IP欺騙與盜用原理

第第頁IP欺騙與盜用原理IP欺騙與盜用原理

發(fā)表于：2023-06-23來源：：點(diǎn)擊數(shù)：標(biāo)簽：

IP欺騙的技術(shù)比較復(fù)雜，不是簡單地照貓畫老虎就能掌握，但作為常規(guī)攻擊手段，有必要理解其原理，至少有利于自己的安全防范，易守難守嘛。假設(shè)B上的客戶運(yùn)行rlogin與A上的rlogind通信：1.B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報(bào)頭中的

IP欺騙的技術(shù)比較復(fù)雜，不是簡單地照貓畫老虎就能掌握，但作為常規(guī)攻擊手段，有必要理解其原理，至少有利于自己的安全防范，易守難守嘛。

假設(shè)B上的客戶運(yùn)行rlogin與A上的rlogind通信：

1.B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報(bào)頭中的sequencenumber設(shè)置成自己本次連接的初始值ISN。

2.A回傳給B一個(gè)帶有SYS+ACK標(biāo)志的數(shù)據(jù)段，告之自己的ISN，并確認(rèn)B發(fā)送來的第一個(gè)數(shù)據(jù)段，將acknowledgenumber設(shè)置成B的ISN+1。

3.B確認(rèn)收到的A的數(shù)據(jù)段，將acknowledgenumber設(shè)置成A的ISN+1。

BSYN>A

BA

TCP使用的sequencenumber是一個(gè)32位的計(jì)數(shù)器，從0-4294967295。TCP為每一個(gè)連接選

擇一個(gè)初始序號ISN，為了防止因?yàn)檠舆t、重傳等擾亂三次握手，ISN不能隨便選取，不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時(shí)間變化的規(guī)律，對于成功地進(jìn)行IP欺騙攻擊很重要。

基于遠(yuǎn)程過程調(diào)用RPC的命令，比如rlogin、rcp、rsh等等，根據(jù)據(jù)/etc/hosts.equiv以及$HOME/.rhosts文件進(jìn)行安全校驗(yàn)，其實(shí)質(zhì)是僅僅根據(jù)信源IP地址進(jìn)行用戶身份確認(rèn)，以便允許或拒絕用戶RPC。

IP欺騙攻擊的描述：

1.假設(shè)Z企圖攻擊A，而A信任B，所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關(guān)設(shè)置。注意，如何才能知道A信任B呢？沒有什么確切的辦法。我的建議就是平時(shí)注意搜集蛛絲馬跡，厚積薄發(fā)。

一次成功的攻擊其實(shí)主要不是因?yàn)榧夹g(shù)上的高明，而是因?yàn)樾畔⑺鸭膹V泛翔實(shí)。動(dòng)用了自以為很有成就感的技術(shù)，卻不比人家酒桌上的巧妙提問，攻擊只以成功為終極目標(biāo)，不在乎手段。

2.假設(shè)Z已經(jīng)知道了被信任的B，應(yīng)該想辦法使B的網(wǎng)絡(luò)功能暫時(shí)癱瘓，以免對攻擊造成干擾。

著名的SYNflood常常是一次IP欺騙攻擊的前奏。請看一個(gè)并發(fā)服務(wù)器的框架：

intinitsockid,newsockid;

if((initsockid=socket(...))ccept(initsockid,...);/*阻塞*/

if(newsockidB

Z(X)SYN>B

Z(X)SYN>B

Z(X)SYN>B

Z(X)SYN>B

X>~/.rhosts"這樣的命令，于是攻擊完成。如果預(yù)測不準(zhǔn)確，A將發(fā)送一個(gè)帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接，Z只有從頭再來。

Z(B)SYN>A

BA

Z(B)PSH>A

6.IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性，建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測A的ISN。我認(rèn)為攻擊難度雖然大，但成功的可

