利用IP地址欺骗突破防火墙(2)

　　主机A产生它的ISN，传送给主机B，请求建立连接；B接收到来自A的带有SYN标志的ISN后，将自己本身的ISN连同应答信息ACK一同返回给A；A再将B传送来ISN及应答信息ACK返回给B。至此，正常情况，主机A与B的TCP连接就建立起来了。

　　B ---- SYN ----> A

　　B <---- SYN+ACK ---- A

　　B ---- ACK ----> A

　　假设C企图攻击A，因为A和B是相互信任的，如果C已经知道了被A信任的B，那么就要相办法使得B的网络功能瘫痪，防止别的东西干扰自己的攻击。在这里普遍使用的是SYN flood。攻击者向被攻击主机发送许多TCP- SYN包。这些TCP-SYN包的源地址并不是攻击者所在主机的IP地址，而是攻击者自己填入的IP地址。当被攻击主机接收到攻击者发送来的TCP-SYN包后，会为一个TCP连接分配一定的资源，并且会以接收到的数据包中的源地址（即攻击者自己伪造的IP地址）为目的地址向目的主机发送TCP-（SYN+ACK）应答包。由于攻击者自己伪造的IP地址一定是精心选择的不存在的地址，所以被攻击主机永远也不可能收到它发送出去的TCP-（SYN+ACK）包的应答包，因而被攻击主机的TCP状态机会处于等待状态。如果被攻击主机的TCP状态机有超时控制的话，直到超时，为该连接分配的资源才会被回收。因此如果攻击者向被攻击主机发送足够多的TCP-SYN包，并且足够快，被攻击主机的TCP模块肯定会因为无法为新的TCP连接分配到系统资源而处于服务拒绝状态。并且即使被攻击主机所在网络的管理员监听到了攻击者的数据包也无法依据IP头的源地址信息判定攻击者是谁。

　　当B的网络功能暂时瘫痪，现在C必须想方设法确定A当前的ISN。首先连向25端口，因为SMTP是没有安全校验机制的，与前面类似，不过这次需要记录A的ISN，以及C到A的大致的RTT(round trip time)。这个步骤要重复多次以便求出RTT的平均值。一旦C知道了A的ISN基值和增加规律，就可以计算出从C到A需要RTT/2 的时间。然后立即进入攻击，否则在这之间有其他主机与A连接，ISN将比预料的多。