第五章TCPIP體系協(xié)議安全-3

TCP的可靠性通過校驗和、定時器、數(shù)據(jù)序號、應(yīng)答號來實現(xiàn)數(shù)據(jù)的可靠傳輸?校驗和確保數(shù)據(jù)包在傳輸中的完整性?定時器確保數(shù)據(jù)包丟失時重發(fā)?給每個發(fā)送的字節(jié)分配一個序號，接收端接收到數(shù)據(jù)后發(fā)送應(yīng)答為每次發(fā)送分配一個序號，用來保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)?一個TCP連接包含兩個流（分別代表兩個方向的數(shù)據(jù)）?建立連接時流的發(fā)送方選擇一個初始序號ISN(initialsequencenumber)?ISN必須隨機選取才安全（不同OS不一樣）會話劫持-SessionHijacking會話-就是兩臺主機之間的一次通信。

在現(xiàn)實生活中的會話，例如銀行的一筆交易如果營業(yè)員檢查了顧客的帳戶和密碼無誤，算好錢………抬起頭來，發(fā)現(xiàn)不再是剛才的顧客他會把錢交給外面的顧客嗎？會話劫持-SessionHijacking劫持是積極主動地使一個在線的用戶下線，或者冒充這個用戶發(fā)送消息，以便達到自己的目的。被動劫持監(jiān)聽網(wǎng)絡(luò)流量，發(fā)現(xiàn)密碼或者其他敏感信息主動劫持找到當前會話并接管過來-迫使一方下線-由劫持者取而代之攻擊者接管了一個合法會話-可以做更多危害性更大的事情會話劫持-SessionHijacking被劫持者A服務(wù)器B1A遠程登錄，建立會話，完成認證過程攻擊者H2監(jiān)聽流量3劫持會話4迫使A下線發(fā)現(xiàn)目標系統(tǒng)-發(fā)現(xiàn)會話-猜測序號(SEQ)使其中一個掉線-劫持會話會話劫持-SessionHijackingTCP協(xié)議三次握手建立TCP連接（一個TCP會話）終止一個會話，正常情況需要4條消息如何標識一個會話狀態(tài)：源IP:端口+SN<->目標IP:端口+SN從TCP會話狀態(tài)入手要了解每一個方向上的SN（數(shù)據(jù)序列號）兩個方向上的序列號是相互獨立的除了第一個SYN包以外，都有一個ack標志(即ack標準位置1)，并給出了期待對方發(fā)送數(shù)據(jù)的序列號(acknumber)猜測序列號是成功劫持TCP會話的關(guān)鍵窗口大?。航邮斩丝刂瓢l(fā)送端發(fā)送速率告訴對方自己的接收能力自己發(fā)送的數(shù)據(jù)第一個字節(jié)的編號希望對方下一個報文第一個字節(jié)的編號Ack標志位TCP的序列號C--->S

SEQ=XACK=Y數(shù)據(jù)大小為:60S--->C

SEQ=YACK=?包大小為:50C--->S

SEQ=?ACK=?

ACK包(通常ACK是捎帶的)有兩個序列號SEG_SEQ是當前包中數(shù)據(jù)第一個字節(jié)的序號SEG_ACK是期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號客戶(CLT)<-->服務(wù)器(SVR)SVR_SEQ：服務(wù)器將要發(fā)送的下一個字節(jié)的序號SVR_ACK：服務(wù)器將要接收的下一個字節(jié)的序號（已經(jīng)收到的最后一個字節(jié)的序號加1）SVR_WIND：服務(wù)器的接收窗口CLT_SEQ：客戶將要發(fā)送的下一個字節(jié)的序號CLT_ACK：客戶將要接收的下一個字節(jié)的序號（已經(jīng)收到的最后一個字節(jié)的序號加1）CLT_WIND：客戶的接收窗口各個值之間的關(guān)系關(guān)系CLT_ACK<=SVR_SEQ<=CLT_ACK+CLT_WINDSVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WIND只有滿足這樣條件的包，對方才能接收否則，拋棄該數(shù)據(jù)包，并且送回一個ACK包（含有期望的序列號）同步狀態(tài)SVR_SEQ＝CLT_ACKCLT_SEQ=SVR_ACK不同步狀態(tài)SVR_SEQ<>CLT_ACKCLT_SEQ<>SVR_ACK不同步狀態(tài)如果TCP進入不同步狀態(tài)客戶發(fā)送一個包SEG_SEQ＝CLT_SEQSEG_ACK＝CLT_ACK這個包不會被接收，因為CLT_SEQ<>SVR_ACK相反，如果第三方（攻擊者）發(fā)送一個包SEG_SEQ＝SVR_ACKSEG_ACK＝SVR_SEQ這個包可以被服務(wù)器接收如果攻擊者能夠偽造兩邊的包的話，還可以恢復(fù)客戶和服務(wù)器之間的會話，使得回到同步狀態(tài)TCPACKStorm當一個主機接收到一個不期望的數(shù)據(jù)包時，它會用自己的序列號發(fā)送ACK，而這個包本身也是不可被接受的。于是，兩邊不停地發(fā)送ACK包，形成ACK包的循環(huán)，稱為ACK風(fēng)暴(ACKStorm)中斷一個連接攻擊者發(fā)送一個RST包給B，并且假冒A的IP地址觀察A和B之間的數(shù)據(jù)往來，算出A和B的序列號，在適當?shù)臅r機插入一個RST包，只要在插入點上，序列號正確，則RST包就會被接受，從而達到目的攻擊者發(fā)送一個FIN包給B，并且假冒A的IP地址同樣，在適當?shù)臅r機給B發(fā)送一個FIN包AB攻擊者會話劫持過程A向B發(fā)送一個數(shù)據(jù)包

