常规动力IP欺骗与防范

2020年12月23日发(作者：颜道岸)
长沙理工大学计算机与通信工程学院
《网络管理与安全》课程设计报告





















院 系计算机与通信工程学院 专 业 网络工程
班 级 网络1202班 学 号 2
学生姓名 王胜 指导教师 吴佳英
课程成绩 完成日期 2015年9月6日


课程设计成绩评定

院 系 计算机与通信工程学院 专 业 网络工程
班 级
网络1202班
学 号 2
学生姓名 王胜 指导教师 吴佳英




指导教师对学生在课程设计中的评价
评分项目
学习态度与遵守纪律情况
课程设计完成情况
课程设计报告的质量

优






良



中



及格



不及格
指导教师成绩 指导教师签字 年 月 日




课程设计答辩组对学生在课程设计中的评价

评分项目
课程设计完成情况
课程设计报告的质量
课程设计答辩



优



良



中



及格



不及格

答辩组成绩 答辩组长签字 年 月 日


课程设计综合成绩


注：课程设计综合成绩＝指导教师成绩×60%＋答辩组成绩×40%

课程设计任务书
计算机与通信工程 学院 网络工程 专业


课程名称
学生姓名
题 目
网络管理与安全课程设计
王胜
时间
指导老师
2015.8.31~2015.9.13
吴佳英
IP欺骗的原理与防范
主要内容：
（1）IP欺骗技术的原理
（2）IP欺骗技术的特征以及攻击步骤
（3）IP欺骗工具
（4）防止和检测IP欺骗的方法


要求：
（1）综合运用计算机网络管理和信息安全知识XXX。
（2）学会文献检索的基本方法和综合运用文献的能力。
（3）通过课程设计培养严谨的科学态度，认真的工作作风和团队协作精神
应当提交的文件：
（1）课程设计报告。
（2）课程设计附件（源程序、各类图纸、实验数据、仿真截图等实证材料）。

IP欺骗原理与防范
学生姓名：王胜 指导老师：吴佳英
摘 要 :IP欺骗技术(IP Spoofing)起源较早，应用十分广泛。但黑客可以利用IP
欺骗技术截 断正常的TCP通信，或者冒充被目标主机所信任的机器向其发起TCP 连
接。文中介绍了IP欺骗技 术的原理、方法以及常用工具，分析了在现有条件下解
决这一问题的策略，并提出了建立高级模式匹配策 略来进行入侵检测的方法，该
方法可以有效地防御和检测IP欺骗攻击。


关键词 :IP欺骗攻击，入侵检测，模式匹配

















IP deception principle and Prevention

Student name: Sheng Wang The teacher:JiaYing Wu
Abstract: Origin of IP Spoofing technology (IP Spoofing) is earlier, which has been widely
hackers can take advantage of the technology of IP spoofing truncated normal TCP
communications, or pretend to be trusted by the target host machine to initiate a TCP
connection. In this paper ,it introduces the principle and method of IP spoofing technology as
well as the common tools, under the existing conditions are analyzed to solve the problem of
strategy, and put forward the establishing advanced mode matching strategy for intrusion
detection methods, this method can effectively detect and defense IP spoofing attack .
Keywords:

IP spoofing attacks, intrusion detection and pattern matching



















1 引 言
TCPIP协议是使接入Internet的异种网络，不同设备 之间能够进行正常的
数据通信,而预先制定的一整套共同遵守的格式和规定。TCPIP协议在网络互联 中
发挥了核心的作用,但由于它本身存在的安全问题,让黑客们有机可乘,利用其缺
陷来对TC PIP网络进行攻击。这些攻击包括序列号欺骗、路由器攻击、源地址欺
骗和授权欺骗等。
1.1 课程设计内容

