关于 TCP/IP协议安全性能问题的分析

　　从上面的分析我们可以看到几种TCP应用程序中都存在外部状态转移。这会给系统带来严重的安全性问题。

　　§2.3 定时器问题

　　正如前文所述，一旦进入连接建立过程，则启动连接定时器。如果在规定时间内不能建立连接，则TCP机回到CLOSED状态。

　　我们来分析一下主机A和主机X的例子。主机A向主机X发送一个SYN包，期待着回应一个SYN-ACK包。假设几乎同时，主机X想与主机A建立连接，向A发送一个SYN包。A和X在收到对方的SYN包后都向对方发送一个SYN-ACK包。当都收到对方的SYN-ACK包后，就可认为连接已建立。在本文中，假设当主机收到对方的SYN包后，就关闭连接建立定时器。

　　X→A：SYN（序列号=M）

　　A→X：SYN（序列号=N）

　　X→A：SYN（序列号=M），ACK（应答号=N+1）

　　A→X：SYN（序列号=N），ACK（应答号＝M+1）

　　●主机X向主机A发送一个FTP请求。在X和A之间建立起一个TCP连接来传送控制信 号。主机A向X发送一个SYN包以启动一个TCP连接用来传输数据，其状态转移到 SYN-SENT状态。

　　●当X收到来自A的SYN包时，它回送一个SYN包作为响应。

　　●主机X收到来自A的SYN-ACK包，但不回送任何包。

　　●主机A期待着接收来自X的SYN-ACK。由于X不回送任何包，因此A被锁在SYN-RCVD

　　状态。这样，X就成功地封锁了A的一个端口。

　　§3 利用网络监控设备观测网络入侵

　　我们在局域网上安装一个网络监控设备观测通过网络的包，从而判断是否发生了网络入侵。下面我们将讨论在几种入侵过程中网络监控设备可观测到的序列包。

　　§3.1 伪造IP地址

　　最初，网络监控设备会监测到大量的TCP SYN包从某个主机发往A的登录端口。主机A会回送相应的SYN-ACK包。SYN包的目的是创建大量的与主机A的半开放的TCP连接，从而填满了主机A的登录端口连接队列。