安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 知识学堂 > TCP三次握手及会话劫持原理与实例

TCP三次握手及会话劫持原理与实例

时间:2017-09-27来源:未知 作者:安云网点击:
TCP三次握手及会话劫持原理与实例;首先详细了解一下TCP三次握手的过程;三次握手Three-wayHandshake;一个虚拟连接的建立是通过三次握手来实现的;1.(B)--[SYN]--(A);假如服务器A和客户机B通讯.当A要和B通信时,B;注意:一个SYN包就是

TCP三次握手及会话劫持原理与实例;首先详细了解一下TCP三次握手的过程;三次握手Three-wayHandshake;一个虚拟连接的建立是通过三次握手来实现的;1.(B)-->[SYN]-->(A);假如服务器A和客户机B通讯.当A要和B通信时,B;注意:一个SYN包就是仅SYN标记设为1的TCP;2.(B);接着,A收到后会发一个对SYN包的确认包(SY //本文来自安云网


//本文来自安云网

TCP三次握手及会话劫持原理与实例 //内容来自AnYun.ORG


//本文来自安云网

首先详细了解一下TCP三次握手的过程 //内容来自AnYun.ORG


//内容来自AnYun.ORG

三次握手Three-way Handshake

//内容来自AnYun.ORG


//内容来自安云网

一个虚拟连接的建立是通过三次握手来实现的

//内容来自安云网


//内容来自AnYun.ORG

1. (B) --> [SYN] --> (A)

//内容来自AnYun.ORG


//内容来自AnYun.ORG

假如服务器A和客户机B通讯. 当A要和B通信时,B首先向A发一个SYN (Synchronize) 标记的包,告诉A请求建立连接.

//内容来自安云网


//本文来自安云网

注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要,只有当A受到B发来的SYN包,才可建立连接,除此之外别无他法。因此,如果你的防火墙丢弃所有的发往外网接口的SYN包,那么你将不 能让外部任何主机主动建立连接。

//内容来自安云网


//本文来自安云网

2. (B) <-- [SYN/ACK] <--(A)

//内容来自AnYun.ORG


//本文来自安云网

接着,A收到后会发一个对SYN包的确认包(SYN/ACK)回去,表示对第一个SYN包的确认,并继续握手操作. //本文来自安云网


//本文来自安云网

注意: SYN/ACK包是仅SYN 和 ACK 标记为1的包.

//内容来自安云网


//内容来自安云网

3. (B) --> [ACK] --> (A)

//本文来自安云网


//内容来自安云网

B收到SYN/ACK 包,B发一个确认包(ACK),通知A连接已建立。至此,三次握手完成,一个TCP连接完成

//内容来自安云网


//内容来自AnYun.ORG

Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后,TCP连接的每个包都会设置ACK位 //内容来自安云网


//内容来自安云网

这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个 好主意). 而当状态型防火墙收到此种包时,它会先在连接表中查找是否属于哪个已建连接,否则丢弃该包 //内容来自安云网


//内容来自AnYun.ORG

四次握手Four-way Handshake //内容来自AnYun.ORG


//内容来自安云网

四次握手用来关闭已建立的TCP连接

//内容来自安云网


//内容来自安云网

1. (B) --> ACK/FIN --> (A)

//本文来自安云网


//内容来自AnYun.ORG

2. (B) <-- ACK <-- (A)

//内容来自安云网


//内容来自安云网

3. (B) <-- ACK/FIN <-- (A) //本文来自安云网


//本文来自安云网

4. (B) --> ACK --> (A)

//内容来自安云网


//内容来自AnYun.ORG

注意: 由于TCP连接是双向连接, 因此关闭连接需要在两个方向上做。ACK/FIN 包(ACK 和FIN 标记设为1)通常被认为是FIN(终结)包.然而, 由于连接还没有关闭, FIN包总是打上ACK标记. 没有ACK标记而仅有FIN标记的包不是合法的包,并且通常被认为是恶意的

//本文来自安云网


//本文来自安云网

连接复位Resetting a connection

//内容来自AnYun.ORG


//内容来自安云网

四次握手不是关闭TCP连接的唯一方法. 有时,如果主机需要尽快关闭连接(或连接超时,端口或主机不可达),RST (Reset)包将被发送. 注意在,由于RST包不是TCP连接中的必须部分, 可以只发送RST包(即不带ACK标记). 但在正常的TCP连接中RST包可以带ACK确认标记 //本文来自安云网


//本文来自安云网

请注意RST包是可以不要收到方确认的 //内容来自AnYun.ORG


//内容来自安云网

无效的TCP标记Invalid TCP Flags

//内容来自AnYun.ORG


//内容来自AnYun.ORG

到目前为止,你已经看到了 SYN, ACK, FIN, 和RST 标记. 另外,还有PSH (Push) 和URG (Urgent)标记. //内容来自安云网


//内容来自AnYun.ORG

最常见的非法组合是SYN/FIN 包. 注意:由于 SYN包是用来初始化连接的, 它不可能和 FIN和RST标记一起出现. 这也是一个恶意攻击.

