久久综合伊人噜噜色,日本三级香港三级人妇电影精品,亚洲中文色资源,国产高清一区二区三区人妖

      <small id="r7w9x"></small>

          <td id="r7w9x"></td><sub id="r7w9x"><menu id="r7w9x"><samp id="r7w9x"></samp></menu></sub>
        2. 

          4. <th id="r7w9x"></th>
          1. 

            汶上信息港
            
標題: IP欺騙的技術(shù) [打印本頁]
            

            
作者: 雜七雜八    時間: 2011-1-13 17:01
            
標題: IP欺騙的技術(shù)
            。 , t! i' C+ W( L% V
            
IP欺騙的技術(shù)比較復(fù)雜,不是簡單地照貓畫老虎就能掌握,但作為常規(guī)攻擊手段,有必要理解其原理,至少有利于自己的安全防范,易守難攻嘛。 
            
, Q1 h0 W2 F5 ?
            
% Z5 |5 C" `* S6 F+ s& \假設(shè)B上的客戶運行rlogin與A上的rlogind通信: 9 T9 a" \9 v) u7 h# o/ A5 B
            

            
) p* |9 b+ q/ J( z1 K( b1. B發(fā)送帶有SYN標志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報頭中的sequence number設(shè)置成自己本次連接的初始值ISN。 
            
& w2 w+ Z2 A$ M+ f3 {+ D! f5 M( j) G; e. t; I" u$ h  u
            
2. A回傳給B一個帶有SYS+ACK標志的數(shù)據(jù)段,告之自己的ISN,并確認B發(fā)送來的第一個數(shù)據(jù)段,將acknowledge number設(shè)置成B的ISN+1。 / I9 E/ h- [! c$ O  _8 i' C7 P
            

            
. Y6 D6 W3 m" \4 s  k. D( h3. B確認收到的A的數(shù)據(jù)段,將acknowledge number設(shè)置成A的ISN+1。 2 X% v# ]7 w, B6 Q' n. E" c
            
+ ?5 O9 ^. h) h) u5 U% M2 ?
            
B ---- SYN ----> A 
            
" O  l! J- |! e1 e5 c! |B <---- SYN+ACK A 
            
2 u; [9 K* p+ v# JB ---- ACK ----> A 1 Q! p5 O& y2 F" L; V  H! e9 v% y
            

            
4 p" v1 U+ l7 A/ q  _* R2 N0 w( }TCP使用的sequence number是一個32位的計數(shù)器,從0-4294967295。TCP為每一個連接選擇一個初始序號ISN,為了防止因為延遲、重傳等擾亂三次握手,ISN不能隨便選取,不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時間變化的規(guī)律,對于成功地進行IP欺騙攻擊很重要。 8 X! L3 |* s# w2 b) `+ L+ r
            
# d+ L1 j" w7 \. v+ X
            
基于遠程過程調(diào)用RPC的命令,比如rlogin、rcp、rsh等等,根據(jù)/etc/hosts.equiv以及$HOME/.rhosts文件進行安全校驗,其實質(zhì)是僅僅根據(jù)信源IP地址進行用戶身份確認,以便允許或拒絕用戶RPC。關(guān)于上述兩個文件請man,不喜歡看英文就去Unix版看看我以前灌過的一瓢水。 
            
& I& h) V% F/ ?( F/ V& m7 p( F1 Z+ o" x. i1 x" k& M+ r
            
IP欺騙攻擊的描述: 6 U+ |; q: v8 j7 P( P
            

            
- [$ Q: h4 a- M; H( j# ]1. 假設(shè)Z企圖攻擊A,而A信任B,所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關(guān)設(shè)置。注意,如何才能知道A信任B呢?沒有什么確切的辦法。我的建議就是平時注意搜集蛛絲 
            
