會話劫持
閱讀目錄
- 1、簡介
- 2、MITM攻擊簡介
- 3、註射式攻擊簡介
- 4、TCP會話劫持
- 5、參考文獻
1、簡介
在現實生活中,比如你去市場買菜,在交完錢後你要求先去幹一些別的事情,稍候再來拿菜;如果這個時候某個陌生人要求把菜拿走,賣菜的人會把菜給陌生人嗎?!當然,這只是一個比喻,但這恰恰就是會話劫持的喻意。所謂會話,就是兩臺主機之間的一次通訊。例如你Telnet到某臺主機,這就是一次Telnet會話;你瀏覽某個網站,這就是一次HTTP會話。而會話劫持(Session Hijack),就是結合了嗅探以及欺騙技術在內的攻擊手段。例如,在一次正常的會話過程當中,攻擊者作為第三方參與到其中,他可以在正常數據包中插入惡意數據,也可以在雙方的會話當中進行簡聽,甚至可以是代替某一方主機接管會話。
我們可以把會話劫持攻擊分為兩種類型:
1)中間人攻擊(Man In The Middle,簡稱MITM)
2)註射式攻擊(Injection)
並且還可以把會話劫持攻擊分為兩種形式:
1)被動劫持,被動劫持實際上就是在後臺監視雙方會話的數據流,叢中獲得敏感數據
2)主動劫持,而主動劫持則是將會話當中的某一臺主機“踢”下線,然後由攻擊者取代並接管會話,這種攻擊方法危害非常大,攻擊者可以做很多事情
回到頂部
2、MITM攻擊簡介
這也就是我們常說的“中間人攻擊”,在網上討論比較多的就是SMB會話劫持,這也是一個典型的中間人攻擊。要想正確的實施中間人攻擊,攻擊者首先需要使用ARP欺騙
關於ARP欺騙黑客防線介紹的比較多,網上的資料也比較多,我就不在多說了,我只簡單談談DNS欺騙。DNS(Domain Name System),即域名服務器,我們幾乎天天都要用到。對於正常的DNS請求,例如在瀏覽器輸入www.hacker.com.cn,然後系統先查看Hosts文件,如果有相對應的IP,就使用這個IP地址訪問網站(其實,利用Hosts文件就可以實現DNS欺騙);如果沒有,才去請求DNS服務器;DNS服務器在接收到請求之後,解析出其對應的IP地址,返回給我本地,最後你就可以登陸到黑客防線的網站。而DNS欺騙則是,目標將其DNS請求發送到攻擊者這裏,然後攻擊者偽造DNS響應,將正確的IP地址替換為其他IP,之後你就登陸了這個攻擊者指定的IP,而攻擊者早就在這個IP中安排好了惡意網頁,可你卻在不知不覺中已經被攻擊者下了“套”……DNS欺騙也可以在廣域網中進行,比較常見的有“Web服務器重定向”、“郵件服務器重定向”等等。但不管是ARP欺騙,還是DNS欺騙,中間人攻擊都改變正常的通訊流,它就相當於會話雙方之間的一個透明代理,可以得到一切想知道的信息,甚至是利用一些有缺陷的加密協議來實現。
回到頂部
3、註射式攻擊簡介
這種方式的會話劫持比中間人攻擊實現起來簡單一些,它不會改變會話雙方的通訊流,而是在雙方正常的通訊流插入惡意數據。在註射式攻擊中,需要實現兩種技術:
1)IP欺騙
2)預測TCP序列號
如果是UDP協議,只需偽造IP地址,然後發送過去就可以了,因為UDP沒有所謂的TCP三次握手,但基於UDP的應用協議有流控機制,所以也要做一些額外的工作。對於IP欺騙,有兩種情況需要用到:
1)隱藏自己的IP地址;
2)利用兩臺機器之間的信任關系實施入侵。
在Unix/Linux平臺上,可以直接使用Socket構造IP包,在IP頭中填上虛假的IP地址,但需要root權限;在Windows平臺上,不能使用Winsock,需要使用Winpacp(也可以使用Libnet)。例如在Linux系統,首先打開一個Raw Socket(原始套接字),然後自己編寫IP頭及其他數據。可以參考下面的實例代碼:
sockfd = socket(AF_INET, SOCK_RAW, 255);
setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on));
struct ip *ip;
struct tcphdr *tcp;
struct pseudohdr pseudoheader;
ip->ip_src.s_addr = xxx;
pseudoheader.saddr.s_addr = ip->ip_src.s_addr;
tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));
sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));
對於基於TCP協議的註射式會話劫持,攻擊者應先采用嗅探技術對目標進行簡聽,然後從簡聽到的信息中構造出正確的序列號,如果不這樣,你就必須先猜測目標的ISN(初始序列號),這樣無形中對會話劫持加大了難度。那為什麽要猜測會話雙方的序列號呢?請繼續往下看。
