Transcript TCP 会话劫持 - 清华大学网络与信息安全实验室

TCP Session Hijack
郭军权
2011.5.11
OutLine
•
•
•
•
•
故事接龙
TCP Session Hijack原理
TCP Session Hijack方法
Https会话劫持实战之SSLStrip演示
TCP Session Hijack防御
2
故事接龙
• 黄药师，T大土木工程创系主任，院士。在
化学系与同门师兄欧阳锋各种不服，跑出
来创立土木工程系，号东邪 。其个人实验
楼位于校园东门外的一园区，园区内种遍
桃花，并布置了些土木机关，号“桃花岛
”
• 洪七公，计算机系主任，教授，院士。门
生有郭靖，黄蓉，周伯通，穆念慈等。
2020/4/25
故事接龙
• 欧阳锋：化学系主任，院士，研究化学药
品毒性，号“西毒”，始终想上位校长 。
• 欧阳克，欧阳锋侄子，研究生会主席，博
士高年级，很帅很风流，一堆女生围着他
转，有很多马仔；
2020/4/25
故事接龙
• 计算机系学生组织春游，由于黄蓉的关系
，准备到其老爸的“桃花岛”逛后桃花节
，具体事宜由老博士生周伯通组织实施，
周已经电话和“桃花岛”前台傻姑联系好
相关事宜。不想此事被欧阳克的马仔们得
知并告知老大。
• 欧阳峰和欧阳克密谋，想通过“会话劫持
”离间计算机系和土木工程系关系，使自
己的竞选对手内部分裂。
2020/4/25
故事接龙
• 当日，欧阳克派小马仔于“桃花岛”门前
冒充傻姑助理接待计算机系众人，谎称需
要通一办理入园手续而将门票全部收集。
并称“五一”节免费赠送茶水来拖住众人
，后又说今日园中浇水明日再来。另外派
小弟们拿此门票冒充计算机系人员入桃花
园大肆破坏。
• 黄药师得知“桃树”被毁，痛心疾首，立
刻报警，警察将计算机系学生缉拿查问。
2020/4/25
故事接龙
• 黄药师得知“桃树”被毁，痛心疾首。计
算机系学生后得知那日没有浇水，好好的
春游泡汤，于是双方相互嫉恨。
• 黄蓉得知双方纯属误会，于是举报冒充傻
姑助理的混混，在“坦白从宽”利诱下，
他据实招认了作案经过，黄洪两派矛盾才
得以化解。
2020/4/25
故事接龙
• “桃花园”门口张贴“工作人员不会向您
索要门票”的告示。
• 后来“桃花园”实行实名制购票，评学生
证或指纹进入。
2020/4/25
TCP Session Hijack原理
• 所谓会话: 就是两台主机之间的一次通讯。例如你
Telnet到某台主机，这就是一次Telnet会话；你浏
览某个网站，这就是一次HTTP会话。
• 会话劫持（Session Hijack）: 就是结合了嗅探以及
欺骗技术在内的攻击手段。例如，在一次正常的
会话过程当中，攻击者作为第三方参与到其中，
他可以在正常数据包中插入恶意数据，也可以在
双方的会话当中进行监听，甚至可以是代替某一
方主机接管会话。
2020/4/25
TCP Session Hijack原理
Client
Server
SYN_SENT
SYN_RCVD
ESTABLISHED
ESTABLISHED
2020/4/25
TCP Session Hijack原理
• 根据TCP/IP中的规定，使用TCP协议进行通讯需要
提供两段序列号，TCP协议使用这两段序列号确保
连接同步以及安全通讯，系统的TCP/IP协议栈依据
时间或线性的产生这些值。
• 在通讯过程中，双方的序列号是相互依赖的，如
果攻击者直接进行会话劫持，结果肯定是失败的。
因为会话双方“不认识”攻击者，攻击者不能提供
合法的序列号;所以，会话劫持的关键是预测正确
的序列号，攻击者可以采取嗅探技术获得这些信
息。
2020/4/25
TCP Session Hijack原理
• TCP协议的序列号：
– 在每一个数据包中，都有两段序列号，它们分别为：
SEQ：当前数据包中的第一个字节的序号，
ACK：期望收到对方数据包中第一个字节的序号
– 它们之间必须符合下面的逻辑关系，否则该数据包会
被丢弃，并且返回一个ACK包(包含期望的序列号)。
C_ACK <= C_SEQ <= C_ACK + C_WIND
S_ACK <= S_SEQ <= S_ACK + S_WIND
如果不符合上边的逻辑关系，就会引申出一个“致命弱
点”。
2020/4/25
TCP Session Hijack原理
• 致命弱点（ACK Storm）：
