第五章TCPIP体系协议安全-3

TCP的可靠性通过校验和、定时器、数据序号、应答号来实现数据的可靠传输•校验和确保数据包在传输中的完整性•定时器确保数据包丢失时重发•给每个发送的字节分配一个序号，接收端接收到数据后发送应答为每次发送分配一个序号，用来保证数据的顺序，剔除重复的数据•一个TCP连接包含两个流（分别代表两个方向的数据）•建立连接时流的发送方选择一个初始序号ISN(initialsequencenumber)•ISN必须随机选取才安全（不同OS不一样）会话劫持-SessionHijacking会话-就是两台主机之间的一次通信。

在现实生活中的会话，例如银行的一笔交易如果营业员检查了顾客的帐户和密码无误，算好钱………抬起头来，发现不再是刚才的顾客他会把钱交给外面的顾客吗？会话劫持-SessionHijacking劫持是积极主动地使一个在线的用户下线，或者冒充这个用户发送消息，以便达到自己的目的。被动劫持监听网络流量，发现密码或者其他敏感信息主动劫持找到当前会话并接管过来-迫使一方下线-由劫持者取而代之攻击者接管了一个合法会话-可以做更多危害性更大的事情会话劫持-SessionHijacking被劫持者A服务器B1A远程登录，建立会话，完成认证过程攻击者H2监听流量3劫持会话4迫使A下线发现目标系统-发现会话-猜测序号(SEQ)使其中一个掉线-劫持会话会话劫持-SessionHijackingTCP协议三次握手建立TCP连接（一个TCP会话）终止一个会话，正常情况需要4条消息如何标识一个会话状态：源IP:端口+SN<->目标IP:端口+SN从TCP会话状态入手要了解每一个方向上的SN（数据序列号）两个方向上的序列号是相互独立的除了第一个SYN包以外，都有一个ack标志(即ack标准位置1)，并给出了期待对方发送数据的序列号(acknumber)猜测序列号是成功劫持TCP会话的关键窗口大小：接收端控制发送端发送速率告诉对方自己的接收能力自己发送的数据第一个字节的编号希望对方下一个报文第一个字节的编号Ack标志位TCP的序列号C--->S

SEQ=XACK=Y数据大小为:60S--->C

SEQ=YACK=?包大小为:50C--->S

SEQ=?ACK=?

ACK包(通常ACK是捎带的)有两个序列号SEG_SEQ是当前包中数据第一个字节的序号SEG_ACK是期望收到对方数据包中第一个字节的序号客户(CLT)<-->服务器(SVR)SVR_SEQ：服务器将要发送的下一个字节的序号SVR_ACK：服务器将要接收的下一个字节的序号（已经收到的最后一个字节的序号加1）SVR_WIND：服务器的接收窗口CLT_SEQ：客户将要发送的下一个字节的序号CLT_ACK：客户将要接收的下一个字节的序号（已经收到的最后一个字节的序号加1）CLT_WIND：客户的接收窗口各个值之间的关系关系CLT_ACK<=SVR_SEQ<=CLT_ACK+CLT_WINDSVR_ACK<=CLT_SEQ<=SVR_ACK+SVR_WIND只有满足这样条件的包，对方才能接收否则，抛弃该数据包，并且送回一个ACK包（含有期望的序列号）同步状态SVR_SEQ＝CLT_ACKCLT_SEQ=SVR_ACK不同步状态SVR_SEQ<>CLT_ACKCLT_SEQ<>SVR_ACK不同步状态如果TCP进入不同步状态客户发送一个包SEG_SEQ＝CLT_SEQSEG_ACK＝CLT_ACK这个包不会被接收，因为CLT_SEQ<>SVR_ACK相反，如果第三方（攻击者）发送一个包SEG_SEQ＝SVR_ACKSEG_ACK＝SVR_SEQ这个包可以被服务器接收如果攻击者能够伪造两边的包的话，还可以恢复客户和服务器之间的会话，使得回到同步状态TCPACKStorm当一个主机接收到一个不期望的数据包时，它会用自己的序列号发送ACK，而这个包本身也是不可被接受的。于是，两边不停地发送ACK包，形成ACK包的循环，称为ACK风暴(ACKStorm)中断一个连接攻击者发送一个RST包给B，并且假冒A的IP地址观察A和B之间的数据往来，算出A和B的序列号，在适当的时机插入一个RST包，只要在插入点上，序列号正确，则RST包就会被接受，从而达到目的攻击者发送一个FIN包给B，并且假冒A的IP地址同样，在适当的时机给B发送一个FIN包AB攻击者会话劫持过程A向B发送一个数据包

SEQ(hex):XACK(hex):Y

FLAGS:-AP---Window:ZZZZ，包大小为:60

B回应A一个数据包

SEQ(hex):YACK(hex):X+60

FLAGS:-AP---Window:ZZZZ，包大小为:50AB攻击者会话劫持过程A向B回应一个数据包

SEQ(hex):X+60ACK(hex):Y+50

FLAGS:-AP---Window:ZZZZ，包大小为:40

B向A回应一个数据包

SEQ(hex):Y+50ACK(hex):X+100

FLAGS:-AP---Window:ZZZZ，包大小为:30AB攻击者会话劫持过程攻击者C冒充主机A给主机B发送一个数据包

SEQ(hex):X+100ACK(hex):Y+80

FLAGS:-AP---Window:ZZZZ，包大小为:20

B向A回应一个数据包

SEQ(hex):Y+80ACK(hex):X+120

FLAGS:-AP---Window:ZZZZ，包大小为:10AB攻击者会话劫持过程主机B执行了攻击者C冒充主机A发送过来的命令，并且返回给主机A一个数据包；但是，主机A并不能识别主机B发送过来的数据包，所以主机A会以期望的序列号返回给主机B一个数据包，随即形成ACK风暴。如果成功的解决了ACK风暴（例如ARP欺骗），就可以成功进行会话劫持了。

A攻击者B会话劫持应用HTTP文件下载HTTP协议是用于从WWW服务器传输超文本到本地浏览器的传送协议。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求。服务器以一个状态行作为响应。典型的HTTP文件下载过程如下：客户机同服务器建立SOCKET连接，指定服务器的机器名称、资源名称和端口号，端口号缺省值是80；客户机向服务器发出下载文件的GET请求包：请求的文件名，文件名，文件请求的位置等；服务器对客户机的请求作出响应，返回请求响应包：文件大小、文件类型、文件开始的位置等；文件下载：使用TCP协议传输文件；关闭连接：客户和服务器双方关闭套接字来结束TCP/IP对话，释放占用的资源。由于HTTP文件下载缺乏必要的认证机制，可以通过截获HTTPGET请求包来伪造响应包的信息，接管下载会话，以达到会话劫持的目的。ARP欺骗，转发主机D和网关G之间的数据包；监听主机D发送给服务器S的GET文件下载请求包；返回根据客户机的GET包参数所伪造的HTTP下载响应数据包，劫持HTTP会话；向服务器S发送RST包，断开主机D与服务器S的连接；冒充服务器S向主机D发送伪造的替换文件；恢复正常的主机D与网关G之间的链路状态。伪造HTTP连接冒充WWW服务器S与客户机D之间进行数据包传输。发送替换文件：主机D接收到由主机A伪造的HTTP响应报文后，会将确认包发回给主机A。主机A接收到此确认报文后，说明HTTP响应报文发送成功。进而根据