Web安全实践(13)嗅探,arp欺骗,会话劫持与重放攻击(上)
前言?
(作者:玄魂)
嗅探,arp欺騙,會話劫持與重放攻擊之間的關(guān)系可謂相輔相成,這次針對web安全把它們放在一起來講,并探討一下相關(guān)的編程問題。內(nèi)容比較多,分三節(jié)來講,第一節(jié)講嗅探和會話劫持,第二節(jié)講會話劫持和重放攻擊,第三節(jié)講編程實現(xiàn)的相關(guān)細節(jié)。
正文
13.1 Sniffer
Sniffer(嗅探器)程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(NIC,一般為以太網(wǎng)卡)置為雜亂(promiscuous)模式狀態(tài)的工具,一旦網(wǎng)卡設(shè)置為這種模式,它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。Sniffer分為軟件和硬件兩種,一般指的是軟件,但功能有限,硬件價格比較貴。
Sniffer可以用來監(jiān)聽任何網(wǎng)絡(luò)信息,在此我只關(guān)心http/https數(shù)據(jù)的監(jiān)聽。
下面我以登錄126為例,運行了在網(wǎng)上隨便找的一個嗅探工具,我這里為了更清楚的說明問題沒有選"SSL安全登錄"選項。這里我們也該體會到的一點是防止嗅探攻擊的最好方式就是加密數(shù)據(jù)。
在圖片的末尾我們可以看到下面的內(nèi)容:
domain=126.com&language=0&bCookie=&username=xuanhun521@126.com&user=xuanhun521&password=xuanhun&style=-1&remUser=&enter.x=%B5%C7+%C2%BC
用戶名和密碼都可以被嗅探到。
13.2 會話劫持
下面改編了一下網(wǎng)上的相關(guān)資料,介紹一下會話劫持。
1、會話劫持原理
我們可以把會話劫持攻擊分為兩種類型:1)中間人攻擊(Man In The Middle,簡稱MITM),2)注射式攻擊(Injection);并且還可以把會話劫持攻擊分為兩種形式:1)被動劫持,2)主動劫持;被動劫持實際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流,叢中獲得敏感數(shù)據(jù);而主動劫持則是將會話當(dāng)中的某一臺主機"踢"下線,然后由攻擊者取代并接管會話。
(1)中間人攻擊
要想正確的實施中間人攻擊,攻擊者首先需要使用ARP欺騙或DNS欺騙,將會話雙方的通訊流暗中改變,而這種改變對于會話雙方來說是完全透明的。不管是ARP欺騙,還是DNS欺騙,中間人攻擊都改變正常的通訊流,它就相當(dāng)于會話雙方之間的一個透明代理,可以得到一切想知道的信息,甚至是利用一些有缺陷的加密協(xié)議來實現(xiàn)。
(2)注射式攻擊簡介
這種方式的會話劫持比中間人攻擊實現(xiàn)起來簡單一些,它不會改變會話雙方的通訊流,而是在雙方正常的通訊流插入惡意數(shù)據(jù)。在注射式攻擊中,需要實現(xiàn)兩種技術(shù):1)IP欺騙,2)預(yù)測TCP序列號。如果是UDP協(xié)議,只需偽造IP地址,然后發(fā)送過去就可以了,因為UDP沒有所謂的TCP三次握手,但基于UDP的應(yīng)用協(xié)議有流控機制,所以也要做一些額外的工作。
對于IP欺騙,有兩種情況需要用到:1)隱藏自己的IP地址;2)利用兩臺機器之間的信任關(guān)系實施入侵。對于基于TCP協(xié)議的注射式會話劫持,攻擊者應(yīng)先采用嗅探技術(shù)對目標(biāo)進行監(jiān)聽,然后從監(jiān)聽到的信息中構(gòu)造出正確的序列號,如果不這樣,你就必須先猜測目標(biāo)的ISN(初始序列號),這樣無形中對會話劫持加大了難度。
2、TCP會話劫持
如果劫持一些不可靠的協(xié)議,那將輕而易舉,因為它們沒有提供一些認證措施;而TCP協(xié)議被欲為是可靠的傳輸協(xié)議,所以要重點討論它。
根據(jù)TCP/IP中的規(guī)定,使用TCP協(xié)議進行通訊需要提供兩段序列號,TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊,系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時間或線性的產(chǎn)生這些值。在通訊過程中,雙方的序列號是相互依賴的,這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議(具體可參見RFC 793)。如果攻擊者在這個時候進行會話劫持,結(jié)果肯定是失敗,因為會話雙方"不認識"攻擊者,攻擊者不能提供合法的序列號;所以,會話劫持的關(guān)鍵是預(yù)測正確的序列號,攻擊者可以采取嗅探技術(shù)獲得這些信息。
TCP協(xié)議的序列號
現(xiàn)在來討論一下有關(guān)TCP協(xié)議的序列號的相關(guān)問題。在每一個數(shù)據(jù)包中,都有兩段序列號,它們分別為:
SEQ:當(dāng)前數(shù)據(jù)包中的第一個字節(jié)的序號
