常见网络攻击分析常见网络攻击分析二
112带源路由选项的IP报文为了实现一些附加功能，IP协议规范在IP报头中增加了选项字段，这个字段可以有选择的携带一些数据，以指明中间设备（路由器）或最终目标计算机对这些IP报文进行额外的处理。源路由选项便是其中一个，从名字中就可以看出，源路由选项的目的，是指导中间设备（路由器）如何转发该数据报文的，即明确指明了报文的传输路径。比如，让一个IP报文明确的经过三台路由器R1，R2，R3，则可以在源路由选项中明确指明这三个路由器的接口地址，这样不论三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，目标地址也不断改变，因此，通过合适的设置源路由选项，攻击者便可以伪造一些合法的IP地址，而蒙混进入网络。113带记录路由选项的IP报文记录路由选项也是一个IP选项，携带了该选项的IP报文，每经过一台路由器，该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候，选项数据里面便记录了该报文经过的整个路径。通过这样的报文可以很容易的判断该报文经过的路径，从而使攻击者可以很容易的寻找其中的攻击弱点。114未知协议字段的IP报文在IP报文头中，有一个协议字段，这个字段指明了该IP报文承载了何种协议，比如，如果该字段值为1，则表明该IP报文承载了ICMP报文，如果为6，则是TCP，等等。目前情况下，已经分配的该字段的值都是小于100的，因此，一个带大于100的协议字段的IP报文，可能就是不合法的，这样的报文可能对一些计算机操作系统的协议栈进行破坏。115IP地址欺骗一般情况下，路由器在转发报文的时候，只根据报文的目的地址查路由表，而不管报文的源地址是什么，因此，这样就可能面临一种危险：如果一个攻击者向一台目标计算机发出一个报文，而把报文的源地址填写为第三方的一个IP地址，这样这个报文在到达目标计算机后，目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP地址欺骗攻击。比较著名的SQLServer蠕虫病毒，就是采用了这种原理。该病毒（可以理解为一个攻击者）向一台运行SQLServer解析服务的服务器发送一个解析服务的UDP报文，该报文的源地址填写为另外一台运行SQLServer解析程序（SQLServer2000以后版本）的服务器，这样由于SQLServer解析服务的一个漏洞，就可能使得该UDP报文在这两台服务器之间往复，最终导致服务器或网络瘫痪。r