TCP重疊包與SEQ、ISN

fordme

今天處理tcp重疊包的問(wèn)題，與老L討論重疊報(bào)文部分的攻擊。
老L是事件組的負(fù)責(zé)人，并沒(méi)有見(jiàn)過(guò)部分重疊的報(bào)文，堅(jiān)持只有整包重傳的報(bào)文。
我告知是根據(jù)tcp序列號(hào)發(fā)現(xiàn)有這種部分重疊的報(bào)文，我們兩個(gè)爭(zhēng)執(zhí)不下。
老L非常確定的說(shuō)序列號(hào)不可能能標(biāo)識(shí)這種重疊包，因?yàn)樾蛄刑?hào)每種操作系統(tǒng)的生成都不同。
我說(shuō)序列號(hào)的增加都是按照計(jì)算字節(jié)流來(lái)增加的。
老L給我找出了insecue上的一篇E文證明：按照字節(jié)流增加只是計(jì)算SEQ的一種算法而已。
我懷疑難道自己的知識(shí)和經(jīng)驗(yàn)有錯(cuò)誤？如果這樣原先的一些做法豈不是都有誤么？
我回去仔細(xì)看了老L給我的E文，但其中只是簡(jiǎn)單的幾句話(huà)，于是到網(wǎng)上搜索了一些論文，仔細(xì)辯證。
最后才搞清楚，老L所說(shuō)的ISN的生成算法，與我說(shuō)的并非一回事。
不同的操作系統(tǒng)生成ISN可能是不同的，有的根據(jù)隨機(jī)數(shù)、時(shí)間戳、HASH等得到，但同一個(gè)會(huì)話(huà)中SEQ的ISN是固定的，SEQ也是按照字節(jié)流進(jìn)行遞增的。也就是說(shuō)tcp/ips協(xié)議吧把ISN的生成權(quán)交給了操作系統(tǒng)，是可變的，但SEQ計(jì)算字節(jié)流的功能是確定的。
于是繼續(xù)找老L理論，又找大牛確認(rèn)來(lái)我的說(shuō)法。
通過(guò)此事，在爭(zhēng)執(zhí)陷入僵局時(shí)，我首先懷疑自己的知識(shí)，說(shuō)明還需要對(duì)這方面的東西繼續(xù)做到精通。
而之后沒(méi)有直接接受，而是繼續(xù)查找資料，找到理論的支持。讓自己的知識(shí)得到驗(yàn)證，也更加深了理解。這點(diǎn)值得肯定，繼續(xù)發(fā)揚(yáng)。
               
               
               
               

本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u2/68545/showart_1186085.html