天天爱天天做天天做天天吃中文|久久综合给久合久久综合|亚洲视频一区二区三区|亚洲国产综合精品2022

    • 

    <delect id="ixd07"></delect>
      

      

      汶上信息港
      
標(biāo)題: IP欺騙的技術(shù) [打印本頁]
      

      
作者: 雜七雜八    時間: 2011-1-13 17:01
      
標(biāo)題: IP欺騙的技術(shù)

      
1 O! a7 v  S; T8 }9 Q1 m. d/ T. TIP欺騙的技術(shù)比較復(fù)雜,不是簡單地照貓畫老虎就能掌握,但作為常規(guī)攻擊手段,有必要理解其原理,至少有利于自己的安全防范,易守難攻嘛。 ; D/ }5 V5 J9 w* U9 ]* h
      

      
! N% s, D+ _3 o! H+ n4 H: {) x假設(shè)B上的客戶運(yùn)行rlogin與A上的rlogind通信: 3 K) x0 |/ q% F+ K! {( T5 _
      

      
! X( |) U- U5 T. x9 e4 ]0 x9 o- z. K1. B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報頭中的sequence number設(shè)置成自己本次連接的初始值ISN。 1 `# `* X! [$ A4 W. i7 O8 m, U
      
  ]3 H9 J' _/ y! b; n
      
2. A回傳給B一個帶有SYS+ACK標(biāo)志的數(shù)據(jù)段,告之自己的ISN,并確認(rèn)B發(fā)送來的第一個數(shù)據(jù)段,將acknowledge number設(shè)置成B的ISN+1。 
      
0 t7 \# {% ]4 |, D7 |3 Q5 _. {0 o* p4 l2 |- E
      
3. B確認(rèn)收到的A的數(shù)據(jù)段,將acknowledge number設(shè)置成A的ISN+1。 
      
' t3 x6 u* p; J  C( |; T3 j) B8 u! ?+ @& E; i9 x" E
      
B ---- SYN ----> A 
      
# A8 f  n# l& `$ gB <---- SYN+ACK A 2 I" Y: @: ^+ x& Z( R3 {+ ]9 x
      
B ---- ACK ----> A 
      
4 s% L) s4 S0 n- b5 I9 @6 D/ w% q5 \% Y( e. i& C3 H
      
TCP使用的sequence number是一個32位的計(jì)數(shù)器,從0-4294967295。TCP為每一個連接選擇一個初始序號ISN,為了防止因?yàn)檠舆t、重傳等擾亂三次握手,ISN不能隨便選取,不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時間變化的規(guī)律,對于成功地進(jìn)行IP欺騙攻擊很重要。   e; h7 N0 L) |; N1 s* I( a. M
      

      
. H' i  b4 z5 |- n基于遠(yuǎn)程過程調(diào)用RPC的命令,比如rlogin、rcp、rsh等等,根據(jù)/etc/hosts.equiv以及$HOME/.rhosts文件進(jìn)行安全校驗(yàn),其實(shí)質(zhì)是僅僅根據(jù)信源IP地址進(jìn)行用戶身份確認(rèn),以便允許或拒絕用戶RPC。關(guān)于上述兩個文件請man,不喜歡看英文就去Unix版看看我以前灌過的一瓢水。 , [& q, Z, Q$ Q) j+ f6 I
      

      
( t; y, w8 B1 c$ K% _IP欺騙攻擊的描述: 1 o7 P8 i9 U" N  T
      

      
6 m5 Q( l1 k9 r7 t* g5 d% L. e7 `1. 假設(shè)Z企圖攻擊A,而A信任B,所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關(guān)設(shè)置。注意,如何才能知道A信任B呢?沒有什么確切的辦法。我的建議就是平時注意搜集蛛絲 4 U! L3 r: a! u7 g- y0 o1 s
      
馬跡,厚積薄發(fā)。一次成功的攻擊其實(shí)主要不是因?yàn)榧夹g(shù)上的高明,而是因?yàn)樾畔⑺鸭膹V泛翔實(shí)。動用了自以為很有成就感的技術(shù),卻不比人家酒桌上的巧妙提問,攻擊只以成功為終極目標(biāo),不在乎手段。 
      
