1、1 課題十 TCP會話劫持攻擊網(wǎng)絡(luò)安全運行與維護2 課題SUBJECT信息教學(xué)任務(wù)：TCP會話劫持攻擊知識目標：了解TCP 會話劫持原理；了解TCP 會話劫持方法；TCP會話劫持攻擊的檢測和防范能力目標：能夠進行TCP會話劫持攻擊和防范重 點：TCP會話劫持攻擊的檢測和防范難 點：TCP會話劫持攻擊教學(xué)方法：演示法、案例教學(xué)法、任務(wù)驅(qū)動法課堂類型：新授課教 具：PC機、教學(xué)軟件3 內(nèi)容CONTENTS導(dǎo)航TCP 會話劫持原理TCP 會話劫持方法TCP會話劫持攻擊TCP會話劫持攻擊的檢測和防范4 TCP 會話劫持原理l所謂會話: 就是兩臺主機之間的一次通訊。例如你Telnet到某臺主機，這就是一

2、次Telnet會話；你瀏覽某個網(wǎng)站，這就是一次HTTP會話。l會話劫持（Session Hijack）: 就是結(jié)合了嗅探以及欺騙技術(shù)在內(nèi)的攻擊手段。例如，在一次正常的會話過程當(dāng)中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡意數(shù)據(jù)，也可以在雙方的會話當(dāng)中進行監(jiān)聽，甚至可以是代替某一方主機接管會話。5 TCP 會話劫持原理ClientServerSYN JSYN K SEQ J+1ACK K+1SYN_SENTSYN_RCVDESTABLISHEDESTABLISHED6 TCP會話劫持的工作原理：TCP會話劫持實驗拓撲：7 TCP 會話劫持原理l根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)

3、議進行通訊需要提供兩段序列號，TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊，系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時間或線性的產(chǎn)生這些值。l在通訊過程中，雙方的序列號是相互依賴的，如果攻擊者直接進行會話劫持，結(jié)果肯定是失敗的。因為會話雙方“不認識”攻擊者，攻擊者不能提供合法的序列號;所以，會話劫持的關(guān)鍵是預(yù)測正確的序列號，攻擊者可以采取嗅探技術(shù)獲得這些信息。8 TCP 會話劫持原理lTCP協(xié)議的序列號： 在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：SEQ：當(dāng)前數(shù)據(jù)包中的第一個字節(jié)的序號，ACK：期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號 它們之間必須符合下面的邏輯關(guān)系，否則該數(shù)據(jù)包會被丟棄，并且返回一

4、個ACK包(包含期望的序列號)。C_ACK = C_SEQ = C_ACK + C_WINDS_ACK = S_SEQ = S_ACK + S_WIND如果不符合上邊的邏輯關(guān)系，就會引申出一個“致命弱點”。9 TCP 會話劫持原理l致命弱點（ACK Storm）：當(dāng)會話雙方接收到一個不期望的數(shù)據(jù)包后，就會用自己期望的序列號返回ACK包;而在另一端，這個數(shù)據(jù)包也不是所期望的，就會再次以自己期望的序列號返回ACK包于是，就這樣來回往返，形成了惡性循環(huán)，最終導(dǎo)致ACK風(fēng)暴。比較好的解決辦法是先進行ARP欺騙，使雙方的數(shù)據(jù)包“正常”的發(fā)送到攻擊者這里，然后設(shè)置包轉(zhuǎn)發(fā)，最后就可以進行會話劫持了，而且不必