1 IP欺骗技术的原理
IP欺骗，简单来说就是 向目标知己发送源地址为非本机IP地址的数据包。IP
欺骗在各种黑客攻击方法中都得到了广泛的应用 ，不如，进行拒绝服务攻击，伪
造TCP链接，回话劫持，隐藏攻击主机地址等等。
IP 欺骗的表现形式主要有连各种：一种是攻击者伪造的IP地址不可达或者
根本不存在。这种形式的IP欺 骗，主要用于迷惑目标主机上的入侵检测系统，或
者是对目标主机进行DOS攻击，如图1所示：


图1 伪造无实际意义的IP
另一种I P欺骗则着眼于目标主机和其他主机之间的信任关系。攻击者通过在自
己发出的IP包中填入被目标主机 所信任的主机的IP来进行冒充。一旦攻击者和
目标主机之间建立了一条TCP链接（在目标主机看来， 是它和它所信任的主机之
间的链接。事实上，它是把目标主机和被信任主机之间的双向TCP链接分解成 了
两个单向的TCP连接），攻击者就可以获得对目标主机的访问权，并可以进一步进
行攻击， 如图2所示。

图2 攻击者伪装成被目标主机所信任的主机
以第二种情况为 例，说明IP欺骗攻击的过程。假设B和A进行TCP通信，
则双方需要进行一个三次握手的过程来建立 一个TCP连接。具体过程为:
(1)B发送带有SYN标志的数据段通知A需要建立TCP连接, 并将 TCP 报头中
的序列号设置成自己本次连接的初始值ISNb。
(2)A回传给B一个带有SYS+ACK标志的数据段，告之自己的 ISNa，并确认B
发送来的第一个数据段，将ACK设置成B的ISN+1。
(3)B确认收到的A的数据段,将ACK设置成A的ISN+1。
A ->B: SYN，ISNa
B ->A: SYN, ISNb,ACK(ISNa+1)
A ->B:ACK(ISNb+1)
TCP使用的数据包序列号是一个32位的计数器,计数范围为0- 4294967295。TCP
为每一个连接选择一个初始序列号ISN(Initial Sequence Number)，为了防止因
为延迟、重传等事件对三次握手过程的干扰，ISN不 能随便选取，不同系统有不同
算法。对于IP欺骗攻击来说，最重要的就是理解TCP如何分配ISN， 以及ISN随
时间变化的规律。在文献[5]中规定这一32位的序列号之值每隔4ms加1在
Berkeley UNIX中，初始序列号是由tcp init()函数确定的。ISN值每秒增加1280 00,
如果有连接出现，每次连接将把计数器的数值增加64000，这使得用于表示ISN的
32位计数器在没有连接的情况下，每9.32h复位一次。这样，将有利于最大限度
地减少旧有连接的 信息干扰当前连接的机会。
非常重要的一点就是对ISN的选择算法。事实上，由于ISN的选择不是随机的,
而是有规律可循的 ,这就为黑客欺骗目标系统创造了条件。很多进行IP欺骗的黑
客软件也主要着眼于计算ISN和伪造数 据包这两个方面。由于IP欺骗技术是针对
协议本身的缺陷来实现，所以其影响范围也十分广泛。容易遭 受IP欺骗攻击的服
务程序主要有：
·远程过程调用(RPC)。
·任何使用IP地址进行认证的服务。
·XWindow系统。
·R服务套件(包括rlogin，rsh等)。
2 IP 欺骗技术的特征以及攻击步骤
对于图1中所描述的IP欺骗攻击,其攻击步骤十分简单,攻击的效果也十分有限,
主要用于拒绝服 务攻击, 对目标系统本身不会造成破坏。而第二种IP 欺骗则能