. {9 _2 N+ \- k2 `+ Y馬跡,厚積薄發(fā)。一次成功的攻擊其實主要不是因為技術(shù)上的高明,而是因為信息搜集的廣泛翔實。動用了自以為很有成就感的技術(shù),卻不比人家酒桌上的巧妙提問,攻擊只以成功為終極目標,不在乎手段。 
            
) K+ e4 n% J) P! Q
            
0 p8 g8 F9 U% A1 z- N, o( @2. 假設(shè)Z已經(jīng)知道了被信任的B,應(yīng)該想辦法使B的網(wǎng)絡(luò)功能暫時癱瘓,以免對攻擊造成干擾。著名的SYN flood常常是一次IP欺騙攻擊的前奏。請看一個并發(fā)服務(wù)器的框架: 
            
5 c; S+ `0 _9 I' b% g
            
" e- V% d( L0 Y& Xint initsockid, newsockid; 
            
7 z  |* X- l/ S! lif ((initsockid = socket(...)) <0) { % C9 z7 u) N$ O. t$ E: e
            
error("can't create socket"); # c$ M7 G1 H9 ?. `
            
} 
            
* n2 C! U6 V6 vif (bind(initsockid, ...) <0) { 
            
6 k! X5 y* J  \- |7 Qerror("bind error"); / F3 k2 p/ P/ Y
            
} 6 a) n5 l' Y( n
            
if (listen(initsockid, 5) <0) { 
            
+ d4 B0 o. f8 g+ j2 ~error("listen error"); 
            
  f4 Q  m# R: R' ?( w7 ^} 
            
, D% U& Y, i$ j6 cfor (;;) { + s2 O8 O+ z, Z5 M$ b
            
newsockid = accept(initsockid, ...); /* 阻塞 */ # B8 M4 v, u9 C8 K
            
if (newsockid <0) { 1 ~8 R0 K4 ?1 w8 D
            
error("accept error"); 8 G& k; Z; h8 z9 ]  h& D
            
} 8 ]6 E7 V9 B; J2 h* ~: _' A
            
if (fork() == 0) { /* 子進程 */ : V, r& m' v6 d9 W1 Z( _4 V$ T
            
close(initsockid); # X( |0 Z0 u: ~. v( p4 i
            
do(newsockid); /* 處理客戶方請求 */ 6 M; [1 O7 H! D, ]3 c; G3 [. U
            
exit(0); * L" ~! e, Z% {8 p/ \
            
} 
            
: `1 g( I( Y( y$ z% ]" xclose(newsockid); 
            
4 ~+ M# v8 W0 N! n} 
            
' D; l# S& Q. s3 B( t8 }# d1 `3 R0 D+ K4 J  [4 B
            
listen函數(shù)中第二個參數(shù)是5,意思是在initsockid上允許的最大連接請求數(shù)目。如果某個時刻initsockid上的連接請求數(shù)目已經(jīng)達到5,后續(xù)到達initsockid的連接請求將被TCP丟棄。注意一旦連接通過三次握手建立完成,accept調(diào)用已經(jīng)處理這個連接,則TCP連接請求隊列空出一個位置。所以這個5不是指initsockid上只能接受5個連接請求。SYN flood正是一種Denial of Service,導(dǎo)致B的網(wǎng)絡(luò)功能暫 碧被盡?nbsp;1 c  P0 x, u; Q4 T
            
+ M+ l3 X, h& e8 y* v3 U
            
Z向B發(fā)送多個帶有SYN標志的數(shù)據(jù)段請求連接,注意將信源IP地址換成一個不存在的主機X;B向子虛烏有的X發(fā)送SYN+ACK數(shù)據(jù)段,但沒有任何來自X的ACK出現(xiàn)。B的IP層會報告B的TCP層,X不可達,但B的TCP層對此不予理睬,認為只是暫時的。于是B在這個initsockid上再也不能接收正常的連接請求。 / I) L( D- w7 E  E. j2 c
            