//本文来自安云网


//内容来自AnYun.ORG

由于现在大多数防火墙已知 SYN/FIN 包, 别的一些组合,例如SYN/FIN/PSH, SYN/FIN/RST, SYN/FIN/RST/PSH。很明显,当网络中出现这种包时,很你的网络肯定受到攻击了。 //内容来自AnYun.ORG


//内容来自AnYun.ORG

别的已知的非法包有FIN (无ACK标记)和\包。如同早先讨论的,由于ACK/FIN包的出现是为了关闭一个TCP连接,那么正常的FIN包总是带有 ACK 标记。\包就是没有任何TCP标记的包(URG,ACK,PSH,RST,SYN,FIN都为0)。

//内容来自安云网


//内容来自AnYun.ORG

到目前为止,正常的网络活动下,TCP协议栈不可能产生带有上面提到的任何一种标记组合的TCP包。当你发现这些不正常的包时,肯定有人对你的网络不怀好意。

//内容来自安云网


//内容来自AnYun.ORG

UDP (用户数据包协议User Datagram Protocol) //内容来自安云网


//内容来自安云网

TCP是面向连接的,而UDP是非连接的协议。UDP没有对接受进行确认的标记和确认机制。对丢包的处理是在应用层来完成的。(or accidental arrival). //内容来自AnYun.ORG


//内容来自AnYun.ORG

此处需要重点注意的事情是:在正常情况下,当UDP包到达一个关闭的端口时,会返回一个UDP复位包。由于UDP是非面向连接的, 因此没有任何确认信息来确认包是否正确到达目的地。因此如果你的防火墙丢弃UDP包,它会开放所有的UDP端口(?)。

//内容来自安云网


//内容来自安云网

由于Internet上正常情况下一些包将被丢弃,甚至某些发往已关闭端口(非防火墙的)的UDP包将不会到达目的,它们将返回一个复位UDP包。 //内容来自安云网


//本文来自安云网

因为这个原因,UDP端口扫描总是不精确、不可靠的。 //本文来自安云网


//内容来自AnYun.ORG

看起来大UDP包的碎片是常见的DOS (Denial of Service)攻击的常见形式 (这里有个DOS攻击的例子,http://grc.com/dos/grcdos.htm ). //本文来自安云网


//内容来自安云网

ICMP (网间控制消息协议Internet Control Message Protocol) //内容来自AnYun.ORG


//本文来自安云网

如 同名字一样, ICMP用来在主机/路由器之间传递控制信息的协议。 ICMP包可以包含诊断信息(ping, traceroute - 注意目前unix系统中的traceroute用UDP包而不是ICMP),错误信息(网络/主机/端口 不可达 network/host/port unreachable), 信息(时间戳timestamp, 地址掩码address mask request, etc.),或控制信息 (source quench, redirect, etc.) 。

//内容来自安云网


//内容来自AnYun.ORG

你可以在http://www.iana.org/assignments/icmp-parameters中找到ICMP包的类型。 //内容来自AnYun.ORG


//本文来自安云网

尽管ICMP通常是无害的,还是有些类型的ICMP信息需要丢弃。 //内容来自AnYun.ORG


//内容来自安云网

Redirect (5), Alternate Host Address (6), Router Advertisement (9) 能用来转发通讯。

//内容来自安云网


//内容来自AnYun.ORG

Echo (8), Timestamp (13) and Address Mask Request (17) 能用来分别判断主机是否起来,本地时间 和地址掩码。注意它们是和返回的信息类别有关的。它们自己本身是不能被利用的,但它们泄露出的信息对攻击者是有用的。

//内容来自安云网


//内容来自AnYun.ORG

ICMP消息有时也被用来作为DOS攻击的一部分(例如:洪水ping flood ping,死 ping ?呵呵,有趣 ping of death)?/p>

//内容来自AnYun.ORG


//本文来自安云网

包碎片注意A Note About Packet Fragmentation //内容来自安云网


//本文来自安云网

如果一个包的大小超过了TCP的最大段长度MSS (Maximum Segment Size) 或MTU (Maximum Transmission Unit),能够把此包发往目的的唯一方法是把此包分片。由于包分片是正常的,它可以被利用来做恶意的攻击。

//内容来自AnYun.ORG


//本文来自安云网

因为分片的包的第一个分片包含一个包头,若没有包分片的重组功能,包过滤器不可能检测附加的包分片。典型的攻击Typical attacks involve in

//本文来自安云网


//内容来自AnYun.ORG

overlapping the packet data in which packet header is 典型的攻击Typical attacks involve in overlapping the packet data in which packet header isnormal until is it overwritten with different destination IP (or port) thereby bypassing firewall rules。包分片能作为 DOS 攻击的一部分,它可以crash older IP stacks 或涨死CPU连接能力。 //内容来自安云网


