《网络窃密、监听和防泄密技术》第3章“中间欺骗”式网络基础设施攻击

第3章“中间欺骗”式网络基础设施攻击3.1攻击网络接入设施3.2攻击路由协议3.3攻击DNS服务器3.4攻击SSL图3-1基于身份仿冒的“中间人攻击”

3.1攻击网络接入设施

在描述大型网络时，我们通常采用Cisco企业复合网络模型。该模型将大型企业网络划分成接入层、分布层、核心层、数据中心、边缘模块等部分，描述清晰，易于理解。如图3-2所示，网络基础设施通常包括位于接入层的链路接入设备、位于分布层的交换设备、位于核心层的路由设备及位于数据中心的基础服务器等。

关键的路由和DNS设备一般掌握在高级网络人才较为集中的网络管理部门手中，并部署了较高级别的防护措施，因此攻击破坏的难度相对较大。近两年，我们最常见的针对基础设施的攻击主要集中在链路层，如针对交换设备与协议、DHCP等。图3-2Cisco企业复合网络模型局部3.1.1攻击交换设备和协议

1．VLAN跳跃攻击

虚拟局域网(VLAN)是对广播域进行分段的方法，还经常用于为网络提供额外的安全，一个VLAN上的计算机无法与没有授予访问权的另一个VLAN上的用户进行对话。黑客通过VLAN跳跃攻击(VLANhopping)，即使未经授权，也可以从一个VLAN跳到另一个VLAN。图3-3VLAN跳跃攻击

VLAN跳跃攻击依靠的是动态中继协议(DTP)。如图3-3所示，如果有两个相互连接的交换机，DTP就能够对两者进行协商，确定它们是否需要成为802.1Q中继，协商过程是通过检查端口的配置状态来完成的。VLAN跳跃攻击充分利用了DTP，在VLAN跳跃攻击中，黑客可以欺骗计算机，冒充成另一个交换机发送虚假的DTP协商消息，宣布它想成为中继。真实的交换机收到这个DTP消息后，以为它应当启用802.1Q中继功能，而一旦中继功能被启用，通过所有VLAN的信息流就会被发送到黑客的计算机上。中继建立起来后，黑客可以继续探测信息流，也可以通过修改数据报中的802.1Q信息，指定把攻击流量发送给哪个VLAN。

2．VTP攻击

VLAN中继协议(VLANTrunkProtocol，VTP)是一种管理协议，它可以减少交换环境中的配置数量。交换机可以是VTP服务器、VTP客户端或者VTP透明交换机。用户每次对工作于VTP服务器模式下的交换机进行配置修改时，无论是添加、修改还是移除VLAN，VTP配置版本号都会增加1，VTP客户端看到配置版本号高于目前的版本号后，就知道与VTP服务器进行同步。

如图3-4所示，攻击者只要连接到交换机，并在自己的计算机和交换机之间建立一条中继，就可以充分利用VTP。黑客可以发送VTP消息到配置版本号高于目前版本号的VTP服务器，这会导致所有交换机都与恶意黑客的计算机进行同步，从而把所有非默认的VLAN从VLAN数据库中移除，这样黑客就可以进入其他每个用户所在的同一个VLAN上。不过，用户可能仍在不同的网络上，因此恶意黑客就需要改动其IP地址，才能进入自己想要攻击的主机所在的同一个网络上。图3-4VTP攻击

3．生成树攻击

生成树协议(STP)可以防止冗余的交换环境出现回路。如果是网络有回路，就会变得拥塞并出现广播风暴，最终使网络崩溃。如图3-5所示，使用STP的交换机都通过网桥协议数据单元(BPDU)来共享信息。交换机发送BPDU时，里面含有名为网桥ID的标号，这个网桥ID结合了可配置的优先数和交换机的基本MAC地址。交换机可以发送并接收这些BPDU，以确定哪个交换机拥有最低的网桥ID，拥有最低网桥ID的那个交换机成为根网桥(rootbridge)。根网桥的工作方式很相似。其他每个交换机根据成本来确定返回根网桥的最佳路线，而这种成本基于为带宽所分配的值。如果其他任何路线发现摆脱阻塞模式不会形成回路，则它们将被设置成阻塞模式。图3-5STP根端口选择恶意黑客利用STP的工作方式来发动破坏性攻击。如果恶意黑客把一台计算机连接到不止一个交换机上，然后发送网桥ID值较低的BPDU，就可以修改交换机与网桥的属性值，使STP重新收敛(reconverge)，从而引起回路，导致网络崩溃。