够侵入目 标主机并造成严重破坏。本文主要分析第二种IP欺骗攻击。整个攻击过
程由若干步骤组成：
1）首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰；
2）然后连接到目标机的某个端口来猜测ISN基值和增加规律；
3）接下来把源址址伪装成被信任主机，发送带有SYN标志的数据段请求连接；
4）然后等待目标机发送SYN+ACK包给已经瘫痪的主机；
5）最后再次伪装成被信任主 机向目标机发送的ACK，此时发送的数据段带有预测
的目标机的ISN+1；
6）连接建立，发送命令请求。
还有一个重要的数据就是目标主机和被信任主机之间的往 返时间(RTT),利用这
些数据猜测出目标主机在响应攻击者TCP请求(包含信任主机的IP地址) 时所给出
的ISN，并在响应数据包的ACK中填入适当的值以欺骗目标主机，并最终和目标主
机实现同步，建立可靠的会话(单向)。
3 IP欺骗工具
常见的IP欺骗工具有如下几种[6]:
(1)Mendax:Mendax是一种非常容易使用的TCP序列号预测以及rshd欺骗工具。
(2)Hping2：Hping2是一个命令行下使用的TCPIP数据包组装分析工具，其命令模式很像Unix下的ping命令。
(3)IPSpoof: IP地址欺骗，我们可以说是一 台主机设备冒充另外一台主机的IP地
址，与其它设备通信，从而达到某种目的技术。
(4)Hunt:Hunt是一个网络嗅探器,但它也同时提供很多欺骗功能。
(5)Dsn iff:Dsniff是一个网络审计及攻击工具集。其中的arpspoof,dnsspoof,以
及macof工具可 以在网络中拦截普通攻击者通常无法获得的数据，并对这些数据
进行修改，从而达 到欺骗以及劫持会话的目的。
(6)ISNPrint:一个用于查看目标主机当前连接的ISN的工 具，但是它并不提供ISN
预测功能。可以在它的基础上添加适当的算法得到ISN的估计值。
4 防止和检测IP欺骗的方法
IP欺骗攻击虽然在原理上讲得通，但实际操作起来却非 常困难，例如确定信任
关系、猜测序列号等等。然而，要成功实现IP欺骗攻击并不是没有可能。著名黑
客凯文·米特尼克就曾经成功地运用IP欺骗攻击攻破了San D iego超级计算中心
的一台主机。并且，这一共计过程被一位名叫TsutomuShi- momura的工程师tcpdump
完全记录了下来。
通过对这一记录的分析，可以看出整个攻击的步骤主要分为：
（1） 发现信任关系。
（2） 使被信任主机丧失正常工作能力。
（3） 伪造TCP包，猜测序列号。
（4） 建立连接，获取目标主机权限。
（5） 提升权限，控制目标主机。
既然通过对tcpdump的记录进行分析，可以分析出整个攻击的过程，那么，通过
对本地网络、防火 墙以及入侵检测系统进行适当的设计和配置，就能够阻止或检
测出相应的攻击行为。首先可以采取配置边 界路由器的方法，即禁止从外网进入
却申明自己具有内部网络IP地址的数据包通过路由器(图3)。这 样，从外部进行IP
欺骗 攻击所发出的数据包就会被路由器过滤掉, 从而保 证目标主机的安全。 但
是这种方法也有缺陷:首先，如果系统要向外部主机提供信任关系，则对路由器的
配置就会失 去作用;其次，如果欺骗入侵是源于网络内部的话，配置路由器根本无
济于事。

