Download presentation
Presentation is loading. Please wait.
1
TCP Session Hijack 郭军权
2
OutLine 故事接龙 TCP Session Hijack原理 TCP Session Hijack方法
Https会话劫持实战之SSLStrip演示 TCP Session Hijack防御 2
3
2017/9/9 故事接龙 黄药师,T大土木工程创系主任,院士。在化学系与同门师兄欧阳锋各种不服,跑出来创立土木工程系,号东邪 。其个人实验楼位于校园东门外的一园区,园区内种遍桃花,并布置了些土木机关,号“桃花岛” 洪七公,计算机系主任,教授,院士。门生有郭靖,黄蓉,周伯通,穆念慈等。 正面人物,黄-server 洪 client 2017/9/9 3
4
故事接龙 欧阳锋:化学系主任,院士,研究化学药品毒性,号“西毒”,始终想上位校长 。
欧阳克,欧阳锋侄子,研究生会主席,博士高年级,很帅很风流,一堆女生围着他转,有很多马仔; 2017/9/9
5
2017/9/9 故事接龙 计算机系学生组织春游,由于黄蓉的关系,准备到其老爸的“桃花岛”逛后桃花节,具体事宜由老博士生周伯通组织实施,周已经电话和“桃花岛”前台傻姑联系好相关事宜。不想此事被欧阳克的马仔们得知并告知老大。 欧阳峰和欧阳克密谋,想通过“会话劫持”离间计算机系和土木工程系关系,使自己的竞选对手内部分裂。 监听 2017/9/9 5
6
2017/9/9 故事接龙 当日,欧阳克派小马仔于“桃花岛”门前冒充傻姑助理接待计算机系众人,谎称需要通一办理入园手续而将门票全部收集。并称“五一”节免费赠送茶水来拖住众人,后又说今日园中浇水明日再来。另外派小弟们拿此门票冒充计算机系人员入桃花园大肆破坏。 黄药师得知“桃树”被毁,痛心疾首,立刻报警,警察将计算机系学生缉拿查问。 Arp欺骗 冒充网关 被动会话劫持,获得凭证 网站维护中,请稍后重试 主动破坏栽赃 2017/9/9 6
7
故事接龙 黄药师得知“桃树”被毁,痛心疾首。计算机系学生后得知那日没有浇水,好好的春游泡汤,于是双方相互嫉恨。
2017/9/9 故事接龙 黄药师得知“桃树”被毁,痛心疾首。计算机系学生后得知那日没有浇水,好好的春游泡汤,于是双方相互嫉恨。 黄蓉得知双方纯属误会,于是举报冒充傻姑助理的混混,在“坦白从宽”利诱下,他据实招认了作案经过,黄洪两派矛盾才得以化解。 用蜜罐发现攻击者 静态MAC VPN加密等 2017/9/9 7
8
故事接龙 “桃花园”门口张贴“工作人员不会向您索要门票”的告示。 后来“桃花园”实行实名制购票,评学生证或指纹进入。 2017/9/9 8
静态MAC VPN加密等 2017/9/9 8
9
TCP Session Hijack原理 所谓会话: 就是两台主机之间的一次通讯。例如你Telnet到某台主机,这就是一次Telnet会话;你浏览某个网站,这就是一次HTTP会话。 会话劫持(Session Hijack): 就是结合了嗅探以及欺骗技术在内的攻击手段。例如,在一次正常的会话过程当中,攻击者作为第三方参与到其中,他可以在正常数据包中插入恶意数据,也可以在双方的会话当中进行监听,甚至可以是代替某一方主机接管会话。 2017/9/9
10
TCP Session Hijack原理 Client Server SYN_SENT SYN J SYN_RCVD
SYN K SEQ J+1 ESTABLISHED ACK K+1 ESTABLISHED 2017/9/9
11
TCP Session Hijack原理 根据TCP/IP中的规定,使用TCP协议进行通讯需要提供两段序列号,TCP协议使用这两段序列号确保连接同步以及安全通讯,系统的TCP/IP协议栈依据时间或线性的产生这些值。 在通讯过程中,双方的序列号是相互依赖的,如果攻击者直接进行会话劫持,结果肯定是失败的。因为会话双方“不认识”攻击者,攻击者不能提供合法的序列号;所以,会话劫持的关键是预测正确的序列号,攻击者可以采取嗅探技术获得这些信息。 2017/9/9
12
TCP Session Hijack原理 TCP协议的序列号: 在每一个数据包中,都有两段序列号,它们分别为:
SEQ:当前数据包中的第一个字节的序号, ACK:期望收到对方数据包中第一个字节的序号 它们之间必须符合下面的逻辑关系,否则该数据包会被丢弃,并且返回一个ACK包(包含期望的序列号)。 C_ACK <= C_SEQ <= C_ACK + C_WIND S_ACK <= S_SEQ <= S_ACK + S_WIND 如果不符合上边的逻辑关系,就会引申出一个“致命弱点”。 假设双方现在需要进行一次连接: S_SEQ:将要发送的下一个字节的序号 S_ACK:将要接收的下一个字节的序号 S_WIND:接收窗口 //以上为服务器(Server) C_SEQ:将要发送的下一个字节的序号 C_ACK:将要接收的下一个字节的序号 C_WIND:接收窗口 //以上为客户端(Client) 2017/9/9
13
TCP Session Hijack原理 致命弱点(ACK Storm):