当会话双方接收到一个不期望的数据包后，就
会用自己期望的序列号返回ACK包;而在另一端，
这个数据包也不是所期望的，就会再次以自己期
望的序列号返回ACK包……于是，就这样来回往返
，形成了恶性循环，最终导致ACK风暴。
比较好的解决办法是先进行ARP欺骗，使双方
的数据包“正常”的发送到攻击者这里，然后设置
包转发，最后就可以进行会话劫持了，而且不必
担心会有ACK风暴出现。当然，并不是所有系统都
会出现ACK风暴。比如Linux系统的TCP/IP协议栈就
与RFC中的描述略有不同。注意，ACK风暴仅存在
2020/4/25
于注射式会话劫持。
TCP Session Hijack方法
• 可以把会话劫持攻击分为两种类型：
– 1）中间人攻击(Man In The Middle，简称MITM)；
– 2）注射式攻击（Injection）；
• 还可以把会话劫持攻击分为两种形式：
– 1）被动劫持:被动劫持实际上就是在后台监听双方会话的数据流，
从中获得敏感数据。如在Telnet、FTP、HTTP、SMTP等传输协议中，
用户和密码信息都是以明文格式传输的，若攻击者利用数据包截
取工具便可很容易收集到帐户和密码信息。
– 2）主动劫持:主动劫持则是将会话当中的某一台主机“踢”下线，
然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击
者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的
Shadow文件）
2020/4/25
2020/4/25
TCP Session Hijack方法
• 注射式攻击简介
– 这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话
双方的通讯流，而是在双方正常的通讯中流插入恶意数据。在注射式攻
击中，需要实现两种技术：
• 1）IP欺骗；
• 2）预测TCP序列号。
对于IP欺骗，有两种情况需要用到：
1）隐藏自己的IP地址；
2）利用两台机器之间的信任关系实施入侵。
在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需
要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使
用Libnet）。例如在Linux系统，首先打开一个Raw Socket（原始套接字），然后自
己编写IP头及其他数据。
– TCP协议的注射式会话劫持，攻击者应先采用嗅探技术对目标
进行监听，然后从监听到的信息中构造出正确的序列号，如果
不这样，你就必须先猜测目标的ISN（初始序列号），这样无形
中对会话劫持加大了难度。
2020/4/25
TCP Session Hijack方法
• 中间人攻击MITM：
– 要想正确的实施中间人攻击，攻击者首
先需要使用ARP欺骗或DNS欺骗，将会话
双方的通讯流暗中改变，而这种改变对
于会话双方来说是一个完全透明的代理
，可以得到一切想知道的信息，甚至是
利用一些有缺陷的加密协议来实现。
SMB会话劫持就是一个典型的中间人攻击
。
2020/4/25
TCP Session Hijack方法
• 可以进行会话劫持的工具很多，比较常用有：
–
–
–
–
2020/4/25
Juggernaut，它可以进行TCP会话劫持的网络Sniffer程序；
TTY Watcher，而它是针对单一主机上的连接进行会话劫持。
Dsniff工具包也可以实现会话劫持。
Hunt，能将会话劫持发挥得淋漓尽致的，它的作者是Pavel Krauz，可以工
作在Linux和一些Unix平台下。它的功能非常强大，首先，无论是在共享
式网络还是交换式网络，它都可以正常工作；其次，可以进行中间人攻
击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。
通过前面的叙述，我们知道在注射式攻击中，容易出现ACK风暴，解决办
法是先进行ARP欺骗；而使用Hunt进行注射式攻击时，它并不进行ARP欺
骗，而是在会话劫持之后，向会话双方发送带RST标志位的TCP包以中断
会话，避免ACK风暴继续下去。而中间人攻击是先进行ARP欺骗，然后进
行会话劫持。Hunt目前最新版本是1.5，可以到Pavel Krauz网站下载源代码