            
* U0 x3 ~& F, f# ^, MZ(X) ---- SYN ----> B 5 `: R3 ~6 @' o/ ^9 p: w
            
Z(X) ---- SYN ----> B 
            
2 |( U. Q& c- q- p4 b! sZ(X) ---- SYN ----> B 
            
% r8 i. j; K- a# ?! H( v5 qZ(X) ---- SYN ----> B 
            
8 G! W7 o$ B! W& X+ mZ(X) ---- SYN ----> B ! D, f5 v) k- R. \9 |( F. Y
            
...... 1 W: u# h6 _- y4 R$ m
            
X <---- SYN+ACK B 4 m+ N- ^2 I1 E! u" i+ _# U
            
X <---- SYN+ACK B ! H* ~. g' F1 j8 R
            
X <---- SYN+ACK B " q2 \5 d' U! G" M) Q
            
X <---- SYN+ACK B 
            
6 R' T3 `: B- GX <---- SYN+ACK B 
            
- L8 a( x; ~( h8 m7 y  ^+ _...... # E. V: a5 q" g6 t) `: c
            
, Z  i: _. f& D
            
作者認為這樣就使得B網(wǎng)絡(luò)功能暫時癱瘓,可我覺得好象不對頭。因為B雖然在initsockid上無法接收TCP連接請求,但可以在another initsockid上接收,這種SYN flood應(yīng)該只對特定的 8 t3 @4 r. G' A; x6 x
            
服務(wù)(端口),不應(yīng)該影響到全局。當然如果不斷地發(fā)送連接請求,就和用ping發(fā)洪水包一個道理,使得B的TCP/IP忙于處理負載增大。至于SYN flood,回頭有機會我單獨灌一瓢有關(guān)DoS的。如何使B的網(wǎng)絡(luò)功能暫 碧被居 很多辦法,根據(jù)具體情況而定,不再贅述。 
            
5 y6 x) G7 t4 P8 X
            
8 r. \0 |: \8 I+ f3. Z必須確定A當前的ISN。首先連向25端口(SMTP是沒有安全校驗機制的),與1中類似,不過這次需要記錄A的ISN,以及Z到A的大致的RTT(round trip time)。這個步驟要重復(fù)多次以便求出 
            
# X8 I, F- A3 k& s1 \RTT的平均值?,F(xiàn)在Z知道了A的ISN基值和增加規(guī)律(比如每秒增加128000,每次連接增加64000),也知道了從Z到A需要RTT/2的時間。必須立即進入攻擊,否則在這之間有其他主機與A連接, 7 w$ |  n, |5 I" |
            
ISN將比預(yù)料的多出64000。 
            
& M$ ~3 A; R4 V5 M
            
; X1 W& L- s0 j) d5 w4. Z向A發(fā)送帶有SYN標志的數(shù)據(jù)段請求連接,只是信源IP改成了B,注意是針對TCP513端口(rlogin)。A向B回送SYN+ACK數(shù)據(jù)段,B已經(jīng)無法響應(yīng)(憑什么?按照作者在2中所說,估計還達不到這個效果,因為Z必然要模仿B發(fā)起connect調(diào)用,connect調(diào)用會完成全相關(guān),自動指定本地socket地址和端口,可事實上B很可能并沒有這樣一個端口等待接收數(shù)據(jù)。除非Z模仿B發(fā)起 * Z" t$ I# {2 j" m6 f. S' r# O# z
            
連接請求時打破常規(guī),主動在客戶端調(diào)用bind函數(shù),明確完成全相關(guān),這樣必然知道A會向B的某個端口回送,在2中也針對這個端口攻擊B。可是如果這樣,完全不用攻擊B,bind的時候 
            
2 V8 N8 O+ M% w指定一個B上根本不存在的端口即可。我也是想了又想,還沒來得及看看老外的源代碼,不妥之處有待商榷??傊?,覺得作者好象在蒙我們,他自己也沒有實踐成功過吧。),B的TCP層只是 
            
. ^) k& m$ p" M) R簡單地丟棄A的回送數(shù)據(jù)段。 0 L9 _! C2 d; u: R+ [4 ^2 ]
            
