岁末年初 网络协议欺骗攻防小结

三、路由欺骗IXPUB技术博客DK t"F!pJ
    TCP/TP网络中，IP包的传输路径完全由路由表决定。若攻击者通过各种手段改变路由表，使目标主机发送的IP包到达攻击者能控制的主机或路由器，就可以完成侦听，篡改等攻击方式。IXPUB技术博客9c3R }@+T N/?!b3sY

    1.RIP路由欺骗IXPUB技术博客3]_Hv3Q;RD
    RIP协议用于自治系统内传播路由信息。路由器在收到RIP数据报时一般不作检查。攻击者可以声称他所控制的路由器A可以最快的到达某一站点B，从而诱使发往B的数据包由A中转。由于A受攻击者控制，攻击者可侦听、篡改数据。

t0t3W"a5Ohj0IXPUB技术博客j%@+?T\%ce

    RIP路由欺骗的防范措施主要有：路由器在接受新路由前应先验证其是否可达。这可以大大降低受此类攻击的概率。但是RIP的有些实现并不进行验证，使一些假路由信息也能够广泛流传。由于路由信息在网上可见，随着假路由信息在网上的传播范围扩大，它被发现的可能性也在增大。所以，对于系统管理员而言，经常检查日志文件会有助于发现此类问题。IXPUB技术博客\'oB!e6hQ8?

IXPUB技术博客}8W1g5{}5U*v:`4F

    2.IP源路由欺骗
;^fRA
_({0    IP报文首部的可选项中有“源站选路”，可以指定到达目的站点的路由。正常情况下，目的主机如果有应答或其他信息返回源站，就可以直接将该路由反向运用作为应答的回复路径。

%N^3^LX0IXPUB技术博客'\b)~7U+t4M3x+a;[Zn

    主机A（假设IP地址是192.168.100.11）是主机B（假设IP地址为192.168.100.1）的被信任主机，主机X想冒充主机A从主机B获得某些服务。首先，攻击者修改距离X最近的路由器G2，使用到达此路由器且包含目的地址192.168.100.1的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗（把数据包的源地址改为192.168.100.11）向主机B发送带有源路由选项（指定最近的G2）的数据包。当B回送数据包时，按收到数据包的源路由选项反转使用源路由，传送到被更改过的路由器G2。由于G2路由表已被修改，收到B的数据包时，G2根据路由表把数据包发送到X所在的网络，X可在其局域网内较方便地进行侦听，收取此数据包。

Y6e0itn(Mgj3C;y0IXPUB技术博客-CXK)yBN

    防范IP源路由欺骗的好方法主要有：IXPUB技术博客0|p |%syz
    1.配置好路由器，使它抛弃那些由外部网进来的、声称是内部主机的报文；IXPUB技术博客 HQPj1eK/L2X+Y
    2.关闭主机和路由器上的源路由功能。IXPUB技术博客7pcOG)M0E

IXPUB技术博客f%NlE\.M| f^@

四、TCP欺骗
0w-i2i*g1@xn0    实现TCP欺骗攻击有两种方法：
1f/I1\5oX0    1.非盲攻击
MJB\3U^0    攻击者和被欺骗的目的主机在同一个网络上，攻击者可以简单地使用协议分析器（嗅探器）捕获TCP报文段，从而获得需要的序列号。以下是其攻击步骤：

$[0N3L2e"r`0

:?Y}x:z2u\0    （1）攻击者X要确定目标主机A的被信任主机B不在工作状态，若其在工作状态，也使用SYN flooding等攻击手段使其处于拒绝服务状态。
jIf/Y_lGb4JD0    （2）攻击者X伪造数据包：B->A：SYN（ISN C），源IP地址使用B，初始序列号ISN为C，给目标主机发送TCP的SYN包，请求建立连接。
z8B1X)F3i2|J0    （3）目标主机回应数据包：A->B：SYN（ISN S），ACK（ISN C），初始序列号为S，确认序号为C。由于B处于拒绝服务状态，不会发出响应包。攻击者X使用嗅探工具捕获TCP报文段，得到初始序列号S。IXPUB技术博客uX?2pp|q4Jy
    （4）攻击者X伪造数据包：B->A:ACK(ISN S),完成三次握手建立TCP连接。IXPUB技术博客'Ov1I?uff2C
w4D.A
    （5）攻击者X一直使用B的IP地址与A进行通信。

