网络与信息安全网络安全四

网络与信息安全网络安全四内容摘要：

_SEQ: 客户将要发送的下一个字节的序号 CLT_ACK: 客户将要接收的下一个字节的序号 CLT_WIND: 客户的接收窗口 关系 CLT_ACK = SVR_SEQ = CLT_ACK + CLT_WIND SVR_ACK = CLT_SEQ = SVR_ACK + SVR_WIND 只有满足这样条件的包，对方才会接收 否则，该包被丢掉，并且送回一个 ACK包 (含有期望的序列号 ) 关于 TCP协议的序列号 (续 ) 同步状态 SVR_SEQ = CLT_ACK CLT_SEQ = SVR_ACK 不同步状态 SVR_SEQ != CLT_ACK CLT_SEQ != SVR_ACK 如果 TCP连接进入到一种不同步的状态 客户发送一个包 SEG_SEQ = CLT_SEQ SEG_ACK = CLT_ACK 这个包不会被接收，因为 CLT_SEQ != SVR_ACK 相反，如果第三方 (攻击者 )发送一个包 SEG_SEQ = SVR_ACK SEG_ACK = SVR_SEQ 这个包可以被服务器接收 如果攻击者能够伪造两边的包的话，还可以恢复客户和服务器之间的会话，使得回到同步状态 TCP ACK Storm 当一个主机接收到一个不期望的数据包的时候，它会用自己的序列号发送 ACK，而这个包本身也是不可被接受的。 于是，两边不停地发送 ACK包，形成 ACK包的循环，是为 ACK风暴。 如果有一个 ACK包丢掉，则风暴停止 在不同步的情况下，当服务器发送数据给客户 如果攻击者不对这份数据响应 ACK的话，这份数据会被重传，因为服务器收不到 ACK，并且会形成ACK风暴，最终，连接会被终止 如果攻击者对这份数据作出响应，则只有一个 ACK风暴 如何到达不同步的状态 (一 ) 在建立连接的时候劫持会话 当攻击者听到握手过程第二步的时候，它给服务器发送一个 RST包，然后发送用同样的 TCP和端口号构造的一个 SYN包，但是序列号与前面的 SYN包不同 服务器关闭第一个连接，打开第二个连接，并且送回第二个 SYN/ACK给客户，攻击者听到这个包之后，给服务器送出一个 ACK包 至此，客户、服务器、攻击者都进入到 TCP ESTABLISHED状态，但是攻击者和服务器之间是同步的，而客户和服务器之间是不同步的 注意，攻击者选择的序列号与客户的序列号一定要不同，否则不能成功 如何到达不同步的状态 (二 ) 给一方发送空数据 攻击者首先观察会话 然后，给服务器发送一些无关紧要的数据，这些数据会导致服务器的序列号发生变化 攻击者给客户也可以发送数据 这种手段成功的要点在于 可以发送一些无关紧要的数据，并且能够把握发送的时机 不在一个子网中的劫持 (欺骗 )手法 有时候也称作 “ Blind spoofing” 攻击者发送一个 SYN包 然后猜测服务器的 ISN 只要能够猜得到，就可以建立连接 但是攻击者收不到服务器给客户的包 使用源路由技术。 条件： 真正的客户不能发送 RST包 攻击者能够猜测服务器每个包的大小 实施会话劫持的一般性过程 发现目标 找到什么样的目标，以及可以有什么样的探查手段，取决于劫持的动机和环境 探查远程机器的 ISN(初始序列号 )规律 可以用 nmap，或者手工发起多个连接 等待或者监听会话 最好在流量高峰期间进行，不容易被发现，而且可以有比较多可供选择的会话 猜测序列号 这是最为关键的一步，如果不在一个子网中，难度将非常大 使被劫持方下线 ACK风暴，拒绝服务 接管会话 如果在同一个子网中，则可以收到响应，否则要猜测服务器的动作 Kill a connection 攻击者发送一个 RST包给 B，并且假冒 A的 IP地址 观察 A和 B之间的数据往来，算出 A和 B的序列号，在适当的时机插入一个 RST包，只要在插入点上，序列号正确，则 RST包就会被接受，从而达到目的 攻击者发送一个 FIN包给 B，并且假冒 A的 IP地址 同样地，在适当的时机给 B发送一个 FIN包 这时候， A怎么办。 A B 攻击者 会话劫持过程详解 (1) 看到一个 AB包 TCP Packet ID (): SEQ (hex): 5C8223EA ACK (hex): C34A67F6 FLAGS: AP Window: 7C00，包长为 1 A 攻击者 B B回应一个包， BA TCP Packet ID (): SEQ (hex): C34A67F6 ACK (hex): 5C8223EB FLAGS: AP Window: 2238， 包长为 1 A回应一个包， AB TCP Packet ID (): SEQ (hex): 5C8223EB ACK (hex): C34A67F7 FLAGS: A Window: 7C00， 包长为 0 会话劫持过程详解 (2) 攻击者模仿 A插入一个包给 B，假设这个包正常跟在第一个包之后 TCP Packet ID (): SEQ (hex): 5C8223EB ACK (hex): C34A67F6 FLAGS: AP Window: 7C00，包长为 10(一定的长度 ) A 攻击者 B B回应一个包， BA TCP Packet ID (): SEQ (hex): C34A67F7 ACK (hex): 5C8223F5 FLAGS: AP Window: 2238， 包长不定 (比如 20) 此时， A会按。