收藏
下载资源

会话劫持攻击实战与防范(hunt软件的使用)

上传人:第*** 文档编号:30589199 上传时间:2018-01-30 格式:DOC 页数:7 大小:64.50KB
返回 下载 相关 举报
会话劫持攻击实战与防范(hunt软件的使用)_第1页
第1页 / 共7页
会话劫持攻击实战与防范(hunt软件的使用)_第2页
第2页 / 共7页
会话劫持攻击实战与防范(hunt软件的使用)_第3页
第3页 / 共7页
会话劫持攻击实战与防范(hunt软件的使用)_第4页
第4页 / 共7页
会话劫持攻击实战与防范(hunt软件的使用)_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《会话劫持攻击实战与防范(hunt软件的使用)》由会员分享,可在线阅读,更多相关《会话劫持攻击实战与防范(hunt软件的使用)(7页珍藏版)》请在金锄头文库上搜索。

1、会话劫持攻击实战与防范通常,大家所说的入侵,都是针对一台主机,在获得管理员权限后,就很是得意;其实,真正的入侵是占领整个内部网络。针对内部网络的攻击方法比较多,但比较有效的方法非 ARP 欺骗、DNS 欺骗莫属了。但是,不管使用什么技术,无非都是抓取目标的数据包,然后分析出敏感数据。如果目标内部采用的是共享式网络(采用 HUB 集线器连网) ,那只需要把网卡设置为“混杂模式”,挂上嗅探器(Sniffer ) ,就能简听到你想得到的数据。如果是交换式网络(采用交换机连网) ,这样方法就行不通了,因为对于嗅探器,有三种网络环境是无法跨越的:“网桥”、 “交换机”、 “路由器”。可惜,对于 ARP

2、欺骗,交换式网络还是无能为力,如果我们借助 ARP 欺骗,在实现更高一层的“入侵手段” ,从而真正的控制内部网络。这也就是本文要叙述的会话劫持攻击1, 什么是会话劫持 在现实生活中,比如你去市场买菜,在交完钱后你要求先去干一些别的事情,稍候再来拿菜;如果这个时候某个陌生人要求把菜拿走,卖菜的人会把菜给陌生人吗?!当然,这只是一个比喻,但这恰恰就是会话劫持的喻意。所谓会话,就是两台主机之间的一次通讯。例如你 Telnet 到某台主机,这就是一次 Telnet 会话;你浏览某个网站,这就是一次 HTTP 会话。而会话劫持(Session Hijack) ,就是结合了嗅探以及欺骗技术在内的攻击手段。

3、例如,在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行简听,甚至可以是代替某一方主机接管会话。我们可以把会话劫持攻击分为两种类型:1)中间人攻击(Man In The Middle,简称 MITM),2)注射式攻击(Injection) ;并且还可以把会话劫持攻击分为两种形式:1)被动劫持,2 )主动劫持;被动劫持实际上就是在后台监视双方会话的数据流,丛中获得敏感数据;而主动劫持则是将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,这种攻击方法危害非常大,攻击者可以做很多事情,比如“cat etc/master.pa

4、sswd”(FreeBSD 下的 Shadow 文件) 。图 1 为会话劫持示意图。 MITM 攻击简介 这也就是我们常说的“中间人攻击 ”,在网上讨论比较多的就是 SMB 会话劫持,这也是一个典型的中间人攻击。要想正确的实施中间人攻击,攻击者首先需要使用 ARP 欺骗或 DNS 欺骗,将会话双方的通讯流暗中改变,而这种改变对于会话双方来说是完全透明的。关于 ARP 欺骗黑客防线介绍的比较多,网上的资料也比较多,我就不在多说了,我只简单谈谈 DNS 欺骗。DNS(Domain Name System) ,即域名服务器,我们几乎天天都要用到。对于正常的 DNS 请求,例如在浏览器输入 ,然后系统

5、先查看 Hosts 文件,如果有相对应的 IP,就使用这个 IP 地址访问网站(其实,利用Hosts 文件就可以实现 DNS 欺骗) ;如果没有,才去请求 DNS 服务器;DNS 服务器在接收到请求之后,解析出其对应的 IP 地址,返回给我本地,最后你就可以登陆到黑客防线的网站。而 DNS 欺骗则是,目标将其 DNS 请求发送到攻击者这里,然后攻击者伪造 DNS 响应,将正确的 IP 地址替换为其他 IP,之后你就登陆了这个攻击者指定的IP,而攻击者早就在这个 IP 中安排好了恶意网页,可你却在不知不觉中已经被攻击者下了“套”DNS 欺骗也可以在广域网中进行,比较常见的有“Web 服务器重定向

6、”、 “邮件服务器重定向”等等。但不管是 ARP 欺骗,还是 DNS 欺骗,中间人攻击都改变正常的通讯流,它就相当于会话双方之间的一个透明代理,可以得到一切想知道的信息,甚至是利用一些有缺陷的加密协议来实现。 注射式攻击简介 这种方式的会话劫持比中间人攻击实现起来简单一些,它不会改变会话双方的通讯流,而是在双方正常的通讯流插入恶意数据。在注射式攻击中,需要实现两种技术:1)IP欺骗,2)预测 TCP 序列号。如果是 UDP 协议,只需伪造 IP 地址,然后发送过去就可以了,因为 UDP 没有所谓的 TCP 三次握手,但基于 UDP 的应用协议有流控机制,所以也要做一些额外的工作。对于 IP 欺

