谈谈文档加密软件基于IP主机发现

　　文档加密软件基于IP进行主机发现往往可以避免防火墙的影响，此类主机发现技术向目标文档加密软件IP地址发送精心设计的IP数据包，诱使与目标IP地址对应的存活主机反馈ICMP差错报告报文，暴露自己的存活状态。
　　在这类主机发现技术中，一种较为常用的方法是发送首部异常的IP数据包o TCP/IP体系结构中，文档加密软件IP数据包的首部包括了版本、首部长度、服务类型、总长度、协议、首部校验和等多个字段，大部分字段的格式和内容都有严格要求。如果将一些值随意填人数据包的首部，则接收数据包的主机在对数据包进行检查时往往会报错，将会向IP数据包的源主机返回“参数有问题”的ICMP差错报告报文。
　　攻击者有意构造出首部异常的IP数据包，这种异常数据包如果到达目标主机，目标主机将以ICMP差错报告报文进行反馈。如果攻击者收到被扫描IP地址反馈的差错报告报文，即可推断相应的主机在网络中存活；反之，则可以断定网络中没有与目标IP地址对应的存活主机。
　　另外一种比较常用的基于文档加密软件IP的主机发现方法是有意造成分片时间超时。分片是IP数据包在网络传输中的一种重要机制。网络的数据链路层有一个称为MTU的属性，该属性限制了数据帧的最大长度。网络类型不同，其MTU通常也不一样o IP数据包在网络传输时，常常会经过多个不同网络。只要数据包的大小比传输途中任意一个网络的MTU大，那么数据包就需要进行分片。分片将把一个IP数据包切分为多个长度小于或等于MTU的数据包，分片产生的多个数据包将独立送达目的主机。目的主机在接收到数据包的分片后将对它们进行重组，恢复出原始的IP数据包。
　　目的主机在处理数据包分片时，如果在规定的时间范围内有部分分片没有到达目的主机，目的主机由于缺少分片无法完成IP数据包重组，目的主机将向数据包的源主机发送“分片重组超时”的ICMP报文。这一点可以被攻击者利用以进行主机发现。例如，攻击者可以有意将一个IP数据包划分为3片，将数据包的第1片和第2片发往待扫描的IP地址，保留数据包的第3片不发送，如果被探测的IP地址返回“分片重组超时”的ICMP报文，则可以断定相应的主机在网络中存活。
　　可以看出，基于IP进行主机发现的实质是针对被扫描IP地址有意制造通信错误，并通过是否接收到被扫描IP地址反馈的ICMP差错报告报文来推断相应主机的工作状态。通常而言，防火墙不会对此类ICMP差错报告报文进行过滤，否则被保护的主机在通信中将丧失IC．MP差错报告的功能，这可能影响主机的正常网络通信。因此，基于文档加密软件IP的主机发现技术得到的判定结果往往是非常准确的。