深度分析TCP會(huì)話劫持
作為一種會(huì)話劫持的方法,黑客如果對(duì)一些并不可靠的協(xié)議進(jìn)行劫持,那么將會(huì)輕而易舉的視線,但是TCP協(xié)議是一種被稱為可靠的傳輸協(xié)議,許多傳輸功能也都是基于TCP協(xié)議進(jìn)行的,所以TCP會(huì)話劫持將作為本章討論的對(duì)象。
TCP會(huì)話劫持
根據(jù)TCP/IP中的規(guī)定,使用TCP協(xié)議進(jìn)行通訊需要提供兩段序列號(hào),TCP協(xié)議使用這兩段序列號(hào)確保連接同步以及安全通訊,系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時(shí)間或線性的產(chǎn)生這些值。在通訊過(guò)程中,雙方的序列號(hào)是相互依賴的,這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議(具體可參見(jiàn)RFC 793)。如果攻擊者在這個(gè)時(shí)候進(jìn)行會(huì)話劫持,結(jié)果肯定是失敗,因?yàn)闀?huì)話雙方“不認(rèn)識(shí)”攻擊者,攻擊者不能提供合法的序列號(hào);所以,會(huì)話劫持的關(guān)鍵是預(yù)測(cè)正確的序列號(hào),攻擊者可以采取嗅探技術(shù)獲得這些信息
TCP協(xié)議的序列號(hào)
現(xiàn)在來(lái)討論一下有關(guān)TCP協(xié)議的序列號(hào)的相關(guān)問(wèn)題。在每一個(gè)數(shù)據(jù)包中,都有兩段序列號(hào),它們分別為:
SEQ:當(dāng)前數(shù)據(jù)包中的第一個(gè)字節(jié)的序號(hào)
ACK:期望收到對(duì)方數(shù)據(jù)包中第一個(gè)字節(jié)的序號(hào)
假設(shè)雙方現(xiàn)在需要進(jìn)行一次連接:
S_SEQ:將要發(fā)送的下一個(gè)字節(jié)的序號(hào)
S_ACK:將要接收的下一個(gè)字節(jié)的序號(hào)
S_WIND:接收窗口
//以上為服務(wù)器(Server)
C_SEQ:將要發(fā)送的下一個(gè)字節(jié)的序號(hào)
C_ACK:將要接收的下一個(gè)字節(jié)的序號(hào)
C_WIND:接收窗口
//以上為客戶端(Client)
它們之間必須符合下面的邏輯關(guān)系,否則該數(shù)據(jù)包會(huì)被丟棄,并且返回一個(gè)ACK包(包含期望的序列號(hào))。
C_ACK <= C_SEQ <= C_ACK + C_WIND
S_ACK <= S_SEQ <= S_ACK + S_WIND
如果不符合上邊的邏輯關(guān)系,就會(huì)引申出一個(gè)“致命弱點(diǎn)”,具體請(qǐng)接著往下看。
致命弱點(diǎn)
這個(gè)致命的弱點(diǎn)就是ACK風(fēng)暴(Storm)。當(dāng)會(huì)話雙方接收到一個(gè)不期望的數(shù)據(jù)包后,就會(huì)用自己期望的序列號(hào)返回ACK包;而在另一端,這個(gè)數(shù)據(jù)包也不是所期望的,就會(huì)再次以自己期望的序列號(hào)返回ACK包……于是,就這樣來(lái)回往返,形成了惡性循環(huán),最終導(dǎo)致ACK風(fēng)暴。比較好的解決辦法是先進(jìn)行ARP欺騙,使雙方的數(shù)據(jù)包“正常”的發(fā)送到攻擊者這里,然后設(shè)置包轉(zhuǎn)發(fā),最后就可以進(jìn)行會(huì)話劫持了,而且不必?fù)?dān)心會(huì)有ACK風(fēng)暴出現(xiàn)。當(dāng)然,并不是所有系統(tǒng)都會(huì)出現(xiàn)ACK風(fēng)暴。比如Linux系統(tǒng)的TCP/IP協(xié)議棧就與RFC中的描述略有不同。注意,ACK風(fēng)暴僅存在于注射式會(huì)話劫持。
TCP會(huì)話劫持過(guò)程
假設(shè)現(xiàn)在主機(jī)A和主機(jī)B進(jìn)行一次TCP會(huì)話,C為攻擊者,劫持過(guò)程如下:
A向B發(fā)送一個(gè)數(shù)據(jù)包
SEQ (hex): X ACK (hex): Y
FL
AGS: -AP--- Window: ZZZZ,包大小為:60
B回應(yīng)A一個(gè)數(shù)據(jù)包
SEQ (hex): Y ACK (hex): X+60
FLAGS: -AP--- Window: ZZZZ,包大小為:50
A向B回應(yīng)一個(gè)數(shù)據(jù)包
SEQ (hex): X+60 ACK (hex): Y+50
FLAGS: -AP--- Window: ZZZZ,包大小為:40
B向A回應(yīng)一個(gè)數(shù)據(jù)包
SEQ (hex): Y+50 ACK (hex): X+100
FLAGS: -AP--- Window: ZZZZ,包大小為:30
攻擊者C冒充主機(jī)A給主機(jī)B發(fā)送一個(gè)數(shù)據(jù)包
SEQ (hex): X+100 ACK (hex): Y+80
FLAGS: -AP--- Window: ZZZZ,包大小為:20
B向A回應(yīng)一個(gè)數(shù)據(jù)包
SEQ (hex): Y+80 ACK (hex): X+120
FLAGS: -AP--- Window: ZZZZ,包大小為:10
現(xiàn)在,主機(jī)B執(zhí)行了攻擊者C冒充主機(jī)A發(fā)送過(guò)來(lái)的命令,并且返回給主機(jī)A一個(gè)數(shù)據(jù)包;但是,主機(jī)A并不能識(shí)別主機(jī)B發(fā)送過(guò)來(lái)的數(shù)據(jù)包,所以主機(jī)A會(huì)以期望的序列號(hào)返回給主機(jī)B一個(gè)數(shù)據(jù)包,隨即形成ACK風(fēng)暴。如果成功的解決了ACK風(fēng)暴(例如ARP欺騙),就可以成功進(jìn)行會(huì)TCP話劫持了。
【編輯推薦】
