IP欺騙攻擊法

IP欺騙攻擊法

建立信任關係

IP欺騙是利用了主機之間的正常信任關係來發動的，所以在介紹IP欺騙攻擊之前，先說明一下什麼是信任關係，信任關係是如何建立的。

在UNIX主機中，存在著一種特殊的信任關係。假設有兩台主機hosta和hostb，上面各有一個帳戶Tomy，在使用中會發現，在hosta上使時要輸入在hosta上的相應帳戶Tomy，在hostb上使用時必須輸入用hostb的帳戶Tomy，主機hosta和hostb把Tomy當做兩個互不相關的用戶，這顯然有些不便。為了減少這種不便，可以在主機hosta和hostb中建立起兩個帳戶的相互信任關係。

在hosta和hostb上Tomy的home目錄中創建.rhosts檔案。從主機hosta上，在你的home目錄中用命令echo “hostb Tomy”>~/.hosts實現hostaamp;hostb的信任關係，這時，你從主機hostb上，你就能毫無阻礙的使用任何以r開頭的遠程調用命令，如：rlogin、rsh、rcp等，而無需輸入口令驗證就可以直接登錄到hosta上。這些命令將充許以地址為基礎的驗證，允許或者拒絕以IP位址為基礎的存取服務。這裡的信任關係是基於IP的地址的。

當/etc/hosts.equiv中出現一個 “+”或者$HOME/.rhosts中出現 “++”時，表明任意地址的主機可以無須口令驗證而直接使用r命令登入此主機，這是十分危險的，而這偏偏又是某些管理員不重視的地方。下面我們看一下rlogin的用法。

rlogin是一個簡單的/伺服器程式，它的作用和telnet差不多，不同的是telnet完全依賴口令驗證，而

rlogin是基於信任關係的驗證，其次到才進行口令驗證的，它使用了TCP協定進行傳輸。當用戶從一台主機登入到另一台主機上，並且，如果目錄主機信任它，rlogin將允許在不應答口令的性況下使用目標主機上的資源，安全驗證完便基於源主機的IP位址。因此，根據以上所舉的例子，我們能利用rlogin來從hostb遠程登入到hosta，而且不會被提示出入口令！

IP欺騙的理論根據

看到上面的說明，每一個黑客都會想到：既然hosta和hostb之間的信任關係是基於IP址而建立起來的，那么假如能夠冒充hostb的IP，就可以使用rlogin登錄到hosta，而不需任何口令驗證。這，就是IP欺騙的最根本的理論依據。

但是，事情遠沒有想像中那么簡單！雖然，可以通過編程的方法隨意改變發出的包的IP位址，但TCP協定對IP進行了進一步的封裝，它是一種相對可靠的協定，不會讓黑客輕易得逞。不信？好，先來看一下一次正常的TCP/IP會話的過程。

由於TCP是面向連線的協定，所以在雙方正式傳輸數據之前，需要用“三次握手”來建立一個穩重的連線。假設還是hosta和hostb兩台主機進行通信，hostb首先傳送帶有SYN標誌的數據段通知hosta建立TCP連線，TCP的可靠性就是由數據包中的多位控制字來提供的，其中最重要的是數據序列SYN和數據確認標誌ACK。B將TCP報頭中的SYN設為自己本次連線中的初始值（ISN）。

當hosta收到hostb的SYN包之後，會傳送給hostb一個帶有SYN+ACK標誌的數據段，告之自己的ISN，並確認hostb傳送來的第一個數據段，將ACK設定成hostb的SYN+1。

當hostb確認收到hosta的SYN+ACK數據包後，將ACK設定成hosta的SYN+1。Hosta收到hostb的ACK後，連線成功建立，雙方可以正式偉輸數據了。

我們就很容易想到，假如想冒充hostb對hosta進行攻擊，就要先使用hostb的IP位址傳送SYN標誌給hosta，但是當hosta收到後，並不會把SYN+ACK傳送到我們的主機上，而是傳送到真正的hostb上去，這時……嘿嘿……露陷了吧？因為hostb根本沒傳送發SYN請請。所以如果要冒充hostb，首先要hostb失去工作能力。也就是所謂的拒絕服務攻擊，讓hostb癱瘓。

