2.3 定时器问题

    正如前文所述，一旦进入连接建立过程，则启动连接定时器。如果在规定时间内不能建立连接，则TCP机回到CLOSED状态。

    我们来分析一下主机A和主机X的例子。主机A向主机X发送一个SYN包，期待着回应一个SYN-ACK包。假设几乎同时，主机X想与主机A建立连接，向A发送一个SYN包。A和X在收到对方的SYN包后都向对方发送一个SYN-ACK包。

    当都收到对方的SYN-ACK包后，就可认为连接已建立。在本文中，假设当主机收到对方的SYN包后，就关闭连接建立定时器。

    X→A：SYN（序列号=M）

    A→X：SYN（序列号=N）

    X→A：SYN（序列号=M），ACK（应答号=N+1）

    A→X：SYN（序列号=N），ACK（应答号＝M+1）

    ●主机X向主机A发送一个FTP请求。在X和A之间建立起一个TCP连接来传送控制信号。主机A向X发送一个SYN包以启动一个TCP连接用来传输数据，其状态转移到SYN-SENT状态。

    ●当X收到来自A的SYN包时，它回送一个SYN包作为响应。

    ●主机X收到来自A的SYN-ACK包，但不回送任何包。

    ●主机A期待着接收来自X的SYN-ACK。由于X不回送任何包，因此A被锁在SYN-RCVD状态。这样，X就成功地封锁了A的一个端口。

    3 利用网络监控设备观测网络入侵

    我们在局域网上安装一个网络监控设备观测通过网络的包，从而判断是否发生了网络入侵。下面我们将讨论在几种入侵过程中网络监控设备可观测到的序列包。

    3.1 伪造IP地址

    最初，网络监控设备会监测到大量的TCP SYN包从某个主机发往A的登录端口。主机A会回送相应的SYN-ACK包。SYN包的目的是创建大量的与主机A的半开放的TCP连接，从而填满了主机A的登录端口连接队列。

    大量的TCP SYN包将从主机X经过网络发往主机B，相应地有SYN-ACK包从主机B发往主机X。然后主机X将用RST包作应答。这个SYN／SYN-ACK／RST包序列使得入侵者可以知道主机B的TCP序列号发生器的动作。

    主机A向主机B发送一个SYN包。实际上，这是主机X发送的一个“伪造”包。收到这个包之后，主机B将向主机A发送相应的SYN-ACK包。主机A向主机B发送ACK包。按照上述步骤，入侵主机能够与主机B建立单向TCP连接。

    3.2 虚假状态转移

    当入侵者试图利用从SYN-RCVD到CLOSE-WAIT的状态转移长时间阻塞某服务器的一个网络端口时，可以观察到如下序列包：

    ●从主机X到主机B发送一个带有SYN和FIN标志位置位的TCP包。

    ●主机B首先处理SYN标志，生成一个带有相应ACK标志位置位的包，并使状态转移到SYN-RCVD，然后处理FIN标志，使状态转移到CLOSE-WAIT，并向X回送ACK包。

    ●主机X不向主机B发送其它任何包。主机的TCP机将固定在CLOSE-WAIT状态。直到维持连接定时器将其重置为CLOSED状态。

    因此，如果网络监控设备发现一串SYN-FIN／ACK包，可推断入侵者正在阻塞主机B的某个端口。

    3.3 定时器问题

    如果一入侵者企图在不建立连接的情况下使连接建立定时器无效，我们可以观察到以下序列包：

    ●主机X从主机B收到一个TCP SYN包。

    ●主机X向主机B回送一个SYN包。

    主机X不向主机B发送任何ACK包。因此，B被阻塞在SYN-RCVD状态，无法响应来自其它客户机的连接请求。

    4 总结

    目前还没有十分简便的方法防止伪造IP地址的和侵行为。