国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　通常，大家所說的，都是針對一臺主機，在獲得管理員權限后，就很是得意;其實，真正的入侵是占領整個內部網(wǎng)絡。針對內部網(wǎng)絡的攻擊方法比較多，但比較有效的方法非欺騙、DNS欺騙莫屬了。但是，不管使用什么技術，無非都是抓取目標的數(shù)據(jù)包，然后分析出敏感數(shù)據(jù)。如果目標內部采用的是共享式網(wǎng)絡(采用HUB集線器連網(wǎng))，那只需要把網(wǎng)卡設置為“混雜模式”，掛上嗅探器(Sniffer)，就能簡聽到你想得到的數(shù)據(jù)。如果是交換式網(wǎng)絡(采用連網(wǎng))，這樣方法就行不通了，因為對于嗅探器，有三種網(wǎng)絡環(huán)境是無法跨越的：“網(wǎng)橋”、“交換機”、“”。可惜，對于ARP欺騙，交換式網(wǎng)絡還是無能為力，如果我們借助ARP欺騙，在實現(xiàn)更高一層的“入侵手段”，從而真正的控制內部網(wǎng)絡。這也就是本文要敘述的會話劫持攻擊……

　　一，會話劫持原理

　　1，什么是會話劫持

　　在現(xiàn)實生活中，比如你去市場買菜，在交完錢后你要求先去干一些別的事情，稍候再來拿菜;如果這個時候某個陌生人要求把菜拿走，賣菜的人會把菜給陌生人嗎?!當然，這只是一個比喻，但這恰恰就是會話劫持的喻意。所謂會話，就是兩臺主機之間的一次通訊。例如你Telnet到某臺主機，這就是一次Telnet會話;你瀏覽某個網(wǎng)站，這就是一次HTTP會話。而會話劫持(Session Hijack)，就是結合了嗅探以及欺騙技術在內的攻擊手段。例如，在一次正常的會話過程當中，攻擊者作為第三方參與到其中，他可以在正常數(shù)據(jù)包中插入惡意數(shù)據(jù)，也可以在雙方的會話當中進行簡聽，甚至可以是代替某一方主機接管會話。我們可以把會話劫持攻擊分為兩種類型：1)中間人攻擊(Man In The Middle，簡稱MITM)，2)注射式攻擊(Injection);并且還可以把會話劫持攻擊分為兩種形式：1)被動劫持，2)主動劫持;被動劫持實際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流，叢中獲得敏感數(shù)據(jù);而主動劫持則是將會話當中的某一臺主機“踢”下線，然后由攻擊者取代并接管會話，這種攻擊方法危害非常大，攻擊者可以做很多事情，比如“cat etc/master.passwd”(FreeBSD下的Shadow文件)。圖1為會話劫持示意圖。

　　MITM攻擊簡介

　　這也就是我們常說的“中間人攻擊”，在網(wǎng)上討論比較多的就是SMB會話劫持，這也是一個典型的中間人攻擊。要想正確的實施中間人攻擊，攻擊者首先需要使用ARP欺騙或DNS欺騙，將會話雙方的通訊流暗中改變，而這種改變對于會話雙方來說是完全透明的。關于ARP欺騙防線介紹的比較多，網(wǎng)上的資料也比較多，我就不在多說了，我只簡單談談DNS欺騙。DNS(Domain Name System)，即域名服務器，我們幾乎天天都要用到。對于正常的DNS請求，例如在輸入www.hacker.com.cn，然后系統(tǒng)先查看Hosts文件，如果有相對應的IP，就使用這個IP地址訪問網(wǎng)站(其實，利用Hosts文件就可以實現(xiàn)DNS欺騙);如果沒有，才去請求DNS服務器;DNS服務器在接收到請求之后，解析出其對應的IP地址，返回給我本地，最后你就可以登陸到黑客防線的網(wǎng)站。而DNS欺騙則是，目標將其DNS請求發(fā)送到攻擊者這里，然后攻擊者偽造DNS響應，將正確的IP地址替換為其他IP，之后你就登陸了這個攻擊者指定的IP，而攻擊者早就在這個IP中安排好了惡意網(wǎng)頁，可你卻在不知不覺中已經(jīng)被攻擊者下了“套”……DNS欺騙也可以在廣域網(wǎng)中進行，比較常見的有“重定向”、“郵件重定向”等等。但不管是ARP欺騙，還是DNS欺騙，中間人攻擊都改變正常的通訊流，它就相當于會話雙方之間的一個透明代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密協(xié)議來實現(xiàn)。

