一、介绍

长时间来，因特网中一直存在针对TCP连接的大量off-path攻击。这些攻击有很多种不同的形式，例如trust-relationship exploitation、denial-of-service attack[CPNI-TCP]。对于这些攻击的讨论可以追溯回至少1985年，当时Morris[Morris1985]描述了一种基于猜测在两个已知终端间创建新连接时的TCP sequence numbers[RFC0793]的攻击方式。

1996年时，RFC 1948[RFC1948]提出了一种选择TCP initial sequence numbers（ISNs）的算法，这种算法可以减少off-path攻击者猜测到正确的sequence numbers。在使用这个算法的情况下，这种攻击仅会在攻击者已经有能力执行”man-in-the-middle“攻击的情况下才能继续执行。

二、ISN的生成

RFC 793[RFC0793]建议选取一个连接的ISN的过程并不是随意的，而是应当减少一个先前连接中的旧段被一个新incarnation所接受。RFC 793[RFC0793]建议使用一个大约每4微秒自增1的32位全局ISN生成器。

三、建议使用的ISN生成算法

参考-RFC 6528
txt版本