课题10TCP会话劫持攻击

1 课题十 TCP会话劫持攻击网络安全运行与维护2 课题SUBJECT信息教学任务：TCP会话劫持攻击知识目标：了解TCP 会话劫持原理；了解TCP 会话劫持方法；TCP会话劫持攻击的检测和防范能力目标：能够进行TCP会话劫持攻击和防范重 点：TCP会话劫持攻击的检测和防范难 点：TCP会话劫持攻击教学方法：演示法、案例教学法、任务驱动法课堂类型：新授课教 具：PC机、教学软件3 内容CONTENTS导航TCP 会话劫持原理TCP 会话劫持方法TCP会话劫持攻击TCP会话劫持攻击的检测和防范4 TCP 会话劫持原理l所谓会话:就是两台主机之间的一次通讯。例如你Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。l会话劫持（Session Hijack）:就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。5 TCP 会话劫持原理ClientServerSYN JSYN K SEQ J+1ACK K+1SYN_SENTSYN_RCVDESTABLISHEDESTABLISHED6 TCP会话劫持的工作原理：TCP会话劫持实验拓扑：7 TCP 会话劫持原理l根据TCP/IP中的规定，使用TCP协议进行通讯需要提供两段序列号，TCP协议使用这两段序列号确保连接同步以及安全通讯，系统的TCP/IP协议栈依据时间或线性的产生这些值。l在通讯过程中，双方的序列号是相互依赖的，如果攻击者直接进行会话劫持，结果肯定是失败的。因为会话双方“不认识”攻击者，攻击者不能提供合法的序列号;所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。8 TCP 会话劫持原理lTCP协议的序列号：在每一个数据包中，都有两段序列号，它们分别为：SEQ：当前数据包中的第一个字节的序号，ACK：期望收到对方数据包中第一个字节的序号 它们之间必须符合下面的逻辑关系，否则该数据包会被丢弃，并且返回一个ACK包(包含期望的序列号)。C_ACK=C_SEQ=C_ACK+C_WINDS_ACK=S_SEQ=S_ACK+S_WIND如果不符合上边的逻辑关系，就会引申出一个“致命弱点”。9 TCP 会话劫持原理l致命弱点（ACK Storm）：当会话双方接收到一个不期望的数据包后，就会用自己期望的序列号返回ACK包;而在另一端，这个数据包也不是所期望的，就会再次以自己期望的序列号返回ACK包于是，就这样来回往返，形成了恶性循环，最终导致ACK风暴。比较好的解决办法是先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里，然后设置包转发，最后就可以进行会话劫持了，而且不必担心会有ACK风暴出现。当然，并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意，ACK风暴仅存在于注射式会话劫持。10 TCP 会话劫持方法l可以把会话劫持攻击分为两种类型：1）中间人攻击(Man In The Middle，简称MITM)；2）注射式攻击（Injection）；l还可以把会话劫持攻击分为两种形式：1）被动劫持:被动劫持实际上就是在后台监听双方会话的数据流，从中获得敏感数据。如在Telnet、FTP、HTTP、SMTP等传输协议中，用户和密码信息都是以明文格式传输的，若攻击者利用数据包截取工具便可很容易收集到帐户和密码信息。2）主动劫持:主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件）11 12 TCP 会话劫持方法l注射式攻击简介 这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯中流插入恶意数据。在注射式攻击中，需要实现两种技术：1）IP欺骗；2）预测TCP序列号。对于IP欺骗，有两种情况需要用到：1）隐藏自己的IP地址；2）利用两台机器之间的信任关系实施入侵。在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。例如在Linux系统，首先打开一个Raw Socket（原始套接字），然后自己编写IP头及其他数据。TCP协议的注射式会话劫持，攻击者应先采用嗅探技术对目标进行监听，然后从监听到的信息中构造出正确的序列号，如果不这样，你就必须先猜测目标的ISN（初始序列号），这样无形中对会话劫持加大了难度。13 2022-11-1TCP 会话劫持方法l中间人攻击MITM：要想正确的实施中间人攻击，攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是一个完全透明的代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密协议来实现。SMB会话劫持就是一个典型的中间人攻击。