久久综合伊人噜噜色,日本三级香港三级人妇电影精品,亚洲中文色资源,国产高清一区二区三区人妖

      <small id="r7w9x"></small>

          <td id="r7w9x"></td><sub id="r7w9x"><menu id="r7w9x"><samp id="r7w9x"></samp></menu></sub>
        2. 

          4. <th id="r7w9x"></th>
          1. 

            汶上信息港
            
標(biāo)題: IP欺騙的技術(shù) [打印本頁(yè)]
            

            
作者: 雜七雜八    時(shí)間: 2011-1-13 17:01
            
標(biāo)題: IP欺騙的技術(shù)
            。 
            
% [8 P" t) r" b0 {% i2 Y: S% iIP欺騙的技術(shù)比較復(fù)雜,不是簡(jiǎn)單地照貓畫老虎就能掌握,但作為常規(guī)攻擊手段,有必要理解其原理,至少有利于自己的安全防范,易守難攻嘛。 * v  L4 w8 Y6 j  {
            

            
! [  s8 }. b, N" b/ U+ T假設(shè)B上的客戶運(yùn)行rlogin與A上的rlogind通信: 
            
$ a/ a2 b0 F! e1 {* [8 n; I9 P( _) `( N" d
            
1. B發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段通知A需要建立TCP連接。并將TCP報(bào)頭中的sequence number設(shè)置成自己本次連接的初始值ISN。 9 |" ~6 }- t' L: ^/ e
            
: i# d2 K8 P2 ]5 t3 t1 J
            
2. A回傳給B一個(gè)帶有SYS+ACK標(biāo)志的數(shù)據(jù)段,告之自己的ISN,并確認(rèn)B發(fā)送來的第一個(gè)數(shù)據(jù)段,將acknowledge number設(shè)置成B的ISN+1。 
            
5 s" t0 g3 v: m
            
) N6 M! b% I5 u2 L; E' `& G3. B確認(rèn)收到的A的數(shù)據(jù)段,將acknowledge number設(shè)置成A的ISN+1。 % {5 ^& u7 \  k. U6 N- i: h, J) b! E# E2 K
            

            
4 Z* q6 r6 ^" a9 @B ---- SYN ----> A 
            
) j8 q8 n, E( @0 _+ |. \B <---- SYN+ACK A 7 D; L1 Z, g- t. Y5 ?9 ]
            
B ---- ACK ----> A , m7 t6 Z$ l  M; ?7 J' z: X' P; h& C8 v
            

            
" m! c# w$ a" y/ u9 i- P4 M; L0 sTCP使用的sequence number是一個(gè)32位的計(jì)數(shù)器,從0-4294967295。TCP為每一個(gè)連接選擇一個(gè)初始序號(hào)ISN,為了防止因?yàn)檠舆t、重傳等擾亂三次握手,ISN不能隨便選取,不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時(shí)間變化的規(guī)律,對(duì)于成功地進(jìn)行IP欺騙攻擊很重要。 
            
, U0 S' t2 t" _* i9 {# {8 a" V
            
/ _) }% Y, T, L- e2 K8 z基于遠(yuǎn)程過程調(diào)用RPC的命令,比如rlogin、rcp、rsh等等,根據(jù)/etc/hosts.equiv以及$HOME/.rhosts文件進(jìn)行安全校驗(yàn),其實(shí)質(zhì)是僅僅根據(jù)信源IP地址進(jìn)行用戶身份確認(rèn),以便允許或拒絕用戶RPC。關(guān)于上述兩個(gè)文件請(qǐng)man,不喜歡看英文就去Unix版看看我以前灌過的一瓢水。 1 m! W- ?& v, Z1 I8 J
            

            
$ F6 r: D: E% W6 p8 ?8 MIP欺騙攻擊的描述: 
            
( c: C3 O- v# L8 q9 M3 v; c+ n# H9 j
            
1. 假設(shè)Z企圖攻擊A,而A信任B,所謂信任指/etc/hosts.equiv和$HOME/.rhosts中有相關(guān)設(shè)置。注意,如何才能知道A信任B呢?沒有什么確切的辦法。我的建議就是平時(shí)注意搜集蛛絲 * N3 }( C# I# z) {" N0 L& g, V. ^
            
馬跡,厚積薄發(fā)。一次成功的攻擊其實(shí)主要不是因?yàn)榧夹g(shù)上的高明,而是因?yàn)樾畔⑺鸭膹V泛翔實(shí)。動(dòng)用了自以為很有成就感的技術(shù),卻不比人家酒桌上的巧妙提問,攻擊只以成功為終極目標(biāo),不在乎手段。   j: b3 f& Q5 x6 z  ~+ x4 l  _
            

