TCP會話劫持-MSE安全攻防培訓資料

1、TCP會話劫持1會話劫持(Session Hijack)是一種結(jié)合了嗅探以及欺騙技術在內(nèi)的攻擊手段。廣義上說，會話劫持就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流（例如基于TCP的會話）里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成有黑客聯(lián)系。什么是會話劫持2TCP會話劫持的攻擊方式可以對基于TCP的任何應用發(fā)起攻擊，如HTTP、FTP、Telnet等。對于攻擊者來說，所必須要做的就是窺探到正在進行TCP通信的兩臺主機之間傳送的報文，這樣攻擊者就可以得知該報文的源IP、源TCP端口號、目的IP、目的TCP端號，從而可以得知其中一臺主機對將要收到的下一

2、個TCP報文段中seq和ackseq值的要求。這樣，在該合法主機收到另一臺合法主機發(fā)送的TCP報文前，攻擊者根據(jù)所截獲的信息向該主機發(fā)出一個帶有凈荷的TCP報文，如果該主機先收到攻擊報文，就可以把合法的TCP會話建立在攻擊主機與被攻擊主機之間?；驹?帶有凈荷的攻擊報文能夠使被攻擊主機對下一個要收到的TCP報文中的確認序號（ackseq）的值的要求發(fā)生變化，從而使另一臺合法的主機向被攻擊主機發(fā)出的報文被被攻擊主機拒絕。TCP會話劫持攻擊方式的好處在于使攻擊者避開了被攻擊主機對訪問者的身份驗證和安全認證，從而使攻擊者直接進入對被攻擊主機的的訪問狀態(tài)，因此對系統(tǒng)安全構(gòu)成的威脅比較嚴重?；驹?

3、所謂會話，就是兩臺主機之間的一次通訊。例如你Telnet到某臺主機，這就是一次Telnet會話；你瀏覽某個網(wǎng)站，這就是一次HTTP會話。而會話劫 持（Session Hijack），就是結(jié)合了嗅探以及欺騙技術在內(nèi)的攻擊手段。例如，在一次正常的會話過程當中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡 意數(shù)據(jù)，也可以在雙方的會話當中進行簡聽，甚至可以是代替某一方主機接管會話。會話5我們可以把會話劫持攻擊分為兩種類型：1）中間人攻擊(Man In The Middle，簡稱MITM)2）注射式攻擊（Injection）并且還可以把會話劫持攻擊分為兩種形式：1）被動劫持2）主動劫持被動劫持

4、實 際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流，叢中獲得敏感數(shù)據(jù)而主動劫持則是將會話當中的某一臺主機“踢”下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件）。會話劫持6攻擊者首先需要使用ARP欺騙或DNS欺騙，將會話雙方的通訊流暗中改變，而這種改變對于會話雙方來說是完全透明的。不管是ARP欺騙，還是DNS欺騙，中間人攻擊都改變正常的通訊流，它就相當于會話雙方之間的一個透明代理，可以得到一切想知道的信息。中間人攻擊7嗅探器只能在共享網(wǎng)段內(nèi)進行ARP欺騙可在交換式網(wǎng)絡中進行ARP欺騙主要以

5、發(fā)送欺騙性ARP報文方式進行ARP欺騙8DNS欺騙就是攻擊者冒充域名服務器的一種欺騙行為DNS服務器不可能將所有現(xiàn)存的域名或IP地址存儲在本身的存儲空間里。這就是為什么DNS服務器有一個高速緩沖存儲器（cache），它使得服務器可以存儲DNS記錄一段時間。事實上，一臺DNS服務器只會記錄本身所屬域中的授權的主機，如果它想要知道其它的，在自身域以外主機的信息，就必須向信息持有者（另一臺DNS服務器）發(fā)送請求，同時，為了不每次都發(fā)送請求，這臺DNS服務器會將另一臺DNS服務器返回的信息又記錄下來。DNS欺騙9攻擊者有一臺Internet上的授權的DNS服務器攻擊者能修改這臺服務器的DNS記錄促使服