14 2022-11-1TCP 会话劫持方法l可以进行会话劫持的工具很多，比较常用有：Juggernaut，它可以进行TCP会话劫持的网络Sniffer程序；TTY Watcher，而它是针对单一主机上的连接进行会话劫持。Dsniff工具包也可以实现会话劫持。Hunt，能将会话劫持发挥得淋漓尽致的，它的作者是Pavel Krauz，可以工作在Linux和一些Unix平台下。它的功能非常强大，首先，无论是在共享式网络还是交换式网络，它都可以正常工作；其次，可以进行中间人攻击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述，我们知道在注射式攻击中，容易出现ACK风暴，解决办法是先进行ARP欺骗；而使用Hunt进行注射式攻击时，它并不进行ARP欺骗，而是在会话劫持之后，向会话双方发送带RST标志位的TCP包以中断会话，避免ACK风暴继续下去。而中间人攻击是先进行ARP欺骗，然后进行会话劫持。Hunt目前最新版本是1.5，可以到Pavel Krauz网站下载源代码包和二进制文件http:/lin.fsid.cvut.cz/kra/#hunt15 2022-11-1Https会话劫持之SSLStrip（1）l一般HTTPS通信过程：WebClientWebServerConnect to Http site on Port 80Redireict to Https siteConnect to Https site on Port 443Provider Server CertificateCommunication Begin16 Https会话劫持之SSLStrip（2）2022-11-1以访问Gmail为例的基本过程如下：1.客户端浏览器使用HTTP连接到端口80的http:/；2.服务器试用HTTP代码302重定向客户端HTTPS版本的这个网站；3.客户端连接到端口443的网站https:/；4.服务器向客户端提供包含其电子签名的证书，该证书用于验证网址；5.客户端获取该证书，并根据信任证书颁发机构列表来验证该证书；6.加密通信建立。如果证书验证过程失败的话，则意味着无法验证网址的真实度。这样的话，用户将会看到页面显示证书验证错误，或者他们也可以选择冒着危险继续访问网站，因为他们访问的网站可能是欺诈网站。17 Https会话劫持之SSLStrip（3）lSSLstrip工作原理：SSLstrip通过监视Http传输进行工作，当用户试图进入加密的https会话时它充当代理。当用户认为安全的会话已经开始时，SSLstrip也通过https连接到安全服务器，所有用户到SSLstrip的连接是http，这就意味着浏览器上警告提示已经被阻止，浏览器看起来正常工作，在此期间所有的用户敏感信息都可以轻易被截获。2022-11-118 Https会话劫持之SSLStrip（4）2022-11-1WebClientWebServerConnect to 80Replace with HttpConnect to 443Server CertificateHacker(SSLStrip)Connect to 80Redireict to HttpsHttpHttpsSSLstrip工作原理:19 2022-11-1Https会话劫持之SSLStrip（5）l劫持HTTPS通信1.客户端与web服务器间的流量被拦截;2.当遇到HTTPS URL时，sslstrip使用HTTP链接替换它，并保存了这种变化的映射；3.攻击机模拟客户端向服务器提供证书；4.从安全网站收到流量提供给客户端；这个过程进展很顺利，服务器仍然在接收SSL流量，服务器无法辨别任何改变。用户可以感觉到唯一不同的是，浏览器中不会标记HTTPS，所以某些用户还是能够看出不对劲。20 2022-11-1会话劫持防范 l 防范会话劫持是一个比较大的工程。1.首先应该使用交换式网络替代共享式网络，虽然像Hunt这样的工具可以在交换环境中实现会话劫持，但还是应该使用交换式网络替代共享式网络，因为这样可以防范最基本的嗅探攻击。2.最重要的还是防范ARP欺骗，设置静态MAC地址等。实现中间人攻击的前提是ARP欺骗，如能阻止攻击者进行ARP欺骗，中间人攻击将难以进行。其次，监视网络流量，如发现网络中出现大量的ACK包，则有可能已被会话劫持攻击。3.最根本的解决办法是采用加密通讯，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，这样会话劫持就无用武之地了。21 l检测：查看网络中是否存在ACK风暴TCP会话劫持攻击的检测和防范l防范：采用加密机制加密客户端和服务器之间的通信过程：例如使用SSH代替Telnet、使用SSL代替HTTP，使用IPSec/VPN避免攻击者成为客户端和服务器通信双方的中间人：采用静态绑定MAC地址方法以防范ARP欺骗；过滤ICMP路由重定向报文以防范ICMP路由重定向攻击22 内容CONTENTS导航小结SUMMARYTCP 会话劫持原理TCP 会话劫持方法TCP会话劫持攻击方法TCP会话劫持攻击的检测和防范方法23 内容CONTENTS导航课外作业HOMEWORK 在网络中查找资料，尝试使用TCP会话劫持攻击一台服务器 教材85页 第1题