4．洪水攻击交换机MAC表

交换机的工作方式是：交换机在帧进入时记录下MAC源地址，这个MAC地址与帧进入交换机的端口相关，因此以后通往该MAC地址的信息流将只通过该端口发送。这可以提高带宽利用率，因为信息流不需要从所有端口发送，而只从需要接收的那些端口发送。MAC地址存储在内容可寻址存储器(CAM)里，专门用来存储MAC地址，以便快速查询。

在网络内的交换机动态更新其地址表的情况下，可通过洪水攻击其MAC表的方式欺骗交换机，将攻击计算机伪装成被攻击的计算机。如图3-6所示，向交换机发送伪造过的数据包，其中源MAC地址对应被攻击计算机的MAC地址，现在交换机就把该机和攻击计算机的交换端口对应起来了。在真正的网关发送一个数据包，或攻击者再次发送一个伪造数据包之前，这个错误的映射关系(网关MAC攻击者端口)将一直存在。攻击者以数万个包每秒的速度继续发送，不断地让交换机接收这个错误的映射关系。图3-6洪水攻击交换机MAC表

5．ARP欺骗

地址解析协议(AddressResolutionProtocol，ARP)欺骗是一种在会话劫持攻击中常用的手法。ARP利用第2层物理MAC地址来映射第3层逻辑IP地址，如果设备知道了IP地址，但不知道被请求主机的MAC地址，它就会发送ARP请求。ARP用来实现MAC地址和IP地址的绑定，这样两个工作站才可以通信，通信发起方的工作站以MAC广播方式发送ARP请求，拥有此IP地址的工作站给予ARP应答，送回自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功能，局域网段上的所有工作站收到主动ARP广播，会将发送者的MAC地址和其宣布的IP地址保存，覆盖以前Cache的同一IP地址和对应的MAC地址。最常见的ARP攻击方式是网关欺骗，以中间人的形式，获取另一个主机和网关之间的信息流。ARP欺骗攻击不仅会造成联网不稳定，引发用户无法上网，或者企业断网导致重大生产事故，而且利用ARP欺骗攻击可进一步实施中间人攻击，以此非法获取游戏、网银、文件服务等系统的账号和口令，对被攻击者造成利益上的重大损失。

6．MAC地址欺骗

通常，为了防止内部人员进行ARP欺骗，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败。此外，由于网卡MAC地址的唯一确定性，所以可根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

在不采用交换机端口与MAC绑定防护手段的情况下，可采取MAC地址欺骗的方法，制造重复MAC地址，将攻击方自身MAC地址伪造为目标计算机的合法MAC地址。因为以太网自身的特点，MAC地址信息都是公开的，通过扫描工具，用户可以较容易地获取并仿造其他用户的MAC地址信息，造成IP地址欺骗。MAC地址可以被盗用的直接原因是网卡驱动程序发送Ethernet报文的实现机制。Ethernet报文中的源MAC地址是驱动程序负责填写的，但驱动程序并不从网卡的EEPROM中读取MAC，而是在内存中建立一个MAC地址缓存区。网卡初始化时将EEPROM中的内容读入该缓存区。如果将该缓存区中的内容修改为用户设置的MAC地址，则以后发出去的Ethernet报文的源地址就是修改后的MAC地址了。如果两台具有相同MAC地址的主机分别发出访问请求，而这两个访问请求的响应报文对于这两台主机都是匹配的，那么这两台主机就不仅接收到自己需要的内容，而且还会接收到目的地址为另外一台同MAC主机的内容。3.1.2攻击DHCP服务器

DHCP服务器可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数，简化用户网络设置，提高管理效率。但是，如果网络中缺少如Windows域认证等必要的安全认证措施，传统DHCP协议的脆弱性可能令其成为黑客攻击的首要目标。

如图3-7所示，黑客利用类似Goobler的工具发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器预设网段的所有地址被占用，抑制正常DHCP服务器的功能，再接入冒充的DHCP服务器，发放错误的IP地址、DNS服务器信息或默认网关信息。这样，客户在试图通过该冒充的DHCP服务器指派的“冒牌DNS服务器”查询目的网站的IP地址时，将得到虚假的地址，而该IP可能受到恶意监听。同样，客户在通过该DHCP服务器指派的“冒牌网关”访问外网时，所有流量都将先经过该“冒牌网关”，之后才被重定向到真实的网关。部署于“冒牌网关”位置的监听系统将截获所有客户流量。图3-7DNS欺骗

