Algorithm 版 (精华区)

发信人: Lerry (戒网·学习), 信区: Algorithm
标  题: 第四章——IP欺骗
发信站: 哈工大紫丁香 (2001年12月07日13:20:44 星期五), 站内信件

IP欺骗
　　即使是很好的实现了TCP/IP协议，由于它本身有着一些不安全的地方，从而可以对
TCP/IP网络进行攻击。这些攻击包括序列号欺骗，路由攻击，源地址欺骗和授权欺骗。
本文除了介绍IP欺骗攻击方法外，还介绍怎样防止这个攻击手段。
　　上述攻击是建立在攻击者的计算机（包括路由）是连在INTERNET上的。这里的攻击
方法是针对TCP/IP本身的缺陷的，而不是某一具体的实现。
实际上，IP 欺骗不是进攻的结果，而是进攻的手段。进攻实际上是信任关系的破坏。
第一节　IP欺骗原理
信任关系
在Unix 领域中，信任关系能够很容易得到。假如在主机A和B上各有一个帐户，在使用当
中会发现，在主机A上使用时需要输入在A上的相应帐户，在主机B上使用时必须输入在B
上的帐户，主机A和B把你当作两个互不相关的用户，显然有些不便。为了减少这种不便
，可以在主机A和主机B中建立起两个帐户的相互信任关系。在主机A和主机B上你的home
目录中创建.rhosts 文件。从主机A上，在你的home目录中输入'echo " B username " 
＞ ～/.rhosts' ；从主机B上，在你的home目录中输入'echo " A username " ＞～/.r
hosts' 。至此，你能毫无阻碍地使用任何以r＊开头的远程调用命令,如：rlogin，rca
ll，rsh等，而无口令验证的烦恼。这些命令将允许以地址为基础的验证，或者允许或者
拒绝以IP地址为基础的存取服务。
这里的信任关系是基于IP地址的。
Rlogin
　　Rlogin 是一个简单的客户/服务器程序，它利用TCP传输。Rlogin 允许用户从一台
主机登录到另一台主机上，并且，如果目标主机信任它，Rlogin 将允许在不应答口令的
情况下使用目标主机上的资源。安全验证完全是基于源主机的IP 地址。因此，根据以上
所举的例子，我们能利用Rlogin 来从B远程登录到A，而且不会被提示输入口令。
TCP 序列号预测
IP只是发送数据包，并且保证它的完整性。如果不能收到完整的IP数据包，IP会向源地
址发送一个ICMP 错误信息，希望重新处理。然而这个包也可能丢失。由于IP是非面向连
接的，所以不保持任何连接状态的信息。每个IP数据包被松散地发送出去，而不关心前
一个和后一个数据包的情况。由此看出，可以对IP堆栈进行修改，在源地址和目的地址
中放入任意满足要求的IP地址，也就是说，提供虚假的IP地址。
TCP提供可靠传输。可靠性是由数据包中的多位控制字来提供的，其中最重要的是数据序
列和数据确认，分别用SYN和ACK来表示。TCP 向每一个数据字节分配一个序列号，并且
可以向已成功接收的、源地址所发送的数据包表示确认（目的地址ACK 所确认的数据包
序列是源地址的数据包序列，而不是自己发送的数据包序列）。ACK在确认的同时，还携
带了下一个期望获得的数据序列号。显然，TCP提供的这种可靠性相对于IP来说更难于愚
弄。
序列编号、确认和其它标志信息
由于TCP是基于可靠性的，它能够提供处理数据包丢失，重复或是顺序紊乱等不良情况的
机制。实际上，通过向所传送出的所有字节分配序列编号，并且期待接收端对发送端所
发出的数据提供收讫确认，TCP 就能保证可靠的传送。接收端利用序列号确保数据的先
后顺序，除去重复的数据包。TCP 序列编号可以看作是32位的计数器。它们从0至232－
1 排列。每一个TCP连接（由一定的标示位来表示）交换的数据都是顺序编号的。在TCP
数据包中定义序列号（SYN）的标示位位于数据段的前端。确认位（ACK）对所接收的数
据进行确认，并且指出下一个期待接收的数据序列号。
TCP通过滑动窗口的概念来进行流量控制。设想在发送端发送数据的速度很快而接收端接
收速度却很慢的情况下，为了保证数据不丢失，显然需要进行流量控制，协调好通信双
方的工作节奏。所谓滑动窗口，可以理解成接收端所能提供的缓冲区大小。TCP利用一个
滑动的窗口来告诉发送端对它所发送的数据能提供多大的缓冲区。由于窗口由16位BIT所
定义，所以接收端TCP 能最大提供65535个字节的缓冲。由此，可以利用窗口大小和第一
个数据的序列号计算出最大可接收的数据序列号。
其它TCP标示位有RST（连接复位，Reset the connection）、PSH（压入功能，Push fu
nction）和FIN （发送者无数据，No more data from sender）。如果RST 被接收，TC
P连接将立即断开。RST 通常在接收端接收到一个与当前连接不相关的数据包时被发送。
有些时候，TCP模块需要立即传送数据而不能等整段都充满时再传。一个高层的进程将会
触发在TCP头部的PSH标示，并且告诉TCP模块立即将所有排列好的数据发给数据接收端。
FIN 表示一个应用连接结束。当接收端接收到FIN时，确认它，认为将接收不到任何数据
了。
TCP序列号预测最早是由Morris对这一安全漏洞进行阐述的。他使用TCP序列号预测，即
使是没有从服务器得到任何响应， 来产生一个TCP包序列。这使得他能欺骗在本地网络
上的主机。
　　通常TCP连接建立一个包括3次握手的序列。客户选择和传输一个初始的序列号（SE
Q标志）ISN C，并设置标志位SYN=１，告诉服务器它需要建立连接。服务器确认这个传
输，并发送它本身的序列号ISN S，并设置标志位ACK，同时告知下一个期待获得的数据
序列号是ISN=1。客户再确认它。在这三次确认后，开始传输数据。整个过程如下所示：

