsinherentintheprotocols.SomeoftheseflawsexistbecausehostsrelyonIPsourceaddressforauthentication;theBerkeley“r-utilities”[22]areanotableexample.Othersexistbecausenetworkcontrolmechanisms,andinparticularroutingprotocols,haveminimalornonexistentauthentication.Whendescribingsuchattacks,ourbasicassumptionisthattheattackerhasmoreorlesscompletecontroloversomemachineconnectedtotheInternet.Thismaybeduetoflawsinthatmachine’sownprotectionmechanisms,oritmaybebecausethatmachineisamicrocomputer,andinherentlyunprotected.Indeed,theattackermayevenbearoguesystemadministrator.1.1.ExclusionsWearenotconcernedwithflawsinparticularimplementationsoftheprotocols,suchasthoseusedbytheInternet“worm”[95,90,38]Rather,wediscussgenericproblemswiththeprotocolsthemselves.Aswillbeseen,carefulimplementationtechniquescanalleviateorpreventsomeoftheseproblems.SomeoftheprotocolswediscussarederivedfromBerkeley’sversionoftheUNIXsystem;othersaregenericInternetprotocols.Wearealsonotconcernedwithclassicnetworkattacks,suchasphysicaleavesdropping,oralteredorinjectedmessages.Wediscusssuchproblemsonlyinsofarastheyarefacilitatedorpossiblebecauseofprotocolproblems.Forthemostpart,thereisnodiscussionhereofvendor-specificprotocols.WedodiscusssomeproblemswithBerkeley’sprotocols,sincethesehavebecomedefactostandardsformanyvendors,andnotjustforUNIXsystems.Oneofthecriticismsin[54])wasthatIhadlumpedBerkeley-specificprotocolstogetherwithstandardizedprotocolsdescribedinRFCs.It’squiteclearfromthepreceedingparagraphthatIunderstoodthedifference.However,theuseofaddress-basedauthentication—amajorflawthatIcriticizethroughoutthepaper—waspeculiartoBerkeley’ssoftware;Ididnotmakethatdistinctionclear.Itisindeedabadwaytodoauthentication,butitwasnotblessedbyanyofficialstandard.2.TCPSequenceNumberPredictionOneofthemorefascinatingsecurityholeswasfirstdescribedbyMorris[70].Briefly,heusedTCPsequencenumberpredictiontoconstructaTCPpacketsequencewithouteverreceivinganyresponsesfromtheserver.Thisallowedhimtospoofatrustedhostonalocalnetwork.ThenormalTCPconnectionestablishmentsequenceinvolvesa3-wayhandshake.TheclientselectsandtransmitsaninitialsequencenumberISNC,theserveracknowledgesitandsendsitsownsequencenumberISNS,andtheclientacknowledgesthat.Followingthosethreemessages,datatransmissionmaytakeplace.Theexchangemaybeshownschematicallyasfollows:C!S:SYN(ISNC)S!C:SYN(ISNS),ACK(ISNC)C!S:ACK(ISNS)C!S:dataand/orS!C:dataThatis,foraconversationtotakeplace,CmustfirsthearISNS,amoreorlessrandomnumber.Suppose,though,thattherewasawayforanintruderXtopredictISNS.Inthatcase,itcouldsendthefollowingsequencetoimpersonatetrustedhostT:X!S:SYN(ISNX),SRC=TS!T:SYN(ISNS),ACK(ISNX)X!S:ACK(ISNS),SRC=TX!S:ACK(ISNS),SRC=T,nasty?dataEventhoughthemessageS!TdoesnotgotoX,Xwasabletoknowitscontents,andhencecouldsenddata.IfXweretoperformthisattackonaconnectionthatallowscommandexecution(i.e.,theBerkeleyrshserver),maliciouscommandscouldbeexecuted.How,then,topredicttherandomISN?InBerkeleysystems,theinitialsequencenumbervariableisincrementedbyaconstantamountoncepersecond,andbyhalfthatamounteachtimeaconnectionisinitiated.Thus,ifoneinitiatesalegitimateconnectionandobservestheISNSused,onecancalculate,withahighdegreeofconfidence,ISN′Susedonthenextconnectionattempt.MorrispointsoutthatthereplymessageS!T:SYN(ISNS),ACK(ISNX)doesnotinfactvanishdownablackhole;rather,therealhostTwillreceiveitandattempttoresettheconnection.Thisisnotaseriousobstacle.MorrisfoundthatbyimpersonatingaserverportonT,andbyfloodingthatportwithapparentconnectionrequests,hecouldgeneratequeueoverflowsthatwouldmakeitlikelythattheS!Tmessagewouldbelost.Alternatively,onecouldwaituntilTwasdownforroutinemaintenanceorareboot.ImischaracterizedMorris’paperonthispoint.Whilefloodingcanwork—withoutexplicitlystatingit,Ianticipatedthedenialofserviceattacksthatstartedoccurringin1996—MorrisinfactexploitedanimplementationerrorintheBerkeleykerneltoaccomplishhisgoalwithmanyfewerpackets.Thatflaw(describedin[10]aswellasinMorris’paper)receivedverylittleattentionatthetime,andwasnotfixeduntilmanyyearslater.Forthatmatter,sequencenumberattacksreceivedlittleattentionoutsideofmypaper,untilKevinMitnickreimplementedMorris’ideaandusedittoattackTsutomuShimomura[93].ShimomurathenproceededtotrackdownMitnick.AvariantonthisTCPsequencenumberattack,notdescribedbyMorris,exploitsthenetstat[86]service.Inthisattack,theintruderimpersonatesahostthatisdown.Ifnetstatisavailableonthetargethost,itmaysupplythenecessarysequencenumberinformationonanotherport;thiseliminatesallneedtoguess.1TheBerkeleyimplementationofnetstatwasdangerous,butnotforthereasonsthatIgavehere.Itdidlisttheopenportsonthemachine,1Thenetstatprotocolisobsolete,butisstillpresentonsomeInternethosts.Securityconcernswerenotbehinditselimination.aswellasallcurrentconnections;bothitemsareveryvaluabletowould-beattackers.Indeed,discoveringtheformerisamajorpieceoffunctionalityofmanyattacktools.Fortunately,evenin1989netstatwasnotavailablebydefaultonany4.2BSDor4.3BSDsystems.TherewerestillTOPS-20systemsonthenetatthattime;thosesystemshadavulnerablenetstat,afactIrefrainedfrommentioningforfearofpointingattackersattargets.ActualoutputisshowninFigure1.Thereareseveralsalientpointshere.Thefirst,ofcourse,whichIstressedatthetime,isthataddress-basedauthenticationisveryvulnerabletoattack.Iwillreturntothispointlater.AsecondpointisathreatImentionlater,butnotinthiscontext:ifyouknowthesequencenumbersofanactivesession,youcanhijackit.ThisattackwasimplementedafewyearslaterbyJoncheray[53].Amoreimportantpoint(andthisisonemadein[54])isthatther-utilitiesareimplicitlyrelyingonTCPsequencenumbers—andhenceonTCPsessioncorrectness—forsecurityproperties.However,TCPwasneverdesignedtobeasecureprotocol,norwerethereeveranyguaranteesaboutthepropertiesofthesequencenumber.Theunderlyingissueisthis:whatpropertiesofalayerare“exported”toahigherlayer?Assumingtoomuchatanyhigherlaterisamistake;itcanleadtocorrectnessfailursaswellastosecurityfailures.Forthatmatter,itisnecessarytoinquireevenmoreclosely,evenofsequencenumbersinasecurityprotocol:whatpropertiesaretheyguaranteedtohave?Aretheysimplypacketsequencenumbers,orcantheybeusedas,say,theinitializationvectorforcountermodeencryption[35]?Wasthereasecurityproblem?Yes,therecertainlywas,asdemonstratedgraphicallyafewyearslaterintheMitnickvs.Shimomuraincident.ButthearchitecturalflawwastheassumptionthatTCPsequencenumbershadsecuritypropertieswhichtheydidnot.(Ironically,IhaveHeardthatanalysesofthesecuritypropertiesofsequencenumberswere,infact,doneintheclassifiedworld—andtheyconcludedthatsuchattackswerenotfeasible...)Thesequencenumberattackstoryisn’tover.In2021,WatsonobservedthatTCPresetpacketswerehonorediftheRSTbitJCNSTATELPORTFPORTFGN-HOSTR-SEQUENCES-SEQUENCESENDW0,-1-3-.EST.OOPA---152934ATT.ARPA33388800176080742540966,6FIN.FIN.--P----1500,0,0,00006,5FIN.FIN.