2 F: v4 v+ h$ h- ]! m
      
7 w" ~! f; J* r* i& k$ u2. 假設(shè)Z已經(jīng)知道了被信任的B,應(yīng)該想辦法使B的網(wǎng)絡(luò)功能暫時癱瘓,以免對攻擊造成干擾。著名的SYN flood常常是一次IP欺騙攻擊的前奏。請看一個并發(fā)服務(wù)器的框架: 
      
; {1 J  @: A$ g, N, D2 S/ Y. f9 K8 ^" a3 m0 L- y
      
int initsockid, newsockid; & f0 y. \, o& X: g& E2 }
      
if ((initsockid = socket(...)) <0) { 
      
- {8 X% b" |& i7 _error("can't create socket"); ; ?& n) G: Y; }
      
} 
      
& {0 L2 S2 |/ K# V- p8 O3 P7 [- uif (bind(initsockid, ...) <0) { - y  ?) X5 V$ R( W: M
      
error("bind error"); 
      
8 k+ E7 t4 T: a8 d# H6 K6 a8 B} ! k* W% Z7 Q1 f% a# j4 P
      
if (listen(initsockid, 5) <0) { 3 [6 F3 u! C" N9 b
      
error("listen error"); 6 l/ J4 g, I( l% j  C
      
} & m9 B! S/ Z1 M$ F6 @" G0 x) C
      
for (;;) { " v; s4 I1 o) T! n5 j7 v4 P
      
newsockid = accept(initsockid, ...); /* 阻塞 */ 1 i4 A$ S5 h7 t9 j: I5 ^" G' C9 o$ Y
      
if (newsockid <0) { - g( h* R0 I/ j, p- V3 L4 {1 u
      
error("accept error"); 0 P' S, ^/ E4 U" r9 R9 y5 S+ }6 t$ u
      
} # w  S9 |) O" r+ Z7 ?" e* f# }
      
if (fork() == 0) { /* 子進(jìn)程 */ 
      
0 e% I  j5 r9 y7 G, C8 Bclose(initsockid); ) c& n! f0 L9 U7 u- V( @: W4 Q
      
do(newsockid); /* 處理客戶方請求 */ 
      
$ Y& x+ n4 b4 Zexit(0); 8 D# @3 l) A! [
      
} 
      
7 B, P* A) }" }% nclose(newsockid); 
      
8 D0 s' B( i5 o5 g9 y} 
      
1 v5 Q5 n0 Y) W3 {3 N2 i, @, B6 {* l; _# I4 I; F
      
listen函數(shù)中第二個參數(shù)是5,意思是在initsockid上允許的最大連接請求數(shù)目。如果某個時刻initsockid上的連接請求數(shù)目已經(jīng)達(dá)到5,后續(xù)到達(dá)initsockid的連接請求將被TCP丟棄。注意一旦連接通過三次握手建立完成,accept調(diào)用已經(jīng)處理這個連接,則TCP連接請求隊(duì)列空出一個位置。所以這個5不是指initsockid上只能接受5個連接請求。SYN flood正是一種Denial of Service,導(dǎo)致B的網(wǎng)絡(luò)功能暫 碧被盡?nbsp;
      
3 x, r0 J. k5 l: E$ B! x& t  Y! y2 [, q" R9 ^- M) O! E/ u! N' y
      
Z向B發(fā)送多個帶有SYN標(biāo)志的數(shù)據(jù)段請求連接,注意將信源IP地址換成一個不存在的主機(jī)X;B向子虛烏有的X發(fā)送SYN+ACK數(shù)據(jù)段,但沒有任何來自X的ACK出現(xiàn)。B的IP層會報告B的TCP層,X不可達(dá),但B的TCP層對此不予理睬,認(rèn)為只是暫時的。于是B在這個initsockid上再也不能接收正常的連接請求。 
      
