kingl
技术员
帖子
483
精华
1
无忧币 1148
积分 582
阅读权限 30
来自 (保密)
|
发表于:2007-12-5 15:59
标题:IP欺骗的原理
<上一帖 |
下一帖>
背景
假设B上的客户运行rlogin与A上的rlogind通信:
1. B发送带有SYN标志的数据段通知A需要建立TCP连接,并将TCP报头中的Sequence Number设置成自己本次连接的初始值ISN。
2. A回传给B一个带有SYS+ACK标志的数据段,告之自己的ISN,并确认B发送来的第一个数据段,将Acknowledge Number设置成B的ISN+1。
3. B确认收到的A的数据段,将Acknowledge Number设置成A的ISN+1。
B ---- SYN ----> A
B A
TCP使用的Sequence Number是一个32位的计数器,从0~4294967295。
TCP为每一个连接选择一个初始序号ISN,为了防止因为延迟、重传等扰乱三次握手,ISN不能随便选取,不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律,对于理解IP欺骗攻击很重要。
基于远程过程调用RPC的命令,比如rlogin、rcp、rsh等,是根据/etc/hosts.equiv以及$HOME/.rhosts文件进行安全校验的,其实质是仅仅根据信源IP地址进行用户身份确认,以便允许或拒绝用户RPC。
IP欺骗攻击过程
1. 假设Z企图攻击A,而A信任B,所谓信任指/etc/hosts.equiv和$HOME/.rhosts中有相关设置。
2. 假设Z已经知道了被信任的B,往往先使B的网络功能暂时瘫痪,以免对攻击造成干扰。著名的SYN flood常常是一次IP欺骗攻击的前奏,请看一个并发服务器的框架:
int initsockid, newsockid;
if ((initsockid = socket(...)) B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B
Z(X) ---- SYN ----> B Z(X) ---- SYN ----> B
......
X > ~/.rhosts" 这样的命令,于是攻击完成。如果预测不准确,A将发送一个带有RST标志的数据段终止异常连接,Z只有从头再来。
Z(B) ---- SYN ----> A
B A
Z(B) ---- PSH ----> A
......
6. IP欺骗攻击利用了RPC服务器[/url]仅仅依赖信源IP地址进行安全校验的特性。攻击最困难的地方在于预测A的ISN。考虑这种情况,如果入侵者控制了一台由A到B之间的路由器,假设Z就是这台路由器,那么A回送到B的数据段,现在Z是可以看到的,显然攻击难度骤然下降了许多。
7. 注意IP欺骗攻击理论上是从广域网上发起的,不局限于局域网,这也正是这种攻击广受青睐的原因所在。利用IP欺骗攻击得到一个A上的shell,对于许多高级入侵者来说,得到目标主机的shell,离root权限就不远了,最容易想到的当然是接下来进行buffer overflow攻击。
8. 也许有人要问,为什么Z不能直接把自己的IP设置成B的?这个问题很不好回答,要具体分析网络拓扑,当然也存在ARP冲突、出不了网关等问题。如果Z向A发送数据段时,企图解析A的MAC地址或者路由器的MAC地址,必然会发送ARP请求包,但这个ARP请求包中源IP以及源MAC都是Z的,自然不会引起ARP冲突。而ARP Cache只会被ARP包改变,不受IP包的影响,所以可以肯定地说,IP欺骗攻击过程中不存在ARP冲突。相反,如果Z修改了自己的IP,这种ARP冲突就有可能出现,视具体情况而言。黑客在攻击中连带B一起攻击,其目的无非是防止B干扰攻击过程。
未雨绸缪
虽然IP欺骗攻击有着相当难度,但我们应该清醒地意识到,这种攻击非常广泛,入侵往往由这里开始。预防这种攻击还是比较容易的,比如删除所有的/etc/hosts.equiv、$HOME/.rhosts文件或修改/etc/ inetd.conf文件,使得RPC机制无法运作,还可以杀掉portmapper,或是设置路由器,过滤来自外部而信源地址却是内部IP的报文,Cisco公司的产品就有这种功能。不过路由器只防得了外部入侵,内部入侵呢?
TCP的ISN选择不是随机的,增加也不是随机的,这使攻击者有规律可循,可以修改与ISN相关的代码,因此选择好的算法,使得攻击者难以找到规律,也是有效的防范手段。 ,
[ 本帖最后由 kingl 于 2007-12-5 16:03 编辑 ]
|
网络工程师到底该不该去考CCIE认证? |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图