　　注射式攻擊簡介

　　這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些，它不會改變會話雙方的通訊流，而是在雙常的通訊流插入惡意數(shù)據(jù)。在注射式攻擊中，需要實現(xiàn)兩種技術：1)IP欺騙，2)預測TCP序列號。如果是UDP協(xié)議，只需偽造IP地址，然后發(fā)送過去就可以了，因為UDP沒有所謂的TCP三次握手，但基于UDP的應用協(xié)議有流控機制，所以也要做一些額外的工作。對于IP欺騙，有兩種情況需要用到：1)隱藏自己的IP地址;2)利用兩臺機器之間的信任關系實施入侵。在Unix/Linux平臺上，可以直接使用Socket構造IP包，在IP頭中填上虛假的IP地址，但需要root權限;在Windows平臺上，不能使用Winsock，需要使用Winpacp(也可以使用Libnet)。例如在Linux系統(tǒng)，首先打開一個Raw Socket(原始套接字)，然后自己編寫IP頭及其他數(shù)據(jù)?？梢詤⒖枷旅娴膶嵗a：

　　sockfd = socket(AF_INET, SOCK_RAW, 255);

　　setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on));

　　struct ip *ip;

　　struct tcphdr *tcp;

　　struct pseudohdr pseudoheader;

　　ip->ip_src.s_addr = xxx;

　　pseudoheader.saddr.s_addr = ip->ip_src.s_addr;

　　tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));

　　sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));

　　對于基于TCP協(xié)議的注射式會話劫持，攻擊者應先采用嗅探技術對目標進行簡聽，然后從簡聽到的信息中構造出正確的序列號，如果不這樣，你就必須先猜測目標的ISN(初始序列號)，這樣無形中對會話劫持加大了難度。那為什么要猜測會話雙方的序列號呢?請繼續(xù)往下看。

　　2，TCP會話劫持

　　本文主要敘述基于TCP協(xié)議的會話劫持。如果劫持一些不可靠的協(xié)議，那將輕而易舉，因為它們沒有提供一些認證措施;而TCP協(xié)議被欲為是可靠的傳輸協(xié)議，所以要重點討論它。

　　根據(jù)中的規(guī)定，使用TCP協(xié)議進行通訊需要提供兩段序列號，TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊，系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時間或線性的產(chǎn)生這些值。在通訊過程中，雙方的序列號是相互依賴的，這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議(具體可參見RFC 793)。如果攻擊者在這個時候進行會話劫持，結果肯定是失敗，因為會話雙方“不認識”攻擊者，攻擊者不能提供合法的序列號;所以，會話劫持的關鍵是預測正確的序列號，攻擊者可以采取嗅探技術獲得這些信息。

　　TCP協(xié)議的序列號

　　現(xiàn)在來討論一下有關TCP協(xié)議的序列號的相關問題。在每一個數(shù)據(jù)包中，都有兩段序列號，它們分別為：

　　SEQ：當前數(shù)據(jù)包中的第一個字節(jié)的序號

　　ACK：期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號

　　假設雙方現(xiàn)在需要進行一次連接：

　　S_SEQ：將要發(fā)送的下一個字節(jié)的序號

　　S_ACK：將要接收的下一個字節(jié)的序號

　　S_WIND：接收窗口

　　//以上為服務器(Server)