SEQ(hex):XACK(hex):Y

FLAGS:-AP---Window:ZZZZ，包大小為:60

B回應(yīng)A一個數(shù)據(jù)包

SEQ(hex):YACK(hex):X+60

FLAGS:-AP---Window:ZZZZ，包大小為:50AB攻擊者會話劫持過程A向B回應(yīng)一個數(shù)據(jù)包

SEQ(hex):X+60ACK(hex):Y+50

FLAGS:-AP---Window:ZZZZ，包大小為:40

B向A回應(yīng)一個數(shù)據(jù)包

SEQ(hex):Y+50ACK(hex):X+100

FLAGS:-AP---Window:ZZZZ，包大小為:30AB攻擊者會話劫持過程攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包

SEQ(hex):X+100ACK(hex):Y+80

FLAGS:-AP---Window:ZZZZ，包大小為:20

B向A回應(yīng)一個數(shù)據(jù)包

SEQ(hex):Y+80ACK(hex):X+120

FLAGS:-AP---Window:ZZZZ，包大小為:10AB攻擊者會話劫持過程主機B執(zhí)行了攻擊者C冒充主機A發(fā)送過來的命令，并且返回給主機A一個數(shù)據(jù)包；但是，主機A并不能識別主機B發(fā)送過來的數(shù)據(jù)包，所以主機A會以期望的序列號返回給主機B一個數(shù)據(jù)包，隨即形成ACK風(fēng)暴。如果成功的解決了ACK風(fēng)暴（例如ARP欺騙），就可以成功進行會話劫持了。

A攻擊者B會話劫持應(yīng)用HTTP文件下載HTTP協(xié)議是用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳送協(xié)議。HTTP協(xié)議采用了請求/響應(yīng)模型?？蛻舳讼蚍?wù)器發(fā)送一個請求。服務(wù)器以一個狀態(tài)行作為響應(yīng)。典型的HTTP文件下載過程如下：客戶機同服務(wù)器建立SOCKET連接，指定服務(wù)器的機器名稱、資源名稱和端口號，端口號缺省值是80；客戶機向服務(wù)器發(fā)出下載文件的GET請求包：請求的文件名，文件名，文件請求的位置等；服務(wù)器對客戶機的請求作出響應(yīng)，返回請求響應(yīng)包：文件大小、文件類型、文件開始的位置等；文件下載：使用TCP協(xié)議傳輸文件；關(guān)閉連接：客戶和服務(wù)器雙方關(guān)閉套接字來結(jié)束TCP/IP對話，釋放占用的資源。由于HTTP文件下載缺乏必要的認證機制，可以通過截獲HTTPGET請求包來偽造響應(yīng)包的信息，接管下載會話，以達到會話劫持的目的。ARP欺騙，轉(zhuǎn)發(fā)主機D和網(wǎng)關(guān)G之間的數(shù)據(jù)包；監(jiān)聽主機D發(fā)送給服務(wù)器S的GET文件下載請求包；返回根據(jù)客戶機的GET包參數(shù)所偽造的HTTP下載響應(yīng)數(shù)據(jù)包，劫持HTTP會話；向服務(wù)器S發(fā)送RST包，斷開主機D與服務(wù)器S的連接；冒充服務(wù)器S向主機D發(fā)送偽造的替換文件；恢復(fù)正常的主機D與網(wǎng)關(guān)G之間的鏈路狀態(tài)。偽造HTTP連接冒充WWW服務(wù)器S與客戶機D之間進行數(shù)據(jù)包傳輸。發(fā)送替換文件：主機D接收到由主機A偽造的HTTP響應(yīng)報文后，會將確認包發(fā)回給主機A。主機A接收到此確認報文后，說明HTTP響應(yīng)報文發(fā)送成功。進而根據(jù)