3 g) F4 ]" M4 o* r
            
5. Z暫停一小會兒,讓A有足夠時間發(fā)送SYN+ACK,因為Z看不到這個包。然后Z再次偽裝成B向A發(fā)送ACK,此時發(fā)送的數(shù)據(jù)段帶有Z預(yù)測的A的ISN+1。如果預(yù)測準確,連接建立,數(shù)據(jù)傳送開始。問題在于即使連接建立,A仍然會向B發(fā)送數(shù)據(jù),而不是Z,Z仍然無法看到A發(fā)往B的數(shù)據(jù)段,Z必須蒙著頭按照rlogin協(xié)議標準假冒B向A發(fā)送類似 "cat + + >> ~/.rhosts" 這樣的命令,于是攻擊完成。如果預(yù)測不準確,A將發(fā)送一個帶有RST標志的數(shù)據(jù)段異常終止連接,Z只有從頭再來。 & Z' @, p7 d; X* [# P! E- x
            

            
9 e+ V* z1 C/ G; b, K- RZ(B) ---- SYN ----> A 
            
1 G1 T: E4 D" EB <---- SYN+ACK A ; I# s# X' [9 `( J8 E+ K( A# o: \, f
            
Z(B) ---- ACK ----> A 3 V2 W( D! O; e$ @" x) U( e1 d
            
Z(B) ---- PSH ----> A 
            
; f2 a, J: p9 M6 u...... 
            
% |5 B+ J: f' o: y: C& e# a8 l# d+ a( r1 s
            
6. IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進行安全校驗的特性,建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測A的ISN。作者認為攻擊難度雖然大,但成功的可能性 
            
6 Z. R5 v& M6 y" z8 f也很大,不是很理解,似乎有點矛盾。考慮這種情況,入侵者控制了一臺由A到B之間的路由器,假設(shè)Z就是這臺路由器,那么A回送到B的數(shù)據(jù)段,現(xiàn)在Z是可以看到的,顯然攻擊難度 
            
; y2 r6 ^6 b! q  Q1 d驟然下降了許多。否則Z必須精確地預(yù)見可能從A發(fā)往B的信息,以及A期待來自B的什么應(yīng)答信息,這要求攻擊者對協(xié)議本身相當熟悉。同時需要明白,這種攻擊根本不可能在交互狀態(tài)下完   I/ q, w" @. G( T# g) k7 O
            
成,必須寫程序完成。當然在準備階段可以用netxray之類的工具進行協(xié)議分析。 
            
0 q. a  ~- K: ^4 \  g( H! q! Y: o9 Q+ l5 s
            
7. 如果Z不是路由器,能否考慮組合使用ICMP重定向以及ARP欺騙等技術(shù)?沒有仔細分析過,只是隨便猜測而已。并且與A、B、Z之間具體的網(wǎng)絡(luò)拓撲有密切關(guān)系,在某些情況下顯然大幅度 6 a/ R7 `! n7 j: {) \* `) j# H
            
降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的,不局限于局域網(wǎng),這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個A上的shell,對于許多高級入侵者,得到目標主 ; w9 m4 X: e+ a2 P
            
