TCP Session Hijack 郭军权 2011.5.11

OutLine 故事接龙 TCP Session Hijack原理 TCP Session Hijack方法 Https会话劫持实战之SSLStrip演示 TCP Session Hijack防御 2

2017/9/9 故事接龙 黄药师，T大土木工程创系主任，院士。在化学系与同门师兄欧阳锋各种不服，跑出来创立土木工程系，号东邪 。其个人实验楼位于校园东门外的一园区，园区内种遍桃花，并布置了些土木机关，号“桃花岛” 洪七公，计算机系主任，教授，院士。门生有郭靖，黄蓉，周伯通，穆念慈等。 正面人物，黄-server 洪 client 2017/9/9 3

故事接龙 欧阳锋：化学系主任，院士，研究化学药品毒性，号“西毒”，始终想上位校长 。 欧阳克，欧阳锋侄子，研究生会主席，博士高年级，很帅很风流，一堆女生围着他转，有很多马仔； 2017/9/9

2017/9/9 故事接龙 计算机系学生组织春游，由于黄蓉的关系，准备到其老爸的“桃花岛”逛后桃花节，具体事宜由老博士生周伯通组织实施，周已经电话和“桃花岛”前台傻姑联系好相关事宜。不想此事被欧阳克的马仔们得知并告知老大。 欧阳峰和欧阳克密谋，想通过“会话劫持”离间计算机系和土木工程系关系，使自己的竞选对手内部分裂。 监听 2017/9/9 5

2017/9/9 故事接龙 当日，欧阳克派小马仔于“桃花岛”门前冒充傻姑助理接待计算机系众人，谎称需要通一办理入园手续而将门票全部收集。并称“五一”节免费赠送茶水来拖住众人，后又说今日园中浇水明日再来。另外派小弟们拿此门票冒充计算机系人员入桃花园大肆破坏。 黄药师得知“桃树”被毁，痛心疾首，立刻报警，警察将计算机系学生缉拿查问。 Arp欺骗 冒充网关 被动会话劫持，获得凭证 网站维护中，请稍后重试 主动破坏栽赃 2017/9/9 6

故事接龙 黄药师得知“桃树”被毁，痛心疾首。计算机系学生后得知那日没有浇水，好好的春游泡汤，于是双方相互嫉恨。 2017/9/9 故事接龙 黄药师得知“桃树”被毁，痛心疾首。计算机系学生后得知那日没有浇水，好好的春游泡汤，于是双方相互嫉恨。 黄蓉得知双方纯属误会，于是举报冒充傻姑助理的混混，在“坦白从宽”利诱下，他据实招认了作案经过，黄洪两派矛盾才得以化解。 用蜜罐发现攻击者 静态MAC VPN加密等 2017/9/9 7

故事接龙 “桃花园”门口张贴“工作人员不会向您索要门票”的告示。 后来“桃花园”实行实名制购票，评学生证或指纹进入。 2017/9/9 8 静态MAC VPN加密等 2017/9/9 8

TCP Session Hijack原理 所谓会话: 就是两台主机之间的一次通讯。例如你Telnet到某台主机，这就是一次Telnet会话；你浏览某个网站，这就是一次HTTP会话。 会话劫持（Session Hijack）: 就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行监听，甚至可以是代替某一方主机接管会话。 2017/9/9

TCP Session Hijack原理 Client Server SYN_SENT SYN J SYN_RCVD SYN K SEQ J+1 ESTABLISHED ACK K+1 ESTABLISHED 2017/9/9

TCP Session Hijack原理 根据TCP/IP中的规定，使用TCP协议进行通讯需要提供两段序列号，TCP协议使用这两段序列号确保连接同步以及安全通讯，系统的TCP/IP协议栈依据时间或线性的产生这些值。 在通讯过程中，双方的序列号是相互依赖的，如果攻击者直接进行会话劫持，结果肯定是失败的。因为会话双方“不认识”攻击者，攻击者不能提供合法的序列号;所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。 2017/9/9

TCP Session Hijack原理 TCP协议的序列号： 在每一个数据包中，都有两段序列号，它们分别为： SEQ：当前数据包中的第一个字节的序号， ACK：期望收到对方数据包中第一个字节的序号 它们之间必须符合下面的逻辑关系，否则该数据包会被丢弃，并且返回一个ACK包(包含期望的序列号)。 　　 C_ACK <= C_SEQ <= C_ACK + C_WIND 　　 S_ACK <= S_SEQ <= S_ACK + S_WIND 　　如果不符合上边的逻辑关系，就会引申出一个“致命弱点”。 　假设双方现在需要进行一次连接： 　　S_SEQ：将要发送的下一个字节的序号 　　S_ACK：将要接收的下一个字节的序号 　　S_WIND：接收窗口 　　//以上为服务器(Server) 　　C_SEQ：将要发送的下一个字节的序号 　　C_ACK：将要接收的下一个字节的序号 　　C_WIND：接收窗口 　　//以上为客户端(Client) 2017/9/9