) Z3 k% X; n$ r2 F
      
" E! t2 [, T+ a$ JZ(X) ---- SYN ----> B 3 Z) Q' g# k# E- p0 x0 {/ U8 `
      
Z(X) ---- SYN ----> B 
      
, P- w. z/ e1 L8 ^& WZ(X) ---- SYN ----> B # c/ w0 \9 N0 A9 d5 @; \" Z/ i4 x
      
Z(X) ---- SYN ----> B 
      
7 X: M) ?- Z: @& t, ~# y# h' o* g4 j- LZ(X) ---- SYN ----> B 
      
$ ^5 L# e# D# _' ^0 ]/ ?% K...... 
      
5 o- }2 m% w/ i, G+ p, {0 p7 sX <---- SYN+ACK B - W8 Y7 C" S* H2 [1 b$ r
      
X <---- SYN+ACK B 5 L+ q4 O  v" o2 s  E! K5 B( m) B
      
X <---- SYN+ACK B 
      
: E- ?% i' i. u/ H: n4 u6 \X <---- SYN+ACK B 
      
' [* r9 b2 R. Z: K& TX <---- SYN+ACK B 
      
7 j* _  z1 O: g4 z: ?...... 
      
" b2 A( ^3 D2 B& e1 W! f+ f5 V8 F0 Q4 v
      
. T3 Z5 C6 `5 u6 A& e作者認(rèn)為這樣就使得B網(wǎng)絡(luò)功能暫時癱瘓,可我覺得好象不對頭。因?yàn)锽雖然在initsockid上無法接收TCP連接請求,但可以在another initsockid上接收,這種SYN flood應(yīng)該只對特定的 7 {0 i, z7 t8 `! u! G; L0 a  K
      
服務(wù)(端口),不應(yīng)該影響到全局。當(dāng)然如果不斷地發(fā)送連接請求,就和用ping發(fā)洪水包一個道理,使得B的TCP/IP忙于處理負(fù)載增大。至于SYN flood,回頭有機(jī)會我單獨(dú)灌一瓢有關(guān)DoS的。如何使B的網(wǎng)絡(luò)功能暫 碧被居 很多辦法,根據(jù)具體情況而定,不再贅述。 
      
/ T4 h- m$ ^' f% i" ^/ ?) o; b5 H$ s: O
      
3. Z必須確定A當(dāng)前的ISN。首先連向25端口(SMTP是沒有安全校驗(yàn)機(jī)制的),與1中類似,不過這次需要記錄A的ISN,以及Z到A的大致的RTT(round trip time)。這個步驟要重復(fù)多次以便求出 
      
  c* m" r4 G  p: w. \( HRTT的平均值?,F(xiàn)在Z知道了A的ISN基值和增加規(guī)律(比如每秒增加128000,每次連接增加64000),也知道了從Z到A需要RTT/2的時間。必須立即進(jìn)入攻擊,否則在這之間有其他主機(jī)與A連接,   W! n# X4 r4 r
      
ISN將比預(yù)料的多出64000。 
      
, i) _7 {. V: f+ [; ]7 G9 w6 I4 j% y" A/ X& u+ o
      
4. Z向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請求連接,只是信源IP改成了B,注意是針對TCP513端口(rlogin)。A向B回送SYN+ACK數(shù)據(jù)段,B已經(jīng)無法響應(yīng)(憑什么?按照作者在2中所說,估計(jì)還達(dá)不到這個效果,因?yàn)閆必然要模仿B發(fā)起connect調(diào)用,connect調(diào)用會完成全相關(guān),自動指定本地socket地址和端口,可事實(shí)上B很可能并沒有這樣一個端口等待接收數(shù)據(jù)。除非Z模仿B發(fā)起 
      
& j$ S, J; f' n: Q連接請求時打破常規(guī),主動在客戶端調(diào)用bind函數(shù),明確完成全相關(guān),這樣必然知道A會向B的某個端口回送,在2中也針對這個端口攻擊B??墒侨绻@樣,完全不用攻擊B,bind的時候 ( s8 p& |, S3 W7 a& P
      
