嗅探，arp欺騙，會話劫持與重放攻擊

Sniffer

Sniffer（嗅探器）程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC， 一般為以太網(wǎng)卡）置為雜亂（promiscuous）模式狀態(tài)的工具， 一旦網(wǎng)卡設(shè)置為這種模式， 它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。 Sniffer分為軟件和硬件兩種， 一般指的是軟件， 但功能有限， 硬件價格比較貴。

Sniffer可以用來監(jiān)聽任何網(wǎng)絡(luò)信息， 在此 我只關(guān)心http/https數(shù)據(jù)的監(jiān)聽。

下面我以登錄126為例， 運(yùn)行了在網(wǎng)上隨便找的一個嗅探工具， 我這里為了更清楚的說明問題沒有選"SSL安全登錄"選項。 這里我們也該體會到的一點(diǎn)是防止嗅探攻擊的最好方式就是加密數(shù)據(jù)。

在圖片的末尾我們可以看到下面的內(nèi)容：

domain=126.com&language=0&bCookie=&username=xuanhun521@126.com&user=xuanhun521&password=xuanhun&style=-1&remUser=&enter.x=%B5%C7+%C2%BC

用戶名和密碼都可以被嗅探到。

13.2 會話劫持

下面改編了一下網(wǎng)上的相關(guān)資料， 介紹一下會話劫持。

　1、會話劫持原理

我們可以把會話劫持攻擊分為兩種類型：1）中間人攻擊(Man In The Middle， 簡稱MITM)， 2）注射式攻擊（Injection）；并且還可以把會話劫持攻擊分為兩種形式：1）被動劫持， 2）主動劫持；被動劫持實(shí)際上就是在后臺監(jiān)視雙方會話的數(shù)據(jù)流， 叢中獲得敏感數(shù)據(jù)；而主動劫持則是將會話當(dāng)中的某一臺主機(jī)"踢"下線， 然后由攻擊者取代并接管會話。

（1）中間人攻擊

要想正確的實(shí)施中間人攻擊， 攻擊者首先需要使用ARP欺騙或DNS欺騙， 將會話雙方的通訊流暗中改變， 而這種改變對于會話雙方來說是完全透明的。 不管是ARP欺騙， 還是DNS欺騙， 中間人攻擊都改變正常的通訊流， 它就相當(dāng)于會話雙方之間的一個透明代理， 可以得到一切想知道的信息， 甚至是利用一些有缺陷的加密協(xié)議來實(shí)現(xiàn)。

（2）注射式攻擊簡介

　　這種方式的會話劫持比中間人攻擊實(shí)現(xiàn)起來簡單一些， 它不會改變會話雙方的通訊流， 而是在雙方正常的通訊流插入惡意數(shù)據(jù)。 在注射式攻擊中， 需要實(shí)現(xiàn)兩種技術(shù)：1）IP欺騙， 2）預(yù)測TCP序列號。 如果是UDP協(xié)議， 只需偽造IP地址， 然后發(fā)送過去就可以了， 因?yàn)?/span>UDP沒有所謂的TCP三次握手， 但基于UDP的應(yīng)用協(xié)議有流控機(jī)制， 所以也要做一些額外的工作。

對于IP欺騙， 有兩種情況需要用到：1）隱藏自己的IP地址；2）利用兩臺機(jī)器之間的信任關(guān)系實(shí)施入侵。 對于基于TCP協(xié)議的注射式會話劫持， 攻擊者應(yīng)先采用嗅探技術(shù)對目標(biāo)進(jìn)行監(jiān)聽， 然后從監(jiān)聽到的信息中構(gòu)造出正確的序列號， 如果不這樣， 你就必須先猜測目標(biāo)的ISN（初始序列號）， 這樣無形中對會話劫持加大了難度。

　　2、TCP會話劫持

如果劫持一些不可靠的協(xié)議， 那將輕而易舉， 因?yàn)樗鼈儧]有提供一些認(rèn)證措施；而TCP協(xié)議被欲為是可靠的傳輸協(xié)議， 所以要重點(diǎn)討論它。

　　根據(jù)TCP/IP中的規(guī)定， 使用TCP協(xié)議進(jìn)行通訊需要提供兩段序列號， TCP協(xié)議使用這兩段序列號確保連接同步以及安全通訊， 系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時間或線性的產(chǎn)生這些值。 在通訊過程中， 雙方的序列號是相互依賴的， 這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議（具體可參見RFC 793）。 如果攻擊者在這個時候進(jìn)行會話劫持， 結(jié)果肯定是失敗， 因?yàn)闀�話雙方"不認(rèn)識"攻擊者， 攻擊者不能提供合法的序列號；所以， 會話劫持的關(guān)鍵是預(yù)測正確的序列號， 攻擊者可以采取嗅探技術(shù)獲得這些信息。

　　TCP協(xié)議的序列號

　　現(xiàn)在來討論一下有關(guān)TCP協(xié)議的序列號的相關(guān)問題。 在每一個數(shù)據(jù)包中， 都有兩段序列號， 它們分別為：