機的shell,離root權(quán)限就不遠了,最容易想到的當然是接下來進行buffer overflow攻擊。 
            
, m3 o7 E* H8 ~$ T5 G" ^% w3 h" }" V* t! {) ?# M
            
8. 也許有人要問,為什么Z不能直接把自己的IP設(shè)置成B的?這個問題很不好回答,要具體分析網(wǎng)絡(luò)拓撲,當然也存在ARP沖突、出不了網(wǎng)關(guān)等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題?;叵胛仪懊尜N過的ARP欺騙攻擊,如果B的ARP Cache沒有受到影響,就不會出現(xiàn)ARP沖突。如果Z向A發(fā)送數(shù)據(jù)段時,企圖解析A的MAC地址或者路由器的MAC地址,必然會發(fā)送ARP請求包,但這個ARP請求包中源IP以及源MAC都是Z的,自然不會引起ARP沖突。而ARP Cache只會被ARP包改變,不受IP包的影響,所以可以肯定地說,IP欺騙攻擊過程中不存在ARP沖突。相反,如果Z修改了自己的IP,這種ARP沖突就有可能出現(xiàn),示具體情況而言。攻擊中連帶B一起攻擊了,其目的無非是防止B干擾了攻擊過程,如果B本身已經(jīng)down掉,那是再好不過(是嗎?)。 ) I7 i' H5 o6 R
            
& P( p' \7 m) a! t3 l- X
            
9. fakeip曾經(jīng)沸沸揚揚了一下,我對之進行端口掃描,發(fā)現(xiàn)其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯(lián)系,和安全校驗是有關(guān)系的。當然,這個東西并不如其名所暗示,對IP層沒有任何動作。 9 d! e) D8 D* z* X/ b, z) G
            

            
- F0 G' m+ ~1 F) |* N$ v10. 關(guān)于預(yù)測ISN,我想到另一個問題。就是如何以第三方身份切斷A與B之間的TCP連接,實際上也是預(yù)測sequence number的問題。嘗試過,也很困難。如果Z是A與B之間的路由器,就不用說了;或者Z動用了別的技術(shù)可以監(jiān)聽到A與B之間的通信,也容易些;否則預(yù)測太難。作者在3中提到連接A的25端口,可我想不明白的是513端口的ISN和25端口有什么關(guān)系?看來需要看看TCP/IP內(nèi)部實現(xiàn)的源代碼。 
            
/ J8 O3 z+ c: @+ V; w9 i: i! B( P1 K5 p4 g$ b
            
未雨綢繆 
            
- m' F2 b; m* I7 L+ w( a, O1 u9 F* P, h! K8 Z. U  q' r' |
            
雖然IP欺騙攻擊有著相當難度,但我們應(yīng)該清醒地意識到,這種攻擊非常廣泛,入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的,比如刪除所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC機制無法運做,還可以殺掉portmapper等等。設(shè)置路由器,過濾來自外部而信源地址卻是內(nèi)部IP的報文。cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵,內(nèi)部入侵呢? 
            
8 Q; F1 D( W/ F1 h. Y. `( |
            
% ]0 W; q# C& V3 NTCP的ISN選擇不是隨機的,增加也不是隨機的,這使攻擊者有規(guī)可循,可以修改與ISN相關(guān)的代碼,選擇好的算法,使得攻擊者難以找到規(guī)律。估計Linux下容易做到,那solaris、irix、hp-unix還有aix呢?sigh 
            
& N7 k: k8 N* U, x. h0 o
            
) s6 x; ]& ~+ ]% n% \! b/ f( G雖然作者紙上談兵,但總算讓我們了解了一下IP欺騙攻擊,我實驗過預(yù)測sequence number,不是ISN,企圖切斷一個TCP連接,感覺難度很大。作者建議要找到規(guī)律,不要盲目預(yù)測,這需要時間和耐心?,F(xiàn)在越發(fā)明白什么是那種鍥而不舍永遠追求的精神,我們所向往的傳奇故事背后有著如此沉默的艱辛和毅力,但愿我們學(xué)會的是這個,而不是浮華與喧囂。一個現(xiàn)成的bug足以讓你取得root權(quán)限,可你在做什么,你是否明白?我們太膚淺了...... 1 o* f+ Z" |+ q) q$ T% M3 t
            
             淺了......             




            

            

            歡迎光臨 汶上信息港 (http://m.junkejituan.com/)

Powered by Discuz! X3.5