//内容来自AnYun.ORG

Netfilter/Iptables中的连接跟踪代码能自动做分片重组。它仍有弱点,可能受到饱和连接攻击,可以把CPU资源耗光。 握手阶段:

//内容来自安云网


//内容来自安云网

序号 方向 seq ack 1 A->B 10000 0

//内容来自安云网


//内容来自安云网

2 B->A 20000 10000+1=10001 3 A->B 10001 20000+1=20001 //内容来自AnYun.ORG


//内容来自AnYun.ORG

解释: //内容来自安云网


//本文来自安云网

1:A向B发起连接请求,以一个随机数初始化A的seq,这里假设为10000,此时ACK=0 2:B收到A的连接请求后,也以一个随机数初始化B的seq,这里假设为20000,意思是:你的请求我已收到,我这方的数据流就从这个数开始。B的ACK是A的seq加1,即10000+1=10001 3:A收到B的回复后,它的seq是它的上个请求的seq加1,即10000+1=10001,意思也是:你的回复我收到了,我这方的数据流就从这个数开始。A此时的ACK是B的seq加1,即20000+1=20001 //内容来自AnYun.ORG


//内容来自安云网

数据传输阶段: //内容来自AnYun.ORG


//本文来自安云网

序号 方向 seq ack size 23 A->B 40000 70000 1514 24 B->A 70000 40000+1514-54=41460 54 25 A->B 41460 70000+54-54=70000 1514 26 B->A 70000 41460+1514-54=42920 54 解释:

//内容来自AnYun.ORG


//本文来自安云网

23:B接收到A发来的seq=40000,ack=70000,size=1514的数据包 //内容来自AnYun.ORG


//本文来自安云网

24:于是B向A也发一个数据包,告诉B,你的上个包我收到了。B的seq就以它收到的数据包的ACK填充,ACK是它收到的数据包的SEQ加上数据包的大小(不包括以太网协议头,IP头,TCP头),以证实B发过来的数据全收到了。 25:A在收到B发过来的ack为41460的数据包时,一看到41460,正好是它的上个数据包的seq加上包的大小,就明白,上次发送的数据包已安全 到达。于是

//内容来自安云网


//内容来自AnYun.ORG

它再发一个数据包给B。这个正在发送的数据包的seq也以它收到的数据包的ACK填充,ACK就以它收到的数据包的seq(70000)加上包 的size(54)填充,即ack=70000+54-54(全是头长,没数据项)。 //内容来自AnYun.ORG


//本文来自安云网

其实在握手和结束时确认号应该是对方序列号加1,传输数据时则是对方序列号加上对方携带应用层数据的长度.如果从以太网包返回来计算所加的长度,就嫌走弯路了.

//内容来自AnYun.ORG


//内容来自AnYun.ORG

另外,如果对方没有数据过来,则自己的确认号不变,序列号为上次的序列号加上本次应用层数据发送长度.

//本文来自安云网


//内容来自安云网

通常,大家所说的入侵,都是针对一台主机,在获得管理员权限后,就很是得意;其实,真正的入侵是占领整个内部网络。 针对内部网络的攻击方法比较多,但比较有效的方法非ARP欺骗、DNS欺骗莫属了。但是,不管使用什么技术,无非都是抓取目标的数据包,然后分析出敏感数 据。如果目标内部采用的是共享式网络(采用HUB集线器连网),那只需要把网卡设置为“混杂模式”,挂上嗅探器(Sniffer),就能简听到你想得到的 数据。如果是交换式网络(采用交换机连网),这样方法就行不通了,因为对于嗅探器,有三种网络环境是无法跨越的:“网桥”、“交换机”、“路由器”。可 惜,对于ARP欺骗,交换式网络还是无能为力,如果我们借助ARP欺骗,在实现更高一层的“入侵手段”,从而真正的控制内部网络。这也就是本文要叙述的会 话劫持攻击。 一、会话劫持原理 1、什么是会话劫持

//内容来自AnYun.ORG


//本文来自安云网

在现实生活中,比如你去市场买菜,在交完钱后你要求先去干一些别的事情,稍候再来拿菜;如果这个时候某个陌生人要求把菜拿走,卖菜的人会把菜给 陌生人吗?!当然,这只是一个比喻,但这恰恰就是会话劫持的喻意。所谓会话,就是两台主机之间的一次通讯。例如你Telnet到某台主机,这就是一次 Telnet会话;你浏览某个网站,这就是一次HTTP会话。而会话劫持(Session Hijack),就是结合了嗅探以及欺骗技术在内的攻击手段。例如,在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶 意数据,也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。我们可以把会话劫持攻击分为两种类型:1)中间人攻击(Man In The Middle,简称MITM),2)注射式攻击(Injection);并且还可以把会话劫持攻击分为两种形式:1)被动劫持,2)主动劫持;被动劫持实 际上就是在后台监视双方会话的数据流,丛中获得敏感数据;而主动劫持则是将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,这种攻击方法危害非常大,攻击者可以做很多事情,比如“cat etc/master.passwd”(FreeBSD下的Shadow文件)。 

