TCP重叠包与SEQ、ISN

fordme

今天处理tcp重叠包的问题，与老L讨论重叠报文部分的攻击。
老L是事件组的负责人，并没有见过部分重叠的报文，坚持只有整包重传的报文。
我告知是根据tcp序列号发现有这种部分重叠的报文，我们两个争执不下。
老L非常确定的说序列号不可能能标识这种重叠包，因为序列号每种操作系统的生成都不同。
我说序列号的增加都是按照计算字节流来增加的。
老L给我找出了insecue上的一篇E文证明：按照字节流增加只是计算SEQ的一种算法而已。
我怀疑难道自己的知识和经验有错误？如果这样原先的一些做法岂不是都有误么？
我回去仔细看了老L给我的E文，但其中只是简单的几句话，于是到网上搜索了一些论文，仔细辩证。
最后才搞清楚，老L所说的ISN的生成算法，与我说的并非一回事。
不同的操作系统生成ISN可能是不同的，有的根据随机数、时间戳、HASH等得到，但同一个会话中SEQ的ISN是固定的，SEQ也是按照字节流进行递增的。也就是说tcp/ips协议吧把ISN的生成权交给了操作系统，是可变的，但SEQ计算字节流的功能是确定的。
于是继续找老L理论，又找大牛确认来我的说法。
通过此事，在争执陷入僵局时，我首先怀疑自己的知识，说明还需要对这方面的东西继续做到精通。
而之后没有直接接受，而是继续查找资料，找到理论的支持。让自己的知识得到验证，也更加深了理解。这点值得肯定，继续发扬。
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/68545/showart_1186085.html