IP欺骗与盗用原理 (2).ppt

IP欺骗与盗用原理欺骗与盗用原理IP欺骗的技术比较复杂，不是简单地照猫画老虎就能掌握，但作为常规攻击手段，有必要理解其原理，至少有利于自己的安全防范，易守难守嘛。假设B上的客户运行rlogin与A上的rlogind通信：1.B发送带有SYN标志的数据段通知A需要建立TCP连接。并将TCP报头中的sequencenumber设置成自己本次连接的初始值ISN。2.A回传给B一个带有SYS+ACK标志的数据段，告之自己的ISN，并确认B发送来的第一个数据段，将acknowledgenumber设置成B的ISN+1。3.B确认收到的A的数据段，将acknowledgenumber设置成A的ISN+1。B-SYN-ABATCP使用的sequencenumber是一个32位的计数器，从0-4294967295。TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要。基于远程过程调用RPC的命令，比如rlogin、rcp、rsh等等，根据据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验，其实质是仅仅根据信源IP地址进行用户身份确认，以便允许或拒绝用户RPC。IP欺骗攻击的描述1.假设Z企图攻击A，而A信任B，所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。注意，如何才能知道A信任B呢？没有什么确切的办法。我的建议就是平时注意搜集蛛丝马迹，厚积薄发。一次成功的攻击其实主要不是因为技术上的高明，而是因为信息搜集的广泛翔实。动用了自以为很有成就感的技术，却不比人家酒桌上的巧妙提问，攻击只以成功为终极目标，不在乎手段。2.假设Z已经知道了被信任的B，应该想办法使B的网络功能暂时瘫痪，以免对攻击造成干扰。著名的SYNflood常常是一次IP欺骗攻击的前奏。请看一个并发服务器的框架：intinitsockid,newsockid;if(initsockid=socket(.)0)error(cantcreatesocket);if(bind(initsockid,.)0)error(binderror);if(listen(initsockid,5)0)error(listenerror);for(;newsockid=accept(initsockid,.);/*阻塞*/if(newsockidBZ(X)-SYN-BZ(X)-SYN-BZ(X)-SYN-BZ(X)-SYN-B.X-SYN+ACK-BX-SYN+ACK-BX-SYN+ACK-BX-SYN+ACK-BX/.rhosts”这样的命令，于是攻击完成。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，Z只有从头再来。Z(B)-SYN-ABAZ(B)-PSH-A.IP欺骗攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性，建议阅读rlogind的源代码。攻击最困难的地方在于预测A的ISN。我认为攻击难度虽然大，但成功的可能性也很大，不是很理解，似乎有点矛盾。考虑这种情况，入侵者控制了一台由A到B之间的路由器，假设Z就是这台路由器，那么A回送到B的数据段，现在Z是可以看到的，显然攻击难度骤然下降了许多。否则Z必须精确地预见可能从A发往B的信息，以及A期待来自B的什么应答信息，这要求攻击者对协议本身相当熟悉。同时需要明白，这种攻击根本不可能在交互状态下完成，必须写程序完成。当然在准备阶段可以用netxray之类的工具进行协议分析。如果Z不是路由器，能否考虑组合使用ICMP重定向以及ARP欺骗等技术？没有仔细分析过，只是随便猜测而已。并且与A、B、Z之间具体的网络拓扑有密切关系，在某些情况下显然大幅度降低了攻击难度。注意IP欺骗攻击理论上是从广域网上发起的，不局限于局域网，这也正是这种攻击的魅力所在。利用IP欺骗攻击得到一个A上的shell，对于许多高级入侵者，得到目标主机的shell，离root权限就不远了，最容易想到的当然是接下来进行bufferoverflow攻击。也许有人要问，为什么Z不能直接把自己的IP设置成B的？这个问题很不好回答，要具体分析网络拓扑，当然也存在ARP冲突、出不了网关等问题。那么在IP欺骗攻击过程中是否存在ARP冲突问题。回想我前面贴过的ARP欺骗攻击，如果B的ARPCache没有受到影响，就不会出现ARP冲突。如果Z向A发送数据段时，企图解析A的MAC地址或者路由器的MAC地址，必然会发送ARP请求包，但这个ARP请求包中源IP以及源MAC都是Z的，自然不会引起ARP冲突。而ARPCache只会被ARP包改变，不受IP包的影响，所以可以肯定地说，IP欺骗攻击过程中不存在ARP冲突。相反，如果Z修改了自己的IP，这种ARP冲突就有可能出现，示具体情况而言。攻击中连带B一起攻击了，其目的无非是防止B干扰了攻击过程，如果B本身已经down掉，那是再好不过。fakeip曾经沸沸扬扬了一下，我对之进行端口扫描，发现其tcp端口113是接收入连接的。和IP欺骗等没有直接联系，和安全校验是有关系的。当然，这个东西并不如其名所暗示，对IP层没有任何动作。10.关于预测ISN，我想到另一个问题。就是如何以第三方身份切断A与B之间的TCP连接，实际上也是预测sequencenumber的问题。尝试过，也很困难。如果Z是A与B之间的路由器，就不用说了；或者Z动用了别的技术可以监听到A与B之间的通信，也容易些；否则预测太难。作者在3中提到连接A的25端口，可我想不明白的是513端口的ISN和25端口有什么关系？看来需要看看TCP/IP内部实现的源代码。虽然IP欺骗攻击有着相当难度，但我们应该清醒地意识到，这种攻击非常广泛，入侵往往由这里开始。预防这种攻击还是比较容易的，比如删除所的/etc/hosts.equiv$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC机制无法运做，还可以杀掉portmapper等等。设置路由器，过滤来自外部而信源地址却是内部IP的报文。cisio公司的产品就有这种功能。不过路由器只防得了外部入侵，内部入侵呢？TCP的ISN选择不是随机的，增加也不是随机的，这使攻击者有规可循，可以修改与ISN相关的代码，选择好的算法，使得攻击者难以找到规律。估计Linux下容易做到，那solaris、irix、hp-unix还有aix呢？sigh虽然写的不怎么，但总算让大家了解了一下IP欺骗攻击，我实验过预测sequencenumber，不是ISN，企图切断一个TCP连接，感觉难度很大。作者建议要找到规律，不要盲目预测，这需要时间和耐心。现在越发明白什么是那种锲而不舍永远追求的精神，我们所向往的传奇故事背后有着如此沉默的艰辛和毅力，但愿我们学会的是这个，而不是浮华与喧嚣。更多详情