保障與安全攻擊(6)網(wǎng)絡(luò)協(xié)議攻擊

1、網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 1攻擊（攻擊（6）網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 2網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 1 TCP/IP協(xié)議棧協(xié)議棧 2 鏈路層協(xié)議攻擊鏈路層協(xié)議攻擊 3 網(wǎng)絡(luò)層協(xié)議攻擊網(wǎng)絡(luò)層協(xié)議攻擊 4 傳輸層協(xié)議攻擊傳輸層協(xié)議攻擊 5 應(yīng)用層協(xié)議攻擊應(yīng)用層協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 3 1 TCP/IP協(xié)議棧 ISO/OSI模型將網(wǎng)絡(luò)表示為一個(gè)垂直的模塊(或分層)協(xié)議棧。每層完成特定的功能。TCP/IP協(xié)議棧只是許多支持ISO/OSI分層模型的協(xié)議棧的一種。TCP/IP通常被認(rèn)為是一個(gè)四層協(xié)議系統(tǒng)，如圖1所示。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 4 應(yīng)用程序programRARPARP

2、鏈路層物理層數(shù)據(jù)鏈路層硬件接口IGMPICMP網(wǎng)絡(luò)層IPUDPTCP傳輸層program應(yīng)用層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層圖1 ISO/OSI模型與TCP/IP協(xié)議棧 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 5ISO/OSI參考模型將網(wǎng)絡(luò)設(shè)計(jì)劃分成七個(gè)功能層。但此模型只起到一個(gè)指導(dǎo)作用，它本身并不是一個(gè)規(guī)范。例如，TCP/IP網(wǎng)絡(luò)只使用ISO/OSI模型中的五層。圖2顯示了一個(gè)簡(jiǎn)單的五層網(wǎng)絡(luò)模型，其中每層都采用了TCP/IP協(xié)議。網(wǎng)絡(luò)層和相應(yīng)的協(xié)議形成了一個(gè)模型，數(shù)據(jù)通過(guò)此模型在應(yīng)用程序和網(wǎng)絡(luò)硬件之間進(jìn)行傳遞。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 6應(yīng)用程序programprogramprogramprogramTC

3、PUDPICMPIGMPARPRARP應(yīng)用層傳輸層網(wǎng)絡(luò)層鏈路層物理層IP硬件接口傳輸線圖2 TCP/IP協(xié)議棧各相關(guān)協(xié)議 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 7圖2中，有箭頭的線表示不同的網(wǎng)絡(luò)軟件和硬件之間可能的通信信道。例如，為了和傳輸層通信，應(yīng)用程序必須與用戶數(shù)據(jù)報(bào)協(xié)議(UDP)或傳輸控制協(xié)議(TCP)模塊對(duì)話。為了和網(wǎng)絡(luò)層通信，應(yīng)用程序必須與互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMP)或者互聯(lián)網(wǎng)協(xié)議(IP)模塊對(duì)話。但是，不管數(shù)據(jù)通過(guò)什么路徑從應(yīng)用層到網(wǎng)絡(luò)層，數(shù)據(jù)都必須經(jīng)過(guò)IP模塊才能到達(dá)網(wǎng)絡(luò)硬件。在TCP/IP協(xié)議體系結(jié)構(gòu)中，每層各自負(fù)責(zé)不同的網(wǎng)絡(luò)通信功能。(1) 鏈路層：有時(shí)也稱作數(shù)據(jù)鏈路層或網(wǎng)絡(luò)接口層，通

4、常包括操作系統(tǒng)中的設(shè)備驅(qū)動(dòng)程序和計(jì)算機(jī)中對(duì)應(yīng)的網(wǎng)絡(luò)接口卡。它們一起處理與電纜(或其他任何傳輸媒介)的物理接口細(xì)節(jié)，以及數(shù)據(jù)幀(Frame)的組裝。典型的協(xié)議包括ARP(地址解析協(xié)議)和RARP。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 8(2) 網(wǎng)絡(luò)層：有時(shí)也稱作互聯(lián)網(wǎng)層，處理分組(Packet)在網(wǎng)絡(luò)中的活動(dòng)，例如分組的選路。在TCP/IP協(xié)議族中，網(wǎng)絡(luò)層協(xié)議包括IP協(xié)議(網(wǎng)際協(xié)議)，ICMP協(xié)議(互聯(lián)網(wǎng)控制報(bào)文協(xié)議)，以及IGMP協(xié)議(因特網(wǎng)組管理協(xié)議)。(3) 傳輸層：主要為兩臺(tái)主機(jī)上的應(yīng)用程序提供端到端的通信。在TCP/IP協(xié)議族中，有兩個(gè)互不相同的傳輸協(xié)議：TCP(傳輸控制協(xié)議)和UDP(用戶數(shù)據(jù)報(bào)

