????來源:http://www.blog.sh/user1/1706/archives/2005/7798.html
??IP欺騙是在服務器不存在任何漏洞的情況下,通過利用TCP/IP協議本身存在的一些缺陷進行攻擊的方法,這種方法具有一定的難度,需要掌握有關協議的工作原理和具體的實現方法。
一、TCP、IP協議的簡單說明:
??? TCP/IP(傳輸入控制地議/網際協議)是一種網絡通信協議,它規范了網絡上的所有通信設備,尤其是一個主機與另一個主機之間的數據傳輸格式以及傳送方式,TCP/IP是因特網的基礎協議。要想當黑客就有必要了解TCP/IP協議。
? ? 在數據傳送中,可以形象的理解為有兩個信封:TCP和IP信封。要送遞的信息被分成若***段,每一段塞入一個TCP信封,并在該信封上記錄有分段號的信息,再將TCP信封塞入IP大信封里,發送到網上。在掃收端,一個TCP軟件包收集信封,抽出數據,按發送關的順序還原,并加以校驗,若發現差錯,TCP將會要求重發。因此TCP/IP在因特網中幾乎可以無差錯地傳送數據。對因特網用戶來說,并不需要了解網絡協議的整個結構,僅需了解IP的地址格式,即可與世界各地進行網絡通信。
? ? 1、TCP/IP的層次結構:
? ? TCP/IP協議組中的協議因特網上數據的傳輸,提供了幾乎目前上網所用到的所有服務,在TCP/IP協議組中有兩種協議:
? ? (1)網絡層協議:
? ? 網絡層協議管理離散計算機間的數據傳輸。這些協議用戶注意不到,它們是個系統表層以下工作的。比如,IP協議為用戶和遠程計算機提供了信息包的傳輸方法,它是在許多信息的基礎上工作的。比如機器的IP地址。在機器的IP地址和其他信息的基礎上,IP確保信息包正確達到目的機器。通過這一過程,IP和其他網絡層的協議一共同用于數據傳輸。如果沒有網絡工具,用戶就看不到在系統里工作的機器的IP。
? ? (2)應用層協議:
? ? 相反地,應用層協議是可以看到的。比如,文件傳輸協議(FTP)是可以看到的。用戶為了傳一個文件而請求一個和其他計算機連接,連接建立后,就開始傳輸文件,在傳輸時,用戶和遠程計算機的交換的一部分是能看到的。
? ? 2、TCP/IP的重要協議:
? ? (1)地址解析協議(ARP):
? ? 在網絡上進行通信的主機必須知道對方主機的硬件地址(網卡的物理地址)。地址解析協議的目的就是將IP地址映射成物理地址。這在使信息通過網絡時特別重要。一個消息(或者其他數據)在發送之前,被打包到IP包里面,或適合于因特網傳輸信息塊中,其中包括兩臺計算機的IP地址。 在這個包離開發送計算機前,必須找到目標的硬件地址,這就是ARP最初到達的地方。
? ? 一個ARP請求消息會在網上廣播。請求由一個進程接收,它回復物理地址。這個回復消息由原先的那臺發送廣播消息的計算機接收,從而傳輸過程就開始了。
? ? ARP的設計包括一個緩存。為了減少廣播量,ARP在緩存中保存地址映射以備后用。ARP級存保存有動態項和靜態項。動態項是自動加和刪除的,靜態項則是保留在緩存(Cache)中,直到計算機重啟為止。ARP緩存總是為本地子網保留硬件廣播地址(0xffffffffffffh)用為一個永久項,此項使主機能夠接收ARP廣播。當果看存時,該項不會顯示。每條ARP緩存記錄的生命周期為10分種,如果2分種未用則刪除。緩存容量滿時,刪除最早的記錄,但是,緩存也引起了安全性的問題。那就是緩存溢出——這不是本文的討論內容,所以就不說了。
? ? (2)因特網控制消息協議(ICMP):
? ? 因特網控制消息協議(ICMP)用于報告錯誤并IP對消息進行控制。IP運用互聯組管理協議(IGMP)來告訴路由器某一網絡上指導組中有哪些可用主機。
? ? 以ICMP實現的最著名的網絡工具是Ping。Ping通常用來判斷一臺遠程機器是否正開著,數據包從用戶的計算機發到遠程計算機,這些包通常返回到用戶的計算機,如果數據據包沒有返回到用戶計算機,Ping程序就產生一個表示遠程計算機關機的錯誤消息。
二、IP攻擊中如何建立建立信任關系:
??? IP欺騙是利用了主機之間的正常信任關系來發動的,所以在介紹IP欺騙攻擊之前,先說明一下什么是信任關系,信任關系是如何建立的。