回到頂部
4、TCP會話劫持
本文主要敘述基於TCP協議的會話劫持。如果劫持一些不可靠的協議,那將輕而易舉,因為它們沒有提供一些認證措施;而TCP協議被欲為是可靠的傳輸協議,所以要重點討論它。
根據TCP/IP中的規定,使用TCP協議進行通訊需要提供兩段序列號,TCP協議使用這兩段序列號確保連接同步以及安全通訊,系統的TCP/IP協議棧依據時間或線性的產生這些值。在通訊過程中,雙方的序列號是相互依賴的,這也就是為什麽稱TCP協議是可靠的傳輸協議(具體可參見RFC 793)。如果攻擊者在這個時候進行會話劫持,結果肯定是失敗,因為會話雙方“不認識”攻擊者,攻擊者不能提供合法的序列號;所以,會話劫持的關鍵是預測正確的序列號,攻擊者可以采取嗅探技術獲得這些信息。
TCP協議的序列號
現在來討論一下有關TCP協議的序列號的相關問題。在每一個數據包中,都有兩段序列號,它們分別為:
SEQ:當前數據包中的第一個字節的序號
ACK:期望收到對方數據包中第一個字節的序號
假設雙方現在需要進行一次連接:
S_SEQ:將要發送的下一個字節的序號
S_ACK:將要接收的下一個字節的序號
S_WIND:接收窗口
//以上為服務器(Server)
C_SEQ:將要發送的下一個字節的序號
C_ACK:將要接收的下一個字節的序號
C_WIND:接收窗口
//以上為客戶端(Client)
它們之間必須符合下面的邏輯關系,否則該數據包會被丟棄,並且返回一個ACK包(包含期望的序列號)。
C_ACK <= C_SEQ <= C_ACK + C_WIND
S_ACK <= S_SEQ <= S_ACK + S_WIND
如果不符合上邊的邏輯關系,就會引申出一個“致命弱點”,具體請接著往下看。
致命弱點 :
這個致命的弱點就是ACK風暴(Storm)。當會話雙方接收到一個不期望的數據包後,就會用自己期望的序列號返回ACK包;而在另一端,這個數據包也不是所期望的,就會再次以自己期望的序列號返回ACK包……於是,就這樣來回往返,形成了惡性循環,最終導致ACK風暴。比較好的解決辦法是先進行ARP欺騙,使雙方的數據包“正常”的發送到攻擊者這裏,然後設置包轉發,最後就可以進行會話劫持了,而且不必擔心會有ACK風暴出現。當然,並不是所有系統都會出現ACK風暴。比如Linux系統的TCP/IP協議棧就與RFC中的描述略有不同。註意,ACK風暴僅存在於註射式會話劫持。
TCP會話劫持過程 :
假設現在主機A和主機B進行一次TCP會話,C為攻擊者(如圖2),劫持過程如下:
A向B發送一個數據包
SEQ (hex): X ACK (hex): Y
FLAGS: -AP--- Window: ZZZZ,包大小為:60
B回應A一個數據包
SEQ (hex): Y ACK (hex): X+60
FLAGS: -AP--- Window: ZZZZ,包大小為:50
A向B回應一個數據包
SEQ (hex): X+60 ACK (hex): Y+50
FLAGS: -AP--- Window: ZZZZ,包大小為:40
B向A回應一個數據包
SEQ (hex): Y+50 ACK (hex): X+100
FLAGS: -AP--- Window: ZZZZ,包大小為:30
攻擊者C冒充主機A給主機B發送一個數據包
SEQ (hex): X+100 ACK (hex): Y+80
FLAGS: -AP--- Window: ZZZZ,包大小為:20
B向A回應一個數據包
SEQ (hex): Y+80 ACK (hex): X+120
FLAGS: -AP--- Window: ZZZZ,包大小為:10
現在,主機B執行了攻擊者C冒充主機A發送過來的命令,並且返回給主機A一個數據包;但是,主機A並不能識別主機B發送過來的數據包,所以主機A會以期望的序列號返回給主機B一個數據包,隨即形成ACK風暴。如果成功的解決了ACK風暴(例如前邊提到的ARP欺騙),就可以成功進行會話劫持了。
【此文章大多摘抄於網上文章,個人未進行相應的測試,僅僅用於個人了解會話劫持,非原創文章】
【防禦方法不太懂,有大兄弟了解的,來給我介紹介紹】
回到頂部5、參考文獻
1. 《會話劫持攻擊實戰與防範》
(以上是自己的一些見解,若有不足或者錯誤的地方請各位指出)
作者:那一葉隨風 http://www.cnblogs.com/phpstudy2015-6/
原文地址:http://www.cnblogs.com/phpstudy2015-6/p/6777615.html
會話劫持