图 3 通过配置边界路由器减少IP欺骗攻击
通过在路由器上设置过滤只能减小IP欺 骗攻击发生的可能性，而并不能从根本
上解决问题。其它减少IP欺骗攻击的方法主要包括:
(1)尽量不采用使用源地址认证的服务系统，实现基于密码的认证。
(2)如果一定要允许外部的主机进行信任连接，要在路由器上实现加密的通路。
(3)通过 改变TCPIP栈的实现来防止SYN堙没的发生。比如说从linux2.0,3.0以后
版本的内核 中，当队列将满时，它不再回送一个SYN ACK，而是回送一个SYN cookie，
同时清空队列中的SYN。当收到了对SYN cookie的回应是，才发送SYN ACK。这样
一来，当发生攻击时，队列永远不会被填满。但是目的分布式拒绝服务攻击等新
型 攻击方式，要彻底解决类似缓冲区溢出，队列填满以及堙没等问题，在系统处
理能力有限的情况下，还是 无能为力的。对于IP欺骗攻击，最终的解决办法是密
码认证机制（
cryptographi c authentication
）。由于目前的IPV4体系结构并不支持基
于密码的认证 ，所以只能采取某些预防和检测的方法。在无法从根本上阻止IP欺
骗攻击发生的情况下，应当加强对网 络的监控，今早检测到IP欺骗攻击。目前，
主要采取如下几个方法：
(1) 监测网络上的数据包。通过对网络上的数 据包进行监控，及时发现IP欺骗攻
击的前兆，比如说对信任 主机的SYN湮没以及在目标主机上有大量连接处于
“SYNRECEIVED”状态等。
( 2)对照检查本地主机之间的日志是否对应。由于大部分IP欺骗攻击是由攻击主机
来模拟信任主机，所 以通过在相互设置信任关系的主机之间，对照检查日志就可
以发现TCP连接是否被伪造。
( 3)IP欺骗的攻击目标是目标主机，但是信任主机在这一攻击中也起着相当重要
的作用。从信任主机来 说，如果它能够阻止SYN湮没的情况发生，就会向目标主机
发回响应的消息，从而阻止黑客的攻击。
同时，通过提高入侵检测系统的智能化水平，也可以发现一些潜在的攻击威胁。
比如，通过 对IP欺骗攻击步骤的分析，为入侵检测系统建立了一个较高级别的匹
配模式，并在局域网上进行了试验 。这种模式不同于包过滤防火墙中的数据包模
式匹配，而是对大量数据包之间的关系进行分析，发现其中 潜在的隐患。由于黑
客的攻击是环环相扣的，其中的每一个小的步骤看似平常，但连贯起来看则都是有目的的。对于入侵检测系统，如果还把检测停留在对单个数据包进行检查的水
平，就无法发现一些 高层次的入侵。采用高级匹配模式后，入侵检测系统可以对
大量数据包之间的潜在联系进行分析，并将结 果与已知的一些攻击模式进行匹配，
极大地提高了检测到这些入侵的可能性。今后，作者将对匹配模式的 描述以及匹
配算法做进一步的分析和优化，提高其效率和可用性。
从防范的角度来说，由于从IPV4到IPV 6的过渡还需要很长的一段时间，所以采
用IP安全协议 成为目前的主要方法之一。最早在互联网上出现的加密协议是用于
电子邮件的SMME和OpenPGP 。Net是cape在很早也就是发明了SSL。一些较新的协议
有：Microsoft的PPTP， L2TP以及IPsec等，目前这些协议主要被用来实现虚拟专
用网（VPN）。其实，IP安全协议 能做到的事情远比虚拟专用网要多，它有潜力来
保护互联网上太多数业务的安全。

1.2 实验方法

1. 实验工具
Hping2软件，装有linux操作系统的电脑。
2. 实验环境
安装Linux操作系统RedHat9.0的一台PC机以及与其联网的两台PC机。
3. 实验方法
本实验专用应用Hping方法在linux环境下测试三台电脑的连通性，和IP
欺骗。






2 设计原理
2.1 Hping2原理基础介绍
Hping是一个命令行下使用的TCPIP数据包组装分析工具，其 命令模式很像
Unix下的ping命令，但是它不是只能发送ICMP回应请求，它还可以支持TCP 、
UDP、ICMP和RAW-IP协议，它有一个路由跟踪模式，能够在两个相互包含的通道
之间传送文件。Hping常被用于检测网络和主机，其功能非常强大，可在多种操作
系统下运行，如L inux，FreeBSD，NetBSD，OpenBSD，Solaris，MacOs X，Windows。
2.2 Hping2主要功能