3.2攻击路由协议

路由器或三层交换机是网络中的核心设备，如图3-8所示，承担着连接异构局域网络并高效转发信息的重要功能，是网络的“骨干”。网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP、OSPF、IS-IS和BGP等。这些路由协议在方便路由信息管理和传递的同时，也存在一些安全缺陷。如果不采取有效的身份认证手段，攻击者可以滥用路由协议中的各种权限，造成网络设备路由表紊乱、网络设备资源大量消耗，甚至导致网络设备瘫痪。下面简要介绍一些常见路由协议的原理及攻击方式。

图3-8网络中的路由器3.2.1针对RIP的攻击

路由信息协议(RIP)，是通过周期性(一般情况下为30s)的路由更新报文来维护路由表的。一台运行RIP的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表作比较，如果该路由器认为这些路由信息比自己所掌握的有效，它便把这些路由信息引入自己的路由表中。

如果不采取有效的认证手段，则攻击者可以向运行RIP协议的路由器发送人为构造的带破坏性的路由更新报文，这样就很容易把路由器的路由表搞乱，从而导致网络中断。3.2.2针对OSPF路由协议的攻击

开放最短路径优先(OSPF)，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快、平稳、杜绝环路等优点，十分适合大型计算机网络使用。如图3-9所示，OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成整个网络的链路状态数据库，针对该数据库，路由器就可以很容易地计算出路由表。

如果不采取有效的认证手段，攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播(LSA，组成链路状态数据库的数据单元)，就会引导路由器形成错误的网络拓扑结构，从而使整个网络的路由表紊乱，导致整个网络瘫痪。图3-9OSPF协议3.2.3针对IS-IS路由协议的攻击

IS-IS路由协议，即中间系统到中间系统路由协议，是ISO提出来的针对ISOCLNS网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与OSPF类似。如图3-10所示，IS-IS路由协议经过扩展，可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻接关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻接关系建立比OSPF简单，而且也省略了OSPF的一些特性，使该协议简单明了，伸缩性更强。图3-10IS-IS路由协议3.2.4针对BGP的攻击

通过边界网关协议(BGP)，信息可以在网络中不同的自治域之间进行交互。如图3-11所示，为了实现这个目的，BGP维护着一个可用IP网络的路由表，并且能够为互联网通信发现最有效的路由。

BGP攻击采用中间人攻击方法，迅速修改数据包中的存活时间(TTL)信息，从而欺骗路由器将信息重定向到攻击者的网络中，劫持和重定向用户通信。图3-11BGP协议

3.3攻击DNS服务器

国内因域名服务器(DNS)解析故障造成的网络无法访问事件已经发生多起：无论是2009年五一九断网事件，还是2008年互联网名称与地址分配机构(ICANN)的官方网站被黑客攻击，或者我国台湾大地震导致的海底电缆断裂都曾造成网站无法访问，这些均与DNS解析有关。

DNS遭遇的攻击，常见的有两种情形。一种是DNS信息篡改，黑客入侵了域名注册商，诸如Icann等，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转到修改后的指定IP；另一种是黑客对大网站进行DDoS攻击无果后，转攻域名根服务器，将虚拟DNS攻破，导致域名不能解析而无法访问。

目前互联网域名的DNS管理服务器安全性未受到应有的重视，绝大多数域名都面临DNS记录遭到篡改的风险，存在很多安全隐患。2009和2010年，国内某著名的搜索引擎先后两次因DNS问题而导致无法通过域名访问或干脆被引导到其他网站，造成了极恶劣的国际影响。此前，微博网站Twitter被攻击，也是因为这一原因。3.3.1DNS基本概念