5、協(xié)議)。TCP為兩臺(tái)主機(jī)提供高可靠性的數(shù)據(jù)通信。它所做的工作包括把應(yīng)用程序交給它的數(shù)據(jù)分成合適的小塊(段：Segment)交給下面的網(wǎng)絡(luò)層，確認(rèn)接收到的分組報(bào)文，設(shè)置發(fā)送最后確認(rèn)分組的超時(shí)時(shí)鐘等。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 9由于傳輸層提供了高可靠性的端到端的通信，因此應(yīng)用層可以忽略所有這些細(xì)節(jié)。而另一方面，UDP則為應(yīng)用層提供一種非常簡(jiǎn)單的服務(wù)。它只是把稱作數(shù)據(jù)報(bào)(Datagram)的分組從一臺(tái)主機(jī)發(fā)送到另一臺(tái)主機(jī)，但并不保證該數(shù)據(jù)報(bào)能到達(dá)另一端。任何必要的可靠性必須由應(yīng)用層自己負(fù)責(zé)提供。(4) 應(yīng)用層：負(fù)責(zé)處理特定的應(yīng)用程序細(xì)節(jié)。幾乎各種不同的TCP/IP實(shí)現(xiàn)都會(huì)提供以下這些通用的應(yīng)用程序

6、：(1) Telnet遠(yuǎn)程登錄； 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 10(2) FTP文件傳輸協(xié)議；(3) SMTP簡(jiǎn)單郵件傳輸協(xié)議；(4) SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。下面將以圖2的層次依次介紹對(duì)各層典型協(xié)議的攻擊。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 11 2 鏈路層協(xié)議攻擊鏈路層協(xié)議攻擊 2.1 ARP簡(jiǎn)介簡(jiǎn)介IP包是被封裝在以太網(wǎng)幀內(nèi)的。以太網(wǎng)硬件并不知道有IP地址，也不理解IP地址的格式。以太網(wǎng)有它自己的地址方案，它采用的是6字節(jié)48bit的惟一硬件(MAC)地址。以太網(wǎng)數(shù)據(jù)報(bào)頭包含源和目的硬件地址。以太網(wǎng)幀通過(guò)電纜從源接口送到目標(biāo)接口，目標(biāo)接口幾乎總是在同一本地網(wǎng)絡(luò)內(nèi)，因?yàn)槁酚墒窃贗P層完成的，而不是

7、以太網(wǎng)接口層。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 12IP對(duì)目標(biāo)接口的硬件地址一無(wú)所知，它只知道分配給接口的IP地址(一個(gè)硬件接口可以有多個(gè)IP地址，但是同一網(wǎng)絡(luò)內(nèi)的多個(gè)接口不能共享同一個(gè)IP地址)。實(shí)現(xiàn)IP地址和硬件地址之間的轉(zhuǎn)換包括ARP協(xié)議(Address Resolution Protocol，把IP地址轉(zhuǎn)換為硬件地址)和與之對(duì)應(yīng)的RARP協(xié)議(Reveres Address Resolution Protocol，一般用于無(wú)盤工作站boot時(shí)向服務(wù)器查詢自己的IP地址)。主機(jī)A要向主機(jī)B建立通信連接，當(dāng)主機(jī)A的ARP緩存中沒有主機(jī)B的IP-MAC映射記錄時(shí)，主機(jī)A在網(wǎng)絡(luò)中廣播ARP請(qǐng)求數(shù)據(jù)包。

8、網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 13 該數(shù)據(jù)包被本地網(wǎng)段的所有主機(jī)(主機(jī)B、C、D)接收，這些主機(jī)將主機(jī)A的IP地址()和對(duì)應(yīng)MAC地址(aa.bb.cc.dd.ee.aa)保存在各自的ARP緩存中；同時(shí)主機(jī)B發(fā)現(xiàn)該數(shù)據(jù)包中的目的IP地址()與自身IP地址一致，對(duì)該數(shù)據(jù)包響應(yīng)，如圖4所示；其他主機(jī)(主機(jī)C、D)不響應(yīng)。主機(jī)A接收到ARP響應(yīng)后獲得主機(jī)B的IP-MAC映射，刷新ARP緩存。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 14圖3 ARP請(qǐng)求 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 15圖4 ARP響應(yīng) 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 16 2.2 ARP欺騙欺騙前面提到，網(wǎng)段上的主機(jī)接收

9、到ARP請(qǐng)求包后，將請(qǐng)求包中的源IP和源MAC取出并刷新Cache；同時(shí)接收到ARP響應(yīng)時(shí)，也會(huì)刷新Cache。但ARP本身是無(wú)類協(xié)議，本身不攜帶任何狀態(tài)信息。當(dāng)主機(jī)收到ARP數(shù)據(jù)包時(shí)，不會(huì)進(jìn)行任何的認(rèn)證就刷新Cache。利用這一點(diǎn)可以實(shí)現(xiàn)ARP欺騙，造成ARP緩存中毒(Cache Poisoning)。所謂的ARP緩存中毒就是用錯(cuò)誤的IP-MAC映射刷新主機(jī)的ARP緩存。有兩種攻擊方式：網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 17(1) 當(dāng)目標(biāo)發(fā)送ARP響應(yīng)時(shí)，會(huì)完全相信ARP響應(yīng)來(lái)自于正確的設(shè)備。這樣，當(dāng)目標(biāo)A(如圖3、4)發(fā)送ARP請(qǐng)求以獲得主機(jī)B的MAC地址時(shí)，在B響應(yīng)前，主機(jī)C以某個(gè)IP-MAC映