可是……這樣還是遠遠不夠的……，最難的就是要對hosta進行攻擊，必須知道hosta使用的ISN。TCP使用的ISN是一個32位的計數器，從0到4 294 967 295。TCP為每一個連線選擇一個初始序列號ISN，為了防止因為延遲、重傳等擾亂三次握手，ISN不能隨便選取，不同的系統有著不同的算法。理解TCP如何分配ISN以及ISN隨時間的變化規律，對於成功的進行IP欺騙攻擊是很重要的！ISN約每秒增加128 000，如果有連線出現，每次連線將把計數器的數值增加64 000。很顯然，這使得用於表示ISN的32位計數器在沒有連線的情況下每9.32小時復位一次。

這所以這樣，是因為它有利於最大於度地減少“舊有”連線的信息干擾當前連線的機會。如果初始序例號是隨意選擇的，那么不能保證現有序例號是不同於先前的。假設有這樣一種情況，在一個路由迴路中的數據包最終跳出循環，回到了“舊有”的連線，顯然這會對現有連線產生干擾。預測出攻擊目標的序例號非常困難，而且各個系統也不想同，在Berkeley系統，最初的序列號變數由一個常數每秒加1產生，等加到這個常數的一半時，就開始一次連線。

這樣，如果開始啊一個合法連線，並觀察到一個ISN正在使用，便可以進行預測，而且這樣做有很高的可信度。現在我們假設黑客已經使用某種方法，能預測出ISN。在這種情況下，他就可以將ACK序便號送給hosta，這時連線就建立了。

IP欺騙攻擊過程解析

IP欺騙由若干步驟組成，下面是它的詳細步驟，（嘿嘿……小心點看喔……不明白的請舉手……，不再重複……我夠陰的吧……嗯嗯……沒煙了……不說了……大家自學吧……）晃鐺……一隻“義大利真皮”飛過來……正中腦瓜……唉……俺“眾”不敵“寡”，先忍著算了……真可憐……怎么沒人用“中華”丟過來……

接著…首先假定信任關係已經被發現（至於如何發現，不是本章內容）。黑客為了進行IP欺騙，要進行以下工作：使被信任關係的主機失去工作能力，同時採樣目標主機發出的TCP序例號，猜測出它的數據序例號。

然後，偽裝成被信任的主機，同時建立起與目標主機基於地址驗證的套用連線。連線成功後，黑客就可以入置backdoor以便後日使用J 。

使被信任主機失去工作能力

為了偽裝成被信任主機而不露陷，需要使其完全失去工作能力。由於攻擊者將要代替真正的被信任主機，他必須確保真正的被信任主機不能收到任何有效的網路數據，否則將會被揭穿。有許多方法可以達到這個目的（如SYN洪水攻擊、TTN、Land等攻擊）。

現假設你已經使用某種方法使得被信任的主機完全失去了工作能力。
序例號取樣和猜測

前面講到了，對目標主機進行攻擊，必須知道目標主機的數據包序例號。通常如何進行預測呢？往往先與被攻擊主機的一個連線埠（如：25）建立起正常連線。通常，這個過程被重複N次，並將目標主機最後所傳送的ISN存儲起來。

然後還需要進行估計他的主機與被信任主機之間的往返時間，這個時間是通過多次統計平均計算出來的。往返連線增加64 000.現在就可以估計出ISN的大小是128 000乘以往返時間的一半，如果此時目標主機剛剛建立過一個連線，那么再加上64 000。（我靠……怎么像在上數學課啊？）

一旦估計出ISN的大小，就開始著手進行攻擊，當然你的虛假TCP數據包進入目標主機時，如果剛才估計的序例號是準確的，進入的數據將被放置在目標機的緩衝區中。但是在實際攻擊過程中往往沒這么幸運，如果估計序例號的小於正確值，那么將被放棄。

而如果估計的序例號大於正確值，並且在緩衝區的大小之內，那么該數據被認為是一個未來的數據，TCP模組將等待其他缺少的數據。如果估計序例號大於期待的數字且不在緩衝區之內，TCP將會放棄它並返回一個期望獲得的數據序例號。

你偽裝成被信任的主機IP，此時，該主機仍然處在癱瘓狀態，然後向目標主機的513連線埠（rlogin）傳送連線請求。目標主機立刻對連線請求作出反應，發更新SYN+ACK確認包給被信任主機，因為此時被信任主機仍然處於癱瘓狀態，它當然無法收到這個包，緊接關攻擊者向目標主機傳送ACK數據包，該包使用前面估計的序例號加1。

如果攻擊者估計正確的話，目標主機將會接收該ACK。連線就正式建立起了，可以開始數據傳輸了。這是，你就可以將cat ‘++’>>~/.rhosts命令傳送過去，這樣完成本次攻擊後就可以不用口令直接登到目標主機上了。如果達到這一步，一次完整的IP欺騙就算完成了。你已經在目標機上得到了一個Shell