? ? 在UNIX主機中,存在著一種特殊的信任關系。假設有兩臺主機hosta和hostb,上面各有一個帳戶Tomy,在使用中會發現,在hosta上使時要輸入在hosta上的相應帳戶Tomy,在hostb上使用時必須輸入用hostb的帳戶Tomy,主機hosta和hostb把Tomy當做兩個互不相關的用戶,這顯然有些不便。為了減少這種不便,可以在主機hosta和hostb中建立起兩個帳戶的相互信任關系。在hosta和hostb上Tomy的home目錄中創建.rhosts文件。從主機hosta上,在你的home目錄中用命令echo “hostb Tomy”>~/.hosts實現hosta&hostb的信任關系,這時,你從主機hostb上,你就能毫無阻礙的使用任何以r開頭的遠程調用命令,如:rlogin、rsh、rcp等,而無需輸入口令驗證就可以直接登錄到hosta上。這些命令將充許以地址為基礎的驗證,允許或者拒絕以IP地址為基礎的存取服務。這里的信任關系是基于IP的地址的。
? ? 當/etc/hosts.equiv中出現一個 “+”或者$HOME/.rhosts中出現 “++”時,表明任意地址的主機可以無須口令驗證而直接使用r命令登陸此主機,這是十分危險的,而這偏偏又是某些管理員不重視的地方。下面我們看一下rlogin的用法。
? ? rlogin是一個簡單的/服務器程序,它的作用和telnet差不多,不同的是telnet完全依賴口令驗證,而rlogin是基于信任關系的驗證,其次到才進行口令驗證的,它使用了TCP協議進行傳輸。當用戶從一臺主機登陸到另一臺主機上,并且,如果目錄主機信任它,rlogin將允許在不應答口令的性況下使用目標主機上的資源,安全驗證完便基于源主機的IP地址。因此,根據以上所舉的例子,我們能利用rlogin來從hostb遠程登陸到hosta,而且不會被提示出入口令!
三、IP欺騙的理論根據:
??? 看到上面的說明,每一個黑客都會想到:既然hosta和hostb之間的信任關系是基于IP址而建立起來的,那么假如能夠冒充hostb的IP,就可以使用rlogin登錄到hosta,而不需任何口令驗證。這就是IP欺騙的最根本的理論依據。但是,事情遠沒有想像中那么簡單!雖然可以通過編程的方法隨意改變發出的包的IP地址,但TCP協議對IP進行了進一步的封裝,它是一種相對可靠的協議,不會讓黑客輕易得逞。下面看一下正常的TCP/IP會話的過程:
? ? 由于TCP是面向連接的協議,所以在雙方正式傳輸數據之前,需要用“三次握手”來建立一個穩重的連接。假設還是hosta和hostb兩臺主機進行通信,hostb首先發送帶有SYN標志的數據段通知hosta建立TCP連接,TCP的可靠性就是由數據包中的多位控制字來提供的,其中最重要的是數據序列SYN和數據確認標志ACK。B將TCP報頭中的SYN設為自己本次連接中的初始值(ISN)。
? ? 當hosta收到hostb的SYN包之后,會發送給hostb一個帶有SYN+ACK標志的數據段,告之自己的ISN,并確認hostb發送來的第一個數據段,將ACK設置成hostb的SYN+1。
? ? 當hostb確認收到hosta的SYN+ACK數據包后,將ACK設置成hosta的SYN+1。Hosta收到hostb的ACK后,連接成功建立,雙方可以正式偉輸數據了。
? ? 看了這個過程,我們就很容易想到,假如想冒充hostb對hosta進行攻擊,就要先使用hostb的IP地址發送SYN標志給hosta,但是當hosta收到后,并不會把SYN+ACK發送到我們的主機上,而是發送到真正的hostb上去,這時IP欺騙就失敗了,因為hostb根本沒發送發SYN等。所以如果要冒充hostb,首先要讓hostb失去工作能力,也就是所謂的拒絕服務攻擊,設法讓讓hostb癱瘓。