10、射對(duì)作出響應(yīng)，則主機(jī)A的緩存設(shè)置了錯(cuò)誤的MAC地址。從而實(shí)現(xiàn)ARP欺騙。 利用這種方式的ARP欺騙可實(shí)現(xiàn)中間人攻擊(Man in the Middle)，如圖5所示。在圖中，攻擊者接入本地網(wǎng)絡(luò)，分別向主機(jī)A和B發(fā)送適當(dāng)偽造的ARP響應(yīng)包，使A、B之間的通信都經(jīng)過(guò)攻擊者，同時(shí)，攻擊者建立轉(zhuǎn)發(fā)規(guī)則，實(shí)現(xiàn)A與B之間的數(shù)據(jù)通信。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 18圖5 中間人攻擊 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 19采用這種攻擊方式，可以監(jiān)聽、修改、切斷、劫持主機(jī)A、B之間的通信。需要注意的是，ARP緩存有一定的有效期。針對(duì)這一點(diǎn)，可以編寫簡(jiǎn)單的軟件，給目標(biāo)機(jī)器一直發(fā)送ARP響應(yīng)，保證目標(biāo)機(jī)器的ARP緩存有效。

11、某些ARP實(shí)現(xiàn)會(huì)試著給緩存中的各個(gè)映射發(fā)送請(qǐng)求。這將給攻擊者帶來(lái)一定的麻煩，因?yàn)檎嬲腎P地址會(huì)對(duì)請(qǐng)求做出響應(yīng)。不過(guò)ARP系統(tǒng)的無(wú)狀態(tài)本性再次幫了黑客的忙，也就是在請(qǐng)求被發(fā)送之前，黑客先對(duì)請(qǐng)求做出響應(yīng)從而防止請(qǐng)求被發(fā)送。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 20(2) 發(fā)送ARP請(qǐng)求，源IP地址為目標(biāo)的IP地址，而源MAC地址填充目標(biāo)MAC地址以外的其它MAC地址。這種方式將刷新所有網(wǎng)段內(nèi)主機(jī)的Cache，同時(shí)，目標(biāo)主機(jī)將彈出如下對(duì)話框如圖6所示。因?yàn)槟繕?biāo)發(fā)現(xiàn)網(wǎng)段內(nèi)存在一IP地址與本機(jī)IP地址相同的主機(jī)。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 21圖8-6 地址出現(xiàn)沖突 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 22 利用前面介紹的A

12、RP欺騙還可以演變很多種攻擊方式，如拒絕服務(wù)攻擊等。雖然，ARP攻擊被說(shuō)得很神奇，但是仔細(xì)想一下，就可以知道ARP攻擊只能被用于本地網(wǎng)絡(luò)的假冒。這意味著黑客必須已經(jīng)獲得網(wǎng)絡(luò)中某臺(tái)機(jī)器的訪問(wèn)權(quán)。另外，ARP請(qǐng)求從來(lái)不會(huì)被送到路由器以外。因此，被假冒的機(jī)器必須同黑客所控制的機(jī)器位于同一網(wǎng)段內(nèi)，也就是通過(guò)集線器或者令牌環(huán)網(wǎng)絡(luò)連接。 針對(duì)ARP重定向攻擊的最好方法是利用硬件和入侵檢測(cè)系統(tǒng)，使用交換機(jī)而不是集線器。很多交換機(jī)可以被配置成硬件地址同特定端口相關(guān)聯(lián)，而入侵檢測(cè)系統(tǒng)可以識(shí)別LAN中的IP攻擊。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 23 3 網(wǎng)絡(luò)層協(xié)議攻擊網(wǎng)絡(luò)層協(xié)議攻擊 3.1 簡(jiǎn)介簡(jiǎn)介網(wǎng)際協(xié)議IP是TC

13、P/IP的核心，也是網(wǎng)絡(luò)層中最重要的協(xié)議。IP層接收由更低層(網(wǎng)絡(luò)接口層，例如以太網(wǎng)設(shè)備驅(qū)動(dòng)程序)發(fā)來(lái)的數(shù)據(jù)包，并把該數(shù)據(jù)包發(fā)送到更高層TCP或UDP層；相反，IP層也把從TCP或UDP層接收來(lái)的數(shù)據(jù)包傳送到更低層。IP協(xié)議是不可靠的協(xié)議，因?yàn)镮P并沒有做任何事情來(lái)確認(rèn)數(shù)據(jù)包是按順序發(fā)送的或者是沒有被破壞的。IP數(shù)據(jù)包中含有發(fā)送它的主機(jī)的IP地址(源地址)和接收它的主機(jī)的IP地址(目的地址)。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 24ICMP與IP位于同一層，它通常被認(rèn)為是IP層的一個(gè)組成部分。它傳遞差錯(cuò)報(bào)文以及其它需要注意的控制信息。ICMP數(shù)據(jù)包是封裝在IP數(shù)據(jù)包的數(shù)據(jù)部分中進(jìn)行傳輸?shù)?。有關(guān)ICMP的