（1）防火墙测试
（2）实用的端口扫描
（3）网络检测，可以用不同的协议、服务类型（TOS）、IP分片
（4）手工探测MTU（最大传输单元）路径
（5）先进的路由跟踪，支持所有的协议
（5）远程操作系统探测
（6）远程的运行时间探测
（7）TCPIP堆栈审计



3设计步骤
3.1实验过程
此部分讲述实验过程，并配截图。
步骤一丶在Linux 环境下下载和安装Hping2
(1)根据平台差异，下载相应的Hping安装包。
下载地址：http:2有相应的hp ing2.0.0-rc1，
hping2.0.0-rc1，hping2.0.0-rc3版本。
(2)下载hping2.0.0-rc3到userlocalsans目录中，cp hping
userlocalsans cd userlocalsans进行解压缩：tar -zxvf S ；
(3)修改配置脚本 vi config，主要是man path变量 在config文件中找到”
INSTALL_MANPATH=”语句，如下图（图4）：

图3.1 配置脚本
将加亮处修改为INSTALL_MANPACH=`manpath | cut -f1 –d:`

图3.2 修改后的配置
键入Esc退出编辑，输入wq!保存修改。
(4) 输入.configure

图3.3 输入.configure
(5)输入make,进行编译。

图3.4输入make编译
(6) 编译完成之后，安装hping2。输入make install。

图3.5 输入make install 编译
步骤二丶在Linux 环境下使用Hping2
以局域网内某一主机作为测试对象，验证hping2的运行： 其中目标主机的IP 地址为
192.168.0.50。
(1) 不带参数的测试： hping2 192.168.0.50
使用Hping2 时，如果只指定目标主机而不设置任何参数，Hping2 会每秒钟都向目标主
机发送一个不设置任何标志且目标端口为0 的数据包（只有20Byte 的IP 头和20Byte 的
TCP头，没有有效载荷数据），以测试目标主机的反应。如下图：

图3.6 目标主机的反应
目标主机返回的数据包中R和A置位，即该主机对询问做出Reset + ACK 应答数据包，
虽然该端口没有开放，但至少可以确定目标主机是激活的。
(2) 带参数的测试：hping2 192.168.0.50 –S –p 22
向目标主机的22号端口发出SYN请求，以测试目标主机的反应。如下图：

图3.7 测试完成图
目标主机返回的数据包中的S和A置位，即该主机对询问做出了应答， 为三次握手的第
二个步骤，说明该端口是开放的。
(3) 伪装源IP地址的hping2测试：hping2 192.168.0.50 –a 192.168.0.11 -S
-a 是指—spoof，即进行“源地址欺骗”。因此上述测试 语句的含义为：将原地址伪装成
192.168.0.11向目标主机的0号端口发出SYN测试数据包 。
而此时本地主机并没有接收到任何应答的数据包，因为192.168.0.50主机只对
192.168.0.11号主机做出应答。目标主机的测试反应，如下图：

图3.8 测试完成
经过测试，hping2已经正常工作，则可以进行IP欺骗实验。
步骤三丶IP地址欺骗扫描的地址隐藏
首先对于IP地址欺骗扫描的过程做出解释，如下图：

图 3.9 IP地址欺骗扫描的地址隐藏
在这种IP欺骗方式的端口扫描过程中，涉及到3个主机，假定： 1．主机A：扫描者自
己的主机
2. 主机B：扫描者需要借助的第三方主机，假定该主机在扫描过程中不向外发送任何数
据包
3. 主机C：被扫描的目标主机 其过程为：
（1）主机A向主机C的某个TCP 端口发送一个SYN 包，并将源地址写为主机B。如
果端口是打开的，则主机C就会返回给主机B一个SYN+ACK 包；否则，主机C将返
回一个RST+ACK 包。
（2）主机A通过主机B通信中IP 头中的ID 域，应该知道主机B正在发送的数据包的
编号。
（3）根据TCPIP的相关规定，主机B对于主机C发送到某端口的SYN+ACK 包，应
该返回一个RST；而对于发来的RST 包，则应该没有反应。
（4）在一般情况下IP 数据包头部ID 域的值，每次增量为1（即每发送一个IP 包，ID
域的值增加1）。
本质上，这还是一种SYN扫描的方式。实验中，分为主机B无 网络通信和主机B有网
络通信两种情况来测试。
通过步骤二的测试表明：实验所在局域网中 IP地址为192.168.0.50的主机的0号端口是
关闭的，22号端口是开放的。因此在步骤三 中，将其作为被扫描的目标主机，即主机C。
同时对局域网中IP地址为192.168.0.11的主 机进行不带参数的Null扫描，测试结果如
下：