            
' f$ g/ P! k- I8 |& q9 d2. 假設(shè)Z已經(jīng)知道了被信任的B,應(yīng)該想辦法使B的網(wǎng)絡(luò)功能暫時(shí)癱瘓,以免對(duì)攻擊造成干擾。著名的SYN flood常常是一次IP欺騙攻擊的前奏。請(qǐng)看一個(gè)并發(fā)服務(wù)器的框架: 
            
3 o0 O7 Z2 w- u3 A' h% V7 Y3 L7 T/ c0 U# d
            
int initsockid, newsockid; 
            
; C3 c$ s# m; v8 uif ((initsockid = socket(...)) <0) { 8 A5 V/ ?" {$ V. K% Y1 L! I  ~
            
error("can't create socket"); 
            
" Y5 ?  D: t  N$ s+ z$ R} 
            
! i! O. [& Y0 u( [  wif (bind(initsockid, ...) <0) { 
            
, v$ H( t/ j* D$ @9 j& Z2 xerror("bind error"); 
            
1 ]4 f9 g, w8 i$ k- h1 z4 @} 
            
/ P3 i7 I  M7 k7 [& u6 tif (listen(initsockid, 5) <0) { 
            
* l. _0 f! W3 I! o; s" B& ]5 @( l/ Q! Herror("listen error");   I, |4 U- @; t- R% D2 M
            
} 3 V4 x! u" Q$ E- M
            
for (;;) { ( r, X2 {% u/ }* a3 P8 j
            
newsockid = accept(initsockid, ...); /* 阻塞 */ 
            
! q# l& N8 T) U  }" @7 e: Q  Gif (newsockid <0) {   y4 j/ ?) y3 ?
            
error("accept error"); ! L# K! |+ s& o2 n& T$ F
            
} ! C+ ^4 e1 ]7 g0 h  {
            
if (fork() == 0) { /* 子進(jìn)程 */ 
            
- }5 A% ]  H' U2 Qclose(initsockid); 
            
, |% d) n  o) Sdo(newsockid); /* 處理客戶方請(qǐng)求 */   c4 h  w0 \: u) [9 v) Y; B
            
exit(0); 
            
# b) N" O% T3 ~" t$ @! @2 {} 
            
) i+ ]" B8 o% p& H: C7 Cclose(newsockid); 8 a) \) s4 m3 q7 p& ?1 R
            
} - v- [- X# X; Y8 ], v- t% G
            

            
% y& F/ W( F1 s9 _  F  ?" _6 d% Z6 Xlisten函數(shù)中第二個(gè)參數(shù)是5,意思是在initsockid上允許的最大連接請(qǐng)求數(shù)目。如果某個(gè)時(shí)刻initsockid上的連接請(qǐng)求數(shù)目已經(jīng)達(dá)到5,后續(xù)到達(dá)initsockid的連接請(qǐng)求將被TCP丟棄。注意一旦連接通過三次握手建立完成,accept調(diào)用已經(jīng)處理這個(gè)連接,則TCP連接請(qǐng)求隊(duì)列空出一個(gè)位置。所以這個(gè)5不是指initsockid上只能接受5個(gè)連接請(qǐng)求。SYN flood正是一種Denial of Service,導(dǎo)致B的網(wǎng)絡(luò)功能暫 碧被盡?nbsp;! y! v: x3 q, y- j" a
            

            
; W$ y: Z* S, j. v' }; @& LZ向B發(fā)送多個(gè)帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接,注意將信源IP地址換成一個(gè)不存在的主機(jī)X;B向子虛烏有的X發(fā)送SYN+ACK數(shù)據(jù)段,但沒有任何來自X的ACK出現(xiàn)。B的IP層會(huì)報(bào)告B的TCP層,X不可達(dá),但B的TCP層對(duì)此不予理睬,認(rèn)為只是暫時(shí)的。于是B在這個(gè)initsockid上再也不能接收正常的連接請(qǐng)求。 . t) p# H7 h9 ]! J, Y( ~% r( ~
            

