TCP会话劫持-MSE安全攻防培训资料课件.ppt

TCP会话劫持,1,会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系。,什么是会话劫持,2,TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值的要求。这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。,基本原理,3,带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号（ackseq）的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。,基本原理,4,所谓会话，就是两台主机之间的一次通讯。例如你Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。而会话劫 持（Session Hijack），就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶 意数据，也可以在双方的会话当中进行简听，甚至可以是代替某一方主机接管会话。,会话,5,我们可以把会话劫持攻击分为两种类型：1）中间人攻击(Man In The Middle，简称MITM)2）注射式攻击（Injection）并且还可以把会话劫持攻击分为两种形式：1）被动劫持2）主动劫持被动劫持实 际上就是在后台监视双方会话的数据流，丛中获得敏感数据而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件）。,会话劫持,6,攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。不管是ARP欺骗，还是DNS欺骗，中间人攻击都改变正常的通讯流，它就相当于会话双方之间的一个透明代理，可以得到一切想知道的信息。,中间人攻击,7,嗅探器只能在共享网段内进行ARP欺骗可在交换式网络中进行ARP欺骗主要以发送欺骗性ARP报文方式进行,ARP欺骗,8,DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为DNS服务器不可能将所有现存的域名或IP地址存储在本身的存储空间里。这就是为什么DNS服务器有一个高速缓冲存储器（cache），它使得服务器可以存储DNS记录一段时间。事实上，一台DNS服务器只会记录本身所属域中的授权的主机，如果它想要知道其它的，在自身域以外主机的信息，就必须向信息持有者（另一台DNS服务器）发送请求，同时，为了不每次都发送请求，这台DNS服务器会将另一台DNS服务器返回的信息又记录下来。,DNS欺骗,9,攻击者有一台Internet上的授权的DNS服务器攻击者能修改这台服务器的DNS记录促使服务器进行递归查询,DNS欺骗,10,ARP欺骗冒充网关（局域网中）嗅探UDP53协议中的信息,DNS欺骗其他方法,11,这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。在注射式攻击中，需要实现两种技术：1）IP欺骗2）预测TCP序列号如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。,注射式攻击,12,对于IP欺骗，有两种情况需要用到：1）隐藏自己的IP地址2）利用两台机器之间的信任关系实施入侵在Unix/Linux平台上，可以直接使用 Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限在Windows平台上，不能使用Winsock，需要使用 Winpacp（也可以使用Libnet）,IP欺骗,13,根据TCP/IP中的规定，使用TCP协议进行通讯需要提供两段序列号，TCP协议使用这两段序列号确保连接同步以及安全通讯，系统的TCP/IP协议栈 依据时间或线性的产生这些值在通讯过程中，双方的序列号是相互依赖的，这也就是为什么称TCP协议是可靠的传输协议（具体可参见RFC 793）如果攻击者在这个时候进行简单会话插入，结果肯定是失败，因为会话双方“不认识”攻击者，攻击者不能提供合法的序列号。所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息,TCP会话劫持,14,在每一个数据包中，都有两段序列号，它们分别为：SEQ：当前数据包中的第一个字节的序号ACK：期望收到对方数据包中第一个字节的序号,TCP协议的序列号,15,S_SEQ：将要发送的下一个字节的序号S_ACK：将要接收的下一个字节的序号S_WIND：接收窗口/以上为服务器（Server）C_SEQ：将要发送的下一个字节的序号C_ACK：将要接收的下一个字节的序号C_WIND：接收窗口/以上为客户端（Client）,双方进行一次正常连接,16,它们之间必须符合下面的逻辑关系，否则该数据包会被丢弃，并且返回一个ACK包（包含期望的序列号）。C_ACK=C_SEQ=C_ACK+C_WINDS_ACK=S_SEQ=S_ACK+S_WIND如果不符合上边的逻辑关系，就会引申出ACK风暴(Storm),17,当会话双方接收到一个不期望的数据包后，就会用自己期望的序列号返回ACK包而在另一端，这个数据包也不是所期望的，就会再次以自己期望的序列号返回ACK于是，就这样来回往返，形成了恶性循环，最终导致ACK风暴。,ACK风暴(Storm),18,先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里然后设置包转发，最后就可以进行会话劫持了，而且不必担心会有ACK风暴出现。,解决办法,19,假设现在主机A和主机B进行一次TCP会话，C为攻击者，劫持过程如下：A向B发送一个数据包SEQ(hex):X ACK(hex):YFLAGS:-AP-Window:ZZZZ，包大小为:60B回应A一个数据包SEQ(hex):Y ACK(hex):X+60FLAGS:-AP-Window:ZZZZ，包大小为:50A向B回应一个数据包SEQ(hex):X+60 ACK(hex):Y+50FLAGS:-AP-Window:ZZZZ，包大小为:40B向A回应一个数据包SEQ(hex):Y+50 ACK(hex):X+100FLAGS:-AP-Window:ZZZZ，包大小为:30,TCP会话劫持过程,20,攻击者C冒充主机A给主机B发送一个数据包SEQ(hex):X+100 ACK(hex):Y+80FLAGS:-AP-Window:ZZZZ，包大小为:20B向A回应一个数据包SEQ(hex):Y+80 ACK(hex):X+120 FLAGS:-AP-Window:ZZZZ，包大小为:10现在，主机B执行了攻击者C冒充主机A发送过来的命令，并且返回给主机A一个数据包；但是，主机A并不能识别主机B发送过来的数据包，所以主机A会以期望的序列号返回给主机B一个数据包，随即形成ACK风暴。,21,可用ARP欺骗方法解决在会话劫持之后，也可以向会话双方发送带RST标志位的TCP包以中断会话，避免ACK风暴继续下去,解决ACK风暴问题,22,首先应该使用交换式网络替代共享式网络，虽然有工具可以在交换环境中实现会话劫持，但还是应该使用交换式网络替代共享式网络，因为这样可以防范最基本的嗅探攻击。然而，最根本的解决办法是采用加密通讯，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，这样会话劫持就无用武之地了。其次，监视网络流量，如发现网络中出现大量的ACK包，则有可能已被进行了会话劫持攻击。,会话劫持防范,23,实现中间人攻击的前提是ARP欺骗，如能阻止攻击者进行ARP欺骗，则可以阻止中间人攻击不要把网络安全信任关系建立在ip基础上或mac基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在ip+mac基础上设置静态的mac-ip对应表，不让主机刷新设定好的转换表使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播,防范ARP欺骗,24,管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性管理员定期轮询，检查主机上的ARP缓存其他思路？方法？,防范ARP欺骗,25,1.客户端主机（192.168.0.88）向发起正常的访问网页请求。2.监控服务器（例如：220.167.xxx.xxx，不同地方该服务器可能不同）就立刻向客户端发起一个伪造数据包，这个数据包的源地址被伪造成客户端请求的服务器地址，同时该数据包的内容是预先设定好的。3.客户端主机在收到该数据包后，以为是服务器端返回的，于是它根据收到的伪造数据包的要求，主动向220.167.xxx.xxx发起连接，并向220.167.xxx.xxx传输一些客户端的私人敏感信息，如客户端的拨号用户名、访问的网址、NAT内网主机数等信息。4.220.167.xxx.xxx再次将访问重定向的指令发给192.168.0.88。5.客户端根据第4步中收到的指令，再次向发起正常的访问网页请求。将客户端请求的页面传给客户端（192.168.0.88），让客户端成功完成网页访问。,实例分析-运营商推送广告,26,对于渗透内部网络，会话劫持确实是一种比较有效的方法工具：如Hunt等,总结,27,