图 3.10 对主机192.168.0.11测试
说明192.168.0.11可以作为步骤三中的第三方主机，即主机B。
1.被利用主机无网络通信
(1) 切断192.168.0.11的网络通信。 在本机对192.168.0.11的扫描数据可以看到ID域的值比较零乱，难以找到规律。此时，
以人工方式中断192.168.0.11的网络通信，即关闭其所有的网络活动，然后再对其进行
不 带参数的Null扫描，结果如下

图3.11 对主机进行不带参数NULL扫描
可以看出Id序列号是以增量为1增加的。
(2) 扫描关闭状态的端口情况。
对C 主机的0号端口进行扫描，操作者发送的数据包中源IP 地址填上B 机的IP 地址（即
192.168.0.11），这样，C 主机(192.168.0.50)返回的数据包应该到B 主机(192.168.0.11)。
因为C主机上被扫描的0号端口没有监听（打开），C主机会向B主机发送RST+ACK
包，而B主机 对这样的数据包是不反应的，所以，操作者看到B主机发到A主机上的
IP包头中的ID域增量还是1。 结果如下：

图3.12 B 主机的ID域
(3) 扫描listenning状态的端口情况。
接下来对C主机192.168.0.50的20号端 口进行扫描，因为被扫描的端口是正在监听的，
C 主机就会向B 主机192.168.0.11发送SYN+ACK 包（试图完成一次完整的TCP 连接），
这时候，B 主机会向C 主机返回RST+ACK（因为此前B 并未向C发送过SYN 请求），
同时，B主机还需要向一直给它发Null 包的A 主机返回
RST+ACK，由于C 的介入，A 主机上看到的B 主机IP 包头中的ID 域增量将不再是1，
因此，A 主机可以断定，正在扫描的C 主机上的端口是打开的。

图3.13 A主机的ID域
(4) 以上是理想的讨论，但是在测试中，还出现了B主机的ID增量与A发送给C的测
试数据包不匹配的情况。
如(3)中显示的测试结果，其实A主机只向C发送了一个SYN 请求包，但出现了两次增
量为2的情况。通过Ethereal，发现交换机需要定时向交换局域网内的 所有主机发送广
播数据包，以维护和更新内部表项。故仅凭借B的ID值的单个增量是不够准确的。如< br>下图：

图3.14 B主机的接收数据包
上图中加框的两个数据包就是交换机发出的广播数据包，对于单个的测试包可能会有影
响。
由此我们可以看出，一方面三台主机需要位于同一个交换局域网内，即交换机需要维护
自身的地 址表；另一方面要保证没有网络通信，这样的理想状态是不可能完全达到的。
比较好的折衷方式为，每次 测试通过发送数据包的数量选项:
-c (--count)来指定数据包的个数，每次发送的数据量大到足以使操作者看到B 机上
通信流量是否发生了变化，也就由此可以判断目标端口是否正在监听了。 现在向
192.168.0.50(即C主机)的22号端口发送如下数据包：

图3.15 C主机的22号端口数据包
则主机B的应答为：

图3.16 主机B的应答
即使有若干个包序号不正确，但整体的趋势是与A发往C的测 试包一致的，那么就
可以认定主机B的22号端口是开放的。
2. 被利用主机有网络通信
对于第三方主机C有网络通信的情况，步骤上与1完全一致。实现结果上很不理想，基
本处于乱 序状态。从Ethereal抓包分布来看，TCP的数据包的数量陡然上升。下图所示
为主机A对主机 B的0号端口进行扫描的情况。由于主机B的0号端口是关闭的，理
论上ID序列号应该以1的步进递增 ，但结果很明显ID是无序的。