//内容来自AnYun.ORG

MITM攻击简介

//内容来自安云网

这也就是我们常说的“中间人攻击”,在网上讨论比较;这种方式的会话劫持比中间人攻击实现起来简单一些,;setsockopt(sockfd,IPPROT;structtcphdr*tcp;;structpseudohdrpseudohea;ip->ip_src.s_addr=xxx;;pseudoheader.saddr.s_add;tcp->check=tcp //内容来自AnYun.ORG


//本文来自安云网

这也就是我们常说的“中间人攻击”,在网上讨论比较多的就是SMB会话劫持,这也是一个典型的中间人攻击。要想正确的实施中间人攻击,攻击者首 先需要使用ARP欺骗或DNS欺骗,将会话双方的通讯流暗中改变,而这种改变对于会话双方来说是完全透明的。关于ARP欺骗黑客防线介绍的比较多,网上的 资料也比较多,我就不在多说了,我只简单谈谈DNS欺骗。DNS(Domain Name System),即域名服务器, 我们几乎天天都要用到。对于正常的DNS请求,例如在浏览器输入www.hacker.com.cn,然后系统先查看Hosts文件,如果有相对应的 IP,就使用这个IP地址访问网站(其实,利用Hosts文件就可以实现DNS欺骗);如果没有,才去请求DNS服务器;DNS服务器在接收到请求之后, 解析出其对应的IP地址,返回给我本地,最后你就可以登陆到黑客防线的网站。而DNS欺骗则是,目标将其DNS请求发送到攻击者这里,然后攻击者伪造 DNS响应,将正确的IP地址替换为其他IP,之后你就登陆了这个攻击者指定的IP,而攻击者早就在这个IP中安排好了恶意网页,可你却在不知不觉中已经 被攻击者下了“套”??DNS欺骗也可以在广域网中进行,比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。但不管是ARP欺骗,还是 DNS欺骗,中间人攻击都改变正常的通讯流,它就相当于会话双方之间的一个透明代理,可以得到一切想知道的信息,甚至是利用一些有缺陷的加密协议来实现。 注射式攻击简介 //内容来自安云网


//本文来自安云网

这种方式的会话劫持比中间人攻击实现起来简单一些,它不会改变会话双方的通讯流,而是在双方正常的通讯流插入恶意数据。在注射式攻击中,需要实 现两种技术:1)IP欺骗,2)预测TCP序列号。如果是UDP协议,只需伪造IP地址,然后发送过去就可以了,因为UDP没有所谓的TCP三次握手,但 基于UDP的应用协议有流控机制,所以也要做一些额外的工作。对于IP欺骗,有两种情况需要用到:1)隐藏自己的IP地址;2)利用两台机器之间的信任关 系实施入侵。在Unix/Linux平台上,可以直接使用Socket构造IP包,在IP头中填上虚假的IP地址,但需要root权限;在Windows 平台上,不能使用Winsock,需要使用Winpacp(也可以使用Libnet)。例如在Linux系统,首先打开一个Raw Socket(原始套接字),然后自己编写IP头及其他数据。可以参考下面的实例代码: sockfd = socket(AF_INET, SOCK_RAW, 255); //内容来自AnYun.ORG


//本文来自安云网

setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; //内容来自AnYun.ORG


//本文来自安云网

struct tcphdr *tcp; //本文来自安云网


//内容来自AnYun.ORG

struct pseudohdr pseudoheader; //内容来自AnYun.ORG


//内容来自AnYun.ORG

ip->ip_src.s_addr = xxx;

//本文来自安云网


//本文来自安云网

pseudoheader.saddr.s_addr = ip->ip_src.s_addr; //内容来自AnYun.ORG


//本文来自安云网

tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));

//内容来自AnYun.ORG


//内容来自安云网

sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));

//内容来自安云网


//内容来自安云网

对于基于TCP协议的注射式会话劫持,攻击者应先采用嗅探技术对目标进行简听,然后从简听到的信息中构造出正确的序列号,如果不这样,你就必须先猜测目标的ISN(初始序列号),这样无形中对会话劫持加大了难度。那为什么要猜测会话双方的序列号呢?请继续往下看。

//内容来自安云网


//内容来自AnYun.ORG

2、TCP会话劫持 //本文来自安云网


//内容来自安云网

本文主要叙述基于TCP协议的会话劫持。如果劫持一些不可靠的协议,那将轻而易举,因为它们没有提供一些认证措施;而TCP协议被欲为是可靠的传输协议,所以要重点讨论它。 //本文来自安云网