SEQ：當(dāng)前數(shù)據(jù)包中的第一個字節(jié)的序號

ACK：期望收到對方數(shù)據(jù)包中第一個字節(jié)的序號

　　假設(shè)雙方現(xiàn)在需要進(jìn)行一次連接：

S_SEQ：將要發(fā)送的下一個字節(jié)的序號

S_ACK：將要接收的下一個字節(jié)的序號

S_WIND：接收窗口

//以上為服務(wù)器（Server）

C_SEQ：將要發(fā)送的下一個字節(jié)的序號

C_ACK：將要接收的下一個字節(jié)的序號

C_WIND：接收窗口

//以上為客戶端（Client）

它們之間必須符合下面的邏輯關(guān)系， 否則該數(shù)據(jù)包會被丟棄， 并且返回一個ACK包（包含期望的序列號）。

C_ACK <= C_SEQ <= C_ACK + C_WIND

S_ACK <= S_SEQ <= S_ACK + S_WIND

　　如果不符合上邊的邏輯關(guān)系， 就會引申出一個"致命弱點(diǎn)"。

　　這個致命的弱點(diǎn)就是ACK風(fēng)暴(Storm)。 當(dāng)會話雙方接收到一個不期望的數(shù)據(jù)包后， 就會用自己期望的序列號返回ACK包；而在另一端， 這個數(shù)據(jù)包也不是所期望的， 就會再次以自己期望的序列號返回ACK包……于是， 就這樣來回往返， 形成了惡性循環(huán)， 最終導(dǎo)致ACK風(fēng)暴。 比較好的解決辦法是先進(jìn)行ARP欺騙， 使雙方的數(shù)據(jù)包"正常"的發(fā)送到攻擊者這里， 然后設(shè)置包轉(zhuǎn)發(fā)， 最后就可以進(jìn)行會話劫持了， 而且不必?fù)?dān)心會有ACK風(fēng)暴出現(xiàn)。 當(dāng)然， 并不是所有系統(tǒng)都會出現(xiàn)ACK風(fēng)暴。 比如Linux系統(tǒng)的TCP/IP協(xié)議棧就與RFC中的描述略有不同。 注意， ACK風(fēng)暴僅存在于注射式會話劫持。

　　TCP會話劫持過程

　　假設(shè)現(xiàn)在主機(jī)A和主機(jī)B進(jìn)行一次TCP會話， C為攻擊者， 劫持過程如下：

A向B發(fā)送一個數(shù)據(jù)包

SEQ (hex): X ACK (hex): Y

FLAGS: -AP--- Window: ZZZZ， 包大小為:60

B回應(yīng)A一個數(shù)據(jù)包

SEQ (hex): Y ACK (hex): X+60

FLAGS: -AP--- Window: ZZZZ， 包大小為:50

A向B回應(yīng)一個數(shù)據(jù)包

SEQ (hex): X+60 ACK (hex): Y+50

FLAGS: -AP--- Window: ZZZZ， 包大小為:40

B向A回應(yīng)一個數(shù)據(jù)包

SEQ (hex): Y+50 ACK (hex): X+100

FLAGS: -AP--- Window: ZZZZ， 包大小為:30

攻擊者C冒充主機(jī)A給主機(jī)B發(fā)送一個數(shù)據(jù)包

SEQ (hex): X+100 ACK (hex): Y+80

FLAGS: -AP--- Window: ZZZZ， 包大小為:20

B向A回應(yīng)一個數(shù)據(jù)包

SEQ (hex): Y+80 ACK (hex): X+120

FLAGS: -AP--- Window: ZZZZ， 包大小為:10

　　現(xiàn)在， 主機(jī)B執(zhí)行了攻擊者C冒充主機(jī)A發(fā)送過來的命令， 并且返回給主機(jī)A一個數(shù)據(jù)包；但是， 主機(jī)A并不能識別主機(jī)B發(fā)送過來的數(shù)據(jù)包， 所以主機(jī)A會以期望的序列號返回給主機(jī)B一個數(shù)據(jù)包， 隨即形成ACK風(fēng)暴。 如果成功的解決了ACK風(fēng)暴（例如前邊提到的ARP欺騙或者其他方式）， 就可以成功進(jìn)行會話劫持了。

3.http會話劫持

Web應(yīng)用程序是通過2種方式來判斷和跟蹤不同用戶的：Cookie或者Session（也叫做會話型Cookie）。 其中Cookie是存儲在本地計算機(jī)上的， 過期時間很長， 所以針對Cookie的攻擊手段一般是盜取用戶Cookie然后偽造Cookie冒充該用戶；而Session由于其存在于服務(wù)端， 隨著會話的注銷而失效（很快過期）， 往往難于利用。 所以一般來說Session認(rèn)證較之Cookie認(rèn)證安全。

會話型cookie也是可以通過程序獲得的， 換句話說我們進(jìn)行TCP會話劫持的時候如果針對http會話劫持的話可以截獲所有http內(nèi)容包括Session信息。

下面我們一個具體的例子。 這個例子中我使用的是一個非ARP欺騙方式的工具SSClone。 本機(jī)ip是192.168.1.107， 我在ip地址為192.168.1.105的機(jī)器上打開126郵箱。

之后在ip是192.168.1.107的計算機(jī)上我們截獲了這個會話， 而且可以直接進(jìn)入郵箱， 不用登錄。

哎呀， 好累， 還剩點(diǎn)內(nèi)容， 留到明天吧， 歡迎各位讀者踴躍批評。