ACK:期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號
假設(shè)雙方現(xiàn)在需要進行一次連接:
S_SEQ:將要發(fā)送的下一個字節(jié)的序號
S_ACK:將要接收的下一個字節(jié)的序號
S_WIND:接收窗口
//以上為服務(wù)器(Server)
C_SEQ:將要發(fā)送的下一個字節(jié)的序號
C_ACK:將要接收的下一個字節(jié)的序號
C_WIND:接收窗口
//以上為客戶端(Client)
它們之間必須符合下面的邏輯關(guān)系,否則該數(shù)據(jù)包會被丟棄,并且返回一個ACK包(包含期望的序列號)。
C_ACK <= C_SEQ <= C_ACK + C_WIND
S_ACK <= S_SEQ <= S_ACK + S_WIND
如果不符合上邊的邏輯關(guān)系,就會引申出一個"致命弱點"。
這個致命的弱點就是ACK風(fēng)暴(Storm)。當(dāng)會話雙方接收到一個不期望的數(shù)據(jù)包后,就會用自己期望的序列號返回ACK包;而在另一端,這個數(shù)據(jù)包也不是所期望的,就會再次以自己期望的序列號返回ACK包……于是,就這樣來回往返,形成了惡性循環(huán),最終導(dǎo)致ACK風(fēng)暴。比較好的解決辦法是先進行ARP欺騙,使雙方的數(shù)據(jù)包"正常"的發(fā)送到攻擊者這里,然后設(shè)置包轉(zhuǎn)發(fā),最后就可以進行會話劫持了,而且不必擔(dān)心會有ACK風(fēng)暴出現(xiàn)。當(dāng)然,并不是所有系統(tǒng)都會出現(xiàn)ACK風(fēng)暴。比如Linux系統(tǒng)的TCP/IP協(xié)議棧就與RFC中的描述略有不同。注意,ACK風(fēng)暴僅存在于注射式會話劫持。
TCP會話劫持過程
假設(shè)現(xiàn)在主機A和主機B進行一次TCP會話,C為攻擊者,劫持過程如下:
A向B發(fā)送一個數(shù)據(jù)包
SEQ (hex): X ACK (hex): Y
FLAGS: -AP--- Window: ZZZZ,包大小為:60
B回應(yīng)A一個數(shù)據(jù)包
SEQ (hex): Y ACK (hex): X+60
FLAGS: -AP--- Window: ZZZZ,包大小為:50
A向B回應(yīng)一個數(shù)據(jù)包
SEQ (hex): X+60 ACK (hex): Y+50
FLAGS: -AP--- Window: ZZZZ,包大小為:40
B向A回應(yīng)一個數(shù)據(jù)包
SEQ (hex): Y+50 ACK (hex): X+100
FLAGS: -AP--- Window: ZZZZ,包大小為:30
攻擊者C冒充主機A給主機B發(fā)送一個數(shù)據(jù)包
SEQ (hex): X+100 ACK (hex): Y+80
FLAGS: -AP--- Window: ZZZZ,包大小為:20
B向A回應(yīng)一個數(shù)據(jù)包
SEQ (hex): Y+80 ACK (hex): X+120
FLAGS: -AP--- Window: ZZZZ,包大小為:10
現(xiàn)在,主機B執(zhí)行了攻擊者C冒充主機A發(fā)送過來的命令,并且返回給主機A一個數(shù)據(jù)包;但是,主機A并不能識別主機B發(fā)送過來的數(shù)據(jù)包,所以主機A會以期望的序列號返回給主機B一個數(shù)據(jù)包,隨即形成ACK風(fēng)暴。如果成功的解決了ACK風(fēng)暴(例如前邊提到的ARP欺騙或者其他方式),就可以成功進行會話劫持了。
3.http會話劫持
Web應(yīng)用程序是通過2種方式來判斷和跟蹤不同用戶的:Cookie或者Session(也叫做會話型Cookie)。其中Cookie是存儲在本地計算機上的,過期時間很長,所以針對Cookie的攻擊手段一般是盜取用戶Cookie然后偽造Cookie冒充該用戶;而Session由于其存在于服務(wù)端,隨著會話的注銷而失效(很快過期),往往難于利用。所以一般來說Session認證較之Cookie認證安全。
會話型cookie也是可以通過程序獲得的,換句話說我們進行TCP會話劫持的時候如果針對http會話劫持的話可以截獲所有http內(nèi)容包括Session信息。
下面我們一個具體的例子。這個例子中我使用的是一個非ARP欺騙方式的工具SSClone。本機ip是192.168.1.107,我在ip地址為192.168.1.105的機器上打開126郵箱。
之后在ip是192.168.1.107的計算機上我們截獲了這個會話,而且可以直接進入郵箱,不用登錄。
?
哎呀,好累,還剩點內(nèi)容,留到明天吧,歡迎各位讀者踴躍批評。
總結(jié)
以上是生活随笔為你收集整理的Web安全实践(13)嗅探,arp欺骗,会话劫持与重放攻击(上)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Web安全实践(14)嗅探,arp欺骗,
- 下一篇: 交换机网络嗅探方法之欺骗交换机缓存