//内容来自AnYun.ORG

根据TCP/IP中的规定,使用TCP协议进行通讯需要提供两段序列号,TCP协议使用这两段序列号确保连接同步以及安全通讯,系统的 TCP/IP协议栈依据时间或线性的产生这些值。在通讯过程中,双方的序列号是相互依赖的,这也就是为什么称TCP协议是可靠的传输协议(具体可参见 RFC 793)。如果攻击者在这个时候进行会话劫持,结果肯定是失败,因为会话双方“不认识”攻击者,攻击者不能提供合法的序列号;所以,会话劫持的关键是预测 正确的序列号,攻击者可以采取嗅探技术获得这些信息。

//本文来自安云网


//内容来自安云网

TCP协议的序列号

//本文来自安云网


//本文来自安云网

现在来讨论一下有关TCP协议的序列号的相关问题。在每一个数据包中,都有两段序列号,它们分别为:

//内容来自安云网


//本文来自安云网

SEQ:当前数据包中的第一个字节的序号 //本文来自安云网


//本文来自安云网

ACK:期望收到对方数据包中第一个字节的序号 //内容来自AnYun.ORG


//本文来自安云网

假设双方现在需要进行一次连接:

//本文来自安云网


//内容来自安云网

S_SEQ:将要发送的下一个字节的序号 //内容来自AnYun.ORG


//内容来自安云网

S_ACK:将要接收的下一个字节的序号 //内容来自AnYun.ORG


//本文来自安云网

S_WIND:接收窗口

//内容来自AnYun.ORG


//内容来自AnYun.ORG

//以上为服务器(Server) //内容来自安云网


//本文来自安云网

C_SEQ:将要发送的下一个字节的序号

//本文来自安云网


//内容来自安云网

C_ACK:将要接收的下一个字节的序号

//内容来自安云网


//内容来自AnYun.ORG

C_WIND:接收窗口

//内容来自安云网


//内容来自安云网

//以上为客户端(Client)

//内容来自安云网


//内容来自安云网

它们之间必须符合下面的逻辑关系,否则该数据包会被丢弃,并且返回一个ACK包(包含期望的序列号)。

//本文来自安云网


//本文来自安云网

C_ACK <= C_SEQ <= C_ACK + C_WIND //内容来自AnYun.ORG


//内容来自AnYun.ORG

S_ACK <= S_SEQ <= S_ACK + S_WIND

//内容来自安云网


//内容来自安云网

如果不符合上边的逻辑关系,就会引申出一个“致命弱点”,具体请接着往下看。 //本文来自安云网


//本文来自安云网

致命弱点

//内容来自安云网


//内容来自安云网

这个致命的弱点就是ACK风暴(Storm)。当会话双方接收到一个不期望的数据包后,就会用自己期望的序列号返回ACK包;而在另一端,这个 数据包也不是所期望的,就会再次以自己期望的序列号返回ACK包??于是,就这样来回往返,形成了恶性循环,最终导致ACK风暴。比较好的解决办法是先进 行ARP欺骗,使双方的数据包“正常”的发送到攻击者这里,然后设置包转发,最后就可以进行会话劫持了,而且不必担心会有ACK风暴出现。当然,并不是所 有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意,ACK风暴仅存在于注射式会话劫持。