?MJ~?,T&b0

d_/a.T&}8}T0    2.盲攻击IXPUB技术博客r'u$Ef S
    由于攻击者和被欺骗的目标主机不在同一个网络上，攻击者无法使用嗅探工具捕获TCP报文段。其攻击步骤与非盲攻击几乎相同，只不过在步骤（3）中无法使用嗅探工具，可以使用TCP初始序列号预测技术得到初始序列号。在步骤（5）中，攻击者X可以发送第一个数据包，但收不到A的响应包，较难实现交互。

p'Z Be(ZS0

[Q;x3E4S(`0    从攻击者的角度来考虑，盲攻击比较困难，因为目的主机的响应都被发送到不可达的被欺骗主机，攻击者不能直接确定攻击的成败。然而，攻击者可使用路由欺骗技术把盲攻击转化为非盲攻击。

)c:\;d _\D0OJ0IXPUB技术博客0k!Z@ { b%W+oF

     对TCP欺骗攻击的防范策略主要有：
&bF5]R5e*s6J)b G
B0    （1）使用伪随机数发生工具产生TCP初始序号；
.K[o8n~t0    （2）路由器拒绝来自外网而源IP是内网的数据包；IXPUB技术博客"POQ)?#C^%enoJ S
    （3）使用TCP段加密工具加密。IXPUB技术博客)`9R7a p5a$Ho i8M

IXPUB技术博客P*U-TAc3pN

五、DNS欺骗IXPUB技术博客e.VwSLAZ0G&w? yr
    在网上，用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻、订阅报纸、电子商务等。攻击者可以将用户想要浏览的网页的URL改写成指向攻击者自己的服务器，当用户浏览目标网页的时候，实际上是向攻击者服务器发出请求，那么攻击者就可以达到欺骗或攻击的目的了。例如，可以利用Webserver的网页给客户端机器传染病毒。这种攻击的效果是通过DNS欺骗技术得到的。DNS协议不对转换或信息性的更新进行身份认证，这就使得攻击者可以将不正确的信息掺进来，并把用户引向攻击者自己的主机。IXPUB技术博客E$hJ(?fWYj"y

Sx4r5d"VMi%Xp0    用一个简单的例子说明
E,vcT.TA0    假如cn.wy.com向xinxin.com的子域DNS服务器120.2.2.2询www.xinxin.com的IP地址时，用户冒充120.2.2.2给www.xinxin.com的IP地址，这个IP地址是一个虚拟的地址，列如202.109.2.2，这cn.wy.com就会把202.109.2.2当www.xinxin.com的地址返还给hk.wy.com了。当hk.wy.com连www.xinxin.com时，就会转向我们提供的那个虚假的IP地址了，这样对www.xinxin.com来说，就算是给黑掉了。因为别人根本连接不上这个域名。 这就是DNS欺骗的基本原理，但正如同IP欺骗一样。DNS欺骗在技术上实现上仍然有一些困难，为了理解这些需要看一下DNS查询包的结构。在DNS查询包中有一个重要的域叫做做标识ID。用来鉴别每个DNS数据包的印记，从客户端设置。由服务器返回，它可以让客户匹配请求与响应。IXPUB技术博客k;d#IicHw!R