7、骗,有两种情况需要用到: 1)隐藏自己的 IP 地址;2)利用两台机器之间的信任关系实施入侵。在 Unix/Linux 平台上,可以直接使用Socket 构造 IP 包,在 IP 头中填上虚假的 IP 地址,但需要 root 权限;在 Windows 平台上,不能使用 Winsock,需要使用 Winpacp(也可以使用 Libnet) 。例如在 Linux 系统,首先打开一个 Raw Socket(原始套接字) ,然后自己编写 IP 头及其他数据。可以参考下面的实例代码: sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd,

8、IPPROTO_IP, IP_HDRINCL, struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip-ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip-ip_src.s_addr; tcp-check = tcpchksum(u_short *) sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in); 对于基于 TCP 协议的注射式会话劫持,攻击者应先采用

9、嗅探技术对目标进行简听,然后从简听到的信息中构造出正确的序列号,如果不这样,你就必须先猜测目标的ISN(初始序列号) ,这样无形中对会话劫持加大了难度。那为什么要猜测会话双方的序列号呢?请继续往下看。 2,TCP 会话劫持 本文主要叙述基于 TCP 协议的会话劫持。如果劫持一些不可靠的协议,那将轻而易举,因为它们没有提供一些认证措施;而 TCP 协议被欲为是可靠的传输协议,所以要重点讨论它。 根据 TCP/IP 中的规定,使用 TCP 协议进行通讯需要提供两段序列号,TCP 协议使用这两段序列号确保连接同步以及安全通讯,系统的 TCP/IP 协议栈依据时间或线性的产生这些值。在通讯过程中,双方

10、的序列号是相互依赖的,这也就是为什么称 TCP 协议是可靠的传输协议(具体可参见 RFC 793) 。如果攻击者在这个时候进行会话劫持,结果肯定是失败,因为会话双方“不认识” 攻击者,攻击者不能提供合法的序列号;所以,会话劫持的关键是预测正确的序列号,攻击者可以采取嗅探技术获得这些信息。 TCP 协议的序列号 现在来讨论一下有关 TCP 协议的序列号的相关问题。在每一个数据包中,都有两段序列号,它们分别为: SEQ:当前数据包中的第一个字节的序号 ACK:期望收到对方数据包中第一个字节的序号 假设双方现在需要进行一次连接: S_SEQ:将要发送的下一个字节的序号 S_ACK:将要接收的下一个字

11、节的序号 S_WIND:接收窗口 /以上为服务器(Server ) C_SEQ:将要发送的下一个字节的序号 C_ACK:将要接收的下一个字节的序号 C_WIND:接收窗口 /以上为客户端(Client) 它们之间必须符合下面的逻辑关系,否则该数据包会被丢弃,并且返回一个 ACK 包(包含期望的序列号) 。 C_ACK l /查看当前网络上的会话 0)192.168.0.1 3465 ?192.168.0.20 23 /主机 A 正在 Telnet 到主机 B - Main Menu - rcvpkt 0, free/alloc 63/64 - l/w/r) list/watch/reset c

12、onnections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit * w /监视当前网络上的会话 0)192.168.0.1 3465 ?192.168.0.20 23 Choose conn0 /选择打算监视的会话。由于我的条件有限,不能模拟多个会话,请多见量。 Dump src/dst/oth /回车 Print sec/dst same charactes y/n n

13、 /回车 现在就可以监视会话了。主机 A 输入的一切内容,我们都可以看到,如图 4。主机 A 在Telnet 并登陆之后,直接 su root,password :后边的就是 root 的密码。现在这个系统已经完全由你所控制了,自由发挥吧! - Main Menu - rcvpkt 0, free/alloc 63/64 - l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst

14、/arp/sniff/mac o) options x) exit * s /进行注射式会话劫持 0)192.168.0.1 3465 ?192.168.0.20 23 choose conn 0 dump connection y/n n Enter the command string you wish executed or cr cat /etc/passwd 攻击者的意图是获取主机 B 的 passwd 文件的内容,但由于注射式会话劫持缺陷,导致了ACK 风暴,所以 Hunt 向会话双方发送了一个带 RST 标志位的 TCP 包来阻止 ACK 风暴。具体如图 5 所示。 - Main

15、 Menu - rcvpkt 0, free/alloc 63/64 - l/w/r) list/watch/reset connections u) host up tests a) arp/simple hijack (avoids ack storm if arp used) s) simple hijack d) daemons rst/arp/sniff/mac o) options x) exit * a /进行中间人会话劫持 0)192.168.0.1 3862 ?192.168.0.20 23 choose conn 0 arp spoof src in dst y/n y s

16、rc MAC XX:XX:XX:XX:XX:XX arp spoof dst in src y/n y dst MAC XX:XX:XX:XX:XX:XX input mode raw, line+echo+r, line+echo r dump connectin y/n y n press key to take voer of connection ARP spoof of 192.168.0.20 with fake mac XX:XX:XX:XX:XX:XX in host 192.168.0.1 FA ILED do you want to force arp spoof nutil successed y/n y CTRL-C to break CTRL+C /手工输

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 外语文库 > 英语学习

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号