作為一種會(huì)話劫持的方法，黑客如果對(duì)一些并不可靠的協(xié)議進(jìn)行劫持，那么將會(huì)輕而易舉的視線，但是TCP協(xié)議是一種被稱為可靠的傳輸協(xié)議，許多傳輸功能也都是基于TCP協(xié)議進(jìn)行的，所以TCP會(huì)話劫持將作為本章討論的對(duì)象。

TCP會(huì)話劫持

根據(jù)TCP/IP中的規(guī)定，使用TCP協(xié)議進(jìn)行通訊需要提供兩段序列號(hào)，TCP協(xié)議使用這兩段序列號(hào)確保連接同步以及安全通訊，系統(tǒng)的TCP/IP協(xié)議棧依據(jù)時(shí)間或線性的產(chǎn)生這些值。在通訊過程中，雙方的序列號(hào)是相互依賴的，這也就是為什么稱TCP協(xié)議是可靠的傳輸協(xié)議(具體可參見RFC 793)。如果攻擊者在這個(gè)時(shí)候進(jìn)行會(huì)話劫持，結(jié)果肯定是失敗，因?yàn)闀?huì)話雙方“不認(rèn)識(shí)”攻擊者，攻擊者不能提供合法的序列號(hào)；所以，會(huì)話劫持的關(guān)鍵是預(yù)測正確的序列號(hào)，攻擊者可以采取嗅探技術(shù)獲得這些信息

TCP協(xié)議的序列號(hào)

現(xiàn)在來討論一下有關(guān)TCP協(xié)議的序列號(hào)的相關(guān)問題。在每一個(gè)數(shù)據(jù)包中，都有兩段序列號(hào)，它們分別為：

SEQ：當(dāng)前數(shù)據(jù)包中的第一個(gè)字節(jié)的序號(hào)

ACK：期望收到對(duì)方數(shù)據(jù)包中第一個(gè)字節(jié)的序號(hào)

假設(shè)雙方現(xiàn)在需要進(jìn)行一次連接：

S_SEQ：將要發(fā)送的下一個(gè)字節(jié)的序號(hào)

S_ACK：將要接收的下一個(gè)字節(jié)的序號(hào)

S_WIND：接收窗口

//以上為服務(wù)器(Server)

C_SEQ：將要發(fā)送的下一個(gè)字節(jié)的序號(hào)

C_ACK：將要接收的下一個(gè)字節(jié)的序號(hào)

C_WIND：接收窗口

//以上為客戶端(Client)

它們之間必須符合下面的邏輯關(guān)系，否則該數(shù)據(jù)包會(huì)被丟棄，并且返回一個(gè)ACK包(包含期望的序列號(hào))。

C_ACK <= C_SEQ <= C_ACK + C_WIND

S_ACK <= S_SEQ <= S_ACK + S_WIND

如果不符合上邊的邏輯關(guān)系，就會(huì)引申出一個(gè)“致命弱點(diǎn)”，具體請接著往下看。

致命弱點(diǎn)

這個(gè)致命的弱點(diǎn)就是ACK風(fēng)暴(Storm)。當(dāng)會(huì)話雙方接收到一個(gè)不期望的數(shù)據(jù)包后，就會(huì)用自己期望的序列號(hào)返回ACK包；而在另一端，這個(gè)數(shù)據(jù)包也不是所期望的，就會(huì)再次以自己期望的序列號(hào)返回ACK包……于是，就這樣來回往返，形成了惡性循環(huán)，最終導(dǎo)致ACK風(fēng)暴。比較好的解決辦法是先進(jìn)行ARP欺騙，使雙方的數(shù)據(jù)包“正常”的發(fā)送到攻擊者這里，然后設(shè)置包轉(zhuǎn)發(fā)，最后就可以進(jìn)行會(huì)話劫持了，而且不必?fù)?dān)心會(huì)有ACK風(fēng)暴出現(xiàn)。當(dāng)然，并不是所有系統(tǒng)都會(huì)出現(xiàn)ACK風(fēng)暴。比如Linux系統(tǒng)的TCP/IP協(xié)議棧就與RFC中的描述略有不同。注意，ACK風(fēng)暴僅存在于注射式會(huì)話劫持。

TCP會(huì)話劫持過程

假設(shè)現(xiàn)在主機(jī)A和主機(jī)B進(jìn)行一次TCP會(huì)話，C為攻擊者，劫持過程如下：

A向B發(fā)送一個(gè)數(shù)據(jù)包

SEQ (hex): X ACK (hex): Y

FL

AGS: -AP--- Window: ZZZZ，包大小為:60

B回應(yīng)A一個(gè)數(shù)據(jù)包

SEQ (hex): Y ACK (hex): X+60

FLAGS: -AP--- Window: ZZZZ，包大小為:50

A向B回應(yīng)一個(gè)數(shù)據(jù)包

SEQ (hex): X+60 ACK (hex): Y+50

FLAGS: -AP--- Window: ZZZZ，包大小為:40

B向A回應(yīng)一個(gè)數(shù)據(jù)包

SEQ (hex): Y+50 ACK (hex): X+100

FLAGS: -AP--- Window: ZZZZ，包大小為:30

攻擊者C冒充主機(jī)A給主機(jī)B發(fā)送一個(gè)數(shù)據(jù)包

SEQ (hex): X+100 ACK (hex): Y+80

FLAGS: -AP--- Window: ZZZZ，包大小為:20

B向A回應(yīng)一個(gè)數(shù)據(jù)包

SEQ (hex): Y+80 ACK (hex): X+120

FLAGS: -AP--- Window: ZZZZ，包大小為:10

現(xiàn)在，主機(jī)B執(zhí)行了攻擊者C冒充主機(jī)A發(fā)送過來的命令，并且返回給主機(jī)A一個(gè)數(shù)據(jù)包；但是，主機(jī)A并不能識(shí)別主機(jī)B發(fā)送過來的數(shù)據(jù)包，所以主機(jī)A會(huì)以期望的序列號(hào)返回給主機(jī)B一個(gè)數(shù)據(jù)包，隨即形成ACK風(fēng)暴。如果成功的解決了ACK風(fēng)暴(例如ARP欺騙)，就可以成功進(jìn)行會(huì)TCP話劫持了。
 

【編輯推薦】

1. 黑客不愛軟件漏洞　更喜歡利用錯(cuò)誤配置
2. “90后”黑客攻擊南京房管局網(wǎng)站
3. Black Hat和Defcon黑客大會(huì)的五大看點(diǎn)
4. 路由器漏洞:黑客展示如何攻陷百萬臺(tái)
5. 揭秘黑客手中DDoS攻擊利器——黑色能量2代