　　C_SEQ：將要發(fā)送的下一個字節(jié)的序號

　　C_ACK：將要接收的下一個字節(jié)的序號

　　C_WIND：接收窗口

　　//以上為客戶端(Client)

　　它們之間必須符合下面的邏輯關系，否則該數(shù)據(jù)包會被丟棄，并且返回一個ACK包(包含期望的序列號)。

　　C_ACK <= C_SEQ <= C_ACK + C_WIND

　　S_ACK <= S_SEQ <= S_ACK + S_WIND

　　如果不符合上邊的邏輯關系，就會引申出一個“致命弱點”，具體請接著往下看。

　　致命弱點

　　這個致命的弱點就是ACK風暴(Storm)。當會話雙方接收到一個不期望的數(shù)據(jù)包后，就會用自己期望的序列號返回ACK包;而在另一端，這個數(shù)據(jù)包也不是所期望的，就會再次以自己期望的序列號返回ACK包……于是，就這樣來回往返，形成了惡性循環(huán)，最終導致ACK風暴。比較好的解決辦法是先進行ARP欺騙，使雙方的數(shù)據(jù)包“正?！钡陌l(fā)送到攻擊者這里，然后設置包轉發(fā)，最后就可以進行會話劫持了，而且不必擔心會有ACK風暴出現(xiàn)。當然，并不是所有系統(tǒng)都會出現(xiàn)ACK風暴。比如Linux系統(tǒng)的TCP/IP協(xié)議棧就與RFC中的描述略有不同。注意，ACK風暴僅存在于注射式會話劫持。

　　TCP會話劫持過程

　　假設現(xiàn)在主機A和主機B進行一次TCP會話，C為攻擊者(如圖2)，劫持過程如下：

　　A向B發(fā)送一個數(shù)據(jù)包

　　SEQ (hex): X ACK (hex): Y

　　FLAGS: -AP--- Window: ZZZZ，包大小為:60

　　B回應A一個數(shù)據(jù)包

　　SEQ (hex): Y ACK (hex): X+60

　　FLAGS: -AP--- Window: ZZZZ，包大小為:50

　　A向B回應一個數(shù)據(jù)包

　　SEQ (hex): X+60 ACK (hex): Y+50

　　FLAGS: -AP--- Window: ZZZZ，包大小為:40

　　B向A回應一個數(shù)據(jù)包

　　SEQ (hex): Y+50 ACK (hex): X+100

　　FLAGS: -AP--- Window: ZZZZ，包大小為:30

　　攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

　　SEQ (hex): X+100 ACK (hex): Y+80

　　FLAGS: -AP--- Window: ZZZZ，包大小為:20

　　B向A回應一個數(shù)據(jù)包

　　SEQ (hex): Y+80 ACK (hex): X+120

　　FLAGS: -AP--- Window: ZZZZ，包大小為:10

　　現(xiàn)在，主機B執(zhí)行了攻擊者C冒充主機A發(fā)送過來的命令，并且返回給主機A一個數(shù)據(jù)包;但是，主機A并不能識別主機B發(fā)送過來的數(shù)據(jù)包，所以主機A會以期望的序列號返回給主機B一個數(shù)據(jù)包，隨即形成ACK風暴。如果成功的解決了ACK風暴(例如前邊提到的ARP欺騙)，就可以成功進行會話劫持了。

　　關于理論知識就說到這里，下面我以具體的實例演示一次會話劫持。

　　二，會話劫持實踐

　　1，嘮叨幾句

　　可以進行會話劫持的工具很多，比較常用有Juggernaut，它可以進行TCP會話劫持的網(wǎng)絡Sniffer程序;TTY Watcher，而它是針對單一主機上的連接進行會話劫持。還有如Dsniff這樣的工具包也可以實現(xiàn)會話劫持，只是看你會不會使用了。但，能將會話劫持發(fā)揮得淋漓盡致的，還要算Hunt這個工具了。它的作者是Pavel Krauz，可以工作在Linux和一些Unix平臺下。