? ? 可是這樣還是遠遠不夠的,最難的就是要對hosta進行攻擊,必須知道hosta使用的ISN。TCP使用的ISN是一個32位的計數器,從0到4,294,967,295。TCP為每一個連接選擇一個初始序列號ISN,為了防止因為延遲、重傳等擾亂三次握手,ISN不能隨便選取,不同的系統有著不同的算法。理解TCP如何分配ISN以及ISN隨時間的變化規律,對于成功的進行IP欺騙攻擊是很重要的!ISN約每秒增加128 000,如果有連接出現,每次連接將把計數器的數值增加64,000。很顯然,這使得用于表示ISN的32位計數器在沒有連接的情況下每9.32小時復位一次。這所以這樣,是因為它有利于最大于度地減少“舊有”連接的信息***擾當前連接的機會。如果初始序例號是隨意選擇的,那么不能保證現有序例號是不同于先前的。假設有這樣一種情況,在一個路由回路中的數據包最終跳出循環,回到了“舊有”的連接,顯然這會對現有連接產生***擾。預測出攻擊目標的序例號非常困難,而且各個系統也不想同,在Berkeley系統,最初的序列號變量由一個常數每秒加1產生,等加到這個常數的一半時,就開始一次連接。這樣,如果開始啊一個合法連接,并觀察到一個ISN正在使用,便可以進行預測,而且這樣做有很高的可信度。現在我們假設黑客已經使用某種方法,能預測出ISN。在這種情況下,他就可以將ACK序便號送給hosta,這時連接就建立了。
四、IP欺騙攻擊過程解析:
??? IP欺騙由若***步驟組成,下面是它的詳細步驟:
? ? 1、使被信任主機失去工作能力:
? ? 為了偽裝成被信任主機而不露陷,需要使其完全失去工作能力。由于攻擊者將要代替真正的被信任主機,他必須確保真正的被信任主機不能收到任何有效的網絡數據,否則將會被揭穿。有許多方法可以達到這個目的(如SYN洪水攻擊、TTN、Land等攻擊)。現假設你已經使用某種方法使得被信任的主機完全失去了工作能力。
? ? 2、序例號取樣和猜測:
? ? 前面講到了,對目標主機進行攻擊,必須知道目標主機的數據包序例號。通常如何進行預測呢?往往先與被攻擊主機的一個端口(如:25)建立起正常連接。通常,這個過程被重復N次,并將目標主機最后所發送的ISN存儲起來。然后還需要進行估計他的主機與被信任主機之間的往返時間,這個時間是通過多次統計平均計算出來的。往返連接增加64,000.現在就可以估計出ISN的大小是128,000乘以往返時間的一半,如果此時目標主機剛剛建立過一個連接,那么再加上64 ,00。
? ? 一旦估計出ISN的大小,就開始著手進行攻擊,當然你的虛假TCP數據包進入目標主機時,如果剛才估計的序例號是準確的,進入的數據將被放置在目標機的緩沖區中。但是在實際攻擊過程中往往沒這么幸運,如果估計序例號的小于正確值,那么將被放棄。而如果估計的序例號大于正確值,并且在緩沖區的大小之內,那么該數據被認為是一個未來的數據,TCP模塊將等待其他缺少的數據。如果估計序例號大于期待的數字且不在緩沖區之內,TCP將會放棄它并返回一個期望獲得的數據序例號。
? ? 你偽裝成被信任的主機IP,此時該主機仍然處在癱瘓狀態,然后向目標主機的513端口(rlogin)發送連接請求。目標主機立刻對連接請求作出反應,發更新SYN+ACK確認包給被信任主機,因為此時被信任主機仍然處于癱瘓狀態,它當然無法收到這個包,緊接關攻擊者向目標主機發送ACK數據包,該包使用前面估計的序例號加1。如果攻擊者估計正確的話,目標主機將會接收該ACK。連接就正式建立起了,可以開始數據傳輸了。這時就可以將cat ‘++’>>~/.rhosts命令發送過去,這樣完成本次攻擊后就可以不用口令直接登錄到目標主機上了。如果達到這一步,一次完整的IP欺騙就算完成了,黑客已經在目標機上得到了一個Shell權限,接下來就是利用系統的溢出或錯誤配置擴大權限,當然黑客的最終目的還是獲得服務器的root權限。
? ? 3、總結一下IP攻擊的整個步驟:
? ? (1)首先使被信任主機的網絡暫時癱瘓,以免對攻擊造成***擾;
? ? (2)然后連接到目標機的某個端口來猜測ISN基值和增加規律;
? ? (3)接下來把源址址偽裝成被信任主機,發送帶有SYN標志的數據段請求連接;
? ? (4)然后等待目標機發送SYN+ACK包給已經癱瘓的主機;
? ? (5)最后再次偽裝成被信任主機向目標機發送的ACK,此時發送的數據段帶有預測的目標機的ISN+1;
? ? (6)連接建立,發送命令請求。