14、協(xié)議格式及數(shù)據(jù)包類型可參考RFC792。在網(wǎng)絡(luò)層實(shí)施網(wǎng)絡(luò)攻擊造成的主要后果是拒絕服務(wù)(DoS，Denial of Service)，此外就是IP欺騙。下面介紹幾種典型的網(wǎng)絡(luò)層協(xié)議攻擊方式。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 25 3.2 網(wǎng)絡(luò)層協(xié)議攻擊網(wǎng)絡(luò)層協(xié)議攻擊1. Smurf攻擊攻擊Smurf攻擊是以最初發(fā)動(dòng)這種攻擊的程序名Smurf來(lái)命名的。這種攻擊方法結(jié)合IP地址欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)通信充斥目標(biāo)系統(tǒng)，引起目標(biāo)系統(tǒng)拒絕為正常系統(tǒng)提供服務(wù)。當(dāng)路由器接收到一個(gè)發(fā)送給IP廣播地址(如55)的分組后，把以太網(wǎng)廣播地址FF:FF:FF:FF:FF:FF映射過(guò)來(lái)。這樣路由

15、器從因特網(wǎng)上接收到該分組，會(huì)對(duì)本地網(wǎng)段中的所有主機(jī)進(jìn)行廣播，本地網(wǎng)段接收到廣播分組后就對(duì)該分組響應(yīng)?；诖丝梢酝ㄟ^(guò)如圖7過(guò)程實(shí)施攻擊。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 26圖7 Smurf攻擊 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 27攻擊者向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組(echo請(qǐng)求，類型8，代碼0)，這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是Attacker希望攻擊的目標(biāo)系統(tǒng)。由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息，攻擊者把分組的源地址設(shè)置為目標(biāo)系統(tǒng)，因此目標(biāo)系統(tǒng)很快就會(huì)被大量的echo信息吞沒，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸

16、，從而拒絕為正常系統(tǒng)服務(wù)。這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)系統(tǒng)所在的因特網(wǎng)連接。如果反彈站點(diǎn)具有T3連接(45Mb/s)，而目標(biāo)系統(tǒng)所在的公司使用的是租用線路(56 kb/s)，則所有進(jìn)出該公司的通信都會(huì)停止下來(lái)。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 28Smurf攻擊的核心C代碼如下：void smurf (int sock，struct sockaddr_in sin，u_long dest，int psize) struct iphdr *ip; struct icmphdr *icmp; char *packet; packet = malloc(sizeof(struct iphdr) +

17、 sizeof(struct icmphdr) + psize); ip = (struct iphdr *)packet; icmp = (struct icmphdr *) (packet + sizeof(struct iphdr);網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 29memset(packet，0，sizeof(struct iphdr) + sizeof(struct icmphdr) + psize);/*下面進(jìn)行IP數(shù)據(jù)包的封裝，構(gòu)造一個(gè)源IP為目標(biāo)IP、目的IP為廣播地址的ICMP echo請(qǐng)求數(shù)據(jù)包*/ ip-tot_len = htons(sizeof(struct iphdr)

18、 + sizeof(struct icmphdr) + psize); ip-ihl = 5; ip-version = 4; ip-ttl = 255; ip-tos = 0; ip-frag_off = 0;網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 30 ip-protocol = IPPROTO_ICMP; /*協(xié)議為ICMP協(xié)議*/ ip-saddr = sin.sin_addr.s_addr; /*源地址，應(yīng)為目標(biāo)IP*/ ip-daddr = dest; /*目的地址，應(yīng)為某個(gè)廣播地址*/ ip-check = in_chksum(u_short *)ip，sizeof(struct iphdr)

19、; icmp-type = 8; /*echo請(qǐng)求的類型為8，代碼為0*/ icmp-code = 0; icmp-checksum = in_chksum(u_short *)icmp，sizeof(struct icmphdr) + psize);網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 31 sendto(sock，packet，sizeof(struct iphdr) + sizeof(struct icmphdr) + psize， 0，(struct sockaddr *)&sin，sizeof(struct sockaddr); free(packet); /* free willy!

20、*/由以上代碼可以看出，Smurf攻擊實(shí)現(xiàn)非常簡(jiǎn)單。在Smurf攻擊中還利用了IP欺騙的技術(shù)。所謂欺騙(Spoofing)，也就是造一個(gè)假的源IP地址的數(shù)據(jù)包，當(dāng)另外的主機(jī)接收到這個(gè)包，會(huì)以為包是來(lái)自假冒的發(fā)送者，這個(gè)過(guò)程稱為欺騙目標(biāo)機(jī)器。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 322. IP碎片攻擊碎片攻擊鏈路層具有最大傳輸單元MTU這個(gè)特性，它限制了數(shù)據(jù)幀的最大長(zhǎng)度，不同的網(wǎng)絡(luò)類型都有一個(gè)上限值。以太網(wǎng)的MTU是1500，可以用netstat -i命令查看MTU。如果IP層有數(shù)據(jù)包要傳，而且數(shù)據(jù)包的長(zhǎng)度超過(guò)了MTU，那么IP層就要對(duì)數(shù)據(jù)包進(jìn)行分片(Fragmentation)操作，使每一片的長(zhǎng)度都小于或