6、務器進行遞歸查詢DNS欺騙10ARP欺騙冒充網(wǎng)關（局域網(wǎng)中）嗅探UDP53協(xié)議中的信息DNS欺騙其他方法11這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會話雙方的通訊流，而是在雙方正常的通訊流插入惡意數(shù)據(jù)。在注射式攻擊中，需要實現(xiàn)兩種技術：1）IP欺騙2）預測TCP序列號如果是UDP協(xié)議，只需偽造IP地址，然后發(fā)送過去就可以了，因為UDP沒有所謂的TCP三次握手，但基于UDP的應用協(xié)議有流控機制，所以也要做一些額外的工作。注射式攻擊12對于IP欺騙，有兩種情況需要用到：1）隱藏自己的IP地址2）利用兩臺機器之間的信任關系實施入侵在Unix/Linux平臺上，可以直接使用 Sock

7、et構(gòu)造IP包，在IP頭中填上虛假的IP地址，但需要root權限在Windows平臺上，不能使用Winsock，需要使用 Winpacp（也可以使用Libnet）IP欺騙13根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)議進行通訊需要提供兩段序列號，TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊，系統(tǒng)的TCP/IP協(xié)議棧 依據(jù)時間或線性的產(chǎn)生這些值在通訊過程中，雙方的序列號是相互依賴的，這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議（具體可參見RFC 793）如果攻擊者在這個時候進行簡單會話插入，結(jié)果肯定是失敗，因為會話雙方“不認識”攻擊者，攻擊者不能提供合法的序列號。所以，會話劫持的關鍵是預測正確的

8、序列號，攻擊者可以采取嗅探技術獲得這些信息TCP會話劫持14在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：SEQ：當前數(shù)據(jù)包中的第一個字節(jié)的序號ACK：期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號TCP協(xié)議的序列號15S_SEQ：將要發(fā)送的下一個字節(jié)的序號S_ACK：將要接收的下一個字節(jié)的序號S_WIND：接收窗口/以上為服務器（Server）C_SEQ：將要發(fā)送的下一個字節(jié)的序號C_ACK：將要接收的下一個字節(jié)的序號C_WIND：接收窗口/以上為客戶端（Client）雙方進行一次正常連接16它們之間必須符合下面的邏輯關系，否則該數(shù)據(jù)包會被丟棄，并且返回一個ACK包（包含期望的序列號）。C_ACK =

9、 C_SEQ = C_ACK + C_WINDS_ACK = S_SEQ ip對應表，不讓主機刷新設定好的轉(zhuǎn)換表使用ARP服務器。通過該服務器查找自己的ARP轉(zhuǎn)換表來響應其他機器的ARP廣播防范ARP欺騙24管理員定期用響應的ip包中獲得一個rarp請求，然后檢查ARP響應的真實性管理員定期輪詢，檢查主機上的ARP緩存其他思路？方法？防范ARP欺騙251.客戶端主機（8）向發(fā)起正常的訪問網(wǎng)頁請求。2.監(jiān)控服務器（例如：220.167.xxx.xxx，不同地方該服務器可能不同）就立刻向客戶端發(fā)起一個偽造數(shù)據(jù)包，這個數(shù)據(jù)包的源地址被偽造成客戶端請求的服務器地址，同時該數(shù)據(jù)包的內(nèi)容是預先設定好的。3.客戶端主機在收到該數(shù)據(jù)包后，以為是服務器端返回的，于是它根據(jù)收到的偽造數(shù)據(jù)包的要求，主動向220.167.xxx.xxx發(fā)起連接，并向220.167.xxx.xxx傳輸一些客戶端的私人敏感信息，如客戶端的撥號用戶名、訪問的網(wǎng)址、NAT內(nèi)網(wǎng)主機數(shù)等信息。4