貼，接下就就是利用系統的溢出或錯誤配置擴大許可權，當然如何搞到root已經不是本章的內容了。

總結一下IP攻擊的整個步驟：

首先使被信任主機的網路暫時癱瘓，以免對攻擊造成干擾。

然後連線到目標機的某個連線埠來猜測ISN基值和增加規律！！！（重點！難點！）

接下來把源址址偽裝成被信任主機，傳送帶有SYN標誌的數據段請求連線。

然後等待目標機傳送SYN+ACK包給已經癱瘓的主機，因為你現在看不到這個包。

最後再次偽裝成被信任主機向目標機傳送的ACK，此時傳送的數據段帶有預測的目標機的ISN+1。

連線建立，傳送命令請求。
　下面是tcpdump------一個sniffer完全全記錄下來的一次入侵全過程。也正是IP欺騙的創始人米特尼客的作品，被一個名叫TsutomuShimomura的工作師記錄下來的。

說明：

Server:一台運行Solaris的Sparc工作站；

x-terminal：被攻擊的伺服器

IP欺騙攻擊開始於1994年12月25日 14：09：32 米特尼客的第一輪探測來自於一台名叫toad.com的主機，這顯然是他事先攻破的一台系統，用來做跳板的。

他在toad.com上運行了以下命令：

toad.com#finger –l @target

toad.com#finger –l @server

toad.com#finger –l root@server

toad.com#finger –l @x-terminal

toad.com#shownoumt –e x-terminal

toad.com#rpcinfo –p x-terminal

toad.com#finger –l root@x-terminal

這些命令的的作用顯然是在探測攻擊目標之間潛在的信任關係，因為只有在發現了信任關係才能進行IP欺騙。Showmount和rcpinfo的源連線埠探測又說明了攻擊者已經得到了root權（toad.com）。

大約在六分鐘之後，tcpdump檢測到一陣急風暴雨般的TCP SYN包從130.92.6.7猛烈的湧向Server 的513（rlogin）連線埠。很顯然，這是在使用SYN洪水拒絕服務攻擊server，目的當然是讓他失去工作能力了。這也就是前面提到的第一步。因為513連線埠是以root許可權運行的，所以現在server.login可以被用來作為進行IP欺騙的偽造源了。當然，這個的謂的攻擊方IP130.92.6.97 也是一個偽造的IP，這樣它才不會接收到server的回應包。

看記錄：

14:18:22:516699 130.92.6.97.600 > server.login: S 1382726960:1382726960(0) win 4096

14:18:22:566069 130.92.6.97.600 > server.login: S 1382726961:1382726961(0) win 4096

14:18:22:744477 130.92.6.97.600 > server.login: S 1382726962:1382726962(0) win 4096

14:18:22:830111 130.92.6.97.600 > server.login: S 1382726963:1382726963(0) win 4096

14:18:22:886128 130.92.6.97.600 > server.login: S 1382726964:1382726964(0) win 4096

14:18:22:943514 130.92.6.97.600 > server.login: S 1382726965:1382726965(0) win 4096

14:18:23:002715 130.92.6.97.600 > server.login: S 1382726966:1382726966(0) win 4096

14:18:23:103275 130.92.6.97.600 > server.login: S 1382726967:1382726967(0) win 4096

14:18:23:162781 130.92.6.97.600 > server.login: S 1382726968:1382726968(0) win 4096

14:18:23:225384 130.92.6.97.600 > server.login: S 1382726969:1382726969(0) win 4096

14:18:23:282625 130.92.6.97.600 > server.login: S 1382726970:1382726960(0) win 4096

14:18:23:342657 130.92.6.97.600 > server.login: S 1382726971:1382726961(0) win 4096

14:18:23:403083 130.92.6.97.600 > server.login: S 1382726972:1382726962(0) win 4096

14:18:23:903700 130.92.6.97.600 > server.login: S 1382726973:1382726963(0) win 4096

14:18:24:003252 130.92.6.97.600 > server.login: S 1382726974:1382726964(0) win 4096

14:18:24:084827 130.92.6.97.600 > server.login: S 1382726975:1382726965(0) win 4096

14:18:24:142774 130.92.6.97.600 > server.login: S 1382726976:1382726966(0) win 4096

14:18:24:203195 130.92.6.97.600 > server.login: S 1382726977:1382726967(0) win 4096