当会话双方接收到一个不期望的数据包后,就会用自己期望的序列号返回ACK包;而在另一端,这个数据包也不是所期望的,就会再次以自己期望的序列号返回ACK包……于是,就这样来回往返,形成了恶性循环,最终导致ACK风暴。 比较好的解决办法是先进行ARP欺骗,使双方的数据包“正常”的发送到攻击者这里,然后设置包转发,最后就可以进行会话劫持了,而且不必担心会有ACK风暴出现。当然,并不是所有系统都会出现ACK风暴。比如Linux系统的TCP/IP协议栈就与RFC中的描述略有不同。注意,ACK风暴仅存在于注射式会话劫持。 假设双方现在需要进行一次连接: S_SEQ:将要发送的下一个字节的序号 S_ACK:将要接收的下一个字节的序号 S_WIND:接收窗口 //以上为服务器(Server) C_SEQ:将要发送的下一个字节的序号 C_ACK:将要接收的下一个字节的序号 C_WIND:接收窗口 //以上为客户端(Client) 2017/9/9
14
TCP Session Hijack方法 可以把会话劫持攻击分为两种类型: 还可以把会话劫持攻击分为两种形式:
1)中间人攻击(Man In The Middle,简称MITM); 2)注射式攻击(Injection); 还可以把会话劫持攻击分为两种形式: 1)被动劫持:被动劫持实际上就是在后台监听双方会话的数据流,从中获得敏感数据。如在Telnet、FTP、HTTP、SMTP等传输协议中,用户和密码信息都是以明文格式传输的,若攻击者利用数据包截取工具便可很容易收集到帐户和密码信息。 2)主动劫持:主动劫持则是将会话当中的某一台主机“踢”下线,然后由攻击者取代并接管会话,这种攻击方法危害非常大,攻击者可以做很多事情,比如“cat etc/master.passwd”(FreeBSD下的Shadow文件) 2017/9/9
15
2017/9/9
16
TCP Session Hijack方法 注射式攻击简介
这种方式的会话劫持比中间人攻击实现起来简单一些,它不会改变会话双方的通讯流,而是在双方正常的通讯中流插入恶意数据。在注射式攻击中,需要实现两种技术: 1)IP欺骗; 2)预测TCP序列号。 对于IP欺骗,有两种情况需要用到: 1)隐藏自己的IP地址; 2)利用两台机器之间的信任关系实施入侵。 在Unix/Linux平台上,可以直接使用Socket构造IP包,在IP头中填上虚假的IP地址,但需要root权限;在Windows平台上,不能使用Winsock,需要使用Winpacp(也可以使用Libnet)。例如在Linux系统,首先打开一个Raw Socket(原始套接字),然后自己编写IP头及其他数据。 TCP协议的注射式会话劫持,攻击者应先采用嗅探技术对目标进行监听,然后从监听到的信息中构造出正确的序列号,如果不这样,你就必须先猜测目标的ISN(初始序列号),这样无形中对会话劫持加大了难度。 如果是UDP协议,只需伪造IP地址,然后发送过去就可以了,因为UDP没有所谓的TCP三次握手,但基于UDP的应用协议有流控机制,所以也要做一些额外的工作。 在Linux系统可以参考下面的实例代码: sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip->ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip->ip_src.s_addr; tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr)); sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)); 2017/9/9
17
TCP Session Hijack方法 中间人攻击MITM:
要想正确的实施中间人攻击,攻击者首先需要使用ARP欺骗或DNS欺骗,将会话双方的通讯流暗中改变,而这种改变对于会话双方来说是一个完全透明的代理,可以得到一切想知道的信息,甚至是利用一些有缺陷的加密协议来实现。 SMB会话劫持就是一个典型的中间人攻击。 关于ARP欺骗黑客防线介绍的比较多,网上的资料也比较多,我就不在多说了,我只简单谈谈DNS欺骗。DNS(Domain Name System),即域名服务器,我们几乎天天都要用到。对于正常的DNS请求,例如在浏览器输入 2017/9/9
18
TCP Session Hijack方法 可以进行会话劫持的工具很多,比较常用有:
Juggernaut,它可以进行TCP会话劫持的网络Sniffer程序; TTY Watcher,而它是针对单一主机上的连接进行会话劫持。 Dsniff工具包也可以实现会话劫持。 Hunt,能将会话劫持发挥得淋漓尽致的,它的作者是Pavel Krauz,可以工作在Linux和一些Unix平台下。它的功能非常强大,首先,无论是在共享式网络还是交换式网络,它都可以正常工作;其次,可以进行中间人攻击和注射式攻击。还可以进行嗅探、查看会话、监视会话、重置会话。通过前面的叙述,我们知道在注射式攻击中,容易出现ACK风暴,解决办法是先进行ARP欺骗;而使用Hunt进行注射式攻击时,它并不进行ARP欺骗,而是在会话劫持之后,向会话双方发送带RST标志位的TCP包以中断会话,避免ACK风暴继续下去。而中间人攻击是先进行ARP欺骗,然后进行会话劫持。Hunt目前最新版本是1.5,可以到Pavel Krauz网站下载源代码包和二进制文件 如果是UDP协议,只需伪造IP地址,然后发送过去就可以了,因为UDP没有所谓的TCP三次握手,但基于UDP的应用协议有流控机制,所以也要做一些额外的工作。 在Linux系统可以参考下面的实例代码: sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip->ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip->ip_src.s_addr; tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr)); sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)); 2017/9/9