TCP Session Hijack原理 致命弱点（ACK Storm）： 当会话双方接收到一个不期望的数据包后，就会用自己期望的序列号返回ACK包;而在另一端，这个数据包也不是所期望的，就会再次以自己期望的序列号返回ACK包……于是，就这样来回往返，形成了恶性循环，最终导致ACK风暴。 比较好的解决办法是先进行ARP欺骗，使双方的数据包“正常”的发送到攻击者这里，然后设置包转发，最后就可以进行会话劫持了，而且不必担心会有ACK风暴出现。当然，并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意，ACK风暴仅存在于注射式会话劫持。 　假设双方现在需要进行一次连接： 　　S_SEQ：将要发送的下一个字节的序号 　　S_ACK：将要接收的下一个字节的序号 　　S_WIND：接收窗口 　　//以上为服务器(Server) 　　C_SEQ：将要发送的下一个字节的序号 　　C_ACK：将要接收的下一个字节的序号 　　C_WIND：接收窗口 　　//以上为客户端(Client) 2017/9/9

TCP Session Hijack方法 可以把会话劫持攻击分为两种类型： 还可以把会话劫持攻击分为两种形式： 1）中间人攻击(Man In The Middle，简称MITM)； 2）注射式攻击（Injection）； 还可以把会话劫持攻击分为两种形式： 1）被动劫持:被动劫持实际上就是在后台监听双方会话的数据流，从中获得敏感数据。如在Telnet、FTP、HTTP、SMTP等传输协议中，用户和密码信息都是以明文格式传输的，若攻击者利用数据包截取工具便可很容易收集到帐户和密码信息。 2）主动劫持:主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大，攻击者可以做很多事情，比如“cat etc/master.passwd”（FreeBSD下的Shadow文件） 2017/9/9

2017/9/9

TCP Session Hijack方法 注射式攻击简介 这种方式的会话劫持比中间人攻击实现起来简单一些，它不会改变会话双方的通讯流，而是在双方正常的通讯中流插入恶意数据。在注射式攻击中，需要实现两种技术： 1）IP欺骗； 2）预测TCP序列号。 对于IP欺骗，有两种情况需要用到： 1）隐藏自己的IP地址； 2）利用两台机器之间的信任关系实施入侵。 在Unix/Linux平台上，可以直接使用Socket构造IP包，在IP头中填上虚假的IP地址，但需要root权限；在Windows平台上，不能使用Winsock，需要使用Winpacp（也可以使用Libnet）。例如在Linux系统，首先打开一个Raw Socket（原始套接字），然后自己编写IP头及其他数据。 TCP协议的注射式会话劫持，攻击者应先采用嗅探技术对目标进行监听，然后从监听到的信息中构造出正确的序列号，如果不这样，你就必须先猜测目标的ISN（初始序列号），这样无形中对会话劫持加大了难度。 如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。 在Linux系统可以参考下面的实例代码： sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip->ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip->ip_src.s_addr; tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr)); sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)); 2017/9/9

TCP Session Hijack方法 中间人攻击MITM： 要想正确的实施中间人攻击，攻击者首先需要使用ARP欺骗或DNS欺骗，将会话双方的通讯流暗中改变，而这种改变对于会话双方来说是一个完全透明的代理，可以得到一切想知道的信息，甚至是利用一些有缺陷的加密协议来实现。 SMB会话劫持就是一个典型的中间人攻击。 关于ARP欺骗黑客防线介绍的比较多，网上的资料也比较多，我就不在多说了，我只简单谈谈DNS欺骗。DNS（Domain Name System），即域名服务器，我们几乎天天都要用到。对于正常的DNS请求，例如在浏览器输入www.hacker.com.cn，然后系统先查看Hosts文件，如果有相对应的IP，就使用这个IP地址访问网站（其实，利用Hosts文件就可以实现DNS欺骗）；如果没有，才去请求DNS服务器；DNS服务器在接收到请求之后，解析出其对应的IP地址，返回给我本地，最后你就可以登陆到黑客防线的网站。而DNS欺骗则是，目标将其DNS请求发送到攻击者这里，然后攻击者伪造DNS响应，将正确的IP地址替换为其他IP，之后你就登陆了这个攻击者指定的IP，而攻击者早就在这个IP中安排好了恶意网页，可你却在不知不觉中已经被攻击者下了“套”……DNS欺骗也可以在广域网中进行，比较常见的有“Web服务器重定向”、“邮件服务器重定向”等等。但不管是ARP欺骗，还是DNS欺骗， 2017/9/9