包和二进制文件http://lin.fsid.cvut.cz/~kra/#hunt
Https会话劫持之SSLStrip （1）
• 一般HTTPS通信过程：
Connect to Http site on Port 80
Redireict to Https site
Web
Client
Connect to Https site on Port 443
Provider Server Certificate
Communication Begin
2020/4/25
Web
Server
Https会话劫持之SSLStrip （2）
以访问Gmail为例的基本过程如下：
1. 客户端浏览器使用HTTP连接到端口80的http://mail.google.com；
2. 服务器试用HTTP代码302重定向客户端HTTPS版本的这个网站；
3. 客户端连接到端口443的网站https://mail.google.com；
4. 服务器向客户端提供包含其电子签名的证书，该证书用于验证网址；
5. 客户端获取该证书，并根据信任证书颁发机构列表来验证该证书；
6. 加密通信建立。
如果证书验证过程失败的话，则意味着无法验证网址的真实度。这样
的话，用户将会看到页面显示证书验证错误，或者他们也可以选择冒着危
险继续访问网站，因为他们访问的网站可能是欺诈网站。
2020/4/25
Https会话劫持之SSLStrip （3）
• SSLstrip工作原理：
– SSLstrip通过监视Http传输进行工作，当用户试图
进入加密的https会话时它充当代理。当用户认
为安全的会话已经开始时，SSLstrip也通过https
连接到安全服务器，所有用户到SSLstrip的连接
是http，这就意味着浏览器上警告提示已经被阻
止，浏览器看起来正常工作，在此期间所有的
用户敏感信息都可以轻易被截获。
2020/4/25
Https会话劫持之SSLStrip （4）
SSLstrip工作原理:
Connect to 80
Connect to 80
Replace with Http
Hacker
Web
Client
(SSLStrip)
Redireict to Https
Connect to 443
Server Certificate
Http
2020/4/25
Https
Web
Server
Https会话劫持之SSLStrip （5）
• 劫持HTTPS通信
1. 客户端与web服务器间的流量被拦截;
2. 当遇到HTTPS URL时，sslstrip使用HTTP链接替换它，并保存了这种变化的
映射；
3. 攻击机模拟客户端向服务器提供证书；
4. 从安全网站收到流量提供给客户端；
这个过程进展很顺利，服务器仍然在接收SSL流量，服务器无法辨别任何改
变。用户可以感觉到唯一不同的是，浏览器中不会标记HTTPS，所以某些用户
还是能够看出不对劲。
视频演示：1，2
2020/4/25
会话劫持防范
• 防范会话劫持是一个比较大的工程。
1. 首先应该使用交换式网络替代共享式网络，虽然像Hunt这
样的工具可以在交换环境中实现会话劫持，但还是应该使
用交换式网络替代共享式网络，因为这样可以防范最基本
的嗅探攻击。
2. 最重要的还是防范ARP欺骗，设置静态MAC地址等。实现
中间人攻击的前提是ARP欺骗，如能阻止攻击者进行ARP欺
骗，中间人攻击将难以进行。其次，监视网络流量，如发
现网络中出现大量的ACK包，则有可能已被会话劫持攻击
。
3. 最根本的解决办法是采用加密通讯，使用SSH代替Telnet、
使用SSL代替HTTP，或者干脆使用IPSec/VPN，这样会话劫
持就无用武之地了。
2020/4/25
Reference
• 深度分析TCP会话劫持
http://networking.ctocio.com.cn/271/11535271.shtml
• 会话劫持详解
http://www.heibai.net/articles/hacker/base/2009/1029/2767
.html
• 解析中间人攻击 – 会话劫持
http://safe.itren.cn/content.asp?id=97959
• SSLStrip使用方法
• http://www.thoughtcrime.org/software/sslstrip/index.html
25
2020/4/25