ICANN主要负责管理和协调域名系统(DomainNameSystem，DNS)。它行使监管和分配全球IP地址及域名的权利，来确保每一个IP地址都是独一无二的，同时所有的互联网用户都能够访问到有效的地址，且每个域名都能映射到正确的IP地址上。IANA(InternetAssignedNumbersAuthority)，是Internet地址分配机构，负责对IP地址分配规划以及对TCP/UDP公共服务的端口进行定义。域名系统(DNS)采用分布式数据库架构，每一台本地DNS服务器负责控制整个数据库的其中一部分内容，通过“客户端-服务器(C/S)”模式，分布在整个网络上的DNS服务器都能彼此相互访问。加之广泛采用了数据复制技术和缓存技术，整个数据库架构在保证可靠的同时，又拥有良好的性能。网络上的每一台主机都有一个域名，域名给出有关主机的信息，该信息中包含IP地址、MAIL路由信息等等，主机也可以有一个或多个域名别名。DNS定义了两类域名服务器：PrimaryMaster和SecondaryMaster。PM域名服务器从它所运行的主机上的文件获得它所负责的区的数据，SM域名服务器则是从其他的具有该区授权的域名服务器上获得它所负责的区的数据，SM域名服务器会定期查询PM域名服务器以保证区数据为最新版本。域名服务器在处理递归查询时，可能要进行多次查询才能获取信息，在这一过程中，域名服务器可以获得很多有关域名空间的信息，域名服务器将这些信息都缓存起来以加速以后的查询。除了加速查询外，缓存还使用户不必再次查询根域名服务器，大大减轻根域名服务器的负载。生存期(TTL)为所容许的域名服务器对数据缓存的时间长度，一旦生存期到了，域名服务器必须丢弃缓存数据并从授权的域名服务器中重新获取新的数据。这样可以确保域数据在整个网络上的一致性。3.3.2DNS劫持的原理和实现方法

DNS劫持，又称DNS欺骗，是指通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转到修改后的指定IP。其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。利用DNS漏洞，黑客不但可以攻击企业用户的内部计算机网络，还可以窃取用户电子邮件和其他机密商业数据。网络钓鱼攻击者还可以利用该漏洞，把互联网用户引导至假冒银行或信用卡企业页面，乘机骗取网民的银行账号、密码及其他个人信息。利用DNS攻击，不管用户输入何种网址，黑客都可以将他们转至其所设定的网页中。对于域名系统服务器的调查显示，在所有170000余台域名服务器中，有30000多台服务器存在已知的漏洞。这些漏洞可以影响超过200000个域名。信任关系会将“毒药”通过每一个不安全的域名服务器进行传播。至少还有50%以上的互联网域名服务器可以被方便地转发欺骗攻击。50%以上的互联网域名服务器支持递归查询，包括支持来自任意地址的递归查询，可以导致攻击者从域名系统服务器发出大量的DoS拒绝服务攻击，也容易受到缓存中毒攻击。

DNS劫持主要有三种方法：

(1) DNS高速缓冲存储器毒化(DNSCachePoisoning)。

DNS服务器不可能将所有现存的域名或IP地址存储在本身的存储空间，每个DNS服务器都有一个高速缓冲存储器(Cache)，它可使服务器把DNS记录存储一段时间。事实上，一台DNS服务器只会记录本身所属域中授权的主机，如果它想知道在自身域以外的其他主机的信息，就必须向信息持有者(另一台DNS服务器)发送请求，同时，为了不每次都发送请求，这台DNS服务器会将另一台DNS服务器返回的信息也记录下来。在DNS缓存毒化攻击中，攻击者有自己的域()和一个已被攻陷的DNS服务器()，攻击者已经自定义了自己的DNS服务器的记录，如=2。

①攻击者向目标DNS服务器发送请求查询；

②目标DNS服务器不知道这台主机的IP地址，因为它不属于自身域，所以目标DNS服务器就会问此主机所属域的DNS服务器；③这时被攻击的DNS服务器就会回复目标DNS服务器，同时也会提供它所有的记录(包括连接的记录)，这个过程叫做zonetransfer，在此过程中，目标DNS服务器缓存遭到毒化；

④此时如果查询目标DNS服务器关于的IP地址，它会回复2，这正是攻击的目标服务器的结果。

(2) DNSID欺骗(DNSIDSpoofing)。

在DNS协议解决名字到IP地址的转化过程中，查询端X向它所在域的DNS服务器询问Y的IP地址。其间，主机X分配一个随机数，这个数将会出现在从DNS服务器返回的信息中。当X收到回复后，X会对这两个数字进行比较，如果一致，则收到的信息被视为有效。