            
( g" z0 \3 J) I% ~" }  Q! D  y* J; O! c1 EZ(X) ---- SYN ----> B 
            
7 H6 U$ m) A9 jZ(X) ---- SYN ----> B 5 Q3 _/ G3 v) K) j4 {- c* E
            
Z(X) ---- SYN ----> B # b( b4 X9 V' h  e7 X
            
Z(X) ---- SYN ----> B " _* B2 E: U5 y& W* D7 f5 Y
            
Z(X) ---- SYN ----> B 
            
7 m( E/ ^+ `0 ~( R...... # o! ^8 F9 M7 O3 S3 r2 `
            
X <---- SYN+ACK B , {( S8 S6 m- t) Z6 b+ J
            
X <---- SYN+ACK B / l- E; s4 M5 j, Y
            
X <---- SYN+ACK B 1 w) s3 [$ R. y+ [
            
X <---- SYN+ACK B / J  `$ f- k2 S8 G
            
X <---- SYN+ACK B 
            
1 m6 j, e$ X8 C+ H' T...... 
            
; D. z: X/ W6 T( Y
            
  i, c3 N' V- `* F作者認(rèn)為這樣就使得B網(wǎng)絡(luò)功能暫時(shí)癱瘓,可我覺得好象不對(duì)頭。因?yàn)锽雖然在initsockid上無法接收TCP連接請(qǐng)求,但可以在another initsockid上接收,這種SYN flood應(yīng)該只對(duì)特定的 5 T" F- n1 R; f
            
服務(wù)(端口),不應(yīng)該影響到全局。當(dāng)然如果不斷地發(fā)送連接請(qǐng)求,就和用ping發(fā)洪水包一個(gè)道理,使得B的TCP/IP忙于處理負(fù)載增大。至于SYN flood,回頭有機(jī)會(huì)我單獨(dú)灌一瓢有關(guān)DoS的。如何使B的網(wǎng)絡(luò)功能暫 碧被居 很多辦法,根據(jù)具體情況而定,不再贅述。 
            
- L8 a8 G& T- B5 D+ b/ {" W: X8 [# T" b: Q" h( G8 c1 h
            
3. Z必須確定A當(dāng)前的ISN。首先連向25端口(SMTP是沒有安全校驗(yàn)機(jī)制的),與1中類似,不過這次需要記錄A的ISN,以及Z到A的大致的RTT(round trip time)。這個(gè)步驟要重復(fù)多次以便求出 % {5 A0 G4 B! s( o1 |; C) }
            
RTT的平均值。現(xiàn)在Z知道了A的ISN基值和增加規(guī)律(比如每秒增加128000,每次連接增加64000),也知道了從Z到A需要RTT/2的時(shí)間。必須立即進(jìn)入攻擊,否則在這之間有其他主機(jī)與A連接, 
            
: G, F2 s3 R& `9 c: J) m- o. {& m2 EISN將比預(yù)料的多出64000。 ( c8 G' Z) f4 K0 N! E/ H, x
            
6 L1 r6 A2 ^& w) o" j
            
4. Z向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接,只是信源IP改成了B,注意是針對(duì)TCP513端口(rlogin)。A向B回送SYN+ACK數(shù)據(jù)段,B已經(jīng)無法響應(yīng)(憑什么?按照作者在2中所說,估計(jì)還達(dá)不到這個(gè)效果,因?yàn)閆必然要模仿B發(fā)起connect調(diào)用,connect調(diào)用會(huì)完成全相關(guān),自動(dòng)指定本地socket地址和端口,可事實(shí)上B很可能并沒有這樣一個(gè)端口等待接收數(shù)據(jù)。除非Z模仿B發(fā)起 . w! y$ N& T, b& M, R. p( P8 E
            
連接請(qǐng)求時(shí)打破常規(guī),主動(dòng)在客戶端調(diào)用bind函數(shù),明確完成全相關(guān),這樣必然知道A會(huì)向B的某個(gè)端口回送,在2中也針對(duì)這個(gè)端口攻擊B??墒侨绻@樣,完全不用攻擊B,bind的時(shí)候 
            
( I+ j. s* Z+ `4 f# K6 ~% l( `指定一個(gè)B上根本不存在的端口即可。我也是想了又想,還沒來得及看看老外的源代碼,不妥之處有待商榷??傊?,覺得作者好象在蒙我們,他自己也沒有實(shí)踐成功過吧。),B的TCP層只是 
            