14:18:24:294773 130.92.6.97.600 > server.login: S 1382726978:1382726968(0) win 4096

14:18:24:382841 130.92.6.97.600 > server.login: S 1382726979:1382726969(0) win 4096

14:18:24:443309 130.92.6.97.600 > server.login: S 1382726980:1382726960(0) win 4096

14:18:24:643249 130.92.6.97.600 > server.login: S 1382726981:1382726961(0) win 4096

14:18:24:906546 130.92.6.97.600 > server.login: S 1382726982:1382726962(0) win 4096

14:18:24:963786 130.92.6.97.600 > server.login: S 1382726983:1382726963(0) win 4096

14:18:25:022853 130.92.6.97.600 > server.login: S 1382726984:1382726964(0) win 4096

14:18:25:153536 130.92.6.97.600 > server.login: S 1382726985:1382726965(0) win 4096

14:18:25:400869 130.92.6.97.600 > server.login: S 1382726986:1382726966(0) win 4096

14:18:25:483127 130.92.6.97.600 > server.login: S 1382726987:1382726967(0) win 4096

14:18:25:599582 130.92.6.97.600 > server.login: S 1382726988:1382726968(0) win 4096

14:18:25:653131 130.92.6.97.600 > server.login: S 1382726989:1382726969(0) win 4096

server 在連線序例被塞滿之前對前八個SYN請求做出了SYN+ACK回應，一旦沒有ACK包來回應它，Ｓerver將周期性地重發SYN+ACK包。

接下來我們看到20個從apollo.it.luc.edu發出的連線請求被送住x-terminal.shell。這些連線請求的目的是預測server的TCP序例號生成器的行為。可以注意到每一個連線的初始序例號的增量提示了SYN包不是通過系統的TCP執行產生的。攻擊者立刻用RST包來斷 開x-terminal發來的SYN+ACK包，以使x-terminal的連線序例不至於被塞滿，因為畢竟x-terminal是黑客所要攻擊的目標。

下面是這個過程：

14:18:25.906002 apollo.it.luc.edu.1000 > x-terminal.shell:S 1382726990:1382726990(0) win 4906

14:18:26.094731 x-terminal.shell > appollo.it.luc.edu.1000:S 2021824000:20218240000(0) ack

1382826991 win 4906

………………………………………………………………………………………………………

現在已經是5:33了，好累……大家體諒一下……。

x-terminal 發出的每一個SYN+ACK包的初始序例號都比前一個增加了128 000位元組。

Server.lgoin的偽造SYN請求發往了x-terminal.shell。推斷x-terminal可信任server，所所以會回響來自server 或者偽裝成server的主機的所有請求。

然後就是，x-terminal用SYN+ACK包回應了server的連線請求，這時因為server仍然處於癱瘓狀態，所以它當然不會回響任何來自於x-terminal的包。

正常情況下SYN+ACK包是用來期待正確的ACK確認包的。但是攻擊者能夠預測出x-terminal的TCP序例號生成器的包含SYN+ACK的序例號，所以他不用看到SYN+ACK就可以發出回應的ACK包，如下：

14:18:36.245045 server.login > x-terminal.shell: S 1382727010(0) win 4906

14:18:36.755522 server.login >x-terminal.shell .ack 2024384001 win 4096

到目前為止，偽裝成server的主機已經通過 IP欺騙與x-terminal.shell建立了一次正常的rsh連線，這時一旦x-terminal做出任何應答，攻擊者就可以維持連線並且傳送出數據，下面他傳送了如下數據：

14:18:37.265404 server.login > x-terminal.shell: P 0:2(2)ack 1 win 4906

14:18:37.775872 server.login > x-terminal.shell: P 2:7(5)ack 1 win 4906

14:18:37.287404 server.login > x-terminal.shell: P 7:32(25)ack 1 win 4906

這些數據是由tcpdump記錄下來的，對應的命令其實就是：

server#rsh x-terminal “echo ++ >>/.rhosts”

即在x-terminal上建立起使得任何主機都可以無須口令而行訪問的/.rhosts檔案。然後，其實連線斷開了。

怎么樣？看得心驚膽跳吧？看上去好像花了好長的時間，其實不然……從傳送第一個數據包，到傳送最後一個數據包僅僅用了16秒！！！這一過程，只不過是運行了事先寫好的程式而已。

註：文章多處用了比較搞笑的字眼為的是讓讀者看起來不那么緊張、放鬆點能更容易理解。

如果讀者發現哪有不足之處請多多來信點評。