其实，该模型并非十分安全。问题在于交易ID范围是限制在65535种可能性以内的，这就使得猜测攻击变得可能。如果攻击者知道正在发出DNS请求，那么他可以尝试用随机交易ID建立一个针对请求的响应。在这种情况下，获取正确交易ID的概率是1/65535。此外，任何人都可以组织一次攻击来获得这个ID。如图3-12所示，如果查询过程没有加密，就可以利用嗅探器捕获请求ID，然后根据这个ID伪造一个回复信息，信息里含有攻击者所选的IP地址。然后，X会把攻击者提供的IP地址当作Y的。图3-12基于网络嗅探的DNSID欺骗在上述例子中，攻击者用嗅探器拦获ID，回复构造过的包给受害主机。与此同时，数据包会传送至DNS服务器，而DNS服务器也会回复(除非攻击者拦截并阻止对网关的请求或实施ARP欺骗拦截DNS服务器的正常回复)。这就意味着攻击者必须在真DNS服务器前回复，即为了攻击成功，攻击者最好和被攻击者处于同一个LAN，只有这样他才可以获得快速的ping，并且捕获对方的数据包。

(3)利用一般操作系统对DNS修改而不加验证的漏洞，修改用户系统注册表中的DNS设置，使其指向恶意DNS。

3.4攻击SSL

3.4.1骗取/伪造数字证书攻击数字证书，通常与TLS/SSL配合使用，是带有数字签名的用于描述身份的一小块数据，比如一个组织的名称和网址。签名是一种基于证书内容和签名者密钥的复杂的数学运算。如果证书中的值在传输中改变，数字签名将不匹配，于是浏览器将显示错误信息。在现实生活中，Web浏览器是拥有预安装的，比如网络基础设施公司VeriSign(受信根证书颁发机构)的证书。用户的Web浏览器会自动信任被预安装的根证书颁发机构的数字证书，但是，即使是受信的根证书颁发机构也可能出现问题。2001年，VeriSign错误地“给一个谎称是微软雇员的人发出代码签名数字证书”(MS01-017)。根据微软安全公告，该证书拥有使用属于微软的密钥来签署可执行内容的能力，这无疑对那些想要说服用户同意代码执行的恶意用户非常有利。该证书可用于签署程序、ActiveX控件、微软Office宏和其他可执行内容。数字签名是可以伪造的。2009年，在柏林的Chaos通信大会上，一组研究人员揭示了可以用MD5加密算法来创造一种“无赖”证书的缺陷，而该证书拥有有效根证书颁发机构的签名。此证书从未被受信根证书颁发机构认证过，但由于它拥有一个有效的签名，所以它将获得所有常见浏览器的信任。3.4.2SSL代理攻击

某些企业和机构常常使用SSL代理来破解TLS/SSL连接，监视雇员的数据流量。SSL代理可以截取私人电脑和外面世界的加密数据流。如图3-13所示，当用户访问一个“安全”的网站时，SSL代理将提取真正的Web服务器证书，并在代理服务器和网络服务器之间建立一个合法的TLS/SSL连接。然后，代理工具凭空制作一个虚假的证书，这个证书类似于网络服务器的证书。它给用户提供这个假数字证书，并在用户的浏览器和网络代理之间建立另一个TLS/SSL会话。用户可能会收到弹出的错误信息，因为假数字证书不受信任。当然，如果企业和机构为用户网络浏览器引入的代理证书为受信根证书，那么用户完全不会看到错误的消息。最终的结果是，用户的计算机和代理之间将出现一个“安全的”TLS/SSL会话，以及另一个在代理和网络服务器之间的“安全的”TLS/SSL会话。作为代理，个人信息可以被作为纯文本检查，这样公司就能够自动搜索流量中特定关键字或屏蔽其中的恶意代码。图3-13基于中间人攻击拦截SSL按照相同的原理，攻击者可以使用和公司一样的技术拦截SSL连接。因为有了企业TLS/SSL拦截工具，攻击者可以利用这些工具自动连接到真正的网络服务器、捕获证书信息，并用同样的信息凭空生成一个新的证书。随后给用户提供新证书，并建立一个SSL连接。此后，用户的计算机和黑客之间便建立起了一个“安全的”SSL会话，以及另一个在黑客和网络服务器之间的“安全的”SSL会话。其他类似的工具完全移除了客户的SSL连接，并使用社会工程学手段来欺骗客户，使客户误以为连接是加密的。3.4.3SSLstrip攻击