TCP会话劫持-MSE安全攻防培训资料课件.ppt

1、1会话劫持(Session Hijack)是一种结合了嗅探以及欺骗技术在内的攻击手段。广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系。2TCP会话劫持的攻击方式可以对基于TCP的任何应用发起攻击，如HTTP、FTP、Telnet等。对于攻击者来说，所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文，这样攻击者就可以得知该报文的源IP、源TCP端口号、目的IP、目的TCP端号，从而可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ac

2、kseq值的要求。这样，在该合法主机收到另一台合法主机发送的TCP报文前，攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文，如果该主机先收到攻击报文，就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。3带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号（ackseq）的值的要求发生变化，从而使另一台合法的主机向被攻击主机发出的报文被被攻击主机拒绝。TCP会话劫持攻击方式的好处在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证，从而使攻击者直接进入对被攻击主机的的访问状态，因此对系统安全构成的威胁比较严重。4所谓会话，就是两台主机之间的一次通讯。例如你

3、Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。而会话劫 持（Session Hijack），就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶 意数据，也可以在双方的会话当中进行简听，甚至可以是代替某一方主机接管会话。5我们可以把会话劫持攻击分为两种类型：1）中间人攻击(Man In The Middle，简称MITM)2）注射式攻击（Injection）并且还可以把会话劫持攻击分为两种形式：1）被动劫持2）主动劫持被动劫持实 际上就是在后台监视双方会话的数据流，丛中获得

4、敏感数据而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件）。6攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是完全透明的。不管是ARP欺骗，还是DNS欺骗，中间人攻击都改变正常的通讯流，它就相当于会话双方之间的一个透明代理，可以得到一切想知道的信息。7嗅探器只能在共享网段内进行ARP欺骗可在交换式网络中进行ARP欺骗主要以发送欺骗性ARP报文方式进行8DNS欺骗就是攻击者冒充域名服务器的

5、一种欺骗行为DNS服务器不可能将所有现存的域名或IP地址存储在本身的存储空间里。这就是为什么DNS服务器有一个高速缓冲存储器（cache），它使得服务器可以存储DNS记录一段时间。事实上，一台DNS服务器只会记录本身所属域中的授权的主机，如果它想要知道其它的，在自身域以外主机的信息，就必须向信息持有者（另一台DNS服务器）发送请求，同时，为了不每次都发送请求，这台DNS服务器会将另一台DNS服务器返回的信息又记录下来。9攻击者有一台Internet上的授权的DNS服务器攻击者能修改这台服务器的DNS记录促使服务器进行递归查询10ARP欺骗冒充网关（局域网中）嗅探UDP53协议中的信息11这种方

6、式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯流插入恶意数据。在注射式攻击中，需要实现两种技术：1）IP欺骗2）预测TCP序列号如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。12对于IP欺骗，有两种情况需要用到：1）隐藏自己的IP地址2）利用两台机器之间的信任关系实施入侵在Unix/Linux平台上，可以直接使用 Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限在Windows平台上，不能使用Winsock，需要使用 W

7、inpacp（也可以使用Libnet）13根据TCP/IP中的规定，使用TCP协议进行通讯需要提供两段序列号，TCP协议使用这两段序列号确保连接同步以及安全通讯，系统的TCP/IP协议栈 依据时间或线性的产生这些值在通讯过程中，双方的序列号是相互依赖的，这也就是为什么称TCP协议是可靠的传输协议（具体可参见RFC 793）如果攻击者在这个时候进行简单会话插入，结果肯定是失败，因为会话双方“不认识”攻击者，攻击者不能提供合法的序列号。所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息14在每一个数据包中，都有两段序列号，它们分别为：SEQ：当前数据包中的第一个字节的序号A

8、CK：期望收到对方数据包中第一个字节的序号15S_SEQ：将要发送的下一个字节的序号S_ACK：将要接收的下一个字节的序号S_WIND：接收窗口/以上为服务器（Server）C_SEQ：将要发送的下一个字节的序号C_ACK：将要接收的下一个字节的序号C_WIND：接收窗口/以上为客户端（Client）16它们之间必须符合下面的逻辑关系，否则该数据包会被丢弃，并且返回一个ACK包（包含期望的序列号）。C_ACK = C_SEQ = C_ACK + C_WINDS_ACK = S_SEQ ip对应表，不让主机刷新设定好的转换表使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的AR

9、P广播24管理员定期用响应的ip包中获得一个rarp请求，然后检查ARP响应的真实性管理员定期轮询，检查主机上的ARP缓存其他思路？方法？251.客户端主机（192.168.0.88）向发起正常的访问网页请求。2.监控服务器（例如：220.167.xxx.xxx，不同地方该服务器可能不同）就立刻向客户端发起一个伪造数据包，这个数据包的源地址被伪造成客户端请求的服务器地址，同时该数据包的内容是预先设定好的。3.客户端主机在收到该数据包后，以为是服务器端返回的，于是它根据收到的伪造数据包的要求，主动向220.167.xxx.xxx发起连接，并向220.167.xxx.xxx传输一些客户端的私人敏感信息，如客户端的拨号用户名、访问的网址、NAT内网主机数等信息。4.220.167.xxx.xxx再次将访问重定向的指令发给192.168.0.88。5.客户端根据第4步中收到的指令，再次向发起正常的访问网页请求。将客户端请求的页面传给客户端（192.168.0.88），让客户端成功完成网页访问。26对于渗透内部网络，会话劫持确实是一种比较有效的方法工具：如Hunt等27