第10章 IP欺骗攻击.ppt

第10章 网络攻击与入侵检测 IP欺骗攻击 IP欺骗就是伪造数据包源IP地址的攻击。 它基于两个前提： 1） TCP/IP网络在路由数据包时，不对源IP地址进行判断——可以伪造待发送数据包的源IP地址； 2）主机之间有信任关系存在——存在基于IP地址的认证，不再需要用户帐号和口令。 TCP三次握手过程 　 SYN包,C的序列号 Client 　 SYN+ACK包,S序列号,C应答号　 Server 　 ACK包,S的应答号 ? 源端口(1024高端口) 　 ? 目的端口(1024熟知 ? 源IP地址(寻址只关心 端口，表明Server上 目的IP，不认证源IP地 提供的服务) 址，可能是“假”地址) ? 目的IP地址(提供服务 假冒另一主机IP地址 的服务器的IP地址) 信任和认证 ① 基于口令的认证：如SMTP(TCP 25)和远程登录Telnet(TCP 23)，只通过帐号/口令认证用户； ② 基于IP地址的认证（即信任）：登录主机的地址受到被登录服务器信任，则从该主机登录不要口令； 如远程登录rlogin(TCP 513)，首先是基于信任关系的认证，其次才进行口令认证。 序列号猜测的重要性 ? 攻击者X冒充受攻击目标A信任的对象B，远程连接A的rlogin端口，如果能连接成功，不再需要口令就能登录A。 ? 因为A对X请求的响应包返回给B，X不可能知道其中A的序列号，要想在图中的第5步完成三次握手并连接成功，他必须“猜”到A的序列号。 序列号猜测的过程 1）X首先连接A的SMTP端口（X是A的合法的邮件用户，但不是它所信任的rlogin用户，因为邮件应用的安全级别相对不高），试探其ISN变化规律，以估算下一次连接时A的ISN值。 2）X必须马上按照图中3—5步的方法假冒B来与A建立rlogin连接。 ① X必须立刻进行欺骗攻击，否则其他主机有可能与A建立了新的连接，X所猜测的序列号就不准了。 ② 当然就这样也不一定能一次猜测成功。 攻击的难点：ISN的预测 攻击的难点：ISN的预测 TCP使用32位计数器 每一个连接选择一个ISN 不同的系统的ISN有不同的变化规律 ISN每秒增加128000，出现连接增加64000 无连接情况下每9.32小时复位一次 序列号的规律 Windows与Linux系统的序列号比较 不同网络环境下的序列号猜测 1）若X和A及B在同一局域网中，从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列号——用嗅探技术即可。 2）若X来自于外网，要想猜测到A和B所在的局域网中传送的数据包中的序列号非常困难——理论可行。 3）美国头号电脑黑客米特尼克是第一个在广域网成功实现IP欺骗攻击的人。但当时的序列号相对现在非常容易猜测。 关于被冒充对象B 1）X首先必须对B进行DoS攻击，否则在图中第4步中B收到A发送来的它未请求过的请求应答包，将向A返回RST报文而终止连接，黑客不能冒充连接成功。 2）X发送到A的rlogin端口的伪造数据包的源IP地址是“假冒”了B的IP地址。 3）为何X不能直接将自己的IP地址修改为B的IP地址来连接到A的rlogin端口？ ①IP地址产生冲突； ②外网X不能这样修改。 IP欺骗攻击对策（1） ? 现在大多数OS使用较强壮的随机序列号生成器，要准确猜测TCP连接的ISN几乎不可能。 ? 在边界路由器上进行源地址过滤，也就是说，对进入本网络的IP包，要检查其源IP地址，禁止外来的却使用本地IP的数据包进入，这也是大多数路由器的缺省配置。 IP欺骗攻击对策（2） ? 禁止r-类型的服务，用SSH(专为远程登录会话和其他网络服务提供安全性的协议)代替rlogin这样的不安全的网络服务。 ? 在通信时要求加密传输和验证。 ? Bellovin提出一种弥补TCP序列号随机性不足的方法，就是分割序列号空间，每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。 IP欺骗攻击技术 321765071 332010905 338617656 339459049 334021331 2887495915 2887500502 2887507109 2887512311 2887517117 1 2 3 4 5 Linux系统 Windows系统 连接序号 猜测Windows序列号比Linux序列号容