　　C*S:SYN(ISN C ) S*C:SYN(ISN S ) ,ACK(ISN C ) C*S:ACK(ISN S ) C*S:数据 或
S*C:数据
也就是说对一个会话，C必须得到ISN S确认。ISN S可能是一个随机数。
了解序数编号如何选择初始序列号和如何根据时间变化是很重要的。似乎应该有这种情
况，当主机启动后序列编号初始化为1，但实际上并非如此。初始序列号是由tcp_init函
数确定的。ISN每秒增加128000，如果有连接出现，每次连接将把计数器的数值增加640
00。很显然，这使得用于表示ISN的32位计数器在没有连接的情况下每9.32 小时复位一
次。之所以这样，是因为这样有利于最大限度地减少旧有连接的信息干扰当前连接的机
会。这里运用了2MSL 等待时间的概念（不在本文讨论的范围之内）。如果初始序列号是
随意选择的，那么不能保证现有序列号是不同于先前的。假设有这样一种情况，在一个
路由回路中的数据包最终跳出了循环，回到了“旧有”的连接（此时其实是不同于前者
的现有连接），显然会发生对现有连接的干扰。
假设一个入侵者X有一种方法，能预测ISN S。在这种情况下，他可能将下列序号送给主
机T来模拟客户的真正的ISN S：
　　X*S:SYN(ISN X ) ,SRC = T S*T:SYN(ISN S ) ,ACK(ISN X ) X*S:ACK(ISN S ) ,S
RC =T X*S:ACK(ISN S ) ,SRC = T,无用数据
尽管消息S*T并不到X，但是X能知道它的内容，因此能发送数据。如果X要对一个连接实
施攻击，这个连接允许执行命令，那么另外的命令也能执行。
　　那么怎样产生随机的ISN？在Berkeley系统，最初的序列号变量由一个常数每秒加一
产生，等到这个常数一半时，就开始一次连接。这样，如果开始了一个合法连接，并观
察到一个ISN S在用，便可以计算，有很高可信度，ISN S *用在下一个连接企图。
Morris 指出，回复消息
S*T:SYN(ISN S ) ,ACK(ISN X )
事实上并不消失，真正主机将收到它，并试图重新连接。这并不是一个严重的障碍。Mo
rris发现，通过模仿一个在T上的端口，并向那个端口请求一个连接，他就能产生序列溢
出，从而让它看上去S*T消息丢失了。另外一个方法，可以等待知道T关机或重新启动。

下面详细的介绍一下。
IP欺骗
IP欺骗由若干步骤组成，这里先简要地描述一下，随后再做详尽地解释。先做以下假定
：首先，目标主机已经选定。其次，信任模式已被发现，并找到了一个被目标主机信任
的主机。黑客为了进行IP欺骗，进行以下工作：使得被信任的主机丧失工作能力，同时
采样目标主机发出的TCP 序列号，猜测出它的数据序列号。然后，伪装成被信任的主机
，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单
的命令放置一个系统后门，以进行非授权操作。
使被信任主机丧失工作能力
一旦发现被信任的主机，为了伪装成它，往往使其丧失工作能力。由于攻击者将要代替
真正的被信任主机，他必须确保真正被信任的主机不能接收到任何有效的网络数据，否
则将会被揭穿。有许多方法可以做到这些。这里介绍“TCP SYN 淹没”。
前面已经谈到，建立TCP连接的第一步就是客户端向服务器发送SYN请求。 通常，服务器
将向客户端发送SYN/ACK 信号。这里客户端是由IP地址确定的。客户端随后向服务器发
送ACK，然后数据传输就可以进行了。然而，TCP处理模块有一个处理并行SYN请求的最上
限，它可以看作是存放多条连接的队列长度。其中，连接数目包括了那些三步握手法没
有最终完成的连接，也包括了那些已成功完成握手，但还没有被应用程序所调用的连接
。如果达到队列的最上限，TCP将拒绝所有连接请求，直至处理了部分连接链路。因此，
这里是有机可乘的。
黑客往往向被进攻目标的TCP端口发送大量SYN请求，这些请求的源地址是使用一个合法
的但是虚假的IP地址（可能使用该合法IP地址的主机没有开机）。而受攻击的主机往往
是会向该IP地址发送响应的，但可惜是杳无音信。与此同时IP包会通知受攻击主机的TC
P：该主机不可到达，但不幸的是TCP会认为是一种暂时错误，并继续尝试连接（比如继
续对该IP地址进行路由，发出SYN/ACK数据包等等），直至确信无法连接。当然，这时已
流逝了大量的宝贵时间。值得注意的是，黑客们是不会使用那些正在工作的IP地址的，
因为这样一来，真正IP持有者会收到SYN/ACK响应，而随之发送RST给受攻击主机，从而
断开连接。前面所描述的过程可以表示为如下模式。

--
　　不在乎天长地久，就怕你从来没有！

※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 天外飞仙]