IP欺骗和TCP会话窃用

电子科技大学课程名称：网络协议课程名称：网络协议实践实验名称：IP欺骗和TCP会话窃用学号：201422260姓名：指导老师：李毅超日期：2014年05月10日实验报告实验目的通过本实验，讨论IP协议中的漏洞，特别是对IP欺骗和TCP会话窃用进行分析。掌握IP欺骗方法的入侵和防范，了解TCP会话窃用过程。二、实验内容本实验包括几个从合法的客户端到服务器的telnet会话，每个telnet会话都被第三台机器通过IP欺骗和TCP会话窃用进行攻击。一些会话以FIN或RST位终止，另一些会话被劫持，攻击者的数据流入侵到这些会话的数据流中。另外，攻击者还捕获了用户的密码，并使用它从服务器获取文件。三、实验原理IP欺骗是指用一个伪造的源IP地址发送分组，这一般都是通过一种称为原始IP接口的方法实现的。由操作系统构造的IP分组都会以一个正确的源IP地址作为标志，但是应用程序可以使用原始IP接口的方法构造和发送他们伪造的分组。通过构造源IP和目的IP地址以及源端口和目的端口相匹配的IP分组，攻击者可以利用IP欺骗向TCP数据流中发送数据段。如果攻击者能够正确地设置数据，接收者就会接收TCP数据流当中的伪造分组。接收者会像响应正常TCP数据流一样响应伪造的分组，但是，要真正地窃用会话还必须设置正确的序号。如果攻击者发送分组的序号太小，接收者就会简单地发送一个确认信息，说明它已经收到了这样的分组；如果攻击者发送的分组序号太大，接收者很可能会简单地发送一个数据段，告知可能会高速缓存这些非正常序列的数据，并重申它现在所希望接受的分组序号。但是，如果攻击者发送的是接收者所期望的序号的分组，就可以成功地实现“会话窃用”。四、实验配置操作及实验数据的产生1、实验配置在本实验中，我们在未连接到因特网的私有网络中进行跟踪。本实验在得到了所有用户许可和已知的情况下进行。连接在网络中的两台台式机，一台作为合法的telnet和FTP服务器，另一台作为合法的客户端。在实验中，第三台电脑连接到网络中，并对这些合法主机进行攻击，实验配置如图1所示。图1实验配置2、实验数据的产生客户端到服务器的telnet会话被第三台机器通过IP欺骗和TCP会话窃用进行攻击，将所有的攻击分组按照跟踪顺序保存在session_hijack.cap文件中，再将每个单独的连接分别保存在独立文件中：telnet_hijacked.cap,telnet2_fin.cap,telnet3_rst.cap,telnet4_hijacked.cap及attacker_ftp.cap。五、实验数据分析及分析步骤1、telnet1_hijacked.cap分析打开telnet1_hijacked.cap文件（见图2），共有98125个分组，现进行简要分析：图2合法客户端和服务器之间的连接在分组1和分组2中可以看到SYN和SYNACK标志。分组1是从IP地址为03的客户端发送到IP地址为01的服务器，分析Ethereal的帧首部可见客户端MAC地址为00:06:5b:d5:1e:e7，服务器的MAC地址为00:00：c0:29:36:e8，分组2是服务器向客户端的响应。理论上来说这样的TCP连接总共应该有98125个分组，但是在过滤器中添加条件后只有98123个分组，丢失了两个分组，通过过滤器添加条件找出这两个丢失的分组分别为223和243。第一个伪造的分组中，前8个ASCII码为0x08字符代表退格字符，后面2个ASCII为0x0a字符代表换行符。当这个分组加入TCP数据流后，服务器会认为用户键入退格符8次，然后回车符2次。第二个伪造的分组中，共37个字节的数据，主要命令如下截图，攻击者利用这种方法可以发出任何合法用户可以发出的命令。在攻击发生前，客户端与服务器已成功交互460个分组，攻击者准备地知道要使用的确认号，将其伪造的序号为233的分组461发给服务器，服务器就会发送一个确认信息给客户端，表示其准备接受序号为243的分组，然而，客户端知道它没有发送序号233-242给服务器。因此，它将发送一个长度为0，序号为233的分组463，在之后，客户端和服务器再也不能达成一致，他们都在等待对方的响应信息，这样两边一直僵持（见图），持续等待了95000个分组。图3客户端和服务器的僵持当攻击者发送第二个伪造的分组656，这个分组的序号243号正式服务器所期待的，服务器接收这个分组，然后把后续分组的确认号都设置为280.然后服务器和合法客户端又返回到双重确认的僵局中。2、TCP会话终止分析在telnet1_hijacked.cap文件中，攻击者成功地加入了实现其自身目的的“hijacked”会话，同时使合法客户端和服务器无法通信在telnet2_fin.cap和telnet3_rst.cap文件中，攻击者并没有向TCP数据流中加入任何数据，而是成功地简单终止连接。在telnet2_fin.cap文件中，攻击者发送含有FIN位的分组535。这次攻击是伪装为服务器向客户端发送伪造的分组。客户端用它自己的分组538中的FIN位作为响应。对于真正的服务器是第一次收到客户端关闭连接的分组，并以分组540中的FIN位作为响应，客户端收到这个分组后，服务器和客户端的连接已经断开，客户端会发送一个窗口位为0和RST位置位的分组。这样，就完全断开了客户端和服务器的连接。在telnet3_rst.cap文件中，攻击者向客户端发送了一个RST位置位的分组339.攻击者再次伪装为服务器，并向客户端发送伪造的分组。客户端会立刻直接关闭与服务器的连接，而不是按通常的三次握手的步骤来关闭连接（即发送FIN、FINACK）。而此时真正的服务器并不知道发生了这些，它会继续向客户端发送分组340，当这个分组到达客户端后，客户端会响应连接已经关闭的信息。图4客户端关闭与服务器的连接在telnet4_hijacked.cap文件中的连接与telnet1_hijacked.cap中的连接相似。如果使用Ethereal的“FollowTCPStream”来分析数据流的内容，你会发现.profile文件包含了在第一次攻击时加入的字符串。图5telnet4_hijacked.cap会话副本在attacker_ftp.cap文件中，攻击者使用通过网络嗅探到的用户口令来与服务器建立一个FTP连接，并获取服务器文件，在这个连接中，攻击者不需要进行IP欺骗，他可以简单地使用自己的IP地址：00。图6attacker_ftp.cap的会话副本六、实验结论通过本实验分析了攻击者利用IP地址欺骗和TCP会话窃用。系统自身的漏洞及TCP/IP协议的缺陷给计算机网络带来了许多不安全的因素。IP欺骗就是利用了不同主机系统间的信任关