图3.16 主机的无序ID
3.2 实验分析
Hping2和Hwing分别工作于Linux和Windows平台下。由于hping2中使用了 许多
与linux平台相关的接口函数，因此在源代码分析中以hwing为例。
其树状图如 下图所示：其中Common完成组装，发送的过程；Getopt用于分析option；
Hwing 用于实现IP分组头，TCP报文头，伪头部和相应的置位信息，并提供用户接口。

图1.17 树状图
2. hwing中相关的类如下图所示：
(1) 程序的入口是hwing.c中的main函数完成的功能：
a)接收用户端的输入，若是相应 的选项参数option，则进行字节转换后，进行
配置，然后用一个socket发送。Hwing是 与用户的接口，而功能的完成是由后台
处理的。创建socket和发送的情况如下代码。
b)Hwing.h中，声明了ip_hdr, psd_hdr，tcp_hdr的数据结构和ip版本号等< br>IP头部需要使用的值，以及TCP的6个标志位：URG,ACK, PSH,RST,SYN,FIN等
宏定义。

图3.18 hwing相关类

(2) common与一般的网络程序类似，与网络进行交互，进行数据 包的组装发送和接收。
包括tcp包头的填充，ip报包头，相应checksum的计算，socke t的包装。可以看到
hwing.c中的main函数中的init_socks()是在common .c中实现的(红框注)。
WSADATA wsd;
SOCKET sd, rd;
是贯穿整个发送过程的socket.

(3) getopt处 理的是用户输入的option,通过argv传入。optarg保存选项的内
容;optind是选 项的下标opterr显示错误代码。

图3.19 数据包的组装发送和接收
4结束语
本实验实现了linux平台下hping2的安装，使用和IP欺骗扫描。作为lin ux
环境下一个十分有用的轻量级工具，hping2在完成简单的IP隐藏上是很有效的。
首先在hping2的安装中需要对于TCL有一定的了解，知道简单vi操作。其次hping2
中有 许多的选项，经过精心的构造和选择是可以达到很好的效果的。同时hping2
作为轻量级工具资源的 消耗是很少的。
再次通过实验环境的结果，一方面对于教材所提出的IP隐藏方法做出了验证，< br>另一方面也对于实际环境有了更深入的认识和理解。
在开题报告中，已经给出了理论上的难 点就是限制跳板的网络流量，因为假设
一个10Mbps的Ethernet网络，一个IP报文的字节 数为46-1500Bytes，选择
200Bytes作为平均分组长度则有10M200 = 50000packet per second，而ID
字段有16位，即65535，故理论上应该很快就会环回。
实验 也证明了ID字段的增量并不能够很准确地标识目标主机的情况。但是应该
注意到，在做有网络通信流量 的情况时，B主机开放的是FTP服务，这显然是个数
据流量很大的应用服务，如果是一般的80端口， 可能在数据量不是特别大的情况
下，实验是可以成功的。
也应该注意到，即便打开南邮的网页也需要多个数据包，而不是仅仅单个数据
包就可以完成。










参考文献
[1],d Stevens TCPIP Illustrated volume
2:TheImplementation[M], 北京:机械工业出版社,2000.
[2] Susan Yong Dave Aitel. The Hacker’s Handbook The Strate-gy behind Breaking into
and Defending Networks[M],北京:机械工业出版社,2006.
[3] 牛少影,江为强. 网络的攻击与防范——理论与实践[M],北京:北京邮电大学
出版社,2006.
[4] 蒋卫华. 网络安全检测与协同控制技术[M]. 北京:机械工业 出版社,2008.
[5] Laurent J. Simple active attack against TCP. http:
2001