IXPUB技术博客 zsX+S;r0r

    如cn.wy.com120.2.2.2 这时黑客只需要用假的120.2.2.2进行欺骗，并且在真正的120.2.2.2返回cn.wy.com信息之前，先于它给出所查询的IP地址。cn.wy.com←120.2.2.2 ，www.xinxin.com的IP地址是1.1.1.1 。在120.2.2.2前cn.wy.com送出一个伪造的DNS信息包，如果要发送伪造的DNS信息包而不被识破，就必须伪造正确的ID，但是，如果无法判别这个标识符的话，欺骗将无法进行。这在局域网上是很容易实现的，只要安装一个sniffer，通过嗅探就可以知道这个ID。但如果是在Internet上实现欺骗，就只有发送大量的一定范围的DNS信息包，通过碰运气的办法来提高给出正确标识ID的机会。

+j)v"Dx;i0vvg0

hK-Hg
N4ux\V+H/O0    DNS欺骗的真实过程IXPUB技术博客({(\rnt
    如果已经成功的攻击了120.2.2.2子网中任意一台主机，并且通过安装sniffer的方法对整个子网中传输的包进行嗅探，可以设置只对进出120.2.2.2的包进行观察，从而获得我们需要的标识ID。当DNS服务器120.2.2.2发出查询包时，它会在包内设置标识ID，只有应答包中的ID值和IP地址都正确的时候才能为服务器所接受。这个ID每次自动增加1，所以可以第一次向要欺骗的DNS服务器发一个查询包并监听到该ID值，随后再发一个查询包，紧接着马上发送构造好的应答包，包内的标识ID为预测的值。为了提高成功效率可以指定一个范围，比如在前面监听到的哪个ID+1的范围之间。接上列，如cn.wy.com向120.2.2.2发来了要求查www.xinxin.com的IP地址的包，此时，120.2.2.2上的黑客就要欺骗cn.wy.com。IXPUB技术博客D4g*r Wu)~(f3RO.Z

IXPUB技术博客o H!S/J!\{2^Rj5v

    cn.wy.com→120.2.2.2 [Query]
5V c7_d}#q2|S&PH0    NQY：1 NAN：0 NNS：0 NAD：0 QID：6573IXPUB技术博客(cA7N&r'z-l(E%K0vL
    QY：www.xinxin.comA

/UW k
FT0

6{9B p*fB0    其中NQY，NAN等是查询包的标志位。当这两个标志位为“1”时表示是查询包，这时我们就可以在120.2.2.2上监听到这个包，得到他的ID为6573.然后紧接着我们也向120.2.2.2发出一次查询，使它忙于应答这个包。

%e|[0B7HDS'K.dS0IXPUB技术博客wk]bpJ

    1.1.1.1→120.2.2.2 [Query]
+Jf$rM,{ wK Q_0    NQY：1 NAN：0 NNS：0 NAD：0IXPUB技术博客 m|&W*N3g ]!^{0X(~9X
    QY：other.xinxin.com AIXPUB技术博客`;ZiWa2i;^
    紧接着发带预测QID的应答包IXPUB技术博客p`[#X+Bq `
    120.2.2.2→cn.wy.com [Answer]
5eF!V@/r0    NQY：1 NAN：0 NNS：0 NAD：0 QID：6574IXPUB技术博客)BR%^I4kW
    QYwww.xinxin.comPTRIXPUB技术博客,F_P iB-q
    ANwww.xinxin.comPTR 111.222.333.444

#_*uVQkP\,i&U?0

!q%osi tD+c8p0    111.222.333.444就是由攻击者来指定的IP地址。注意发这个包时标识ID为前面监听到的ID值加1既6574+1=6575。这样，DNS欺骗就完成了cn.wy.com就会把111.222.333.444当www.xinxin.com的IP地址了。假如111.222.333.444是一台已经被用户控制的计算机，可以把它的主页改成想要的内容，这时当被欺骗的其他用户连接www.xinxin.com时，他就以为这个网站已经被黑掉了。IXPUB技术博客9c'M8[b|

,@"^4f#KN Kd0    防范DNS欺骗的方法是用DNS转换得到的IP地址或域名再次作反向转换进行验证，用户可以通过一些软件来实现。IXPUB技术博客4Lcx2YP&Z7l