--P----7900,0,0,00000,21-3-.EST.O-PAV--23411926,1,0,1629289421757012358453190,2-3-.EST.O-PAV--231792192,33,33,1157396133426605429234096Figure1.OutputfromaTOPS-20netstatcommand.Notethe“send”and”‘receive”sequencenumbers.ThefirstlineinthestatusdisplayisthesessionIusedtoretrievethedata.wassetonapacketwhoseinitialsequencenumberwasanywherewithinthereceivewindow(seeUS-CERTTechnicalCyberSecurityAlertTA04-111A).Onmodernsystems,thereceivewindowisofen32Kbytesormore,whichmeansthatittakeslessthan217trialstogeneratesuchapacketviaablindattack.Thatsoundslikealotofpackets,andit’sonlyadenialofserviceattack,butforlonglivedsessions(andinparticularforBGP[84]sessionsbetweenrouters),it’squiteafeasibleattack.Furthermore,tearingdownasingleBGPsessionhaswide-spreadeffectsontheglobalInternetroutingtables.DefensesObviously,thekeytothisattackistherelativelycoarserateofchangeoftheinitialsequencenumbervariableonBerkeleysystems.TheTCPspecificationrequiresthatthisvariablebeincrementedapproximately250,000timespersecond;Berkeleyisusingamuchslowerrate.However,thecriticalfactoristhegranularity,nottheaveragerate.Thechangefromanincrementof128persecondin4.2BSDto125,000persecondin4.3BSDismeaningless,eventhoughthelatteriswithinafactoroftwoofthespecifiedrate.Letusconsiderwhetheracounterthatoperatedatatrue250,000hzratewouldhelp.Forsimplicity’ssake,wewillignoretheproblemofotherconnectionsoccurring,andonlyconsiderthefixedrateofchangeofthiscounter.Tolearnacurrentsequencenumber,onemustsendaSYNpacket,andreceivearesponse,asfollows:X!S:SYN(ISNX)S!X:SYN(ISNS),ACK(ISNX)(1)Thefirstspoofpacket,whichtriggersgenerationofthenextsequencenumber,canimmediatelyfollowtheserver’sresponsetotheprobepacket:X!S:SYN(ISNX),SRC=T(2)ThesequencenumberISNSusedintheresponseS!T:SYN(ISNS),ACK(ISNX)isuniquelydeterminedbythetimebetweentheoriginationofmessage(1)andthereceiptattheserverofmessage(2).Butthisnumberispreciselytheround-triptimebetweenXandS.Thus,ifthespoofercanaccuratelymeasure(andpredict)thattime,evena4μ-secondclockwillnotdefeatthisattack.Howaccuratelycanthetriptimebemeasured?Ifweassumethatstabilityisgood,wecanprobablybounditwithin10millisecondsorso.Clearly,theInternetdoesnotexhibitsuchstabilityoverthelong-term[64],butitisoftengoodenoughovertheshortterm.2Thereisthusanuncertaintyof2500inthepossiblevalueforISNS.Ifeachtrialtakes5seconds,toallowtimetore-measuretheround-triptime,anintruderwouldhaveareasonablelikelihoodofsucceedingin7500seconds,andanear-certaintywithinaday.Morepredictable(i.e.,higherquality)networks,ormoreaccuratemeasurements,wouldimprovetheoddsevenfurtherintheintruder’sfavor.Clearly,simplyfollowingtheletteroftheTCPspecificationisnotgoodenough.Wehavethusfartacitlyassumedthatnoprocessingtakesplacesonthetargethost.Infact,someprocessingdoestakeplacewhenanewrequestcomesin;theamountofvariabilityinthisprocessingiscritical.Ona6MIPSmachine,onetick—4μ-seconds—isabout25instructions.Thereisthusconsiderablesensitivitytotheexactinstructionpathfollowed.High-priorityinterrupts,oraslightlydifferentTCBallocationsequence,willhaveacomparativelylargeeffectontheactualvalueofthenextsequencenumber.Thisrandomizingeffectisofconsiderableadvantagetothetarget.Itshouldbenoted,though,thatfastermachinesaremorevulnerabletothisattack,sincethevariabilityoftheinstructionpathwilltakelessrealtime,andhenceaffecttheincrementless.Andofcourse,CPUspeedsareincreasingrapidly.Thissuggestsanothersolutiontosequencenumberattacks:randomizingtheincrement.Caremustbetakentousesufficientbits;if,say,onlythelow-order8bitswerepickedrandomly,andthegranularityoftheincrementwascoarse,theintruder’sworkfactorisonlymultipliedby256.Acom-2Atthemoment,theInternetmaynothavesuchstabilityevenovertheshort-term,especiallyonlong-haulconnections.Itisnotcomfortingtoknowthatthesecurityofanetworkr