//本文来自安云网


//本文来自安云网

TCP会话劫持过程 //本文来自安云网


//内容来自安云网

假设现在主机A和主机B进行一次TCP会话,C为攻击者,劫持过程如下: A向B发送一个数据包 //内容来自安云网


//内容来自AnYun.ORG

SEQ (hex): X ACK (hex): Y

//内容来自安云网


//本文来自安云网

FLAGS: -AP--- Window: ZZZZ,包大小为:60

//本文来自安云网


//内容来自AnYun.ORG

B回应A一个数据包 //本文来自安云网


//内容来自安云网

SEQ (hex): Y ACK (hex): X+60 //本文来自安云网


//内容来自AnYun.ORG

FLAGS: -AP--- Window: ZZZZ,包大小为:50

//内容来自安云网


//内容来自AnYun.ORG

A向B回应一个数据包

//内容来自AnYun.ORG


//本文来自安云网

SEQ (hex): X+60 ACK (hex): Y+50

//本文来自安云网


//内容来自安云网

FLAGS: -AP--- Window: ZZZZ,包大小为:40 //本文来自安云网


//内容来自AnYun.ORG

B向A回应一个数据包 //内容来自AnYun.ORG


//本文来自安云网

SEQ (hex): Y+50 ACK (hex): X+100 //本文来自安云网


//本文来自安云网

FLAGS: -AP--- Window: ZZZZ,包大小为:30

//内容来自AnYun.ORG


//内容来自安云网

攻击者C冒充主机A给主机B发送一个数据包

//内容来自安云网


//内容来自安云网

SEQ (hex): X+100 ACK (hex): Y+80 //内容来自AnYun.ORG


//内容来自AnYun.ORG

FLAGS: -AP--- Window: ZZZZ,包大小为:20 //本文来自安云网


//内容来自安云网

B向A回应一个数据包 //内容来自AnYun.ORG


//内容来自AnYun.ORG

SEQ (hex): Y+80 ACK (hex): X+120

//内容来自AnYun.ORG


//内容来自AnYun.ORG

FLAGS: -AP--- Window: ZZZZ,包大小为:10 //内容来自安云网


//本文来自安云网

现在,主机B执行了攻击者C冒充主机A发送过来的命令,并且返回给主机A一个数据包;但是,主机A并不能识别主机B发送过来的数据包,所以主机A会以期望的序列号返回给主机B一个数据包,随即形成ACK风暴。如果成功的解决了ACK风暴(例如前边提到的ARP欺骗),就可以成功进行会话劫持了。 关于理论知识就说到这里,下面我以具体的实例演示一次会话劫持。

//本文来自安云网


//内容来自安云网

二、会话劫持实践

//本文来自安云网


//内容来自安云网

1、唠叨几句 //内容来自安云网


//内容来自安云网

可以进行会话劫持的工具很多,比较常用有Juggernaut,它可以进行TCP会话劫持的网络Sniffer程序;TTY Watcher,而它是针对单一主机上的连接进行会话劫持。还有如Dsniff这样的工具包也可以实现会话劫持,只是看你会不会使用了。但,能将会话劫持 发挥得淋漓尽致的,还要算Hunt这个工具了。它的作者是Pavel Krauz,可以工作在Linux和一些Unix平台下。它的功能非常强大,首先,无论是在共享式网络还是交换式网络,它都可以正常工作;其次,可以进行 中间人攻击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述,我们知道在注射式攻击中,容易出现ACK风暴,解决办法是先进 行ARP欺骗;而使用Hunt进行注射式攻击时,它并不进行ARP欺骗,而是在会话劫持之后,向会话双方发送带RST标志位的TCP包以中断会话,避免 ACK风暴继续下去。而中间人攻击是先进行ARP欺骗,然后进行会话劫持。Hunt目前最新版本是1.5,可以到Pavel Krauz网站下载源代码包和二进制文件:http://lin.fsid.cvut.cz/~kra/#hunt。 //内容来自AnYun.ORG


//本文来自安云网

现在来看看如果使用Hunt,首先是下载并编译源代码:

//内容来自安云网


//本文来自安云网

[[email protected] hunt]#wget http://www.ringz.org/hunt-1.5.tgz //内容来自安云网


//内容来自AnYun.ORG

[[email protected] hunt]#tar zxvf hunt-1.5.tgz

//内容来自AnYun.ORG


//内容来自安云网

[[email protected] hunt]#cd hunt-1.5

//本文来自安云网


//本文来自安云网

[[email protected] hunt-1.5]#make //本文来自安云网


//内容来自安云网

[[email protected] hunt-1.5]#./hunt

//内容来自AnYun.ORG


//本文来自安云网

//Hunt是完全交互试的操作 //内容来自AnYun.ORG


//本文来自安云网

解释一下各个选项的含义 //内容来自AnYun.ORG


//本文来自安云网

l/w/r) list/watch/reset connections //内容来自安云网


//内容来自安云网

//l(字母l)为查看当前网络上的会话;w为监视当前网络上的某个会话;r为重置当前网络上的某个会话。 //内容来自安云网


//内容来自AnYun.ORG

a) arp/simple hijack (avoids ack storm if arp used) //本文来自安云网


//内容来自安云网

//中间人攻击(会话劫持),Hunt先进行ARP欺骗,然后进行会话劫持。使用此方法可以避免出现ACK风暴。

//内容来自AnYun.ORG


//内容来自AnYun.ORG

s) simple hijack

//内容来自安云网


//本文来自安云网

//简单的会话劫持,也就是注射式攻击。会出现ACK风暴。

//内容来自AnYun.ORG


//本文来自安云网

d) daemons rst/arp/sniff/mac //内容来自安云网


//内容来自安云网

//该选项共实现四个功能,分别为:终止会话,自动发送带RST标志位的TCP包;ARP欺骗后进行数据包转发;不用说了,嗅探功能;在当前网络上收集MAC地址。

//内容来自AnYun.ORG


//本文来自安云网

其他的选项很简单,不在多说了。还是来看看具体的例子吧,我想大家都等不及了!^_^

//本文来自安云网


//内容来自AnYun.ORG

2、应用实例 //内容来自安云网


//内容来自安云网

测试环境: //本文来自安云网


//内容来自安云网

攻击者:Red Hat Linux 9.0 IP:192.168.0.10 //内容来自安云网


//内容来自安云网

主机A:Windows Advanced Server IP:192.168.0.1 //内容来自安云网


//本文来自安云网

主机B:FreeBSD 4.9 STABLE IP:192.168.0.20

//本文来自安云网


//内容来自AnYun.ORG

[[email protected] hunt-1.5]#./hunt //内容来自AnYun.ORG


//内容来自安云网

/*

//本文来自安云网


//本文来自安云网

* hunt 1.5 //本文来自安云网


//本文来自安云网

* multipurpose connection intruder / sniffer for Linux //内容来自安云网


//本文来自安云网

* (c) 1998-2000 by kra

//内容来自AnYun.ORG


//内容来自AnYun.ORG

*/ //本文来自安云网


//内容来自安云网

starting hunt //本文来自安云网


//内容来自安云网

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------

//内容来自安云网


//内容来自安云网

l/w/r) list/watch/reset connections

//内容来自AnYun.ORG


//本文来自安云网

u) host up tests //本文来自安云网


//内容来自安云网

a) arp/simple hijack (avoids ack storm if arp used) //内容来自安云网


//内容来自AnYun.ORG

s) simple hijack

//内容来自安云网


//内容来自AnYun.ORG

d) daemons rst/arp/sniff/mac //内容来自安云网


//内容来自AnYun.ORG

o) options //内容来自AnYun.ORG


//内容来自安云网

x) exit //本文来自安云网


//内容来自AnYun.ORG

*> l //查看当前网络上的会话 //内容来自AnYun.ORG


//内容来自安云网

0)192.168.0.1 [3465] ?192.168.0.20 [23]

//本文来自安云网


//内容来自AnYun.ORG

//主机A正在Telnet到主机B //本文来自安云网


//本文来自安云网

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------

//本文来自安云网


//内容来自安云网

l/w/r) list/watch/reset connections

//内容来自AnYun.ORG


//本文来自安云网

u) host up tests

//内容来自AnYun.ORG


//内容来自安云网

a) arp/simple hijack (avoids ack storm if arp used) //内容来自安云网


//本文来自安云网

s) simple hijack //本文来自安云网


//内容来自AnYun.ORG

d) daemons rst/arp/sniff/mac

//内容来自AnYun.ORG


//内容来自AnYun.ORG

o) options

//内容来自AnYun.ORG


//内容来自AnYun.ORG

x) exit //内容来自安云网


//本文来自安云网

*> w //监视当前网络上的会话

//内容来自AnYun.ORG


//内容来自安云网

0)192.168.0.1 [3465] ?192.168.0.20 [23] //内容来自AnYun.ORG


//内容来自AnYun.ORG

Choose conn>0 //选择打算监视的会话。由于我的条件有限,不能模拟多个会话,请多见量。

//内容来自安云网


//内容来自安云网

Dump [s]rc/[d]st/[b]oth [b]> //回车 //本文来自安云网


//内容来自安云网

Print sec/dst same charactes y/n [n]> //回车 现在就可以监视会话了。主机A输入的一切内容,我们都可以看到。主机A在Telnet并登陆之后,直接su root,password:后边的就是root的密码。现在这个系统已经完全由你所控制了,自由发挥吧! //内容来自安云网


//内容来自AnYun.ORG

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------ //内容来自安云网


//本文来自安云网

l/w/r) list/watch/reset connections //内容来自安云网


//本文来自安云网

u) host up tests //内容来自AnYun.ORG


//内容来自AnYun.ORG

a) arp/simple hijack (avoids ack storm if arp used) //内容来自AnYun.ORG

s)simplehijack;d)daemonsrst/arp/sniff/m;o)options;x)exit;*>s//进行注射式会话劫持;0)192.168.0.1[3465]?192.;chooseconn>0;dumpconnectiony/n[n]>;Enterthecommandstringyou;---MainMenu---rcvpkt0,f //内容来自安云网


//内容来自安云网

s) simple hijack

//内容来自AnYun.ORG


//内容来自安云网

d) daemons rst/arp/sniff/mac

//本文来自安云网


//本文来自安云网

o) options

//内容来自AnYun.ORG


//内容来自安云网

x) exit

//内容来自AnYun.ORG


//内容来自安云网

*> s //进行注射式会话劫持

//内容来自AnYun.ORG


//内容来自安云网

0)192.168.0.1 [3465] ?192.168.0.20 [23]

//内容来自安云网


//内容来自AnYun.ORG

choose conn> 0

//内容来自AnYun.ORG


//内容来自AnYun.ORG

dump connection y/n [n]> //内容来自安云网


//内容来自AnYun.ORG

Enter the command string you wish executed or [cr]> cat /etc/passwd 攻击者的意图是获取主机B的passwd文件的内容,但由于注射式会话劫持缺陷,导致了ACK风暴,所以Hunt向会话双方发送了一个带RST标志位的TCP包来阻止ACK风暴。