21、等于MTU。假設(shè)要傳輸一個(gè)UDP數(shù)據(jù)包，以太網(wǎng)的MTU為1500字節(jié)，一般IP首部為20字節(jié)，UDP首部為8字節(jié)，數(shù)據(jù)的凈荷(Payload)部分預(yù)留是1500208=1472字節(jié)。如果數(shù)據(jù)部分大于1472字節(jié)，就會(huì)出現(xiàn)分片現(xiàn)象。IP首部包含了分片和重組所需的信息。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 33每一IP分片都各自路由，到達(dá)目的主機(jī)后在IP層根據(jù)首部中的信息完成數(shù)據(jù)重組。但是在協(xié)議實(shí)現(xiàn)過(guò)程中，對(duì)特定分片的重組會(huì)造成錯(cuò)誤。利用這些錯(cuò)誤可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。首先介紹的碎片攻擊方式為Ping of Death。在IP首部中有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長(zhǎng)度，所以IP數(shù)據(jù)包最長(zhǎng)只能為0 xFFFF，即655

22、35字節(jié)。攻擊者發(fā)送一個(gè)長(zhǎng)度超過(guò)65535字節(jié)的Echo Request數(shù)據(jù)包，目標(biāo)主機(jī)在重組分片的時(shí)候會(huì)造成事先分配的65535字節(jié)緩沖區(qū)溢出，系統(tǒng)通常會(huì)崩潰或掛起。另一種碎片攻擊方式：淚滴(Teardrop)攻擊。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 343. ICMP路由欺騙路由欺騙微軟的Windows 98和Windows NT系統(tǒng)都保持著一張已知的路由器列表，列表中位于第一項(xiàng)的路由器是默認(rèn)路由器，如果默認(rèn)路由器關(guān)閉，則位于列表第二項(xiàng)的路由器成為缺省路由器。缺省路由可通過(guò)ICMP重定向來(lái)向發(fā)送者報(bào)告另一條到特定主機(jī)的更短路由。除了路由器，主機(jī)必須服從ICMP重定向。攻擊者可利用ICMP重定向報(bào)文破

23、壞路由，并以此增強(qiáng)其竊聽能力。如果一臺(tái)機(jī)器向網(wǎng)絡(luò)中的另一臺(tái)機(jī)器發(fā)送了一個(gè)ICMP重定向消息，就可能引起其他機(jī)器具有一張無(wú)效的路由表。如果一臺(tái)機(jī)器偽裝成路由器截獲所有到某些目標(biāo)網(wǎng)絡(luò)或全部目標(biāo)網(wǎng)絡(luò)的IP數(shù)據(jù)包，這樣就形成了竊聽。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 35通過(guò)ICMP重定向技術(shù)還可實(shí)現(xiàn)對(duì)防火墻后的機(jī)器進(jìn)行攻擊和竊聽。在一些網(wǎng)絡(luò)協(xié)議中，IP源路徑選項(xiàng)允許IP數(shù)據(jù)報(bào)告自己選擇一條通往目的主機(jī)的路徑。攻擊者試圖與防火墻后面的一個(gè)不可到達(dá)的主機(jī)A連接，只需在送出的ICMP報(bào)文中設(shè)置IP源路徑選項(xiàng)，使報(bào)文有一個(gè)目的地址指向防火墻，而最終地址是主機(jī)A。當(dāng)報(bào)文到達(dá)防火墻時(shí)被允許通過(guò)，因?yàn)樗赶蚍阑饓Χ皇侵鳈C(jī)

24、A。防火墻的IP層處理該報(bào)文的源路徑域并被發(fā)送到內(nèi)部網(wǎng)上，報(bào)文就這樣到達(dá)了不可到達(dá)的主機(jī)A了。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 36 4 傳輸層協(xié)議攻擊傳輸層協(xié)議攻擊 4.1 簡(jiǎn)介簡(jiǎn)介傳輸層提供了兩種類型的服務(wù)：TCP協(xié)議和UDP協(xié)議。如果IP數(shù)據(jù)包中有已經(jīng)封好的TCP數(shù)據(jù)包，那么IP將把它們向“上”傳送到TCP層。TCP將包排序并進(jìn)行錯(cuò)誤檢查，同時(shí)實(shí)現(xiàn)虛電路間的連接。TCP數(shù)據(jù)包中包含序列號(hào)和應(yīng)答，所以未按照順序收到的包可以被排序，而損壞的包可以被重傳。如果IP數(shù)據(jù)包中封裝的是UDP數(shù)據(jù)包，則IP將其向“上”傳送到UDP層。UDP是一個(gè)簡(jiǎn)單的協(xié)議，提供給應(yīng)用程序的服務(wù)是一種不可靠的、無(wú)連接的分組傳輸

25、服務(wù)。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 37 4.2 傳輸層協(xié)議攻擊傳輸層協(xié)議攻擊1. SYN Flood攻擊攻擊SYN Flood是當(dāng)前最流行的DoS攻擊與DDoS(分布式拒絕服務(wù))攻擊的方式之一，這是一種利用TCP協(xié)議缺陷的方法。它通過(guò)發(fā)送大量偽造的TCP連接請(qǐng)求，從而使得被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。 當(dāng)采用TCP協(xié)議傳輸數(shù)據(jù)時(shí)，在數(shù)據(jù)傳輸前，需先建立連接，這是通過(guò)所謂的TCP三次握手過(guò)程來(lái)完成的：第一步，請(qǐng)求端(客戶端)發(fā)送一個(gè)初始序號(hào)ISNC的SYN報(bào)文； 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 38第二步，服務(wù)器在收到客戶端的SYN報(bào)文后，將給客戶端發(fā)送自己的初始序列號(hào)ISNS

