會話劫持

時間 2019-11-29

標籤會話劫持简体版

原文原文鏈接

一、簡介

　　在現實生活中，好比你去市場買菜，在交完錢後你要求先去幹一些別的事情，稍候再來拿菜；若是這個時候某個陌生人要求把菜拿走，賣菜的人會把菜給陌生人嗎？！固然，這只是一個比喻，但這偏偏就是會話劫持的喻意。所謂會話，就是兩臺主機之間的一次通信。例如你Telnet到某臺主機，這就是一次Telnet會話；你瀏覽某個網站，這就是一次HTTP會話。而會話劫持（Session Hijack），就是結合了嗅探以及欺騙技術在內的攻擊手段。例如，在一次正常的會話過程中，攻擊者做爲第三方參與到其中，他能夠在正常數據包中插入惡意數據，也能夠在雙方的會話當中進行簡聽，甚至能夠是代替某一方主機接管會話。php

　　咱們能夠把會話劫持攻擊分爲兩種類型：html

　　1）中間人攻擊(Man In The Middle，簡稱MITM)瀏覽器

　　2）注射式攻擊（Injection）安全

　　而且還能夠把會話劫持攻擊分爲兩種形式：服務器

　　1）被動劫持，被動劫持實際上就是在後臺監視雙方會話的數據流，叢中得到敏感數據socket

　　2）主動劫持，而主動劫持則是將會話當中的某一臺主機「踢」下線，而後由攻擊者取代並接管會話，這種攻擊方法危害很是大，攻擊者能夠作不少事情tcp

二、MITM攻擊簡介

　　這也就是咱們常說的「中間人攻擊」，在網上討論比較多的就是SMB會話劫持，這也是一個典型的中間人攻擊。要想正確的實施中間人攻擊，攻擊者首先須要使用ARP欺騙或DNS欺騙，將會話雙方的通信流暗中改變，而這種改變對於會話雙方來講是徹底透明的。post

　　關於ARP欺騙黑客防線介紹的比較多，網上的資料也比較多，我就不在多說了，我只簡單談談DNS欺騙。DNS（Domain Name System），即域名服務器，咱們幾乎每天都要用到。對於正常的DNS請求，例如在瀏覽器輸入www.hacker.com.cn，而後系統先查看Hosts文件，若是有相對應的IP，就使用這個IP地址訪問網站（其實，利用Hosts文件就能夠實現DNS欺騙）；若是沒有，纔去請求DNS服務器；DNS服務器在接收到請求以後，解析出其對應的IP地址，返回給我本地，最後你就能夠登錄到黑客防線的網站。而DNS欺騙則是，目標將其DNS請求發送到攻擊者這裏，而後攻擊者僞造DNS響應，將正確的IP地址替換爲其餘IP，以後你就登錄了這個攻擊者指定的IP，而攻擊者早就在這個IP中安排好了惡意網頁，可你卻在不知不覺中已經被攻擊者下了「套」……DNS欺騙也能夠在廣域網中進行，比較常見的有「Web服務器重定向」、「郵件服務器重定向」等等。但不論是ARP欺騙，仍是DNS欺騙，中間人攻擊都改變正常的通信流，它就至關於會話雙方之間的一個透明代理，能夠獲得一切想知道的信息，甚至是利用一些有缺陷的加密協議來實現。測試

三、注射式攻擊簡介

　　這種方式的會話劫持比中間人攻擊實現起來簡單一些，它不會改變會話雙方的通信流，而是在雙方正常的通信流插入惡意數據。在注射式攻擊中，須要實現兩種技術：網站

　　1）IP欺騙

　　2）預測TCP序列號

　　若是是UDP協議，只需僞造IP地址，而後發送過去就能夠了，由於UDP沒有所謂的TCP三次握手，但基於UDP的應用協議有流控機制，因此也要作一些額外的工做。對於IP欺騙，有兩種狀況須要用到：

　　1）隱藏本身的IP地址；

　　2）利用兩臺機器之間的信任關係實施入侵。

　　在Unix/Linux平臺上，能夠直接使用Socket構造IP包，在IP頭中填上虛假的IP地址，但須要root權限；在Windows平臺上，不能使用Winsock，須要使用Winpacp（也可使用Libnet）。例如在Linux系統，首先打開一個Raw Socket（原始套接字），而後本身編寫IP頭及其餘數據。能夠參考下面的實例代碼：

sockfd = socket(AF_INET, SOCK_RAW, 255);
setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on));

struct ip *ip;
struct tcphdr *tcp;
struct pseudohdr pseudoheader;
ip->ip_src.s_addr = xxx;
pseudoheader.saddr.s_addr = ip->ip_src.s_addr;
tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr));
sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in));