' C/ h; o  W3 ]  I; @0 H簡(jiǎn)單地丟棄A的回送數(shù)據(jù)段。 3 I8 r( X5 w6 O( i0 P) I* {
            

            
! u  ~9 f% G1 Q: m5. Z暫停一小會(huì)兒,讓A有足夠時(shí)間發(fā)送SYN+ACK,因?yàn)閆看不到這個(gè)包。然后Z再次偽裝成B向A發(fā)送ACK,此時(shí)發(fā)送的數(shù)據(jù)段帶有Z預(yù)測(cè)的A的ISN+1。如果預(yù)測(cè)準(zhǔn)確,連接建立,數(shù)據(jù)傳送開始。問題在于即使連接建立,A仍然會(huì)向B發(fā)送數(shù)據(jù),而不是Z,Z仍然無法看到A發(fā)往B的數(shù)據(jù)段,Z必須蒙著頭按照rlogin協(xié)議標(biāo)準(zhǔn)假冒B向A發(fā)送類似 "cat + + >> ~/.rhosts" 這樣的命令,于是攻擊完成。如果預(yù)測(cè)不準(zhǔn)確,A將發(fā)送一個(gè)帶有RST標(biāo)志的數(shù)據(jù)段異常終止連接,Z只有從頭再來。 $ z* X% l7 {# d& C/ h
            

            
' H2 B' k* t3 x3 B* `Z(B) ---- SYN ----> A * O3 W+ i4 o# f/ T
            
B <---- SYN+ACK A % f; T' A& p& [# m: ?& `
            
Z(B) ---- ACK ----> A 
            
& [( u7 t% l4 w+ MZ(B) ---- PSH ----> A ; ^7 |6 _5 n6 P, Y/ F; J
            
...... 
            
5 Q) p& [/ B* x. a$ j, n& v4 e, f2 t2 ]- Z- w  s# |3 V. |
            
6. IP欺騙攻擊利用了RPC服務(wù)器僅僅依賴于信源IP地址進(jìn)行安全校驗(yàn)的特性,建議閱讀rlogind的源代碼。攻擊最困難的地方在于預(yù)測(cè)A的ISN。作者認(rèn)為攻擊難度雖然大,但成功的可能性 2 P: Z1 _( v1 X7 d% g3 B' e
            
也很大,不是很理解,似乎有點(diǎn)矛盾??紤]這種情況,入侵者控制了一臺(tái)由A到B之間的路由器,假設(shè)Z就是這臺(tái)路由器,那么A回送到B的數(shù)據(jù)段,現(xiàn)在Z是可以看到的,顯然攻擊難度 # A+ K/ v8 F' r# c3 @
            
驟然下降了許多。否則Z必須精確地預(yù)見可能從A發(fā)往B的信息,以及A期待來自B的什么應(yīng)答信息,這要求攻擊者對(duì)協(xié)議本身相當(dāng)熟悉。同時(shí)需要明白,這種攻擊根本不可能在交互狀態(tài)下完 
            
( V" }, v5 Q# F( \4 _成,必須寫程序完成。當(dāng)然在準(zhǔn)備階段可以用netxray之類的工具進(jìn)行協(xié)議分析。 
            
7 t+ i2 T, U5 l9 s* i' {( W" m
            
5 _: P, g7 ?- Q& Z2 f  T& r7. 如果Z不是路由器,能否考慮組合使用ICMP重定向以及ARP欺騙等技術(shù)?沒有仔細(xì)分析過,只是隨便猜測(cè)而已。并且與A、B、Z之間具體的網(wǎng)絡(luò)拓?fù)溆忻芮嘘P(guān)系,在某些情況下顯然大幅度 " v( P# ]: x% [$ ~+ q
            
降低了攻擊難度。注意IP欺騙攻擊理論上是從廣域網(wǎng)上發(fā)起的,不局限于局域網(wǎng),這也正是這種攻擊的魅力所在。利用IP欺騙攻擊得到一個(gè)A上的shell,對(duì)于許多高級(jí)入侵者,得到目標(biāo)主 ' f1 o; X+ B; t5 u- A) C
            
