也许对连接于Internet的服务器的最大威胁是TCP劫持入侵（即我们所知的主功嗅探），尽管顺序号预测法入侵和TCP劫持法有许多相似之处，但TCP劫持之不同在于黑客将强迫网络接受其IP地址为一个可信网址来获得访问，而不是不停地猜IP地址直至正确。TCP劫持法的基本思想是，黑客控制了一台连接于入侵目标网的计算机，然后从网上断开以让网络服务器误以为黑客是实际的客户端。图3显示了一个黑客怎样操作一个TCP劫持入侵。

　　黑客通过断开和模仿实际客户端的连接来实施TCP劫持入侵

　　成功地劫持了可信任计算机之后，黑客将用自己的IP地址更换入侵目标机的每一个包的IP地址，并模仿其顺序号。安全专家称顺序号伪装为"IP模仿"，黑客用IP模仿在自己机器上模拟一个可信系统的IP地址，黑客模仿了目标计算机之后，便用灵巧的顺序号模仿法成为一个服务器的目标。

　　黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵，而且TCP劫持让黑客通过一个一次性口令请求响应系统（如共享口令系统），再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。

　　最后，TCP劫持入侵比IP模仿更具危害性，因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限，而不是模拟成一台计算机再发起一个事务。

　　三、嗅探入侵

　　利用嗅探者的被动入侵已在Internet上频繁出现，如被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。要开始一个嗅探入侵，黑客要拥有用户IP和合法用户的口令，而用一个用户的信息注册于一个分布式网络上。进入网之后，黑客嗅探传送的包并试图尽可能多地获取网上资料。

　　黑客如何实施一个被劫嗅探入侵

　　为了防止分布式网络上的嗅探入侵，系统管理员一般用一次性口令系统或票据认证系统（如 Kerberos）等识别方案。例如，一些一次性口令系统向用户提供在每次退出登录后的下次登录口令。尽管一次性口令系统和Kerberos方案能让黑客对口令的嗅探在不安全的网络上变得更加困难，但如果它们既未加密又未指明数据流时仍将面临实际的被入侵风险。图4显示了黑客如何实施被动的嗅探入侵。

　　下面描述黑客将TCP流定向到自己机器上的针对TCP的实际入侵。在黑客重新定向了TCP流之后，黑客能通过无论是一次性口令系统或票据认证系统提供的保护安全线，这样TCP连接对任何一个在连接路径上拥有TCP包嗅探器和TCP包发生器的人来说都变得非常脆弱。在后面，您将了解到一个TCP包在到达目的系统之前要经过许多系统，换句话说，只要拥有一个放置好了的嗅探器和发生器，黑客能访问任何包--它们可能包括您在Internet上传送的包。

　　在后面一部分里，我们详述了一些您可以用来检测实际入侵的方案和一些您可以用来防卫入侵的方法。黑客能用这一章节中所述的最简单的方法来侵入Internet主机系统，而且，黑客可以实施一次和被动嗅探所需资源一样少的主动非同步攻击。