网络安全第3章网络安全威胁.ppt

3.2 针对TCP的欺骗 TCP初始序号预测 TCP欺骗 TCP会话劫持 TCP初始序号预测（1） TCP协议采用确认重传机制保证数据流的可靠性，确认是以TCP的序号字段为基础的。TCP在使用三次握手机制建立连接时的初始序号有一定的随机性，但是依据其实现机制不同，还是有一些方法可以对TCP初始序号进行预测。 * TCP初始序号预测（2） 有3种常用的方法来产生初始序列号： （1） 64K规则：这是一种最简单的机制，目前仍在一些主机上使用。每秒用一常量（12800）增加初始序列号，如果有某一个连接启动，则用另一个常量（64000）增加序列号计数器。 （2）与时间相关的产生规则：这是一种很流行的简单机制，允许序列号产生器产生与时间相关的值。这个产生器在计算机自举时产生初始值，依照每台计算机各自的时钟增加。由于各计算机上的时钟并不完全相等，增大了序列号的随机性。 * TCP初始序号预测（3） （3）伪随机数产生规则：较新的操作系统使用伪随机数产生器产生初始序列号。 随机性满足以下两点： a 均匀分布：数列中每个数出现的频率应相等或近似相等。 b 独立性：数列中任何一数不能由其他数推出。 由算法产生，满足随机性的特征，称为伪随机数。 TCP初始序号预测（4） 对于第一、第二种方式产生的初始序号，攻击者在一定程度上是可以预测的。 首先，攻击者发送一个SYN包，目标主机响应后攻击者可以知道目标主机的TCP/IP协议栈当前使用的初始序列号。 然后，攻击者可以估计数据包的往返时间，根据相应的初始序号产生方法较精确的估算出初始序号的一个范围。有了这个预测出的初始序号范围，攻击者可以对目标主机进行TCP欺骗的盲攻击 * TCP初始序号预测（5） 能够预测TCP初始序号的原因是其产生与时间相关且变化频率不够快，从而导致随机性不够。预防此类攻击，只需使用第三种初始序号产生方法，一般伪随机数发生器产生的序号是无法预测的。 * TCP欺骗（1） 有两种方法实现TCP欺骗攻击： 非盲攻击：攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器（嗅探器）捕获TCP报文段，从而获得需要的序列号。 * TCP欺骗（2） 以下是其攻击步骤： 步骤一，攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，也可使用SYN flooding等攻击手段使其处于拒绝服务状态。 步骤二，攻击者X伪造数据包：B -> A : SYN(ISN C)，源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP的SYN包请求建立连接。 * TCP欺骗（3） 步骤三，目标主机回应数据包：A -> B : SYN(ISN S) , ACK(ISN C+1)，初始序列号为S，确认序号为C。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探器捕获TCP报文段，得到初始序列号S。 步骤四，攻击者X伪造数据包：B ->A : ACK(ISN S+1)，完成三次握手建立TCP连接。 步骤五，攻击者X一直使用B的IP地址与A进行通信。 * TCP欺骗（4） * 盲攻击：由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探器捕获TCP报文段。 其攻击步骤与非盲攻击几乎相同，只不过在步骤三无法使用嗅探器，可以使用TCP初始序列号预测技术得到初始序列号。 在步骤五，攻击者X可以发送第一个数据包，但收不到A的响应包，较难实现交互。 TCP欺骗（5） 从攻击者的角度来考虑，盲攻击较为困难，因为目的主机的响应都被发送到不可达的被欺骗主机，攻击者不能直接确定攻击的成败。然而，攻击者可使用前述的路由欺骗技术把盲攻击转化为非盲攻击。 对TCP欺骗攻击的防范策略： 使用伪随机数发生器产生TCP初始序号； 路由器拒绝来自外网而源IP是内网的数据包； TCP段加密。 * TCP会话劫持（1） 这种攻击建立在IP欺骗和TCP序列号攻击的基础上，专门用来攻击基于TCP的应用，例如Telnet、rlogin、FTP等。攻击者只需要访问在被欺骗主机和目的主机之间发送的数据报，因为这样可获得正确的序列号。一旦攻击者获得了这个序列号，他就可以发送TCP报文段并有效地接管连接。被劫持主机发送的数据报文却由于序列号不正确而被忽略，并认为报文中途丢失并重新发送，如图所示 ： * TCP会话劫持（2） * TCP会话劫持（3） 上图中A、B、C分别表示处于同一网络上的被劫持主机、目标主机和攻击主机；a表示三方握手开始；b表示三方握手结束；c表示认证和识别数据。 攻击者使用嗅探器捕获IP数据包，从而确定TCP连接的状态和序列号，等到识别和认证数据发送完毕，攻击主机开始劫持会话。 TCP劫持经常用于接管Telnet会话，Teln