26、，同時(shí)將ISNC1作為確認(rèn)的SYNACK報(bào)文。第三步，客戶端對(duì)SYNACK報(bào)文確認(rèn)，同時(shí)ISNS+1，ISNC+1到此一個(gè)TCP連接完成。一次正常的三次握手過(guò)程可用圖10來(lái)描述。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 39客戶端客戶端通過(guò)發(fā)送隨機(jī)初始序列號(hào)發(fā)起連接客戶序列號(hào)1001偵聽連接服務(wù)器服務(wù)器通過(guò)發(fā)送自己的初始序列號(hào)并把客戶的序列號(hào)1作為應(yīng)答服務(wù)器序列號(hào)4999，客戶序列號(hào)應(yīng)答1002等待服務(wù)器應(yīng)答以及序列號(hào)服務(wù)器序列號(hào)應(yīng)答5000客戶端驗(yàn)證應(yīng)答，把服務(wù)器序列號(hào)1作為最終應(yīng)答發(fā)回服務(wù)器連接建立數(shù)據(jù)傳輸可以開始第一步第二步第三步圖10 正常TCP三次握手過(guò)程 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 40在TCP連接

27、的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的(第三次握手無(wú)法完成)，這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接，這段時(shí)間的長(zhǎng)度我們稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)(大約為0.52 min)；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。最后的結(jié)果往往是堆棧溢出崩潰。即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器

28、端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小)，此時(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)。這就是所謂的SYN Flood攻擊。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 412. LAND攻擊攻擊LAND攻擊是最簡(jiǎn)單的一種TCP攻擊方法：把TCP包的源地址和目的地址，源端口和目的端口都設(shè)置成相同即可。其中地址字段設(shè)置為目標(biāo)機(jī)器的IP地址，需要注意的是對(duì)應(yīng)的端口所提供的服務(wù)器必須是激活的。LAND攻擊可以非常有效地使目標(biāo)機(jī)器重新啟動(dòng)或者死機(jī)。前面提到，TCP連接的可靠性是通過(guò)三次握手實(shí)現(xiàn)初始化連接和應(yīng)答每個(gè)接收到的數(shù)據(jù)包(如果在規(guī)定時(shí)間內(nèi)應(yīng)答沒有被接收到，包被

29、重傳)來(lái)實(shí)現(xiàn)的。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 42LAND攻擊利用TCP初始連接建立期間的應(yīng)答方式存在的問(wèn)題，攻擊的關(guān)鍵在于服務(wù)器端和客戶端有各自的序列號(hào)如圖10所示。當(dāng)目標(biāo)機(jī)器把包發(fā)送給了自己(源和目的IP地址是相同的)，目標(biāo)機(jī)器等待自己的序列號(hào)得到應(yīng)答，而這個(gè)應(yīng)答卻是它自己剛剛才發(fā)送出去的，而且其應(yīng)答序列號(hào)是攻擊者的序列號(hào)(1002)。由于這個(gè)序列號(hào)同目標(biāo)機(jī)器所期望的序列號(hào)差別太大(不在接收窗口范圍內(nèi))，TCP認(rèn)為這個(gè)包有問(wèn)題，被丟棄。這樣目標(biāo)機(jī)器再次重發(fā)數(shù)據(jù)包。這對(duì)于TCP來(lái)說(shuō)，意味著“那不是我所期望的包，請(qǐng)重發(fā)”。這將導(dǎo)致無(wú)限循環(huán)：目標(biāo)機(jī)器一直給自己發(fā)送錯(cuò)誤應(yīng)答，并希望能夠看到具有正確序列

30、號(hào)的應(yīng)答返回。圖11形象地描繪了此情景。 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 43 攻擊者第一步攻擊者發(fā)起LAND攻擊，源地址和端口設(shè)置為服務(wù)器攻擊包的序列號(hào)1001服務(wù)器偵聽連接服務(wù)器通過(guò)發(fā)送自己的初始序列號(hào)并把客戶的序列號(hào)1作為應(yīng)答服務(wù)器等待客戶端發(fā)送回服務(wù)器的序列號(hào)1作為應(yīng)答。這里是5000作為應(yīng)答包的序列號(hào)服務(wù)器只看到序列號(hào)1002應(yīng)答包，因此重發(fā)服務(wù)器等待客戶端發(fā)送回服務(wù)器的序列號(hào)1作為應(yīng)答。這里是5000作為應(yīng)答包的序列號(hào)服務(wù)器只看到序列號(hào)1002應(yīng)答包，因此重發(fā) 服務(wù)器序列號(hào)4999客戶序列號(hào)應(yīng)答1002 服務(wù)器序列號(hào)4999客戶序列號(hào)應(yīng)答1002第二步第三步圖11 LAND攻擊示意圖 網(wǎng)