機(jī)的shell,離root權(quán)限就不遠(yuǎn)了,最容易想到的當(dāng)然是接下來進(jìn)行buffer overflow攻擊。 
            
4 V( F1 f2 C0 \1 G3 r/ U/ a" {# t, L; e
            
8. 也許有人要問,為什么Z不能直接把自己的IP設(shè)置成B的?這個(gè)問題很不好回答,要具體分析網(wǎng)絡(luò)拓?fù)洌?dāng)然也存在ARP沖突、出不了網(wǎng)關(guān)等問題。那么在IP欺騙攻擊過程中是否存在ARP沖突問題?;叵胛仪懊尜N過的ARP欺騙攻擊,如果B的ARP Cache沒有受到影響,就不會(huì)出現(xiàn)ARP沖突。如果Z向A發(fā)送數(shù)據(jù)段時(shí),企圖解析A的MAC地址或者路由器的MAC地址,必然會(huì)發(fā)送ARP請(qǐng)求包,但這個(gè)ARP請(qǐng)求包中源IP以及源MAC都是Z的,自然不會(huì)引起ARP沖突。而ARP Cache只會(huì)被ARP包改變,不受IP包的影響,所以可以肯定地說,IP欺騙攻擊過程中不存在ARP沖突。相反,如果Z修改了自己的IP,這種ARP沖突就有可能出現(xiàn),示具體情況而言。攻擊中連帶B一起攻擊了,其目的無非是防止B干擾了攻擊過程,如果B本身已經(jīng)down掉,那是再好不過(是嗎?)。 5 b. [& v) I0 ]. T7 y
            
$ e2 \3 G/ d# Y9 K  q( g/ E; s4 E: s
            
9. fakeip曾經(jīng)沸沸揚(yáng)揚(yáng)了一下,我對(duì)之進(jìn)行端口掃描,發(fā)現(xiàn)其tcp端口113是接收入連接的。和IP欺騙等沒有直接聯(lián)系,和安全校驗(yàn)是有關(guān)系的。當(dāng)然,這個(gè)東西并不如其名所暗示,對(duì)IP層沒有任何動(dòng)作。 2 u0 B5 z% C0 \. x
            

            
1 H$ k* N* x" |( A' Q6 a10. 關(guān)于預(yù)測(cè)ISN,我想到另一個(gè)問題。就是如何以第三方身份切斷A與B之間的TCP連接,實(shí)際上也是預(yù)測(cè)sequence number的問題。嘗試過,也很困難。如果Z是A與B之間的路由器,就不用說了;或者Z動(dòng)用了別的技術(shù)可以監(jiān)聽到A與B之間的通信,也容易些;否則預(yù)測(cè)太難。作者在3中提到連接A的25端口,可我想不明白的是513端口的ISN和25端口有什么關(guān)系?看來需要看看TCP/IP內(nèi)部實(shí)現(xiàn)的源代碼。 " f) i1 ]) p2 o# p3 x1 j( h+ y
            
( o2 i1 `( ]7 S0 \  ]' {5 \  j
            
未雨綢繆 , |2 [; [3 U# y" u+ N9 g$ d2 F
            
2 l. A* _% f  Q' G% F9 C
            
雖然IP欺騙攻擊有著相當(dāng)難度,但我們應(yīng)該清醒地意識(shí)到,這種攻擊非常廣泛,入侵往往由這里開始。預(yù)防這種攻擊還是比較容易的,比如刪除所有的/etc/hosts.equiv、$HOME/.rhosts文件,修改/etc/inetd.conf文件,使得RPC機(jī)制無法運(yùn)做,還可以殺掉portmapper等等。設(shè)置路由器,過濾來自外部而信源地址卻是內(nèi)部IP的報(bào)文。cisio公司的產(chǎn)品就有這種功能。不過路由器只防得了外部入侵,內(nèi)部入侵呢? 
            
% }$ E, I5 m9 n2 _! c) d! y% v( T" j# }, v1 U
            
TCP的ISN選擇不是隨機(jī)的,增加也不是隨機(jī)的,這使攻擊者有規(guī)可循,可以修改與ISN相關(guān)的代碼,選擇好的算法,使得攻擊者難以找到規(guī)律。估計(jì)Linux下容易做到,那solaris、irix、hp-unix還有aix呢?sigh 
            
; x/ |4 z) a) Z  y/ \3 i  [% M6 u( p- g' Z# S( i
            
雖然作者紙上談兵,但總算讓我們了解了一下IP欺騙攻擊,我實(shí)驗(yàn)過預(yù)測(cè)sequence number,不是ISN,企圖切斷一個(gè)TCP連接,感覺難度很大。作者建議要找到規(guī)律,不要盲目預(yù)測(cè),這需要時(shí)間和耐心?,F(xiàn)在越發(fā)明白什么是那種鍥而不舍永遠(yuǎn)追求的精神,我們所向往的傳奇故事背后有著如此沉默的艱辛和毅力,但愿我們學(xué)會(huì)的是這個(gè),而不是浮華與喧囂。一個(gè)現(xiàn)成的bug足以讓你取得root權(quán)限,可你在做什么,你是否明白?我們太膚淺了...... ) x$ a( {& A; q. d1 P
            
             淺了......             




            

            

            歡迎光臨 汶上信息港 (http://m.junkejituan.com/)

Powered by Discuz! X3.5