　　對於基於TCP協議的注射式會話劫持，攻擊者應先採用嗅探技術對目標進行簡聽，而後從簡聽到的信息中構造出正確的序列號，若是不這樣，你就必須先猜想目標的ISN（初始序列號），這樣無形中對會話劫持加大了難度。那爲何要猜想會話雙方的序列號呢？請繼續往下看。

四、TCP會話劫持

　　本文主要敘述基於TCP協議的會話劫持。若是劫持一些不可靠的協議，那將垂手可得，由於它們沒有提供一些認證措施；而TCP協議被欲爲是可靠的傳輸協議，因此要重點討論它。
根據TCP/IP中的規定，使用TCP協議進行通信須要提供兩段序列號，TCP協議使用這兩段序列號確保鏈接同步以及安全通信，系統的TCP/IP協議棧依據時間或線性的產生這些值。在通信過程當中，雙方的序列號是相互依賴的，這也就是爲何稱TCP協議是可靠的傳輸協議（具體可參見RFC 793）。若是攻擊者在這個時候進行會話劫持，結果確定是失敗，由於會話雙方「不認識」攻擊者，攻擊者不能提供合法的序列號；因此，會話劫持的關鍵是預測正確的序列號，攻擊者能夠採起嗅探技術得到這些信息。

TCP協議的序列號
如今來討論一下有關TCP協議的序列號的相關問題。在每個數據包中，都有兩段序列號，它們分別爲：
SEQ：當前數據包中的第一個字節的序號
ACK：指望收到對方數據包中第一個字節的序號

假設雙方如今須要進行一次鏈接：
S_SEQ：將要發送的下一個字節的序號
S_ACK：將要接收的下一個字節的序號
S_WIND：接收窗口
//以上爲服務器（Server）
C_SEQ：將要發送的下一個字節的序號
C_ACK：將要接收的下一個字節的序號
C_WIND：接收窗口
//以上爲客戶端（Client）

　　它們之間必須符合下面的邏輯關係，不然該數據包會被丟棄，而且返回一個ACK包（包含指望的序列號）。
C_ACK <= C_SEQ <= C_ACK + C_WIND
S_ACK <= S_SEQ <= S_ACK + S_WIND

　　若是不符合上邊的邏輯關係，就會引伸出一個「致命弱點」，具體請接着往下看。

致命弱點：
　　這個致命的弱點就是ACK風暴(Storm)。當會話雙方接收到一個不指望的數據包後，就會用本身指望的序列號返回ACK包；而在另外一端，這個數據包也不是所指望的，就會再次以本身指望的序列號返回ACK包……因而，就這樣來回往返，造成了惡性循環，最終致使ACK風暴。比較好的解決辦法是先進行ARP欺騙，使雙方的數據包「正常」的發送到攻擊者這裏，而後設置包轉發，最後就能夠進行會話劫持了，並且沒必要擔憂會有ACK風暴出現。固然，並非全部系統都會出現ACK風暴。好比Linux系統的TCP/IP協議棧就與RFC中的描述略有不一樣。注意，ACK風暴僅存在於注射式會話劫持。

TCP會話劫持過程：
假設如今主機A和主機B進行一次TCP會話，C爲攻擊者（如圖2），劫持過程以下：
A向B發送一個數據包
SEQ (hex): X ACK (hex): Y
FLAGS: -AP--- Window: ZZZZ，包大小爲:60

B迴應A一個數據包
SEQ (hex): Y ACK (hex): X+60
FLAGS: -AP--- Window: ZZZZ，包大小爲:50

A向B迴應一個數據包
SEQ (hex): X+60 ACK (hex): Y+50
FLAGS: -AP--- Window: ZZZZ，包大小爲:40

B向A迴應一個數據包
SEQ (hex): Y+50 ACK (hex): X+100
FLAGS: -AP--- Window: ZZZZ，包大小爲:30

攻擊者C冒充主機A給主機B發送一個數據包
SEQ (hex): X+100 ACK (hex): Y+80
FLAGS: -AP--- Window: ZZZZ，包大小爲:20

B向A迴應一個數據包
SEQ (hex): Y+80 ACK (hex): X+120
FLAGS: -AP--- Window: ZZZZ，包大小爲:10

　　如今，主機B執行了攻擊者C冒充主機A發送過來的命令，而且返回給主機A一個數據包；可是，主機A並不能識別主機B發送過來的數據包，因此主機A會以指望的序列號返回給主機B一個數據包，隨即造成ACK風暴。若是成功的解決了ACK風暴（例如前邊提到的ARP欺騙），就能夠成功進行會話劫持了。

【此文章大多摘抄於網上文章，我的未進行相應的測試，僅僅用於我的瞭解會話劫持，非原創文章】

【防護方法不太懂，有大兄弟瞭解的，來給我介紹介紹】