31、絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 44由于TCP是具有高優(yōu)先權(quán)的內(nèi)核級(jí)進(jìn)程，這也就意味著TCP相對(duì)其它非內(nèi)核應(yīng)用程序有更高的權(quán)限?；旧?，它將中斷其他的正常系統(tǒng)操作以聲明更多的內(nèi)核資源來(lái)處理進(jìn)入的數(shù)據(jù)。這樣，無(wú)限循環(huán)很快會(huì)消耗完系統(tǒng)資源，引起大多數(shù)系統(tǒng)死機(jī)。只有少數(shù)系統(tǒng)在內(nèi)核資源耗盡情況下還可以繼續(xù)穩(wěn)定運(yùn)行。3. 序列號(hào)猜測(cè)序列號(hào)猜測(cè)在很多攻擊方式中，攻擊者要冒充為另一個(gè)主機(jī)與服務(wù)器進(jìn)行TCP通信。這時(shí)攻擊者X首先以第三方T的身份向服務(wù)器S發(fā)起連接，即以T作為源地址發(fā)送一個(gè)ISNX的SYN數(shù)據(jù)包：XS：SYN(ISNX)，SRCT；網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 45服務(wù)器接收到該請(qǐng)求后，給T響應(yīng)SYNACK

32、請(qǐng)求：ST：SYN(ISNS)，ACK(ISNX1)；數(shù)據(jù)雖然沒有發(fā)送到X，但X可以通過(guò)數(shù)據(jù)包截獲等方式得到其內(nèi)容；但X要想繼續(xù)以T的身份向S發(fā)送數(shù)據(jù)，就必須得到初始序列號(hào)ISNS，然后對(duì)S的SYNACK數(shù)據(jù)包作出響應(yīng)，再發(fā)送數(shù)據(jù)：XS：ACK(ISNS1)，SRCT；XS：ACK(ISNS數(shù)據(jù)長(zhǎng)度)，SRCT；發(fā)送的數(shù)據(jù)。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 46因此，這一類的攻擊中，攻擊者需要預(yù)測(cè)服務(wù)器的初始序列號(hào)ISN。初始序列號(hào)是一個(gè)隨機(jī)數(shù)，但是在Berkeley系統(tǒng)中，ISN變量每秒鐘增加的量為一個(gè)常數(shù)，每一次初始化連接后ISN增加的量為該常數(shù)的一半。為了預(yù)測(cè)ISN，可以先向服務(wù)器請(qǐng)求合法的連接

33、來(lái)獲得當(dāng)前服務(wù)器使用的ISN，這樣就可計(jì)算出下一連接請(qǐng)求將使用的ISN。需要注意的是，在上面描述的連接過(guò)程中，主機(jī)T將收到數(shù)據(jù)包：ST：SYN(ISNS)，ACK(ISNX1)；由于T沒有發(fā)送連接請(qǐng)求，從而會(huì)發(fā)送RST數(shù)據(jù)包終止連接。為了防止這種情況的發(fā)生，可以通過(guò)洪水攻擊的方法把T淹沒，以達(dá)到冒充的目的。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 474. TCP會(huì)話劫持會(huì)話劫持前面介紹的序列號(hào)猜測(cè)是TCP主動(dòng)攻擊的前奏。下面將詳細(xì)介紹一種主動(dòng)攻擊的方法：TCP會(huì)話劫持。攻擊者重定向客戶和服務(wù)器之間的數(shù)據(jù)流，使之經(jīng)過(guò)攻擊者的機(jī)器，就可以截獲到他們之間的通信。在攻擊過(guò)程中，可以采取被動(dòng)攻擊以免引起注意，即客戶的

34、所有命令保持原樣被發(fā)送到服務(wù)器，服務(wù)器的響應(yīng)也不加修改地發(fā)送給客戶。對(duì)于客戶和服務(wù)器來(lái)說(shuō)，它們都認(rèn)為是在直接進(jìn)行通信。由于攻擊者可以看到序列號(hào)，有必要的話，它可以把偽造的數(shù)據(jù)包放到TCP流中。這將允許攻擊者以被欺騙的客戶具有的特權(quán)來(lái)訪問(wèn)服務(wù)器。攻擊者同樣也可以查看所有同攻擊相關(guān)的輸出，而且不把它們送往客戶機(jī)，這樣的攻擊是透明的。在這種情況下，攻擊者甚至于不需要知道訪問(wèn)機(jī)器所需的口令。攻擊者只需簡(jiǎn)單地等待用戶登錄到服務(wù)器，然后劫持(Hijack)會(huì)話數(shù)據(jù)流即可。圖12顯示了攻擊者是如何劫持一個(gè)TCP會(huì)話的。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 48圖12 TCP會(huì)話劫持網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 49可以看出

35、，TCP會(huì)話劫持能成功的前提首先是TCP建立連接的三次握手過(guò)程中沒有任何的認(rèn)證機(jī)制。TCP假定只要接收到的數(shù)據(jù)包包含正確的序列號(hào)就認(rèn)為數(shù)據(jù)是可以接受的。一旦連接建立，服務(wù)器將無(wú)法確定進(jìn)入的數(shù)據(jù)包是確實(shí)來(lái)自真正的客戶機(jī)器而不是某一臺(tái)假冒的機(jī)器；當(dāng)然，攻擊要成功還需要能準(zhǔn)確地獲得服務(wù)器的ISN。為了更好地描述這種攻擊的原理和方法，首先定義如下表1的術(shù)語(yǔ)：網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 50表1 術(shù)語(yǔ)SVR_SEQ 服務(wù)器將要發(fā)送的下一個(gè)字節(jié)的序列號(hào) SVR_ACK 服務(wù)器將要接收的下一個(gè)字節(jié)(所接收到的最后字節(jié)的序列號(hào)加 1) SVR_WIND 服務(wù)器的接收窗口 CLT_SEQ 客戶將要發(fā)送的下一個(gè)字節(jié)