指定一個B上根本不存在的端口即可。我也是想了又想,還沒來得及看看老外的源代碼,不妥之處有待商榷??傊?,覺得作者好象在蒙我們,他自己也沒有實(shí)踐成功過吧。),B的TCP層只是 $ U2 k( l/ c9 y9 t
      
簡單地丟棄A的回送數(shù)據(jù)段。 5 [6 ?. n) G: u# K- o7 v
      

      
2 q/ O8 e  w% F7 s0 h5. Z暫停一小會兒,讓A有足夠時間發(fā)送SYN+ACK,因?yàn)閆看不到這個包。然后Z再次偽裝成B向A發(fā)送ACK,此時發(fā)送的數(shù)據(jù)段帶有Z預(yù)測的A的ISN+1。如果預(yù)測準(zhǔn)確,連接建立,數(shù)據(jù)傳送開始。問題在于即使連接建立,A仍然會向B發(fā)送數(shù)據(jù),而不是Z,Z仍然無法看到A發(fā)往B的數(shù)據(jù)段,Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒B向A發(fā)送類似 "cat + + >> ~/.rhosts" 這樣的命令,于是攻擊完成。如果預(yù)測不準(zhǔn)確,A將發(fā)送一個帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接,Z只有從頭再來。 # n& p" n* S$ s- Y% Q
      

      
% P- e( v  ?+ v) Z  E( V1 bZ(B) ---- SYN ----> A 9 a2 W* g5 _, s) ?) C
      
B <---- SYN+ACK A " t3 o& L: `) S/ v  \
      
Z(B) ---- ACK ----> A + H% k" ^9 p3 F! h, L
      
Z(B) ---- PSH ----> A 
      
; I9 G' \) U: P& |6 g+ d...... 
      
# X- j8 G" g( w9 n1 M/ c2 d* c) |
      
( s7 u4 C% r5 C) _7 i9 C! S' C6. IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性,建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測A的ISN。作者認(rèn)為攻擊難度雖然大,但成功的可能性 + w" I) s( J% g& O3 D) _
      
也很大,不是很理解,似乎有點(diǎn)矛盾。考慮這種情況,入侵者控制了一臺由A到B之間的路由器,假設(shè)Z就是這臺路由器,那么A回送到B的數(shù)據(jù)段,現(xiàn)在Z是可以看到的,顯然攻擊難度 ; \8 f" W# o5 o% [
      
驟然下降了許多。否則Z必須精確地預(yù)見可能從A發(fā)往B的信息,以及A期待來自B的什么應(yīng)答信息,這要求攻擊者對協(xié)議本身相當(dāng)熟悉。同時需要明白,這種攻擊根本不可能在交互狀態(tài)下完 , l3 U% O5 y; F* d
      
成,必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用netxray之類的工具進(jìn)行協(xié)議分析。 
      
( z1 `: F$ K+ _+ H# h7 O. D0 Y6 P, {) |
      
7. 如果Z不是路由器,能否考慮組合使用ICMP重定向以及ARP欺騙等技術(shù)?沒有仔細(xì)分析過,只是隨便猜測而已。并且與A、B、Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系,在某些情況下顯然大幅度 . x5 f2 J- g+ U' R& `. q- h8 ^
      
降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的,不局限于局域網(wǎng),這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個A上的shell,對于許多高級入侵者,得到目標(biāo)主 
      
0 g) @. k/ W' P# W* I, S5 Y7 n- F9 H! ?機(jī)的shell,離root權(quán)限就不遠(yuǎn)了,最容易想到的當(dāng)然是接下來進(jìn)行buffer overflow攻擊。 7 L- P6 Z% }2 Y/ _2 {- F
      