TCP Session Hijack方法 可以进行会话劫持的工具很多，比较常用有： Juggernaut，它可以进行TCP会话劫持的网络Sniffer程序； TTY Watcher，而它是针对单一主机上的连接进行会话劫持。 Dsniff工具包也可以实现会话劫持。 Hunt，能将会话劫持发挥得淋漓尽致的，它的作者是Pavel Krauz，可以工作在Linux和一些Unix平台下。它的功能非常强大，首先，无论是在共享式网络还是交换式网络，它都可以正常工作；其次，可以进行中间人攻击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述，我们知道在注射式攻击中，容易出现ACK风暴，解决办法是先进行ARP欺骗；而使用Hunt进行注射式攻击时，它并不进行ARP欺骗，而是在会话劫持之后，向会话双方发送带RST标志位的TCP包以中断会话，避免ACK风暴继续下去。而中间人攻击是先进行ARP欺骗，然后进行会话劫持。Hunt目前最新版本是1.5，可以到Pavel Krauz网站下载源代码包和二进制文件http://lin.fsid.cvut.cz/~kra/#hunt 如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。 在Linux系统可以参考下面的实例代码： sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip->ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip->ip_src.s_addr; tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr)); sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)); 2017/9/9

Https会话劫持之SSLStrip （1） 2017/9/9 Https会话劫持之SSLStrip （1） 一般HTTPS通信过程： Web Client Web Server Connect to Http site on Port 80 Redireict to Https site Connect to Https site on Port 443 Provider Server Certificate 如果客户端的浏览器对websever的证书验证不通过，则会弹出警告框 Communication Begin 2017/9/9 19

Https会话劫持之SSLStrip （2） 以访问Gmail为例的基本过程如下： 　　1. 客户端浏览器使用HTTP连接到端口80的http://mail.google.com； 　　2. 服务器试用HTTP代码302重定向客户端HTTPS版本的这个网站； 　　3. 客户端连接到端口443的网站https://mail.google.com； 　　4. 服务器向客户端提供包含其电子签名的证书，该证书用于验证网址； 　　5. 客户端获取该证书，并根据信任证书颁发机构列表来验证该证书； 　　6. 加密通信建立。 　　如果证书验证过程失败的话，则意味着无法验证网址的真实度。这样的话，用户将会看到页面显示证书验证错误，或者他们也可以选择冒着危险继续访问网站，因为他们访问的网站可能是欺诈网站。 2017/9/9

Https会话劫持之SSLStrip （3） 2017/9/9 Https会话劫持之SSLStrip （3） SSLstrip工作原理： SSLstrip通过监视Http传输进行工作，当用户试图进入加密的https会话时它充当代理。当用户认为安全的会话已经开始时，SSLstrip也通过https连接到安全服务器，所有用户到SSLstrip的连接是http，这就意味着浏览器上警告提示已经被阻止，浏览器看起来正常工作，在此期间所有的用户敏感信息都可以轻易被截获。 清华校园网登陆就会弹出警告 2017/9/9 21

Https会话劫持之SSLStrip （4） SSLstrip工作原理: Web Client Hacker (SSLStrip) Web Server Connect to 80 Connect to 80 Replace with Http Redireict to Https Connect to 443 Server Certificate Http Https 2017/9/9

Https会话劫持之SSLStrip （5） 劫持HTTPS通信 1. 客户端与web服务器间的流量被拦截; 2. 当遇到HTTPS URL时，sslstrip使用HTTP链接替换它，并保存了这种变化的映射； 3. 攻击机模拟客户端向服务器提供证书； 4. 从安全网站收到流量提供给客户端； 这个过程进展很顺利，服务器仍然在接收SSL流量，服务器无法辨别任何改变。用户可以感觉到唯一不同的是，浏览器中不会标记HTTPS，所以某些用户还是能够看出不对劲。 视频演示：1，2 2017/9/9

会话劫持防范 防范会话劫持是一个比较大的工程。 首先应该使用交换式网络替代共享式网络，虽然像Hunt这样的工具可以在交换环境中实现会话劫持，但还是应该使用交换式网络替代共享式网络，因为这样可以防范最基本的嗅探攻击。 最重要的还是防范ARP欺骗，设置静态MAC地址等。实现中间人攻击的前提是ARP欺骗，如能阻止攻击者进行ARP欺骗，中间人攻击将难以进行。其次，监视网络流量，如发现网络中出现大量的ACK包，则有可能已被会话劫持攻击。 最根本的解决办法是采用加密通讯，使用SSH代替Telnet、使用SSL代替HTTP，或者干脆使用IPSec/VPN，这样会话劫持就无用武之地了。 如果是UDP协议，只需伪造IP地址，然后发送过去就可以了，因为UDP没有所谓的TCP三次握手，但基于UDP的应用协议有流控机制，所以也要做一些额外的工作。 在Linux系统可以参考下面的实例代码： sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip->ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip->ip_src.s_addr; tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr)); sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)); 2017/9/9

Reference 深度分析TCP会话劫持http://networking.ctocio.com.cn/271/11535271.shtml 会话劫持详解http://www.heibai.net/articles/hacker/base/2009/1029/2767.html 解析中间人攻击 – 会话劫持http://safe.itren.cn/content.asp?id=97959 SSLStrip使用方法 http://www.thoughtcrime.org/software/sslstrip/index.html 25

2017/9/9