19
Https会话劫持之SSLStrip (1)
2017/9/9 Https会话劫持之SSLStrip (1) 一般HTTPS通信过程: Web Client Web Server Connect to Http site on Port 80 Redireict to Https site Connect to Https site on Port 443 Provider Server Certificate 如果客户端的浏览器对websever的证书验证不通过,则会弹出警告框 Communication Begin 2017/9/9 19
20
Https会话劫持之SSLStrip (2)
以访问Gmail为例的基本过程如下: 1. 客户端浏览器使用HTTP连接到端口80的 2. 服务器试用HTTP代码302重定向客户端HTTPS版本的这个网站; 3. 客户端连接到端口443的网站 4. 服务器向客户端提供包含其电子签名的证书,该证书用于验证网址; 5. 客户端获取该证书,并根据信任证书颁发机构列表来验证该证书; 6. 加密通信建立。 如果证书验证过程失败的话,则意味着无法验证网址的真实度。这样的话,用户将会看到页面显示证书验证错误,或者他们也可以选择冒着危险继续访问网站,因为他们访问的网站可能是欺诈网站。 2017/9/9
21
Https会话劫持之SSLStrip (3)
2017/9/9 Https会话劫持之SSLStrip (3) SSLstrip工作原理: SSLstrip通过监视Http传输进行工作,当用户试图进入加密的https会话时它充当代理。当用户认为安全的会话已经开始时,SSLstrip也通过https连接到安全服务器,所有用户到SSLstrip的连接是http,这就意味着浏览器上警告提示已经被阻止,浏览器看起来正常工作,在此期间所有的用户敏感信息都可以轻易被截获。 清华校园网登陆就会弹出警告 2017/9/9 21
22
Https会话劫持之SSLStrip (4)
SSLstrip工作原理: Web Client Hacker (SSLStrip) Web Server Connect to 80 Connect to 80 Replace with Http Redireict to Https Connect to 443 Server Certificate Http Https 2017/9/9
23
Https会话劫持之SSLStrip (5)
劫持HTTPS通信 1. 客户端与web服务器间的流量被拦截; 2. 当遇到HTTPS URL时,sslstrip使用HTTP链接替换它,并保存了这种变化的映射; 3. 攻击机模拟客户端向服务器提供证书; 4. 从安全网站收到流量提供给客户端; 这个过程进展很顺利,服务器仍然在接收SSL流量,服务器无法辨别任何改变。用户可以感觉到唯一不同的是,浏览器中不会标记HTTPS,所以某些用户还是能够看出不对劲。 视频演示:1,2 2017/9/9
24
会话劫持防范 防范会话劫持是一个比较大的工程。
首先应该使用交换式网络替代共享式网络,虽然像Hunt这样的工具可以在交换环境中实现会话劫持,但还是应该使用交换式网络替代共享式网络,因为这样可以防范最基本的嗅探攻击。 最重要的还是防范ARP欺骗,设置静态MAC地址等。实现中间人攻击的前提是ARP欺骗,如能阻止攻击者进行ARP欺骗,中间人攻击将难以进行。其次,监视网络流量,如发现网络中出现大量的ACK包,则有可能已被会话劫持攻击。 最根本的解决办法是采用加密通讯,使用SSH代替Telnet、使用SSL代替HTTP,或者干脆使用IPSec/VPN,这样会话劫持就无用武之地了。 如果是UDP协议,只需伪造IP地址,然后发送过去就可以了,因为UDP没有所谓的TCP三次握手,但基于UDP的应用协议有流控机制,所以也要做一些额外的工作。 在Linux系统可以参考下面的实例代码: sockfd = socket(AF_INET, SOCK_RAW, 255); setsockopt(sockfd, IPPROTO_IP, IP_HDRINCL, &on, sizeof(on)); struct ip *ip; struct tcphdr *tcp; struct pseudohdr pseudoheader; ip->ip_src.s_addr = xxx; pseudoheader.saddr.s_addr = ip->ip_src.s_addr; tcp->check = tcpchksum((u_short *)&pseudoheader,12+sizeof(struct tcphdr)); sendto(sockfd, buf, len, 0, (const sockaddr *)addr, sizeof(struct sockaddr_in)); 2017/9/9
25
Reference 深度分析TCP会话劫持 会话劫持详解 解析中间人攻击 – 会话劫持 SSLStrip使用方法 25
26
2017/9/9
Similar presentations