5、擔(dān)心會有ACK風(fēng)暴出現(xiàn)。當(dāng)然，并不是所有系統(tǒng)都會出現(xiàn)ACK風(fēng)暴。比如Linux系統(tǒng)的TCP/IP協(xié)議棧就與RFC中的描述略有不同。注意，ACK風(fēng)暴僅存在于注射式會話劫持。10 TCP 會話劫持方法l可以把會話劫持攻擊分為兩種類型： 1）中間人攻擊(Man In The Middle，簡稱MITM)； 2）注射式攻擊（Injection）；l還可以把會話劫持攻擊分為兩種形式： 1）被動劫持:被動劫持實際上就是在后臺監(jiān)聽雙方會話的數(shù)據(jù)流，從中獲得敏感數(shù)據(jù)。如在Telnet、FTP、HTTP、SMTP等傳輸協(xié)議中，用戶和密碼信息都是以明文格式傳輸?shù)模艄粽呃脭?shù)據(jù)包截取工具便可很容易收集到帳戶和密

6、碼信息。 2）主動劫持:主動劫持則是將會話當(dāng)中的某一臺主機“踢”下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件） 11 12 TCP 會話劫持方法l注射式攻擊簡介 這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會話雙方的通訊流，而是在雙方正常的通訊中流插入惡意數(shù)據(jù)。在注射式攻擊中，需要實現(xiàn)兩種技術(shù)： 1）IP欺騙； 2）預(yù)測TCP序列號。對于IP欺騙，有兩種情況需要用到：1）隱藏自己的IP地址；2）利用兩臺機器之間的信任關(guān)系實施入侵。在Unix/Linux平臺上，

7、可以直接使用Socket構(gòu)造IP包，在IP頭中填上虛假的IP地址，但需要root權(quán)限；在Windows平臺上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。例如在Linux系統(tǒng)，首先打開一個Raw Socket（原始套接字），然后自己編寫IP頭及其他數(shù)據(jù)。 TCP協(xié)議的注射式會話劫持，攻擊者應(yīng)先采用嗅探技術(shù)對目標進行監(jiān)聽，然后從監(jiān)聽到的信息中構(gòu)造出正確的序列號，如果不這樣，你就必須先猜測目標的ISN（初始序列號），這樣無形中對會話劫持加大了難度。13 2022-4-23TCP 會話劫持方法l中間人攻擊MITM： 要想正確的實施中間人攻擊，攻擊者首先需要使用ARP欺騙

8、或DNS欺騙，將會話雙方的通訊流暗中改變，而這種改變對于會話雙方來說是一個完全透明的代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密協(xié)議來實現(xiàn)。 SMB會話劫持就是一個典型的中間人攻擊。14 2022-4-23TCP 會話劫持方法l可以進行會話劫持的工具很多，比較常用有： Juggernaut，它可以進行TCP會話劫持的網(wǎng)絡(luò)Sniffer程序； TTY Watcher，而它是針對單一主機上的連接進行會話劫持。 Dsniff工具包也可以實現(xiàn)會話劫持。 Hunt，能將會話劫持發(fā)揮得淋漓盡致的，它的作者是Pavel Krauz，可以工作在Linux和一些Unix平臺下。它的功能非常強大，首

9、先，無論是在共享式網(wǎng)絡(luò)還是交換式網(wǎng)絡(luò)，它都可以正常工作；其次，可以進行中間人攻擊和注射式攻擊。還可以進行嗅探、查看會話、監(jiān)視會話、重置會話。通過前面的敘述，我們知道在注射式攻擊中，容易出現(xiàn)ACK風(fēng)暴，解決辦法是先進行ARP欺騙；而使用Hunt進行注射式攻擊時，它并不進行ARP欺騙，而是在會話劫持之后，向會話雙方發(fā)送帶RST標志位的TCP包以中斷會話，避免ACK風(fēng)暴繼續(xù)下去。而中間人攻擊是先進行ARP欺騙，然后進行會話劫持。Hunt目前最新版本是1.5，可以到Pavel Krauz網(wǎng)站下載源代碼包和二進制文件http:/lin.fsid.cvut.cz/kra/#hunt15 2022-4-23

