IP地址欺骗与盗用原理:
IP恶搞的技术很复杂,不是简单的画虎为猫就能掌握的。但作为一种常规的攻击手段,有必要了解其原理,至少有利于自身的安全。保管容易,保管难。
(资料图片仅供参考)
假设B上的客户运行rlogin与A上的rlogin通信:
1.b发送一个带有SYN标志的数据段,通知a需要建立TCP连接。并将TCP报头中的序列号设置为该连接的初始值ISN。
2.a向B发回一个带有SYS ACK标志的数据段,通知自己的ISN,确认B发送的第一个数据段,并将确认号设置为B的ISN 1。
3.b确认接收到的A的数据段,并将确认号设置为A的ISN 1。
B - SYN - A
B - SYN ACK - A
B - ACK - A
TCP使用的序列号是一个32位计数器,范围从0-4294967295。TCP为每个连接选择
选择一个初始序列号ISN。为了防止三次握手受到延迟、重传等的干扰。是不能随便选的。不同的系统有不同的算法。了解TCP如何分配ISN以及ISN如何随时间变化对于成功的IP欺骗攻击非常重要。
基于远程过程调用RPC的命令,如rlogin、rcp、rsh等。根据/etc/hosts.equiv和$HOME/进行检查。rhosts文件。这样做的本质是只根据源的IP地址来确认用户的身份,从而允许或拒绝用户的RPC。
IP欺骗攻击描述:
1.假设Z试图攻击A,A信任B,所谓信任是指/etc/hosts.equiv和$ home/.rhosts中有相关设置,注意,怎么才能知道A信任B呢?没有确定的方法。我的建议是平时注意收集线索,多多积累。
事实上,一次成功的攻击主要是由于广泛而详细的信息收集,而不是技术的先进性。我用了自以为很有成就感的技术,但并不比酒桌上提问高明多少。攻击只把成功作为最终目的,不在乎手段。
2.假设Z已经知道了可信的B,应该想办法暂时禁用B的网络功能,以免干扰攻击。
著名的SYN flood通常是IP欺骗攻击的前奏。请看并发服务器的框架:
int initsockid,newsockid
if ((initsockid=socket(.)) 0) {
错误(“无法创建套接字”);
}
if (bind(initsockid,) 0) {
错误(“绑定错误”);
}
if (listen(initsockid,5) 0) {
错误(“监听错误”);
}
for(;{
newsockid=acc ept(initsockid,);/*阻塞*/
if(new ockid 0){
错误(“接受错误”);
}
If (fork()==0) {/*子进程*/
close(initsockid);
do(newsockid);/*处理客户端请求*/
退出(0);
}
close(newsockid);
}
listen函数中的第二个参数是5,这意味着initsockid上允许的最大连接请求数。如果initsockid上的连接请求数在某个时候达到了5,那么到达initsockid的后续连接请求将被TCP丢弃。请注意,一旦通过三次握手建立了连接,并且accept调用已经处理了该连接,TCP连接请求队列将空出一个位置。所以这个5并不意味着initsockid上只能接受5个连接请求。SYN flood是一种拒绝服务,导致B的网络功能暂时中断。
发送若干带有SYN标志的数据段给Z B请求连接,注意把源的IP地址改成不存在的主机X;b向假想的X发送SYN ACK数据段,但是没有来自X的ACK出现。B的IP层会向B的TCP层报告X不可达,但是B的TCP层忽略了这一点,认为这只是暂时的。所以B不能再接这个initsockid了。
接收正常的连接请求。
Z(X) -同步B
Z(X) -同步B
Z(X) -同步B
Z(X) -同步B
Z(X) -同步B
.
X - SYN ACK - B
X - SYN ACK - B
X - SYN ACK - B
X - SYN ACK - B
X - SYN ACK - B
.
我觉得这样会暂时瘫痪B网的功能,但总觉得哪里不对劲。
因为B不能在initsockid上接收TCP连接请求,但是可以在另一个initsockid上接收。这个SYN flood应该只针对特定的服务(端口),不应该影响全球。当然,如果你一直发送连接请求,和用ping发送flood包是一样的,会让B的TCP/IP忙处理负载增加。至于SYN flood,以后有机会我一个人来一勺DoS。让B的网络功能临时化的方法有很多,具体看具体情况,这里就不赘述了。
3.z必须确定A的当前ISN。首先连接25端口(SMTP没有安全检查机制),类似于1中的,但是这一次,你需要记录A的ISN和Z到A的大概RTT(往返时间),这个步骤重复几次,求平均RTT。现在Z知道了A的ISN基值及其递增规律(比如每秒递增128000,每次连接递增64000),也知道了RTT/2从Z到A所需的时间,你必须立即攻击,否则会有其他主机连接到A,ISN会比预期多64000。
4.z向A发送带SYN标志的段请求连接,但源IP改为b,注意是针对TCP端口513 (rlogin)。向a b发回SYN ACK数据段,但b无法响应,b的TCP层干脆丢弃a发回的数据段.