//本文来自安云网


//内容来自安云网

--- Main Menu --- rcvpkt 0, free/alloc 63/64 ------ //本文来自安云网


//本文来自安云网

l/w/r) list/watch/reset connections

//内容来自AnYun.ORG


//内容来自安云网

u) host up tests

//内容来自AnYun.ORG


//内容来自安云网

a) arp/simple hijack (avoids ack storm if arp used)

//内容来自AnYun.ORG


//内容来自安云网

s) simple hijack //内容来自安云网


//内容来自安云网

d) daemons rst/arp/sniff/mac

//内容来自AnYun.ORG


//本文来自安云网

o) options

//内容来自AnYun.ORG


//内容来自AnYun.ORG

x) exit //本文来自安云网


//内容来自AnYun.ORG

*> a //进行中间人会话劫持

//内容来自安云网


//内容来自安云网

0)192.168.0.1 [3862] ?192.168.0.20 [23]

//内容来自安云网


//内容来自安云网

choose conn> 0 //内容来自安云网


//内容来自AnYun.ORG

arp spoof src in dst y/n [y]>

//本文来自安云网


//内容来自AnYun.ORG

src MAC [XX:XX:XX:XX:XX:XX]> //内容来自AnYun.ORG


//内容来自安云网

arp spoof dst in src y/n [y]> //内容来自AnYun.ORG


//内容来自AnYun.ORG

dst MAC [XX:XX:XX:XX:XX:XX]> //内容来自AnYun.ORG


//内容来自安云网

input mode [r]aw, [l]ine+echo+\r, line+[e]cho [r]>

//内容来自AnYun.ORG


//内容来自AnYun.ORG

dump connectin y/n [y]> n

//内容来自安云网


//内容来自安云网

press key to take voer of connection

//本文来自安云网


//本文来自安云网

ARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FA

//内容来自安云网


//本文来自安云网

ILED

//内容来自AnYun.ORG


//内容来自安云网

do you want to force arp spoof nutil successed y/n [y]> //内容来自AnYun.ORG


//内容来自AnYun.ORG

CTRL-C to break //内容来自AnYun.ORG


//内容来自AnYun.ORG

CTRL+C //手工输入CTRL+C中断,不需等待 //本文来自安云网


//内容来自安云网

-- operation canceled - press any key>

//内容来自AnYun.ORG


//本文来自安云网

ARP spoof failed

//内容来自安云网


//本文来自安云网

ARP spoof of 192.168.0.20 in host 192.168.0.1 FAILED

//内容来自AnYun.ORG


//本文来自安云网

you took over the connection

//本文来自安云网


//内容来自AnYun.ORG

CTRL-] to break

//内容来自安云网


//内容来自安云网

-bash-2.05b$id

//内容来自AnYun.ORG


//内容来自AnYun.ORG

.................... //内容来自安云网


//内容来自AnYun.ORG

现在,攻击者已经成功的劫持了主机A和B之间的Telnet会话。主机A输入的一切命令攻击者都可以看到,并且攻击者也可以自行插入命令。正如 前边所说的,这种会话劫持方式先进行ARP欺骗,然后才劫持,所以,ACK风暴是不会出现的;而且,这种方式要比注射式会话劫持危害更大,从上文中我想就 能看出来,我就不必在多说什么了。还有一些如Sniffer等功能,都很简单,由于已不在本文范畴,故不在多说。 //内容来自AnYun.ORG


//内容来自AnYun.ORG

三、会话劫持防范

//本文来自安云网


//本文来自安云网

防范会话劫持是一个比较大的工程。首先应该使用交换式网络替代共享式网络,虽然像Hunt这样的工具可以在交换环境中实现会话劫持,但还是应该 使用交换式网络替代共享式网络,因为这样可以防范最基本的嗅探攻击。然而,最根本的解决办法是采用加密通讯,使用SSH代替Telnet、使用SSL代替 HTTP,或者干脆使用IPSec/VPN,这样会话劫持就无用武之地了。其次,监视网络流量,如发现网络中出现大量的ACK包,则有可能已被进行了会话 劫持攻击。 //本文来自安云网


//内容来自安云网

还有一点是比较重要的,就是防范ARP欺骗。实现中间人攻击的前提是ARP欺骗,如能阻止攻击者进行ARP欺骗,中间人攻击还怎样进行?!如何防范ARP欺骗,黑客防线有过详细的介绍,可以参考2003年第9期杂志。

//本文来自安云网


//内容来自AnYun.ORG

总结 //内容来自安云网


//内容来自安云网

对于渗透内部网络,会话劫持确实是一种比较有效的方法,我们应该掌握。本文的实践性很强,请大家务必动手试试,并希望能掌握此技术。Hunt这个强悍的工具使用方法很简单,但却可以把会话劫持发挥淋漓尽致,真佩服作者的编程功底。

//内容来自安云网


//内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容