36、的序列號(hào) CLT_ACK 客戶將要接收的下一個(gè)字節(jié) CLT_WIND 客戶的接收窗口 SEG_SEQ 包序列號(hào) SEG_ACK 包應(yīng)答號(hào) SEG_FLAG TCP 數(shù)據(jù)包控制位 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 51在數(shù)據(jù)交換前和連接處于穩(wěn)定狀態(tài)(雙方?jīng)]有數(shù)據(jù)要發(fā)送)時(shí)，有等式：SVR_SEQ = CLT_ACK和CLT_SEQ = SVR_ACK當(dāng)有數(shù)據(jù)要發(fā)送時(shí)，等式不再成立。一般情況下，有不等式：CLT_ACKSVR_SEQCLT_ACK + CLT_WINDSVR_ACKCLT_SEQSVR_ACK + SVR_WIND如果用上表中的術(shù)語(yǔ)來(lái)描述正常的TCP三次握手的話，有如下過(guò)程： (1) 客戶

37、端發(fā)起連接請(qǐng)求：SEG_SEQ=CLT_SEQ_0，SEG_FLAG = SYN。此時(shí)為SYN發(fā)送狀態(tài)。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 52(2) 服務(wù)器響應(yīng)請(qǐng)求：SEG_SEQ=SVR_SEQ_0，SEQ_ACK=CLT_SEQ_0+1，SEG_FLAG = SYN，SVR_ACK=CLT_SEQ_0+1。SYN接收狀態(tài)。(3) 客戶端確認(rèn)：SEG_SEQ=CLT_SEQ_0+1，S E Q _ A C K = S V R _ S E Q _ 0 + 1 ，CLT_ACK=SVR_SEQ_0+1。連接建立。在連接已建立的狀態(tài)，當(dāng)一個(gè)數(shù)據(jù)包的序列號(hào)落在區(qū)間：SVR_ACK，SVR_ACK+ SVR_

38、 W I N D ( 服 務(wù) 器 端 ) 或 C L T _ A C K ，CLT_ACK+CLT_WIND(客戶端)時(shí)，將被接收，否則丟棄并發(fā)送確認(rèn)。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 53在三次握手過(guò)程中，有一種狀態(tài)，我們稱“去同步狀態(tài)”。所謂的“去同步狀態(tài)”指的是通信雙方均處于連接已建立狀態(tài)，沒有數(shù)據(jù)要發(fā)送(穩(wěn)定狀態(tài))，同時(shí)有：SVR_SEQ != CLT_ACKCLT_SEQ != SVR_ACK這狀態(tài)只要沒有數(shù)據(jù)發(fā)送就是穩(wěn)定的。如果有數(shù)據(jù)要發(fā)送，可能有兩種情況：(1) 如果CLT_SEQ SVR_ACK，則包是可接收的，數(shù)據(jù)也將被存儲(chǔ)以備后用(依賴于實(shí)現(xiàn))但不發(fā)送給用戶，因?yàn)閿?shù)據(jù)流的開始部分(

39、從序列號(hào)SVR_ACK開始)丟失了。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 54(2) 如果CLT_SEQSVR_ACK + SVR_WIND或CLT_SEQ 2 QueryNQY: 1 NAN: 0 NNS: 0 NAD: 0QY: 8. PTR網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 63IP為2的DNS服務(wù)器中沒有這個(gè)反向查詢域的信息，經(jīng)過(guò)一番查詢，這個(gè)DNS服務(wù)器找到和0為74.222.38..的權(quán)威DNS服務(wù)器，所以它會(huì)向發(fā)出PTR查詢:98

40、.76.54.32 - QueryNQY: 1 NAN: 0 NNS: 0 NAD: 0QY: 8. PTR請(qǐng)注意，是我們的客戶端IP，也就是說(shuō)這臺(tái)機(jī)子是完全掌握在我們手中的。我們可以更改它的DNS記錄，讓它返回我們所需要的結(jié)果: 網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 64 - 2 AnswerNQY: 1 NAN: 2 NNS: 2 NAD: 2QY: 8. PTRAN: 8. PTR

41、AN: A NS: 74.222.38. NS NS: 74.222.38. NS AD: A AD: A 0網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 65當(dāng)2的DNS服務(wù)器收到這個(gè)應(yīng)答后，會(huì)把結(jié)果轉(zhuǎn)發(fā)給8，就是那臺(tái)有rlogin服務(wù)的UNIX主機(jī)(也是我們的目標(biāo))，并且2這臺(tái)DNS服務(wù)器會(huì)把這次的查詢結(jié)果緩存起來(lái)。這時(shí)UNIX主機(jī)就認(rèn)為IP地址為的主機(jī)名為，然后UNIX主機(jī)查詢本地的/etc/hosts.equiv文件，看這臺(tái)主機(jī)是否被允許使用rlogin服務(wù)，很顯然，我們的欺騙目的達(dá)到了。網(wǎng)絡(luò)協(xié)議攻擊網(wǎng)絡(luò)協(xié)議攻擊 66在UNIX的環(huán)境中，有另外一種技術(shù)來(lái)防止這種欺騙的發(fā)生，就是查詢PTR記錄后，也查詢