下载
第8章TCP拦截和网络地址转换
本章将讨论与访问表相关的技术,而非访问表本身。这些技术提供了控制网络中数据流
量的附加功能。这些功能特性会使读者能够加强进出网络报文的附加功能。通过智能地对数
据本身进行操作,例如,可以操纵I P报文中的源和目的地址,或者给某种通信报文分配较多
的带宽,读者就能够进一步加强进出网络的报文的安全性和控制能力。本章将讨论两种特性:
T C P拦截和网络地址转换( Network Address Tr a n s l a t i o n,N AT),它们可以大大加强对网络中
数据流量的控制能力。先介绍T C P拦截,并讨论其特性以及它是如何在网络中实现的。还将
介绍有关T C P拦截的所有配置和调试命令。在T C P拦截这一部分,最后给出几个使用该特性的
示例。之后,介绍N AT的整体概念,包括N AT的引入、N AT特性以及如何将其用于网络中。
最后将讨论有关N AT的配置和调试命令,并介绍许多详细的示例。
8.1 TCP拦截概述
T C P拦截(TCP intercept)从IOS 11 . 3开始引入,现在的所有路由器平台都有该功能。设
计该特征的目的是防止S Y N攻击内部主机(第7章已简要地讨论了S Y N攻击)。S Y N泛洪攻击
是简单的。T C P三路握手的第一个报文设置了S Y N位。当某台设备接收到一个请求服务的初
始报文时,该设备响应这个报文,发回一个设置了S Y N和A C K位的报文,并等待源端来的
A C K应答。如果请求的发出者不作响应,主机就会因为超时而结束连接。当主机在等待这个
事务完成时,这种h a l f - o p e n的连接消耗了主机的资源。在等待三路握手时资源被耗尽就是攻
击的本质所在。
成千上万个设置了S Y N位的报文被发往一台主机,以便在设备的侦听端口上建立一个
T C P连接。但是,这些报文中的源I P地址是伪造的。这些报文中所设置的源地址都是不可达
的地址;在大多数情况下,源地址要么是来自R F C 1 9 1 8(即, 1 0 . 0 . 0 . 0 / 8,1 7 2 . 1 6 . 0 . 0 / 1 5以及
1 9 2 . 1 6 8 . 0 . 0 / 1 6)的未注册地址,要么是不存在的主机地址。从被攻击的主机到初始源I P地址
主机的返回报文就永远不能到达一个真实的主机。这样,被攻击的主机就永远也收不到完成
三路握手的应答报文。因此,它必然因为成千上万个连接的超时而要关闭这些连接。最终,
被攻击的主机资源被耗尽,主机也就没什么用处了。如果发送有足够数量的S Y N报文,则某
些操作系统也会崩溃,并且需要重启系统。
这就是常见的D o S攻击,这种攻击本身破坏性极强,而且它有时也作为更复