5.Z暂停一小会儿,给A足够的时间发送SYN ACK,因为Z看不到这个数据包。然后z伪装成b再次向a发送ACK,此时发送的数据段有z预测的a的ISN 1,如果预测准确,连接建立,数据传输开始。问题是即使建立了连接,A还是会发送数据给B而不是Z,Z还是看不到A发送给B的数据段,Z只好捂着脑袋假冒B发送类似" cat ~/"的命令。rhosts "到一个根据rlogin协议标准,所以攻击完成。如果预测不准确,A会发送一个带有RST标志的数据段异常终止连接,Z就要重新开始。
Z(B) -顺式- A
B - SYN ACK - A
Z(B) - ACK - A
z(B)-PSH A
.
6.IP欺骗攻击利用了RPC服务器仅依赖源的IP地址进行安全验证的特性。建议阅读rlogind的源代码。攻击最难的部分是预测a的ISN,我觉得虽然攻击很难,但是成功的可能性也很大。不太懂,好像有点矛盾。考虑这种情况。入侵者控制了一个从A到B的路由器,假设Z是路由器,那么现在就可以看到A发回B的数据段。很明显,攻击难度突然下降了很多。否则,Z必须准确预见到可能从A发送到B的信息,以及A期望从B得到什么样的响应信息,这就要求攻击者对协议本身相当熟悉。同时需要明白,这种攻击根本无法在交互状态下完成,必须通过编写程序来完成。当然,在准备阶段,我们可以使用netxray等工具对协议进行分析。
7.如果Z不是路由器,可以考虑结合ICMP重定向和ARP欺骗吗?没有仔细分析,只是胡乱猜测。并且与A、B、Z之间的具体网络拓扑结构密切相关,显然在某些情况下大大降低了攻击难度。注意,IP欺骗攻击理论上是从广域网发起的,并不局限于局域网,这也是这种攻击的魅力所在。利用IP欺骗攻击获取a上的外壳,对于很多高级入侵者来说,获取目标主机的外壳离root权限已经不远了。最容易想到的当然是下一个缓冲区溢出攻击。
8.也许有人会问,为什么Z不能直接把自己的IP设置成B的呢?这个问题很难回答。要详细分析网络拓扑,当然还有ARP冲突、网关故障等问题。然后IP欺骗攻击中是否存在ARP冲突。回想一下我之前贴的ARP欺骗攻击,如果B的ARP缓存不受影响,就不会有ARP冲突。如果Z在向A发送数据段时试图解析A的MAC地址或者路由器的MAC地址,必然会发送一个ARP请求包,但是这个ARP请求包中的源IP和源MAC都是Z,自然不会造成ARP冲突。ARP缓存只会被ARP包改变,不会被IP包影响,所以可以肯定的说,IP欺骗攻击过程中不存在ARP冲突。相反,如果Z修改了自己的IP,可能会发生这种ARP冲突,视情况而定。在攻击中,B被一起攻击,其目的无非是为了防止B干扰攻击过程。如果B本身已经走低,那就更好了。
9.fakeip曾经闹得沸沸扬扬。我扫描了它的端口,发现它的tcp端口113是连接到收入的。和IP欺骗没有直接关系,和安全检查有关。当然,这个东西顾名思义并没有对IP层做什么。
10.关于ISN的预测,我想到另一个问题。如何作为第三方切断A和B之间的TCP连接,其实就是一个预测序列号的问题。我试过了,很难。如果Z是A和B之间的路由器,不言而喻;或者z用其他技术监听a和b的通信,比较容易;不然预测太难了。作者提到了3中连接A的25端口,但我不明白的是513端口的ISN和25端口有什么关系?看来你需要看看TCP/IP内部实现的源代码。
阅读文章“IP地址欺骗与盗用原理”的人还会读到:
1.自动或手动IP地址设置图解教程
2.怎么查自己的ip地址?
3.如何快速找回变更后的IP地址?
4.子网掩码和ip地址有什么关系?
5.快速路由器获取IP地址的方法
6.查找路由器非默认IP地址的方法
7.教你轻松解决Win7系统经常取不到IP地址的问题。
8.如何为计算机设置ip地址
9.9的原因分析及解决方法。IP地址冲突
10.如何划分ip地址?
本文到此结束,希望对大家有所帮助。