能性也很大，不是很理解，似乎有點(diǎn)矛盾。考慮這種情況，入侵者控制了一臺由A到B之間的路由器，假設(shè)Z就是這臺路由器，那么A回送到B的數(shù)據(jù)段，現(xiàn)在Z是可以看到的，顯然攻擊難度驟然下降了許多。否則Z必須精確地預(yù)見可能從A發(fā)往B的信息，以及A期待來自B的什么應(yīng)答信息，這要求攻擊者對協(xié)議本身相當(dāng)熟悉。同時(shí)需要明白，這種攻擊根本不可能在交互狀態(tài)下完成，必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以.netxray之類的工具進(jìn)行協(xié)議分析。

7.如果Z不是路由器，能否考慮組合使用ICMP重定向以及ARP欺騙等技術(shù)？沒有仔細(xì)分析過，只是隨便猜測而已。并且與A、B、Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系，在某些情況下顯然大幅度降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的，不局限于局域網(wǎng)，這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個(gè)A上的shell，對于許多高級入侵者，得到目標(biāo)主機(jī)的shell，離root權(quán)限就不遠(yuǎn)了，最容易想到的當(dāng)然是接下來進(jìn)行bufferoverflow攻擊。

8.也許有人要問，為什么Z不能直接把自己的IP設(shè)置成B的？這個(gè)問題很不好回答，要具體分析網(wǎng)絡(luò)拓?fù)?，?dāng)然也存在ARP沖突、出不了網(wǎng)關(guān)等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題。回想我前面貼過的ARP欺騙攻擊，如果B的ARPCache沒有受到影響，就不會出現(xiàn)ARP沖突。如果Z向A發(fā)送數(shù)據(jù)段時(shí)，企圖解析A的MAC地址或者路由器的MAC地址，必然會發(fā)送ARP請求包，但這個(gè)ARP請求包中源IP以及源MAC都是Z的，自然不會引起ARP沖突。而ARPCache只會被ARP包改變，不受IP包的影響，所以可以肯定地說，IP欺騙攻擊過程中不存在ARP沖突。相反，如果Z修改了自己的IP，這種ARP沖突就有可能出現(xiàn)，示具體情況而言。攻擊中連帶B一起攻擊了，其目的無非是防止B干擾了攻擊過程，如果B本身已經(jīng)down掉，那是再好不過。

9.fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下，我對之進(jìn)行端口掃描，發(fā)現(xiàn)其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯(lián)系，和安全校驗(yàn)是有關(guān)系的。當(dāng)然，這個(gè)東西并不如其名所暗示，對IP層沒有任何動(dòng)作。

10.關(guān)于預(yù)測ISN，我想到另一個(gè)問題。就是如何以第三方身份切斷A與B之間的TCP連接，實(shí)際上也是預(yù)測sequencenumber的問題。嘗試過，也很困難。如果Z是A與B之間的路由器，就不用說了；或者Z動(dòng)用了別的技術(shù)可以監(jiān)聽到A與B之間的通信，也容易些；否則預(yù)測太難。在3中提到連接A的25端口，可我想不明白的是513端口的ISN和25端口有什么關(guān)系？看來需要看看TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。

未雨綢繆

雖然IP欺騙攻擊有著相當(dāng)難度，但我們應(yīng)該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的，比如刪除所的/etc/hosts.equiv$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC機(jī)制無法運(yùn)做，還可以殺掉portmapper等等。設(shè)置路由器，過濾來自外部而信源地址卻是內(nèi)部IP的報(bào)文。cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵，內(nèi)部入侵呢？

TCP的ISN選擇不是隨機(jī)的，增加也不是隨機(jī)的，這使攻擊者有規(guī)可循，可以修改與ISN相關(guān)的代碼，選擇好的算法，使得攻擊者難以找到規(guī)律。估計(jì)Linux下容易做到，那solaris、irix、hp-unix還有aix呢？sigh雖然寫的不怎么，但總算讓大家了解了一下IP欺騙攻擊，我實(shí)驗(yàn)過預(yù)測sequencenumber，不是ISN，企圖切斷一個(gè)TCP連接，感覺難度很大。