10、Https會話劫持之SSLStrip （1）l一般HTTPS通信過程：WebClientWebServerConnect to Http site on Port 80Redireict to Https siteConnect to Https site on Port 443Provider Server CertificateCommunication Begin16 Https會話劫持之SSLStrip （2）2022-4-23以訪問Gmail為例的基本過程如下：1. 客戶端瀏覽器使用HTTP連接到端口80的http:/；2. 服務(wù)器試用HTTP代碼302重定向客戶端HTTPS版本的這

11、個網(wǎng)站；3. 客戶端連接到端口443的網(wǎng)站https:/；4. 服務(wù)器向客戶端提供包含其電子簽名的證書，該證書用于驗證網(wǎng)址；5. 客戶端獲取該證書，并根據(jù)信任證書頒發(fā)機構(gòu)列表來驗證該證書；6. 加密通信建立。如果證書驗證過程失敗的話，則意味著無法驗證網(wǎng)址的真實度。這樣的話，用戶將會看到頁面顯示證書驗證錯誤，或者他們也可以選擇冒著危險繼續(xù)訪問網(wǎng)站，因為他們訪問的網(wǎng)站可能是欺詐網(wǎng)站。17 Https會話劫持之SSLStrip （3）lSSLstrip工作原理： SSLstrip通過監(jiān)視Http傳輸進行工作，當(dāng)用戶試圖進入加密的https會話時它充當(dāng)代理。當(dāng)用戶認為安全的會話已經(jīng)開始時，SSLstr

12、ip也通過https連接到安全服務(wù)器，所有用戶到SSLstrip的連接是http，這就意味著瀏覽器上警告提示已經(jīng)被阻止，瀏覽器看起來正常工作，在此期間所有的用戶敏感信息都可以輕易被截獲。2022-4-2318 Https會話劫持之SSLStrip （4）2022-4-23WebClientWebServerConnect to 80Replace with HttpConnect to 443Server CertificateHacker(SSLStrip)Connect to 80Redireict to HttpsHttpHttpsSSLstrip工作原理:19 2022-4-23Htt

13、ps會話劫持之SSLStrip （5）l劫持HTTPS通信1. 客戶端與web服務(wù)器間的流量被攔截;2. 當(dāng)遇到HTTPS URL時，sslstrip使用HTTP鏈接替換它，并保存了這種變化的映射；3. 攻擊機模擬客戶端向服務(wù)器提供證書；4. 從安全網(wǎng)站收到流量提供給客戶端； 這個過程進展很順利，服務(wù)器仍然在接收SSL流量，服務(wù)器無法辨別任何改變。用戶可以感覺到唯一不同的是，瀏覽器中不會標記HTTPS，所以某些用戶還是能夠看出不對勁。20 2022-4-23會話劫持防范 l 防范會話劫持是一個比較大的工程。1.首先應(yīng)該使用交換式網(wǎng)絡(luò)替代共享式網(wǎng)絡(luò)，雖然像Hunt這樣的工具可以在交換環(huán)境中實現(xiàn)會

14、話劫持，但還是應(yīng)該使用交換式網(wǎng)絡(luò)替代共享式網(wǎng)絡(luò)，因為這樣可以防范最基本的嗅探攻擊。2.最重要的還是防范ARP欺騙，設(shè)置靜態(tài)MAC地址等。實現(xiàn)中間人攻擊的前提是ARP欺騙，如能阻止攻擊者進行ARP欺騙，中間人攻擊將難以進行。其次，監(jiān)視網(wǎng)絡(luò)流量，如發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)大量的ACK包，則有可能已被會話劫持攻擊。 3.最根本的解決辦法是采用加密通訊，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，這樣會話劫持就無用武之地了。21 l檢測：查看網(wǎng)絡(luò)中是否存在ACK風(fēng)暴TCP會話劫持攻擊的檢測和防范l防范：采用加密機制加密客戶端和服務(wù)器之間的通信過程：例如使用SSH代替Telnet、使用SSL代替HTTP