      
& P" f4 {; G+ y: n8. 也許有人要問,為什么Z不能直接把自己的IP設(shè)置成B的?這個問題很不好回答,要具體分析網(wǎng)絡(luò)拓?fù)?,?dāng)然也存在ARP沖突、出不了網(wǎng)關(guān)等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題?;叵胛仪懊尜N過的ARP欺騙攻擊,如果B的ARP Cache沒有受到影響,就不會出現(xiàn)ARP沖突。如果Z向A發(fā)送數(shù)據(jù)段時,企圖解析A的MAC地址或者路由器的MAC地址,必然會發(fā)送ARP請求包,但這個ARP請求包中源IP以及源MAC都是Z的,自然不會引起ARP沖突。而ARP Cache只會被ARP包改變,不受IP包的影響,所以可以肯定地說,IP欺騙攻擊過程中不存在ARP沖突。相反,如果Z修改了自己的IP,這種ARP沖突就有可能出現(xiàn),示具體情況而言。攻擊中連帶B一起攻擊了,其目的無非是防止B干擾了攻擊過程,如果B本身已經(jīng)down掉,那是再好不過(是嗎?)。 ; a1 P( O) W- r2 V3 ~
      

      
9 P/ U  q0 T& c+ }; A" x# d9. fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下,我對之進(jìn)行端口掃描,發(fā)現(xiàn)其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯(lián)系,和安全校驗(yàn)是有關(guān)系的。當(dāng)然,這個東西并不如其名所暗示,對IP層沒有任何動作。 ! ?! x- y* T1 @4 f
      
6 h, V) \1 {$ ~7 j! z, U% @/ u
      
10. 關(guān)于預(yù)測ISN,我想到另一個問題。就是如何以第三方身份切斷A與B之間的TCP連接,實(shí)際上也是預(yù)測sequence number的問題。嘗試過,也很困難。如果Z是A與B之間的路由器,就不用說了;或者Z動用了別的技術(shù)可以監(jiān)聽到A與B之間的通信,也容易些;否則預(yù)測太難。作者在3中提到連接A的25端口,可我想不明白的是513端口的ISN和25端口有什么關(guān)系?看來需要看看TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。 
      
4 v# }# P. z2 C3 a7 L1 `$ S, @+ y' d2 C/ M: v6 l5 d! z
      
未雨綢繆 
      
& |; b. k. n  X# j  b& p1 M  Z5 X( M! Q/ M2 B. N3 @
      
雖然IP欺騙攻擊有著相當(dāng)難度,但我們應(yīng)該清醒地意識到,這種攻擊非常廣泛,入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的,比如刪除所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC機(jī)制無法運(yùn)做,還可以殺掉portmapper等等。設(shè)置路由器,過濾來自外部而信源地址卻是內(nèi)部IP的報文。cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵,內(nèi)部入侵呢? , i4 o4 @- S6 J3 Y2 S/ k: F
      

      
) D1 G( E) c, X$ Z6 l* |( r( lTCP的ISN選擇不是隨機(jī)的,增加也不是隨機(jī)的,這使攻擊者有規(guī)可循,可以修改與ISN相關(guān)的代碼,選擇好的算法,使得攻擊者難以找到規(guī)律。估計(jì)Linux下容易做到,那solaris、irix、hp-unix還有aix呢?sigh % H: f4 N8 C. Y7 D' @9 k' D
      

      
. b$ g4 f& T& ?  F" X1 k雖然作者紙上談兵,但總算讓我們了解了一下IP欺騙攻擊,我實(shí)驗(yàn)過預(yù)測sequence number,不是ISN,企圖切斷一個TCP連接,感覺難度很大。作者建議要找到規(guī)律,不要盲目預(yù)測,這需要時間和耐心?,F(xiàn)在越發(fā)明白什么是那種鍥而不舍永遠(yuǎn)追求的精神,我們所向往的傳奇故事背后有著如此沉默的艱辛和毅力,但愿我們學(xué)會的是這個,而不是浮華與喧囂。一個現(xiàn)成的bug足以讓你取得root權(quán)限,可你在做什么,你是否明白?我們太膚淺了...... 
      
& V3 Y1 B! F0 W       淺了......       




      

      

      歡迎光臨 汶上信息港 (http://www.vancelump.com/)

Powered by Discuz! X3.5